1.平台架构
近年来,随着“两化融合”的深入开展,网络空间的边界向关键基础设施领域不断延展,工业互联网正面临着严重的网络安全威胁。国家非常重视网络安全,相继出台《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》等,要求对关系国计民生的关键信息基础设施行业进行重点保护。
平台由工业互联网安全防护产品、工业主机卫士、PLC运行时和编程软件平台和PLC开发板等组成,用于工业互联网安全实验平台建设,搭建典型工业行业仿真与安全防护场景,便于学生进行实操与攻防演练,提高实际动手能力。
图1:平台架构图
图2:培训室平面图
2.工控安全网关
工控安全网关具备工业防火墙的基本功能,同时具备工控病毒与木马防护、网络攻击防护能力,实现工控网络安全区、安全域划分,边界防护,数据纵向加解密等功能。
网关指标:
类别 |
参数 |
功能 |
支持对Modbus、S7、OPC等工控协议的深度报文解析和基于白名单的访问控制,并支持对工控协议定制化的扩展; 支持检测知名工业病毒,包括STUXNET震网,Conficker飞客,FLAME火焰,DUQU、勒索病毒及各种变种等; 支持ARP攻击防护; 支持常见网络攻击如DDos等防护; 支持动态插入ACL规则,不影响现有规则和网络连接的正常运行; 支持手动配置基于源目的IP、协议、报文类型等访问控制规则; 支持可信管理主机白名单设定支持分布式部署,集中化策略管理; 支持通过图形化方式进行设备的远程配置; 支持通过管理平台实现产品的自动升级; 支持网络拓扑编辑、显示; 支持设备状态监测,包括在线、离线和告警状态等; 支持事件、日志实时监控与分析支持多种告警方式; 支持IP/MAC地址绑定规则; 支持多种工作模式,包括监测、旁路、控制等,用户可自主配置; 支持报表功能,用户通过报表可查看事件、日志和审计的统计数据,支持报表下载; 支持基于国密算法的通信数据透明加解密功能,可以实现基于国密证书的身份认证、通信加密,保护数据与控制指令安全。 |
3.工控采集探针
工控采集探针提供工控流量审计、数据库操作审计、网络入侵检测、网络侧数据防泄漏等功能,实现关键网络节点侧的安全监测审计与预警能力。
探针指标:
类别 |
参数 |
功能 |
支持对工业以太网网络流量的旁路采集与分析能力; 支持对现场设备物理I/O信号的数据采集能力; 支持对现场总线流量数据的采集和分析能力; 支持对采集的网络流量、总线流量、IO数据、配置与程序等异构数据的分类存储能力; 支持对网络安全数据的回溯、查询、导出等功能; 具备对主流协议的深度解析能力,对采集到的网络流量进行分析处理,能够实时解析采集到的流量数据; 支持对Modbus、OPC、MMS、S7、DNP3、ENIP、GOOSE、SV、Profinet、IEC04等工控协议深度报文解析,支持多变量和值级别,为攻击流量识别模块提供数据分析来源; 支持模块化解析功能,对于未知专用协议也可在进行简单分析后,导入协议解析模板后,进行快速解析; 协议深度解析和异常行为分析模块均使用插件化设计,可在重启的情况下对解析模块禁用或者启用,可方便进行新的应用协议解析功能的添加和扩展; 支持对未知网络协议的报文解析能力,支持解析协议子类型、字段、变量、值等; 支持对IO物理信号的模拟信号、数字信号的图形化分析能力; 支持对以太网流量中的文件传输、访问数据的实时还原能力,可以将还原的样本进行实时存储,支持还原的协议包括但不限于HTTP、FTP、SMB、SMTP、POP3、IMAP、TFTP等; 支持对疑似样本的静态、动态分析能力,发现恶意代码、木马、蠕虫、敏感数据泄露等异常行为; 支持网络资产的自动发现能力,可识别其厂商、版本和型号等信息,至少覆盖知名的工控设备、网络设备、物联网设备等资产类型,如西门子、施耐德、MOXA、罗克韦尔、ABB、COPA-DATA、Delta、INVENSYS、华为、H3C、思科、锐捷等相关设备; 支持网络异常行为检测功能,基于对网络数据的采集与深度解析,利用基于攻击特征和行为异常的检测方式,具备对含有明显恶意特征或偏离正常行为基线的网络流量进行监测告警的功能; 具备20种以上实时在线异常检测能力,可发现因系统遭受网络攻击而导致的网络会话异常、关键设备状态异常、系统控制指令异常、流量异常、过程参数异常等,具有恶意代码、网络攻击、高危指令、组态异常、违规外联、非授权接入、畸形报文、信号异常、总线异常等检测和告警功能; 支持基于数据挖掘的APT攻击分析能力:对收集流量数据、设备网络漏洞、病毒、恶意代码等信息进行关联分析,具备网络安全数据分析和发现系统深层次安全隐患的能力,分析潜在的网络攻击路径; 实时监测分析、记录各种数据库操作:解析数据库登入、登出、插入、删除、执行存储过程等操作,还原SQL操作语句;跟踪数据库访问过程细节,包括用户名、数据库操作类型、所访问的数据库表名、字段名、操作执行结果等; 支持基于数据库对象(用户、表、操作内容等)的会话审计查询及审计数据展现; 支持TDS、TNS、MySQL等数据库协议的实时解析; 支持双向审计,支持对Select操作返回行数和返回内容的审计; 支持设置数据库告警策略规则,当检测到可疑操作或违反审计规则的操作时,系统可通过监控中心告警、邮件告警等方式通知数据库管理员。支持的高危操作至少包括:危险客户端登录、危险操作行为、SQL注入、漏洞攻击库等; 支持磁盘空间阈值告警,当磁盘使用率达到设定的阈值时可产生并触发告警; 具备工控协议种类、特征库、检测行为模型库等的扩充、升级和管理维护功能; 系统具备循环自检功能,对于自身运行的关键程序及进程定期检查运行状态,如有异常,支持1分钟内自动恢复该组件运行; 系统具备自动分表、自动数据回滚、自动文件回滚等机制。 |
4.工业主机卫士
工控主机安全卫士用于实现主机(包括工程师站、操作员站、现场HMI、监控主机等)、服务器(SCADA服务器、数据库服务器、通讯服务器等)等连接管控、外设管控、进程管控、终端侧数据防泄漏等安全管控功能。
主机安全卫士指标:
类别 |
参数 |
功能 |
支持进程白名单检查,可有效识别未知恶意进程或病毒; 支持文件、注册表、目录等完整性检查,可防止关键进程可执行文件、配置文件等被恶意篡改,或植入新的木马或病毒; 支持检测U盘、移动硬盘、光盘、无线网卡等违规插拔事件; 支持对主机的网络连接进行实时检查,及时发现违规连接互联网、主动恶意断网、异常断网等事件; 支持对进出设备的数据进行敏感性检查,防止信息泄露; 支持进程、连接、文件等白名单自学习; 支持对安全事件进行告警,对违规行为进行阻断或管控; 支持自身安全防护:防止恶意卸载、关闭,及时告警; 针对工控网络现场环境中必要的移动存储接入需求,配套专业的安全U盘,在保障日志生产作业的同时,可有效避免病毒、木马、恶意代码等的感染,保障主机间数据交换安全; 安全U盘数据采用硬件设备因子加密,且各个安全U盘个体密码不同,保障安全U盘遗失后,携带的操作数据很难被破解、分析甚至利用; 主机运行状态分析与预警支持主机运行日志审计; 支持操作员站、工程师站操作系统、监控软件与组态软件以及版本信息采集; 支持操作员站、工程师站系统安全漏洞分析与系统加固; 支持操作员站、工程师站系统运行故障产生的dump文件分析,深入检测影响主机正常运行的内在原因; 支持同类主机操作系统、监控软件和组态软件、CPU、内存和磁盘等运行状态参数对比分析和基于历史运行状态的回归预测分析,对操作员站、工程师站存在的安全威胁进行预警; 支持检测知名的工业病毒,包括Stuxnet震网、Conficker飞客、Flame火焰、Duqu毒区、BlackEnergy黑暗力量、勒索病毒及其变种等不少于100种工控恶意代码,支持对勒索病毒的阻断功能; 支持系统一键加固功能,可以快速、批量关闭危险端口、禁用系统服务等; 配置管理支持进程、服务白名单规则配置与同步; 支持移动设备接入规则配置与同步; 支持连接基线规则配置与同步; 支持工程师、操作员站运行的安全卫士软件自动在线升级; |
5. 工业控制安全管理平台
工业控制安全管理平台是一款面向高校教学场景的安全设备综合管理平台,是为了解决各个安全产品之间的协作问题而建立起来的一个信息交换、信息存储、信息处理平台。平台贯穿安全设备资产管理、安全设备运行状态监控、安全设备日志数据收集、安全设备数据集中分析和安全策略联动的全流程。
安全管理平台指标:
类别 |
参数 |
功能 |
支持对工业主机卫士、工控安全网关、工业数据采集探针、PLC等资源的实时监控; 支持多种数据采集方式,将所有资源的实时信息采集到管理平台中,实现集中统一管理; 支持基于规则、基于威胁情报、基于机器学习引擎、基于用户行为等多种安全检测引擎的智能安全分析; 支持通过对威胁事件、安全风险和业务系统关联分析,实现全方位的网络安全态势可视化,实现网络安全态势感知、信息安全态势感知; 支持资产集中管理、资产自动发现和拓扑管理; 支持采集和安全分析策略配置; 支持安全设备集中策略配置; 支持告警诊断与关联性分析、告警升级、告警压缩、告警提醒、告警与知识库关联; 支持工单的作业化管理,实现工单的自动触发、派发、跟踪、提醒和关闭; 提供所见即所得的统一报表开发平台,根据管理的需要抽取监控、告警、资源等各类管理数据,生成面向运维分析和服务管理的统计分析,协助领导层的管理决策; 支持用户和权限管理; 支持平台自身的应用审计; 支持级联管理; |
6.PLC运行时和编程软件平台
PLC运行时运行在Linux操作系统,支持Modbus协议、支持IO扩展。编程平台采用B/S架构,编程语言支持梯形图(LD)、结构化文本(ST)、Python、C等语言;实现对PLC程序的编写、编译、下载、运行、调试。
PLC运行时和编程软件平台
7.PLC开发板
新一代国产智能安全PLC是在充分研究最新网络与信息安全技术基础上,对标国际先进的主流工业控制器PLC产品,采用国产密码算法,基于模块化、开放式软硬件设计理念和低成本可扩展的安全智能工业控制器软硬件架构,研制的具有完全自主知识产权的安全智能工业控制器产品。
安全PLC指标:
类别 |
参数 |
CPU |
全志A40i,4核ARMCortex-A7@1.2GH |
RAM |
1内存1GB、存储8GBEMMCFlash |
ROM |
8GBEMMCFlash |
USB |
1路USB2.0 |
以太网 |
1路百兆以太网 1路千兆以太网 |
供电 |
9-28VDC |
工作环境 |
温度:-25°C~+85°C、湿度:最大90%@40°C |
IO |
8路DI,4路DO,12路AI,4路AO; |
通讯协议 |
支持ModbusTCP/RTU等协议扩展模块 |
功能指标 |
支持ST、LD、等PLC编程语言和组态功能; 支持周期任务调用; 内置丰富的行业算法,支持用户自定义算法开发; 支持攻击防护、指令有效性和安全性检查; 支持国密证书和身份认证功能; |
8.课程规划
课程内容 |
课时 |
工业互联网软硬件演示与实操 |
2 |
工业互联网漏洞演示和利用 |
2 |
工业互联网安全分析和防护演示及实操 |
4 |
基于国产密码的工控安全内生应用 |
2 |