浙江木链物联网科技有限公司
1 项目概况
本次电力行业高仿真虚拟化融合工控安全实验室(以下简称:实验室)建设项目,以技术深度、演练环境、案例展示的深化和定制化为主要内容。通过本项目的建设,以及围绕实验室的沙盘建设、工控案例定制化、组态软件及DCS、PLC系统的对接,将各类虚拟资源和物理资源纳入到靶场管理平台中,为电力行业的工控安全提供分析、设计、研发、集成、测试、评估、运维等全生命周期保障服务,解决无法在真实环境中对复杂大规模异构网络和用户环境进行逼真的模拟和测试及风险评估等问题,实现电力行业工业信息安全能力的整体提升。
从虚拟化融合靶场的功能角度,木链科技为用户提供了工业控制系统控制过程模拟、工业控制系统操作环境体验、工业控制系统人员学习培训、工业控制系统故障模拟演练、工业控制系统控制策略研究、工业控制系统信息安全实验、关键控制器的安全防护技术研究与测试、漏洞扫描、攻防演练等具体功能。
从系统设计的角度,分为电力行业工控场景网络联动、工控组件管理系统、攻防资源管理系统、工控攻防演练系统、演练效果展示系统、工控安全场景系统、培训教育系统建设、攻击案例系统开发九个方面,通过不同系统之间的组合与协同,完成电力行业高仿真虚拟化融合工控安全实验室的高质量交付。
1.1 项目背景
1.1.1 两化融合的推进
2017年,工信部以实施制造强国和网络强国战略为目标,坚持总体国家安全观,以落实企业主体责任为关键,紧紧围绕新时期两化深度融合发展需求,重点提升工控安全态势感知、安全防护和应急处置能力,促进产业创新发展,建立多级联防联动工作机制,为制造强国和网络强国战略建设奠定坚实基础。确保信息安全与信息化建设同步规划、同步建设、同步运行。
1.1.2 等级保护工控安全扩展要求
等保2.0的发布有助于提高工控信息安全保障能力和水平,维护企业生产利益,保障和促进信息化建设健康发展,使工控信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国工控信息安全的发展将起到重要推动作用。
1.1.3 国能安全36号文件要求
国家电网公司积极落实《电力监控系统安全防护规定》(国家发展和改革委员会 2014年第14号令)及《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》(国能安全〔2015〕36号)的要求,主要从“安全管理、测评保障、技术布防、安全监测”等四个方面加强对电力工
控安全防护的支撑保障。
1.2 项目目标
本次针对电力安全方向的工控安全仿真环境建设项目,以提升电力行业工控安全业务能力,保障电力行业工控安全防护,加强电力行业安全意识,培养电力行业复合型工控安全人才,支撑电力行业工控安全攻防演练及技术研究、项目研究为主要目标。
2 项目实施
2.1 电力工控场景网络联动思路介绍
常见的仿真测试演练的网络分为三层:操作层、控制层、设备层。
(1)操作层
操作层网络连接的硬件设备包括工程师站、操作员站、攻防测试机、数据服务器、IDS、漏洞扫描平台等,负责工业控制系统实时数据的传输和监控、设备的集中管理以及漏洞扫描、攻击行为的模拟等操作。
(2)控制层
控制层网络连接的硬件设备包括电力行业中常用的PLC和DCS设备,未来还会纳入更多专用设备。负责对设备层的基础设备进行相应的操作和控制,并将数据结果上报操作层。在执行层和操作层之间部署区域防火墙,用于防护执行层的关键设备不受到非法攻击及非法数据篡改等。
(3)设备层
设备层网络连接具体的工业现场设备,如阀门、电机、温度控制等。通过这些设备和工控系统中的主要控制设备PLC、DCS组建多个最小化但具有代表性的电力行业工业控制环境,实现工业现场的生产工艺和生产过程模拟。
2.2 核心软件资源介绍
实验室的主要组成软件包括动态系统仿真软件、系统结构组态软件、控制策略组态软件、人机界面组态软件、数据中心管理软件、攻防演练攻击套件。
(1)系统结构组态软件
系统结构组态软件用于工业控制系统的结构配置与组态,以面向控制对象的组态形式,采用多级编码结构,系统数据层次分明。以设备为基本组成单位,提供标准的设备模板库,帮助用户迅速构建出工程管理架构和I/O体系。将工业自动化系统的所有数据信息以设备为集合,有效提升了对数据信息的管理和维护的效率。
(2)控制策略组态软件
控制策略组态软件用于控制算法构建、装载、监控与调试,将各种不同的控制算法封装为控制组态元件后,按照一定的拓扑排列演化出千变万化的控制策略,能够适应各种不同的控制类型,为不同行业用户提供了一个标准、通用的组态环境。
(3)人机界面组态软件
人机界面组态软件用于人机交互环境构建与生产控制过程的实时监控。通过人机界面组态元件,将种类繁多的工艺设备抽象为有限个组态元件,形成无脚本组态实现方式;同时提供实时趋势、历史趋势、实时报警、历史报警、操作日志、智慧导航、操作记忆、CCTV智能联动等功能,为运行人员的操作提供了极大的便利。
(4)数据中心管理软件
数据中心管理软件针对现场数据进行统一管理,为整个过程控制系统的过程数据提供大容量的数据存储和服务,同时提供外部接口,是工业控制系统的数据管理中心。
(5)动态系统仿真软件
动态系统仿真软件用于模拟工业生产现场各设备的运行,并通过模型参数的不断修正调整,实现仿真系统与实际系统的一致性。
(6)攻防演练攻击套件
攻防演练攻击套件用于对目标业务系统中的PLC、DCS、上位机、工程师站、数据服务器等做模拟攻击。
2.3 虚拟化融合靶场工控组件管理系统
工控组件是实验室中最基础的资源,工控组件管理系统作为工业信息安全实验室系统的基础支撑环境,集成了存储、管理一切实验室环境及流程任务需要的软硬件组件,其中包括工控设备、网络设备、SCADA系统、组态软件、网络安全设备、协议仿真器、软PLC等。工控组件资源与接入架构如图1所示。
图1 工控组件资源与接入架构
这些组件的创建、使用、管理主要利用了虚拟化技术,在本项目中工控组件的资源存在两种类型:
(1)内置模版
针对软件(SCADA/工业数据库/协议仿真/软PLC)类型,通过将对应的软件安装到携带有对应Windows/Linux/Unix/BSD操作系统的虚拟机(VM)上,并形成标准OVF模版,以便管理、备份、恢复。
(2)真实工控设备接入
硬件(工控设备/PLC/HMI/交换机/路由器)通过以太网接入到虚拟化环境的VM Network上,使接入的真实工控设备可以访问虚拟机系统,也使得虚拟化环境内的VM系统可以访问工控设备。
本实验室的所有软件应用和操作系统资源通过虚拟化的虚拟机并使用OVF统一管理。
实验室支持和内置多种操作系统的虚拟机,所有SCADA、协议仿真软件、软PLC软件均不需要用户自行安装,平台内置的组件与模版均已完成安装,用户只需自行恢复对应的组件到运行态即可,平台同时提供多种操作系统资源(Win/Linux),供用户自行安装其他应用。
2.4 虚拟化融合靶场攻防资源管理系统
攻防资源管理系统主要由多个攻防测试资源组成,这些资源以数据库和主机服务资源形式存在,用户可以在实验室的环境内远程调用。攻防资源管理系统在现有的基础测试环境上提供了攻击、防御、测试等多种资源,用户可以根据需求进行整合和利用。
2.5 漏洞库
截至2021年4月,根据中国国家信息安全漏洞共享平台CNVD(ics.cnvd.org.cn)所发布的漏洞信息,工控系统行业漏洞总数有3166条,攻防资源管理系统的漏洞库内置了CVE、CNVD和CNNVD最新的工控系统漏洞信息,支持自动爬取最新的漏洞条目信息,从而保持资源管理系统漏洞库保持最新状态。
2.5.1 靶场漏洞专用攻击程序列表(如表1所示)
表1 靶场漏洞专用攻击程序
2.6 工控攻防演练系统
攻防演练主要是以攻击对抗的思路掌握黑客攻击各阶段常用的攻击方法和原理,寻找对相应网络攻击的防护策略和手段。
在攻防演练系统中,一方面可以实现攻防方法的演示再现,甚至对抗性的攻防演练;另一方面,将实际攻防对抗的操作中产生的攻击行为限制在一定的范围内,防止对互联网的实际网络和服务造成干扰和破坏。
攻防演练系统就是要解决网络攻防的演示和实验操作环境方面的问题。攻防演练系统作为工业信息安全实验室的主要环境,一方面选择了某些实验内容并搭建适当的环境,对攻防演示和课程相关的验证性实验提供特定场景;另一方面为工控安全知识的应用提供了综合实验环境,支持攻防对抗演练。
在本攻防演练场景中靶机环境存在难度级别和漏洞危害程度各异的靶机,而在完成整个攻防演练时系统将会参考两套评分标准对攻防对抗的多方进行评分与评判。
(1)通用安全评分体系(CVSS)
CVSS 2.0由基础得分、临时得分和环境得分构成。基础得分评价漏洞自身的严重等级,不受时间和环境(应用场景)因素的影响,其评分的主要度量值为访问形式、访问复杂性、认证、机密性影响、完整性影响、可用性影响。临时得分根据漏洞被利用的时间窗的风险大小来评分,主要度量值为可利用性、修复级别、报告的可信度。环境得分通常由最终用户根据自己的使用场景给出,作为最终风险管理的参考,其评分的主要度量值为附带损害、目标分布、安全需求。基本得分和临时得分通常由安全产品卖主、供应商给出,因为他们能够更加清楚地了解漏洞的详细信息,环境得分通常由用户给出,因为他们能够在自己的使用环境下更好地评价该漏洞存在的潜在影响。
(2)通用漏洞评分方法(Common VulnerabilityScoring Method,CVSM)
由于漏洞评分在应用时依赖于基础得分,所以该方法主要研究区别于基础得分的度量值和计算,临时得分和环境得分与CVSS相同。CVSM的评分体系如表2所示。
表2 CVSM评分体系
2.7 演练效果展示系统
展示系统由电视墙、矩阵控制器和实物沙盘的摄像头等硬件系统组成,其目的是将攻击操作区、现场仿真区、工控信息安全区和控制操作区这四个区域实际情况进行集中展示。由于展示系统中的电视墙是由多块屏幕拼接组成的大屏幕,还可统一展示实验室的介绍视频等内容,为参观者提供丰富直观的展示效果。具体展示效果如图2、图3、图4、图5所示。
图2 攻击操作区
图3 工控信息安全区
图4 现场仿真区
图5 PLC控制操作区
2.8 攻防场景引擎系统
结合总体设计场景需要,将已经采购的产品划分成攻击操作区、现场仿真区、工控信息安全区、控制操作区。
· 攻击操作区:电脑一台,接入局域网,可实现对实验室所有设备统一管理的方案,并在上面部署若干个攻击工具。
· 现场仿真区:电脑一台,需根据案例场景开发现场仿真软件,以展示整个工厂的布局和攻击植入点。
· 工控信息安全操作区:电脑一台,可连接工控信息安全统一管理平台,配置所有实验室工控信息安全产品,展示所有工控信息安全产品的告警事件和日志,形成工控信息安全管理中心。
· 控制操作区:电脑一台,展示控制系统的组态软件。
其中控制操作区的界面如图6所示。
图6 控制操作区界面
2.9 培训教育系统建设
针对电力行业网络安全人才培养过程中,培训人员实操能力无便捷和体系化支撑平台的问题,建设网安人才的实操教育体系,建设方案如下:
(1)电力行业网安人才实验课程体系建设
实验课程体系分为信息安全基础、系统安全、软件安全、安全编程、Web安全、企业安全、恶意代码、数据安全、网络安全。通过数据安全学习掌握各种加密算法的原理及常用加解密工具的使用。通过系统安全的学习掌握各种操作系统的安全配置、安全审计、容灾和备份。通过网络安全专业课程的学习掌握注入的实现与防御、网络攻击的方法与防御、移动设备的攻击与防御、安全类软件的配置以及网络安全工具的使用。通过软件安全的学习,掌握常用的脚本语言、分析工具的使用、恶意代码编写与防护、存在安全隐患的代码分析。通过综合的实战,加强技能,巩固理论知识。
(2)电力行业网络安全能力评估体系建设
基于知识点评估、能力评估和岗位评估三个层级,设计网络安全的评估体系。以由网络环境、角色、任务三个方面组成的场景作为能力评估的载体。在知识点层级建设单个的满足技能考评需要的实验场景;在能力评估层级,构建一组经过编排的具有对单一能力进行支撑的场景;在岗位能力评估层面,则建立一组经过编排的对多种能力进行支撑的场景。场景的任务定义了任务目标以及任务完成的验证方式和能力的评估方法,以支持量化的能力评估。
2.10 攻击案例系统开发
结合工控信息安全现状和所建设的场景,本项目过程中已实现以下几个场景:
(1)“震网”病毒事件:通过移动介质,将病毒带入控制系统,最终实现现场操作和控制系统界面的不一致,从而欺骗控制管理人员,造成实际的工业安全事件。
(2)乌克兰电厂事件:从管理网络入侵,散布到工控环境,发动网络风暴攻击,并实现短时间内无法清除、反复发作的状况。
结合案例库,本项目还开发了实验室展示汇报材料和应急预案演练方案,为电力行业进一步推进工控信息安全工作提供高仿演练环境,使用户在部署工控信息安全解决方案以前,可以开展完整的仿真实验和系统性的实操培训,为全行业进入工业互联网阶段打下坚实的基础。
3 案例亮点
(1)提出了网络靶场高扩展体系的基本标准,包括网络靶标统一描述标准、异构异域靶场互联标准、实现应用服务与用户行为模拟描述与接口标准、攻击行为仿真测试描述标准、网络安防策略仿真描述与接口标准、多源数据采集接口标准、联动数据分析框架接口标准、多维网络安全态势展示框架接口标准。通过这些标准,网络实验室可以实现高度的开放性和融合性,可创建并维护良好的靶场生态环境。
(2)高可伸缩、可扩展的虚实互联仿真技术。针对高可伸缩、可扩展目标网络构建需求,以全虚拟化、轻量级虚拟化为基础,通过实物节点的灵活可配置透明接入、模拟节点IP报文级的透明接入,实现实物网络节点、全虚拟化节点、轻量级虚拟化节点、离散事件模拟节点4种可伸缩虚实互联仿真,有效兼顾了仿真成本与仿真规模。
(3)学员能力评估。通过基于知识点评估、能力评估和岗位评估三个方面,设计网络安全的评估体系,采用支撑场景来支持评估体系的实施,并抽象场景的操作结果。设计防伪的验证方法和能力评估算法,自动和半自动完成对评估对象的能力评估。
