今日頭條
官方微信
官方抖音
案例頻道★王軼泰戈特(北京)工程技術有限公司
★陳博北京網御星云信息技術有限公司
關鍵詞:工業網絡安全;攻防演練;安全靶場管控
1 項目概況
1.1 項目背景
工控系統廣泛應用于工業、智能制造、交通、水利以及市政等國家關鍵基礎設施領域,涉及到國家安全、經濟命脈和人民群眾的生產生活,一旦受到攻擊,可能引發工廠停產、環境污染、人員傷亡、社會動蕩等災難性的后果。近年來,工控系統面臨的外部威脅日益增加,面臨的攻擊更加復雜、多樣、隱蔽、系統和持續,安全事件頻繁發生。為貫徹落實《中華人民共和國網絡安全法》《國務院關于印發<中國制造2025>的通知》(國發〔2015〕28號)《國務院關于深化制造業與互聯網融合發展的指導意見》(國發〔2016〕28號)《國務院關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》,切實保障制造強國和網絡強國建設,加強工業控制系統安全保障工作顯得尤其重要。
工業控制系統信息安全靶場是工控安全測試驗證、攻防演練的重要載體。然而,能源、鋼鐵、有色、化工、裝備制造等關系國計民生的典型行業工業控制系統組成架構千差萬別,所面臨的安全風險也有所不同,相應安全防護手段或策略也不同,但不同行業又有著共性的漏洞、風險、防范場景,甚至部分控制組件也是相同的。因此,有必要建設工業控制系統信息安全靶場資源管控系統,實現共性組件、資源的調度和跨網絡、跨架構的攻防演練。
1.2 項目簡介
“工業控制系統信息安全靶場資源管控系統”是工控安全測試驗證、攻防演練的重要載體。其助力客戶成功打造了基于工控系統覆蓋需求分析、設計、研發、集成、測試、評估、運維、廢止全生命周期的攻防對抗演練靶場(靶場包含基礎引擎、資源管控、組件監控、角色應用、核心業務等核心系統),提供了覆蓋能源、鋼鐵、有色、化工、裝備制造等關系到國計民生、經濟社會運轉的核心重點行業的攻防演練實戰場景,并支持開展“攻防對抗、漏洞挖掘、風險驗證、應急演練和培訓教育”五大業務應用。
1.3 項目目標
(1)基于產品實現基于工控系統需求分析、設計、研發、集成、測試、評估、運維、廢止全生命周期的攻防對抗演練。
(2)基于產品提供覆蓋能源、鋼鐵、有色、化工、裝備制造等關系到國計民生、經濟社會運轉的核心重點行業的攻防演練場景。
(3)基于產品支持攻防對抗、漏洞挖掘、風險驗證、應急演練和培訓教育五項業務應用。
2 項目實施
2.1 項目內容
“工業控制系統信息安全靶場資源管控系統”為純軟件研發和集成的調度管控系統。該系統能夠調度和管控靶場集成的真實實物工控設備和安全設備,并在虛實結合組網的情況下快速自動化地實現對工控網絡環境的仿真。該產品具備基礎引擎子系統、資源管控子系統、組件監控系統、角色應用子系統、核心業務子系統五大核心模塊。
該產品通過提煉不同行業的共性漏洞、風險、防范場景及控制組件,成功實現共性組件、資源的調度和跨網絡、跨架構的攻防演練。除此之外,該產品支持接入全系列或主流工控系統或產品及工業信息安全領域相關檢測工具,可利用檢測環境進行檢測、評估、驗證及工業信息安全新技術研究,研發相關檢測、評估、驗證工具及標準規范。
2.2 項目方案
“工業控制系統信息安全靶場資源管控系統”總體架構關注縱向、橫向,成功實現大系統的互聯、互通、互操作。
該系統總體架構如圖1所示。
圖1 系統總體架構圖
該系統架構分層設計包含調度管理層、安全基礎資源層、攻防對抗監控層、核心業務層以及靶場平臺應用層,如圖2所示。
圖2 架構分層設計圖
(1)調度管理層:實現靶場基礎引擎子系統與資源管控子系統的對接,為上層場景構建、虛實結合組網、資源申請釋放提供功能接口。
(2)安全基礎資源層:為基礎引擎提供基礎組件資源,將物理設備、虛擬設備、安全設備進行基于場景拓撲的編排,為上層業務系統提供多元靶場組件構成的測試演練環境。
(3)攻防對抗監控層:通過采集虛擬平臺數據、組件運行數據、用戶行為數據等,為核心業務系統中的白方系統提供監控、分析、可視化的數據來源。
(4)核心業務層:實現對組件監控子系統、基礎引擎子系統、資源管理子系統的調度,為用戶基于角色的核心業務提供一體化功能服務。
(5)平臺應用層:滿足靶場功能業務,實現攻防演練、漏洞挖掘、風險驗證、應急演練和培訓教育等全生命周期能力提升及技術保障服務。
該系統在架構設計上實現了多子系統交互和調度的接口規約以及平臺自身安全保障功能。從子系統層面看,架構從基礎引擎子系統到角色應用子系統,每個子系統的功能均可模塊化架構實現,每個子系統之間通過標準接口規約進行交互和調度。在架構分層設計實現上,每個資源層均由下層向上層提供資源調用接口,上層對下層實現管控接口。
2.3 項目效果
(1)產品成功支撐紅隊、藍隊、白隊、黃隊等不同角色開展攻防演練的需求,具備同時支撐百人進行攻防實戰演練的能力。
(2)依托系統,助力客戶實現針對PLC、DCS、SCADA、RTU等工業控制系統組成設備或軟件開展漏洞挖掘的需求。
(3)產品具備按需組網功能,能夠依據需要接入多種風險驗證評估工具,以適配多種評估與風險驗證方法。
(4)產品為客戶提供了實操演練環境和規范化操作流程,助力提升演練人員針對工業信息安全的認知和技能水平。
(5)產品擁有完整的課程體系,同時預置大量實訓環境,助力參訓人員學習、訓練以獲得成長提升。此外,產品支持實訓環境的自由構建,以滿足客戶的多樣需求。
3 案例亮點及創新性
3.1 一體化思想統籌建設,超前布局
“工業控制系統信息安全靶場資源管控系統”架構設計采用一體化思想,統籌建設,超前布局,既考慮到已有的信息系統資源,又結合了客戶系統未來的建設規劃,從系統層面關注縱向、橫向,成功實現了大系統的互聯、互通、互操作,為靶場綜合集成奠定基礎。同時,該系統成功滿足了客戶開展攻防對抗、漏洞挖掘、風險驗證、應急演練和培訓教育的五大業務需求。
3.2 快速自動化實現工控網絡仿真環境
“工業控制系統信息安全靶場資源管控系統”能夠調度和管控靶場集成的真實實物工控設備和安全設備,并在虛實結合組網的情況下,快速自動化地實現對工控網絡環境的仿真,成功解決了無法在真實環境中對復雜大規模異構網絡和用戶進行逼真的模擬和測試以及風險評估等問題。此外,系統支持接入全系列或主流工控系統或產品及工業信息安全領域相關檢測工具,可利用檢測環境進行檢測、評估、驗證及工業信息安全新技術研究,研發相關檢測、評估、驗證工具及標準規范。
3.3 靈活架構助力高效開展攻防演練
能源、鋼鐵、有色、化工、裝備制造等關系國計民生的典型行業工業控制系統組成架構千差萬別,所面臨的安全風險也有所不同,相應安全防護手段或策略也不同,但不同行業又有著共性的漏洞、風險、防范場景,甚至部分控制組件也是相同的。“工業控制系統信息安全靶場資源管控系統”基于這些問題成功實現了共性組件、資源調度和跨網絡、跨架構的攻防演練,提供了覆蓋分析、設計、研發、集成、測試、評估、運維等全生命周期的保障服務,助力實現了國家工業信息安全能力的整體提升。
作者簡介
王 軼(1978-),男,陜西西安人,工程師,本科,現就職于泰戈特(北京)工程技術有限公司,主要從事人工智能、工業互聯網安全方面的研究。
陳 博(1989-),男,黑龍江哈爾濱人,網絡安全資深專家,CISP、CISD培訓講師,本科,現就職于北京網御星云信息技術有限公司,主要從事漏洞挖掘、攻防對抗、安全運營方面的研究。
摘自《自動化博覽》2024年1月刊
北京市公安局海淀分局備案號:11010802023656號