今日頭條
官方微信
官方抖音
資訊頻道★深圳航天信息有限公司藍炫勉,陳剛,李周,王立展
1 引言
2021年12月28日,工業和信息化部等八部門聯合印發了《“十四五”智能制造發展規劃》,其中,在重點任務部分,網絡安全赫然在列。這說明智能制造領域的網絡安全已經到了刻不容緩的地步。現如今,航空航天、船舶制造、兵器制造等關系到國家安全、國計民生等重要領域已廣泛應用到了智能制造,因此,保障智能制造網絡的安全就顯得尤為重要。而由于智能制造網絡對可用性的要求十分嚴格,使得安全人員難以在真實環境中進行滲透測試、漏洞挖掘等會影響可用性的工作,因此,實物安全靶場應運而生,又由于智能制造網絡的復雜度極高,顯然實物安全靶場無法滿足。因此,本文提出了基于虛擬化技術的智能制造網絡安全靶場。
2 當今智能制造網絡安全的現狀
智能制造(Intelligent Manufacturing,IM)是一種由智能機器和人類專家共同組成的人機一體化智能系統,該系統與傳統人工智能相比不同之處在于它重點強調與突出人才是制造業中的核心而不是智能機器,智能機器的作用,則是與人配合,使人能更好地發揮出其潛能。這樣一來人機之間就表現出了一種相互“理解”、相互協作的關系,這種關系使得二者在不同的層次上各顯其能,相輔相成。
隨著智能制造的不斷發展,越來越多的設備和系統相互連接,通過網絡進行通信和協作,這些設備和系統之間的交互變得越來越頻繁。然而,智能制造中的設備和系統往往都擁有重要的信息和數據,例如生產計劃、產品質量、供應鏈信息等,如果這些信息和數據被泄露或遭到攻擊,將會導致十分嚴重的后果。
目前,智能制造領域面臨的網絡安全威脅主要包括以下幾個方面:
(1)網絡安全威脅不斷增加:隨著智能制造的不斷發展,越來越多的黑客和組織開始關注這一領域,通過網絡攻擊和數據泄露等方式來對智能制造系統進行攻擊和威脅。
(2)網絡安全漏洞普遍存在:智能制造領域中的設備和系統往往都采用了最新的技術和算法,而這些技術和算法由于面世時間較短,普遍存在著漏洞和弱點,一旦被攻擊者利用,就可以入侵智能制造系統并竊取重要信息。
(3)為了保障智能制造中的網絡安全,需要采取一系列的措施,例如制定網絡安全策略、加強網絡安全監管、提高網絡安全意識和技能等。同時,還需要加強網絡安全技術和加快新的網絡安全產品的研發,不斷提高智能制造系統的網絡安全水準,保障系統和數據的安全。
由于現運行的智能制造網絡對高可靠性和安全性的要求十分嚴格,而傳統的滲透測試、攻防應急演練等保障工作對網絡、系統天然自帶破壞性。因此,為了避免這些問題,構建能夠滿足安全評估、攻防演練、培訓教育等功能的靶場,就顯得十分重要、緊迫。工控靶場由于其特殊性,必須要具備實物場景,雖然實物類靶場對工控場景的仿真程度較高,但同時也存在著建設投入成本高,建設周期長、維護維修成本巨大、場景單一固化等問題,并不利于推廣應用。因此,本文提出了基于虛擬化技術的智能制造網絡安全靶場設計方案,完善了工控類靶場的建設。
3 基于虛擬化技術的智能制造靶場框架設計
3.1 靶場概述
本論文描述的靶場旨在設計一個含有安全評估、攻防演練、培訓教育三大主要功能的并且基于虛擬化技術的智能制造網絡安全靶場。通過安全評估,可以粗略評估企業的工控設備及其工控網絡和系統的安全態勢和安全風險。通過攻防演練,使得企業或個人能以攻擊對抗的思路掌握黑客攻擊各階段常用的攻擊方法和原理,尋找相應的網絡攻擊的防護策略和手段。而通過培訓教育,則可以使工控安全意識和技能得到全面提升。靶場設計框架如圖1所示。
圖1 靶場設計框架
(1)基礎資源
基礎資源將由虛擬仿真環境和半實物仿真環境組成,構成了靶場的最基本要素——測試與實驗環境,靶場所有功能全部建立在此環境的基礎上。
(2)虛擬化平臺
將由虛擬化IaaS平臺與虛擬化資源組件池構成,由于工控網絡的多樣性與復雜性,靶場必須擁有靈活且快速變更網絡拓撲的能力與數量龐大的資源庫,以實現可以仿真不同工業行業場景的目的。
(3)虛實結合的網絡架構
靶場將支持控制層、生產運行層中的PLC、DCS、儀器儀表等實物設備接入,從而彌補了通過仿真技術實現的全虛擬化對工業流程仿真能力的不足。
(4)數據監測
數據監測將由流量監管評判、攻防組件監控、匯聚存儲清洗、過程推演及追蹤溯源四部分組成。主要功能是為白方提供評判依據與為使用者進行推演、溯源提供數據支持。
(5)核心業務子系統
核心業務子系統由攻防演練、安全評估、教育培訓三個子系統構成,作為靶場的三大核心功能,直接與使用者進行交互。
4 靶場各部分的設計與實現
4.1 基礎資源與虛擬化平臺的設計與實現
4.1.1 虛擬仿真環境與半實物仿真環境
智能制造網絡靶場采用虛擬化軟件的主要優勢是可以將智能制造中的傳統架構的工控網絡進行模擬仿真,實現利用該系統對企業實際的工控網絡進行模擬仿真,以此來對其進行脆弱性、安全性檢測。同時,靶場還可接入半實物仿真系統,以滿足工控行業不同行業工業現場從控制單元到控制器產品再到上位機及組態軟件都各不相同的特點,同時滿足了工控安全的攻防演練、安全評估、實訓的需要。
4.1.2 虛擬化平臺
IaaS是指提供基礎設施作為服務,用戶可以通過互聯網租用虛擬化的服務器、存儲、網絡等基礎設施,來構建自己的應用程序和服務。IaaS通常提供了許多功能,如自動化部署、彈性擴容、備份和恢復等。
而軟件定義網絡(Software?Defined?Network,SDN),一種來自美國的新技術,是一種新型的網絡架構,也是實現網絡虛擬化的一種手段。
虛擬化平臺將SDN技術和IaaS攻防平臺進行了集成,在利用SDN的技術優勢完全實現IaaS攻防平臺的網絡自動化操作的同時也利用SDN技術實現了網絡拓撲可視化、可視化網絡拓撲快速復現及設備添加與網絡拓撲快速自動變更等功能。
而虛擬化資源組件池則是利用虛擬機、物理機、虛擬網絡設備和安全設備等封裝成組件資源庫,將其中的資源提供給大規模網絡環境的自動化復現引擎使用,用于復現網絡環境中的資源節點,其由組件資源和場景資源組成。
在組件資源庫中可調用工控網絡設備、安全設備等資源,而場景資源則用來仿真工業企業環境,如“S7工業協議仿真攻擊測試場景”“OPC工業協議仿真攻擊測試場景”“運載火箭殼段生產SCADA系統仿真攻擊測試場景”等。其中每個場景包括了若干虛擬機來進行仿真。
4.2 虛實結合網絡架構的設計與實現
通過對業界主流的云平臺和虛擬化解決方案進行調研和分析,本論文最終決定使用KVM自帶的Bridge虛擬機解決方案來實現靶場的虛擬網絡。而虛擬仿真環境又由虛擬化IaaS平臺與虛擬化資源組件池組成,再加上半實物仿真環境,共同構成了靶場虛實結合的網絡架構。
4.3 數據監測的設計與實現
4.3.1 攻防組件監控
攻防組件監控系統需要實現低損耗、實時采集攻防信息的目的,主要通過工業資產設備實時無感狀態采集、多模態試驗數據流的存儲與管理等技術,來實現對攻防演練實驗過程中所產生信息的精確、實時、快速與低耗的采集,并同時以讀取日志的方式實時監測控制系統其他狀態信息,并在第一時間及時感知系統運行的狀態,依此為白方系統提供評判依據。
4.3.2 流量監管評判
流量監管評判系統即攻防當中的白方系統。無規矩不成方圓,攻防演練亦是如此,在紅藍雙方之外,必須還要有一方,負責演練前的準備工作與演練中的管理和演練后的分析與復盤推演,這就產生了專門的管理方——白方。
4.3.3 流量匯聚存儲清洗
流量匯聚存儲清洗系統即靶場大數據平臺,負責匯聚實時演練數據,其下的各子平臺將全方位上報攻防平臺監測運行數據,而后將這些數據進行存儲,存儲后結合工控系統的特征進行威脅建模,并通過數據挖掘、人工智能、深度學習、可視化計算等技術,同時結合云端威脅情報,從而實現對未知工控攻擊威脅的自動化發現及預警,并且提供被監測企業工控網絡系統的攻擊威脅、漏洞情況、系統配置情況、惡意代碼泛濫情況等安全威脅態勢服務,還具備了快速查找、檢索、融合、識別、檢查、關聯、可視化分析及歸檔的功能,可實現對攻擊行為的取證和快速溯源,為安全事件或威脅的應急處置服務能力提供情報和數據支撐。
4.3.4 過程推演及追蹤溯源
可視化演練過程推演子系統作為靶場的一個重要組成部分,擔負著實時、客觀地為白方顯示紅藍雙方攻防態勢的任務。演練管理系統負責管理整個攻防環境,系統將演練的整個周期分為演練前、演練中和演練后三個階段。其中演練進行階段是重中之重,那么在演練開始后,對演練的過程進行實時、準確的監視就顯得格外重要,而推演系統就是作為該階段的主要模塊而存在的,其主要功能就是進行實時、客觀、全面的演練整體態勢的反映。
而仿真實體則運行在網絡中的各個節點中,這些仿真實體本身則通過網絡來互相傳遞數據。態勢子系統則通過輸入網絡中傳輸的數據,然后輸出結果,主要包括演練數據庫記錄、演練數據庫、二維態勢顯示、三維場景顯示,以及實體狀態和統計結果顯示幾個部分。
演練數據記錄層作為溝通態勢子系統與網絡的橋梁,位于網絡與上層態勢顯示模塊的中間。該數據層在對來源于網絡中的數據進行收集、整理、分類、歸納之后,將其他類型的數據全部過濾掉,只留存產生于演練過程中所有仿真實體的當前狀態信息。而顯示模塊(由二維態勢顯示和三維場景顯示所共同組成)所調用的,也正是這些記錄中的數據。
4.4 核心業務子系統的設計與實現
4.4.1 攻防演練子系統
攻防演練子系統作為可拓展性極強的平臺環境,具備完善的指導、實驗及演練條件。攻防演練子系統支持配置、創建、回收包含多種工控網絡軟硬件組件的演練環境,并可創建不同流程的演練劇情為使用者提供基礎攻防網絡環境,使得系統具備多平臺、綜合性、多樣性、可復現、可重構的能力,支持同步更新最新的漏洞、技術及相關演練環境。同時系統還記錄了使用者的操作流程以及過程產生數據,用來支撐系統評分功能。
4.4.2 安全評估子系統
為了精準評測使用者實際的工業網絡環境安全性、可恢復性和靈活性,測試現場的設備、PC操作系統、網絡協議等關鍵軟硬件是否具備安全性與是否滿足國家相關標準就顯得至關重要,這就要求攻防平臺具備完整成熟的安全評估能力。因此,系統在提供了按需組網功能的同時還提供了接入多種評估工具,使得使用者可以按需選擇,以適配多種評估方法。通過測評標準庫、測試工具庫以及各種風險評估方式可對攻防復現目標展開全方位、體系化的測試評估工作。4.4.3 培訓教育子系統教育培訓子系統面向智能制造安全領域的人員教學實踐需求,提供了體系化、分層次的工控安全教育課程體系,該課程體系中包含了單課程、演練課程、實戰課程等。通過理論與實踐相結合的教學方法,填補了智能制造網絡安全領域的教學、培訓方面的空白,推動了傳統教育與培訓模式的發展。同時不斷深化課程體系,以理論與實踐相融合的方式來進行教育培訓,以此來全方位提升工控安全人員攻防實戰能力,使受訓人員具備對各種主流安全實踐具備獨立分析、應對處理的能力。
5 總結
為了提升智能制造網絡安全的攻防演練與場景構建能力、測試評估能力與新技術研究水平,本論文提出了智能制造網絡安全靶場,并通過結合虛擬化技術來實現。具體所做工作總結如下:
(1)分析了當前智能制造網絡安全的現狀,并根據現狀提出了基于虛擬化技術的智能制造網絡安全靶場。
(2)通過虛擬化IaaS平臺,SDN等技術實現了虛擬化仿真環境,再加上半實物仿真環境,構成了靶場虛實結合的網絡架構。在提升了攻防演練真實性的同時也提升了靶場自身的擴展性。
(3)靶場通過二維態勢顯示、三維場景顯示兩種方式,成功實現了低損耗、高實時的數據監測。
(4)攻防演練子系統、安全評估子系統、教育培訓子系統作為靶場的三大核心業務子系統,滿足了不同場景、不同業務復雜度的需求,可以切實提高使用者工控網絡的安全性。
作者簡介:
藍炫勉(1989-),男,廣東普寧人,中級工程師,學士,現就職于深圳航天信息有限公司,研究方向為網絡安全。陳 剛(1985-),男,河南鄧州人,中級工程師,學士,現就職于深圳航天信息有限公司,研究方向為網絡安全。
李 周(1988-),男,湖南衡陽人,中級工程師,學士,現就職于深圳航天信息有限公司,研究方向為網絡安全。
王立展(1984-),男,河南鄧州人,現就職于深圳航天信息有限公司,研究方向為網絡安全。
參考文獻:
[1] 孫健. 工控網絡仿真靶場的虛擬化場景構建研究[D]. 哈爾濱: 哈爾濱工業大學, 2021.
[2] 王榮壯. 智能制造下的工業互聯網安全風險應對分析[J]. 網絡安全技術與應用, 2022, 6 : 94 - 96.
[3] 李京京. 基于蜜罐技術的ICS平臺威脅感知平臺[D]. 鄭州: 鄭州大學, 2017.
[4] 梁丹. 運載火箭智能制造標準體系架構及實踐[J]. 航天標準化, 2022, 4 : 9 - 12.
[5] 王玉紅. 服裝生產企業智能制造技術研究及應用[J]. 化纖與紡織技術, 52 (1) : 31 - 33.
摘自《自動化博覽》2023年7月刊
北京市公安局海淀分局備案號:11010802023656號