信息与工业控制安全实验室规划方案
信息与工控系统安全实验室
规划方案
目录
1.................................................................................................... 术语、定义和缩略语0
2.信息与工控系统安全实验室概述 0
2.1信息与工控系统安全实验室建设背景 0
2.1.1 信息系统现状及主要威胁 0
2.1.2 工控系统现状及主要威胁 (1)
2.1.3 信息与工控系统安全实验室建设目的及意义 (3)
3.信息与工控系统安全实验室主要研究方向和实验内容 (4)
3.1信息安全实验室主要研究方向和实验内容 (4)
3.1.1 操作系统安全研究方向和实验内容 (4)
3.1.2 数据库安全机制研究方向和实验内容 (5)
3.1.3 身份认证研究方向和实验内容 (6)
3.1.4 计算机病毒攻防研究方向和实验内容 (6)
3.2网络安全主要研究方向和实验内容 (7)
3.2.1 入侵检测与攻防研究方向和实验内容 (7)
3.2.2 防火墙研究方向和实验内容 (8)
3.2.3 漏洞扫描研究方向和实验内容 (8)
3.2.4 WEB攻防研究方向和实验内容 (8)
3.2.5 无线攻防研究方向和实验内容 (9)
3.3工控安全研究方向和实验内容 (10)
3.3.1 工控系统漏洞挖掘研究方向和实验内容 (10)
3.3.2 工控系统攻防研究方向和实验内容 (10)
3.3.3 安全DCS、PLC、SCADA系统研究方向和实验内容 (11)
3.3.4 企业工控安全咨询评估 (11)
3.3.5 企业工控安全培训 (12)
3.3.6 对外交流和联合研究 (12)
4.信息与工控系统安全实验室组织与运行 (12)
1.术语、定义和缩略语
工业控制系统:(industrial control system,ICS):对工业生产过程安全、信息安全和可靠运行产生的作用和影响的人员、硬件和软件集合。
信息系统:(Information system)是由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
2.信息与工控系统安全实验室概述
2.1信息与工控系统安全实验室建设背景
2.1.1信息系统现状及主要威胁
随着信息技术的不断发展,信息日益成为一种重要的战略资源。信息技术的应用几乎涉及到了各个领域,信息技术正逐渐改变着人们的日常生活和工作方式。信息产业已经成为新的经济高速增长点,信息的获取、处理和保障能力成为一个国家综合国力的重要组成部分。可以说,信息安全事关国家安全、社会稳定,信息安全的重要性由此而知。而近年来,随着信息技术的飞速发展,网络蠕虫、木马、分布式拒绝服务攻击以及间谍软件等技术与僵尸网络结合在一起,利用网络及信息系统的诸多漏洞,给互联网安全造成了严重的威胁。
信息安全的威胁来自方方面面,不可一一罗列。但这些威胁根据其性质,基本上可以归结为以下几个方面:
1)信息泄露:保护的信息被泄露或透露给某个非授权的实体。
2)破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受到
损失。
3)拒绝服务:信息使用者对信息或其他资源的合法访问被无条件地阻
止。
4)非法使用(非授权访问):某一资源被某个非授权的人,或以非授权
的方式使用。
5)窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏
感信息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在工作
过程中产生的电磁泄露截取有用信息等。
6)业务流分析:通过对系统进行长期监听,利用统计分析方法对诸如
通信频度、通信的信息流向、通信总量的变化等参数进行研究,从中发现有
价值的信息和规律。
7)假冒:通过欺骗通信系统(或用户)达到非法用户冒充成为合法用
户,或者特权小的用户冒充成为特权大的用户的目的。我们平常所说的黑客
大多采用的就是假冒攻击。
8)旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得
非授权的权利或特权。例如,攻击者通过各种攻击手段发现原本应保密,但
是却又暴露出来的一些系统“特性”,利用这些“特性”,攻击者可以绕过防
线守卫者侵入系统的内部。
9)授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将
此权限用于其他非授权的目的,也称作“内部攻击”。
10)计算机病毒:这是一种在计算机系统运行过程中能够实现传染和侵
害功能的程序,行为类似病毒,故称作计算机病毒。
2.1.2工控系统现状及主要威胁
随着计算机技术网络技术的发展,特别是互联网及社会公共网络平台的快速发展,在“两化”融合的行业发展需求下,为了提高生产高效运行、生产管理效率,国内众多行业大力推进工业控制系统自身的集成化,集中化管理。系统的互联互通性逐步加强,与办公网、互联网也存在千丝万缕的联系。但是工业控制系统建设时更多的是考虑各自系统的可用性,并没有考虑系统之间互联互通的安全风险和防护建设。使得国际国内针对工业控制系统的攻击事件层出不穷,“震网”病毒事件为全球工业控制系统安全问题敲响了警钟,促使国家和社会逐渐重视工业控制系统的信息安全问题。
随着世界各国工业信息化的迅猛发展,各种工业自动化控制系统正快速地从封闭、
孤立的系统走向互联(包括与传统IT系统互联),日益广泛地采用以太网、TCP/IP 网络作为网络基础设施,将工业控制协议迁移到应用层;采用包括WLAN、GPRS 等在内的各种无线网络;广泛采用标准的Windows 等商用操作系统、设备、中间件与各种通用技术。工业自动化控制系统的安全直接关系到各重点工业行业的生产安全。如何保证开放性越来越强的生产控制网络的安全性,是目前摆在用户及行业自动化制造商面前的难题。工业控制系统面临复杂的外部和内部威胁,主要集中在以下几个方面:
1)外部攻击的发展
工业控制系统采用大量的IT技术,互联性逐步加强,神秘的面纱逐步被揭开,工业控制信息安全日益进入黑客的研究范围,国内外大型的信息安
全交流会议已经把工业控制信息安全作为一个重要的讨论议题。随着黑客的
攻击技术不断进步,攻击的手段日趋多样,对于他们来说,入侵到某个系统,
成功破坏其完整性是很有可能的。例如近几年的震网、火焰、Havex等病
毒证明黑客开始对工控系统感兴趣。
2)内部威胁的加剧
根据FBI和CSI对484家公司进行的网络安全专项调查结果显示:超过70%的安全威胁来自公司内部,在损失金额上,由于内部人员泄密导致了
6056.5万美元的损失,是黑客造成损失的16倍,是病毒造成损失的12倍。
另据中国国家信息安全测评中心调查,信息安全的现实威胁也主要为内部信
息泄露和内部人员犯罪,而非病毒和外来黑客。
工业控制系统普遍缺乏网络准入和控制机制,上位机与下位机通讯缺乏身份鉴别和认证机制,只要能够从协议层面跟下位机建立连接,既可以对下
位机进行修改,普遍缺乏限制系统最高权限的限制,高权限账号往往掌握着
数据库和业务系统的命脉,任何一个操作都可能导致数据的修改和泄露。缺
乏事后追查的有效工具,也让责任划分和威胁追踪变得更加困难。
3)应用软件的威胁
设备提供商提供的应用授权版本不可能十全十美,各种各样的后门、漏
洞等问题都有可能出现。出于成本的考虑,工业控制系统的组态软件一般与
其工控系统是同家公司的产品,在测试节点问题容易隐藏,且组态软件的不
成熟也会为系统带来威胁。
4)第三方维护人员的威胁
第三方维护人员的威胁。工业控制系统建设在发展的过程中,因为战略定位和人力等诸多原因,越来越多的会将非核心业务外包给设备商。如何有
效地管控设备厂商和运维人员的操作行为,并进行严格的审计是系统运营面
临的一个关键问题。
5)多种病毒的泛滥
病毒可通过移动存储设备、外来运维的电脑,无线系统等进入系统,当病毒侵入网络后,自动收集有用信息,如关键业务指令、网络中传输的明文
口令等,或是探测网内计算机的漏洞,向网内计算机传播。由于病毒在网络
中大规模的传播与复制,极大地消耗网络资源,严重时有可能造成网络拥塞、
网络风暴甚至网络瘫痪,这是影响工业控制系统网络安全的主要因素之一. 2.1.3信息与工控系统安全实验室建设目的及意义
面对信息安全问题的严峻形势,我国IT信息系统、工业控制系统管理工作中仍存在不少问题,主要是对IT信息系统、工业控制系统信息安全问题重视不够,管理制度不健全,相关标准规范缺失,技术防护措施不到位,安全防护能力和应急处置能力不高等,威胁着政府和企业的生产安全。如何使产品在整个生命周期都能满足安全完整性等级和功能安全性要求,保证信息安全,也成为了各行业业关注的重点。
实验室将针对我省信息与工业控制系统面临日益严重的信息安全攻击威胁等问题,围绕政府、电力电网、轨道交通、石油化工、水厂水利、煤炭运输等工业控制系统和其他领域的信息安全需求,建设信息与工业控制系统信息安全技术研发与工程化平台,开展包括操作系统安全、数据库安全、身份认证安全、计算机病毒安全等在内的信息安全;和防火墙、入侵检测、VPN、网络漏洞、网站安全等在内的网络安全;以及工业控制系统安全SCADA(数据采集与监视控制系统)、安全DCS(分布式控制系统)、安全PLC(可编程逻辑控制器)、安全RTU(远程终端单元)等关键技术和产品的研发及
产业化。
实验室尤其针对缺少工业控制系统安全仿真验证手段、工业控制系统未建立安全防护体系、高端工业控制系统及核心部件主要由外国厂商提供的现状,着力实现工业控制系统“可发现、可防范、可替代”的目标,提升我省工控安全核心竞争力。实验室建立该领域发展趋势和重大问题的研究机制,制定可持续发展战略,推动工控信息安全产业产、学、研、用在优势资源上的协同与集成,促进工控信息安全技术上、下游的对接与耦合。
另外,实验室将为相关单位提供一个IT信息、工控信息安全交流、促进产学研结合、加快科技创新与成果转化的高层次、高水平、高规格平台,共同开展工控信息安全关键技术研发、标准规范制定、有关课题研究,为我省工控信息安全事业的发展起到积极的推进作用,促进我省工控安全产业实现跨越式发展。
3.信息与工控系统安全实验室主要研究方向和实验内容
3.1信息安全实验室主要研究方向和实验内容
信息安全实验室使用对象主要为信息安全领域的安全联盟成员,要求该实验室可开展针对信息安全领域前沿技术的相关实验,使联盟成员可通过每个部分的实验深入理解信息安全前沿技术和过程,通过不同类型的实验使联盟成员理解安全机制并具备技术应用能力,并向联盟成员提供可进行深入技术研究的平台保障。
可全面开展服务器及信息系统进漏洞扫描分析,并直观显示目标所存在的安全隐患,并同时提供操作系统策略部署、数据库安全保障等实验操作。涵盖对典型木马及主流病毒的攻击方式进行演技操作,分析该类型木马或者病毒所针对的网络系统漏洞,并提供防御方式的实验。同时提供应用程序、文件管理、网络事件等安全日志的审计实验,通过日志的管理不断提高学生对安全日志的理解,以及审计的流程与规范。
3.1.1操作系统安全研究方向和实验内容
操作系统是管理整个计算机硬件与软件资源的程序,操作系统是网络系统的基础,是保证整个互联网实现信息资源传递和共享的关键,操作系统的安全性在网络安全中举足轻重。一个安全的操作系统能够保障计算资源使用的保密性、完整性和可用性,可以提供对数据库、应用软件、网络系统等提供全方位的保护。没有安全的操作系统的保护,根本谈不上网络系统的安全,更不可能有应用软件信息处理的安全性。因此,安全的操
作系统是整个信息系统安全的基础。
长期以来我国广泛应用的主流操作系统都是从国外引进直接使用的产品,这些系统的安全性令人担忧。从认识论的高度看,人们往往首先关注对操作系统的需要、功能,然后才被动地从出现的漏洞和后门,以及不断引起世界性的“冲击波”和“震荡波”等安全事件中,注意到操作系统本身的安全问题。操作系统的结构和机制不安全,以及PC机硬件结构的简化,系统不分执行“态”,内存无越界保护等等,这些因素都有可能导致资源配置可以被篡改,恶意程序被植入执行,利用缓冲区溢出攻击以及非法接管系统管理员权限等安全事故发生;导致了病毒在世界范围内传播泛滥,黑客利用各种漏洞攻击入侵,非授权者任意窃取信息资源,使得安全防护体系形成了防火墙、防病毒和入侵检测老三样的被动局面。
操作系统是整个网络的核心软件,操作系统的安全将直接决定网络的安全。信息与工业控制安全实验室主要针对Windows、Linux、UNIX等主流操作系统本身的物理安全、逻辑安全、应用安全、管理安全、操作系统漏洞发现与检测等方面进行研究和实验。物理安全主要是指系统设备及相关设施受到物理保护,使之免受破坏或丢失;逻辑安全主要指系统中信息资源的安全;管理安全主要包括各种管理的政策和机制,包括用户账户控制和最小权限策略等。应用安全可以阻止未授权的程序的安装,可以阻止应用程序进行不当的系统设置而使操作系统处于不安全的状态,从而大大的提高了系统的安全性。实验室还将研究国内外最新的操作系统防护技术,如对数据的保护引进了内核保护技术以防止任何非授权文件对系统内核的修改,同时还采用了缓冲区益出保护,可有效的防止利用缓冲区益处技术发动的攻击。
3.1.2数据库安全机制研究方向和实验内容
数据库的安全性是指在信息系统的不同层次保护数据库,防止未授权的数据访问,避免数据的泄漏、不合法的修改或对数据的破坏。数据库在各种信gfg息系统中得到广泛的应用,数据在信息系统中的价值越来越重要,数据库系统的安全与保护成为一个越来越值得重要关注的方面。
信息与工业控制安全实验室重点研究和建立数据库本身的安全机制和实验环境。包括用户认证、存取权限、视图隔离、跟踪与审查、数据加密、数据完整性控制、数据访
问的并发控制、数据库的备份和恢复等方面。如数据库用户认证技术,是数据库提供的最外层安全保护措施,实验室重点对身份、生物认证技术用于数据库用户标识和鉴别方面进行实验和尝试,如智能卡技术,物理特征(指纹、虹膜等)。再如数据库存取控制机制,即确保只授权给有资格的用户访问数据库的权限,同时令所有未被授权的人员无法接近数据。而实验室主要研究强制型存取控制机制,即对主体和客体的已分配的安全属性进行匹配判断,决定主体是否有权对客体进行进一步的访问操作,从而保证数据数据存储控制机制。
而数据加密算法也是实验室重点的研究和实验领域,包括网络数据包在客户端和服务器端之间发送的数据、存储过程定义、函数定义、视图定义、触发器定义、默认值定义、规则定义等数据库对象进行加密和解密实验。
3.1.3身份认证研究方向和实验内容
不论是信息系统、网络系统还是工控系统,不论安全性要求多高的数据,它存在就必然要有相对应的授权人可以访问它,否则,保存一个任何人都无权访问的数据无任何意义。然而,如果没有有效的身份认证手段,这个有权访问者的身份就很容易被伪造,那么,不论投入再大的资金,建立再坚固安全防范体系都形同虚设。可见,身份识别技术是最基本的安全服务,其它的安全服务都要依赖于它。
实验室主要针对生物认证技术相关实验环境进行搭建和测试,包括虹膜、指纹相关身份认证实验环境的搭建。实验室主要研究和验证生物识别技术在信息、网络、工控环境下的场景应用以及在特殊环境下的验证正确率,并通过对识别算法的改进来提高识别的正确率。
3.1.4计算机病毒攻防研究方向和实验内容
计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码,就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
实验室主要对最新的病毒破坏性进行检测和清除以及对主流病毒进行攻防演示实验从而达到了解病毒的目的,包括木马实验、脚本病毒实验、DLL注入型病毒实验、
COM病毒实验、邮件型病毒实验、Word宏病毒实验、移动存储型病毒实验、HTML 恶意代码实验、流氓软件实验以及恶意软件查找及清除实验。
3.2网络安全主要研究方向和实验内容
目前,各行业用户对网络的依赖程度也越来越高,建立持续、稳定、安全的网络是保障用户业务发展的前提。大家都认识到安全的重要性,纷纷采用防火墙、网关、加密、身份认证、访问控制等保护手段来保护网络系统的安全。与此同时,安全问题日益严重,病毒、木马、黑客攻击、网络钓鱼、DDOS 等安全威胁层出不穷,而且技术越来越复杂,病毒、木马及黑客技术等融合造成了网络安全的巨大危机。
因此,建设网络安全实验室,不但能为联盟成员提供良好的硬件资源,而且能大大提高我省和联盟的科学研究及学科建设水平,提高联盟可研实力,为联盟培养信息安全高级人才提供有力保证,所以联盟非常有必要建设一个现代化,真实化的网络安全实验室。通过网络攻防实验,联盟成员可以了解最新的网络安全威胁的后果,进而分析其原理,掌握入侵检测技术、安全防护技术以及应急响应机制等基本安全技术,提供网络安全防御机制,从系统的整个生命周期考虑网络安全问题。
3.2.1入侵检测与攻防研究方向和实验内容
入侵检测是指对入侵行为的发现、报警和响应,它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
入侵检测系统(Intrusion Detection System)是对防火墙有益的补充,它对网络和主机行为进行检测,提供对内部攻击、外部攻击和误操作的实时监控,增强了网络的安全性。在安全防范方面,入侵检测系统可以实现事前警告、事中防护和事后取证。入侵检测系统能够在入侵攻击行为对网络系统造成危害前,及时检测到入侵攻击的发生,并进行报警;入侵攻击发生时,入侵检测系统可以通过与防火墙联动等方式进行报警及动态防护;被入侵攻击后,入侵检测系统可以提供详细的攻击信息日志,便于取证分析。相对于防火墙提供的静态防护而言,入侵检测系统侧重于提供动态实时检测防护,因此防火墙和入侵检测系统的结合,能够给网络带来更全面的防护。
实验室主要对联盟内部的入侵检测系统进行测试和优化,使用典型的入侵攻击工具
(如DOS-DDOS攻击、拒绝服务攻击、分布式拒绝服务攻击等)进行攻击,检验入侵检测系统的准确性和识别率。通过改进入侵检测系统,增强其检测能力。
3.2.2防火墙研究方向和实验内容
防火墙是硬件和软件的组合,它在内部网和外部网间建立起安全网关,过滤数据包,决定是否转发到目的地。它能够控制网络进出的信息流向,提供网络使用状况和流量的审计、隐藏内部IP地址及网络结构的细节。它还可以帮助内部系统进行有效的网络安全隔离,通过安全过滤规则严格控制外网用户非法访问,并只打开必须的服务,防范外部来的服务攻击。同时,防火墙可以控制内网用户访问外网时间,并通过设置IP地址与MAC地址绑定,防止IP地址欺骗。更重要的是,防火墙不但将大量的恶意攻击直接阻挡在外而,同时也屏蔽来自网络内部的不良行为。
3.2.3漏洞扫描研究方向和实验内容
利用安全漏洞进行网络攻击,就好像阳光下的阴影,始终伴随着互联网行业的应用发展。近些年,网络安全威胁的形式也出现了不同的变化,攻击方式从单个兴趣爱好者随意下载的简单工具攻击,向有组织的专业技术人员专门编写的攻击程序转变,攻击目的从证明个人技术实力向商业或国家信息窃取转变。
实验室研究和实验最新最前沿的漏洞攻击方式,(如Google极光攻击事件中被利用的IE浏览器溢出漏洞等),帮助联盟成员全面发现信息和网络系统存在的各种脆弱性问题,包括安全漏洞、安全配置问题、应用系统安全漏洞,检查系统存在的弱口令,收集系统不必要开放的账号、服务、端口,形成整体安全风险报告。帮助联盟成员快速定位风险类型、区域、严重程度,直观展示、修补安全风险;
3.2.4WEB攻防研究方向和实验内容
企业及其雇员越来越依赖于互联网,不管是在家里、在路途中、在办公室中都是如此。这种依赖性在与多种最新的Web威胁结合之后,将会使企业比以往更加脆弱,更容易遭受攻击。近半年来的Web攻击都有一个鲜明的特点,在无需用户干预的情况下,这些威胁就可以进入网络,严重威胁着企业的数据安全、工作效率,直至企业的最终利益。而且,由于Web内容和形式的多样性,其威胁的花样也是不断翻新。
实验室研究和防御各种针对WEB应用的攻击手段,包括跨网站脚本攻击(黑客可以模拟合法用户,控制其帐户)、注入攻击(黑客可以访问后端数据库信息,修改、盗窃。)、恶意文件执行(被修改的站点将所有交易传送给黑客)、不安全对象引用(Web 应用返回敏感文件内容)、伪造跨站点请求(黑客发起Blind请求,要求进行转帐)、被破坏的认证和Session管理(黑客能够盗窃session)、不安全的木马存储(隐秘信息被黑客解密盗窃)等。重点帮助联盟会员单位建立WEB安全体系,包括输入验证,身份验证,授权,配置管理,敏感数据,会话管理,加密,参数操作,异常管理,审核和日志记录等。
3.2.5无线攻防研究方向和实验内容
无线局域网络(Wireless Local Area Networks;简写为:WLAN)是相当便利的数据传输系统,利用射频(Radio Frequency;RF)的技术,取代旧式碍手碍脚的双绞铜线所构成的局域网,使得无线局域网络能利用简单的存取架构让用户透过它,达到“信息随身化、便利走天下”的理想境界。无线局域网(WLAN)产业是当前整个数据通信领域发展最快的产业之一。因其具有灵活性、可移动性及较低的投资成本等优势,无线局域网解决方案作为传统有线局域网络的补充和扩展,获得了家庭网络用户、中小型办公室用户、广大企业用户及电信运营商的青睐,然而由于无线局域网采用公共频率的电磁波作为载体,因此对越权存取和窃听的行为也更不容易防备,使得它的安全性更加难以保证,面临着严重的安全威胁。
实验室终端关注和分析WLAN的不安全因素,针对不安全因素给出了解决的安全措施,研究和利用无线入侵检测系统对联盟成员WLAN进行检测,利用VPN、身份认证和授权、数据加密、内部管理等方式有效防范WLAN中窃听、截取或者修改传输数据、置信攻击、拒绝服务等等的攻击手段,保证无线网络内的用户的信息和传输消息的安全性和保密性,有效地维护无线局域网的安全。
3.3工控安全研究方向和实验内容
3.3.1工控系统漏洞挖掘研究方向和实验内容
工业控制系统(简称“工控系统”)是国家基础设施的重要组成部分,其安全性关系到国家经济的发展和人民群众的财产和生命安全。近年来,工业控制系统漏洞和安全事件不断出现,给国家和人民经济财产安全造成了严重的威胁。漏洞挖掘是工业控制系统安全攻防的焦点。如果工业控制系统中的漏洞被攻击者发现,并利用这些漏洞进行攻击,必将造成不可设想的后果。因此及时发现工控系统的漏洞,对于提升工控系统整体的安全防护能力具有重要的意义。
目前,国内外对于工业控制系统的安全保护已经取得一定的研究成果,但是如何对工业控制系统进行漏洞挖掘与安全预防,仍然研究较少。该实验针对工控系统漏洞的挖掘及防护方法进行研究,它可以在威胁未发生时就检测出系统存在的安全隐患,从而将威胁消灭在萌芽状态,避免重大的经济损失。准确地扫描出工控系统的漏洞,才能在这场工控系统安全的战争中,处于先机,立于不败之地。
实验室主要对工业控制网络中的设备、系统、环境所存在的漏洞风险进行检测与评估。该平台包括了阿基里斯测试工具、协议漏洞挖掘工具、网络安全审计工具和认证分析工具等一系列的测试、检测、分析工具,用于评估工控网络安全风险。
3.3.2工控系统攻防研究方向和实验内容
依托实验室先进的技术和强大的工控安全产品,搭建一整套工控安全攻防演练平台。该平台搭建一套和实际系统完全物理隔离的模拟业务系统,利用模拟攻击系统和保护验证系统展示病毒、木马等网络攻击对系统造成的危害,以及其防护方案对恶意攻击产生的实际效果,能够直观的增强企业对工控系统脆弱性的认识,并增强对该实验室安全防护解决方案的信心。
攻防实验系统包含了在该实验平台上针对模拟仿真业务环境实施攻击所需的攻击方案和工具集。攻击方案包括了攻击的方式、攻击的路径、攻击预期效果,攻击工具用于实施攻击方案,如PLC漏洞脚本攻击、上位机木马病毒攻击、病毒U盘攻击、网
络风暴攻击等。
防护实验系统包括基于目标业务系统的脆弱性和攻击手段而采取的防护措施,包括:
1)在工程师站和PLC之间部署工业防火墙,防止来自工程师站的针对
PLC漏洞的攻击。
2)在工程师站上部署可信卫士软件,防护工程师站遭受感染恶意脚本的U
盘的攻击或其他感染恶意软件的应用在工程师站上安装运行,从而导致工程师
站被入侵,从而获得向PLC发送恶意指令的权限,或通过工程师站基于PLC
漏洞对PLC进行攻击的行为。
3.3.3安全DCS、PLC、SCADA系统研究方向和实验内容
工控系统(ICS)主要包括SCADA系统分布式控制系统(DCS)、SCADA系统、分布式控制系统(DCS)、可编程逻辑控制器(PLC)等,而SCADA系统则是工控系统的神经中枢。
加强工控系统安全防护产品技术应着重考虑工业环境、协议的适应性,同时要注重轻量级产品的开发、强化工控系统的安全监控和管理。此外,由于国产化程度不高,尤其是高端市场基本被国外垄断,核心技术和元件均掌握在国外厂商手中,因此要基于自主可控技术的安全体系,开发更多国产工控软件。
3.3.4企业工控安全咨询评估
随着工业4.0及两化融合的趋势到来,工业控制系统网络安全问题受到越来越多政府部门、企业及研究机构的关注。信息安全风险永远存在,光靠安全产品上马并不能解决所有问题。制度、管理、人员意识和产品、技术的综合体系才是科学的保障,信息安全工作本身是一个完整项目过程,它的本质是风险管理。所以,通过安全咨询、提高工控安全意识,了解企业安全漏洞所在,意识到我们在制度、管理和技术等方面和国际水平的差距,是工控安全工作的优先内容。
该实验室依托专业的信息安全团队,为客户提供全面的信息安全咨询与风险评估服务。安全必须为业务服务,工控安全与传统IT安全相比,由于其业务不同、要求不同、
组网环境不同,有其自身的特点和要求。传统工控网络维护人员更偏重于保障业务的可靠、实时通讯,对安全的理解和积累也有着不足。该实验室组建了一支由IT安全专家、工控系统专家、工控漏洞挖掘专家组成的顶尖工控安全研究团队,打破懂安全的不懂自控、懂自控的不懂安全、懂技术的不懂管理、懂管理的不懂技术的隔膜,为工业用户提供最为贴合自身业务的安全咨询与风险评估服务。
3.3.5企业工控安全培训
随着工业4.0及两化融合的趋势到来,传统的工业控制系统网络安全面临着严峻的挑战,受到越来越多的企业及政府关注。面对如此情况,我国的工控行业除了采用全面的整体安全防护建设外,全行业及相关政府部门,需要通过工控安全培训提高工控安全意识,了解工控安全威胁的存在,及相应应急处理预案,做到安全警钟长鸣,事前防御到位,事后处理妥当,为我国重要工控设施的安全运行保驾护航。
该实验室是面向我国石油、石化、电力、天然气、先进制造、核设施、钢铁、有色金属、化工、水利枢纽、环境保护、铁路、城市轨道交通、民航、供水、供气及供热等工控行业及相关研究机构推出的全生命周期安全理论与实践培训课程。专业的讲师团队,逼真的实战环境,面向工控行业的培训教材为客户带来工控安全意识和技能的全面提升。
3.3.6对外交流和联合研究
实验室的开放和合作交流是推动实验室自身发展和适应社会经济发展的需要,是提高实验室科研水平和科研效益的有效途径。通过开放和交流合作,将有力地促进实验室学术水平的提高,实现学科的交叉和学术交流,达到聚集优秀人才和优秀学术思想的目的,从而推动我国工控事业的发展。高度重视实验室的开放和交流,制定一系列有利于我省工控实验室开放和发展的政策和办法,加强实验室各项规章制度的建设,切实执行相关规定,使其在工控实验室建设中发挥重要的功效。
4.信息与工控系统安全实验室组织与运行
实验室实行工控联盟和政府指导下的实验室负责人责任制。相关成员由联盟和国内外相关领域著名专家组成,负责制定本实验室的研究方向和开放课题的审批。实验室积极贯彻“开放、流动、联合、竞争”的运行管理方针,为我省安全领域的专家学者及工程技术人员提供学术交流和试验环境。实验室在运行管理与开放合作机制方面积极探
索,通过边建设、边研究、边开放的方式,凝聚一批高水平的专家与学者,取得若干重要的成果,培养一批高素质的企业安全人员。
实验室负责人负责具体的实验室管理工作,负责联盟实验室相关研究人员的管理,运行经费的使用管理,设备的更新、引进,以及协调各研究方向的合作,负责实验室用房调配,为科研以及办公提供良好的环境,并建立和完善实验室的规章制度,对实验室人、财、物、教学、科研及服务等进行全面管理。