高職院校信息安全與管理專業工控安全實訓室建設方案設計

摘 要：工業生產控制網絡大量采用通用協議、硬件和軟件，傳統信息安全威脅也嚴重影響到工業控制網絡的安全。本文結合等級保護要求和《工業控制系統信息安全防護指南》要求，設計高職院校信息安全與管理專業工控安全實訓室建設方案，滿足信息安全與管理專業學生在工控安全技術領域的教學實訓需求。

關鍵詞：工業；控制；安全；實訓室；設計

1 工業控制系統的安全現狀

在工業4.0、工業互聯網、中國制造2025的大背景下，工業化與信息化不斷的融合，涉及國計民生的國家關鍵信息基礎設施越來越多地依靠工業控制系統實現全面自動化作業，工業生產控制網絡會大量采用通用協議、硬件和軟件，傳統信息安全威脅也嚴重影響到工業控制網絡的安全，其信息安全風險將隨時發生，嚴重威脅著工業企業的生命財產安全。

近年來，我國政府空前關注國家關鍵信息基礎設施的安全防護工作，《國家網絡安全法》明確把工業控制系統作為重點保護對象，要求定期進行關鍵信息基礎設施安全檢查。工信部在2016年11月3日又發布《工業控制系統信息安全防護指南》，從工業控制系統設計、選型、建設、測試、運行、檢修、廢棄各階段防護工作要求，從安全軟件選型、訪問控制策略構建、數據安全保護、資產配置管理等方面提出了具體實施細則。

重慶電子工程職業學院為滿足企業對工業控制領域信息安全才的需求，提高信息安全與管理專業學生實踐能力，在原有信息安全設備、網絡攻防、工業機器人、嵌入式技術等實訓室的基礎上，融合信息安全與管理、工業機器人專業的師資力量，自2016年起開始工控實訓室建設方案的設計研究，滿足信息安全與管理、工業機器人專業學生在工控安全技術領域的教學、環境體驗、工業控制系統漏洞掃描與網絡攻防、工控安全設備配置與管理等實訓需求，工控安全實訓室需滿足如下功能要求：工業控制系統控制過程模擬實訓；工業控制系統操作安全管理實訓；工業控制系統網絡攻防演練實訓；工業控制系統控制策略設計實訓；工業控制系統安全設備部署實訓。

2 工控安全實訓室設計總體技術框架

按照等級保護要求和工控系統的層級防護，結合等級保護要求和《工業控制系統信息安全防護指南》要求，重慶電子工程職業學院工控安全實訓室從安全防護、攻擊滲透、漏洞掃描等技術領域進行設計，實訓室設計總體技術框架如圖1所示。

3 工業控制安全實訓室的安全功能模塊

3.1 效果展示系統模塊

效果展示系統模塊通過豐富的圖形化展示方式呈現全網工控設備安全監控、安全設備統一調度、系統運維、知識庫管理等，提供有效的違規操作報警、安全報警，具備以豐富的報表展現手段對各類數據進行直觀顯示，輔助以網絡拓撲、地理位置多種圖形化功能為系統用戶提供方便快捷的信息獲取途徑。

效果展示系統模塊展示四個層次的展示界面。

（1）工控網絡設備拓撲圖，設備通斷情況展示、設備重大安全事件報警顯示。

（2）工控設備拓撲圖、流量情況、通斷情況、安全事件詳情和統計圖表等。

（3）工控系統的安全日志信息、信息安全事件分布、風險統計和趨勢、設備漏洞和配置問題、入侵流量情況等。

（4）展示實訓室工控安全狀態，包括信息安全事件分布、風險統計和趨勢、安全事件處理分析等。

3.2 安全防護系統模塊

系統安全防護模塊包括統一安全管理、工控防火墻、主機安全、監測與審計等功能模塊。

統一安全管理模塊實現操作站、服務器、網絡設備、信息安全設備、現場控制設備等的安全監控，支持設備自動拓撲發現，能夠將被管理設備進行分組、分域的統一維護，可查看設備的性能、發生的安全事件、告警、漏洞、風險、配置基線核查結果、接口狀態等信息。

監測與審計模塊實現工控網絡業務流量分析、安全事件管理、安全風險管理。業務流量分析的違規事件分析通過事件的訪問關系，梳理出當前網絡中的工控設備訪問行為狀況，對違反訪問控制規則的事件生成告警信息，并匯總到違規行為事件中作對應統計。流量行為分析基于業務行為規則的白名單式的精準檢測、基于業務流量行為入侵分析的預警、通過防火墻策略控制達到智能、柔性的防御，通過與系統其他功能的結合，可以實現對業務健康度指標分析，實現一般日志與業務流量檢測結果的精確關聯分析。

防火墻模塊實現基于地址、端口、時間、物理端口、服務的狀態包過濾；支持包括OPC、Modbus和IEC104在內的6種以上的基于工業協議深度異常檢測，實現工業通信協議動態端口解析、完整性檢查、合法性檢查等。

3.3 攻擊滲透系統模塊

實訓室根據實際需要，自主制定滲透測試實訓方案，如高仿真攻防演練、在線異常監測、抵御保護驗證等，可實現關鍵控制器的安全防護、工控主機安全加固，攻防演練實訓，包括遠程滲透攻擊、內部攻擊、病毒攻擊、WI-FI攻擊，執行預定的網絡探測，包括對網絡通信服務、操作系統、路由器、電子郵件、Web服務器、防火墻和應用程序的檢測。

3.4 漏洞挖掘系統模塊

漏洞挖掘系統模塊實現對TCP/IP通信協議、工業控制協議（如Modbus TCP、OPC、Siemens S7等）的通信報文進行深度解析（DPI，Deep Packet Inspection），可對工業控制系統中的控制設備、操作站、工程師站、服務器、數據庫、中間件等多種系統進行掃描、識別，為工業控制系統提供完善的漏洞分析檢測，系統可針對Windows、Linux、Unix、Solaris等操作系統中工控應用軟件進行漏洞挖掘，發現多種數據庫、中間件、工業控制系統的漏洞信息。

4 工業控制安全實訓室的實施

4.1 工控設備的安裝調試

根據實訓室的總體設計方案確定工控設備擺放位置表，每臺設備均按照設備編號貼好標簽，設計與安裝電源線，電源線容量滿足要求，電源線布線做到安全整潔，對所有工控設備、交換機、服務器等設備進行加電測試。

4.2 工控實訓室的網絡布線

按照實訓室走線圖及設備端口連線圖將所有設備間的連線按布線規范進行布線并連接好，每條網線按設計方案做好標簽，并繪制設備端口連線圖。

4.3 工控安全設備配置

根據實訓室設計方案中每臺工控安全設備IP地址、掩網子碼等網絡參數的要求對網絡設備、安全設備等進行配置，配置設備的安全策略。

參考文獻

[1]王志強，王紅凱，張旭東，沈瀟軍.工業控制系統安全隱患及應對措施研究.信息網絡安全，2014（9）：203-206

[2]孫易安，胡仁豪.工業控制系統漏洞掃描與挖掘技術研究.網絡空間安全， 2017（01）：75-77

[2]夏飛.智能電網智能終端工控安全風險分析及防護方案.無線互聯科技，2016（22）：117-119

作者簡介

何歡（1973-），男，漢放，四川南江人，碩士，副教授，研究方面為計算機、算法研究、通信安全、電子電路、信息安全、風險評估等。