工業控制系統信息安全沉浸式教學探究——以浙江大學為例

阮 偉 陳 亮 郝唯杰 楊 強

工業控制系統信息安全沉浸式教學探究——以浙江大學為例

阮 偉1陳 亮2[通訊作者]郝唯杰3楊 強3

（1．浙江大學 控制科學與工程學院，浙江杭州 310027；2．浙江大學 先進技術研究院，浙江杭州 310027；3．浙江大學 電氣工程學院，浙江杭州 310027）

如何高質、高效培養滿足工業企業現場需求的工業控制系統信息安全復合人才，成為了國內高校面臨的教學難題?；诖?，文章以浙江大學為例，對工業控制系統信息安全沉浸式教學進行深入探索，設計了虛實結合的工業控制系統信息安全實訓教學平臺，并依托此平臺開發了工業控制系統信息安全實訓教學課程，彌補了工業控制系統信息安全教學過程中應用場景的缺失。課程教學實踐及其滿意度分析表明：學生可以沉浸在高逼真的工業控制應用場景中完成課程學習，還可以與實訓教學平臺互動，既突破了單向灌輸式教育模式的禁錮，也充分調動了學生的好奇心與學習主動性，使學生能夠更加系統、快速地掌握相關知識，并積極動手實踐操作，提升了其解決實際問題的能力。

工業控制系統；信息安全；沉浸式教學；實訓課程

引言

工業控制系統（下文簡稱“工控系統”）是國家重大技術裝備、城市關鍵基礎設施和工業企業的神經中樞與大腦，其能否安全運行直接關系國家戰略安全。近年來，隨著工業化與信息化的深入融合，大量工業控制設備暴露在互聯網上[1]，針對工控系統的網絡攻擊越來越多，且攻擊手段高端多變，使其面臨前所未有的安全風險與威脅[2][3]。然而，傳統的信息安全技術及其相關的規范標準已無法充分滿足當前工控系統對網絡安全、運行安全、功能安全等的需求[4]。我國政府高度重視工控系統網絡安全工作，已相繼出臺多部相關的法律法規與政策文件，如《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《關鍵信息基礎設施安全保護條例》等。

工控系統安全有別于傳統的網絡安全，涉及現代控制理論、網絡通信技術、工業自動化、大數據、互聯網與計算機技術等多個領域。目前，國內高等院校信息安全學科的教學大多側重于基礎理論知識的傳授，缺乏與其相對應的實踐能力培養和工程應用教學，而當前工業企業真正迫切需要的是能夠解決工業生產現場信息安全實際問題的實用型、工程型、復合型人才[5]?？梢姡覈叩仍盒５慕虒W內容與企業的切身實際應用需求存在著巨大的差距。隨著信息技術、自動化技術、計算機技術以及相關工業生產工藝的快速更新換代，工控系統面對的信息安全新挑戰與新問題不斷涌現，這更是加劇了高等院校人才培養與工業企業實際工程需求的脫節。在此背景下，浙江大學深入剖析企業需求，分析典型工業生產場景的特點，構建了工業控制系統信息安全實訓教學平臺，并依托此平臺開展相關的沉浸式實訓教學。

一 工業控制系統信息安全沉浸式教學的發展現狀

沉浸式教學是指為學生提供一個高度接近現實的學習場景，學生可以通過深度參與互動、實踐應用而提升技能。沉浸式教學從理論上應達到三個層次[6]：第一個層次是學生在課程中有愉悅感、全心投入；第二個層次是學生在課程中反饋及時，與課程有良好互動；第三個層次是目標明確，學生技能水平與課程相匹配，學習效果良好。在實踐方面，沉浸式教學已從簡單模擬營造學習氣氛發展到與虛擬現實、人工智能、大數據等技術相結合，構建高逼真的學習環境[7][8]。

工控系統信息安全學科是一門新興的交叉學科，其教學需要深度結合多個學科的相關知識并多動手實踐，才能培養出既符合高等院校教學目標又能滿足工業企業應用需求的工控系統信息安全復合型人才[9]。更為重要的是，該學科對應用實踐要求極高，目前高校教師對該學科的教學大多從理論角度出發，而缺乏實踐教學內容，無法解決現有的工控系統信息安全現場遇到的實際問題，也無法滿足相關企業或研究院所對實戰型人才的需求[10]?？梢哉f，對于如何高質、高效地培養工控系統信息安全人才此問題，各高校還處于探索階段。由于工控系統信息安全學科以認知實踐為導向，故采用沉浸式教學將產生事半功倍的效果。

工控系統信息安全沉浸式實訓環境的建設通常存在設備和場地成本投入過高的問題，大部分高校難以承受，造成大多數高校缺乏工控系統信息安全的現場應用環境或是相關的高逼真模擬現場應用環境所需的軟硬件設備，從而導致配套的教學內容無法跟上工控系統安全技術快速更新的速度[11][12]，進而無法向學生提供具有針對性的工控系統信息安全應用能力培養課程與貼近工程實際的實訓。由此可見，國內高校工控系統信息安全沉浸式實訓環境的建設面臨諸多挑戰與困難，其中高逼真的工控系統實訓應用環境及其相關工業場景的缺失，是加劇企業工控系統信息安全需求與工控系統信息安全人才培養相脫節的關鍵因素。因此，國內高校亟需建設用于沉浸式教學且成本可控的工業控制系統信息安全實訓教學平臺。

二 工業控制系統信息安全實訓教學平臺設計

1 實訓教學平臺建設的目標與原則

浙江大學工業控制系統信息安全實訓教學平臺（下文簡稱“實訓教學平臺”）面向浙江大學工業控制專業、電氣工程與網絡信息安全相關專業的本科生和研究生而開發，以培養滿足工業企業實際需求的人才為目標，最大限度地提供實網、實境、實戰的工控系統信息安全沉浸式教育。此外，實訓教學平臺還可以面向社會承擔工控系統信息安全培訓任務。

實訓教學平臺在建設過程中遵循兩大原則：①實訓教學平臺能夠逼真地模擬典型工業場景，在學習過程中給學生以沉浸式感受，增強學習效果；②實訓教學平臺采用虛實相結合的形式，盡可能地減少場地占用，節約建設成本。

2 實訓教學平臺架構設計

根據學生實訓需求和工業企業的工控系統應用現狀，本研究選取電力系統、天然氣長輸管線兩大工業場景來構建實訓教學平臺。依據兩大場景的現場工業控制系統網絡拓撲，本研究設計了實訓教學平臺4層網絡架構，如圖1所示。為保證每層網絡的數據安全，每層網絡之間不能直通，因而在企業辦公網與生產管理網之間用1臺信息網絡防火墻隔離，在生產管理網與生產控制網之間用1臺工業網絡防火墻隔離，每個防火墻都配置相應的安全策略。

①0層：學生實訓接入網，是學生參加實訓時的接入平臺。學生實訓接入網配置了11臺交換機，且全部采用實物方式配置。其中，1臺為匯聚交換機，其他10臺為接入交換機。學生實訓接入網一次可以容納10組學生參加實訓，但每組最多為4名學生，因此實訓教學平臺最多可以同時承擔40名學生的實訓學習。

圖1 工業控制系統信息安全實訓教學平臺架構

②1層：企業辦公網，用于模擬企業辦公所需的各類應用與服務。1層的企業辦公網配置了1臺辦公服務器，可以安裝20臺虛擬機。虛擬機之間相互隔離，其中10臺虛擬機作為企業門戶網站服務器并安裝相關軟件，另外10臺作為企業郵件服務器并安裝相關軟件，以提供與企業現場相同的企業門戶網站與郵件服務功能——這20臺虛擬機均可作為遠程攻擊滲透的入口。

③2層：企業生產管理網，用于模擬企業生產管理所需的各類應用與服務。2層的企業生產管理網配置了1臺生產管理服務器，可以安裝30臺虛擬機。虛擬機之間相互隔離，其中10臺虛擬機作為企業資產管理站，10臺作為生產過程優化站，另外10臺作為企業生產管理站，分別安裝與企業現場相同的資產管理、生產過程優化、企業生產管理軟件，以提供與企業現場相同的應用與服務——這30臺虛擬機均可作為網絡攻擊滲透通道。

④3層：企業生產控制網，用于模擬企業生產過程與工業控制系統的各類應用與服務。3層的企業生產控制網配置了3臺生產模擬服務器、20臺工控操作員站、2套流程工業微縮生產裝置和2套工業控制系統。具體來說，3臺生產模擬服務器安裝40臺虛擬機，其中20臺虛擬機作為虛擬工控系統操作站，在操作員站和虛擬操作員站安裝工業控制系統監控軟件，用于模擬工業現場的操作員行為；另外20臺虛擬機作為工控蜜罐安裝工控系統蜜罐軟件，工控蜜罐用于增加實訓學習過程中的攻防難度。20臺工控操作員站用于U盤擺渡滲透，不同工控操作員站之間通過IP分配策略相互隔離。2套流程工業微縮生產裝置是指1套電力系統縮微生產裝置和1套天然氣長輸管線微縮生產裝置，前者能夠動態、逼真地模擬火力發電場景中的發、變、輸、配、用等關鍵流程并可發出1kw電力供給用電設備，后者能夠動態、逼真地模擬天然氣傳輸場景的首站、增壓站、門站等關鍵工業流程，這2套裝置均配置傳感器與執行器，通過硬接線與工業控制系統進行數據交互。2套流程工業微縮生產裝置分別由其對應的1套工業控制系統進行控制，這2套系統采用國內企業使用的主流工業控制系統軟硬件，能夠實現對微縮生產裝置相關設備的啟動、停止操作和聲光電信號狀態反饋顯示，并實時監控微縮生產裝置的運行狀態。

上述1～3層網絡模擬了電力系統和天然氣長輸管線兩大工業場景的工業控制系統網絡拓撲和生產所需的各類應用服務?？紤]到經費與場地受限，實訓教學平臺采用虛實結合方式建設：企業辦公網與企業生產管理網的硬件以虛擬為主，企業生產控制網的硬件以實物為主；所有軟件全部采用工業生產現場所用軟件。參加實訓課程的學生可以在0層接入實訓教學平臺，由此進入企業辦公網，之后滲透穿過防火墻進入企業生產管理網，最后滲透穿過工業防火墻進入企業生產控制網，并在企業生產控制網內的工業控制系統完成對電力縮微生產裝置或天然氣長輸縮微生產裝置的操控，觸發縮微生產裝置聲、光、電的響應和執行器的動作，從而完成一次完整的信息安全攻防實踐。

值得一提的是，實訓教學平臺還配置了1臺攻防管理服務器、1臺入侵檢測服務器、1臺終端防護服務器。其中，攻防管理服務器安裝攻防管理軟件與課程管理軟件，提供登錄管理、學習過程動態記錄、自動打分等功能；入侵檢測服務器安裝流量異常檢測軟件，用于數據流量監測、異常報警；終端防護服務器安裝終端安全防護軟件，用于整個網絡中每臺計算機和服務器異常行為的辨識與報警，自動構建網絡攻擊滲透路徑，并對網絡攻擊鏈追蹤溯源。入侵檢測服務器和終端防護服務器還有一個重要功能，是作為學習過程中防守方的防守工具與接入口。

三 工控系統信息安全實訓課程設計

工控系統信息安全實訓課程緊密依托實訓教學平臺開發，主要分為兩類：①知識學習課程，具有內容廣而精、針對性強的特點。與傳統的專業課程相比，知識學習課程的知識面更廣，涉及計算、自動化、電氣、能源動力學科的相關內容；課程內容也更具針對性，其在各學科中只抽取與工控系統信息安全相關的內容放到課程內容中。②攻防實訓課程，是利用實訓教學平臺中的工控系統、縮微生產裝置和其他應用服務與學生互動的課程，以學生動手實戰實操為主。

1 知識學習課程設計

知識學習課程是指工控系統信息安全學習過程中必備的基本知識，主要包括基礎知識、專業知識、網絡安全知識，如表1所示。其中，網絡安全知識是指網絡安全相關的概念及術語。知識學習課程配有名師講解錄制的視頻、實踐操作的演示視頻、課后作業題與思考題，知識學習課程被存放在攻防管理服務器中，學生可以通過客戶端注冊、登錄后學習。

表1 知識學習課程設計

2 攻防實訓課程設計

攻防實訓課程是指依托實訓教學平臺，利用感官或動手操作來完成的實踐課程，包括工業生產及其安全、工業控制系統及其功能安全、工控系統信息安全與常用攻防手段、國內外典型工控系統信息安全案例分析及復現、工控系統信息安全攻防實踐五類課程，具體如表2所示。

表2 攻防實訓課程設計

值得一提的是，“工控系統信息安全攻防實踐”課程采用奪旗賽（Capture The Flag，CTF）模式，將實訓學生分成若干個小組，每個小組4人，要求每個小組針對課程設定的Flag或目標逐級滲透，并以最終提交Flag或改變目標狀態作為滲透成功的標志。在CTF模式下，實訓教學平臺為實訓學生提供了網絡安全工具庫，供學生參與實訓課程時方便地下載使用相關安全工具。

四 實訓課程教學實踐及其滿意度分析

實訓教學平臺于2017年3月開始建設，2018年8月建成，先后完成了多屆本科生和研究生的實訓教學任務。實訓課程的教學過程分為三個階段：第一個階段，學生在線學習信息安全相關基礎知識；第二個階段，學生在線學習工控系統的專業知識和工業安全相關知識；第三個階段，學生開展工控安全攻防實踐訓練。每次知識學習課程均設有相關的課后作業，學生必須完成作業才能結束課程，實訓教學平臺會根據作業的答題結果給出每個學生的課程評分；在攻防實訓課程的軟件中設置了Flag，實訓教學平臺會以學生提交Flag的數量和質量作為評分標準來完成學生實訓評分。

每期課程最后一節課結束前，授課教師會現場發放課程滿意度調查問卷，本次抽取2019年第一學期面向30名學生發放的課程滿意度調查問卷作為案例進行分析研究。該問卷發放與回收的有效率均達100%，問卷內容包括課程整體效果、課程沉浸感受、課程實用性、知識學習課程內容、攻防實訓課程內容、縮微裝置逼真度、工業場景設計、評分標準8個子項的滿意度調查。每個子項有5個選項，按照李克特五點量表計分，從“非常不滿意”到“非常滿意”分別用1～5分表示。通過統計服務的科學平臺（Scientific Platform Serving for Statistics Professional，SPSSPRO）在線分析，得到問卷的信度分析結果如表3所示，其中Cronbach’s α系數值為0.879，說明該問卷的信度很好；同時，得到問卷的效度分析結果如表4所示，其中KMO值為0.837，Bartlett球形檢驗結果中=0.000＜0.005，水平上呈現顯著性，說明各變量間具有很強的相關性，因子分析有效，適合作因子分析。

表3 問卷的信度分析結果

表4 問卷的效度分析結果

課程滿意度問卷調查結果如表5所示，可以看出：在課程整體效果方面，選“非常滿意”的學生人數占比70%、選“滿意”的占比23.333%，故整體滿意度達到93.333%；此外，課程沉浸感受、課程實用性和攻防實訓課程內容的整體滿意度均為90%以上，知識學習課程內容、縮微裝置逼真度和工業場景設計的整體滿意度均為80%以上，評分標準的整體滿意度為80%。由此可見，學生對工控系統信息安全沉浸式教學課程整體滿意度較高，特別是對課程沉浸感受、課程實用性和攻防實訓課程內容的滿意度很高，達到了課程的預期效果。

從2018年12月到2021年12月，本研究先后完成了5次問卷調查，問卷反饋結果與上述抽取的問卷結果相似。通過對問卷調查結果和學生課后作業的完成情況進行詳細分析，并結合與學生面談內容的錄音文本分析，本研究發現：通過與實訓教學平臺互動式的沉浸學習，學生系統地掌握了大量傳統教學所無法傳授的實戰網絡攻防知識、工業控制系統與工業生產場景的工藝流程知識等，真正做到了理論與實踐相結合。實訓教學平臺提供的高逼真工業控制應用場景，給學生以身臨其境般的感受，讓學生沉浸其中與實訓教學平臺實時互動，徹底突破了單向灌輸式教育，最大限度地調動了學生的好奇心與學習主動性，使學生更加系統、快速地掌握相關知識，并積極動手實踐，提升了其解決實際問題能力，取得了很好的教學效果。通過實訓教學，學生可以基本熟悉工控系統的功能、工作原理和相關網絡通信協議，掌握常用的網絡攻防技術，并全面了解電力系統生產與天然氣長輸管線生產的工藝流程。

表5 課程滿意度問卷調查結果

五 結語

本研究以浙江大學為例，對工控系統信息安全沉浸式教學進行探究，設計了工控系統信息安全沉浸式實訓教學平臺，并依托此平臺開發了工控系統信息安全實訓課程，結果發現：工控系統信息安全沉浸式教學有助于學生積極、主動地參與實際的工程實訓，鍛煉他們解決實際問題的能力，并增進他們對相關學科的理解。與此同時，結合浙江大學的教學實踐與學生的反饋，本研究也發現一些不足，如實操課設置偏少，后續應多開發“以學生為中心”的實操課，利用已有工具進行端口掃描或漏洞挖掘，培養學生的動手能力；課程評分標準不太合理，知識學習課比重過高，而攻防實訓課比重偏低，不利于激發學生參與實踐的積極性，后續應設置盡可能多的國內外典型信息安全事件復現課程，提高攻防實訓課評分比重，鼓勵學生動手實踐。

[1]雷遠東.工控安全現狀及面臨的問題[J].網絡安全和信息化,2018,(6):36-37.

[2]徐偉,孔堅,毛慶梅,等.工業控制系統安全現狀及應對策略[J].網絡安全技術與應用,2021,(9):115-117.

[3]馮偉.我國工業控制系統面臨的信息安全挑戰及措施建議[J].信息安全與技術,2013,(2):19-22.

[4]邸麗清,謝豐.工業控制系統信息安全與功能安全結合之探討[J].中國信息安全,2016,(4):62-65.

[5]朱辰,孫斌,金心宇,等.網絡空間安全攻防實驗教學與實訓平臺的構建[J].實驗室研究與探索,2021,(6):265-267、275.

[6]艾興,李葦.基于具身認知的沉浸式教學:理論架構、本質特征與應用探索[J].遠程教育,2021,(5):55-65.

[7]唐穎,余愿.基于虛擬現實技術的沉浸式教學實踐探索[J].進展:科學視界,2022,(4):92-94.

[8]段丹萍.多種理論視角下的VR教育應用研究綜述[J].中國教育技術裝備,2019,(6):54-56、60.

[9]陳志翔,歐斌娜,田謙益.工控系統網絡信息安全本科教學課程探討[J].計算機教育,2019,(4):28-33.

[10]黃兆軍.高職院校信息類新工科專業建設探索——以工控信息安全專業為例[J].職業教育(下旬刊),2020,(11):25-34.

[11]王立新,蔣烈輝,郭玉東,等.以嵌入式為核心的計算機課程體系建設[J].計算機教育,2016,(2):66-68.

[12]楊良斌,周新麗,劉思涵,等.大數據背景下網絡空間安全人才培養機制與模式研究[J].情報雜志,2016,(12):81-87、80.

Research on the Immersion Teaching of Information Security of Industrial Control Systems——Taking Zhejiang University as an Example

RUAN Wei1CHEN Liang2[Corresponding Author]HAO Wei-jie3YANG qiang3

How to high-quality and effectively cultivate compound talents of information security of industrial control systems that meet the on-site needs of industrial enterprises has become a teaching problem faced by domestic colleges and universities. Based on it, taking Zhejiang University as an example, this paper conducted an in-depth exploration on the immersion teaching of information security of industrial control systems, designed the practice training teaching platform of information security of industrial control systems that combined virtuality and reality, and accordingly developed the practice training teaching course of information security of industrial control systems, which made up for the lack of application scenarios in the teaching process of information security of industrial control systems. The course teaching practice and its satisfaction analysis showed that students can immerse themselves in high-fidelity industrial control application scenarios to complete the course learning, and also interact with the practice training teaching platform, which broke through the confinement of the one-way indoctrination education model and fully mobilized students’ curiosity and learning initiative, enabled students to master relevant knowledge more systematically and quickly, improved their practical problem-solving ability through active hands-on practice.

industrial control system; information security; immersion teaching; practice training course

G40-057

A

1009—8097（2022）07—0093—08

10.3969/j.issn.1009-8097.2022.07.011

阮偉，主任，講師，博士，研究方向為工業控制系統信息安全，郵箱為ruanwei@zju.edu.cn。

2021年12月12日

編輯：小米