丹江口水利樞紐控制系統網絡安全模擬仿真平臺設計

張濤 徐波

摘要：水利工業控制（工控）系統的網絡安全是水利工程網絡安全的重要組成部分。鑒于工控系統對可靠性、實時性、穩定性方面的要求，對工控網絡的漏洞掃描等操作可能導致工控系統的運行異常，因此，為實現工控系統網絡安全問題的提前發現、主動預防，有必要建設一個與實體工控系統一致的模擬仿真系統，作為工控系統網絡安全的工作平臺。結合丹江口水利樞紐實際，分析了丹江口水利樞紐控制系統網絡安全需求，介紹了樞紐控制系統模擬仿真平臺的總體設計思路、各分項的組成以及功能設計，重點對利用工控設備薄弱環節開展攻擊、利用網絡薄弱環節開展攻擊、利用管理薄弱環節開展攻擊等幾類典型針對工控系統的攻擊方式進行了模擬。模擬仿真平臺不僅可以實現工業控制系統網絡安全攻防的現場展示，更重要的是為工控系統的更新改造提供了測試環境，為工控系統的網絡安全研究提供條件，從而找到薄弱環節，進而采取必要的加固、防護措施。

關 鍵 詞：

數字孿生； 工業控制系統； 網絡安全； 模擬仿真系統； 丹江口水利樞紐

中圖法分類號： TP393.08

文獻標志碼： A

DOI：10.16232/j.cnki.1001-4179.2023.S2.057

0 引 言

丹江口水利樞紐是開發漢江的第一個控制性大型骨干工程，樞紐建成后形成的丹江口水庫是南水北調中線工程水源地，是國家水網的重要節點，為漢江中下游的防洪和保障國家水安全發揮了重要作用。為切實履行防洪、供水職責，同時兼顧發電、航運和生態效益的發揮，丹江口水利樞紐開展了大量的自動化、信息化建設，其中丹江口水利樞紐控制系統是保障工程安全、防洪安全和供水安全的重要工業控制系統［1］。

隨著網絡安全形勢的日益嚴峻，樞紐管理單位從技術、管理等多方面對丹江口水利樞紐控制系統進行了網絡安全防護，建立了較為完善的網絡安全防護體系。但由于工控系統對系統的可靠性、穩定性、實時性的要求，一些網絡安全的技術措施在正式的生產環境中進行部署、測試、驗證，可能對控制系統的可靠穩定運行產生不利的影響，甚至可能會造成業務的中斷。因此，有必要建設一個仿真平臺，以實現在模擬環境中部署相關系統，完成系統的測試和驗證等工作［2］。同時，模擬仿真平臺也可以作為生產技術人員和網絡安全人員進行培訓和科研的基礎環境，為提高丹江口水利樞紐網絡安全防護能力和運行管理技術水平提供條件［3］。

1 總體設計

丹江口水利樞紐控制系統網絡安全模擬仿真平臺的總體設計思路是：通過理清丹江口水利樞紐深孔弧形閘門監控系統和丹江口電廠計算機監控系統的網絡拓撲，分析控制系統的結構和功能，在保留系統主體和核心邏輯的基礎上，對網絡和控制系統進行抽象、簡化、提煉，制作與生產環境總體一致的仿真實體模型，布置相應的網絡和控制系統，形成在總體上與丹江口水利樞紐控制系統的主體和核心部分一致的完整的樞紐控制仿真系統。同時，在仿真的控制系統中配備防火墻、網閘、流量采集器、日志采集器等安全設備，并與網絡安全態勢感知系統連接，形成網絡安全防護系統。在仿真的控制系統環境中開發網絡安全相關的軟件和應用，為安全測試和控制系統的更新改造等提供技術平臺。通過模擬對工控系統的網絡攻擊，對網絡安全態勢感知平臺的有效性和準確性進行驗證。平臺建設以開展水利工控系統網絡安全模擬仿真為主要目的，兼具工控系統技術開發和網絡安全培訓等功能。

網絡安全模擬仿真平臺由工業控制系統、網絡系統、網絡安全系統以及軟件系統組成。工業控制系統由PLC等實體控制設備組成，網絡系統參照丹江口水利樞紐控制系統的網絡結構搭建。其中，網絡系統、網絡安全系統以及軟件系統統一安裝在網絡結構展板，工業控制系統統一安裝在沙盤模型。該網絡安全模擬仿真平臺架構見圖1。

2 分項設計

2.1 工業控制系統模擬

工業控制系統按管理信息區、非實時控制區和實時控制區分區部署。結合丹江口水利樞紐控制系統的實際，從丹江口水利樞紐控制系統中的主體中提煉出核心的完整業務系統，搭建的業務系統與實際工控系統功能結構相似且與實際工控系統完全隔離，形成典型的水利工控網絡環境，體現工控系統網絡架構拓撲和安全分區的特點［4］。

管理信息區主要配置網關機、MIS仿真系統、水庫調度系統，并且與非實時監控區通過網閘進行物理隔離。

非實時控制區主要配置通訊主站、電量計量系統、遙測系統、非實時接入交換機等設備組成非實時控制網絡，通過工業防火墻與實時控制區連接。

實時控制區是仿真平臺的核心區域，主要配置閘門控制系統、計算機監控系統的PLC設備，并通過模擬仿真的上位機（工程師站、操作員站）進行控制。控制層設備采用主流的PLC，工控系統上位機上運行組態軟件，構成實時控制區的控制系統。

2.2 網絡及網絡安全系統模擬

參照丹江口水利樞紐控制系統的主干網絡結構，通過交換機連接各控制設備，通過防火墻和網閘對各分區進行隔離，部署鏡像交換機、流量采集器、日志采集器等設備與網絡安全態勢感知系統連接，形成較為完整的網絡和網絡安全防護結構。

2.3 軟件

軟件主要包括工業控制系統軟件和模擬攻防軟件。工業控制系統軟件用于控制仿真平臺上的各類控制設備，模擬攻防軟件用于演示攻防過程和攻防效果［5］。

2.4 模擬仿真平臺展板

展板用來承載部署丹江口水利樞紐控制系統網絡設備和網絡安全設備，網絡設備和網絡安全設備配備彩色指示燈，各設備之間配備LED光帶，用于顯示設備的工作狀態和數據流向。同時，在展板安裝顯示器，整體展示平臺的運行狀態，在攻防演練時呈現每個環節的網絡和控制系統狀態，用于全面展示系統的功能。展板采用實體網絡設備和網絡安全設備，將設備安裝在展板上，連通電路，構成工業控制網絡。

2.5 模擬仿真沙盤

模擬沙盤為水利樞紐提供水工建筑物、電廠及其他相關設備設施提供仿真環境，直觀展示各種攻防情境下的實體運行狀態。實現不同組合的演示場景展示。模擬沙盤等比例縮小丹江口水利樞紐大壩主體工程及周邊地形地貌，包括上游水庫、壩體、泄洪建筑物、電站、變電站、電網和其他環境要素，重點對閘門和發電機組等關鍵設備設施進行模擬。其中，閘門模擬丹江口水利樞紐深孔弧形閘門、機組進水閘門，閘門設置關閉、開啟兩個狀態；發電機組置于發電站廠房，包含發電機、水輪機、控制柜、引水管道等設備設施。設備以及管道內部安裝流水燈帶模擬介質的流動，電機、泵等設備安裝微型電機或者指示燈光，使用不同的顏色和燈光來展示閘門、機組等設備設施的運行狀態。模型設置多個數據采集點和控制點，接入控制系統中，采集相關數據，接受操作指令。

當平臺受到網絡攻擊時，模型上的相關設備狀態指示也將發生變化，直觀展示機組進水閘門異常關閉、泄洪閘門異常關閉、發電機組工作異常狀態信息，并伴有報警聲。

3 核心功能

工控協議分析和工控網絡漏洞挖掘是平臺的兩個核心功能。

3.1 工控協議分析

工控協議采集工控系統中的網絡流量，針對Modbus、S7等工業控制協議進行測試、分析。通過在網絡中利用相應的抓包分析將網絡流量的協議字段構成以及協議字段中包含的數據進行解析，從而對整個攻擊事件流進行分析。

通過抓包工具對系統上位機組態軟件與PLC建立連接的過程進行抓包，然后分析其過程。以閘門控制系統使用的西門子S7-300為例，分析西門子S7協議的步驟如下：

① 發送COTP包請求連接，其中請求指令碼為0xe0；

② 分析PLC回應一個COTP包，告訴客戶端，確認連接；

③ 正式確立連接，發送包括TPKT和COTP以及S7的報文。連接正式確立后，后續可以發送正常的功能包。

通過抓包軟件可以完整地分析上位機與PLC建立連接的工作流程，同時也可以通過抓包軟件進行攻擊分析。

3.2 工控網絡漏洞挖掘

根據已知的工業控制系統漏洞庫，對照樞紐控制系統使用的設備型號和版本，對現有的工業控制系統進行漏洞驗證和分析。對發現的針對模擬仿真平臺的網絡攻擊進行分析，從而發現工業控制系統設備和協議的漏洞。對漏洞的危險性開展評估，并相應制定預警機制以及有效的防御措施。

4 攻防演練

利用丹江口水利樞紐控制系統網絡安全模擬仿真平臺，針對其中的工控設備、網絡設備和安全管理的漏洞，設計了3類網絡攻擊場景開展網絡安全模擬仿真，演示黑客攻擊場景，充分模擬攻擊的真實性和有效性。

模擬攻擊的過程包括通信模式分析、攻擊模式分析、Modbus/S7協議分析、構造攻擊請求包、編寫攻擊腳本、攻擊執行等幾個步驟。丹江口水利樞紐控制系統模擬仿真平臺將以上攻擊過程集成形成模擬網絡攻防演示系統。模擬攻防演示系統底層完成兩個方面的核心工作：① 對工業控制系統的硬件和上位機軟件進行安全威脅分析，結合威脅管理工具，實現攻擊路徑分析、結構安全性分析、漏洞庫驗證，進而發現系統中的薄弱環節。② 針對挖掘到的薄弱環節編寫攻擊腳本，并將腳本植入攻擊介質中，如U盤、計算機等。

模擬網絡攻防演示系統可以分步驟模擬攻擊驗證和演示，在每個步驟中可以通過聲光電效果和實體設備的動作直觀地查看攻擊產生的效果。在防護效果演示方面，針對攻擊，可以在模擬仿真平臺中觀察到安全防護體系中的安全設備進行及時阻斷防護、攻擊流程審查、以及安全事件的告警等防護效果。主要的攻防演示包括以下場景。

4.1 利用工控設備薄弱環節攻擊

4.1.1 指令篡改，導致泄洪流程終止

以西門子PLC為例，西門子PLC使用的S7本身不具備身份認證、數據校驗等攻擊防護能力，存在可修改操作指令的漏洞。仿真系統通過上位機使用的組態軟件對樞紐泄洪流程模擬仿真編程，通過PLC控制閘門啟閉進行泄洪流程模擬。

攻擊演示過程如下：通過模擬網絡攻防演示系統預置的攻擊指令對PLC發起攻擊，模擬入侵者將攻擊指令通過交換機等網絡設備發送給控制閘門啟閉的PLC。入侵者發送的數據包中包含修改寄存器/內存數據的指令，導致PLC設備數據被篡改，引發設備動作，使本應該處于泄洪狀態的閘門關閉。

防護演示過程如下：開啟安全防護系統后，再次執行指令篡改攻擊操作，沙盤中的設備運行未受到影響。

4.1.2 拒絕服務，導致發電機停機

以施耐德PLC為例，施耐德PLC使用Modbus/TCP作為通訊協議，但此協議不具備驗證指令來源的能力。仿真系統通過上位機使用組態軟件對水電站發電流程進行模擬仿真編程，通過PLC控制發電機正常運轉。

攻擊演示過程如下：模擬入侵者通過模擬網絡攻擊演示系統將拒絕服務的攻擊數據包通過交換機等網絡設備發送給控制發電機的PLC。PLC設備在接收到入侵者偽造的指定格式的數據包后，進入異常狀態，本該正常運轉的發電機停止工作，LED指示燈顯示異常，并發出告警聲。

防護演示過程如下：開啟安全防護體系介入安全攻擊，在入侵者發送拒絕服務攻擊數據包后，沙盤中的模型未受到影響。查看工業防火墻日志可以追查到本次攻擊的防護日志。

4.1.3 利用上位機遠程執行漏洞控制上位機

以Windows操作系統為例，如上位機使用Windows操作系統，利用上位機操作系統本身存在的安全漏洞進行攻擊。

攻擊演示過程如下：使用漏洞掃描工具發現Windows操作系統存在的安全漏洞。模擬網絡攻擊演示系統針對上位機操作系統版本存在的漏洞，對上位機操作系統發起攻擊，獲取上位機的用戶操作權限，進而進行系統管理員操作。

防護演示過程如下：更換Windows操作系統的新版本，安全補丁升級后，再次實施攻擊但已無法進入系統。從網絡安全態勢感知平臺可以查看網絡攻擊行為。

4.2 利用網絡薄弱環節進行攻擊

ARP欺騙攻擊是一種常用的攻擊手段。網絡尋址時，IP與MAC的對應關系保存在ARP緩存表中，利用ARP欺騙方式可以將原HMI“踢”下線，建立攻擊機與PLC的連接；然后在ARP欺騙的基礎上可以注入攻擊指令，從而干擾PLC的正常運行邏輯。

攻擊演示過程如下：攻擊PC機向PLC發送ARP欺騙指令，將HMI“踢”下線；將攻擊PC機的IP 地址修改為HMI的IP地址；攻擊PC機將攻擊指令以Socket的形式發送給PLC；PLC設備端可出現LED燈異常閃爍，信號輸出異常，溫度輸出異常，電機轉速控制異常，HMI顯示不更新或者無數據顯示。

防護演示過程如下：開啟工業防火墻可以通過預置的ARP攻擊防護策略，直接檢測到ARP攻擊并阻斷其訪問。

4.3 利用管理薄弱環節攻擊

4.3.1 U盤擺渡攻擊

該攻擊方式主要利用被植入反彈木馬的惡意U盤進行攻擊。攻擊者將該U盤插入工程師站后執行木馬程序，從而進一步接管目標主機。

攻擊演示過程如下：攻擊者將該U盤插入工程師站后植入反彈木馬，該木馬將與攻擊者建立反向連接，攻擊者通過該連接能夠徹底接管工程師站。攻擊者使用工程師站作為跳板能夠進一步入侵、攻擊其他控制設備及系統。

防護演示過程如下：針對接入的設備進行掃描，工業威脅監測系統可以收集目前網絡中病毒攻擊的行為，同時記錄攻擊者的掃描行為；工業威脅監測系統還可以監測被攻擊的設備，監視并及時發現威脅的擴散，減小其他設備被攻擊的概率。

4.3.2 非法接入攻擊

該攻擊方式主要是指攻擊者直接接入工業以太網交換機，通過對現場控制設備進行掃描，發現漏洞，對現場設備進行攻擊，從而使現場控制設備運行異常。

攻擊演示過程如下：攻擊者通過非法接入的方式接入工業以太網交換機后對現場設備進行掃描，獲取設備信息。攻擊者獲取信息后，利用針對性的漏洞，對不同的控制設備進行攻擊，造成控制設備的工作異常或直接導致控制設備停止工作。

防護演示過程如下：啟動工業威脅監測系統監測網絡中存在的掃描行為，開啟隔離設備后，可以進一步阻斷攻擊。

4.3.3 中間人篡改攻擊

該攻擊主要以中間人攻擊的方式截獲上位機與控制器之間的通訊數據。攻擊者在分析了通訊數據的協議格式及數據規律后，對上位機與控制器之間的通訊數據進行篡改，導致上位機無法獲取真實的現場控制數據。

攻擊演示過程如下：攻擊者使用非法接入的方法入侵到現場網絡后，以中間人攻擊方式截獲上位機與控制器之間的通訊數據。結合對水利業務和樞紐運行參數特征以及截取的數據變化規律，對現場采集的數據進行篡改，導致上位機無法獲取真實的現場數據。通過該攻擊，攻擊者成功蒙蔽了上位機的監控畫面，讓運行值守人員產生誤判。

防護演示過程如下：針對接入的中間人篡改攻擊，工業審計系統可以收集到網絡中攻擊者進行中間人攻擊篡改的數據，同時記錄攻擊者的篡改行為。

5 模擬仿真平臺與網絡安全態勢感知平臺聯動

丹江口水利樞紐模擬仿真平臺是一個獨立的系統，也是丹江口水利樞紐網絡安全態勢感知系統的一部分，是態勢感知系統的數據來源，為態勢感知系統提供真實的攻擊數據。

通過網絡安全態勢感知平臺，可以對仿真環境中的所有設備：網關機、通訊主站、操作員站、工程師站、服務器、交換機、防火墻、PLC等進行資產管理、數據采集、漏洞掃描。網絡安全態勢感知平臺通過對模擬仿真環境中網絡流量和設備日志的分析，發現仿真環境中PLC設備、操作系統、數據庫中存在的漏洞。通過流量采集探針、日志采集探針采集實時流量和日志，監測發現對模擬仿真平臺的網絡攻擊，并將數據傳輸到網絡安全態勢感知平臺，通過工控系統網絡安全模擬分析，識別網絡攻擊行為。工業安全審計系統可以采集漏洞利用的流量數據，在安全監測系統中也可以捕獲特定的攻擊行為。根據網絡安全態勢感知平臺的預警，對模擬仿真平臺的網絡安全相應策略進行調整。

6 系統特點

網絡安全模擬仿真平臺不僅可以完成工業控制系統網絡安全攻防的現場演示，更主要的作用是作為工控系統網絡安全技術研究的平臺，可以發現并驗證存在的漏洞和工控網絡安全的薄弱環節，進而采取必要的加固方案，從而保障水利工控系統的安全性和穩定性。

6.1 工控協議分析技術

通過協議分析工具可以分析仿真環境中所有工業流量中的通訊協議，如Modbus、西門子S7等常用協議。通過協議分析，可捕獲完整的仿真模擬攻擊流量，并支持導出到其他設備上進行分析。

6.2 工控漏洞挖掘技術

通過漏洞挖掘技術，可以驗證已知的設備漏洞。可針對仿真環境中的主要設備進行未知漏洞挖掘測試，將漏洞挖掘過程的數據、操作、結果等以文檔的形式進行留存。挖掘到的漏洞具備可復現性、可操作性、公認性等。

6.3 攻防模擬技術

使用與丹江口水利樞紐控制一致的設備或者設備模型來展示攻擊效果。可以演示諸如利用PLC漏洞、操作系統、網絡漏洞、介質（U盤）等方式進行的網絡攻擊；工業控制系統遭受攻擊時，通過仿真模型展現聲、光、電方面的明顯變化，從而體現攻擊效果；能夠展現攻擊步驟、完整詳細的攻擊路徑，能夠明顯標識出被攻克的設備；網絡攻擊方案不會造成設備的永久破壞，演示方案可以重復使用；提供完整的用于滲透測試的軟硬件平臺；根據需要可以擴展信息安全攻擊套件。

7 結 語

丹江口水利樞紐網絡安全模擬仿真平臺

由工業控制系統、網絡系統、網絡安全系統及軟件系統組成，

在實際網絡安全防護工作和系統測試等工作中發揮了積極的作用。為便于展現直接的效果和教育培訓的作用，仿真系統采用了實體模型的形式進行建設，雖然具有形象直觀的特點，但系統的靈活性不強，對于有多個工控系統的單位，在模擬仿真系統建設時，建議采用電子沙盤的形式建設，提高系統的適應性和擴展性。

參考文獻：

［1］ 王佰玲，劉紅日，張耀方.工業控制系統安全仿真關鍵技術研究綜述［J］.系統仿真學報，2021，33（6）：1466-1488.

［2］ 林楠，吳林峰，方洪波.大數據環境下電力網絡數據安全入侵模型仿真［J］.現代電子技術，2022，45（4）：118-122.

［3］ 方捷睿，曹衛民，白建濤.基于協議解析的工控網絡安全仿真平臺設計［J］.自動化儀表，2021，42（2）：102-106.

［4］ 李凡.基于拓撲抽象的網絡安全事件模擬系統的設計與實現［D］.哈爾濱：哈爾濱工業大學，2014.

［5］ 梁捷.計量終端DDoS網絡安全模擬攻擊研究［J］.電力安全技術，2020，22（8）：20-23.

（編輯：鄭 毅）