工控信息安全研究與教學仿真系統(tǒng)

一、工控安全業(yè)務概述

在信息安全領域不斷拓展，利用自身優(yōu)勢和相關積累自2013年進入工控系統(tǒng)信息安全領域，在加大資源投入的基礎上迅速占領了市場，在各個行業(yè)都建立了試點樣板局。目前已經建立擁有業(yè)內規(guī)模，設備*的工業(yè)網絡安全實驗室，配備有SIEMENS、AB-Rockwell、Schneider、ABB、三菱、GE、和利時等主流工控系統(tǒng)以及流程類生產裝置，*仿真涉及軌道交通、先進制造、石油煉化、煙草等各個行業(yè)工控協(xié)議數(shù)據(jù)及工藝流程。

  在國家政策引導下并聯(lián)合業(yè)內工控系統(tǒng)信息安全研究機構、協(xié)同設計院、用戶一起推動了工控系統(tǒng)信息安全建設。目前公司已全面推出面向高校教育專業(yè)-信息安全、工業(yè)自動化、計算機網絡等專業(yè)的工控信息安全教學試驗箱，能夠指導學生在此基礎上開展一系列的研發(fā)創(chuàng)新活動，提高就業(yè)實戰(zhàn)水平，同時推動工控信息安全行業(yè)的發(fā)展、協(xié)助企事業(yè)用戶提升工控系統(tǒng)信息安全水平，更全面、更地保障企業(yè)生產安全穩(wěn)定運行。

二、研究與教學實驗系功能展示（訂制）

Ø  工控系統(tǒng)漏洞挖掘及防護研究

Ø  工控信息安全設備測試與驗證

Ø  工控系統(tǒng)信息安全統(tǒng)一管理

Ø  工控信息安全實驗平臺搭建

Ø  工控信息安全攻擊防守演練

Ø  面向行業(yè)工控客戶攻擊防守展示

Ø  工控信息安全技術培訓

Ø  工控系統(tǒng)協(xié)議仿真、深度解析并驗證

Ø  相關技術、解決方案交流

Ø  資源、數(shù)據(jù)共享

。。。。。。

三、工控信息安全仿真系統(tǒng)介紹

3、1、仿真實驗平臺實現(xiàn)方案

工控安全設備及工控信息安全展示平臺

1）、工控安全產品-工業(yè)防火墻、工控異常監(jiān)測等

2）攻擊防守研究與教學及監(jiān)控系統(tǒng)-攻擊工具包、工程師站、操作員站等

工控信息安全管理系統(tǒng)

（1）產品功能特點

系統(tǒng)的功能由如下12個主要功能模塊組成，具體見下表：

主界面如下圖所示：

全局安全監(jiān)控

安全事件可視化展示

狀態(tài)監(jiān)控

告警展示

主界面支持用戶定義，如上圖所示主界面展示如下信息

• 網絡設備拓撲結構顯示。
• 性能監(jiān)控的信息，顯示設備通斷狀態(tài)等信息、設備種類、個數(shù)等信息。
• 告警信息統(tǒng)計展示。

工控漏洞掃描系統(tǒng)

夢潮科技天鏡脆弱性掃描與管理系統(tǒng)V6.0-工控系統(tǒng)版基于工控系統(tǒng)已知的安全漏洞特征（如SCADA/HMI軟件漏洞，PLC、DCS控制器嵌入式軟件漏洞，Modbus、Profibus等主流現(xiàn)場總線漏洞、SCADA/HMI軟件漏洞等），對SCADA、DCS系統(tǒng)、PLC等工業(yè)控制系統(tǒng)中的控制設備、應用或系統(tǒng)進行掃描、識別，為工業(yè)控制系統(tǒng)提供*的的漏洞分析檢測。

 (1) 產品功能特點

夢潮科技的天鏡脆弱性掃描與管理系統(tǒng)V6.0-工控系統(tǒng)版具有如下特點：

• 支持對西門子、施耐德、GE、亞控等主流工控廠商的SCADA/HMI軟件的漏洞掃描；
• 支持西門子、施耐德、GE等主流工控廠商的DCS系統(tǒng)、PLC控制器的漏洞掃描；
• 支持Modbus、Profibus等主流現(xiàn)場總線的漏洞掃描；
• 支持工業(yè)控制系統(tǒng)漏洞生命周期管理、評估漏洞安全風險、漏洞驗證、提供漏洞修復建議等；
• *的工控系統(tǒng)風險分析報告。

工控異常監(jiān)測流量分析審計系統(tǒng)

工控異常監(jiān)測系統(tǒng)，是工業(yè)控制系統(tǒng)信息安全需求的檢測系統(tǒng)。本產品依托多年雄厚的網絡安全檢測技術，通過對工業(yè)控制系統(tǒng)中的工控語言進行專項解讀，形成了*的工控網絡檢測策略，實現(xiàn)了對各工業(yè)控制網絡系統(tǒng)的有效入侵檢測。

工控異常監(jiān)測系統(tǒng)是在根據(jù)已有的、新的攻擊手段的信息代碼對進出網段的所有操作行為進計實時監(jiān)控、記錄，并按制定的策略實行響應(阻斷和進行各種形式的報警)，從而防止工控網絡的攻擊與犯罪行為。

(1) 產品功能特點

工業(yè)網閘

天清安全隔離與信息交換系統(tǒng)工控網閘產品是具有*自主知識產權的安全隔離與信息交換系統(tǒng)，該產品利用網絡隔離與訪問控制技術，可以隔離工業(yè)生產網中的管理層與生產控制層，對重點數(shù)據(jù)提供高安全隔離的保護，同時正確傳輸OPC指令，保障生產的安全有序進行。

（1）產品原理特點

安全隔離技術的工作原理是使用帶有多種控制功能的固態(tài)開關讀寫介質連接兩個獨立的主機系統(tǒng)，模擬人工在兩個隔離網絡之間的信息交換。其本質在于：兩個獨立主機系統(tǒng)之間，不存在通信的物理連接和邏輯連接，不存在依據(jù)TCP/IP協(xié)議的信息包轉發(fā)，只有格式化數(shù)據(jù)塊的無協(xié)議“擺渡”。被隔離網絡之間的數(shù)據(jù)傳遞方式采用*的私有方式，不具備任何通用性。

天清安全隔離與信息交換系統(tǒng)工控網閘，只允許生產控制網采集的數(shù)據(jù)流向生產管理網，允許符合控制網傳輸協(xié)議的數(shù)據(jù)返回到控制網絡，不容許任何其它數(shù)據(jù)返回到控制網絡。同時對流經的數(shù)據(jù)報文進行嚴格協(xié)議格式檢查和內容過濾。天清工控網閘根據(jù)不同的DCS采集系統(tǒng)，采取同步或異步的數(shù)據(jù)傳輸監(jiān)測機制，并且根據(jù)OPC協(xié)議的特點，使用了高安全的自協(xié)商動態(tài)端口通訊機制，從而解決了OPC通訊采用動態(tài)端口帶來的安全防護瓶頸問題，阻止病毒和任何其它的非法訪問，保證了生產控制網和生產管理網的通訊安全。

網絡安全隔離與信息交換系統(tǒng)要想做好防護的角色，首先必須能夠保證自身系統(tǒng)的安全性。天清安全隔離與信息交換系統(tǒng)具有*的自身防護特性，可以阻止來自從網絡任何協(xié)議層發(fā)起的攻擊、入侵和非法訪問。網絡之間所有的TCP/IP連接在天清安全隔離與信息交換系統(tǒng)上都要進行*的應用協(xié)議還原，還原后的應用層信息根據(jù)用戶的策略進行強制檢查后，以格式化數(shù)據(jù)塊的方式通過隔離交換矩陣進行單向交換，在另外一端的主機系統(tǒng)上通過自身建立的安全會話進行終的數(shù)據(jù)通信，即實現(xiàn)“協(xié)議落地、內容檢測”。這樣，既從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，又進行了強制內容檢測，從而實現(xiàn)高等級的通訊安全與自身安全性。

安全隔離與信息交換系統(tǒng)架構主要由內網主機系統(tǒng)、外網主機系統(tǒng)和隔離交換矩陣三部分構成。內網主機系統(tǒng)與內網相連，外網主機系統(tǒng)與外網相連，內/外網主機系統(tǒng)分別負責內外網信息的獲取和協(xié)議分析，隔離交換矩陣根據(jù)安全策略完成信息的安全檢測，內外網絡之間的安全交換。整個系統(tǒng)具備以下技術特性：

• 多網絡隔離的體系結構，通過硬件完成兩側信息的“擺渡”。
• 被隔離網絡之間任何時刻不產生物理連接。
• 內/外網主機系統(tǒng)之間沒有網絡協(xié)議邏輯連接，通過隔離交換矩陣的全部是應用層數(shù)據(jù)，也就是OSI模型的七層協(xié)議全部斷開。
• 數(shù)據(jù)交換方式*私有，不具備可編程性。

（2）功能說明

OPC應用數(shù)據(jù)傳輸

支持DCS/SCADA網絡與管理網絡之間的OPC應用數(shù)據(jù)的傳輸；支持協(xié)議格式檢查及內容過濾；支持同步、異步監(jiān)測數(shù)據(jù)的傳輸，支持高安全的自動協(xié)商動態(tài)端口通訊機制；支持情景模式，能夠設置OPC工控應用允許通信的時間；支持端口訪問控制。

數(shù)據(jù)庫訪問

實現(xiàn)對多種（如MySql、SqlServer、Oracle、DB2、Sybase）主流數(shù)據(jù)庫系統(tǒng)的安全訪問；支持SQLServer和Oracle數(shù)據(jù)庫SQL語句過濾功能；支持實時數(shù)據(jù)庫的訪問與數(shù)據(jù)傳輸。

數(shù)據(jù)庫同步

支持Oracle、SQL Server、Sybase、Db2等主流數(shù)據(jù)庫間單向和雙向同步；支持同構、異構同步；支持一對多，多對一同步；支持字段級的同步，具有條件同步等多種同步策略；支持詳細的日志審計和報警功能；支持病毒檢測。

文件同步

實現(xiàn)文件的安全交換，支持NFS、SMBFS、SAMBA等文件系統(tǒng)，支持跨系統(tǒng)平臺文件同步；支持有客戶端和無客戶端方式；可實現(xiàn)單向和雙向同步；支持多種文件同步控制，支持內容過濾和病毒檢測。

FTP訪問

實現(xiàn)安全的FTP訪問，支持對用戶、命令、文件類型等細粒度訪問控制；支持動態(tài)建立數(shù)據(jù)通道，并可對訪問端口號自由定義；支持中文文件名的過濾控制等多種功能。

定制訪問

實現(xiàn)特定TCP、UDP協(xié)議的數(shù)據(jù)隔離交換，可合作定制開發(fā)特定協(xié)議的安全檢測，實現(xiàn)如黑白名單控制、關鍵字過濾等；支持對訪問源地址的控制；透明模式支持時段控制策略，時間模式可以是一次性或周循環(huán)。

網閘工作原理

主機架構

安全審計

工業(yè)防火墻

天清漢馬工業(yè)防火墻IFW-3000（下文均使用IFW-3000來說明）是一款專門為工業(yè)控制系統(tǒng)開發(fā)的信息安全產品。

（1）產品功能特點

生產網和管理網的互連互通在極大的提高了信息傳遞效率的同時，也引入了很多的安全風險。為有效抵御來自內外網對工業(yè)生產設備的攻擊，需要對工業(yè)和關鍵設備邊界進行安全防護。目前比較的ISA99/IEC62443工業(yè)安全標準推薦使用縱深防御(defense in depth)的安全策略，這是成功的安全實踐。IFW-3000*的功能和環(huán)境適應性可有效支撐縱深防御安全策略的落地。

表格 3-1 縱深防護功能簡介

表格 3-2 功能參數(shù)表

（2）工業(yè)協(xié)議控制及解析與防護

IFW-3000可以對的工業(yè)協(xié)議進行訪問控制：

1、預置了百種以上工業(yè)協(xié)議，可實現(xiàn)工業(yè)協(xié)議的白名單安全防護。

2、預置了常用的PLC防護模型，可快速實現(xiàn)控制器的白名單防護。

3、支持基于二層協(xié)議號和三層網絡端口號的自定義工業(yè)協(xié)議白名單安全防護。

IFW-3000工業(yè)協(xié)議的安全防護，除了具備白名單訪問控制等基本功能外，還需要對工業(yè)協(xié)議有應用層的理解與控制，可以實現(xiàn)對工業(yè)指令的過濾。IFW-3000支持基于Modbus/TCP、Modbus/RTU、IEC104等協(xié)議的深度過濾功能。

IFW-3000工業(yè)協(xié)議的安全防護，除了具備白名單訪問控制等基本功能外，還需要對工業(yè)協(xié)議有應用層的理解與控制，可以實現(xiàn)對工業(yè)指令的過濾。IFW-3000支持基于Modbus/TCP、Modbus/RTU、IEC104等協(xié)議的深度過濾功能。

支持防火墻模式配置，支持全通模式、調試模式和防護模式

實驗系統(tǒng)組成

工控安全實驗系統(tǒng)由各種工業(yè)仿真現(xiàn)場、工控控制系統(tǒng)、上位機監(jiān)控系統(tǒng)、工控系統(tǒng)信息安全設備及工控信息安全展示平臺等組成。

1）、工控安全研究與教學系統(tǒng)   

2）、化工行業(yè)工控安全仿真系統(tǒng)

3）、污水處理或城市給水行業(yè)工控安全仿傎系統(tǒng)

 4）、發(fā)電行業(yè)工控安全仿真系統(tǒng)

 5）、軌道交通行業(yè)工控安全仿真系統(tǒng)

6）、物聯(lián)網行業(yè)工控安全仿真系統(tǒng)

7）、自動化生產工控安全仿真系統(tǒng)

3.2攻擊工具包

硬件為一臺工業(yè)加固筆記本形態(tài)，軟件集成工控系統(tǒng)上位機、工業(yè)網絡設備、工業(yè)網絡協(xié)議、工業(yè)控制器（PLC\DCS\RTU等）等專業(yè)攻擊工具。如

1、信息收集，掃描

nmap 號稱掃描器*，歷史為悠久，支持多種掃描方式，準確度、速度相比其他工具都有很大優(yōu)勢

Ipscan 經典、易用的網段掃描工具

nessus開源綜合漏掃軟件，支持系統(tǒng)、中間件、數(shù)據(jù)庫、網絡設備等漏洞掃描

OpenVAS 基于nessus，在nessus走商業(yè)化路線后成為第二個開源的nessus

2、破解，加解密

hydra 開源，功能為*的遠程協(xié)議破解工具，支持眾多遠程認證協(xié)議

bruter windows下圖形界面的遠程協(xié)議破解工具，支持協(xié)議相對hydra要少一些

passwordspro windows平臺散列破解工具，支持各種類型的散列，和salt散列破解

john the ripper 跨平臺操作系統(tǒng)密碼與散列破解工具

LC6 windows系統(tǒng)密碼破解工具

Cain 上帝之手，具備眾多散列破解、嗅探等功能

3、漏洞利用

Metasploit 集成漏洞攻擊腳本多的綜合漏洞攻擊平臺

4、Web有關

sqlmap 基于python，開源的sqlmap注入檢測工具

burp suite http協(xié)議底層分析工具，滲透測試人員利器

3.3工控安全實驗箱網絡拓撲結構

四、工控安全實驗室攻擊防守教學展示

4.1、工控系統(tǒng)上位機操作系統(tǒng)漏洞入侵防護展示

攻：通過windows開啟的服務漏洞，進行滲透測試，提權，終遠程控制上位機，對遠程PLC進行啟停、賦值等操作包括更改控制邏輯等。

滲透測試，探測服務器開發(fā)服務

測試可利用服務命令

口令猜測

防：通過工控漏洞掃描操作站漏洞，及時封堵；工控異常監(jiān)測發(fā)現(xiàn)未知連接、報警；工業(yè)防火墻進行防護。

防火墻自定義防護規(guī)則

4.2、工控系統(tǒng)編程組態(tài)監(jiān)控軟件漏洞進行的入侵防護展示

攻：模擬“震網”病毒，西門子上位機監(jiān)控軟件WinCC漏洞進行的攻擊，對下位機PLC進行非法賦值等操作控制。震網病毒解析

       一旦發(fā)現(xiàn)WinCC系統(tǒng)，就利用其中的兩個漏洞展開攻擊：

一是WinCC系統(tǒng)中存在一個硬編碼漏洞，保存了訪問數(shù)據(jù)庫的默認賬戶名和密碼，Stuxnet利用這一漏洞嘗試訪問該系統(tǒng)的SQL數(shù)據(jù)庫。

二是在WinCC需要使用的Step7工程中，在打開工程文件時，存在DLL加載策略上的缺陷，從而導致一種類似于“DLL預加載攻擊”的利用方式。終，Stuxnet通過替換Step7軟件中的s7otbxdx.dll，實現(xiàn)對一些查詢、讀取函數(shù)的Hook。

防：通過工控漏洞掃描出上位機組態(tài)監(jiān)控軟件漏洞，并提供相關補丁進行修補。由于工控特殊情況不能及時升級，工控異常監(jiān)測系統(tǒng)能夠及時發(fā)現(xiàn)病毒告警聯(lián)動工業(yè)防火墻進行防護。

工控異常監(jiān)測發(fā)現(xiàn)病毒

工業(yè)防火墻做相關防護

4.3、工控系統(tǒng)工控協(xié)議漏洞進行的入侵防護展示

攻：西門子S7協(xié)議或者羅克韋爾AB Ethernet/IP協(xié)議，攻擊計算機通過對工控協(xié)議的深度分析，發(fā)出遠程停機、程序下載等指令包，實現(xiàn)對下位機PLC的非法控制。

利用S7協(xié)議封裝遠程停機指令攻擊包

防：工業(yè)防火墻可以對一些特殊指令過濾，防止遠程停機，對讀寫下位機的監(jiān)控電腦進行可信認證。

制定防護策略

4.4、工控系統(tǒng)控制器漏洞進行的入侵防護展示

攻：西門子、AB等控制器的漏洞進行攻擊，造成控制器內存溢出、死機等狀態(tài)。

防：工控異常監(jiān)測發(fā)現(xiàn)網絡中非法指令報價聯(lián)動工業(yè)防火墻對非法指令進行攔截。

4.5、MES系統(tǒng)與工控系統(tǒng)數(shù)據(jù)讀寫的入侵防護展示

攻：利用OPC協(xié)議的漏洞，在通過OPC服務器與MES服務器進行數(shù)據(jù)通訊過程中，攻擊計算機可以偽裝合法的OPC Client對工控系統(tǒng)數(shù)據(jù)進行讀寫。

數(shù)據(jù)傳輸

防：工業(yè)網閘可以做到單向隔離，工業(yè)防火墻做OPC動態(tài)端口識別。

OPC動態(tài)端口解析防護（支持OPC DA、HAD、A&E、DX）

五、工控安全攻擊防守培訓（服務）

5.1培訓目標：

本培訓是夢潮科技培訓部開發(fā)的工業(yè)控制系統(tǒng)攻擊防守技術方面的信息安全課程。

培訓大綱所包含的知識點涵蓋了工業(yè)控制系統(tǒng)信息安全各個領域的知識點，通過培訓可以讓學員掌握較為全面的工控信息安全技術知識，在實際的工作當中能夠更好的勝任崗位相關工作，例如滲透測試、安全加固、風險評估等，也能夠了解到新的安全漏洞，及時把握信息安全的新發(fā)展動向。

5.2培訓地點：

客戶

5.3培訓時間：

五天，早上：9:00~12:00，下午：14:00~17:00

5.4培訓資料：

學員可在培訓*天上午領取。

5.5食宿安排：

與用戶溝通。

5.6培訓內容：

（工業(yè)控制系統(tǒng)信息安全及攻擊防守實戰(zhàn)培訓，5天）

關鍵詞：仿真實驗平臺實現(xiàn)方案/工控信息安全研究/教學仿真系統(tǒng)/工控信息安全研究與教學仿真系統(tǒng)/工控安全業(yè)務/仿真實驗平臺實現(xiàn)方案