摘 要：工業(yè)生產控制網絡大量采用通用協議、硬件和軟件，傳統(tǒng)信息安全威脅也嚴重影響到工業(yè)控制網絡的安全。本文結合等級保護要求和《工業(yè)控制系統(tǒng)信息安全防護指南》要求，設計高職院校信息安全與管理專業(yè)工控安全實訓室建設方案，滿足信息安全與管理專業(yè)學生在工控安全技術領域的教學實訓需求。

關鍵詞：工業(yè)；控制；安全；實訓室；設計

1 工業(yè)控制系統(tǒng)的安全現狀

在工業(yè)4.0、工業(yè)互聯網、中國制造2025的大背景下，工業(yè)化與信息化不斷的融合，涉及國計民生的國家關鍵信息基礎設施越來越多地依靠工業(yè)控制系統(tǒng)實現全面自動化作業(yè)，工業(yè)生產控制網絡會大量采用通用協議、硬件和軟件，傳統(tǒng)信息安全威脅也嚴重影響到工業(yè)控制網絡的安全，其信息安全風險將隨時發(fā)生，嚴重威脅著工業(yè)企業(yè)的生命財產安全。

近年來，我國政府空前關注國家關鍵信息基礎設施的安全防護工作，《國家網絡安全法》明確把工業(yè)控制系統(tǒng)作為重點保護對象，要求定期進行關鍵信息基礎設施安全檢查。工信部在2016年11月3日又發(fā)布《工業(yè)控制系統(tǒng)信息安全防護指南》，從工業(yè)控制系統(tǒng)設計、選型、建設、測試、運行、檢修、廢棄各階段防護工作要求，從安全軟件選型、訪問控制策略構建、數據安全保護、資產配置管理等方面提出了具體實施細則。

重慶電子工程職業(yè)學院為滿足企業(yè)對工業(yè)控制領域信息安全才的需求，提高信息安全與管理專業(yè)學生實踐能力，在原有信息安全設備、網絡攻防、工業(yè)機器人、嵌入式技術等實訓室的基礎上，融合信息安全與管理、工業(yè)機器人專業(yè)的師資力量，自2016年起開始工控實訓室建設方案的設計研究，滿足信息安全與管理、工業(yè)機器人專業(yè)學生在工控安全技術領域的教學、環(huán)境體驗、工業(yè)控制系統(tǒng)漏洞掃描與網絡攻防、工控安全設備配置與管理等實訓需求，工控安全實訓室需滿足如下功能要求：工業(yè)控制系統(tǒng)控制過程模擬實訓；工業(yè)控制系統(tǒng)操作安全管理實訓；工業(yè)控制系統(tǒng)網絡攻防演練實訓；工業(yè)控制系統(tǒng)控制策略設計實訓；工業(yè)控制系統(tǒng)安全設備部署實訓。

2 工控安全實訓室設計總體技術框架

按照等級保護要求和工控系統(tǒng)的層級防護，結合等級保護要求和《工業(yè)控制系統(tǒng)信息安全防護指南》要求，重慶電子工程職業(yè)學院工控安全實訓室從安全防護、攻擊滲透、漏洞掃描等技術領域進行設計，實訓室設計總體技術框架如圖1所示。

3 工業(yè)控制安全實訓室的安全功能模塊

3.1 效果展示系統(tǒng)模塊

效果展示系統(tǒng)模塊通過豐富的圖形化展示方式呈現全網工控設備安全監(jiān)控、安全設備統(tǒng)一調度、系統(tǒng)運維、知識庫管理等，提供有效的違規(guī)操作報警、安全報警，具備以豐富的報表展現手段對各類數據進行直觀顯示，輔助以網絡拓撲、地理位置多種圖形化功能為系統(tǒng)用戶提供方便快捷的信息獲取途徑。

效果展示系統(tǒng)模塊展示四個層次的展示界面。

（1）工控網絡設備拓撲圖，設備通斷情況展示、設備重大安全事件報警顯示。

（2）工控設備拓撲圖、流量情況、通斷情況、安全事件詳情和統(tǒng)計圖表等。

（3）工控系統(tǒng)的安全日志信息、信息安全事件分布、風險統(tǒng)計和趨勢、設備漏洞和配置問題、入侵流量情況等。

（4）展示實訓室工控安全狀態(tài)，包括信息安全事件分布、風險統(tǒng)計和趨勢、安全事件處理分析等。

3.2 安全防護系統(tǒng)模塊

系統(tǒng)安全防護模塊包括統(tǒng)一安全管理、工控防火墻、主機安全、監(jiān)測與審計等功能模塊。

統(tǒng)一安全管理模塊實現操作站、服務器、網絡設備、信息安全設備、現場控制設備等的安全監(jiān)控，支持設備自動拓撲發(fā)現，能夠將被管理設備進行分組、分域的統(tǒng)一維護，可查看設備的性能、發(fā)生的安全事件、告警、漏洞、風險、配置基線核查結果、接口狀態(tài)等信息。

監(jiān)測與審計模塊實現工控網絡業(yè)務流量分析、安全事件管理、安全風險管理。業(yè)務流量分析的違規(guī)事件分析通過事件的訪問關系，梳理出當前網絡中的工控設備訪問行為狀況，對違反訪問控制規(guī)則的事件生成告警信息，并匯總到違規(guī)行為事件中作對應統(tǒng)計。流量行為分析基于業(yè)務行為規(guī)則的白名單式的精準檢測、基于業(yè)務流量行為入侵分析的預警、通過防火墻策略控制達到智能、柔性的防御，通過與系統(tǒng)其他功能的結合，可以實現對業(yè)務健康度指標分析，實現一般日志與業(yè)務流量檢測結果的精確關聯分析。

防火墻模塊實現基于地址、端口、時間、物理端口、服務的狀態(tài)包過濾；支持包括OPC、Modbus和IEC104在內的6種以上的基于工業(yè)協議深度異常檢測，實現工業(yè)通信協議動態(tài)端口解析、完整性檢查、合法性檢查等。

3.3 攻擊滲透系統(tǒng)模塊

實訓室根據實際需要，自主制定滲透測試實訓方案，如高仿真攻防演練、在線異常監(jiān)測、抵御保護驗證等，可實現關鍵控制器的安全防護、工控主機安全加固，攻防演練實訓，包括遠程滲透攻擊、內部攻擊、病毒攻擊、WI-FI攻擊，執(zhí)行預定的網絡探測，包括對網絡通信服務、操作系統(tǒng)、路由器、電子郵件、Web服務器、防火墻和應用程序的檢測。

3.4 漏洞挖掘系統(tǒng)模塊

漏洞挖掘系統(tǒng)模塊實現對TCP/IP通信協議、工業(yè)控制協議（如Modbus TCP、OPC、Siemens S7等）的通信報文進行深度解析（DPI，Deep Packet Inspection），可對工業(yè)控制系統(tǒng)中的控制設備、操作站、工程師站、服務器、數據庫、中間件等多種系統(tǒng)進行掃描、識別，為工業(yè)控制系統(tǒng)提供完善的漏洞分析檢測，系統(tǒng)可針對Windows、Linux、Unix、Solaris等操作系統(tǒng)中工控應用軟件進行漏洞挖掘，發(fā)現多種數據庫、中間件、工業(yè)控制系統(tǒng)的漏洞信息。

4 工業(yè)控制安全實訓室的實施

4.1 工控設備的安裝調試

根據實訓室的總體設計方案確定工控設備擺放位置表，每臺設備均按照設備編號貼好標簽，設計與安裝電源線，電源線容量滿足要求，電源線布線做到安全整潔，對所有工控設備、交換機、服務器等設備進行加電測試。

4.2 工控實訓室的網絡布線

按照實訓室走線圖及設備端口連線圖將所有設備間的連線按布線規(guī)范進行布線并連接好，每條網線按設計方案做好標簽，并繪制設備端口連線圖。

4.3 工控安全設備配置

根據實訓室設計方案中每臺工控安全設備IP地址、掩網子碼等網絡參數的要求對網絡設備、安全設備等進行配置，配置設備的安全策略。

參考文獻

[1]王志強，王紅凱，張旭東，沈瀟軍.工業(yè)控制系統(tǒng)安全隱患及應對措施研究.信息網絡安全，2014（9）：203-206

[2]孫易安，胡仁豪.工業(yè)控制系統(tǒng)漏洞掃描與挖掘技術研究.網絡空間安全， 2017（01）：75-77

[2]夏飛.智能電網智能終端工控安全風險分析及防護方案.無線互聯科技，2016（22）：117-119

作者簡介

何歡（1973-），男，漢放，四川南江人，碩士，副教授，研究方面為計算機、算法研究、通信安全、電子電路、信息安全、風險評估等。