高职院校信息安全与管理专业工控安全实训室建设方案设计

2017-08-17何欢

卷宗 2017年19期

摘要：工业生产控制网络大量采用通用协议、硬件和软件，传统信息安全威胁也严重影响到工业控制网络的安全。本文结合等级保护要求和《工业控制系统信息安全防护指南》要求，设计高职院校信息安全与管理专业工控安全实训室建设方案，满足信息安全与管理专业学生在工控安全技术领域的教学实训需求。

关键词：工业；控制；安全；实训室；设计

1 工业控制系统的安全现状

在工业4.0、工业互联网、中国制造2025的大背景下，工业化与信息化不断的融合，涉及国计民生的国家关键信息基础设施越来越多地依靠工业控制系统实现全面自动化作业，工业生产控制网络会大量采用通用协议、硬件和软件，传统信息安全威胁也严重影响到工业控制网络的安全，其信息安全风险将随时发生，严重威胁着工业企业的生命财产安全。

近年来，我国政府空前关注国家关键信息基础设施的安全防护工作，《国家网络安全法》明确把工业控制系统作为重点保护对象，要求定期进行关键信息基础设施安全检查。工信部在2016年11月3日又发布《工业控制系统信息安全防护指南》，从工业控制系统设计、选型、建设、测试、运行、检修、废弃各阶段防护工作要求，从安全软件选型、访问控制策略构建、数据安全保护、资产配置管理等方面提出了具体实施细则。

重庆电子工程职业学院为满足企业对工业控制领域信息安全才的需求，提高信息安全与管理专业学生实践能力，在原有信息安全设备、网络攻防、工业机器人、嵌入式技术等实训室的基础上，融合信息安全与管理、工业机器人专业的师资力量，自2016年起开始工控实训室建设方案的设计研究，满足信息安全与管理、工业机器人专业学生在工控安全技术领域的教学、环境体验、工业控制系统漏洞扫描与网络攻防、工控安全设备配置与管理等实训需求，工控安全实训室需满足如下功能要求：工业控制系统控制过程模拟实训；工业控制系统操作安全管理实训；工业控制系统网络攻防演练实训；工业控制系统控制策略设计实训；工业控制系统安全设备部署实训。

2 工控安全实训室设计总体技术框架

按照等级保护要求和工控系统的层级防护，结合等级保护要求和《工业控制系统信息安全防护指南》要求，重庆电子工程职业学院工控安全实训室从安全防护、攻击渗透、漏洞扫描等技术领域进行设计，实训室设计总体技术框架如图1所示。

3 工业控制安全实训室的安全功能模块

3.1 效果展示系统模块

效果展示系统模块通过丰富的图形化展示方式呈现全网工控设备安全监控、安全设备统一调度、系统运维、知识库管理等，提供有效的违规操作报警、安全报警，具备以丰富的报表展现手段对各类数据进行直观显示，辅助以网络拓扑、地理位置多种图形化功能为系统用户提供方便快捷的信息获取途径。

效果展示系统模块展示四个层次的展示界面。

（1）工控网络设备拓扑图，设备通断情况展示、设备重大安全事件报警显示。

（2）工控设备拓扑图、流量情况、通断情况、安全事件详情和统计图表等。

（3）工控系统的安全日志信息、信息安全事件分布、风险统计和趋势、设备漏洞和配置问题、入侵流量情况等。

（4）展示实训室工控安全状态，包括信息安全事件分布、风险统计和趋势、安全事件处理分析等。

3.2 安全防护系统模块

系统安全防护模块包括统一安全管理、工控防火墙、主机安全、监测与审计等功能模块。

统一安全管理模块实现操作站、服务器、网络设备、信息安全设备、现场控制设备等的安全监控，支持设备自动拓扑发现，能够将被管理设备进行分组、分域的统一维护，可查看设备的性能、发生的安全事件、告警、漏洞、风险、配置基线核查结果、接口状态等信息。

监测与审计模块实现工控网络业务流量分析、安全事件管理、安全风险管理。业务流量分析的违规事件分析通过事件的访问关系，梳理出当前网络中的工控设备访问行为状况，对违反访问控制规则的事件生成告警信息，并汇总到违规行为事件中作对应统计。流量行为分析基于业务行为规则的白名单式的精准检测、基于业务流量行为入侵分析的预警、通过防火墙策略控制达到智能、柔性的防御，通过与系统其他功能的结合，可以实现对业务健康度指标分析，实现一般日志与业务流量检测结果的精确关联分析。

防火墙模块实现基于地址、端口、时间、物理端口、服务的状态包过滤；支持包括OPC、Modbus和IEC104在内的6种以上的基于工业协议深度异常检测，实现工业通信协议动态端口解析、完整性检查、合法性检查等。

3.3 攻击渗透系统模块

实训室根据实际需要，自主制定渗透测试实训方案，如高仿真攻防演练、在线异常监测、抵御保护验证等，可实现关键控制器的安全防护、工控主机安全加固，攻防演练实训，包括远程渗透攻击、内部攻击、病毒攻击、WI-FI攻击，执行预定的网络探测，包括對网络通信服务、操作系统、路由器、电子邮件、Web服务器、防火墙和应用程序的检测。

3.4 漏洞挖掘系统模块

漏洞挖掘系统模块实现对TCP/IP通信协议、工业控制协议（如Modbus TCP、OPC、Siemens S7等）的通信报文进行深度解析（DPI，Deep Packet Inspection），可对工业控制系统中的控制设备、操作站、工程师站、服务器、数据库、中间件等多种系统进行扫描、识别，为工业控制系统提供完善的漏洞分析检测，系统可针对Windows、Linux、Unix、Solaris等操作系统中工控应用软件进行漏洞挖掘，发现多种数据库、中间件、工业控制系统的漏洞信息。

4 工业控制安全实训室的实施

4.1 工控设备的安装调试

根据实训室的总体设计方案确定工控设备摆放位置表，每台设备均按照设备编号贴好标签，设计与安装电源线，电源线容量满足要求，电源线布线做到安全整洁，对所有工控设备、交换机、服务器等设备进行加电测试。

4.2 工控实训室的网络布线

按照实训室走线图及设备端口连线图将所有设备间的连线按布线规范进行布线并连接好，每条网线按设计方案做好标签，并绘制设备端口连线图。

4.3 工控安全设备配置

根据实训室设计方案中每台工控安全设备IP地址、掩网子码等网络参数的要求对网络设备、安全设备等进行配置，配置设备的安全策略。

参考文献

[1]王志强，王红凯，张旭东，沈潇军.工业控制系统安全隐患及应对措施研究.信息网络安全，2014（9）：203-206

[2]孙易安，胡仁豪.工业控制系统漏洞扫描与挖掘技术研究.网络空间安全， 2017（01）：75-77

[2]夏飞.智能电网智能终端工控安全风险分析及防护方案.无线互联科技，2016（22）：117-119

作者简介