工业控制系统信息安全沉浸式教学探究——以浙江大学为例
2022-07-21郝唯杰
阮 伟 陈 亮 郝唯杰 杨 强
工业控制系统信息安全沉浸式教学探究——以浙江大学为例
阮 伟1陈 亮2[通讯作者]郝唯杰3杨 强3
(1.浙江大学 控制科学与工程学院,浙江杭州 310027;2.浙江大学 先进技术研究院,浙江杭州 310027;3.浙江大学 电气工程学院,浙江杭州 310027)
如何高质、高效培养满足工业企业现场需求的工业控制系统信息安全复合人才,成为了国内高校面临的教学难题。基于此,文章以浙江大学为例,对工业控制系统信息安全沉浸式教学进行深入探索,设计了虚实结合的工业控制系统信息安全实训教学平台,并依托此平台开发了工业控制系统信息安全实训教学课程,弥补了工业控制系统信息安全教学过程中应用场景的缺失。课程教学实践及其满意度分析表明:学生可以沉浸在高逼真的工业控制应用场景中完成课程学习,还可以与实训教学平台互动,既突破了单向灌输式教育模式的禁锢,也充分调动了学生的好奇心与学习主动性,使学生能够更加系统、快速地掌握相关知识,并积极动手实践操作,提升了其解决实际问题的能力。
工业控制系统;信息安全;沉浸式教学;实训课程
引言
工业控制系统(下文简称“工控系统”)是国家重大技术装备、城市关键基础设施和工业企业的神经中枢与大脑,其能否安全运行直接关系国家战略安全。近年来,随着工业化与信息化的深入融合,大量工业控制设备暴露在互联网上[1],针对工控系统的网络攻击越来越多,且攻击手段高端多变,使其面临前所未有的安全风险与威胁[2][3]。然而,传统的信息安全技术及其相关的规范标准已无法充分满足当前工控系统对网络安全、运行安全、功能安全等的需求[4]。我国政府高度重视工控系统网络安全工作,已相继出台多部相关的法律法规与政策文件,如《中华人民共和国网络安全法》《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》等。
工控系统安全有别于传统的网络安全,涉及现代控制理论、网络通信技术、工业自动化、大数据、互联网与计算机技术等多个领域。目前,国内高等院校信息安全学科的教学大多侧重于基础理论知识的传授,缺乏与其相对应的实践能力培养和工程应用教学,而当前工业企业真正迫切需要的是能够解决工业生产现场信息安全实际问题的实用型、工程型、复合型人才[5]。可见,我国高等院校的教学内容与企业的切身实际应用需求存在着巨大的差距。随着信息技术、自动化技术、计算机技术以及相关工业生产工艺的快速更新换代,工控系统面对的信息安全新挑战与新问题不断涌现,这更是加剧了高等院校人才培养与工业企业实际工程需求的脱节。在此背景下,浙江大学深入剖析企业需求,分析典型工业生产场景的特点,构建了工业控制系统信息安全实训教学平台,并依托此平台开展相关的沉浸式实训教学。
一 工业控制系统信息安全沉浸式教学的发展现状
沉浸式教学是指为学生提供一个高度接近现实的学习场景,学生可以通过深度参与互动、实践应用而提升技能。沉浸式教学从理论上应达到三个层次[6]:第一个层次是学生在课程中有愉悦感、全心投入;第二个层次是学生在课程中反馈及时,与课程有良好互动;第三个层次是目标明确,学生技能水平与课程相匹配,学习效果良好。在实践方面,沉浸式教学已从简单模拟营造学习气氛发展到与虚拟现实、人工智能、大数据等技术相结合,构建高逼真的学习环境[7][8]。
工控系统信息安全学科是一门新兴的交叉学科,其教学需要深度结合多个学科的相关知识并多动手实践,才能培养出既符合高等院校教学目标又能满足工业企业应用需求的工控系统信息安全复合型人才[9]。更为重要的是,该学科对应用实践要求极高,目前高校教师对该学科的教学大多从理论角度出发,而缺乏实践教学内容,无法解决现有的工控系统信息安全现场遇到的实际问题,也无法满足相关企业或研究院所对实战型人才的需求[10]。可以说,对于如何高质、高效地培养工控系统信息安全人才此问题,各高校还处于探索阶段。由于工控系统信息安全学科以认知实践为导向,故采用沉浸式教学将产生事半功倍的效果。
工控系统信息安全沉浸式实训环境的建设通常存在设备和场地成本投入过高的问题,大部分高校难以承受,造成大多数高校缺乏工控系统信息安全的现场应用环境或是相关的高逼真模拟现场应用环境所需的软硬件设备,从而导致配套的教学内容无法跟上工控系统安全技术快速更新的速度[11][12],进而无法向学生提供具有针对性的工控系统信息安全应用能力培养课程与贴近工程实际的实训。由此可见,国内高校工控系统信息安全沉浸式实训环境的建设面临诸多挑战与困难,其中高逼真的工控系统实训应用环境及其相关工业场景的缺失,是加剧企业工控系统信息安全需求与工控系统信息安全人才培养相脱节的关键因素。因此,国内高校亟需建设用于沉浸式教学且成本可控的工业控制系统信息安全实训教学平台。
二 工业控制系统信息安全实训教学平台设计
1 实训教学平台建设的目标与原则
浙江大学工业控制系统信息安全实训教学平台(下文简称“实训教学平台”)面向浙江大学工业控制专业、电气工程与网络信息安全相关专业的本科生和研究生而开发,以培养满足工业企业实际需求的人才为目标,最大限度地提供实网、实境、实战的工控系统信息安全沉浸式教育。此外,实训教学平台还可以面向社会承担工控系统信息安全培训任务。
实训教学平台在建设过程中遵循两大原则:①实训教学平台能够逼真地模拟典型工业场景,在学习过程中给学生以沉浸式感受,增强学习效果;②实训教学平台采用虚实相结合的形式,尽可能地减少场地占用,节约建设成本。
2 实训教学平台架构设计
根据学生实训需求和工业企业的工控系统应用现状,本研究选取电力系统、天然气长输管线两大工业场景来构建实训教学平台。依据两大场景的现场工业控制系统网络拓扑,本研究设计了实训教学平台4层网络架构,如图1所示。为保证每层网络的数据安全,每层网络之间不能直通,因而在企业办公网与生产管理网之间用1台信息网络防火墙隔离,在生产管理网与生产控制网之间用1台工业网络防火墙隔离,每个防火墙都配置相应的安全策略。
①0层:学生实训接入网,是学生参加实训时的接入平台。学生实训接入网配置了11台交换机,且全部采用实物方式配置。其中,1台为汇聚交换机,其他10台为接入交换机。学生实训接入网一次可以容纳10组学生参加实训,但每组最多为4名学生,因此实训教学平台最多可以同时承担40名学生的实训学习。
图1 工业控制系统信息安全实训教学平台架构
②1层:企业办公网,用于模拟企业办公所需的各类应用与服务。1层的企业办公网配置了1台办公服务器,可以安装20台虚拟机。虚拟机之间相互隔离,其中10台虚拟机作为企业门户网站服务器并安装相关软件,另外10台作为企业邮件服务器并安装相关软件,以提供与企业现场相同的企业门户网站与邮件服务功能——这20台虚拟机均可作为远程攻击渗透的入口。
③2层:企业生产管理网,用于模拟企业生产管理所需的各类应用与服务。2层的企业生产管理网配置了1台生产管理服务器,可以安装30台虚拟机。虚拟机之间相互隔离,其中10台虚拟机作为企业资产管理站,10台作为生产过程优化站,另外10台作为企业生产管理站,分别安装与企业现场相同的资产管理、生产过程优化、企业生产管理软件,以提供与企业现场相同的应用与服务——这30台虚拟机均可作为网络攻击渗透通道。
④3层:企业生产控制网,用于模拟企业生产过程与工业控制系统的各类应用与服务。3层的企业生产控制网配置了3台生产模拟服务器、20台工控操作员站、2套流程工业微缩生产装置和2套工业控制系统。具体来说,3台生产模拟服务器安装40台虚拟机,其中20台虚拟机作为虚拟工控系统操作站,在操作员站和虚拟操作员站安装工业控制系统监控软件,用于模拟工业现场的操作员行为;另外20台虚拟机作为工控蜜罐安装工控系统蜜罐软件,工控蜜罐用于增加实训学习过程中的攻防难度。20台工控操作员站用于U盘摆渡渗透,不同工控操作员站之间通过IP分配策略相互隔离。2套流程工业微缩生产装置是指1套电力系统缩微生产装置和1套天然气长输管线微缩生产装置,前者能够动态、逼真地模拟火力发电场景中的发、变、输、配、用等关键流程并可发出1kw电力供给用电设备,后者能够动态、逼真地模拟天然气传输场景的首站、增压站、门站等关键工业流程,这2套装置均配置传感器与执行器,通过硬接线与工业控制系统进行数据交互。2套流程工业微缩生产装置分别由其对应的1套工业控制系统进行控制,这2套系统采用国内企业使用的主流工业控制系统软硬件,能够实现对微缩生产装置相关设备的启动、停止操作和声光电信号状态反馈显示,并实时监控微缩生产装置的运行状态。
上述1~3层网络模拟了电力系统和天然气长输管线两大工业场景的工业控制系统网络拓扑和生产所需的各类应用服务。考虑到经费与场地受限,实训教学平台采用虚实结合方式建设:企业办公网与企业生产管理网的硬件以虚拟为主,企业生产控制网的硬件以实物为主;所有软件全部采用工业生产现场所用软件。参加实训课程的学生可以在0层接入实训教学平台,由此进入企业办公网,之后渗透穿过防火墙进入企业生产管理网,最后渗透穿过工业防火墙进入企业生产控制网,并在企业生产控制网内的工业控制系统完成对电力缩微生产装置或天然气长输缩微生产装置的操控,触发缩微生产装置声、光、电的响应和执行器的动作,从而完成一次完整的信息安全攻防实践。
值得一提的是,实训教学平台还配置了1台攻防管理服务器、1台入侵检测服务器、1台终端防护服务器。其中,攻防管理服务器安装攻防管理软件与课程管理软件,提供登录管理、学习过程动态记录、自动打分等功能;入侵检测服务器安装流量异常检测软件,用于数据流量监测、异常报警;终端防护服务器安装终端安全防护软件,用于整个网络中每台计算机和服务器异常行为的辨识与报警,自动构建网络攻击渗透路径,并对网络攻击链追踪溯源。入侵检测服务器和终端防护服务器还有一个重要功能,是作为学习过程中防守方的防守工具与接入口。
三 工控系统信息安全实训课程设计
工控系统信息安全实训课程紧密依托实训教学平台开发,主要分为两类:①知识学习课程,具有内容广而精、针对性强的特点。与传统的专业课程相比,知识学习课程的知识面更广,涉及计算、自动化、电气、能源动力学科的相关内容;课程内容也更具针对性,其在各学科中只抽取与工控系统信息安全相关的内容放到课程内容中。②攻防实训课程,是利用实训教学平台中的工控系统、缩微生产装置和其他应用服务与学生互动的课程,以学生动手实战实操为主。
1 知识学习课程设计
知识学习课程是指工控系统信息安全学习过程中必备的基本知识,主要包括基础知识、专业知识、网络安全知识,如表1所示。其中,网络安全知识是指网络安全相关的概念及术语。知识学习课程配有名师讲解录制的视频、实践操作的演示视频、课后作业题与思考题,知识学习课程被存放在攻防管理服务器中,学生可以通过客户端注册、登录后学习。
表1 知识学习课程设计
2 攻防实训课程设计
攻防实训课程是指依托实训教学平台,利用感官或动手操作来完成的实践课程,包括工业生产及其安全、工业控制系统及其功能安全、工控系统信息安全与常用攻防手段、国内外典型工控系统信息安全案例分析及复现、工控系统信息安全攻防实践五类课程,具体如表2所示。
表2 攻防实训课程设计
值得一提的是,“工控系统信息安全攻防实践”课程采用夺旗赛(Capture The Flag,CTF)模式,将实训学生分成若干个小组,每个小组4人,要求每个小组针对课程设定的Flag或目标逐级渗透,并以最终提交Flag或改变目标状态作为渗透成功的标志。在CTF模式下,实训教学平台为实训学生提供了网络安全工具库,供学生参与实训课程时方便地下载使用相关安全工具。
四 实训课程教学实践及其满意度分析
实训教学平台于2017年3月开始建设,2018年8月建成,先后完成了多届本科生和研究生的实训教学任务。实训课程的教学过程分为三个阶段:第一个阶段,学生在线学习信息安全相关基础知识;第二个阶段,学生在线学习工控系统的专业知识和工业安全相关知识;第三个阶段,学生开展工控安全攻防实践训练。每次知识学习课程均设有相关的课后作业,学生必须完成作业才能结束课程,实训教学平台会根据作业的答题结果给出每个学生的课程评分;在攻防实训课程的软件中设置了Flag,实训教学平台会以学生提交Flag的数量和质量作为评分标准来完成学生实训评分。
每期课程最后一节课结束前,授课教师会现场发放课程满意度调查问卷,本次抽取2019年第一学期面向30名学生发放的课程满意度调查问卷作为案例进行分析研究。该问卷发放与回收的有效率均达100%,问卷内容包括课程整体效果、课程沉浸感受、课程实用性、知识学习课程内容、攻防实训课程内容、缩微装置逼真度、工业场景设计、评分标准8个子项的满意度调查。每个子项有5个选项,按照李克特五点量表计分,从“非常不满意”到“非常满意”分别用1~5分表示。通过统计服务的科学平台(Scientific Platform Serving for Statistics Professional,SPSSPRO)在线分析,得到问卷的信度分析结果如表3所示,其中Cronbach’s α系数值为0.879,说明该问卷的信度很好;同时,得到问卷的效度分析结果如表4所示,其中KMO值为0.837,Bartlett球形检验结果中=0.000<0.005,水平上呈现显著性,说明各变量间具有很强的相关性,因子分析有效,适合作因子分析。
表3 问卷的信度分析结果
表4 问卷的效度分析结果
课程满意度问卷调查结果如表5所示,可以看出:在课程整体效果方面,选“非常满意”的学生人数占比70%、选“满意”的占比23.333%,故整体满意度达到93.333%;此外,课程沉浸感受、课程实用性和攻防实训课程内容的整体满意度均为90%以上,知识学习课程内容、缩微装置逼真度和工业场景设计的整体满意度均为80%以上,评分标准的整体满意度为80%。由此可见,学生对工控系统信息安全沉浸式教学课程整体满意度较高,特别是对课程沉浸感受、课程实用性和攻防实训课程内容的满意度很高,达到了课程的预期效果。
从2018年12月到2021年12月,本研究先后完成了5次问卷调查,问卷反馈结果与上述抽取的问卷结果相似。通过对问卷调查结果和学生课后作业的完成情况进行详细分析,并结合与学生面谈内容的录音文本分析,本研究发现:通过与实训教学平台互动式的沉浸学习,学生系统地掌握了大量传统教学所无法传授的实战网络攻防知识、工业控制系统与工业生产场景的工艺流程知识等,真正做到了理论与实践相结合。实训教学平台提供的高逼真工业控制应用场景,给学生以身临其境般的感受,让学生沉浸其中与实训教学平台实时互动,彻底突破了单向灌输式教育,最大限度地调动了学生的好奇心与学习主动性,使学生更加系统、快速地掌握相关知识,并积极动手实践,提升了其解决实际问题能力,取得了很好的教学效果。通过实训教学,学生可以基本熟悉工控系统的功能、工作原理和相关网络通信协议,掌握常用的网络攻防技术,并全面了解电力系统生产与天然气长输管线生产的工艺流程。
表5 课程满意度问卷调查结果
五 结语
本研究以浙江大学为例,对工控系统信息安全沉浸式教学进行探究,设计了工控系统信息安全沉浸式实训教学平台,并依托此平台开发了工控系统信息安全实训课程,结果发现:工控系统信息安全沉浸式教学有助于学生积极、主动地参与实际的工程实训,锻炼他们解决实际问题的能力,并增进他们对相关学科的理解。与此同时,结合浙江大学的教学实践与学生的反馈,本研究也发现一些不足,如实操课设置偏少,后续应多开发“以学生为中心”的实操课,利用已有工具进行端口扫描或漏洞挖掘,培养学生的动手能力;课程评分标准不太合理,知识学习课比重过高,而攻防实训课比重偏低,不利于激发学生参与实践的积极性,后续应设置尽可能多的国内外典型信息安全事件复现课程,提高攻防实训课评分比重,鼓励学生动手实践。
[1]雷远东.工控安全现状及面临的问题[J].网络安全和信息化,2018,(6):36-37.
[2]徐伟,孔坚,毛庆梅,等.工业控制系统安全现状及应对策略[J].网络安全技术与应用,2021,(9):115-117.
[3]冯伟.我国工业控制系统面临的信息安全挑战及措施建议[J].信息安全与技术,2013,(2):19-22.
[4]邸丽清,谢丰.工业控制系统信息安全与功能安全结合之探讨[J].中国信息安全,2016,(4):62-65.
[5]朱辰,孙斌,金心宇,等.网络空间安全攻防实验教学与实训平台的构建[J].实验室研究与探索,2021,(6):265-267、275.
[6]艾兴,李苇.基于具身认知的沉浸式教学:理论架构、本质特征与应用探索[J].远程教育,2021,(5):55-65.
[7]唐颖,余愿.基于虚拟现实技术的沉浸式教学实践探索[J].进展:科学视界,2022,(4):92-94.
[8]段丹萍.多种理论视角下的VR教育应用研究综述[J].中国教育技术装备,2019,(6):54-56、60.
[9]陈志翔,欧斌娜,田谦益.工控系统网络信息安全本科教学课程探讨[J].计算机教育,2019,(4):28-33.
[10]黄兆军.高职院校信息类新工科专业建设探索——以工控信息安全专业为例[J].职业教育(下旬刊),2020,(11):25-34.
[11]王立新,蒋烈辉,郭玉东,等.以嵌入式为核心的计算机课程体系建设[J].计算机教育,2016,(2):66-68.
[12]杨良斌,周新丽,刘思涵,等.大数据背景下网络空间安全人才培养机制与模式研究[J].情报杂志,2016,(12):81-87、80.
Research on the Immersion Teaching of Information Security of Industrial Control Systems——Taking Zhejiang University as an Example
RUAN Wei1CHEN Liang2[Corresponding Author]HAO Wei-jie3YANG qiang3
How to high-quality and effectively cultivate compound talents of information security of industrial control systems that meet the on-site needs of industrial enterprises has become a teaching problem faced by domestic colleges and universities. Based on it, taking Zhejiang University as an example, this paper conducted an in-depth exploration on the immersion teaching of information security of industrial control systems, designed the practice training teaching platform of information security of industrial control systems that combined virtuality and reality, and accordingly developed the practice training teaching course of information security of industrial control systems, which made up for the lack of application scenarios in the teaching process of information security of industrial control systems. The course teaching practice and its satisfaction analysis showed that students can immerse themselves in high-fidelity industrial control application scenarios to complete the course learning, and also interact with the practice training teaching platform, which broke through the confinement of the one-way indoctrination education model and fully mobilized students’ curiosity and learning initiative, enabled students to master relevant knowledge more systematically and quickly, improved their practical problem-solving ability through active hands-on practice.
industrial control system; information security; immersion teaching; practice training course
G40-057
A
1009—8097(2022)07—0093—08
10.3969/j.issn.1009-8097.2022.07.011
阮伟,主任,讲师,博士,研究方向为工业控制系统信息安全,邮箱为ruanwei@zju.edu.cn。
2021年12月12日
编辑:小米