网御星云《工业控制系统信息安全靶场资源管控系统》成功入选“2023年工业安全系统典型应用示范案例”,以下是《自动化博览》杂志刊登方案摘录:

随着工业企业数字化转型深度推进,信息技术与工业控制深度融合,工业网络逐步互联开放,网络攻击成本降低,安全风险因素增多,网络安全形势空前复杂,工业网络已成为网络空间攻防对抗的新战场。本文结合工业业务场景,分析工业控制系统信息安全的本质特征,利用覆盖需求分析、设计、研发、集成、测试、评估、运维、废止全生命周期的工业控制系统信息安全靶场资源管控系统,实现共性组件、资源的调度和跨网络、跨架构的攻防演练,为工业控制系统安全测试验证、攻防演练提供切实可行方案。

关键词:工业网络安全;攻防演练;安全靶场管控

项目概况

1、项目背景

工控系统广泛应用于工业、智能制造、交通、水利以及市政等国家关键基础设施领域,涉及到国家安全、经济命脉和人民群众的生产生活,一旦受到攻击,可能引发工厂停产、环境污染、人员伤亡、社会动荡等灾难性的后果。近年来,工控系统面临的外部威胁日益增加,面临的攻击更加复杂、多样、隐蔽、系统和持续。为贯彻落实《中华人民共和国网络安全法》《国务院关于印发<中国制造2025>的通知》(国发〔2015〕28号)《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号)《国务院关于关于深化“互联网+先进制造业”发展工业互联网的指导意见》,切实保障制造强国和网络强国建设,加强工业控制系统安全保障工作显得尤其重要。

工业控制系统信息安全靶场是工控安全测试验证、攻防演练的重要载体。然而,能源、钢铁、有色、化工、装备制造等关系国计民生的典型行业工业控制系统组成架构千差万别,所面临的安全风险和防护手段也有所不同。但不同行业又有着共性的漏洞、风险、防范场景,甚至部分控制组件也是相同的。因此,有必要建设工业控制系统信息安全靶场资源管控系统,实现共性组件、资源的调度和跨网络、跨架构的攻防演练。

02、项目简介

“工业控制系统信息安全靶场资源管控系统”旨在打造覆盖工控系统需求分析、设计、研发、集成、测试、评估、运维、废止全生命周期的攻防对抗演练靶场。靶场主要包含基础引擎、资源管控、组件监控、角色应用、核心业务等系统,可提供覆盖能源、钢铁、有色、化工、装备制造等关系到国计民生、经济社会运转的核心重点行业的攻防演练实战场景;支持开展“攻防对抗、漏洞挖掘、风险验证、应急演练和培训教育”五大业务应用。

项目实施

01、项目内容

“工业控制系统信息安全靶场资源管控系统”为纯软件研发和集成的调度管控系统,包括基础引擎子系统、资源管控子系统、组件监控系统、角色应用子系统、核心业务子系统五大核心模块,能够调度和管控靶场集成的实物工控设备和安全设备,并在虚实结合组网的情况下快速实现对工控网络环境的仿真。

同时,该系统通过提炼不同行业的共性漏洞、风险、防范场景及控制组件,实现共性组件、资源的调度和跨网络、跨架构的攻防演练,支持接入全系列或主流工控系统及工业信息安全领域相关检测工具。利用检测环境进行检测、评估、验证及工业信息安全新技术研究,研发相关检测、评估、验证工具及标准规范。

此外,系统还可助力不同业务场景开展攻防对抗、漏洞挖掘、风险验证、应急演练和培训教育为核心的各类业务。

02、项目方案

“工业控制系统信息安全靶场资源管控系统”总体架构从纵向、横向两个维度,实现大系统的互联、互通、互操作。系统总体架构图具体如下:

系统总体架构图
打开网易新闻 查看精彩图片
系统总体架构图

架构分层设计包含:调度管理层、安全基础资源层、攻防对抗监控层、核心业务层以及靶场平台应用层。

(1)调度管理层:实现靶场基础引擎子系统与资源管控子系统的对接,为上层场景构建、虚实结合组网、资源申请释放提供功能接口。

(2)安全基础资源层:为基础引擎提供基础组件资源,将物理设备、虚拟设备、安全设备进行基于场景拓扑的编排,为上层业务系统提供多元靶场组件构成的测试演练环境。

(3)攻防对抗监控层:通过采集虚拟平台数据、组件运行数据、用户行为数据等,为核心业务系统中的白方系统提供监控、分析、可视化的数据来源。

(4)核心业务层:实现对组件监控子系统、基础引擎子系统、资源管理子系统的调度,为用户基于角色的核心业务提供一体化功能服务。

(5)平台应用层:满足靶场功能业务,实现攻防演练、漏洞挖掘、风险验证、应急演练和培训教育等全生命周期能力提升及技术保障服务。架构分层图具体如下:

架构分层设计图
打开网易新闻 查看精彩图片
架构分层设计图

“工业控制系统信息安全靶场资源管控系统”在架构设计上实现了多子系统交互和调度的接口规约以及平台自身安全保障功能。从子系统层面看,架构从基础引擎子系统到角色应用子系统,每个子系统的功能均实现模块化架构,每个子系统之间通过标准接口规约进行交互和调度。在架构分层设计实现上,每个资源层均由下层向上层提供资源调用接口,上层对下层实现管控接口。

03、项目效果

(1)系统满足红队、蓝队、白队、黄队等不同角色开展攻防演练的需求,具备同时支撑百人进行攻防实战演练的能力。

(2)依托系统,实现针对PLC、DCS、SCADA、RTU等工业控制系统组成设备或软件开展漏洞挖掘的需求。

(3)系统具备按需组网功能,能够依据需要接入多种风险验证评估工具,以适配多种评估与风险验证方法。

(4)系统提供实操演练环境和规范化操作流程,助力提升演练人员针对工业信息安全的认知和技能水平。

(5)系统拥有完整的课程体系,同时预置大量实训环境,助力参训人员学习、训练以获得成长提升。同时支持实训环境的自由构建,以满足多样需求。

04、项目亮点

(1)一体化思想统筹建设,超前布局

“工业控制系统信息安全靶场资源管控系统”体系架构设计采用一体化思想,统筹建设,超前布局。既考虑到已有的信息系统资源,又结合了客户系统未来的建设规划,从系统层面,关注纵向、横向,成功实现大系统的互联、互通、互操作,为靶场综合集成奠定基础。

(2)快速自动化实现工控网络仿真环境

“工业控制系统信息安全靶场资源管控系统”能够调度和管控靶场集成的真实实物工控设备和安全设备,并在虚实结合组网的情况下,快速自动化的实现对工控网络环境的仿真,成功解决了无法在真实环境中对复杂大规模异构网络和用户进行逼真的模拟和测试以及风险评估等问题。此外,系统支持接入全系列或主流工控系统及工业信息安全领域相关检测工具。利用检测环境进行检测、评估、验证及工业信息安全新技术研究,研发相关检测、评估、验证工具及标准规范。

(3)灵活架构助力高效开展攻防演练

“工业控制系统信息安全靶场资源管控系统”基于不同行业所面临的安全风险,实现了共性组件、资源调度和跨网络、跨架构的攻防演练,提供覆盖分析、设计、研发、集成、测试、评估、运维等全生命周期保障服务,助力实现国家工业信息安全能力的整体提升。