CN107942724A - 一种工业关键基础设施信息安全防护仿真验证平台 - Google Patents
一种工业关键基础设施信息安全防护仿真验证平台 Download PDFInfo
- Publication number
- CN107942724A CN107942724A CN201711125733.8A CN201711125733A CN107942724A CN 107942724 A CN107942724 A CN 107942724A CN 201711125733 A CN201711125733 A CN 201711125733A CN 107942724 A CN107942724 A CN 107942724A
- Authority
- CN
- China
- Prior art keywords
- control system
- dispatching
- station control
- industrial
- critical infrastructures
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B17/00—Systems involving the use of models or simulators of said systems
- G05B17/02—Systems involving the use of models or simulators of said systems electric
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明属于信息安全技术领域,并公开了一种工业关键基础设施信息安全防护仿真验证平台,包括自下而上的物理对象仿真系统、分布式站控系统、广域网仿真系统以及调度控制系统;物理对象仿真系统用于描述工业CI的系统结构、生产工艺以及控制流程;分布式站控系统接受调度控制系统的控制指令对工业CI的站场进行控制,向调度控制系统反馈站场实时运行状态;广域网仿真系统用于对工业CI中连接调度控制系统与分布式站控系统的广域网络进行建模和仿真;调度控制系统用于协调控制工业CI的各分布式站控系统,并实时查询、显示及保存分布式站控系统的运行状态数据。本发明可在实验室环境下快速建立,符合工业CI特点,可用于信息安全攻防演练。
Description
技术领域
本发明属于信息安全技术领域,具体涉及一种工业关键基础设施信息安全防护仿真验证平台。
背景技术
关键基础设施(Critical Infrastructure,CI)是指对国家至关重要的、实体的或虚拟的系统和资产,这些系统和资产一旦遭到破坏或功能丧失,就会危及国防安全、国家经济安全、公众健康或社会稳定。工业控制系统(Industrial Control System,ICS)是工业关键基础设施的大脑和中枢神经,被广泛地使用于水处理、能源、电力、化工、交通运输、金融等行业的关键基础设施中。近年来,ICS的信息化程度不断加深,带来了巨大的利益与方便,与之相伴的信息安全问题日益凸显,ICS信息安全事件频发,ICS信息安全问题已经成为信息安全领域研究的热点。
考虑到真实的工业CI如电力系统、水处理系统、油气管道系统等,其系统规模庞大、结构复杂、投资巨大,关乎国家稳定、自然生态、人民生命财产安全等问题,不可能直接用来开展信息攻击和防御实验,因此需要一种面向工业CI信息安全防护的仿真验证平台,以满足CI信息安全研究中的攻防演练需求。
发明内容
针对现有技术的以上缺陷或改进需求,本发明提供了一种工业关键基础设施信息安全防护仿真验证平台,其目的在于提供一种可在实验室环境下可快速建立的、符合工业CI特点的、用于信息安全攻防演练的仿真平台。
为实现上述目的,按照本发明的一个方面,提供了一种工业关键基础设施信息安全防护仿真验证平台,包括物理对象仿真系统、分布式站控系统、广域网仿真系统以及调度控制系统;
其中,物理对象仿真系统处于仿真验证平台的底层,用于描述工业CI的系统结构、生产工艺以及控制流程;可采用专业的行业仿真软件如电力行业仿真软件RT-LAB、化工行业仿真软件HYSYS实现;
分布式站控系统构成工业CI的控制层,接受调度控制系统的控制指令,根据该控制指令对工业CI的一个站场进行控制,并向调度控制系统反馈站场的实时运行状态,是工业CI中信息系统与物理系统的结合部;
广域网仿真系统用于对工业CI中连接调度控制系统与分布式站控系统的广域网络进行建模和仿真,采用系统在环(system in the loop,SITL)的半实物仿真技术,实现调度控制系统与分布式站控系统内各站控系统之间的数据交换,形成真实(调度控制系统内部局域网)-虚拟(广域网)-真实(分布式站控系统内部局域网)的工业CI信息控制网络;
在本工业关键基础设施信息安全防护仿真验证平台中,广域网仿真系统既为CI各子系统提供信息交换通道,是评估网络性能对CI控制性能影响以及入侵检测的数据来源,也是对CI系统注入网络攻击的接口。
调度控制系统用于协调控制分布式站控系统内各站控系统,并用于实时查询、显示及保存各站控系统的运行状态数据。
优选的,上述的工业关键基础设施信息安全防护仿真验证平台,其分布式站控系统包括少量用物理控制设备(如PLC、嵌入式控制器)作为控制器的真实站控系统和用虚拟软件(如PLCsim、Matlab)模拟的大量虚拟站控系统;
工业CI中一般含有几十甚至上百个控制站场,横跨多个省市或区域,各控制站场之间通过广域网交换信息;实验室中的工业CI仿真平台,不可能将如此大规模的站控系统采用真实设备进行仿真,也不可能引入真实的广域网络;因此,本发明的分布式站控系统通过上述硬件结合软件虚拟的方式,达到模拟实际站控系统的规模的目的,以克服仿真平台的站控系统规模约束。
优选的,上述的工业关键基础设施信息安全防护仿真验证平台,其调度控制系统包括主调度控制中心和备用调度控制中心;其主、备调度控制中心之间采用专用高速通信通道实现数据热备份;
分布式站控系统内的各站控系统同时与主、备调度控制中心建立TCP连接,但只有主调度控制中心有权限通过自身的人机界面(HMI)调度控制各站控系统,并将接收到的站控系统状态数据实时保存在本地服务器及备份到备用调度控制中心的服务器上。
优选的,上述的工业关键基础设施信息安全防护仿真验证平台,其备用调度控制中心采用看门狗方式接收主调度控制中心的备份数据,若接收数据超时、且备用调度控制中心与各站控系统的TCP连接正常,则备用调度控制中心判定原主调度控制中心服务器失效,备用调度控制中心进而使能自己的HMI向各站控系统发送调度查询指令,成为新的主调度控制中心。
优选的,上述的工业关键基础设施信息安全防护仿真验证平台,当其原主调度控制中心恢复后,检测到原备用调度控制中心处于活动状态,则禁用自己的HMI使之成为新的备用调度控制中心。
总体而言,通过本发明所构思的以上技术方案与现有技术相比,能够取得下列有益效果:
(1)本发明提供了一种能够在实验室环境下快速搭建面向信息安全防护演练的工业关键基础设施仿真验证平台的方法,采用真实站控系统和虚拟站控系统相结合的方法,有效解决了传统仿真平台无法描述拥有大规模站控系统的工业关键基础设施的难题;
(2)本发明在仿真平台中嵌入广域网的建模和联合仿真,采用系统在环的半实物仿真技术,准确描述真实工业关键基础设施中调度控制中心与各站控系统之间的广域网通信特性,同时提供了信息安全攻防演练过程中所需的攻击注入接口和安全策略配置接口,以满足工业关键基础设施信息安全防护研究的需要。
附图说明
图1是本发明提供的一个油气管道输送系统信息安全防护仿真验证平台实施例的结构示意图;
图2为实施例中用HYSYS软件模拟的油气管道系统的拓扑结构示意图;
图3为实施例提供的仿真验证平台中广域网仿真系统结构示意图;
图4为实施例提供的仿真验证平台中调度控制中心与站控系统及广域网仿真系统数据交换关系示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
以下结合一个工业CI实例---油气管道输送系统的信息安全防护验证平台来具体阐述本发明。
如图1所示,是根据本发明所提供的工业关键基础设施信息安全防护仿真验证平台所实现的油气管道输送系统信息安全防护仿真验证平台;平台自下而上包括物理对像仿真系统、分布式站控系统、广域网仿真系统以及调度控制系统;调度控制系统包括主调度控制中心和备用调度控制中心;
该实施例中,物理对象仿真系统采用HYSYS软件来模拟油气管道输送生产工艺,管道系统包括3个压气站和12个分输站;其拓扑结构如图2所示;采用MATLAB软件作为管道系统仿真模型与各站控系统的外部通信接口。利用ActiveX控件来实现HYSYS软件通过MATLAB软件与仿真平台的真实、虚拟站控系统以及沙盘模型控制器之间的数据交互。具体而言,MATLAB利用ActiveX与HYSYS软件中预定义的数据表格建立连接,通过读取数据表格中的数据获得HYSYS仿真产生的管道运行实时状态数据,然后上报给分布式站控系统或沙盘模型控制器进行相应的状态显示;或者接收到分布式站控系统的控制指令后,通过改写数据表格实现控制指令的下达。
其中,MATLAB软件用作物理对象仿真系统与分布式站控系统的通信接口,通过西门子S7协议与真实站控系统中的西门子S7-300PLC通信,通过TCP协议与虚拟站控系统通信,其中MATLAB软件作为TCP服务器,虚拟站控系统作为TCP客户端。
分布式站控系统包括两类站控系统:真实站控系统和虚拟站控系统。真实站控系统采用可编程逻辑控制器西门子S7-300PLC和工控机来模拟实际站控系统的运行;PLC与工控机通过交换机连接,构成本地控制局域网。
工控机作为真实站控系统的上位机,运行站控系统的HMI,向PLC发送本地或远程控制指令,显示站控系统的运行状态;同时作为TCP客户端,连接到调度控制系统的TCP服务器上,接收调度控制系统发送来的远程控制指令并转发给PLC,并将本地站场的状态数据上传到调度控制系统。
PLC作为真实站控系统的下位机,接受上位机的控制指令,运行PID控制算法,对HYSYS模型中对应的本地站场实施流量或压力控制,并将本地站场的实时运行状态上传给上位机。分布式站控系统中的各站控系统也可由站场操作人员切换为本地控制,由操作人员通过上位机HMI输入站场的本地控制指令。
本实施例中实现了两个真实站控系统,分别用于控制油气管道系统中的两个典型站场:压气站1和分输站1,实现对局部管道内的压力调节和对下游用户的供气、供油流量控制。
虚拟站控系统采用MATLAB软件来模拟,实现对管道系统模型中其他站场的控制和状态显示,以满足工业CI仿真平台中站场规模的需求;实施例中,虚拟站控系统和真实站控系统的控制算法及数据流一致。
广域网用于实现调度控制系统与站控系统之间的数据交换,是工业CI信息系统的重要组成部分,也是工业CI中比较容易遭受信息攻击的环节。本实例中采用OPNET来对油气管道系统中的广域网进行建模和仿真,利用其系统在环(system in the loop,SITL)建立调度控制系统与各控制站场之间的通信通道,建立真实(调度控制中心局域网)-虚拟(广域网)-真实(站控系统局域网)的网络仿真结构。在OPNET建立的广域网模型中,可以灵活配置防火墙、VPN、报文加密等信息安全静态防护措施,验证安全防护效果。
实施例中的OPNET广域网仿真系统网络结构如图3所示,广域网仿真主机配置有6个网络接口卡(NETWORK INTERFACE CARD,NIC),其中5个NIC用于连接主调度控制中心、备用调度控制中心、真实站控系统1、真实站控系统2以及虚拟站控系统的局域网;第6个NIC为预留的广域网信息攻击注入接口。广域网仿真主机运行网络仿真软件OPNET,对广域网进行核心层、汇聚层和接入层建模,并采用6个SITL模块分别捕获6个NIC的数据包,转发至仿真环境,以将真实网络接入到虚拟的广域网络中。
此外,广域网仿真主机还通过OPNET的外部模型访问(EXTERNAL MODEL ACCESS,EMA)技术,实时导出广域网仿真过程中的关键统计量,并通过TCP报文上传到调度控制系统,以备后续的工业CI信息安全风险评估使用。
用户可以在OPNET仿真软件中灵活配置所模拟的广域网络的拓扑结构、链路特性等参数,以及防火墙、VPN等安全访问控制策略,也可以通过信息攻击接口向网络中注入TCPSYN-FLOOD、拒绝服务等信息攻击,进行工业CI的信息安全攻防演练。
调度控制系统是工业CI的大脑,负责协调控制各站控系统,接收、显示、存储各站控系统发送来的实时运行数据,并为企业其他用户提供单向数据访问接口。实施例中,主、备调度控制中心设计为TCP服务器端,后台运行SQL数据服务器。主、备调度控制中心人机操作界面、各站控系统主机以及广域网仿真主机均作为TCP客户端与调度控制中心建立TCP连接,实现数据交换。主、备调度控制中心构成双机热冗余备份方案。本油气管道实施例中,将上海调度控制中心作为主调控中心,将北京调度控制中心作为备用调控中心;主/备调度控制中心的软件同构,采用专用高速网络进行数据同步。
正常情况下,各站控系统与主/备调度控制中心均维持TCP连接,但仅有主调度控制中心通过HMI向各站控系统发送调度控制指令,各站控系统也仅向主调度控制中心反馈系统运行实时数据。主调度控制中心接收到反馈数据后对备用调度控制中心进行数据同步。
当备用调度控制中心监测到主调度控制中心未能按时进行数据同步时,认定主调度控制中心失效,此时备用调度控制中心主动使能自己的HMI,成为新的主调度控制中心,并将自己HMI的调度控制指令向各站控系统转发,各站控系统也将根据调度控制指令的来源向新的主调度控制中心反馈运行状态数据。原主调度控制中心恢复后,接收到新的主调度控制中心的数据同步报文,则禁止自身的HMI向外发布调度控制指令,成为新的备用调度控制中心。正常运行时调度控制中心与各站控系统及广域网仿真系统的数据交换关系如图4所示。
主、备调度控制中心具有完整的工业CI运行数据以及广域网仿真系统的统计量数据,是进行入侵检测、工业CI信息安全风险评估及动态安全防护的理想场所。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (5)
1.一种工业关键基础设施信息安全防护仿真验证平台,其特征在于,包括物理对象仿真系统、分布式站控系统、广域网仿真系统以及调度控制系统;
所述物理对象仿真系统处于仿真验证平台的底层,用于描述工业关键基础设施的系统结构、生产工艺以及控制流程;
所述分布式站控系统构成工业关键基础设施的控制层,接受调度控制系统的控制指令,根据所述控制指令对工业关键基础设施的站场进行控制,并向调度控制系统反馈站场的实时运行状态;
所述广域网仿真系统用于对工业关键基础设施中连接调度控制系统与分布式站控系统的广域网络进行建模和仿真,采用系统在环的半实物仿真技术,实现调度控制系统与分布式站控系统内各站控系统之间的数据交换,形成真实网络-虚拟网络-真实网络的工业关键基础设施信息控制网络;所述广域网仿真系统既为工业关键基础设施各子系统提供信息交换通道,是评估网络性能对关键基础设施控制性能影响以及入侵检测的数据来源,也用作向工业关键基础设施注入网络攻击的接口;
所述调度控制系统用于协调控制分布式站控系统的各站控系统,并用于实时查询、显示及保存分布式站控系统内各站控系统的运行状态数据。
2.如权利要求1所述的工业关键基础设施信息安全防护仿真验证平台,其特征在于,所述布式站控系统包括用物理控制设备作为控制器的真实站控系统和用虚拟软件模拟的虚拟站控系统。
3.如权利要求1或2所述的工业关键基础设施信息安全防护仿真验证平台,其特征在于,所述调度控制系统包括主调度控制中心和备用调度控制中心;所述主、备调度控制中心之间采用专用高速通信通道实现数据热备份;
分布式站控系统内的各站控系统同时与主、备调度控制中心建立通信连接,但只有主调度控制中心有权限通过自身的人机界面调度控制各站控系统,并将接收到的站控系统状态数据实时保存在本地服务器及备份到备用调度控制中心的服务器上。
4.如权利要求1或2所述的工业关键基础设施信息安全防护仿真验证平台,其特征在于,所述备用调度控制中心采用看门狗方式接收主调度控制中心的备份数据,若接收数据超时、且备用调度控制中心与各站控系统的通信连接正常,则备用调度控制中心判定原主调度控制中心服务器失效,备用调度控制中心进而使能自己的人机界面向各站控系统发送调度查询指令,成为新的主调度控制中心。
5.如权利要求4所述的工业关键基础设施信息安全防护仿真验证平台,其特征在于,当原主调度控制中心恢复后,检测到原备用调度控制中心处于活动状态,则禁用自己的人机界面使之成为新的备用调度控制中心。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711125733.8A CN107942724B (zh) | 2017-11-15 | 2017-11-15 | 一种工业关键基础设施信息安全防护仿真验证平台 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711125733.8A CN107942724B (zh) | 2017-11-15 | 2017-11-15 | 一种工业关键基础设施信息安全防护仿真验证平台 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107942724A true CN107942724A (zh) | 2018-04-20 |
CN107942724B CN107942724B (zh) | 2020-06-02 |
Family
ID=61932159
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711125733.8A Active CN107942724B (zh) | 2017-11-15 | 2017-11-15 | 一种工业关键基础设施信息安全防护仿真验证平台 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107942724B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109831443A (zh) * | 2019-02-26 | 2019-05-31 | 武汉科技大学 | 工业控制网络攻防实验平台及半实物仿真方法 |
CN110955157A (zh) * | 2019-11-11 | 2020-04-03 | 沈阳化工大学 | 能源系统信息安全仿真平台构建方法 |
CN111898930A (zh) * | 2020-08-21 | 2020-11-06 | 中国石油大学(华东) | 一种融合信息安全失效的石化安全设备数据采集方法及系统 |
CN114363386A (zh) * | 2021-12-31 | 2022-04-15 | 中控智网(北京)能源技术有限公司 | 工控安全管理装置和油气管道控制系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030233575A1 (en) * | 2002-06-12 | 2003-12-18 | Kimmo Syrjanen | Method of analysing level of information security in an organization |
CN106506202A (zh) * | 2016-10-31 | 2017-03-15 | 华中科技大学 | 面向工控系统信息安全防护的半实物演示验证平台及方法 |
CN106789275A (zh) * | 2016-12-27 | 2017-05-31 | 上海科梁信息工程股份有限公司 | 电力系统输电网络安全性测试系统及方法 |
-
2017
- 2017-11-15 CN CN201711125733.8A patent/CN107942724B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030233575A1 (en) * | 2002-06-12 | 2003-12-18 | Kimmo Syrjanen | Method of analysing level of information security in an organization |
CN106506202A (zh) * | 2016-10-31 | 2017-03-15 | 华中科技大学 | 面向工控系统信息安全防护的半实物演示验证平台及方法 |
CN106789275A (zh) * | 2016-12-27 | 2017-05-31 | 上海科梁信息工程股份有限公司 | 电力系统输电网络安全性测试系统及方法 |
Non-Patent Citations (3)
Title |
---|
ADITYA ASHOK等: "Cyber-Physical Attack-Resilient Wide-Area Monitoring, Protection, and Control for the Power Grid", 《 PROCEEDINGS OF THE IEEE》 * |
张扯拉: "基于OPNET的大规模油气集输SCADA网络仿真研究", 《中国优秀硕士学位论文全文数据库(电子期刊)信息科技辑》 * |
胡春潮等: "基于OPNET的电网SCADA系统通信建模与仿真", 《电力系统保护与控制》 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109831443A (zh) * | 2019-02-26 | 2019-05-31 | 武汉科技大学 | 工业控制网络攻防实验平台及半实物仿真方法 |
CN109831443B (zh) * | 2019-02-26 | 2021-06-04 | 武汉科技大学 | 工业控制网络攻防实验平台及半实物仿真方法 |
CN110955157A (zh) * | 2019-11-11 | 2020-04-03 | 沈阳化工大学 | 能源系统信息安全仿真平台构建方法 |
CN111898930A (zh) * | 2020-08-21 | 2020-11-06 | 中国石油大学(华东) | 一种融合信息安全失效的石化安全设备数据采集方法及系统 |
CN114363386A (zh) * | 2021-12-31 | 2022-04-15 | 中控智网(北京)能源技术有限公司 | 工控安全管理装置和油气管道控制系统 |
CN114363386B (zh) * | 2021-12-31 | 2024-04-12 | 中控创新(北京)能源技术有限公司 | 工控安全管理装置和油气管道控制系统 |
Also Published As
Publication number | Publication date |
---|---|
CN107942724B (zh) | 2020-06-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107942724A (zh) | 一种工业关键基础设施信息安全防护仿真验证平台 | |
Jun et al. | The research of supply chain information collaboration based on cloud computing | |
CN107528856A (zh) | 基于区块链的物联网雾端设备在云端平台接入认证方法 | |
CN105512445B (zh) | 一种基于云技术的典型用能系统能耗仿真与节能诊断平台 | |
CN105450654A (zh) | 基于中间件技术的智能家居开发平台及其业务开发方法 | |
Wang | The Study of Mine Cyber-Physical Systems | |
Tian et al. | Substation sensing monitoring system based on power internet of things | |
CN110224977A (zh) | 一种协同防御策略冲突消解方法及系统 | |
CN109698821A (zh) | 跨区漏洞库共享与协同处置系统和方法 | |
CN110288866A (zh) | 一种调度数据网仿真培训系统及方法 | |
Wu et al. | Enterprise Digital Intelligent Remote Control System Based on Industrial Internet of Things | |
CN106899553A (zh) | 一种基于私有云的工业控制系统安全防护方法 | |
CN106790699A (zh) | 一种柴油机云监控及云管理系统 | |
CN109302397A (zh) | 一种网络安全管理方法、平台和计算机可读存储介质 | |
CN114281790B (zh) | 一种多类型负荷资源聚合商接入系统及方法 | |
CN205354119U (zh) | 一种知识产权交易平台 | |
CN103442029A (zh) | 异构实时历史数据库同步方法和系统 | |
CN105869067A (zh) | 用于智慧城市体系的多对多物联网智能燃气表系统 | |
CN104580997A (zh) | 一种视频监控管理系统 | |
CN202650332U (zh) | 基于省、地、县三级网络分布式变电站虚拟仿真培训系统 | |
Zhang et al. | Nonintrusive load management based on distributed edge and secure key agreement | |
Xuan et al. | Research and application of power grid control system based on blockchain | |
CN106169746A (zh) | 一种电网停电预警系统及方法 | |
CN202143087U (zh) | 一种基于三网融合技术的数字化实验室系统 | |
CN108958709A (zh) | 一种大型企业网站建设方案 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |