CN108646722B - 一种工业控制系统信息安全仿真模型及终端 - Google Patents
一种工业控制系统信息安全仿真模型及终端 Download PDFInfo
- Publication number
- CN108646722B CN108646722B CN201810793383.0A CN201810793383A CN108646722B CN 108646722 B CN108646722 B CN 108646722B CN 201810793383 A CN201810793383 A CN 201810793383A CN 108646722 B CN108646722 B CN 108646722B
- Authority
- CN
- China
- Prior art keywords
- network
- module
- industrial control
- control system
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0218—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
- G05B23/0243—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults model based detection method, e.g. first-principles knowledge model
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24065—Real time diagnostics
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种工业控制系统信息安全仿真模型及终端,该模型包括:网络安全仿真模块对工业控制系统的网络结构进行安全合规性检测,对工业控制系统的网络流量进行安全检测,以及,对工业控制系统的网络主机进行安全检测;网络安全产品仿真模块对网络安全产品的功能,漏洞和性能进行测试,得到测试信息,并评估网络安全产品的标识信息与测试信息的符合度;网络安全培训模块仿真工业控制系统的使用场景和工业控制系统的运维场景,应急响应场景。该模型在对工业控制系统的网络安全仿真方面更加专业,功能多样化,适用范围广,对电力仿真系统没有依赖,缓解了现有的对工业控制系统的网络安全攻击仿真技术存在依赖性,局限性和非专业性的技术问题。
Description
技术领域
本发明涉及网络安全的技术领域,尤其是涉及一种工业控制系统信息安全仿真模型及终端。
背景技术
目前电力行业工控系统(即工业控制系统)的各系统之间数据交换越发频繁,其中电力综合监控系统的安全强度要求已经达到国家安全战略的标准。而工业互联网的发展也使得发电企业的工控安全经常遭受恶意攻击。
电网容量巨大、发电方式越来越多样(从原来的火力发电、水力发电到现如今的风力发电和光伏发电),电力监控系统的网络安全性与其自身稳定性以及整个发电系统的稳定性都密切相关。
目前,对发电网络的仿真技术已趋近成熟,通过实时数字仿真系统搭建电网和发电设备的数字模型,实时模拟仿真发电系统的工作状态。也有通过软件实时仿真模块和实时数字仿真器等对发电系统进行实时仿真。这类仿真技术成果一般是作为系统功能测试、工控实操培训、工控行业普及及培训使用。
而针对发电网络的仿真暂时还未涉及网络安全领域。目前针对电力监控系统的网络安全攻击仿真技术主要是基于TCP(Transmission Control Protocol,传输控制系统)/IP(Internet Protocol,因特网协议)网络结构应用层中的远程登录(Telnet)协议、FTP(File Transfer Protocol,文件传输协议)、SSH(Secure Shell,安全外壳)协议等,针对因特网或TCP局域网络进行报文劫持仿真和攻击验证。
该方法可以针对采用TCP协议的工控通信网络进行部分攻击仿真,借助已经成熟的互联网攻击验证和仿真技术成果对工控通信进行分析。但是上述仿真技术并非独立模块,需依附电力仿真系统得以实现,实现时,若在真正的电力系统网络中应用,会造成网络不稳定甚至丢包,影响系统运行。所以需要备置额外的电力系统网络,而电力系统网络较为复杂,备置一套成本较高,导致该仿真技术应用范围大幅缩小;另外,由于电力系统专用协议的特殊格式,上述仿真技术主要基于互联网攻击方式实现工控网络攻击仿真,对电力专有协议的解析和识别能力较差,更无法篡改、伪造电力数据报文,因此无法针对电力监控系统的网络安全进行仿真和检测;此外,上述针对电力监控系统的网络安全仿真技术局限于对工控报文劫持仿真和攻击验证,对终端主机(包括各类服务器、工程师站等)没有任何网络安全仿真考虑;且上述仿真技术也无法提供工控网络安全风险模拟和演示,与真正的仿真平台的一个重要功能——培训不相符。
综上,现有的对于工业控制系统的网络安全攻击仿真技术存在依赖性,局限性和非专业性的技术问题。
发明内容
有鉴于此,本发明的目的在于提供一种工业控制系统信息安全仿真模型及系统,以缓解现有的对于工业控制系统的网络安全攻击仿真技术存在依赖性,局限性和非专业性的技术问题。
第一方面,本发明实施例提供了一种工业控制系统信息安全仿真模型,所述模型为独立的信息安全仿真模型,包括:网络安全仿真模块,网络安全产品仿真模块和网络安全培训模块;
所述网络安全仿真模块用于对所述工业控制系统的网络结构进行安全合规性检测,对所述工业控制系统的网络流量进行安全检测,以及,对所述工业控制系统的网络主机进行安全检测;
所述网络安全产品仿真模块用于对网络安全产品的功能,漏洞和性能进行测试,得到测试信息,并评估所述网络安全产品的标识信息与所述测试信息的符合度;
所述网络安全培训模块用于仿真所述工业控制系统的使用场景和所述工业控制系统的运维场景,应急响应场景,以提升员工的安全意识和运维水平。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,所述网络安全仿真模块包括:网络结构安全合规性检测模块,网络流量安全检测模块和网络主机安全检测模块;
所述网络结构安全合规性检测模块用于对所述工业控制系统的网络结构进行安全合规性检测;
所述网络流量安全检测模块用于对所述工业控制系统的网络流量进行安全检测;
所述网络主机安全检测模块用于对所述工业控制系统的网络主机进行安全检测。
结合第一方面,本发明实施例提供了第一方面的第二种可能的实施方式,其中,所述网络结构安全合规性检测模块包括:拓扑识别模块,合规性判断模块和加权评分模块;
所述拓扑识别模块用于通过自动识别或手动编辑的方式识别所述工业控制系统的网络结构,并将所述网络结构发送至所述合规性判断模块;
所述合规性判断模块用于基于内置的网络结构合规评估框架对所述工业控制系统的网络结构进行拓扑识别,得到所述网络结构的安全情况,并将所述网络结构的安全情况发送至加权评分模块;
所述加权评分模块用于通过内置的加权算法对所述网络结构的安全情况进行风险评估,得到所述工业控制系统的风险加权评分,并根据所述风险加权评分提出整改建议。
结合第一方面,本发明实施例提供了第一方面的第三种可能的实施方式,其中,所述网络流量安全检测模块包括:工业控制系统协议识别模块,异常流量检测模块和通信链路可用性检测模块;
所述工业控制系统协议识别模块用于通过流量数据包的方式解析所述工业控制系统的应用层协议和网络层协议;
所述异常流量检测模块用于通过对所述流量数据包进行行为特征分析,得到威胁信息,其中,所述威胁信息包括:攻击时间,攻击源IP,攻击目的IP,应用层协议,网络层协议,规则描述;
所述通信链路可用性检测模块用于在所述工业控制系统中采用节点间通信校验技术在应用层对基于TCP协议的链路进行可用性检测,在检测得到链路中断时进行告警,并记录链路中断的详细信息,其中,所述详细信息包括:所述链路中断所对应的节点IP,所述链路中断的中断时间,所述链路中断的恢复时间。
结合第一方面,本发明实施例提供了第一方面的第四种可能的实施方式,其中,所述网络主机安全检测模块包括:主机漏洞检测模块,主机配置核查模块和主机工控恶意代码检测模块;
所述主机漏洞检测模块用于通过可拆卸检测装置抓取所述工业控制系统中主机设备的漏洞信息,以及,扫描操作系统,应用系统和常用软件的漏洞信息;
所述主机配置核查模块用于通过所述可拆卸检测装置抓取所述工业控制系统中主机设备的配置信息,以及,对所述工业控制系统中的网络设备,操作系统和网络安全设备进行检查;
所述主机工控恶意代码检测模块用于通过所述可拆卸检测装置抓取所述工业控制系统中主机设备的恶意代码信息。
结合第一方面,本发明实施例提供了第一方面的第五种可能的实施方式,其中,所述网络安全产品仿真模块包括:网络安全产品功能验证模块,网络安全产品漏洞挖掘模块和网络安全产品性能测试模块;
所述网络安全产品功能验证模块用于通过内置的测试用例对所述工业控制系统中的网络安全产品进行基本功能测试;
所述网络安全产品漏洞挖掘模块用于通过Fuzzing技术和动态分析技术对所述工业控制系统中的网络安全产品进行漏洞挖掘,得到漏洞分析报告;
所述网络安全产品性能测试模块用于对所述工业控制系统中的网络安全产品进行性能测试,其中,所述性能测试包括:负载测试,压力测试和容量测试。
结合第一方面,本发明实施例提供了第一方面的第六种可能的实施方式,其中,所述网络安全培训模块包括:网络安全意识培训模块和网络安全运维培训模块;
所述网络安全意识培训模块用于仿真所述工业控制系统的使用场景,以提升所述员工的安全意识;
所述网络安全运维培训模块用于仿真所述工业控制系统的运维,应急响应场景,以提升所述员工的运维水平。
结合第一方面,本发明实施例提供了第一方面的第七种可能的实施方式,其中,所述网络安全意识培训模块包括:安全意识培训模块和安全意识考核模块;
所述安全意识培训模块用于通过内置的安全意识培训视频使得所述员工进行自主学习;
所述安全意识考核模块用于对所述员工的安全意识进行考核。
结合第一方面,本发明实施例提供了第一方面的第八种可能的实施方式,其中,所述网络安全运维培训模块包括:安全运维培训模块和安全运维考核模块;
所述安全意识培训模块用于通过内置的网络安全检测培训视频,运维管理培训视频和应急响应培训视频使得所述员工进行自主学习;
所述安全运维考核模块用于模拟网络安全检测操作流程,模拟网络安全监管流程和注意事项,以及,模拟现场发生应急事件后的响应流程和操作,以使所述员工进行考核训练。
第二方面,本发明实施例还提供了一种工业控制系统信息安全仿真终端,所述终端上安装有上述第一方面中所述的工业控制系统信息安全仿真模型。
本发明实施例带来了以下有益效果:
现有的对于工业控制系统的网络安全攻击仿真技术存在依赖性,局限性和非专业性的技术问题。与现有技术相比,在本发明的工业控制系统信息安全仿真模型中,该模型为独立的信息安全仿真模型,能够通过网络安全仿真模块对工业控制系统的网络结构进行安全合规性检测,对工业控制系统的网络流量进行安全检测,对工业控制系统的网络主机进行安全检测,并且能够通过网络安全产品仿真模块对网络安全产品的功能,漏洞和性能进行测试,得到测试信息,并评估网络安全产品的标识信息与测试信息的符合度;同时,能够通过网络安全培训模块仿真工业控制系统的使用场景和工业控制系统的运维场景,应急响应场景。该模型在对工业控制系统的网络安全仿真方面更加专业,功能多样化,适用范围广,对电力仿真系统没有依赖,缓解了现有的对工业控制系统的网络安全攻击仿真技术存在依赖性,局限性和非专业性的技术问题。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种工业控制系统信息安全仿真模型的示意图;
图2为本发明实施例提供的一种网络结构合规评估框架的示意图;
图3为本发明实施例提供的再一种网络结构合规评估框架的示意图;
图4为本发明实施例提供的又一种网络结构合规评估框架的示意图。
图标:
11-网络安全仿真模块;12-网络安全产品仿真模块;13-网络安全培训模块。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种工业控制系统信息安全仿真模型进行详细介绍。
实施例一:
一种工业控制系统信息安全仿真模型,参考图1,该模型为独立的信息安全仿真模型,包括:网络安全仿真模块11,网络安全产品仿真模块12和网络安全培训模块13;
网络安全仿真模块11用于对工业控制系统的网络结构进行安全合规性检测,对工业控制系统的网络流量进行安全检测,以及,对工业控制系统的网络主机进行安全检测;
网络安全产品仿真模块12用于对网络安全产品的功能,漏洞和性能进行测试,得到测试信息,并评估网络安全产品的标识信息与测试信息的符合度;
网络安全培训模块13用于仿真工业控制系统的使用场景和工业控制系统的运维场景,应急响应场景,以提升员工的安全意识和运维水平。
在本发明实施例中,该工业控制系统信息安全仿真模型为独立的信息安全仿真模型,可与常见的工业控制系统(比如电力仿真系统)实现无缝对接,满足兼容性、易用性、可复制性的同时,降低了对已建设工业控制系统的企业重复建设成本。该模型可以对接工业控制系统仿真平台进行共同仿真,也可以独立运行。
具体的,网络安全仿真模块能够仿真并识别拓扑结构,并提供了基于相关标准的合规性评估框架和评分标准,对工业控制系统的网络结构进行安全合规性检测,并且能够对工业控制系统的网络流量进行安全检测,识别工控协议、异常流量及链路通断信息,同时,提供对工业控制系统的网络主机的安全仿真检测,识别主机漏洞、配置异常以及恶意代码。
网络安全产品仿真模块能够测试网络安全产品的功能、漏洞和性能,检测和评估网络安全产品与实际工业控制系统的符合度。
网络安全培训模块能够仿真工业控制系统日常的使用场景,提升员工安全意思,仿真工业控制系统的运维及应急响应场景,提升员工网络安全运维水平。
下文中再对这三大模块进行详细描述,在此不再赘述。
现有的对于工业控制系统的网络安全攻击仿真技术存在依赖性,局限性和非专业性的技术问题。与现有技术相比,在本发明的工业控制系统信息安全仿真模型中,该模型为独立的信息安全仿真模型,能够通过网络安全仿真模块对工业控制系统的网络结构进行安全合规性检测,对工业控制系统的网络流量进行安全检测,对工业控制系统的网络主机进行安全检测,并且能够通过网络安全产品仿真模块对网络安全产品的功能,漏洞和性能进行测试,得到测试信息,并评估网络安全产品的标识信息与测试信息的符合度;同时,能够通过网络安全培训模块仿真工业控制系统的使用场景和工业控制系统的运维场景,应急响应场景。该模型在对工业控制系统的网络安全仿真方面更加专业,功能多样化,适用范围广,对电力仿真系统没有依赖,缓解了现有的对工业控制系统的网络安全攻击仿真技术存在依赖性,局限性和非专业性的技术问题。
下面对工业控制系统信息安全仿真模型的三大模块进行详细介绍。
在一个可选地实施方式中,网络安全仿真模块包括:网络结构安全合规性检测模块,网络流量安全检测模块和网络主机安全检测模块;
网络结构安全合规性检测模块用于对工业控制系统的网络结构进行安全合规性检测;
网络流量安全检测模块用于对工业控制系统的网络流量进行安全检测;
网络主机安全检测模块用于对工业控制系统的网络主机进行安全检测。
在本发明实施例中,网络结构安全合规性检测模块能够基于相关法律规范和技术要求,通过模拟现有网络结构,并依据内置加权算法对工业控制系统的网络结构进行评估,并给出整改建议。
具体的,网络结构安全合规性检测模块包括:拓扑识别模块,合规性判断模块和加权评分模块;
拓扑识别模块用于通过自动识别或手动编辑的方式识别工业控制系统的网络结构,并将网络结构发送至合规性判断模块;
合规性判断模块用于基于内置的网络结构合规评估框架对工业控制系统的网络结构进行拓扑识别,得到网络结构的安全情况,并将网络结构的安全情况发送至加权评分模块;
加权评分模块用于通过内置的加权算法对网络结构的安全情况进行风险评估,得到工业控制系统的风险加权评分,并根据风险加权评分提出整改建议。
下面的对网络结构安全合规性检测的过程进行详细描述:
拓扑识别模块能够自动识别工业控制系统(通过工业控制系统仿真平台)的网络拓扑,内置工业控制系统常见的各类产品库(包括工控设备、网络设备、安全设备等),通过指纹识别技术识别设备信息的产品类别/品牌,基于SNMP识别网络通信链路信息。具体的,可以通过探测的方式识别各类设备,探测每一个IP上的信息,或者分析流量中所包含的指令,从而根据事先的数据库匹配得到属于哪类产品。
另外,拓扑识别模块还支持手动编辑工业控制系统的网络拓扑,内置的火电、水电、风电、光伏发电行业的基本网络拓扑模型,可在此基础上进行手动调整以仿真实际网络结构。因为有些工业控制系统的客户非常在意其自身的工业控制系统,不希望有其它未知设备接入,所以预留了手动编辑的方式,该方式如果在产品库中产品不全时,手动编辑的方式也是一种补充。
在识别得到网络结构后,将网络结构发送至合规性判断模块,合规性判断模块用于基于内置的网络结构合规评估框架对工业控制系统的网络结构进行拓扑识别,得到所述网络结构的安全情况。具体的,内置有基于《信息安全等级保护管理办法》及等保相关标准、《工业控制系统信息安全防护指南》、《电力监控系统安全防护总体方案》等要求的网络结构合规评估框架,根据实际电力行业和遵循的相关要求,匹配对应的合规性评估框架,以判断网络结构的安全情况。
基于《信息安全等级保护管理方法》及等保相关标准的网络结构合规评估框架如图2所示(以等保三级为例)。
从区域边界安全方面评估,通过拓扑识别分辨区域边界,并判断边界网络设备、安全设备的部署情况,具体考虑边界是否有对应的产品符合等保对边界访问控制、边界完整性检查、边界入侵防范、边界安全审计、边界恶意代码防范等的要求。
从通信网络安全方面评估,通过拓扑识别判断通信网络结构中,网络设备防护及安全审计是否有对应产品,以符合合规性要求。
基于《工业控制系统信息安全防护指南》的网络结构合规评估框架如图3所示。
从边界安全防护方面评估,通过拓扑识别分辨网络结构边界,判断是否有防护设备对工业控制系统网络与企业网或互联网之间的边界进行安全防护。判断是否有工业防火墙、网闸等防护设备对工业控制系统网络安全区域之间进行逻辑隔离安全防护。
从安全监测和应急预案演练方面评估,通过拓扑识别分辨网络结构中,是否部署网络安全监测设备,是否在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备。
基于《电力监控系统安全防护总体方案》的网络结构合规评估框架如图4所示。
从边界安全防护方面评估:
横向边界防护。通过拓扑识别分辨生产控制大区与信息管理大区边界,判断大区间是否有安全横向隔离设备。识别控制区与非控制区边界(包括控制区DCS系统和非控制区SIS系统边界),判断控制区与非控制区之间是否有设备实施访问控制和逻辑隔离措施。识别安全区I和安全区II内各个子系统边界,根据实际网络的情况利用点数等指标筛选较为大的系统,判断是否有相应的访问控制产品,来阻隔不同系统之间的网络安全风险传播。
纵向边界防护。通过拓扑识别分辨发电厂与电力调度数据网纵向连接处,判断是否有纵向加密认证产品。
第三方边界防护。通过拓扑识别分辨生产控制大区与政府部门数据传输边界,判断是否有边界隔离设备。识别信息管理大区与外界网络边界,判断是否采用防火墙、VPN或者租用专线来达到边界安全隔离。
从综合安全防护方面评估:
入侵检测。通过拓扑识别分辨生产控制大区内部网络中是否存在网络入侵检测产品。
安全审计。通过拓扑识别分辨生产控制大区监控系统是否有审计产品,包括操作审计和日志审计。
通过上述的拓扑识别得到网络结构的安全情况,并将网络结构的安全情况发送至加权评分模块。加权评分模块用于通过内置的加权算法对网络结构的安全情况进行风险评估,得到工业控制系统的风险加权评分。
具体的,加权算法用于计算单个工控网络结构合规项风险值。
评估单个工控网络结构合规项的风险值。其中风险值依据涉及合规项不符合可能影响的系统范围大小、合规项不符合可能造成危害的严重程度,根据仿真系统的实际情况,进行在线赋值。
整个风险加权评分由三个要素组成:
Fn:某个风险对工控网络的影响范围;
Dn:某个风险对工控网络的危害程度;
Kn:某个风险的风险值。
其中,Dn由被测工控网络的所属单位对第n个风险进行危害程度定级,最低1级,最高5级,级别主要依据可能造成的危害带来的损失来商定。
Fn由系统根据第n个风险影响网络范围在整个网络中的占比情况决定,0-20%定值为1,20-40%定值为2,以此类推。
由下表根据Fn和Dn的值,得出第n个风险的风险值Kn。
最后根据评分计算算式计算得到风险加权评分。
上述内容对网络结构安全合规性检测模块的相关内容进行了详细描述,下面对网络流量安全检测模块的相关内容进行具体介绍。
在一个可选地实施方式中,网络流量安全检测模块包括:工业控制系统协议识别模块,异常流量检测模块和通信链路可用性检测模块;
工业控制系统协议识别模块用于通过流量数据包的方式解析工业控制系统的应用层协议和网络层协议;
异常流量检测模块用于通过对流量数据包进行行为特征分析,得到威胁信息,其中,威胁信息包括:攻击时间,攻击源IP,攻击目的IP,应用层协议,网络层协议,规则描述;
通信链路可用性检测模块用于在工业控制系统中采用节点间通信校验技术在应用层对基于TCP协议的链路进行可用性检测,在检测得到链路中断时进行告警,并记录链路中断的详细信息,其中,详细信息包括:链路中断所对应的节点IP,链路中断的中断时间,链路中断的恢复时间。
在本发明实施例中,工业控制系统协议识别模块能够解析流量数据包的方式解析工业控制系统的应用层协议,包括HTTP、FTP、SMTP、POP3、TCP、UDP等。同时,能够解析工控协议,即网络层协议,包括Modbus、IEC-104、DNP3、Ethernet/IP、S7等。
异常流量检测模块用于通过流量数据包进行行为特征分析,得到威胁信息。
在接入工业控制系统仿真平台的关键节点后,对流量进行检测,识别异常行为流量。对无仿真环境的条件,以流量导入方式进行异常流量分析。
异常流量检测利用行为特征分析,检测仿真平台中工业木马病毒等恶意代码,记录威胁信息,包含攻击时间、攻击源IP、攻击目的IP、应用层协议、网络层协议、规则描述、风险相关参照等信息。
通信链路可用性检测模块用于在工业控制系统中采用节点间通信校验技术在应用层对基于TCP协议的链路进行可用性检测。
在接入工业控制系统仿真平台的关键节点后,采用heartbeat技术在应用层对基于tcp协议的链路可用性进行检测。具体的,探测两个节点IP之间的可用性,发现链路中断时立即告警,并持续检测直到链路恢复,记录链路中断的详细信息。
下面对网络主机安全检测模块的相关内容进行详细介绍。
在一个可选地实施方式中,网络主机安全检测模块包括:主机漏洞检测模块,主机配置核查模块和主机工控恶意代码检测模块;
主机漏洞检测模块用于通过可拆卸检测装置抓取工业控制系统中主机设备的漏洞信息,以及,扫描操作系统,应用系统和常用软件的漏洞信息;
主机配置核查模块用于通过可拆卸检测装置抓取工业控制系统中主机设备的配置信息,以及,对工业控制系统中的网络设备,操作系统和网络安全设备进行检查;
主机工控恶意代码检测模块用于通过可拆卸检测装置抓取工业控制系统中主机设备的恶意代码信息。
具体的,对工业控制系统中操作员站、工程师站、服务器等主机设备进行探查,通过可拆卸检测装置抓取主机设备漏洞信息,抓取方式包括远程探测和检测装置离线检查。
通过可拆卸检测装置对Microsoft Windows XP/2003/Vista/2008/7、SunSolaris、HP Unix、IBM AIX、IRIX、Linux、BSD等操作系统进行漏洞扫描。
通过可拆卸检测装置对Web、FTP、电子邮件等应用系统以及Office、Apache等常用软件漏洞扫描。
主机配置核查通过可拆卸检测装置抓取主机设备配置信息,抓取方式包括远程探测和检测装置离线检查。
对网络设备核查,包括账户安全策略信息,包含口令长度、复杂度、定期更换、登录失败、锁定次数等。
对安全审计策略检查,包含事件类型、SYSLOG服务器,支持检查不必要的服务和端口,支持SNMP、SSH服务、版本信息检查等。
对操作系统、网络设备、网络安全设备检查。
主机核查内容包括系统信息、硬件信息、系统开机启动项、异常服务、安全策略、帐户信息、审计策略、系统补丁、进程扫描、软件安装、活动端口、用户权限、安全选项、组策略、运行保护、浏览器上网记录、USB使用记录及工具特性等众多配置项进行安全检查。
主机工控恶意代码检测通过可拆卸检测装置抓取主机设备恶意代码信息,抓取方式包括远程探测和检测装置离线检查。
检测工控主机系统是否遭到木马病毒的感染。检测常见的木马病毒、震网病毒、火焰病毒等工控病毒以及其变种。
下面对网络安全产品仿真模块的相关内容进行详细介绍。
在一个可选地实施方式中,网络安全产品仿真模块包括:网络安全产品功能验证模块,网络安全产品漏洞挖掘模块和网络安全产品性能测试模块;
网络安全产品功能验证模块用于通过内置的测试用例对工业控制系统中的网络安全产品进行基本功能测试;
网络安全产品漏洞挖掘模块用于通过Fuzzing技术和动态分析技术对工业控制系统中的网络安全产品进行漏洞挖掘,得到漏洞分析报告;
网络安全产品性能测试模块用于对工业控制系统中的网络安全产品进行性能测试,其中,性能测试包括:负载测试,压力测试和容量测试。
在本发明实施例中,根据现场环境,提供对工业防火墙、工控监测及审计产品、工控主机加固产品、工控安全态势感知产品的功能仿真测试。具体基于内置的测试用例(包含对测试环境的配置模型),对工控网络安全产品进行基本功能测试。
测试用例如下:
工业防火墙测试用例如下:
工控监测及审计产品测试用例如下:
工控主机加固产品测试用例如下:
网络安全产品漏洞挖掘模块用于通过Fuzzing技术和动态分析技术对工业控制系统中的网络安全产品进行漏洞挖掘,得到漏洞分析报告。
具体的,部署工控网络安全产品于工控仿真环境中,采用Fuzzing技术和动态分析技术,来查找产品可能存在的安全漏洞。
Fuzzing技术使用内置工具产生大量数据作为输入,检测网络安全产品接受输入后是否出现异常,从而判断产品可能存在的安全漏洞。动态分析技术在产品运行过程中查找漏洞,通过产品在运行中的状态信息发现潜在问题。经过Fuzzing技术和动态分析技术分析后,出具该工控网络安全产品的漏洞分析报告。
网络安全产品性能测试模块用于对工业控制系统中的网络安全产品进行性能测试。网络安全产品部署于工业控制系统仿真平台中,对其以下性能进行测试:负载测试、压力测试、容量测试。
负载测试(Load Testing)。在工控仿真环境下运行,测试网络安全产品的性能指标是否与其标识的一致,以此确定系统所能承载的最大用户数、最大有效用户数以及不同用户数下的系统响应时间及服务器的资源利用率。
压力测试(Stress Testing)。在工控仿真环境下运行,测试网络安全产品在资源处于极限状态下长时间连续运行,是否能稳定工作。
容量测试(Volume Testing)。在工控仿真环境下运行,测试网络安全产品不同数量级别的服务器性能指标,以确定数据库的最大容量是否与其标识的一致。
下面对网络安全培训模块的相关内容进行详细介绍。
在一个可选地实施方式中,网络安全培训模块包括:网络安全意识培训模块和网络安全运维培训模块;
网络安全意识培训模块用于仿真工业控制系统的使用场景,以提升员工的安全意识;
网络安全运维培训模块用于仿真工业控制系统的运维,应急响应场景,以提升员工的运维水平。
具体的,网络安全意识培训模块包括:安全意识培训模块和安全意识考核模块;
安全意识培训模块用于通过内置的安全意识培训视频使得员工进行自主学习;
安全意识考核模块用于对员工的安全意识进行考核。
网络安全运维培训模块包括:安全运维培训模块和安全运维考核模块;
安全意识培训模块用于通过内置的网络安全检测培训视频,运维管理培训视频和应急响应培训视频使得员工进行自主学习;
安全运维考核模块用于模拟网络安全检测操作流程,模拟网络安全监管流程和注意事项,以及,模拟现场发生应急事件后的响应流程和操作,以使员工进行考核训练。
该模型还提供工控网络安全意识培训,可基于内置安全意识培训视频进行自主学习。
并且内置员工日常网络安全场景培训及考核环境,模拟电力系统日常办公可能遇到的关于网络安全意识的情景模拟,可作为网络安全体系建设中,人员安全管理重要的成果检验系统。
另外,基于外接的工控仿真环境,提供网络安全检测、运维、应急响应培训。内置网络安全检测、运维管理和应急响应的培训视频,随时随地提供视频学习。
此外,还内置有模拟环境,基于外部的工控仿真环境,模拟工控网络安全检测操作流程;模拟现场自主运维、配合原厂运维过程中的网络安全监管流程和注意事项;模拟现场发生应急事件后的响应流程和操作。
本发明该发明是以自身为技术输出,并结合工业控制仿真平台进行电力工控系统网络安全仿真测试。所要解决的问题是克服现有仿真技术与工控网络安全的差异,针对依赖性、非专业性、局限性等方面的问题进行仿真系统模块重塑,实现以下目标:
(1)本发明形成了一套独立的、可与常见电力仿真系统实现无缝对接的工控网络安全仿真模型,满足兼容性、易用性、可复制性的同时,降低已建设电力仿真系统的企业重复建设成本;
(2)本发明包含对工控网络的安全仿真模块,在工控仿真平台的环境中,依据相关法律规范,实现对网络结构合规性、网络流量安全、主机安全等的仿真检测;
(3)本发明包含对工控网络中安全产品的仿真模块,在工控仿真平台的环境中,对网络安全产品提供功能仿真、漏洞挖掘、性能仿真等操作,以实现安全产品在功能性、安全性、性能等方面的合规及符合预期;
(4)本发明包含对工控网络安全的培训模块,提供工控网络安全意识培训、工控网络安全运维培训,补齐工控网络安全知识不足的短板。
实施例二:
一种工业控制系统信息安全仿真终端,该终端上安装有上述实施例一中的工业控制系统信息安全仿真模型。
本发明实施例所提供的工业控制系统信息安全仿真模型及终端的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (7)
1.一种工业控制系统信息安全仿真模型,其特征在于,所述模型为独立的信息安全仿真模型,包括:网络安全仿真模块,网络安全产品仿真模块和网络安全培训模块;
所述网络安全仿真模块用于对所述工业控制系统的网络结构进行安全合规性检测,对所述工业控制系统的网络流量进行安全检测,以及,对所述工业控制系统的网络主机进行安全检测;
所述网络安全产品仿真模块用于对网络安全产品的功能,漏洞和性能进行测试,得到测试信息,并评估所述网络安全产品的标识信息与所述测试信息的符合度;
所述网络安全培训模块用于仿真所述工业控制系统的使用场景和所述工业控制系统的运维场景、应急响应场景,以提升员工的安全意识和运维水平;
其中,所述网络安全仿真模块包括:网络结构安全合规性检测模块,网络流量安全检测模块和网络主机安全检测模块;
所述网络结构安全合规性检测模块用于对所述工业控制系统的网络结构进行安全合规性检测;
所述网络流量安全检测模块用于对所述工业控制系统的网络流量进行安全检测;
所述网络主机安全检测模块用于对所述工业控制系统的网络主机进行安全检测;
所述网络结构安全合规性检测模块包括:拓扑识别模块,合规性判断模块和加权评分模块;
所述拓扑识别模块用于通过自动识别或手动编辑的方式识别所述工业控制系统的网络结构,并将所述网络结构发送至所述合规性判断模块;
所述合规性判断模块用于基于内置的网络结构合规评估框架对所述工业控制系统的网络结构进行拓扑识别,得到所述网络结构的安全情况,并将所述网络结构的安全情况发送至加权评分模块;
所述加权评分模块用于通过内置的加权算法对所述网络结构的安全情况进行风险评估,得到所述工业控制系统的风险加权评分,并根据所述风险加权评分提出整改建议;
所述网络流量安全检测模块包括:工业控制系统协议识别模块,异常流量检测模块和通信链路可用性检测模块;
所述工业控制系统协议识别模块用于通过流量数据包的方式解析所述工业控制系统的应用层协议和网络层协议;
所述异常流量检测模块用于通过对所述流量数据包进行行为特征分析,得到威胁信息,其中,所述威胁信息包括:攻击时间,攻击源IP,攻击目的IP,应用层协议,网络层协议,规则描述;
所述通信链路可用性检测模块用于在所述工业控制系统中采用节点间通信校验技术在应用层对基于TCP协议的链路进行可用性检测,在检测得到链路中断时进行告警,并记录链路中断的详细信息,其中,所述详细信息包括:所述链路中断所对应的节点IP,所述链路中断的中断时间,所述链路中断的恢复时间。
2.根据权利要求1所述的模型,其特征在于,所述网络主机安全检测模块包括:主机漏洞检测模块,主机配置核查模块和主机工控恶意代码检测模块;
所述主机漏洞检测模块用于通过可拆卸检测装置抓取所述工业控制系统中主机设备的漏洞信息,以及,扫描操作系统、应用系统和常用软件的漏洞信息;
所述主机配置核查模块用于通过所述可拆卸检测装置抓取所述工业控制系统中主机设备的配置信息,以及,对所述工业控制系统中的网络设备、操作系统和网络安全设备进行检查;
所述主机工控恶意代码检测模块用于通过所述可拆卸检测装置抓取所述工业控制系统中主机设备的恶意代码信息。
3.根据权利要求1所述的模型,其特征在于,所述网络安全产品仿真模块包括:网络安全产品功能验证模块,网络安全产品漏洞挖掘模块和网络安全产品性能测试模块;
所述网络安全产品功能验证模块用于通过内置的测试用例对所述工业控制系统中的网络安全产品进行基本功能测试;
所述网络安全产品漏洞挖掘模块用于通过Fuzzing技术和动态分析技术对所述工业控制系统中的网络安全产品进行漏洞挖掘,得到漏洞分析报告;
所述网络安全产品性能测试模块用于对所述工业控制系统中的网络安全产品进行性能测试,其中,所述性能测试包括:负载测试,压力测试和容量测试。
4.根据权利要求1所述的模型,其特征在于,所述网络安全培训模块包括:网络安全意识培训模块和网络安全运维培训模块;
所述网络安全意识培训模块用于仿真所述工业控制系统的使用场景,以提升所述员工的安全意识;
所述网络安全运维培训模块用于仿真所述工业控制系统的运维场景、应急响应场景,以提升所述员工的运维水平。
5.根据权利要求4所述的模型,其特征在于,所述网络安全意识培训模块包括:安全意识培训模块和安全意识考核模块;
所述安全意识培训模块用于通过内置的安全意识培训视频使得所述员工进行自主学习;
所述安全意识考核模块用于对所述员工的安全意识进行考核。
6.根据权利要求4所述的模型,其特征在于,所述网络安全运维培训模块包括:安全运维培训模块和安全运维考核模块;
所述安全运维培训模块用于通过内置的网络安全检测培训视频、运维管理培训视频和应急响应培训视频使得所述员工进行自主学习;
所述安全运维考核模块用于模拟网络安全检测操作流程,模拟网络安全监管流程和注意事项,以及,模拟现场发生应急事件后的响应流程和操作,以使所述员工进行考核训练。
7.一种工业控制系统信息安全仿真终端,其特征在于,所述终端上安装有上述权利要求1至6中任一项所述的工业控制系统信息安全仿真模型。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810793383.0A CN108646722B (zh) | 2018-07-18 | 2018-07-18 | 一种工业控制系统信息安全仿真模型及终端 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810793383.0A CN108646722B (zh) | 2018-07-18 | 2018-07-18 | 一种工业控制系统信息安全仿真模型及终端 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108646722A CN108646722A (zh) | 2018-10-12 |
CN108646722B true CN108646722B (zh) | 2020-02-04 |
Family
ID=63759889
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810793383.0A Active CN108646722B (zh) | 2018-07-18 | 2018-07-18 | 一种工业控制系统信息安全仿真模型及终端 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108646722B (zh) |
Families Citing this family (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109376537B (zh) * | 2018-11-06 | 2020-09-15 | 杭州安恒信息技术股份有限公司 | 一种基于多因子融合的资产评分方法及系统 |
US11277429B2 (en) * | 2018-11-20 | 2022-03-15 | Saudi Arabian Oil Company | Cybersecurity vulnerability classification and remediation based on network utilization |
CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
CN109495502B (zh) * | 2018-12-18 | 2021-06-01 | 北京威努特技术有限公司 | 一种工控网络安全健康指数评估方法和装置 |
CN109639733A (zh) * | 2019-01-24 | 2019-04-16 | 南方电网科学研究院有限责任公司 | 适用于工控系统的安全检测与监控系统 |
CN110493254A (zh) * | 2019-09-03 | 2019-11-22 | 国家计算机网络与信息安全管理中心 | 工业云安全评估方法及装置 |
CN111338231B (zh) * | 2019-12-30 | 2023-01-24 | 国家工业信息安全发展研究中心 | 智能制造安全仿真测试平台 |
CN112995122B (zh) * | 2020-03-25 | 2024-03-08 | 长扬科技(北京)股份有限公司 | 一种工控网络安全数据可视化系统 |
CN112153081A (zh) * | 2020-11-24 | 2020-12-29 | 浙江齐安信息科技有限公司 | 一种工业网络异常状态的检测方法 |
CN112769867A (zh) * | 2021-02-05 | 2021-05-07 | 国网福建省电力有限公司电力科学研究院 | 一种针对变电站仿真设备的安全评估方法 |
CN113225313A (zh) * | 2021-03-26 | 2021-08-06 | 大唐三门峡发电有限责任公司 | 一种用于dcs系统的信息安全防护系统 |
CN113326400B (zh) * | 2021-06-29 | 2024-01-12 | 合肥高维数据技术有限公司 | 基于深度伪造视频检测的模型的评价方法及系统 |
CN113656273A (zh) * | 2021-08-19 | 2021-11-16 | 中国电子信息产业集团有限公司第六研究所 | 一种工控系统在检测时产生扰动的评估方法及装置 |
CN116112930A (zh) * | 2021-11-11 | 2023-05-12 | 华为技术有限公司 | 获取安全分级结果的方法及通信装置 |
CN114019946B (zh) * | 2021-11-11 | 2023-08-29 | 辽宁石油化工大学 | 工控终端的监控数据处理方法及装置 |
CN114095375B (zh) * | 2021-11-16 | 2024-03-15 | 烟台海颐软件股份有限公司 | 一种网络拓扑算法、工控安全仿真方法及系统 |
CN114422162B (zh) * | 2021-11-26 | 2024-06-07 | 内蒙古大唐国际托克托发电有限责任公司 | 一种用于火电机组的生产控制大区安全态势感知系统 |
CN114157493A (zh) * | 2021-12-06 | 2022-03-08 | 中国船级社 | 一种工控系统网络安全仿真测试平台及计算机设备 |
CN115632878B (zh) * | 2022-12-06 | 2023-03-31 | 中海油能源发展股份有限公司采油服务分公司 | 基于网络隔离的数据传输方法、装置、设备及存储介质 |
CN116520809B (zh) * | 2023-06-02 | 2023-12-12 | 西南石油大学 | 面向高危气田的工业控制系统安全行为识别方法及系统 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102904757B (zh) * | 2012-09-29 | 2016-07-06 | 浙江省电力公司 | 电力信息通信骨干网动态展示方法 |
CN103441891B (zh) * | 2013-08-19 | 2017-09-05 | 广东电网公司电力调度控制中心 | 电力数据网络的网络拓扑安全性测试方法及装置 |
CN104463747A (zh) * | 2014-12-26 | 2015-03-25 | 北京永信至诚科技有限公司 | 信息安全仿真培训方法和系统 |
CN106131023A (zh) * | 2016-07-15 | 2016-11-16 | 深圳市永达电子信息股份有限公司 | 一种信息安全风险强力识别系统 |
CN107065838B (zh) * | 2017-06-05 | 2018-04-20 | 广东顺德西安交通大学研究院 | 基于指令感知和模型响应分析的工控系统攻击检测方法 |
CN107241224B (zh) * | 2017-06-09 | 2020-11-03 | 珠海市鸿瑞信息技术股份有限公司 | 一种变电站的网络风险监测方法及系统 |
-
2018
- 2018-07-18 CN CN201810793383.0A patent/CN108646722B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN108646722A (zh) | 2018-10-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108646722B (zh) | 一种工业控制系统信息安全仿真模型及终端 | |
CN114584405B (zh) | 一种电力终端安全防护方法及系统 | |
CN107040517B (zh) | 一种面向云计算环境的认知入侵检测方法 | |
CN112184091B (zh) | 工控系统安全威胁评估方法、装置和系统 | |
CN113037745A (zh) | 一种基于安全态势感知的智能变电站风险预警系统及方法 | |
Chalvatzis et al. | Evaluation of security vulnerability scanners for small and medium enterprises business networks resilience towards risk assessment | |
Pan et al. | Anomaly based intrusion detection for building automation and control networks | |
CN116319061A (zh) | 一种智能控制网络系统 | |
CN117395076B (zh) | 基于大数据的网络感知异常检测系统与方法 | |
CN112491860A (zh) | 一种面向工业控制网络的协同入侵检测方法 | |
Manickam et al. | Labelled Dataset on Distributed Denial‐of‐Service (DDoS) Attacks Based on Internet Control Message Protocol Version 6 (ICMPv6) | |
Waagsnes et al. | Intrusion Detection System Test Framework for SCADA Systems. | |
CN117560196A (zh) | 一种智慧变电站二次系统测试系统及方法 | |
CN112153081A (zh) | 一种工业网络异常状态的检测方法 | |
CN116962057A (zh) | 多人协同的网络安全应急响应和演练平台及其操作方法 | |
Mishchenko et al. | Multidomain Cyber-Physical Testbed for Power System Vulnerability Assessment | |
CN112150306B (zh) | 一种电力数据网络安全测试方法及设备 | |
CN118041693B (zh) | 一种交换机的安全防御方法、系统、设备及介质 | |
CN112422568B (zh) | 新能源厂站非法网络通道的识别方法及厂站系统 | |
Hossain-McKenzie et al. | Securing Inverter Communication: Proactive Intrusion Detection and Mitigation System to Tap, Analyze, and Act | |
CN118018300A (zh) | 具备网络资产测绘功能的终端网络准入控制系统 | |
CN118573465A (zh) | 一种电力监控系统网络空间安全的评估方法 | |
CN118642910A (zh) | 一种状态监控方法及其装置、数据中心及多活数据中心 | |
Zeng et al. | ILLATION: Improving Vulnerability Risk Prioritization By Learning From Network | |
CN117220988A (zh) | 一种基于网络安全的态势感知方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |