网络与信息安全·Network and Information Security 工业控制系统信息安全测试平台研究 卢 凯,朱广宇,王绍杰,刘智国 (中国电子信息产业集团有限公司第六研究所,北京102209) 摘 要:随着工业控制系统面临的安全威胁日益严重,保障工业控制系统信息安全已经上升到了战略的高度。开展工 业控制系统信息安全测试平台的研究是保障工业控制系统信息安全的重要途径。针对现有一些测试平台的不足,提出了一种 集检测、攻防、仿真和评估于一体的信息安全测试平台设计架构,详细描述了测试平台的组成情况,并论述了关键技术的研究进 展情况以及下一阶段的研究目标。 关键词:工业控制系统;信息安全;测试平台 中图分类号:TP391.9 文献标识码:A DOI:10.19358/j.issn.2096-5l33.2018.03.010 引用格式:卢凯,朱广宇,王绍杰,等.工业控制系统信息安全测试平台研究[J].信息技术与网络安全,2018,37(3):4044. Research oninformation security testing platform of IC S Lu Kai,Zhu Guangyu,Wang Shaojie,Liu Zhiguo (The 6th Research Institute of China Electronics Corporation,Beijing 102209,China) Abstract:With the increasing security threat of ICS,information security of ICS has risen to the height of national security strategy.The re— search of information security testing platform for ICS is an important way to guarantee the information security of ICS.Aiming at the shortcom- ings of the existing testing platforms,this paper presents a architecture of information security testing platform,which integrates detection,at— tack and defense,simulation and evaluation.It describes the composition of the testing platform in detail and discusses the progress of the re— search on key technologies as well as the next phase of research objectives. Key words:industrial control system(ICS);information security;testing platform 0 引言 信息安全测试平台的研究是保障工业控制系统信息安 全的重要途径。 工业控制系统(ICS)是几种不同类型的控制系统 的总称,包括监控和数据采集系统(SCADA)、分布式控 制系统(DCS)和其他控制系统(如可编程逻辑控制器 (PLC))…。工业控制系统广泛应用于电力电网、石油 石化、冶金建材、食品医药、市政水利、核能设施、先进 制造等国家关键基础设施的运行控制过程中,是国家 关键基础设施的“中枢神经”。一旦工业控制系统信息 安全出现漏洞,将对工业生产运行和国家经济安全造 成重大威胁。而随着云计算技术、物联网技术的快速 发展以及“两化融合”工作的不断深化,工业控制系统 国外很早就开始了相关方面的研究和应用 。 美国爱达荷国家实验室(INL)自2003年起就开始实施 由美国支持的建设关键基础设施测试靶场计划, 包括SCADA控制系统测试床和电力电网测试床等,提 供真实的测试环境,对工业控制系统的脆弱性和软硬 件安全性进行测试评估;欧洲也搭建了SCADA安全测 试平台,构建分布式测试环境,测试、评估、验证、保护 SCADA系统的安全性;Wurldtech等国际知名工业安全 测试公司也推出了相关的测试平台,如Achilles测试工 具、ICS Sandbox测试平台等。 国内近几年在工业控制系统信息安全测试平台 面临的内外部安全威胁日益严重,保障工业控制系统 信息安全已经上升到了战略的高度。 工业控制系统信息安全测试平台为工业控制系统 的设计开发、测试验证、故障定位、缺陷分析以及运行 方面开展相关的研究工作,也取得了一定的成果,如 电子六所在2015年发布的工控健壮性测试平台、各 维护提供完善、高效的测试验证环境,可以对重点行业 领域的工控系统进行覆盖控制器级、网络级和系统级 信息安全厂商推出的信息安全防护平台以及一些专 业机构推出的行业仿真测试平台等。但是现在的这 些测试平台存在着行业应用局限性、功能单一性、控 制系统适应性等问题 ,基于此,本文提出了一种弱 的信息安全测试验证及风险评估,整体提升工业控制 系统的信息安全监测和防护能力。开展工业控制系统 40 《信息技术与网络安全))2018年第3期 NetworkandInformation Security。网络与信息安全 化控制系统型号和应用行业(只针对工业控制系统架 构本身),集检测、攻防、仿真、评估于一体的信息安全 测试平台设计架构,并论述了开展相关应用研究的进 展情况。 1 测试平台架构设计 1.1 工业控制系统信息安全测试平台需求分析 (2)能对被测工业控制系统进行漏洞扫描及漏洞 挖掘; (3)能对工业控制系统的外部接口进行管理,测试 外部威胁引入系统的可能性; (4)能够模拟攻击场景、攻击行为,测试和验证系 统的防护能力; 工业控制系统的信息安全威胁有多个方面 ,比 如:工控协议本身未采取安全措施,明文传输或存在漏 洞;工控系统长时间不问断运行导致操作系统版本、漏 洞库等无法及时更新,易受病毒攻击感染;系统网络设 计不完善,存在外部攻击通道;对外接口开放,存在安 全隐患;外部信息破坏手段不断提高,各种攻击手段层 出不穷等。为应对以上安全威胁,工业控制系统信息 安全测试平台应该具有如下的功能: (5)能够对搭建的最小化系统进行模拟或仿真扩 充,打造接近真实的网络测试环境; (6)建立风险分析方法,能够对被测工业控制系统 进行风险评估。 1.2 工控系统信息安全测试平台总体架构 工业控制系统信息安全测试平台的设计思路是提 供一个统一的平台,在平台上集成系统安全测试和隐 患分析服务、风险评估服务、安全事件场景复现服务以 及提供自动化测试工具、网络与工艺仿真、攻防试验等 圆圜圜圆圜 (1)针对工业控制系统通信协议的特殊性,构建工 控系统漏洞库; 工具和软件。平台总体架构如图1所示。 安全测试监控子平台 (集中监控) 臣 困威胁接入子 异常通信检测 非法接入检测 运行状态监测 资产配置监测 Fuzzing ̄lJ试 仿真测试环境 被测工业控制系统 固圆圆 接 口 渗 透 和 协 议 对 抗 接 口 协 议 工程师站 安全信息库 测 接 接 试 口 口 工 协 链 安全测试配置子平台 (统一配置) 具 议 路 /,L———_-j 配 配 配 置 置 置 Dcs配置解析器L—J\ 链 协 路 议 MES 系 备 配 配 置 配 配 统 配 置 置 置 置 接 接 虚 虚 虚 口 口 拟 拟 拟 子 设 运行场景库 测试用例 测试规程 ll 图1 工业控制系统信息安全测试平台总计架构图 1.3测试平台组成及功能 (1)测试配置子平台 工业控制系统信息安全测试平台由测试配置子平 台、测试监控子平台、安全测试工具集、威胁接入子平 测试配置子平台主要功能:配置仿真运行环境,包 括虚拟设备、虚拟子系统、虚拟MES系统,以及仿真系 统与被测工业控制系统和监控子平台的通信接口协议 台、安全信息库、仿真运行环境、仿真接入子平台、运行 场景库等部分组成,各部分的功能如下。 和链路参数;配置安全测试工具集,包括各工具参数以 41 《信息技术与网络安全》2018年第3期 网络与信息安全·NetworkandInformation Security 及各工具与被测工业控制系统和监控子平台的通信接 口协议和链路参数;配置测试监控子平台参数,包括设 备、通信、信息、画面、逻辑等。 (2)测试监控子平台 测试监控子平台主要功能:提供安全测试集中操 作控制台,包括一套主操作控制台和若干套协操作控 制台,共同完成对仿真环境和测试工具运行控制;通过 大屏幕显示器,提供对测试环境、被测对象、威胁行为 的综合可视化输出;提供对测试数据的记录、分析,识 别被测对象薄弱环节,对被测工业控制系统信息安全 风险作出量化评估。 (3)安全测试工具集 安全测试工具集主要功能:监测工业控制系统的 状态,包括资产的运行状态安全监测、资产配置监测 等;检测工业控制系统的异常行为并进行实时分析,包 括异常通信检测、非法接人检测、恶意进攻行为报警 等;向工业控制系统注入威胁性检测信号并进行实时 检测和分析,包括端口扫描/操作系统探测、Fuzzing测 试、认证攻击、逻辑攻击、命令执行、授权攻击、客户端 攻击等。 (4)威胁接人子平台 威胁接入子平台主要功能:提供工业控制系统在 配置、运行期间可能受到的外部威胁源入口,如工业控 制系统边界的企业管理信息区接口、子系统互联接口、 远程维护接口,及工业控制系统内部的交换机多余接 口,主机、控制器或工程师站的多余通信接口等。 (5)安全信息库 安全信息库主要包括:典型工业控制系统的缺陷 信息库;操作系统、数据库、工业控制系统的漏洞库;工 业控制网络通信协议特征库;典型工业控制系统的测 试案例库。 (6)仿真运行环境 仿真运行环境主要功能:通过仿真手段,搭建起工 业控制系统完整运行环境,包括模仿底层工艺系统的 虚拟设备、模仿与工业控制系统互联的虚拟子系统、模 仿与LEVEL 3层制造执行系统(MES)交互的虚拟 MES。其中虚拟设备提供高精度I/O能力,可与工业 控制系统的I/0单元直连,并通过通用可组态测试工 具进行驱动和管理。虚拟子系统和虚拟MES由纯软件 模拟。 (7)仿真接人子平台 仿真接入子平台主要功能:提供可直接连接丁业 控制系统的硬接线端口及控制系统上下层通信接口。 42 (8)运行场景库 运行场景库主要功能:虚拟设备、虚拟子系统、虚 拟MES采用ISO 20242(测试应用服务接口)规定的软 件结构和接口形式,保持高度灵活性、扩展性,为安全 测试构造足够真实、复杂、多样的行业应用环境。 2测试平台的实现探索 2.1 测试平台相关技术研究进展 为实现测试平台的搭建,将上述测试平台设计架 构的研究内容进行分解,已经实现的关键技术或已经 产品化的研究内容如下。 (1)安全信息库及漏洞扫描系统 基于安全信息库的漏洞扫描系统由信息安全库、 资产发现模块、协议识别模块、已知漏洞扫描模块以及 风险评估分析模块组成,可对工业控制系统进行漏洞 发现和分析。工控漏洞库从中国国家漏洞库、国家信 息安全漏洞共享平台、漏洞库以及CVE(Com— mOB Vulnerabilities and Exposures)漏洞库中搜集整理工 业控制系统相关漏洞信息,加人自行挖掘出的工控漏 洞信息,不断丰富,目前已经达到了近千条的规模。资 产发现模块用来对被测系统的资产清单进行管理,协 议识别模块与信息安全库结合用来确保生成测试用例 的全面性,通过测试用例对被测系统的检测和比对,来 确定被测系统是否存在已知的漏洞。 (2)工控漏洞挖掘系统 “ 基于模糊测试技术的工控漏洞挖掘系统由控制模 块、端口扫描模块、测试数据配置与生成模块、测试用 例执行模块和网络/逻辑监控模块组成,可对常用网络 协议以及工控协议进行漏洞挖掘。已经采用本漏洞挖 掘系统进行漏洞挖掘试验的工控协议包括Modb— usTCP/IP、DNP3.0、EtherNet/IP.CIP、Foudation Field— bus、IEC104、IEC61850、MMS和PROFINET,挖掘出的 漏洞如某国产PLC产品经过IP分片语法测试可导致 底层TCP/IP协议栈出现异常。 (3)网络仿真与攻防试验系统 网络仿真与攻防试验系统采用虚拟化技术、VM快 速部署技术、虚实互联技术等主要技术进行应用及研 发,开发平台使用Eclipse、PyCharm、WebStorm,系统运 行环境使用Linux操作系统,开发环境包括Tomcat、 MySQL、Nginx等,开发语言使用Java、Python、JS、C。目 前系统已经处于测试阶段。 网络仿真软件基于容器虚拟化技术,通过在容器 中运行高逼真路由程序。达到与实际网络一致的效果。 网络仿真软件由网络拓扑编辑器、仿真网络管理模块、 《信息技术与网络安全}20l8年第3期 Network and Information Security。网络与信息安全 流量仿真模块、路由仿真模块、流量采集与展示模块和 系统维护管理模块组成,胴1r仿真不同规模的网络,能 够支持网络舰模的扩展..网络拓扑编辑界面如图2 昕示, ㈣ elftl 2.2 下一步工作 『韦1绕本义提 的r、I 控制系统信息安个测试平 设计架构,主要的功能丌发T作已经 本完成,卜·步 要丌展的T作主要包括: *, ill ¥ &* 2017BT1523 2~~口j一( ∞ e (1)系统接LJ及配 平台开发 T、 控制系统信 口蕊盘型■ 嘲 嘲 _ 息安 测试平台作为一个产r 彤念,应陔 有统一的 操作入¨,需要丌发一实平台雕咒 j操作系统, 謦合 漏洲扫捕系统、 }1.1挖掘系统以及网络仿真 攻防测 试系统的通信接口干"通信内容,形成统一的旱现界叫 (2)评俯功能整合 结合等级保{,,的要求币11 I 、 控制系统的特点,没计 套洲 甲的模, ,并将漏洲 { 目贼 ■目 嚣 n正并* - … ,j一 h 描、漏涮挖掘以及攻防测讧弋的结 祭合进 f 模 rf1. 实脱评f 结果¨动生成与导…功能 ¥# 艮I 2 网络仿真软件拓扑编辑界面 (3)资源怍丰富 安令信息库 运行场景庠部需 网络仿真与攻防试验系统通过网络拓扑没计以及 婴针对不同的洲试场景不断地进行丰寓,协议指纹库 和 0试案例库至少要叛盖 内_丰流的 业控制系统一 3 结论 虚拟节点的部署来搭建出测试环境,根据虚拟节点的 功能划分,在虚拟机中安装被洲T、 控制系统的组态 及运行软件或者安装拟对被测系统进行测试的攻击T 同内观行的一 1 业控制系统信息安个测试甲台 存在一定的 限性,比如电 J电 仿真测试床具有鲜 明的行、J 特fiF.、漏洞扫捕1 具功能 一、某些测试平台 綦于特定的控制系统 开发而 仃普适性等,针 对这些问题, 义提¨{了一种弱化控制系统 U- 位 川行、i ,集检测、攻防、仿真、 于 体的 息安个测 具 这佯,网络仿真与攻防试验系统一方面可以对被 测T、 控制系统进行网络环境仿真和扩充,另一方面 也可以构建攻击网络对被测系统进行攻击和渗透 测试 (4)虚实互联技小= 噬实互联技术足网络仿真与攻防试验系统采川的 试平 汁架十勾,行沦述r卡I{火技术的开发进爬情况 ,下-步主要 主要技术之一.实现虚拟网络 实物网络i殳备之『【j】的 通信,将虚拟 络与实物网络有机结合成一个具备统 一LI ij订测试半臼的主婴功能已 能够 进"人机 开发、 功能整合以及测试平台的f、 网络拓扑结构币¨逻辑 的目标网络 ~虚拟与 联 ¨】推广r作,通过测}式平俞的应川术发现f 业控制系 的核心足虚拟网络通过虚实一 联服务器与实物网络之 问建立一个中间映射层以实现虚实网络互联,系统通 统的漏洞币¨缺 ,提 憋改意 ,保障r、 控制系统 息安个 参考文献 1 N1Srl .St’800—82.guide…indusll’ial L-Ol1 ll Ills(ICS) 一 过解析虚 网络配置获得虚实网络边界信息,根据转 发火系对牛fJ关实物 络接口进行配置,使实物网络设 备与虚实互联服务器能够正常通信 、 3所示为某实 物主机的端口没旨窗u,冈4所示为实物交换机与虚 拟网络及实物主机的关联设置窗¨ UI‘ifv!M j.Gaithers1..’g:NIS。I.20l。。 1. [2: 坦,十小 , .荚I I 安全 障体系 究岐 1.I f 密科学技l术.20I4(4):24.33. f 3 慧 ,fJi Ilt他, 阡印. 1、I)A系统f 息发伞测试『未 究 进腱 J.汁摊}几心川研究,20I 2,32(7):I926—1930 连隍交txJ ̄f[1till口 库 借备端口 IPv4地址 连接交撺机 号 名 : ■■■■■● S5730 2 1 Oi?a} :I n . l 4 万叫.hJ 控 系统信息安全测试 j防护技术趋势[J:.I 1 动化 览.20I4(9):68—71 5 航.从“0”到“I”:我 I I主研发I c义邋i代健 ¨{ 0 ■I (i r'l 罔3 实物主}』【端【1设鼹窗『l 试、 f f J].f,I功化 览.20I 5(9):70-73. 接口粪墅 关联工 关联虚拟 关鞋设备 程 弼结 类型 子逐18 关联设备 关联没备端 PVI没备技 [6 川侃 。吴{Ilj_.Ⅲ新蚋. .他携』 ft r,I产流 口 一 样托 制 息安伞测试、 龠[J: I‘、Ik#i<制if‘ 帆, acce. ̄5 No3一C 窭骘兰咀 rai1'.',aV—NO 毒曩 3一A iO , =‘熏= 201 5,28(10):1—3. 7 陈 辉.戈lJ尔.凌万水.等. 动 电网 州 刳4实物交换机关联没 商f1 制仿 测试、r J .rtz』J系统I I动化.201 5.39 4 《信息技术与网络安全>2o1 8年第3期 网络与信息安全·NetworkandInformation Security (9):54—60. 息安全学报,2016,l(3):1_9 (收稿日期:2018—02—06) 『8]王志强,王红凯,张旭东,等.工业控制系统安全隐患及应对 措施研究[J].信息网络安全,2014(9):203—206. 『9]秦媛媛,朱广宇,田晓娜,等.基于CVE漏洞库的工控漏洞 发现和分析系统研究[J].信息通信技术,2017(3):54—59. [1O]朱广宇,秦媛媛,陈波,等.面向工业互联网环境的模糊测 作者简介: 卢凯(1977一),男,本科,高级工程师,主要研究方向:工业 控制系统信息安全。 朱广宇(1981一),男,硕士,工程师,主要研究方向:工业控 试系统设计研究与实现[J].信息通信技术,2017(3): 72-76. 制系统信息安全。 王绍杰(1983一),男,硕士,工程师,主要研究方向:工业控 制系统信息安全。 [11]李航,董伟,朱广宇.基于Fuzzing测试的工业控制协议漏 洞挖掘技术研究[J].信息网络安全,2014(9):203—206. [12]方滨兴,贾焰,李爱平,等.网络空间靶场技术研究[J].信 (上接第39页) [8]刘威,李冬,孙波.工业控制系统安全分析[J].信息网络 安全. 主要研究方向:电力系统信息安全、电力信息化。E—mail: zhimin.guo@163.tom。 吕卓(1986一),男,研究生,高级工程师,主要研究方向:信 (收稿日期:2018—02-06) 息安全、安全渗透。 陈岑(1990一),女,研究生,工程师,主要研究方向:工控安 作者简介: 郭志民(1977一),通信作者,男,本科,教授级高级工程师 全、计算机。 (上接第23页) 统设计研究[J].水利水电技术,2003,34(5):60—62. [3]李劲.大型调水工程信息安全解决方案研究[J].电信技术, 2014(11):99—104. 登人用户无法从事越权操作。 6 结束语 引调水工程中广泛采用自动化控制系统,并且普 遍采用PLC控制,具有控制层级多、控制方式多样、控 制权限设定复杂等特点。随着国家对工业控制领域网 [4]詹全忠.水利网络与信息安全体系基本技术要求[J].信息 网络安全,2010(6):85—86. [5]叶茂,刘盈斐,王冠华.水利科研院所信息安全等级保护测 评及制度探讨[J].水利技术监督,2014,22(6):3942. (收稿日期:2018.02—06) 络信息安全的重视,信息安全设计已提升到一个新的 高度。本文结合工程实际设计情况,针对引调水工程 控制和网络安全,提出一个具有普遍性和实用性的设 作者简介: 计方法,对其他引调水工程的设计具有一定的借鉴性。 参考文献 [1]杨铁树,张同生.河北省南水北调配套工程监控系统设计特 点[J].水科学与工程技术,2015(3):52—55. [2]于,宋厚清,孙水英,等.胶东供水工程通信与自动化系 李连全(1981一),男,本科,高级工程师,主要研究方向:水 电电气自动化设计、水利工程控制自动化设计。 李润伟(1981一),女,本科,高级工程师,主要研究方向:水 电电气自动化设计、水利工程控制自动化设计。 《信息技术与网络安全}2018年第3期
