★ 烽台科技(北京)有限公司 訾立强,李璐吉
摘要:随着科技的进步,通信技术不断升级和创新,从传统的有线通信向无线通信、5G、物联网等新技术演进,提高了通信网络的效率、速度和覆盖范围,推动了通信行业的迅猛发展。在信息时代,通信行业扮演着不可或缺的角色,对全球互联互通、经济增长、社交互动和危机应对具有深远的影响,逐渐成为现代社会的支柱之一。本文结合行业背景和工业业务场景,介绍全生命周期的工业控制系统信息安全靶场资源管控系统,实现共性组件和资源的调度,支持跨网络、跨架构的攻防演练,为工业控制系统安全测试验证和攻防演练提供切实可行的方案。
关键词:工业网络安全;攻防演练;安全靶场管控;工业控制系统安全测试验证
通信行业是一个快速发展且动态变化的领域,其特点可以归纳为技术创新、全球化、快速发展和不断变革。随着科技的不断进步,通信技术也在不断升级和创新,从传统的有线通信向无线通信、5G、物联网等新技术的发展演进,不断提高了通信网络的效率、速度和覆盖范围,推动了通信行业的迅速发展。通信行业具有强烈的国际性和全球化特征,通信网络能够将全球各地连接起来,促进信息和数据的全球流动。通信行业在信息时代扮演着不可或缺的角色,是连接全球、推动数据传输和信息交流的核心基础设施,其地位不断在上升。它对全球互联互通、经济增长、社交互动和危机应对都具有深远的影响,逐渐成为现代社会的支柱之一。
中国移动通信集团贵州有限公司(以下简称“贵州移动公司”)于1999年正式成立运营,是中国移动通信集团在贵州设立的全资子公司。随着公司的高速发展,网络安全威胁形势日趋严峻,安全监管考核要求越来越严格,集团公司以及各省、自治区、直辖市公司亟需加强网络安全相关工作。为贯彻党中央“以新安全格局保障新发展格局”的战略部署,围绕公司“一二二五”战略实施思路和网络暨网络安全工作会要求,贵州移动公司建设了集工控领域安全竞赛、渗透测试、安全培训、系统仿真能力于一体的工控网络攻防靶场平台,全面提升了贵州移动公司工控安全攻防靶场能力。
面对日趋严峻的网络安全威胁形势和越来越严格的安全监管考核要求,集团公司以及各省、自治区、直辖市公司亟需加强网络条线网络安全工作。为构建新型安全集中支撑能力,贵州移动公司建设了攻防靶场工控安全方向分平台。
结合省内工控靶场系统建设现况,本项目拟解决以下痛点问题:
(1)省内运营商无工控网络靶场建设能力;
(2)省公司工控安全攻防靶场能力不足;
(3)填补集团工控安全攻防靶场缺口;
(4)工控网络安全能力拓展、价值赋能增强、人才团队能力提升;
(5)省工控网络靶场不具备与集团一级平台进行对接的能力,不具备与外部平台能力联动满足集团考核上报的要求。
本项目实施目标为构建省公司新型安全集中支撑能力、响应集团公司SOC攻防实战平台安全培训和竞赛训练功能建设要求、护航集团公司业务发展、助力集团攻防靶场能力建设。本项目在贵州公司将开展工控领域安全竞赛、渗透测试、安全培训以及系统仿真靶场等工作,为贵州移动工控网络攻防靶场平台支撑服务项目,提供必要的技术、实物、人员等现场支撑和保障,协助贵州移动完成工控网络靶场支撑服务,并组织开展工业信息安全培训、竞赛活动等相关工作。
本项目重点实施的集团SOC攻防靶场分平台包括了工控网络靶场模块、工业信息安全竞赛模块、工业信息安全实训模块三大模块,涵盖了工控领域安全竞赛、渗透测试、安全培训以及系统仿真等方面。本项目定位为建设集团工控安全靶场分平台,并由集团公司对分平台进行整体管控,实现覆盖用户架构、靶场攻防实训信息以及VPN权限资源等维度的一体化管理。
贵州移动公司工控网络攻防靶场平台建设项目的主要内容如下:
(1)为集团提供工控安全攻防能力,完成分平台与集团靶场的数据上报及统一管理,实现贵州移动公司工控网络攻防靶场平台与集团靶场的对接;
(2)在贵州构建新型安全集中支撑能力,建设安全数据汇聚能力和攻防实战靶场;
(3)在贵州公司开展工控领域安全竞赛、渗透测试、安全培训以及系统仿真平台,为集团攻防靶场提供贵州本地化工控安全攻防能力,赋能集团、省公司开展攻防靶场相关业务;
(4)加强省公司网络安全工作;
(5)有效支撑贵州移动公司工控网络攻防靶场平台安全竞赛训练(工控竞赛)、渗透测试靶场(工控安全)、安全培训(工控安全)、系统仿真(工控)的各项业务需求和发展。
(1)项目目标
本案例的建设目标主要是为贵州移动公司提供工控网络攻防靶场建设,该案例包括了工控网络靶场模块、工业信息安全竞赛模块、工业信息安全实训模块三大模块,涵盖了工控领域安全竞赛、渗透测试、安全培训以及系统仿真等方面。该案例主要设计目标是设计一个集安全竞赛训练(工控竞赛)、渗透测试靶场(工控安全)、安全培训(工控安全)、系统仿真(工控)于一体的工控网络攻防靶场。
本案例通过建设如上功能靶场与集团公司攻防靶场联动,实现重要系统数据共享接口的常态化管控,大力推进安全自主创新和核心能力内化,做好手段支撑和数据安全,开展新型安全服务能力探索,构筑面向新型信息基础设施的安全防护能力,为公司业务发展保驾护航。
(2)项目需求
面对日趋严峻的网络安全威胁形势和越来越严格的安全监管考核要求,中国移动通信集团有限公司以及各省、自治区、直辖市公司亟需加强网络安全工作,打造贵州公司工控安全攻防靶场能力,同时构建省公司新型安全集中支撑能力,以满足上级监管部门考核数据上报要求及省内安全需求。
(3)靶场基本功能架构设计
贵州移动工控网络攻防靶场平台主要由数据展示层、安全实训层、竞赛资源层、基础资源层、数据接口层等功能组成,具体如图1所示。
图1 靶场基本功能架构
(4)靶场基本技术架构设计
本案例建设的集团SOC攻防靶场分平台工控网络攻防靶场平台主要由工控网络靶场模块、工业信息安全竞赛模块和工业信息安全实训模块组成,可以完成靶场资源仿真环境搭建、攻防竞赛应用支撑及安全实训能力支撑等工作。其中,工控网络靶场模块主要提供工控仿真场景支撑;工业信息安全竞赛模块依托工控网络靶场模块用于相关赛事支撑;工业信息安全实训模块用于人才培养。三大模块构成SOC攻防靶场分平台工控网络攻防靶场能力建设体系,具体如图2所示。
图2 靶场基本技术架构
(5)平台对接能力
本案例按照规范定制化开发单点登录集成能力,满足了平台单点登录集成要求,工控网络攻防靶场平台可以通过CAS单点登录,提高了平台工作效率。
(6)工控网络攻防靶场平台部署情况
本项目从可拓展性、技术要求成熟度、建设周期和难度、管理和维护、安全性等多方面进行综合考虑,依据原有平台功能满足考核要求方面分析得出,利旧中国移动通信集团贵州有限公司天巡实验室服务器资源和网络资源,依据建设所需资源在现有资源基础上对其进行扩容,靶场采用物理机的方式进行部署,目前已部署完成。
2.3.1 难点
面对日趋严峻的网络安全威胁形势和越来越严格的安全监管考核要求,中国移动通信集团公司以及各省、自治区、直辖市公司亟需加强网络条线网络安全工作。我们通过分析省内工控靶场系统建设现况,发现本项目实施主要有以下难点:
(1)省内运营商无工控网络靶场建设基础;
(2)省公司工控网络靶场不具备与集团一级平台的接口进行对接的能力,不能实现与上级平台能力联动及满足集团考核上报要求;
(3)多尺度融合仿真;
(4)超百人级培训、演练、竞赛性能支撑。
2.3.2 应对方法
(1)贵州移动工控网络攻防靶场平台的建设,可弥补省内运营商无工控网络靶场建设基础的空缺。
(2)贵州移动工控网络攻防靶场平台能力提升项目通过定制化单点登录集成与平台接口,为贵州移动工控网络攻防靶场平台提供了靶场平台对接能力,实现了重要系统数据共享接口的常态化管控。
(3)本案例采用全虚拟化节点(采用KVM技术),通过虚拟节点和实物节点的协同工作实现虚拟与实际工控设备的物理连接;通过离散事件模拟节点集成,制定标准的通信协议和接口,确保所有节点(虚拟、实际和离散事件模拟节点)都支持IPv4协议的数据通信;开发自动化工具和脚本,确保生成的网络场景可以迅速部署和启动。
(4)本案例将贵州移动工控网络攻防靶场平台原有的单台硬件配置12核CPU、内存512GB、硬盘6TB的服务器硬件配置扩容至26核CPU×2、内存512GB、系统盘960×2GB、存储盘2.4T×8GB,可同时运行120台靶机资源,可支撑地方、省级、国家级大型赛事。
2.4.1 产品部署效果
(1)产品应用方式
地方级赛事支撑:2023年黔东南州青年职业技能大赛、2023年中国移动黔西南分公司第一届“金移菁鹰杯”网络安全技能竞赛。
国家级赛事支撑:2022年第六届工业信息安全技能大赛复赛。
(2)产品应用效果
赛事资源管控:通过多维度的赛事资源管理能力,为比赛提供赛制、赛题、试卷等管理能力,以及比赛任务下发的能力。同时提供在黑盒渗透模式中的场景资源管控能力,满足企业对比赛的多重管理需求,如图3、图4、图5所示。
图3 赛事资源管控
图4 赛事资源管控
图5 赛事资源管控
赛事管控能力:裁判可以通过赛事裁判模块对参赛选手提交赛题过程进行监控,对选手答题记录进行审核;可按照队伍和比赛场次、时间节点等筛选条件对赛题进行筛选,对参赛选手进行监控;可通过观看反作弊监控记录,判定场景中的规则是否被遵守,并对可疑队伍进行研判,检测是否存在作弊行为或执行处罚措施,保障裁决的公平公正性,如图6所示。
图6 赛事管控
2.4.2 安全威胁应对方案
本案例建设的贵州移动工控网络攻防靶场平台可针对企业网络以及设备进行虚拟化,可还原企业真实网络并进行安全威胁应急演练和漏洞验证,同时可提供真实设备接入功能,极大程度地模拟了企业网络真实度。企业可通过工控网络攻防靶场平台对自身网络以及设备进行安全演练,避免了影响企业自身网络的正常业务行为。本案例提供了多个安全威胁应对方案,一是企业可通过模拟自身网络,面对社会开放攻防竞赛,弥补自身漏洞;二是企业可内部培训相关人才,开展人才培养工作;三是企业可定期开展应急演练工作,培养企业人员安全意识与应急能力。
2.4.3 下一步优化实施计划
(1)本项目下一步计划优化平台组件虚拟化程度,大幅度提升组件的标准化和真实化;平台将优化各模块的操作方式,进一步优化业务的流程,从而提高系统的可操作性和可靠性。
(2)由于省内绝大多数工业企业遵循传统安全防护模式,难以应对当前工业信息安全攻击手段,因此项目形成的工控网络安全解决方案计划覆盖到全省,同时逐步覆盖到周边省份,以提高更多工业企业的安全防护能力。
(3)利用平台具备的工业网络安全实验室联合国家和省级网络安全主管单位共同举办不同级别的工业网络安全攻防比赛,并联合高校和行业主管部门定期举行行业网络安全人才培训班,以及和国家行业有关实验室组建网络安全联合实验室。
(1)在技术先进方面:本项目基于网络虚实结合构建技术扩大了仿真资源的利用率及共享率,实现了细粒度的资源共享能力,同时具有较强的协同、容错和安全应用机制,对虚拟化技术具备良好的支持度,并利用多级控制层的实体网络快速配置技术实现了更便捷的仿真资源调度与配置,最后通过高并发的分布式场景实例构建技术实现了大型复杂环境下的网络环境构建。
(2)在行业发展方面:本项目可本地部署,可基于本地基础资源层,辐射全省各地进行工控设备安全测评和验证,对提升行业工控安全具有重要意义。
本项目结合竞赛、演练和培训,提供了一个多维度的平台,培养了实战技能,促进了协同工作,深化了企业对工控网络威胁的认知,提高了工控系统的抗攻击能力。
本项目可满足地方、省级及城市级的工控安全能力提升需求,可提高对网络事件的应对速度和质量,并推动工业网络安全的发展。
(1)从信息安全服务提供商维度,可扩展和区分投资组合并增加收入。
(2)从高校人才培养维度,可提供创新的实践网络学位课程,毕业生可加速进入成功的职业生涯。
(3)从政府部门维度,可加速网络安全专业人员的认证,可侧重提升公共部门事件响应小组应对网络攻击的能力。
(4)从企业维度,可提升企业的事件响应团队技能,可评估新员工并加速入职。
本项目弥补了贵州省内移动公司在工控网络安全靶场建设、团队人才实操能力培养等方面的空缺,进一步提升了省内工控安全的防护水平,影响和带动了相关行业在工控网络攻防靶场平台方面的建设,提升了工控网络安全靶场平台的辐射服务能力,培养了一批从事相关行业企业工控网络安全靶场平台系统设计、实施、运维及服务的专业技术人才。
訾立强(1990-),男,河北秦皇岛人,硕士,现就职于烽台科技(北京)有限公司,主要从事工业信息安全方面的研究。
李璐吉(1996-),男,四川成都人,学士,现就职于烽台科技(北京)有限公司,主要从事工控安全、监测运营方面的研究。
end
来源 | 《自动化博览》2024年7月刊
责任编辑 | 赫敏
如需合作或咨询,请联系工业安全产业联盟小秘书微信号:ICSISIA20140417
往期荐读
