相关文章 / article
工控信息安全研究与教学仿真系统
一、工控安全业务概述
在信息安全领域不断拓展,利用自身优势和相关积累自2013年进入工控系统信息安全领域,在加大资源投入的基础上迅速占领了市场,在各个行业都建立了试点样板局。目前已经建立拥有业内规模优秀,设备完善的工业网络安全实验室,配备有SIEMENS、AB-Rockwell、Schneider、ABB、三菱、GE、和利时等主流工控系统以及流程类生产装置,*仿真涉及轨道交通、*制造、石油炼化、烟草等各个行业工控协议数据及工艺流程。
在国家政策引导下并联合业内工控系统信息安全研究机构、协同设计院、用户一起推动了工控系统信息安全建设。目前公司已全面推出面向高校教育专业-信息安全、工业自动化、计算机网络等专业的工控信息安全教学试验箱,能够指导学生在此基础上开展一系列的研发创新活动,提高就业实战水平,同时推动工控信息安全行业的发展、协助企事业用户提升工控系统信息安全水平,更全面、更高效地保障企业生产安全稳定运行。
二、研究与教学实验系功能展示(订制)
Ø 工控系统漏洞挖掘及防护研究
Ø 工控信息安全设备测试与验证
Ø 工控系统信息安全统一管理
Ø 工控信息安全实验平台搭建
Ø 工控信息安全攻击防守演练
Ø 面向行业工控客户攻击防守展示
Ø 工控信息安全技术培训
Ø 工控系统协议仿真、深度解析并验证
Ø 相关技术、解决方案交流
Ø 资源、数据共享
。。。。。。
三、工控信息安全仿真系统介绍
3、1、仿真实验平台实现方案
工控安全设备及工控信息安全展示平台
1)、工控安全产品-工业防火墙、工控异常监测等
2)攻击防守研究与教学及监控系统-攻击工具包、工程师站、操作员站等
工控信息安全管理系统
(1)产品功能特点
系统的功能由如下12个主要功能模块组成,具体见下表:
功能模块 | |
首页 |
|
资产管理 |
|
异常监测 |
|
事件管理 |
|
性能监测 |
|
漏洞扫描 |
|
基线管理 |
|
告警管理 |
|
风险评估 |
|
报表管理 |
|
采集器 |
|
系统管理 |
|
主界面如下图所示:
全局安全监控
安全事件可视化展示
状态监控
告警展示
主界面支持用户定义,如上图所示主界面展示如下信息
工控漏洞扫描系统
梦潮科技天镜脆弱性扫描与管理系统V6.0-工控系统版基于工控系统已知的安全漏洞特征(如SCADA/HMI软件漏洞,PLC、DCS控制器嵌入式软件漏洞,Modbus、Profibus等主流现场总线漏洞、SCADA/HMI软件漏洞等),对SCADA、DCS系统、PLC等工业控制系统中的控制设备、应用或系统进行扫描、识别,为工业控制系统提供完善的*的漏洞分析检测。
(1) 产品功能特点
梦潮科技的天镜脆弱性扫描与管理系统V6.0-工控系统版具有如下特点:
工控异常监测流量分析审计系统
工控异常监测系统,是工业控制系统信息安全需求的检测系统。本产品依托多年雄厚的网络安全检测技术,通过对工业控制系统中的工控语言进行专项解读,形成了*的工控网络检测策略,实现了对各工业控制网络系统的有效入侵检测。
工控异常监测系统是在根据已有的、新的攻击手段的信息代码对进出网段的所有操作行为进计实时监控、记录,并按制定的策略实行响应(阻断和进行各种形式的报警),从而防止工控网络的攻击与犯罪行为。
(1) 产品功能特点
功能项 | 功能描述 |
传统网络入侵检测 | 通过预置检测规则检测已知的各种木马、蠕虫、僵尸网络、缓冲区溢出攻击、DDoS、扫描探测、欺骗劫持、挂马等 |
工控语言专项解读 | 支持Modbus通讯协议的深度解析;支持工控IEC 60870-104协议的深度解析 |
工控网络*检测策略 | 通过对工控语言的解读,研究其中各种入侵途径,从而形成了*的工控网络检测策略 |
网络伪造报文攻击检测 | 检测发现恶意构造的异常报文、畸形报文 |
扩展的网络检测 | 产品提供了灵活、强大的自主增配检测规则的能力。使得用户在普适性检测能力之外,可自身网络业务特点,检测自身关注的各种正常网络业务行为和异常网络业务行为。可大大延展检测范围,实现具有用户专有特色的检测系统 |
网络病毒检测 | 系统内置了的网络病毒库,可以检测发现网络中传输的病毒 |
网络元信息 | 发现网络中存活的主机以及主机网络行为,为完成用户网络的梳理提供基础网络信息 |
结合产品的专家服务 | 提供结合产品的专家服务来协助用户用好产品用出效果。产品的网络环境以及用户网络业务进行深入了解,配置实现用户特点的有效检测策略,对检测数据提供专业分析完成网络梳理 |
工业网闸
天清安全隔离与信息交换系统工控网闸产品是具有*自主知识产权的安全隔离与信息交换系统,该产品利用网络隔离与访问控制技术,可以隔离工业生产网中的管理层与生产控制层,对重点数据提供高安全隔离的保护,同时正确传输OPC指令,保障生产的安全有序进行。
(1)产品原理特点
安全隔离技术的工作原理是使用带有多种控制功能的固态开关读写介质连接两个独立的主机系统,模拟人工在两个隔离网络之间的信息交换。其本质在于:两个独立主机系统之间,不存在通信的物理连接和逻辑连接,不存在依据TCP/IP协议的信息包转发,只有格式化数据块的无协议“摆渡”。被隔离网络之间的数据传递方式采用*的私有方式,不具备任何通用性。
天清安全隔离与信息交换系统工控网闸,只允许生产控制网采集的数据流向生产管理网,允许符合控制网传输协议的数据返回到控制网络,不容许任何其它数据返回到控制网络。同时对流经的数据报文进行严格协议格式检查和内容过滤。天清工控网闸根据不同的DCS采集系统,采取同步或异步的数据传输监测机制,并且根据OPC协议的特点,使用了高安全的自协商动态端口通讯机制,从而解决了OPC通讯采用动态端口带来的安全防护瓶颈问题,阻止病毒和任何其它的非法访问,保证了生产控制网和生产管理网的通讯安全。
网络安全隔离与信息交换系统要想做好防护的角色,首先必须能够保证自身系统的安全性。天清安全隔离与信息交换系统具有*的自身防护特性,可以阻止来自从网络任何协议层发起的攻击、入侵和非法访问。网络之间所有的TCP/IP连接在天清安全隔离与信息交换系统上都要进行*的应用协议还原,还原后的应用层信息根据用户的策略进行强制检查后,以格式化数据块的方式通过隔离交换矩阵进行单向交换,在另外一端的主机系统上通过自身建立的安全会话进行终的数据通信,即实现“协议落地、内容检测”。这样,既从物理上隔离、阻断了具有潜在攻击可能的一切连接,又进行了强制内容检测,从而实现高等级的通讯安全与自身安全性。
安全隔离与信息交换系统架构主要由内网主机系统、外网主机系统和隔离交换矩阵三部分构成。内网主机系统与内网相连,外网主机系统与外网相连,内/外网主机系统分别负责内外网信息的获取和协议分析,隔离交换矩阵根据安全策略完成信息的安全检测,内外网络之间的安全交换。整个系统具备以下技术特性:
(2)功能说明
OPC应用数据传输
支持DCS/SCADA网络与管理网络之间的OPC应用数据的传输;支持协议格式检查及内容过滤;支持同步、异步监测数据的传输,支持高安全的自动协商动态端口通讯机制;支持情景模式,能够设置OPC工控应用允许通信的时间;支持端口访问控制。
数据库访问
实现对多种(如MySql、SqlServer、Oracle、DB2、Sybase)主流数据库系统的安全访问;支持SQLServer和Oracle数据库SQL语句过滤功能;支持实时数据库的访问与数据传输。
数据库同步
支持Oracle、SQL Server、Sybase、Db2等主流数据库间单向和双向同步;支持同构、异构同步;支持一对多,多对一同步;支持字段级的同步,具有条件同步等多种同步策略;支持详细的日志审计和报警功能;支持病毒检测。
文件同步
实现文件的安全交换,支持NFS、SMBFS、SAMBA等文件系统,支持跨系统平台文件同步;支持有客户端和无客户端方式;可实现单向和双向同步;支持多种文件同步控制,支持内容过滤和病毒检测。
FTP访问
实现安全的FTP访问,支持对用户、命令、文件类型等细粒度访问控制;支持动态建立数据通道,并可对访问端口号自由定义;支持中文文件名的过滤控制等多种功能。
定制访问
实现特定TCP、UDP协议的数据隔离交换,可合作定制开发特定协议的安全检测,实现如黑白名单控制、关键字过滤等;支持对访问源地址的控制;透明模式支持时段控制策略,时间模式可以是一次性或周循环。
网闸工作原理
主机架构
安全审计
工业防火墙
天清汉马工业防火墙IFW-3000(下文均使用IFW-3000来说明)是一款专门为工业控制系统开发的信息安全产品。
(1)产品功能特点
生产网和管理网的互连互通在极大的提高了信息传递效率的同时,也引入了很多的安全风险。为有效抵御来自内外网对工业生产设备的攻击,需要对工业和关键设备边界进行安全防护。目前比较的ISA99/IEC62443工业安全标准推荐使用纵深防御(defense in depth)的安全策略,这是成功的安全实践。IFW-3000强大的功能和环境适应性可有效支撑纵深防御安全策略的落地。
表格 3-1 纵深防护功能简介
防护点 | 描述 | 防护功能 |
G1 | 企业网的外网连接点 | 支持访问控制,可有效抵御外网的入侵。 |
G2 | 管理层和监控层连接点 | 支持对FTP、HTTP等数据传输的安全防护。 |
G3 | 先控站等关键节点 | 支持对工业协议的白名单控制。 |
G4 | 监控层和设备层连接点 | 支持对OPC数据安全传输的防护。 |
G5 | 设备层的子网连接点和关键器件节点 | 支持对关键PLC的安全防护,支持对Modbus、IEC104的安全防护。同时支持基于RS232、RS485的串行工业协议安全防护,如支持对Modbus/RTU的深度防护。 |
表格 3-2 功能参数表
功能项 | 功能参数 |
---|---|
系统状态 | CPU利用率、整机网络实时吞吐量、并发会话、连接统计、连接排行榜 |
系统管理 | 支持双系统 |
网络设置 | 支持透明模式、路由模式、VLAN设备 |
工业以太网协议 | 支持Ethernet/IP、OPC、Modbus、Profinet、IEC-61850-Goose等100多种工业协议。 |
支持SIEMENS、Schneider、Honeywell、GE等厂商的PLC防护模型 | |
支持自定义基于二层、三层工业协议 | |
安全防护 | 防火墙支持全通、测试和防护模式 |
访问控制支持基于接口、源IP、目的IP、MAC、协议、时间调度的流量过滤。 | |
支持抗攻击:抗SYN Flood、UDP Flood、ICMP Flood、抗Ping of Death等 | |
OPC 深度包检测 (选配) | OPC classic 动态端口解析控制 |
OPC classic 完整性检查 | |
支持OPC DA、HAD、A&E、DX | |
OPC classic分片检查 | |
Modbus深度包检测 (选配) | 功能码访问控制 |
设备地址访问控制 | |
线圈范围的读写访问控制 | |
寄存器范围的读写访问控制 | |
线圈地址访问控制 | |
输入地址访问控制 | |
支持基于阻断时的Reset回复 | |
支持状态检查 | |
支持合规性检查 | |
支持黑/白名单机制 | |
支持基于阻断时的异常回复 | |
IEC104深度包检测 (选配) | 支持APCI访问控制(I帧、S帧、U帧) |
支持读命令 | |
支持数据上送访问控制 | |
支持遥调的信息体地址和访问值访问控制 | |
支持遥控的信息体地址和控制值访问控制 | |
支持遥脉访问控制 | |
串行及现场总线协议防护-Modbus/RTU (选配) | 支持串行接口RS232和RS485数据通信 |
支持串口通信参数配置,包括波特率、数据位、奇偶校验、停止位、流控。 | |
支持设备地址控制 | |
支持阻断情况下异常回复 | |
支持合规性检查 | |
支持状态检查 | |
支持黑/白名单机制 | |
支持功能码访问控制 | |
支持线圈地址控制 | |
支持输入地址控制 | |
支持寄存器地址控制 | |
工业VPN (选配) | 支持网关间基于工业协议的数据加密传输 |
高可用性 | 支持基于主备模式的双机热备 |
日志审计 | 支持日志服务器、日志分类存储 |
(2)工业协议控制及解析与防护
IFW-3000可以对的工业协议进行访问控制:
1、预置了百种以上工业协议,可实现工业协议的白名单安全防护。
2、预置了常用的PLC防护模型,可快速实现控制器的白名单防护。
3、支持基于二层协议号和三层网络端口号的自定义工业协议白名单安全防护。
IFW-3000工业协议的安全防护,除了具备白名单访问控制等基本功能外,还需要对工业协议有应用层的理解与控制,可以实现对工业指令的过滤。IFW-3000支持基于Modbus/TCP、Modbus/RTU、IEC104等协议的深度过滤功能。
IFW-3000工业协议的安全防护,除了具备白名单访问控制等基本功能外,还需要对工业协议有应用层的理解与控制,可以实现对工业指令的过滤。IFW-3000支持基于Modbus/TCP、Modbus/RTU、IEC104等协议的深度过滤功能。
支持防火墙模式配置,支持全通模式、调试模式和防护模式
实验系统组成
工控安全实验系统由各种工业仿真现场、工控控制系统、上位机监控系统、工控系统信息安全设备及工控信息安全展示平台等组成。
1)、工控安全研究与教学系统
2)、化工行业工控安全仿真系统
3)、污水处理或城市给水行业工控安全仿傎系统
4)、发电行业工控安全仿真系统
5)、轨道交通行业工控安全仿真系统
6)、物联网行业工控安全仿真系统
7)、自动化生产工控安全仿真系统
3.2攻击工具包
硬件为一台工业加固笔记本形态,软件集成工控系统上位机、工业网络设备、工业网络协议、工业控制器(PLC\DCS\RTU等)等专业攻击工具。如
1、信息收集,扫描
nmap 号称扫描器*,历史为悠久,支持多种扫描方式,准确度、速度相比其他工具都有很大优势
Ipscan 经典、易用的网段扫描工具
nessus开源综合漏扫软件,支持系统、中间件、数据库、网络设备等漏洞扫描
OpenVAS 基于nessus,在nessus走商业化路线后成为第二个开源的nessus
2、破解,加解密
hydra 开源,功能为强大的远程协议破解工具,支持众多远程认证协议
bruter windows下图形界面的远程协议破解工具,支持协议相对hydra要少一些
passwordspro windows平台散列破解工具,支持各种类型的散列,和salt散列破解
john the ripper 跨平台操作系统密码与散列破解工具
LC6 windows系统密码破解工具
Cain 上帝之手,具备众多散列破解、嗅探等功能
3、漏洞利用
Metasploit 集成漏洞攻击脚本多的综合漏洞攻击平台
4、Web有关
sqlmap 基于python,开源的sqlmap注入检测工具
burp suite http协议底层分析工具,渗透测试人员利器
3.3工控安全实验箱网络拓扑结构
四、工控安全实验室攻击防守教学展示
4.1、工控系统上位机操作系统漏洞入侵防护展示
攻:通过windows开启的服务漏洞,进行渗透测试,提权,终远程控制上位机,对远程PLC进行启停、赋值等操作包括更改控制逻辑等。
渗透测试,探测服务器开发服务
测试可利用服务命令
口令猜测
防:通过工控漏洞扫描操作站漏洞,及时封堵;工控异常监测发现未知连接、报警;工业防火墙进行防护。
防火墙自定义防护规则
4.2、工控系统编程组态监控软件漏洞进行的入侵防护展示
攻:模拟“震网”病毒,西门子上位机监控软件WinCC漏洞进行的攻击,对下位机PLC进行非法赋值等操作控制。震网病毒解析
一旦发现WinCC系统,就利用其中的两个漏洞展开攻击:
一是WinCC系统中存在一个硬编码漏洞,保存了访问数据库的默认账户名和密码,Stuxnet利用这一漏洞尝试访问该系统的SQL数据库。
二是在WinCC需要使用的Step7工程中,在打开工程文件时,存在DLL加载策略上的缺陷,从而导致一种类似于“DLL预加载攻击”的利用方式。终,Stuxnet通过替换Step7软件中的s7otbxdx.dll,实现对一些查询、读取函数的Hook。
防:通过工控漏洞扫描出上位机组态监控软件漏洞,并提供相关补丁进行修补。由于工控特殊情况不能及时升级,工控异常监测系统能够及时发现病毒告警联动工业防火墙进行防护。
工控异常监测发现病毒
工业防火墙做相关防护
4.3、工控系统工控协议漏洞进行的入侵防护展示
攻:西门子S7协议或者罗克韦尔AB Ethernet/IP协议,攻击计算机通过对工控协议的深度分析,发出远程停机、程序下载等指令包,实现对下位机PLC的非法控制。
利用S7协议封装远程停机指令攻击包
防:工业防火墙可以对一些特殊指令过滤,防止远程停机,对读写下位机的监控电脑进行可信认证。
制定防护策略
4.4、工控系统控制器漏洞进行的入侵防护展示
攻:西门子、AB等控制器的漏洞进行攻击,造成控制器内存溢出、死机等状态。
防:工控异常监测发现网络中非法指令报价联动工业防火墙对非法指令进行拦截。
4.5、MES系统与工控系统数据读写的入侵防护展示
攻:利用OPC协议的漏洞,在通过OPC服务器与MES服务器进行数据通讯过程中,攻击计算机可以伪装合法的OPC Client对工控系统数据进行读写。
数据传输
防:工业网闸可以做到单向隔离,工业防火墙做OPC动态端口识别。
OPC动态端口解析防护(支持OPC DA、HAD、A&E、DX)
五、工控安全攻击防守培训(服务)
5.1培训目标:
本培训是梦潮科技培训部开发的工业控制系统攻击防守技术方面的信息安全课程。
培训大纲所包含的知识点涵盖了工业控制系统信息安全各个领域的知识点,通过培训可以让学员掌握较为全面的工控信息安全技术知识,在实际的工作当中能够更好的胜任岗位相关工作,例如渗透测试、安全加固、风险评估等,也能够了解到新的安全漏洞,及时把握信息安全的新发展动向。
5.2培训地点:
客户
5.3培训时间:
五天,早上:9:00~12:00,下午:14:00~17:00
5.4培训资料:
学员可在培训*天上午领取。
5.5食宿安排:
与用户沟通。
5.6培训内容:
(工业控制系统信息安全及攻击防守实战培训,5天)
时间 | 培训主题 | 培训内容 | 备注说明 | 授课人 | |
*天(3.14):信息安全背景和趋势,密码安全 | |||||
上午9:00-12:00 | 工控信息安全背景和趋势 | Ø 2016年典型工控安全技术与事件 Ø 近年典型工控安全事件盘点 Ø 工控系统信息安全发展态势分析 Ø 安全的基本要求及特性 Ø 攻击的思路和步骤 Ø 常见攻击手段介绍 Ø 工控信息收集 Ø 工控漏洞扫描 | Ø 从整体把握安全发展态势与安全技术分类 Ø RFID,BadUSB,工控网络协议 Ø 前沿:手机安全、物联网 Ø 信息获取,Banner识别 Ø 网段探测,IpScan Ø 端口扫描,Nmap、SuperScan Ø 漏洞扫描,Nessus、OpenVAS | ||
中午12:00-14:00 | 休息 | ||||
下午14:00-17:30 | 密码安全 | Ø 工控口令安全风险 Ø 爆破相关工具 Ø 缓存密码 Ø 系统密码 Ø 文档密码 Ø 第三方应用的密码 Ø 散列破解 Ø 数据库密码等等 |
Ø Tomcat中间件 | ||
第二天(3.15):传统攻击工控系统-Web安全 | |||||
上午9:00-12:00 | Web安全 | Ø Web应用安全介绍 Ø SQL注入 Ø XSS与cookie欺骗 Ø CSRF Ø WebShell与一句话木马 Ø Web信息泄露 Ø Google Hacking Ø 第三方Web程序漏洞 Ø 上传文件漏洞 Ø ……… |
Ø 安全狗 | ||
中午12:00-14:00 | 休息 | ||||
下午14:00-17:00 | Web安全实验 | Ø 各类web安全检测工具的使用 Ø 开源系统漏洞利用 | n 强化实验,全面提高学员的动手能力 | ||
第三天(3.16):工业协议介绍及攻击 | |||||
上午9:00-12:00 | 西门子 | Ø 工业协议解析 Ø 协议仿真模拟 Ø 协议攻击脚本编写 |
| ||
中午12:00-14:00 | 休息 | ||||
下午14:00-17:00 | 罗克韦尔、施耐德 | Ø 工业协议解析 Ø 协议仿真模拟 Ø 协议攻击脚本编写 |
| ||
第四天(3.17):恶意代码等,综合实验 | |||||
上午9:00-12:00 | 恶意代码、无线、DNS等各类攻击防守技术 | Ø 常见后门 Ø 恶意代码查杀 Ø DDOS Ø 嗅探 Ø 欺骗 Ø 无线 Ø DNS |
Ø Chkrootkit,rkhunter | ||
中午12:00-14:00 | 休息 | ||||
下午14:00-17:00 | 安全渗透综合实验 | Ø 学员分组进行安全渗透综合实验 Ø 安排GAME,强化对学员的思维训练,培养攻击防守的意识,发散思维非常重要 Ø 复习所学安全渗透方法、工具和操作步骤 | n 综合渗透,提供诸多环境强化练习 | ||
第五天(3.18):综合实验 | |||||
上午9:00-12:00 | 安全渗透综合实验 | u 综合实验,仿真环境 | n 综合实验,提高学员综合的安全技术水平 | ||
中午12:00-14:00 | 休息 | ||||
下午14:00-17:00 | 考试 | Ø 考试(机试,3小时) | n 机试,3小时 |
关键词:仿真实验平台实现方案/工控信息安全研究/教学仿真系统/工控信息安全研究与教学仿真系统/工控安全业务/仿真实验平台实现方案