发布时间:2021-05-18
随着我国工业化进程和中国制造2025的深入开展,“互联网+”将成为新型产业的形态,为企业提供工业互联网服务成为一项的重要基础建设工作,而我区在新型人才积累领域面临诸多不足,所以培养既具备工业制造技术、又具备IT技术的新型人才成为目前急需解决的问题。
为此,广西壮族自治区下发了《广西壮族自治区人民政府关于深化产教融合的实施意见(桂政办发〔2018〕154号)见》的提出了如下其主导思想:
1、按照“统筹协调、共同推进,服务需求、优化结构,校企协同、合作育人”的原则,紧紧围绕统筹推进“五位一体”总体布局和协调推进“四个全面”战略布局,落实创新驱动发展战略,服务我区全力打造在全国具有竞争力和影响力的广西“九张创新名片”(传统优势产业、先进制造业、新一代信息技术、互联网经济、高性能新材料、生态环保、优势特色农业、海洋资源开发利用和大健康产业)需求,深化职业教育、高等教育改革;
2、充分发挥行业企业重要主体作用,促进人才培养供给侧和产业需求侧结构要素全方位融合,培养高素质创新人才和技术技能人才,为加快建设实体经济、科技创新、现代金融、人力资源协同发展的产业体系,增强产业核心竞争力,汇聚发展新动能提供人才和技术支撑。
针对柳州市在工业互联网的新型人才实际需求,柳州市在发布的《柳州市深化产教融合实施方案》的政策支持体系中明确提出:
实施产教融合发展工程。“十三五”期间,建设一批市级产教融合发展项目,围绕深化产教融合、校企合作、工学结合主线,加强职业教育基础能力建设,以校企合作共建实习实训设施为重点,支持职业院校改善基本办学和实习实训条件,强化相关专业建设。
产教融合中的“产”涉及到专业领域的企业公司,可利用其技术和市场优势,通过教育平台的机制,把市场中成熟优质的技术资源和企业资源引进到校企合作业务中来。
根据《广西壮族自治区发展和改革委员会等8部门关于公布第一批广西壮族自治区产教融合型试点企业名单的通知》(桂发改社会函2020-1381号)提出:
“建设培育一批深度参与产教融合、校企合作的产教整合型企业要求,自治区发展改革委员会同自治区教育厅、人力资源保障厅于2019年8月发布《关于开展产教融合型企业建设培育试点的通告》,征集产教融合型企业进行建设培育。”
本次《通知》公布了首批29家企业列入广西壮族自治区产教融合型企业建设信息储备库进行建设培育。《通知》明确要求各地市及有关部门做好产教融合试点企业的管理和指导工作,并给予试点企业政策和资金的倾斜支持,这为深度推进校企合作提供了强有力的政策支撑。
本方案将依托试点企业的技术和平台优势,结合地区和行业的特点,充分利用现代信息化技术手段,在市场适应、技术关联、平台融合、闭环评估等几个维度方面,达到产教融合平台化管理和人才培养精准评估的目标。
柳州市作为国内知名度很高的重点工业制造重镇,在制造业领域有着优势的产业资源和品牌资源。工业互联网需要“互联网+工业”复合型的人才,国内的职业市场非常缺乏此类型人才。分析柳州市目前的情况,柳州尤其缺乏本地的工业互联网人才,而工业互联网安全方面的人才更缺乏,在短期内无法通过外部引入方式解决。通过产教融合平台可以快速有效的培养符合产业要求的新型人才,在本地将可以为本地企业绵绵不断地提供相关人才。
除了提供本地服务之外,还可以为社会、以及其它周边地市、周边省份提供人才输出。同时,广西作为国家西部大开发的省份之一,也是东盟“10+1”国家经贸合作领域的桥头堡,柳州市产教融合平台有能力、有机会打造成为西南地区的工业互联网安全培训基地,为西南地区、以及参与“一带一路”东盟经济圈的企业输出工业互联网领域的专业人才。
1)国家高度重视信息安全监控工作
党的十八大以来,中央和国家高度重视网络安全工作。
一、将网络安全提升至国家战略高度,提出建设网络强国的目标,将网络与信息安全放到更加重要的高度和全局性来认识。
二、成立中央网络安全和信息化领导小组,改变我国网络管理“九龙治水”的格局,统筹协调我国各个领域的网络安全和信息化重大问题,推动国家网络安全和信息化法治建设。
三、出台信息安全相关政策,将网络安全法制化。党中央和国家采取了一系列措施加强网络与信息安全发展管理,密集发布了《中华人民共和国网络安全法(草案)》、《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》、《信息安全等级保护管理办法》等国家层面网络与信息安全法律法规要求,加强保障体系建设。
四、持续强化安全监管、推行国产化、加强自主可控等要求。中央网信办、公安部、国家能源局、审计署定期开展网络信息安全专项监管、检查、审计,发布监管报告,开展等级保护执法检查。
2)党和政府高度重视信息安全人才队伍建设工作
党中央、国务院高度重视我国信息安全保障体系的建设,重视信息安全学科、专业建设和人才培养工作。
2003年的27号文件,针对我国信息安全保障工作存在网络与信息系统的保护水平不高、信息安全管理和技术人才缺乏、全社会的信息安全意识不强等问题,提出加强信息安全保障工作,必须有一批高素质的信息安全管理和技术人才,要加强信息安全学科、专业建设,加快信息安全人才培养。
2005年教育部发布7号文件,指出发展和建设我国信息安全保障体系,人才培养是必备基础和先决条件。要不断加强信息安全学科建设,尽快培养高素质的信息安全人才队伍,将其作为我国经济社会发展和信息安全体系建设中的一项长期性、全局性和战略性的任务。教育部7号文件对我国信息安全学科、专业建设提出了明确要求,各高校据此文件支持,在不同学科下设置信息安全研究方向,开展了博士、硕士研究生和本科生的培养。
为进一步加强信息安全学科专业建设,2007年教育部决定成立高等学校信息安全类专业教学指导委员会,负责对我国高等学校信息安全类专业建设指导。2012年的国发23号文件,大力支持信息安全学科师资队伍、专业院系、学科体系、重点实验室建设,为高校信息安全学科专业建设给予政策支持。
2014年2月27日,中央成立网络安全与信息化领导小组,习近平总书记亲自担任组长,习总书记提出要加强网络信息安全人才队伍建设,要把造就世界水平的科学家、网络科技领军人才、卓越工程师、高水平创新团队作为国家的战略任务来抓,切实把人才资源汇聚起来,建设一支政治强、业务精、作风好的强大队伍。
为实施国家安全战略,加快网络空间安全高层次人才培养,根据《学位授予和人才培养学科目录设置与管理办法》的规定和程序,经专家论证,国务院学位委员会学科评议组评议,报国务院学位委员会批准,国务院学位委员会、教育部决定在“工学”门类下增设“网络空间安全”一级学科,学科代码为“0839”,授予“工学”学位。2017年,第一批“网络空间安全”硕士学位招生录取工作启动。
3)美英等国信息安全人才队伍建设的主要做法及对我启示
西方发达国家十分重视信息安全,把确保信息系统安全作为国家安全战略最重要的组成部分之一。美国多年来一直将信息安全技术列为国防重点,形成了庞大的信息安全产业,作为其实现信息霸权的有效手段。美国高度重视信息安全人才队伍建设,形成了从国家战略到政府部门再到执行机构的系统化、规模化、体系化的信息安全教育和培训体系。
早在2005年,美国国家安全局委托包括卡内基.梅隆、普渡等大学在内的50多所教育机构成立网络安全保障教育和学术中心,以提高大学信息安全人才培养能力。微软、思科、波音、通用等企业厂商结合自身特点积极开展信息安全培训。
2009年,奥巴马政府发布《信息空间政策评估——保障可信和强健的信息和通信基础设施》的报告。其中,把信息安全教育和人才培养列为重点之一,正式提出了信息安全劳动力的概念,从而把信息安全作为一种新的社会职业。
2011年,奥巴马政府发布了《国家网络空间安全教育战略计划》,加强信息安全人才培养工作,大力推进信息安全教育和培训发展,指出应增强公众有关网络活动的风险意识,建立具有全球竞争力的网络安全队伍。
2011年,英国发布了《网络安全战略》,其中要求“现有的各级立法和教育工作应将网络安全纳入其主流活动中”。2012年5月,英国国家信息安全保障技术管理局制定了《信息安全保障战略》和《网络安全战略》。近年来,政府每年拨款几百万英镑帮助大学培养下一代网络安全专家,英国牛津大学和伦敦大学都参与其中。2018年,英国国家审计署发布《英国网络战略评估》报告,指出英国需要20年时间解决各级信息安全教育中技能缺口问题。
前些年发生的斯诺登事件充分说明,网络空间斗争是复杂激烈的,斯诺登事件也证明了美国在网络空间是有规划、有计划、成体系的部署和构建攻击力量,动员全社会资源发展系列化的高技术手段以达到网络空间行动绝对自由的战略目的。斯诺登事件给我们的启示是,不能用个体力量来对付体系力量,不能用局部资源来对抗衡全局资源,必须以共同的行动准则和创新的体系对抗技战术,有效抗衡来自网络空间的安全威胁。
1)面临安全威胁加剧
依据《中国互联网站发展状况及其安全报告(2016)》,网页仿冒、拒绝服务攻击等已经形成成熟地下产业链且呈增长趋势,2015年发现针对中国网站的仿冒页面(URL链接)191699个,较2014增长85.7%,涉及IP 地址20488 个,较2014 年增长199.4%;网页篡改、网站后门等攻击事件层出不穷,2015年发现被植入后门的中国网站数量为75028个,较2014年增长86.7%;同时针对我国实施的APT攻击事件也在不断曝光,APT28、图拉、方程小组、海莲花等多个具有特殊目的的APT攻击黑客组织不断浮出水面,网络空间博弈愈演愈烈。
2)工业控制系统正成为网络攻击高价值目标
目前热火朝天的“工业互联网”、“工业4.0”、“两化深度融合”、“互联企业”等相关概念表明,在国家政策、技术创新和工业参与者需求转变等多个维度的共同驱动下和协同下,工业正朝着数字化、网络化、开放化和集成化的工业互联方向发展,将面临更加复杂的信息安全威胁。无论是美国的“工业互联网”、德国的“工业4.0”,还是我国的“两化深度融合”,智能制造都是其中的重要内容之一。主攻智能制造,加快两化深度融合,是工信部的重点工作,也是我国现代工业发展的必由之路。
上述的这些趋势使得工业控制系统和关键信息基础设施产品越来越多采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,工业信息安全威胁正在从单机走向互联、从企业走向行业、从个人黑客入侵走向组织化攻击。不管是面对攻击的威胁还是工业智能化的挑战。工业设备和工控防护产品到底能不能防住黑客和网络战的攻击,保护国民生活和生存利益。这些都需要切实可行的测评手段和工业信息安全技术人员来进行预先测试和验证。现目前的测试手段单一、测试步骤繁琐,测试环境搭建复杂,工业信息安全人才缺乏等一系列问题导致整体工业信息安全保障体系偏弱。
工业是立国之本,是国民经济的主体部分。上述趋势和现状的使得工业控制系统正成为网络攻击的高价值战略目标,成为网络作战的重要战场,世界各国高度关注工业控制系统信息安全问题。
产教融合是一个系统工程,实质是逐步提高行业企业参与办学程度,健全多元化办学体制。
本方案涉及的建设模式,是由地方政府颁布指导方针、实施产教融合发展项目,由辖区内重点企业牵头实施,对口院校(主要为大专、高职和中职院校专业)进行深度参与。通过实施产教融合项目,向相关院校实施学科专业建设、实验室建设、教学评价、培训考证、就业推介等一系列相关业务。
柳东新区是广西壮族自治区党委、政府重点发展的三大城市新区之一,是柳州市“一主三新”城市发展战略的重要承载地,也是柳州市推进工业高质量发展、建设现代制造城主战场。目前,柳州市正在全力打造位于柳东新区的柳州职教园区。
职业教育的发展要与优势产业的培育同步进行,职业教育的发展必须引领、促进产业发展。实施产教融合发展项目,必能够进一步促进产业链与教育链有机融合,深化柳州市产教融合发展,适应柳州产业转型发展和供给侧改革的需要。
近几年来,工业控制系统发生的网络安全事件层出不穷:2010年伊朗核电站“震网”病毒事件打破了“封闭”系统“绝对”安全的神话,2015年乌克兰电网遭恶意代码攻击导致大规模停电。工控系统安全防护正面临严峻挑战。
现有的工控系统安全保护措施是:安全分区、网络专用、横向隔离、纵向认证。在现有安全防护基础上,工控系统现有的安全防护技术措施有效阻隔了来自互联网的传统病毒的入侵与传播;但在工控系统智能化、互动化发展和网络攻击技术演进的双重影响下,工控安全正面临着新的挑战。
但是针对已经入侵工控系统内部的木马攻击,此时系统的安全保护时间Pt为0,系统信息完全暴露,工控系统处于极度危险的状态,然而,目前的安全措施主要针对系统外部攻击,缺乏针对系统内部攻击的检测手段。因此,需要通过技术手段及时发现潜藏在网络中的安全威胁,对未知的恶意行为实现早期快速发现预警,并对受害目标进行精准定位,以尽可能地减少安全事件对公司带来的损失。
针对上述问题,本方案通过建立网络安全实训中心,其核心是“网络安全实验室”综合解决方案,可以满足以下多个安全方向的功能需求。
(1) 网络空间复杂性安全试验环境
进行工控网络空间复杂性安全试验:1.大规模复杂异构网络的快速复现能力,可以复现工业控制系统各类复杂异构网络; 2.复杂工控业务行为及人员操作行为复现能力,可以逼真模拟工控网络中人与设备交互行为; 3.网络空间复杂特征的复现能力,可复现网络空间融合性、隐蔽性、复杂性、无界性、高速性和层次性等复杂特征; 4. 大规模网络快速灵活重组能力,可从一个试验网络结构快速灵活重组成另一个试验网络结构。
(2) 成体系的测试评估能力
为了精确测试评估目标系统网络空间安全性、可恢复性和灵活性,操作系统、网络协议、内核等关键软硬件的安全性,工业互联网安全实验室需具备成体系的测试评估能力。通过测试评估手段,开展渗透测试、风险评估,对目标系统安全性进行全方位、体系化测试评估。
(3) 工业互联网安全培训
学校可以对企业决策人员、安全管理人员、高校师生人员、安全运维人员、应急响应人员等参与工业互联网安全学术研究、技术应用和体系建设工作的不同人员,在工控安全学术研究、技术应用和体系建设工作中分别负责不同的工作内容,具有相应的岗位职责和知识技能树,需要掌握满足岗位职责的知识、技术等,因此对于不同岗位角色培训应满足其对应岗位角色的培训需求。
(4) 红蓝对抗演练能力
在军事领域,演习是专指军队进行大规模的实兵演习,演习中通常分为红军、蓝军,演习多以红军守、蓝军进攻为主。类似于军事领域的红蓝军对抗,网络安全中,红蓝军对抗则是一方扮演黑客(红军),一方扮演防御者(蓝军)。红军和蓝军根据相同场景进行实战演练攻防的行为就被称为红蓝对抗演练。依托工业互联网安全实验室探索并建立了工业互联网安全“红蓝对抗”机制,通过以攻促防、以攻促改,打造一支高素质、高水平、自主可控的网络安全技术队伍,不断提升网络安全应急处置能力和防护水平。
(5)基于工业APP的代码审计
随着工业互联网的飞速发展,工业企业APP给各大企业带来很大的经济效益,同时APP安全方面的问题也不容忽视。工业应用可能经历过流量资费恶意消耗、广告轰炸、静默下载无关应用,甚至被木马控制、系统被破坏,可能导致用户信息泄露、资金窃取等。
如何保证工业app的安全性是工业APP制造商需要考虑的重要安全因素。如何检测工业应用的安全性,查找应用存在安全隐患和漏洞,包括应用漏洞和业务漏洞,企业需要一套完整的安全检测解决方案。因此工业应用安全检测系统就是帮助APP开发者发现并解决APP应用安全的问题。安全检测系统提供平台化自动化的安全检测功能,对APP进行常规和非常规的安全检测,查找安全漏洞并给出专业性的修复建议。
(6)车联网安全研究
随着智能网联汽车的不断普及,采用移动终端,通过无线网络实现对车辆的远程控制已经成为了智能网络汽车的必备技能,极大的方便了车主及车辆运营方的日常使用和管理。但是,同 IT 网络中远程控制所带来的安全问题一样,车辆的远程控制方式同样存在安全隐患,其危害程度甚至远胜于 IT 网络。 2015 年吉普自由光案例,黑客就是通过伪基站,采用远程控制的方式对车辆进行了网络攻击。因此,对车辆的远程控制需要采用严格的安全防护策略,防止发生安全问题,影响行车安全。基于车联网安全的研究,需要研究对于车内和车外的网络通信行为,采用严格的身份认证和密码算法,对双方通信行为进行加密和认证,以防止身份伪装、中间人攻击等各类安全问题的发生,提高车载网络通信的安全性。
(7)面向工业企业网络安全运营
依托现有东城云来构建工业企业网络安全运营中心,安全运营的建设目标是在既有安全防护体系的基础上,以业务安全为导向,通过全面、深入、细致的风险评估,深入了解、准确定位用户的安全需求,并与先进的安全防御和运营技术相结合,设计适用于保障用户网络与信息系统正常运行的整体安全解决方案。在此基础上,分阶段、分步骤建设以全面监控、准确分析、快速响应、专家协同为特点的面向下一代安全威胁的安全运营体系。全面提高用户的网络与信息安全风险管控水平和安全防御能力。
学历证书+若干职业技能等级证书(即1+X)是国家职教改革重大制度创新。
在国家和自治区产教融合的政策方针指导下,自治区教育厅为此发文《自治区教育厅关于做好国家第一批、第二批和第三批1+X证书制度试点工作的通知》,为职业技能证书改革提供到了坚实的保障。根据通过认定的培训评价组织以及对应的职业技能等级清单,可以看到国内一流的行业厂商陆续参与这个体系,而所对应的行业多达70多种。
教育部将在2020年继续推进第四批1+X职业技能证书。在中国大力推进新一代技术设施-即“新基建”的政策指引下,面向5G 基建、特高压、城际高速铁路和城市轨道交通、新能源汽车充电桩、大数据中心、人工智能、工业互联网等领域的诸多行业职业技能认定将加入到职业技能认定体系中来。
网络安全实训中心将引入教育部认定的国内一流网络安全厂商作为培训评价组织,通过完善的网络安全课程开展职业技能认定,结合柳州市强大的工业产业资源和柳州职教园区强大的教育资源,不断发展壮大,力争成为广西乃至中国西南地区首屈一指的网络安全职业技能认定中心。
建设“网络安全专业实训中心”是针对网络安全教学培训、安全防御系统科研和红蓝对抗等攻防演练的最佳途径。
实训中心的核心内容是网络安全实验室,其功能是针对各行业信息网络、工业云、工控系统,提供一个对网络安全的学习、模拟、呈现、对抗等场景的实用环境,满足网络空间基础设施安全体系建设、评估与科研实验及检测验证的需求。
通过实训中心的顶层设计与体系建设,可以完成网络体系规划论证、能力测试评估、产品研发试验、产品安全性测试、人才教育培养等任务。
在项目方案设计及实施过程中,参考了以下资料:
《关于大力推进信息化发展和切实保障信息安全的若干意见》
ISO/IEC17799 :Information technology-Code of practice for information security management
BS7799-2:Information security management-Specification for information security management systems
国家标准 GB/T18336 《信息技术安全技术信息安全评估通用准则》
国家标准GB9254-1998 《信息技术设备的无线电骚扰限值和测量方法》
国家保密标准BMB2-1998《使用现场的信息设备电磁泄漏发射检查测试方法和安全判据》
《信息系统安全通用技术要求》(GB/T 20271-2006)
《信息安全等级保护管理办法》(公通字[2007]43号)
《应用软件系统安全等级保护通用技术指南》(GA/T 711-2007)
《信息安全等级保护管理办法》(公通字[2007]43号)
《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)
网络安全专业实训中心的核心是网络安全实验室。
实验室基于虚拟化技术的工控安全靶场为基础,工业信息安全实训平台、竞赛系统及工业安全运营中心等产品为一体的建设骨架,建立一个工控信息安全攻防测试、训练、研究的自动化平台,可让用户通过虚拟化、云计算基础架构组合提供功能齐全的虚拟机或物理机并组建无限接近于真实网络环境的虚拟网络环境。用户基于该虚拟网络环境进行信息安全攻防训练、测试、研究和开发工作。
在创建和仿真真实网络环境中,靶场提供可视化的拓扑供用户自由组网,然后基于该环境进行后续的应用操作。基于可视化的拓扑图组网操作需从组件库中拖出所需资源组件,并创建它们之间的连接,然后生成拥有比拟真实环境的虚拟网络环境。利用该靶场可显着减少将真实环境的网络拓扑图复现到虚拟环境中所需的配置时间,可清楚地了解所构建组织的资源及其可用性状态,并优化资源使用。
根据本方案的设计需求,本解决方案基于“资源共享、伴生演进”的技术路线,围绕“建、用、评”迭代优化,形成满足工业互联网安全实验室建设需求,与实验室的其他子系统通过标准化接口可联合管控整体资源。方案总体架构图如下所示:
资源共享是指在工业互联网安全实验室仿真系统内各个子系统之间产生的数据资源可在各个子系统之间共享使用。工业互联网安全实验室通过将竞赛系统数据、工业信息安全实训平台数据和工控蜜罐数据和工业互联网态势感知数据进行整合,可通过对数据进行管理和分析。该方式即可降低工业互联网安全实验室在数据源方面的建设费用,减少重复投资,也可提升不同子系统之间针对某一事件的数据源可比性,提高数据的精准度。
伴生演进,是指在任务管理的数据分析后,通过效能评估等技术手段,不断更新知识库和数据源,提升工控安全实战和工业互联网态势感知的能力。工控安全实战和工业互联网态势感知是一个重数据分析和数据源积累的技术领域,其中数据是最为核心的资源,数据的准确性和有效性,关系着工业互联网安全实验室的能力建设。在工业互联网安全实验室数据上载与分析后,通过效能评估等技术手段,对工业互联网安全实验室持续性的更新知识库和数据源,不断提升工业互联网态势感知的能力。
关键组件解释如下:
工业仿真试验台系统--面向柳州市优势行业-先进制造业模拟其真实环境工业网络进行复现仿真,通过虚拟仿真技术模拟真实工业环境的网络、主机、流量和威胁,并接入真实工业设备和IO模块复现真实生产工艺流程。
工业互联网安全实训平台--工业互联网安全实训平台面向关键信息基础设施信息安全领域的教学实践需求,提供关键信息基础设施和工业信息安全攻防技能、岗位技能、最新知识、安全意识及团队协作训练,并通过将真实关键信息基础设施和工业网络虚拟场景化的方式来实践技能和磨炼战术。
工业互联网安全竞赛系统--依托已有东城云进行部署,该系统是结合国家工业信息安全技能竞赛需求自主研发的一套全面、精准、可分析、低成本的人才测评选拔和竞技平台,可通过一系列测评方式对参与选手进行全方位的综合技能评判。
工业互联网安全靶场--工控安全靶场平台涵盖能源、电力、通信、交通等领域,满足关键信息基础设施安全体系建设需求、工业网络攻防能力验证需求、工业产品检测评估需求。靶场通过虚拟化技术及仿真技术重现真实工业网络节点及链路,依赖虚拟环境可以完成网络空间工业网络体系规划论证、能力测试评估、产品研发试验、产品安全性测试、人才教育培养等任务。
工业APP安全代码审计实验室--是为企业用户量身打造的基于可信的安全服务平台,服务平台集结大量可信白帽子资源,为企业提供私密性质的可信服务,在非法黑客发现企业用户漏洞之前发现安全隐患。通过实名认证、能力认证、双因子认证、安全审计等多种手段保证测试过程安全,提供专业的漏洞修复建议,协同企业用户进行修补,提供漏洞复测机制,帮助企业快速排除漏洞安全隐患,提供强有力的安全保障。
车联网安全研究--根据车联网安全现有的需求和现状,远程控制安全需求和通信安全需求来针对性的进行车载防火墙的产品研究,在乘用车车载网络中部署车载防火墙,实现内外网络通信的身份认证,以及 对基于 CAN 协议的网络数据传输提供异常检测和安全防护。
工业互联网安全运营中心--该平台核心组件态势感知依托东城云进行部署,其余组件包括以下功能工控蜜罐、网络安全防护设备、网络检测设备等,其中工控蜜罐属于高交互蜜罐,在待防护的网络内自动部署大量完全逼真的高交互蜜罐作为“影子系统”用于迷惑攻击者。同时诱捕和记录攻击者行为并对攻击者进行分析。工业互联网态势感知是联网工控系统及工业物联网设备威胁定位分析服务平台,平台凝聚了多年联网工控系统威胁监控数据与面向联网设备的深度验证分析数据,同时态势感知平台与优质的开源威胁情报数据联动协同,实现了联网风险定位与快速溯源分析。
工业互联网安全实验室总体框架通过上述组件,依托已有东城云构建起人才培养体系和工业互联网安全运营服务模式。
在产教融合服务平台的整体框架下,初步设计了工业互联网安全的以下课程(详见表4-1):
表4-1
序号 | 课题项目 | 课题简介 |
1 | 先进制造仿真试验平台 | 面向真实环境工业网络和环境进行复现仿真,通过虚拟仿真技术模拟真实工业环境的网络、主机、流量和威胁,通过工业仿真系统可帮助用户完成工业控制系统信息安全测试、攻防演练、安全防护技术研究、教育培训等工作 |
2 | 网络安全实训平台 | 依托东城云和产教融合服务平台,网络安全实训平台根据信息技术特别是网络安全技术的发展,在现有教材基础上,建立网络安全教材体系,平台内置百余种课程、实验。覆盖总类多、范围广、专业性强、注重理论及实践应用相结合。提供了流程化和阶段化以及个性化学习路径供学院学习 |
3 | 工业互联网安全竞赛系统 | 工业互联网安全竞赛系统面向现实需求,基于真实的网络环境、应用系统和数据、安全防护状况,提供规范化、高效化的网络攻防演练全流程生命周期管理、多维度攻防战绩与态势可视化展现、基于可信接入与攻防规则的异常监测处理的风险管控手段、攻防数据的存储处理与共享、攻防演练效果综合评判与过程推演支撑 |
4 | 工业互联网安全靶场 | 平台涵盖能源、电力、通信、交通等领域,满足关键信息基础设施安全体系建设需求、工业网络攻防能力验证需求、工业产品检测评估需求。靶场通过虚拟化技术及仿真技术重现真实工业网络节点及链路,依赖虚拟环境可以完成网络空间工业网络体系规划论证、能力测试评估、产品研发试验、产品安全性测试、人才教育培养等任务 |
5 | 工业APP安全代码审计实验系统 | 实验系统对应用系统进行全面性的源代码安全检查服务,找出应用系统存在的各种安全漏洞和隐含的安全隐患,同时提供代码修复建议 |
6 | 智能网联汽车信息安全 | 基于基础安全研究,针对云控基础平台、边缘计算平台、车联网安全身份认证平台等方向进行试验和教学试验;车载防火墙安全研究 |
7 | 工业互联网安全运营中心 | 基于现有的东城云进行部署,在既有安全防护体系的基础上,以业务安全为导向,通过全面、深入、细致的风险评估,深入了解、准确定位用户的安全需求,并与先进的安全防御和运营技术相结合,设计适用于保障用户网络与信息系统正常运行的整体安全解决方案 |
网络安全实训中心的所有子项目的相关课程和计划数据,均可以输入产教融合服务平台,对学员的培训过程进行实时监督、实时评价、实时差距分析、实时反馈,实现全流程闭环管理。以下是能力培养体系的逻辑结构。
不同就业方向的学员培训目标,对应了不同的培养课程和计划。经过产教融合平台的课题培养,系统根据不同的培养目标,结合学生的个体与能力状况,通过课程实践和进行持续评估,最终形成产教融合平台与学生能力输出的闭环管理。
根据市场需求为导向,采用产教融合平台的学生个人评测体系综合评估,学生可根据市场需求与自身特点选择不同的专业方向,每个专业方向涉及到十几门专业课程,学生通过学习与实践获取该专业的知识与能力。
学生根据自身的性格、专业方面兴趣爱好,学生毕业后的专业方向可参考以下示例:
制造企业网络与安全管理员
工业互联网安全白帽子
工业网络安全研发工程师
……
现将网络安全专业的就业方向与课程的结合情况示例列表如下:
表4-2:
就业 方向 | 第一阶段 | 第二阶段 | 第三阶段 | 第四阶段 |
制造企业网络与安全管理员 | 1、网络安全法律法规 | 1、windows与Linux系统管理 | 1、网络与安全设备维护 | 1、安全管理体系 |
工业互联网安全白帽子 | 1、网络安全法律法规 | 1、HTML与JavaScript语言学习 | 1、Web安全体系学习 | 1、安全管理体系 |
工业网络安全研发工程师 | 1、网络安全法律法规 | 1、HTML与JavaScript语言学习 | 1、Web安全体系学习 | 1、安全管理体系 |
1)产品概述
先进制造工业仿真试验台系统面向真实环境工业网络和环境进行复现仿真,通过虚拟仿真技术模拟真实工业环境的网络、主机、流量和威胁,并接入真实工业设备和IO模块复现真实生产工艺流程。通过工业仿真系统可帮助用户完成工业控制系统信息安全测试、攻防演练、安全防护技术研究、教育培训等工作。
工业仿真试验台系统建设内容包括:工业组件配置及典型工业场景仿真环境部署。
目前支持市面上主流的工控软硬件种类及厂商工业组件配置搭建:
序号 | 组件类型 | 组件厂商 |
1 | PLC/DCS/RTU控制器 | 西门子、施耐德、AB、三菱、欧姆龙、和利时、浙大中控等 |
2 | SCADA/HMI | 力控、亚控、Intouch、Webaccess、CitectSCADA、Ifix和WinCC等 |
3 | 工业数据库 | 力控pSpace、亚控KingHistorian、霍尼韦尔PHD、OSIsoftPI和AspenInfoplus等 |
4 | 视频监控 | 海康威视、大华、汉邦高科、天地伟业、索尼、松下、博世和霍尼韦尔等 |
5 | 网络组件 | Moxa、赫斯曼、罗杰康和东土等 |
举例典型工业场景仿真通过实物仿真环境和仿真沙盘组成。
实际案例:
2)总体布局
典型工业场景仿真通过实物仿真环境和仿真沙盘总体布局:
3)客户价值
l 可帮助工业企业客观评估当前的工控网络风险
l 可帮助工控厂商提升工控设备自身安全性和产品竞争力
l 可提高技术人员的安全意识和安全技能
l 可提升教育行业的工控安全或工业互联网安全教学水平和实践能力
4)主要功能
l 仿真先进制造工控系统
模拟先进制造工业行业的典型控制系统和工艺沙盘作为目标。包含组成工艺系统、自控系统、仿真模型三个部分。工艺系统是模拟实际现场工艺的硬件系统,采用标准的工业行业的系统构架。控制系统采用在工业行业中常用的主流PLC,上位机采用主流的组态软件,与工艺相结合,实现一个典型的工业行业系统场景。自控系统包括组态软件、DCS、PLC、RTU等,并可根据实际需求进行延伸。仿真模型台可接入控制系统由控制系统控制,仿真模型台为工业行业微缩示意模型,可展示控制流程及攻防效果。
l 红队攻击及方案
用于对仿真工控系统进行渗透及攻击的子系统,主要包含渗透、攻击所需的软硬件资源和攻击方案。通过该系统,可还原真实工控安全事件的全过程并发现工控系统的安全隐患和薄弱环节。
l 蓝队防御及方案
用于监测、防护仿真工控系统的子系统,主要包含边界防护类、检测与审计类、主机防护类、安全管理类等产品。通过该系统,实时发现攻击行为并对仿真工控系统进行防护,验证安全产品和防护方案的有效性。
l 效果展示系统
用于展示攻防效果的子系统,展示内容包括攻击路径、防护手段、攻击给工业生产带来的危害等。该子系统一般包含沙盘模型、展示挂板、操作台、大屏幕显示终端、声光电展示终端等。
5)产品优势
l 超逼真场景仿真,快速复现
高度仿真工业现场控制系统的软、硬件资源,如组态软件、HMI、MES、DCS、PLC、电机、阀门、传感器等。
l 直观、多维效果展现
将攻击路径、防护手段、攻击危害等,通过仿真沙盘、效果展板、操作中心及声光电等方式进行可视化展现。
l 深度定制服务
根据电力、石油、石化、轨道交通、市政、煤炭、烟草、水利、智能制造等行业的特点,提供仿真试验台平台的定制化服务。
l 全面的攻击防护手段
采用多种合理有效的攻击手段,模拟典型攻击事件,定位工控网络中的安全薄软环节;综合边界隔离、网络监测、终端防护等措施,形成防护方案并实施有效性验证。
在已设立网络空间安全一级学科的基础上,加强学科专业建设。发挥学科引领和带动作用,加大经费投入,开展高水平科学研究,加强实验室等建设,完善本专科、研究生教育和在职培训网络安全人才培养体系。有条件的高等院校可通过整合、新建等方式建立网络安全学院。通过国家政策引导,发挥各方面积极性,利用好国内外资源,聘请优秀教师,吸收优秀学生,下大功夫、大本钱创建世界一流网络安全学院。
鼓励高等院校适度增加相关专业推荐优秀应届本科毕业生免试攻读研究生名额。互联网是年轻人的事业,要不拘一格降人才。支持高等院校开设网络安全相关专业“少年班”、“特长班”。鼓励高等院校、科研机构根据需求和自身特色,拓展网络安全专业方向,合理确定相关专业人才培养规模,建设跨理学、工学、法学、管理学等门类的网络安全人才综合培养平台。鼓励高校开设网络安全基础公共课程,提倡非网络安全专业学生学习掌握网络安全知识和技能。支持网络安全人才培养基地建设,探索网络安全人才培养模式。发挥专家智库作用,加强对网络安全人才培养和学科专业建设、教学工作的指导。
网络安全教材要体现党和国家意志,体现网络强国战略思想,体现中国特色治网主张,适应我国网络空间发展需要。根据信息技术特别是网络安全技术的发展,在现有教材基础上,抓紧建立完善网络安全教材体系。国家加强引导,鼓励出版社、企业和社会资本支持网络安全教材编写。适应网络教学、远程教学发展,加大对网络教材的支持力度。设立网络安全优秀教材奖,采取政府主导、市场机制、学校推荐、专家评审等方法,评选网络安全优秀教材,予以重点支持和推荐。
积极创造条件,吸引和鼓励专业知识好、富有网络安全工作和教学经验的人员从事网络安全教学工作,聘请经验丰富的网络安全技术和管理专家、民间特殊人才担任兼职教师。鼓励高等院校有计划地组织网络安全专业教师赴网信企业、科研机构和国家机关合作科研或挂职。打破体制界限,让网络安全人才在政府、企业、智库间实现有序顺畅流动。鼓励和支持符合条件的高等院校承担国家网络安全科研项目,吸引政治素质好、业务能力强的网络安全教师参与国家重大科研项目和工程。采取多种形式对高等院校网络安全专业教师开展在职培训。鼓励与国外大学、企业、科研机构在网络安全人才培养方面开展合作,不断提高在全球配置网络安全人才资源能力。支持高等院校大力引进国外网络安全领域高端人才,重点支持网络安全学科青年骨干教师出国培训进修。
鼓励企业深度参与高等院校网络安全人才培养工作,从培养目标、课程设置、教材编制、实验室建设、实践教学、课题研究及联合培养基地等各个环节加强同高等院校的合作。推动高等院校与科研院所、行业企业协同育人,定向培养网络安全人才,建设协同创新中心。支持高校网络安全相关专业实施“卓越工程师教育培养计划”。鼓励学生在校阶段积极参与创新创业,形成网络安全人才培养、技术创新、产业发展的良性生态链。
加强网络安全从业人员在职培训。建立党政机关、事业单位和国有企业网络安全工作人员培训制度,提升网络安全从业人员安全意识和专业技能。各种网络安全检查要将在职人员网络安全培训情况纳入检查内容。制定网络安全岗位分类规范及能力标准。鼓励并规范社会力量、网络安全企业开展网络安全人才培养和在职人员网络安全培训。
办好国家网络安全宣传周活动,充分利用网络、广播、电影电视、报刊杂志等多种平台,面向大众宣传网络安全常识,传播网络安全知识,培育网络安全文化。支持创作更多的高质量网络安全科普读物,开展多种形式的网络安全技能和知识竞赛。网络教育从孩子抓起,加强青少年网络素养教育,开展“网络安全知识进校园”行动,将网络安全纳入学校教育教学内容,促进学生依法上网、文明上网、安全上网。
采取特殊政策,创新网络安全人才评价机制,以实际能力为衡量标准,不唯学历,不唯论文,不唯资历,突出专业性、创新性、实用性,聚天下英才而用之。在重大改革项目中加大对网络安全学科专业建设和人才培养的支持。建立灵活的网络安全人才激励机制,利用社会资金奖励网络安全优秀人才、优秀教师、优秀标准等,资助网络安全专业学生的学习生活,让作出贡献的人才有成就感、获得感。研究制定有针对性的政策措施,鼓励支持网络安全科研人员参加国际学术交流活动,培养具有国际竞争力、影响力的人才。
当今,IT技术引领时代发展,网络安全问题愈演愈烈。有人说,未来的战争就是网络战;也有人说,未来10年内,网络安全将成为最抢手的职业,如何培养优秀的网络安全领域专业人才已经成为各高校和社会极为关注的问题。
人才是网络安全第一资源。网络攻防实验室作为网络空间安全学科建设和人才培养的重要组成部分,对于网络安全学院学科专业建设的支撑,网络安全人才培养的实践训练摇篮,必将为实施网络强国战略、维护国家网络安全提供强有力的支持。
图 实训平台
网络安全演练系统的实训平台中的内容经由一流安全厂商的优秀讲师二十余年的经验积累开发而成,内容丰富,层次鲜明,平台内置了百余种课程、实验。覆盖总类多、范围广、专业性强、注重理论及实践应用相结合。此外平台还提供了流程化和阶段化以及个性化学习路径供学院学习,在学习过程中,系统会自动记录学时,以及教师及时的掌握当前热门课程、学习进度、实验进度、掌握能力等。
以下内容为部分课件视频库纲。
课程 | 课程内容 | 课程知识点 |
语言基础 | PHP | php环境搭建(phpinfo介绍),以及关于安全应该注意的设置等 |
php概述(优势、特性) | ||
php语言基础 |
php-常量、变量、运算、数组 | |||
php-表达式、条件语句 | |||
php-web页面交互 | |||
php-javascript交互 | |||
php-cookie session | |||
php-数据库的连接 | |||
php-phpmyadmin | |||
php-常见的cms的搭建 | |||
php-thinkphp框架 | |||
SQL | 数据库简介 | ||
mysql、access、mssql、oracle数据库-概述-重要数据库-存放内容-应用场景 | |||
sql运算符 | |||
sql增删改查语句 | |||
sql函数 | |||
Python | python环境搭建 | ||
python函数 | |||
python基础 | |||
python正则表达式 | |||
pythonweb开发 | |||
python爬虫的实现 | |||
python的web目录扫描 | |||
python的端口扫描爆破等 | |||
python的cms识别等 | |||
JSP | jsp基础 | ||
jsp在渗透方面的应用 | |||
汇编语言 | 汇编语言-基础知识 |
汇编语言-寄存器 | ||
汇编语言-寄存器(内存访问) | ||
汇编语言-第一个程序 | ||
汇编语言-[bx]和loop指令 | ||
汇编语言-包含多个段的程序 | ||
汇编语言-灵活的定位内存地址的方法 | ||
汇编语言-数据处理的两个基本问题 | ||
汇编语言-转移指令的原理 | ||
信息收集和工具简单的使用 | 主机扫描 | nmap的操作系统扫描 |
nmap的端口扫描 | ||
nmap的主机脆弱性扫描 | ||
nmap绕过防火墙技术 | ||
web段信息收集 | 域名注册信息查询 | |
管理员信息收集 | ||
子域名信息收集 | ||
shodan zoomeye | ||
awvs基本操作 | ||
爬虫 | ||
后台及敏感文件扫描 | ||
如何绕过cdn防护 | ||
Burpsuite | bp的漏扫和简单是基本操作 http://ximcx.cn/post-110.html | |
密码学 | 欺骗和密码爆破 | 简单的密码学介绍 |
弱口令的危害 | ||
口令爆破(包括验证码的绕过) | ||
cookie欺骗 | ||
session欺骗 | ||
网络协议密码 | ||
数据库密码 | ||
一句话和webshell的口令爆破(位置需要讨论) | ||
短信轰炸,验证码回显 | ||
windows本地密码破解 | ||
压缩文件的解密域加密 | ||
linux的密码爆破 | ||
部分系统服务的密码爆破 | ||
注入 | sql注入 | sql注入类型的区分 |
sql数字型注入 | ||
sql字符型注入 | ||
cookie注入 | ||
sessions注入 | ||
盲注 | ||
post注入 | ||
布尔注入等 | ||
二次注入 | ||
sql注入一些方法的介绍和使用 | ||
手工注入 | MYSQL手工注入(php) | |
access手工注入(asp) | ||
orcakl手工注入 | ||
mssql手工注入(aspx) | ||
sqlmap | SQLMap使用-SQLMap安装 | |
SQLMap使用-SQLMap之mysql数据库注入 | ||
SQLMap使用-SQLMap之access注入 | ||
SQLMap使用-SQLMap之cookie注入 | ||
SQLMap使用-SQLMap之post登陆框注入 | ||
SQLMap使用-SQLMap注入指定数据库、操作系统 | ||
SQLMap使用-SQLMap之交互式写shell及命令执行 | ||
SQLMap使用-SQLMap之常规伪静态注入 | ||
SQLMap使用-SQLMap之请求延时注入 | ||
SQLMap使用-SQLMap之绕过WAF防火墙 | ||
SQLMap使用-SQLMap模板使用,编写 | ||
代码执行 | php代码执行 | |
文件上传 | 文件上传 | 直接上传webshell |
绕过客户端检测上传webshell | ||
绕过服务端文件扩展名检测上传webshell | ||
绕过服务端mime类型检测上传webshell | ||
绕过文件内容检测上传webshell | ||
利用服务端路径检测上传webshell | ||
利用过滤不完全上传webshell | ||
利用服务器漏洞上传webshell | ||
利用sql注入上传webshell | ||
利用webdav上传webshell | ||
利用.htaccess文件上传webshell | ||
利用中间件漏洞上传 | ||
利用编辑器上传 | ||
00截断上传 | ||
利用数据库备份获取shell | ||
命令执行 | 命令执行漏洞 | 命令执行漏洞-命令执行漏洞示例 |
命令执行漏洞-php命令执行 | ||
命令执行漏洞-php代码执行 | ||
命令执行漏洞-php函数代码执行漏洞 | ||
反序列化 | 反序列化 | 反序列化的基本原理 |
php、python、java反序列化 | ||
jboss反序列化漏洞讲解 | ||
weblogic的反序列化 | ||
文件包含漏洞 | 文件包含漏洞 | 文件包含漏洞-文件包含PHP封装协议之读取文件 |
文件包含漏洞-文件包含PHP封装协议之读写文件 | ||
文件包含漏洞-文件包含PHP封装协议之命令执行 | ||
文件包含漏洞-文件包含file封装协议之读取文件 | ||
文件包含漏洞-本地包含配合文件上传 | ||
文件包含漏洞-本地文件包含之读取敏感文件 | ||
文件包含漏洞-本地文件包含之包含日志获取webshell | ||
文件包含漏洞-远程文件包含写shell | ||
文件包含漏洞-远程文件包含shell | ||
xss | xss | XSS类型-DOM型XSS |
XSS类型-存储型XSS | ||
XSS类型-反射型XSS | ||
XSS字符绕过-绕过过滤一(大小写绕过) | ||
XSS字符绕过-绕过过滤二(黑名单绕过) | ||
XSS字符绕过-绕过过滤三(黑名单绕过) | ||
xss特征库规则防御 | ||
csrf | csrf | 什么是csrf |
csrf如何利用 | ||
csrf和xss的区别 | ||
ssrf | ssrf | SSRF的介绍 |
ssrf的利用以及和csrf的区别 | ||
XXE | XXE | 什么是xml外部实体 |
什么是xml外部实体攻击 | ||
怎么甄别一个xml实体攻击 | ||
如何确认xxe漏洞 | ||
如何进行xxe攻击 | ||
拒绝服务攻击 | 拒绝服务攻击 | 拒绝服务攻击原理与分类 |
拒绝服务攻击的实验 | ||
分布式拒绝服务攻击 | ||
逻辑漏洞 | 逻辑漏洞 | 订单金额任意修改 |
验证码回传 | ||
未进行登陆凭证验证 | ||
接口枚举 | ||
各种可以薅羊毛的漏洞 | ||
提权 | 提权 | 提权-windows远程桌面协议RDP拒绝访问漏洞 |
提权-SQL Server弱口令提权 | ||
提权-mysql弱口令提权 | ||
利用ftp提权 | ||
提权-Win2003溢出提权 | ||
提权-简单提权 | ||
提权-Win2008溢出提权 | ||
提权-Metasploit-绕过UCA提权 | ||
提权-Metasploit-MS13-053 | ||
提权-Metasploit-MS14-058 | ||
提权-Metasploit-MS16-016 | ||
提权-Metasploit-MS16-032 | ||
提权-Metasploit-MS17-010 | ||
内网 | 内网 | 内网嗅探 |
arp欺骗 | ||
dns欺骗 | ||
端口转发 | ||
域渗透 | ||
window后门 | ||
linux后门 | ||
系统隐藏账户 | ||
缓冲区溢出 | 缓冲区溢出 | metasploit的使用 |
经典的缓冲区溢出演示 | ||
缓冲区溢出的原理 | ||
window远程溢出 | ||
linux远程溢出 | ||
溢出提权 | ||
越权 | 越权 | 常见的垂直越权 |
水平越权 | ||
任意文件读取/下载 | ||
无线安全 | 无线安全 | 什么是wifi |
wifi网络结构和工作原理 | ||
网卡的工作模式 | ||
监听WIFI网络 | ||
数据包分析 | ||
wps简介,破解, | ||
wep 简介,漏洞 | ||
树莓派的介绍 |
部分靶场资源如下。
序号 | 环境名称信息 | 内容描述 |
1 | 河北钢铁 | ASP环境:Cookie注入、上传、提权 |
2 | 南京蔬菜 | ASP环境:注入漏洞、上传截断、提权 |
3 | Linux-keys | |
4 | Web奥硕 | ASP环境:POST注入 |
5 | 绿叶OA | ASP环境:信息泄露、上传、提权 |
6 | Phpnow | php漏洞环境 |
7 | Metasploit2 | 20多种漏洞集成环境 |
8 | 黑客游戏2 | HeartBleed-DiscuzX3.2 |
9 | VM_Win2003-ALL | SHIFT后门与多漏洞 |
10 | Linux环境二-GAME3 | 综合环境 |
11 | Linux综合实验一 | ASP环境: 信息泄露、上传 |
12 | 电力2016-华东决赛 | Centos、Ubuntu各一套漏洞环境 |
13 | WebGoat7.0 | Java版Web 漏洞环境 |
14 | Linux综合实验二 | PHP环境:弱口令、数据库提权 |
15 | Linux综合实验三 | Java应用、弱口令、S2漏洞、提权、加固 |
16 | CISD案例虚拟机 | Web漏洞、Openssl漏洞 |
17 | redhat_snort | Linux 开源IDS环境 |
18 | 工信部2012决赛 | 包括web、oracle、mail等应用漏洞 |
19 | 工信部2013决赛 | 包括web、dns、、db、mail等应用漏洞 |
20 | vulhub综合环境 | 以github同名环境为基础搭建的漏洞靶场 |
21 | billubox | PHP环境:信息泄露、上传、提权、文件包含 |
22 | nebula | Linux漏洞闯关环境 |
23 | bulldog | PHP环境:注入、上传、提权 |
24 | DonkeyDocker | PHP环境:文件包含、上传、提权、docker未授权 |
25 | Androl4b | 安卓安全实验室 |
26 | Web-IOU | Cisco路由交换模拟器,可完成基本网络实验 |
27 | Webbug3.0 | Web渗透测试综合环境.包括逻辑、支付等新型漏洞 |
28 | Simple05-金牌5 | PHP环境:信息泄露、暴力破解、mysql提权 |
29 | Simple05-铜牌5 | ASP环境:信息泄露、文件上传、权限提升 |
30 | Metasploit3 | Rapid官方靶场,内涵多个CVE漏洞和提权应用 |
31 | Pwininit-lab | PHP环境:信息泄露、包含、数据库、环境变量提权 |
32 | Lampiao-lab | PHP环境:drupalCVE漏洞、社工、linux提权 |
33 | Ubuntu靶场 | maccms、s2-052、samba多漏洞 |
34 | Win Server 2008 | 多漏洞应用环境 |
35 | unknowndevice64 | CTF思路包含隐写 、ctf web、 编码 rbash |
36 | DC-1 | php环境 msf攻击网站、suid提权(find指令) |
37 | 生命源头 | ASP环境:注入漏洞,上传漏洞、添加了radmin和vnc以及ftp提权 |
38 | CasinoRoyale | 万能密码,sqlmap,poc的使用、csrf、钓鱼邮件、xml实体注入、find(suid提权)、SQL Map --os-shell |
39 | Billu_b0x | 文件包含,代码审计、phpmyadmin、文件上传(文件头检测)、ubuntu内核提权-云桌面内核 |
40 | lampiao | 脏牛提权,python会话 |
41 | donkeydocker | phpmailer漏洞,添加账户提权 |
42 | FristiLeaks | 隐写术,命令绕过 |
43 | 文件上传 | 多种文件上传实验室 |
44 | 应急响应 | 正在搭建 |
45 | Windows7 | 针对win7的漏洞,office,以及内置wanncry(没有任何防护的win7) |
46 | parrot | 类似kali |
47 | USV-2017 | php环境:flag靶机环境 |
48 | JIS-CTF-vulnupload | php环境:flag靶机环境 |
49 | Wakanda1 | php环境:flag靶机环境 |
50 | 海事局flag靶机 | rhel6 + 高级2 + 中级四 |
51 | SkyDogConCTF2016 | php环境:flag靶机环境 |
52 | Breach 1.0 | php环境:综合渗透环境 |
53 | zico2 | php环境:综合渗透环境 |
54 | DVRF | DVRF:路由器漏洞练习靶机 |
55 | dayday | php环境:AWD靶机 |
56 | 百越杯AWD环境 | joomla环境 + finecms环境 |
57 | WEB狗出题十五个套路 | CTF_WEB靶机 |
58 | XXE_lab | XXE渗透环境 |
59 | 中级靶场4 | 综合渗透 |
60 | 中级靶场5 | 综合渗透 |
61 | 中级靶场6 | 综合渗透 |
62 | 高级靶场2 | 综合渗透 |
网络安全实训平台拥有丰富的工具库,可以提供给学员进行学习并使用,为学员的成长和学习助力。
图 工具库积累
系统提供了四大类方向的课程,全面覆盖信息安全领域专题课程,客户可以根据自己的兴趣选择自己喜欢的课程,由浅入深进行学习,也可以根据老师布置的任务进行系统学习。
系统提供了海量资源供学员练习和考试,包括理论基础、夺旗练习、真实漏洞。覆盖移动安全、接入安全、主机安全、网络安全、办公安全、应用安全、数据库安全、云安全、密码学、法律法规、安全防护、安全运维等网络安全理论知识,学员可以选择任一方向考察自己的安全基础,答错后可以查看正确答案,亦可通过错题库进行错题回顾。CTF方向包含加解密CYPTO、逆向RE、PWN、WEB、取证分析、杂项MISC等,题目大部分来自国内外顶尖赛事以及平台自主原创。
系统自动记录学员的学习成果,并进行可视化展示。学员通过雷达图等可视化图表可以快速认知自己的能力水平。
实训系统提供了课程管理、练习管理、考试管理和系统管理等功能。
课程管理,教员讲师可以增加课程的二级分类以及课程,根据自己需要创建新的课件,上传课件讲义、实验指导书、实验视频,自己新建实验拓扑,制作实验操作机,如果系统现有操作系统镜像无法满足您的需求,教员可以自行上传新的操作系统ISO来制作新镜像。练习管理种教员可以自己导入各项练习资源,包括理论、CTF以及实验靶机,创建流程简单易上手。考核管理中,教员可以新建考卷,自定义选题一键均分,定义起止时间后选择相应人员或班级下发即可。系统管理管理员可以通过模板批量导入学员,对硬件资源及课程课程状态进行监控。
竞赛系统提供了赛前、赛中、赛后管理,赛前可自定义参赛模式及场景,同时定制比赛logo及名称,赛中可以管控学员操作,赛后可以复盘回顾大赛过程。
在网络安全实训平台的相关课题中,引入了工控系统等级保护检查工具箱(以下简称“工控工具箱”)的学习与应用,学生通过在课程中操作演练工具箱,学习和掌握工业互联网环境的工控安全事件应急处置能力。
工控工具箱是依据《工控系统安全等级保护检查工具技术规范》,并融合工业控制系统信息安全技术成果,自主研制开发的一款用于工控系统安全检查工作的专用检查工具箱。用于工控系统安全等级保护合规自查、测评、检查专用软硬一体移动便携式装备,设备紧密结合工业控制系统安全等级保护基本要求和信息安全等级保护扩展要求等一系列权威标准要求,利用技术手段将合规性要求转化为程序规则规范化对工控系统进行全面安全检查。
工控系统安全检查工具箱由三防加固笔记本电脑、多核应用平台检查引擎、辅助检查工具和安全防护箱组成,具体如下图:
序号 | 组件名称 | 组件图片 |
1 | 三防加固笔记本电脑 | 三防加固笔记本是检查工具管理平台的核心主机,为检查人员开展工控系统安全检查工作提供了良好的人机交互界面,集成了标准的工控系统安全检查指标,通过自动化工具统一收集被检查单位的资产信息,问卷调查的方式记录并汇总被检查单位的所有安全性问题和检查项目,向导式指引公安人员开展检查工作,自动化出具满足规范的扫描报告。 |
2 | 安全防护箱 | 安全防护箱能够容纳安全检查过程中的所有硬件设备,整体防水、抗压、防震,具备拉杆滑行和手提功能,合理的内部空间设计,方便检查人员完成移动式检查任务并便捷取出、收纳相应设备。 |
3 | 多核应用平台检查引擎 | 多核应用平台检查引擎是多款专业工控安全核心产品的主要载体,自主研发的虚拟化平台合理分配资源,灵活调配相应检查工具,并高效协同作业。 |
4 | 辅助检查工具: 便携式打印机 | 便携式打印机协助检查人员打印检查通知书、现场检查记录、检查汇总表、反馈意见表等纸质文件。 |
5 | 辅助检查工具: 取证录音笔 | 取证录音笔协助检查人员进行现场自动录音和分段录音,作为检查证据附件。 |
6 | 辅助检查工具: 取证扫描仪 | 取证扫描仪协助检查人员采集现场检查相关的照片、文字、图纸等扫描件,作为检查证据附件。 |
7 | 辅助检查工具: 数码相机 | 数码相机协助检查人员采集现场检查相关的图片、声音、视频文件作为检查证据附件。 |
8 | 安全防护箱 | 安全防护箱能够容纳安全检查过程中的所有硬件设备,整体防水、抗压、防震,具备拉杆滑行和手提功能,合理的内部空间设计,方便检查人员完成移动式检查任务并便捷取出、收纳相应设备。 |
工控工具箱由“管理系统”、“工控安全检查”、 “辅助工具检查”、“工控检查信息库”四部分组成。总体架构示意图如下图所示:
工控工具箱严格依据《工控系统安全等级保护检查工具技术规范》研发,同时融合工控安全关键技术,集成了多种专业的工控安全产品的核心功能,为工控工具箱的技术能力和检查效果提供了保障。
工控工具箱集成了工控漏洞扫描系统、工控无损评估工具、工控异常检测系统、恶意代码发现系统的核心功能模块。
工控工具箱通过工控知识库实现对工控系统安全工作(包括定级、备案、测评、建设整改、安全检查、灾备、应急预案和事件处置)的实践经验和知识的管理,可以对检查工作有明确和规范的引导作用,有效确保检查工作的规范化。
工控工具箱提供标准指定的接口规范,方便与数据平台进行数据交互,并提供统一规范的报告输出,方便快速开展等级保护检查工作,提高工作效率。
工控工具箱从工控系统流量、工控系统资产、工控系统协议、工控系统漏洞等多个维度进行数据采集、分析、处理,支持流量数据、资产数据、漏洞数据、音频数据、图像数据等多种类型的数据,并能够对数据进行综合分析,将分析结果以列表、图形、拓扑等多种方式进行展现。
工控工具箱由加固笔记本电脑和独立便捷可靠的检测引擎设备组成,方便携带,符合用户现场检查测评的实际要求。
工控工具箱设计了良好的人机交互界面,高度集成多种功能模块,通过向导式操作界面实现工控系统安全检查的标准流程,易于操作使用。
工控检查信息库对工控安全检查的大量实践经验、专家知识和分析模型进行固化,以后台运行的方式,为工业现场安全检查提供专业知识技术支撑,包括工控设备库、设备指纹库、工控协议库、工控漏洞库、威胁特征库和工控知识库。
工控设备库中存放工控设备的厂家、型号等信息;
设备指纹库存放用来识别工控系统的各组成单元的信息,为资产识别分析提供支撑;
工控协议库中存放工控通信协议,目前支持的主流工控协议包括:BACnet、Crimson V3、CSPV4 on AB PLC5 systems、DNP3.0、ECOM、Ethernet/IP、FINS、Fox、Guardian AST Automatic Tank Gauge、HART-IP、Hollysys UDP、IEC104、MELSEC-Q、Modbus/TCP、ONVIF、PCWorx、ProConOs、PROFINET、RTSP、Siemens S7 Comm(s7);
工控漏洞库中存放工控系统的漏洞信息,是漏洞检测的依据;
威胁特征库中存放恶意代码的特征表述;
工控知识库是由具体的检查知识(包括检查方法、检查结果判定依据和不符合时的风险提示)所组成,将工控安全等级保护检查工作的大量实施经验、专家知识和分析模型进行了固化,可以对工具检查结果进行自动分析,为等级保护检查工作提供专业检查知识和专业分析结果。
工业互联网安全竞赛系统是面向现实需求,基于真实的网络环境、应用系统和数据、安全防护状况,提供规范化、高效化的网络攻防演练全流程生命周期管理、多维度攻防战绩与态势可视化展现、基于可信接入与攻防规则的异常监测处理的风险管控手段、攻防数据的存储处理与共享、攻防演练效果综合评判与过程推演支撑等,集专业白帽子、专业运维保障、安全培训、系统清理等安全服务于一体,协助用户发现系统威胁隐患,检验提升威胁事件监测发现、威胁情报分析、追踪溯源等网络防御能力与安全管理、应急响应及协同能力,为真实网络攻防对抗演练、真实大型网络攻防演示验证提供有力支撑。
当前,为发现真实网络、系统环境中存在的漏洞、问题、隐患,检验提升网络安全防御能力、安全管理能力、应急响应和协同能力,我国众多企业和政府部门已经尝试开展红蓝军网络攻防对抗演练,但基本是以人力为主技术手段为辅的方式开展演练组织、运维保障、风险控制、事后评估等,在演练组织阶段、演练过程阶段、演练结束阶段存在诸多问题,例如选手、战队等人员信息分散且不规范,组织运维、风险管控多靠人力,自动化程度低,且流程繁琐效率偏低,攻防态势呈现维度单一,综合评估的技术支撑手段薄弱。
本方案是基于Saas平台与规则保障、人员和服务支撑的立体化的产品解决方案,面向真实的网络和系统环境,着力解决攻防对抗演练全生命周期的信息规范化、自动化、风险管控、多维度态势呈现、有效综合评估等问题。为其网络安全建设持续输送能力,保障用户在事前可组织谋划、事中可监测控制、事后可回溯评估,帮助用户摸清网络防御真实状况、深挖安全防护与安全管理的漏洞和痛点、提出改进和加固措施、提升网络安全整体防护水平、内部培养网络安全人才、打下网络攻防大数据的根基。
图 网络攻防对抗演练整体解决方案
其中,Saas平台可位于分布式网络环境中,提供攻防演练全生命周期管理、攻防态势多视角展现、RBAC权限控制、在线/离线报表、日志、知识库、人员管理等基础功能以及接入认证与管控、可用性监测、基于攻防规则的异常监测、个人/战队赛制、1vs1/1vsN赛制支持、战绩规则等规则保障功能,为攻防选手、裁判、管理运维人员、上级单位等提供管理、技术等需求支撑,并为演练提供专业白帽子、专业运维保障、安全培训、综合评估、过程推演、安全接口、数据共享、系统清理等服务支撑。
支持多场景需求,包括单次演练、多次演练、演示验证、涉密环境等。支持公有云部署、私有云部署两种模式。
l 单次演练:可由私有云或公有云部署完成,此场景下推荐公有云方式,平台使用运维可托管或者由用户自行管理。演练结束后,数据在平台中不留存。
l 多次演练:可由私有云或公有云部署完成,此场景下推荐公有云方式,建议用户进行平台使用运维,自行维护选手信息、历届赛事信息,数据可选择留存并只对用户可见。
l 演示验证:可由私有云或公有云部署完成,此场景下推荐公有云方式,可利用平台流量审计、态势展现、综合评估等功能进行风险验证、工具验证等任务。演练结束后,数据在平台中不留存。
l 涉密环境:在此场景下,由私有云部署完成。数据可选择留存并只对用户可见。
部署模式 使用场景 | 私有云 | 公有云 |
单次演练 | ü | ü推荐 |
多次演练 | ü | ü推荐 |
演示验证 | ü | ü推荐 |
涉密环境 | ü |
基于东城云私有云部署模式,客户可直接在本地部署平台。
如图所示,攻击区中不同的网络位置代表红方(攻击方),防守区(蓝方)为攻击目标真实网络环境,接入区中包括VPN服务器、Linux/windows跳板服务器、超融合探针等。
图 系统部署图
(1)接入认证
处于不同网络位置的攻击方远程通过VPN连接到接入区,分配IP后开展攻击测试或者通过跳板机环境开展攻击测试。这里自动完成了IP与人员/战队的映射。完成个人/团队赛、1vs1、1vsN多赛制自动化组织处理。
(2)风险控制
流量监控与异常阻断:超融合探针部署在网络出口位置,完成IDS、Waf等流量监测功能,并于VPN服务器关联,实现基于攻防规则的监测与处理,例如禁止ddos攻击、特点病毒、蠕虫,禁止防守方擅自封禁IP等。
可用性监测:对网路、系统的可用性进行监测,保障攻防演练通道通畅、顺利进行,保障用户业务可用,发现问题及时处置。
(3)丰富的攻防态势展现
在整个攻防对抗演练过程中,提供丰富的攻防态势展现,包括态势可视化、数据可视化,支持攻防战绩、攻防态势(实时流量、生效流量、热力图等)可视化展现,支持基于物理地域、逻辑关系等多种可视化展现模型;支持视频、语音系统接入展现。
(4)综合评判与推演
提供丰富的在线、离线报表,各类攻防数据统计信息、图、表等,支持统一查询检索。提供网络、业务、系统、时间等不同视角的攻防数据展现。
(5)支持攻防数据的存储、处理与共享。提供系统清理、恢复支撑。
从客户视角出发,应用流程分为演练准备、演练过程、演练结束三部分。其中演练准备包括组织管理、参演选手管理、裁判管理、赛事创建及配置,演练过程包括选手及裁判登入、攻防战绩提交与评审、异常提交及评审、态势展示,演练结束包括综合评估与过程推演。
图 应用流程总体图
(1)组织管理
业务管理员在平台中添加编辑各级组织信息,例如北京分部、上海分部等。
(2)选手管理
除个人信息外,选手的所属组织是必填项,信息来自于业务管理员维护的组织列表。业务管理员可通过在平台中自行添加选手、批量导入选手、邀请链接三种方式维护选手信息。并且邀请链接设置有效开关,可实现链接只在演练准备期间有效。
(3)裁判管理
业务管理员在平台中自行添加维护裁判信息,包括主副裁等配置。
(4)赛事创建及配置
业务管理员维护好组织信息、选手信息、裁判信息后,就可以开始创建赛事,填写赛事基本信息、选择赛制等,即可发布,发布后也可继续修改。在创建赛事过程中需要完成战队创建、裁判配置、战队攻击目标配置、资产配置等。
赛事成功创建后,会生成报名链接,供选手报名参加赛事。已报名的选手会依据所属组织自动归入所属战队,并自动为其生成所需VPN账号密码。
(1)选手及裁判登入
业务管理员需在赛事开始前将各项通知以及VPN信息发送至裁判和参赛选手,他们即可通过VPN登录本平台。若比赛还未开始,除业务管理员外,均看不到赛事详细信息。
(2)攻防战绩提交与评审
在比赛开始后,攻击方和防守方在平台中提供攻防战绩,包括信息描述、截图证明等。裁判通过平台对攻防战绩进行评判打分,执行通过、驳回、忽略操作,但只有“通过”会产生分数。在裁判对战绩进行评分过程中,平台通过锁定功能避免了多个裁判为同一条战绩记录进行评分的冲突,设置了被驳回的战绩记录与相应裁判绑定机制,提高评审效率。另外,裁判可以自己的评审结果进行修改结果、修改分数等功能。主裁可以对任意评审结果进行修改。
(3)异常提交及评审
与攻击战绩提交及评审类似。
(4)态势展示
在整个攻防对抗演练过程中,平台提供大屏展现,包括攻防态势(实时流量、生效流量、热力图等)、攻防两端的得分排行榜、可用性监测信息、视频信息。
提供丰富的在线、离线报表,各类攻防数据统计信息、图、表等,支持统一查询检索。提供网络、业务、系统、时间等不同视角的攻防数据展现。
(1)信息管理
用户管理:包括选手、裁判信息管理、组织管理等。
赛事管理:赛事创建、赛事列表、赛事详情、赛事报告等。
战绩管理:战绩列表、战绩详情等。
图 管理中心
(2)态势展现
包括攻击实时信息展现(攻击分类及细节、流量统计等)、生效攻击展现、人员数量、攻守排行榜等。支持中国地图(省、市)模型、世界地图模型、逻辑图、热力图等;支持视频系统接入与展现。
图 态势展现—攻击过程展现
3)攻防战绩提交与评判
包括提交战绩、战绩详情、我的战绩、战队战绩等。异常提交与评审功能与其类似。
图 战绩管理
4)统一日志查询
日志主要包括系统日志、应用程序日志和安全日志。基于实时日志分析ELK平台,实现日志日志收集汇总、统计、检索、数据分析等功能。ELK由ElasticSearch、Logstash和Kiabana三部分组成,其中ElasticSearch是一个基于Lucene的开源分布式搜索服务器。Logstash可以对日志进行收集、过滤、分析,支持大量的数据获取方法,并将其存储供以后使用(如搜索)。Kibana 是一个基于浏览器页面的Elasticsearch前端展示工具,帮助汇总、分析和搜索重要数据日志,如图所示。
(5)报表
提供多种报表模板,支持基于阈值、时间线、日报、周报等统计分析类型,能够自定义报表,支持导出WORD\EXCEL\PDF \HTML等常用格式。解决“手工做报表,效率低准确性差,报表需求多变,无法快速响应”等问题。
(6)数据共享
验证一个网络技术,或者验证一个网络设备、一套网络系统的安全性,需要历史的数据作为分析样本。网络安全攻防演练面向的是真实的在线系统,由此所获得的数据能够直接反映网络信息系统的问题,其价值远远高于实验环境中所得到的数据。充分考虑用户数据积累,可将攻防演练数据共享至用户信息平台中。
1)产品概述
工控安全靶场平台涵盖能源、电力、通信、交通等领域,满足关键信息基础设施安全体系建设需求、工业网络攻防能力验证需求、工业产品检测评估需求。靶场通过虚拟化技术及仿真技术重现真实工业网络节点及链路,依赖虚拟环境可以完成网络空间工业网络体系规划论证、能力测试评估、产品研发试验、产品安全性测试、人才教育培养等任务。
靶场构建的虚拟工业网络环境中包含工业控制层、过程监控层、企业管理层等工业网络层级,受训人员可接入环境中针对网络攻击渗透手段、网络作战战术、防护加固策略进行反复演练,于此同时靶场会将演练评估过程中的数据进行汇总统计,输出能力评判及效能评估结果。
2)系统架构
工控安全靶场总体架构如下图所示:
工控安全靶场总体技术框架主要由物理资源(计算、网络、存储、工控设备)、云资源池基础架构、可视化组网引擎、数据存储与分析系统、应用服务及运行引擎、靶场应用系统等模块组成。
l 物理资源
工控安全靶场系统本身物理资源包含多个方面的内容,包含物理服务器、存储、网络和工控设备等。
l 云资源池基础架构
云资源池基础架构指管理和调度软硬件资源的逻辑组件,它负责构建资源池,生成简单资源供应的技术服务(原子服务),定义资源运维的操作流程。为了组成资源池,一般将同质的设备集中安装,相互连接,并通过一定的管理软件来监管和配置。资源池由同质的一组资源组成,用户可以通过云资源池基础架构管理层软件从资源池中申请资源,指定该资源实例的配置,并管理其运行。管理员可以监控每个资源池的资源使用率、健康状况和性能状况。资源管理层将以技术服务的形式对外发布所有的资源操作接口。这一层要屏蔽掉不同虚拟化类别以及物理设备等的差异,使得上层无法感知。
云资源池基础架构融合了云计算、软件定义网络等技术,将离散异构资源变为统一的资源池,集中管理所有软硬件资源、异构虚拟化基础架构,将传统以硬件为核心的数据中心的基础架构与服务解耦。并能够对这些资源自动发现、自动配置、统一调度和快速部署,并提供相关开放接口,以便响应来自应用服务的请求,对基础架构业务流程和服务进行实时编排调整。
l 可视化组网引擎
可视化组网引擎基于Web的HTML5技术实现,是一个Web画布,用于编辑网络的拓扑结构,它具有图形化的编辑界面,并且提供由各种通信实体组成的组件库,如交换机、路由器、PLC、服务器、工程师站等。用户可以通过简单的拖放操作在Web画布的工作区中快速、方便的配置起自己的网络拓扑,也可以对网络中各种设备的属性进行设置。用户还可以建立新的组件或在已有组件的基础上进行修改。
该引擎自动将Web端的可视化拓扑图转化为可自动化配置的虚拟化网络环境,实现对网络拓扑图中的虚拟机以及网络的自动化配置,并在分钟级内完成整个环境的构建工作。构建完成后,整个拓扑图利用组件监控系统实时在拓扑图上展示网络流量状态以及组件的实时状态、异常状态等。同时,基于该拓扑图还可以直接点击组件,进入相应的组件RDP界面或VNC界面。
工控安全靶场将利用可视化组网引擎,对上层提供数据接口,接收和传送上层应用服务以及引擎所需的数据和指令信息。对下层通过调用云资源池基础架构以及SDN控制器的API,完成对靶场所需计算资源、存储资源以及网络资源的自动化创建和配置工作。可视化组网引擎独立于云资源池基础架构以及SDN控制器之上,是靶场的核心调度平台。
l 数据存储与分析系统
数据分析系统主要侧重于提供数据存储和数据分析展示,是整个数据监控过程中不可缺少的一个环节,其结果质量直接关系到可视化模型效果和最终结论。
工控安全靶场数据存储与分析系统是机器数据的引擎。使用靶场数据存储与分析系统可收集、索引和利用所有应用程序、服务器和设备生成的计算机数据。平台针对多源易构的海量数据,通过数据处理、存储管理、数据分析等技术,实现向上对组件监控系统、靶场应用系统以及最终的可视化呈现。
l 应用服务及运行引擎
应用服务及运行引擎层指服务构建与设计的逻辑组件,它负责定义服务的结构、流程等信息,组装原子服务,生成业务服务,发布到服务目录,监控服务运行状况等,形成完整的服务生命周期管理。业务用户可以通过应用服务及运行引擎层获取资源池服务;管理员可以通过应用服务及运行引擎层监控所有服务实例的整体状况;服务开发人员可以通过应用服务及运行引擎层定义和发布服务。应用服务及运行引擎层将下层的可视化组网引擎自动创建对外发布的所有的服务操作接口为依据展开服务目录的定义工作。
l 靶场应用系统
工控安全靶场定义的应用系统服务包括攻防演练系统、教育培训系统、应急演练系统、风险评估系统、漏洞挖掘系统、产品测试系统、应急演练系统等。
3)靶场功能
l 可视化拓扑组网
工控安全靶场的目标是提供演练环境,演练网络安全人员如何防御关键网络设施受到攻击,以及针对假定目标实施网络攻击。这个演练环境包含了网络空间关键信息基础设施和工业控制系统组件、网络环境、软硬件资源、网络安全攻防资源及协作演练流程。组件包括了网络设备、主机设备、操作系统、应用程序、安全设备、嵌入式处理器和控制系统等内容;网络环境包含基础架构、互联网、无线网、各种计算机网络、电信网等内容,组件与网络环境结合仿真关键信息基础设施和工业控制系统的虚拟环境。
工控安全靶场通过可视化组网引擎实现操作网络(OT)和信息网络(IT)的快速复现、网络仿真和环境复制。通过可视化组网引擎构建的演练环境是一个仿真的网络安全人员教育和培训的虚拟演练场,是靶场平台构建演练环境的核心运作模块,该演练场仿真和复现关键信息基础设施和工业控制系统网络内的主要及关键组件、网络环境。
靶场平台可视化组网引擎通过网络节点及流量仿真技术,可以仿真跨区域工业以太网、大规模互联网、BGP网络、无线网络等。可以进行网络业务层仿真,模拟网络攻击行为,观测网络影响,分析网络薄弱点,提升虚拟网络真实性。
可视化拓扑组网技术实现采用烽台科技研发的网络仿真器实现,为了最大限度的设计和优化用户交互体验,采用可视化组网拓扑引擎的Web交互方式实现组件、场景的拖拽组网及实验访问交互操作。为了更进一步的仿真真实网络环境,达到网络及网络安全教学研究测试的目的,靶场网络仿真器集成路由器交换机模拟器实现真实路由器和交换机OS仿真模拟运行的效果,达到路由器和交换机真实可配置,可编辑和可管理。综合虚拟化技术、路由器交换机模拟器和SDN技术,工控安全靶场可实现的网络仿真模式为:
l 基于软件定义网络模式,可实现基于可视化拓扑拖拽组网快速复现网络环境;
l 基于传统路由交换模式,可实现基于可视化拓扑拖拽组网,依据传统路由交换配置模式组建网络环境,达到路由交换可配置,灵活接入防火墙等设备的目的。
上述两种模式下,即可满足学员学习路由交换及网络安全需求,也可满足关键信息基础设施和工业控制系统可快速复现网络环境专注安全学习、研究的目的,达到灵活多变的网络环境支持,是工控安全靶场的特色功能。
软件定义网络
软件定义网络类型模式下,学员无需进行路由和交换的配置,通过软件定义网络控制器SDN的网络策略下发即可生成网络环境。即拖拽组网的路由器和交换机只能进行简单和基本的配置,比如IP地址及子网掩码等,路由有控制器根据网络拓扑及配置自行设置下发实现。
这种模式避免了网络安全人员配置和维护路由器交换机的学习操作成本,使得学员专注于网络安全的教学实验和技术研究。
路由交换网络
路由交换模式下,学员需要通过可视化拓扑拖拽出路由器和交换机,并按照配置传统路由器和交换机的模式进行路由交换配置。实质上,其加载的均是模拟或真实的路由器交换机的操作系统,具有和真实路由器交换机设备一致的操作体验,区别在于软件运行的性能和真实硬件有所差别。
靶场平台除了攻击和防护设施之外,还有基本的交换机、路由器、服务器、物理层交换机、网络损伤仪等,这些网络设备搭建了一个基本的网络,支持OSPF、BGP、IGMP等协议。采用路由交换模式可演练网络人员进行业务牵引、分流、采样和阻断等动作。
此外,靶场平台路由交换模式可支持网络工程师专业或网络安全专业的学员学习路由交换及路由器交换机安全知识。
l 技术优势
可视化拓扑组网引擎,该工具可帮助网络靶场直观的、快速的、逼真的、完整的复现真实关键信息基础设施和工业控制网络环境拓扑。具有如下优点:
1.能够根据用户的真实网络环境快速在可视化拓扑画布上拖拽生成一个逼真的、快速的网络仿真拓扑环境,达到网络拓扑构建的所见即所得,具有强大的自动化、智能化和可视化效果,具备优异的用户体验;
2.软件定义网络模式下,用户无需进行路由和交换的配置,通过软件定义网络控制器SDN的网络策略下发即可生成网络环境。即拖拽组网的路由器和交换机由后台自动生成和配置,IP地址及子网掩码等均由控制器根据网络拓扑及配置自行设置下发实现。这种模式避免了网络安全人员配置和维护路由器交换机的学习操作成本,使得学员专注于网络安全的教学实验和技术研究;
3.路由交换网络模式下,用户需要通过可视化拓扑拖拽出路由器和交换机,并按照配置传统路由器和交换机的模式进行路由交换配置。实质上,其加载的均是模拟或真实的路由器交换机的操作系统,可演练网络人员进行业务牵引、分流、采样和阻断等动作,此外,还可演练路由交换及路由器交换机安全知识。完全将真实网络世界在网络靶场中虚拟场景化实现。
l 流量流生成器
工控安全靶场的流量生成器主要用于构建靶场系统的演练环境,将真实的自然流量和威胁流量注入到网络演练环境中,保持和真实环境一致的网络体验。即靶场系统构造和仿真的演练环境不仅包含模拟的组件、网络环境和基础架构,还应该仿真互联网级别的流量并支撑网络演练。每当谈起网络攻击时人们就会想到互联网,这个网络连接了全球数三十亿上网人口、数十亿计算机和数十亿智能手机。这是一个开放式的网络,供个人、商业活动、国家和政府使用。人们在互联网上购物和进行银行在线交易。商业组织依赖互联网提供客户服务和学生服务。运营商使用互联网管理基础设施和供应链。网络的便利也给犯罪分子、恐怖主义组织和网络间谍提供了温床,使其能进行网络诈骗,盗取金融数据、知识产权、商业机密和攻击关键信息基础设施。靶场系统如果不能全面地模拟互联网就会在仿真上造成极大的不足。
通过流量生成器,为靶场系统的网络环境提供自然流量及威胁流量。靶场系统利用流量生成器仿真互联网级别的流量并支撑学员技能演练、实战技能和磨炼战术。
l 模拟向导
模拟向导为学员或研究人员提供预定义的、可重现的环境。这些向导将学员的注意力集中在特定的研究环境或教育成果上,而不是自定义创建网络环境或控制系统环境,通过模拟向导,学员或研究人员将不会使用复杂的命令行及可能由此产生的错误,应用程序依赖性的错误或缺乏足够资源的常见挑战等问题。
模拟向导将是一个具备完善剧情剧本的演练或演练场景,在模拟向导中,将会根据预定义的场景和剧情逐步引导学员或研究人员完成整个演练或演练过程。
如一个演练或演练Modbus/TCP协议中间人攻击技术的模拟向导,该向导需要利用示例网络设计强调工业协议Modbus/TCP中缺乏身份验证。首先模拟向导使用可视化组网拓扑虚拟化多节点网络。然后引导学员逐步完成以下过程:
a)引入工业协议中间人攻击漏洞以使HMI操作员失效;
b)向学员介绍漏洞利用类型和减轻控制漏洞风险的措施;
c)引入ARPwatch以防止和警告特定类型的攻击。
通过学员在环境中进行虚拟化的模拟攻击之后,可以在集成的物理环境中进行测试。整个过程的设计如下:
建立、破坏和保护可以在60秒至5分钟之内完成,然后场景的重置功能可帮助学员再次执行流程。通常,学员应该花费至少120分钟来操作向导并查看相关的学习材料。教育材料与靶场系统相结合,以强调向导的功能。这些向导强迫学员想参与了解控制系统及控制系统在这期间都发生了些什么,从而加深其对安全的理解。
l 攻击生成器
攻击生成器也可以称呼为攻击者仿真/模拟,攻击者仿真/模拟提供了一种测试网络对高级攻击者的弹性的方法,在这种情况下,所有测试都由系统运行。如果这是一个真正的“对手”,系统就不会运行这些模拟。
攻击生成器增加自动化的攻击脚本或攻击机框架,将红队攻击技能自动化实现,消除对传统“红队”攻击者的需求。这样在没有攻击技能的情况下,教练也可以完全独立地开展安全课程的讲授、防御性和演示性教学,同时确保所有培训的一致性。学员也可以在演练中感受逼真的仿真情景体验。
攻击生成器需构建基于包含数百个构建块的工具集,攻击生成器可以轻松创建任何攻击场景。攻击可以从任何网络位置执行,并且可以针对任何网络组件。培训中心操作员可以独立创建新方案,或者自定义默认提供的预定义攻击方案库。
l 安全场景生成器
安全场景生成器创建易受攻击的虚拟机,因此学员或安全研究人员可以学习或研究安全渗透测试技术。安全场景生成器生成随机化的易受攻击系统,虚拟机基于场景规范创建,该场景规范描述了要创建的虚拟机的约束和属性。例如,方案可以指定创建具有可远程利用的漏洞的系统,该漏洞将导致用户级别的泄露,以及可导致根级别泄露的本地可利用漏洞。这将要求攻击者发现并利用随机选择的两个漏洞,以获得对系统的root访问权限。或者,定义的方案可以更具体,指定某些类型的服务(例如FTP或SMB)或甚至确切的漏洞(通过CVE)。
安全场景生成器是一个应用程序,具有XML配置语言。安全场景生成器读取其配置,包括可用的漏洞、服务、网络、用户和内容,读取所请求方案的定义,应用逻辑以随机化方案,并利用实训平台来配置所需的虚拟机及其环境。
安全场景生成器的主要意义在于,上述网络环境模拟及模拟向导均是处于预配置或静态配置的范畴,学员只能根据设计的规范进行技能演练,在仿真真实环境的实践技能上面有所欠缺,因此考虑采用动态的安全场景生成器,定义随机化的安全场景用于实践技能和磨炼战术,具有和真实环境一致的体验,也确保了培训更具多样化,演练和实践的攻防能力更能体现实战性和真实性的指标。
l 高级演练工具
靶场系统除了上述用于生成和辅助进行演练环境构建的工具和应用程序外,还需要开发高级演练工具用于复制演练流程和演练记录的追踪和分析。具体而言,高级演练工具具备以下能力:
在教练站内提供对整个演练/演练课程的实时查看和监控,使教练能够撰写评论,控制学员的工作站,跟踪学员目标和得分表现。
每个操作都标记在时间轴和审核日志中。会话可被录制并可以进行播放、回放。
用于进行汇报工作的评估工具,以获得最佳反馈。高级评估工具允许教练进行审核,以持续评估受训者和团队绩效。
团队协作工具,包括团队消息聊天频道、教练通知消息等多媒体手段。
在管理员端,实现场景的导入导出功能,课程的导入导出功能。以便于进行平台内容的迁移和升级维护。
在教练站内,针对场景进行版本控制,以实现场景操作的持续、稳定和长期运行。
在学员端,根据学员的角色和技能演练要求,提供对应角色的演练流程和工具,包括:红队工具包、蓝队工具包等。
l 演练管理器
演练管理系统用来定义演练,运行,分析和汇报受训人员的能力和绩效。在演练期间,白队按照演练结构和难度等级,定义逐级变化和逐渐增加难度级别的攻击,并跟踪和记录网络参数和学员的活动。
l 白方系统
白方系统是演练管理的一个重要组成部分,担负着实时、客观地显示当前靶场环境中红、蓝双方实体状态的任务。可以针对工业网络侦查工具、攻击工具、防御设备以及支撑保障设备做出综合性效果、性能评估,还可以做演练、对抗过程中战术、技术、过程的评估,给出综合的分析结果及建议。
4)靶场应用
(1)攻防演练系统
工控安全靶场系统依托于提供的演练环境及靶场功能,构建攻防演练系统。攻防演练是一项检验信息安全防护能力以及应急响应速度的信息安全服务。在靶场提供的可控演练环境内,集成网络安全攻防领域内的各类常见设备,使用专业的攻防手段,在完全可控的环境中构造网络攻防的真实场景并对其进行解析和分析呈现,从而使学员能够直观、快捷、全面和细致的掌握网络攻防的各种概念和技术细节。
工控安全靶场攻防演练系统侧重于攻防实战学习环境的演练,类似战争游戏(WAR-GAME)或兵棋推演,提供一个类似企业面临各种网络威胁的真实环境,让信息安全人员学习和观摩攻防演练过程,学习到正确的应对经验,在演练过程中,会有专家或系统指导说明从旁协助,于攻防演练完成后会深入检讨过程之应对技巧,讨论有哪些可以改善或做得更好的地方。譬如在面对勒索软件、高级持续性渗透威胁(APT)攻击或拒绝服务式(DDOS)攻击,都需要透过实际情境演练来提升信息安全人员之侦防能力,并研拟与实施不同情境下的防御措施,目标是培育信息安全人员具备充裕的防御作战能力。
演练类型
工控安全靶场攻防演练系统支持以下演练类型:
n 网络攻击
n 网络防御
n 红蓝对抗
n 网络混战
n 技能鉴定
网络攻击
在工控安全靶场攻防演练系统中,网络攻击的内容是:通过高度仿真的场景设计一系列网络攻击的攻击点或漏洞,选手或受训人员通过接入该场景实施网络攻击,并在指定的时间内获取到指定目标即可完成任务获得积分。
在网络攻击类型中,根据演练模式的不同,攻击点的位置以及具体的操作流程也存在差异。
网络防御
在工控安全靶场攻防演练系统中,网络防御的内容是:通过高度仿真的场景设计一系列网络防御的防御点或脆弱点,选手或受训人员通过接入该场景实施网络防御,并在指定的时间内分析或追踪到指定目标即可完成任务获得积分。
在该类型中,场景的攻击者可由白队人员调用攻击生成器实施自动化攻击,也可接入红队攻击成员实施网络攻击活动。
在网络防御类型中,根据演练模式的不同,攻击点的位置以及具体的操作流程也存在差异。
红蓝对抗
在工控安全靶场攻防演练系统中,红蓝对抗的内容是:采用标准的网络红蓝军演练模式,在一个高度仿真的实战演练场景中分配一队或多队攻击红队和一队或多队防御蓝队,红蓝队伍根据各自的任务在场景中进行攻防对抗操作。每只队伍根据自个任务完成指定目标获取积分。
此外,还支持在场景中和安全设备厂商合作接入安全厂商产品,由攻击红队对其进行攻击渗透,安全厂商的安全设备需要发现安全攻击行为,防御安全攻击并找攻击痕迹和攻击者所在位置及IP地址等。
在红蓝对抗类型中,根据演练模式的不同,攻击点的位置以及具体的操作流程也存在差异。
网络混战
在工控安全靶场攻防演练系统中,网络混战的内容是:采用标准的网络红蓝军演练模式,每个队伍均拥有属于自己的攻击机和场景靶机,每个队伍需要同时攻击别队的场景靶机,还需要防守自己的场景靶机。队伍的得分点通过攻陷别队场景靶机而获得积分。
在网络混战类型中,根据演练模式的不同,攻击点的位置以及具体的操作流程也存在差异。
技能鉴定
在工控安全靶场攻防演练系统中,技能鉴定的内容是:在场景中接入红队队伍,由白方团队充当蓝队,对红方的攻击手法、攻击技巧等进行全方位检测和收集,并在结束后综合评判红队选手的综合能力。
此外,攻防演练系统还可通过技能鉴定类型开展红队PK红队、蓝队PK蓝队的技能鉴定。基于相同场景和条件进行竞技,主要比拼受训人员网络攻击或网络防御的技能运用。
在技能鉴定类型中,根据演练模式的不同,攻击点的位置以及具体的操作流程也存在差异。
演练模式
工控安全靶场攻防演练系统支持以下演练模式:
l 演练模式
l 竞赛模式
演练模式:
通过预定义的场景和剧情剧本,受训人员通过提示进行操作,以完成特定目标为基准的模式,该模式侧重于演习和演练的结合。
竞赛模式:
通过已定义的场景和攻击点/防御点,受训人员通过提示进行操作,以寻找特定答案或攻击点为目标,通过精准找到目标而获得积分的模式,该模式侧重于进行安全技能竞赛。
演练流程
工控安全靶场系统是一个全面的演练解决方案,包括三个主要模块。所有演练模块由演练管理系统进行管理。
l 准备演练
由教练根据演练目标和学员的技能级别来定义演练结构。之后教练再选择一个最适合本次演练的网络拓扑和相应的网络攻击场景, 系统会对所需网络拓扑及场景进行自动部署。
l 执行演练
执行演练则进入到现场演练阶段。教练发起演练任务,并可通过流量生成器模拟攻击和合法流量进入模拟网络。
在演练过程中,根据演练类型的不同,教练需要适当对演练过程进行控制,如使用攻击生成器对场景进行攻击控制,控制攻击发展的方式,包括场景速度,企图造成的网络破坏,如业务中断,保密违规和信息丢失等。
红队成员必须采取一切必要的技术和手段对目标实施网络攻击。
蓝队成员必须采取一切必要的行动来对抗攻击,就像在真实世界的攻击中一样,包括侦测,响应和阻止攻击。白队则实时监控会话,根据攻击场景的评估指标,向蓝队提供指导和反馈。
l 回顾演练
教练通过在演练期间审查学员的表现来分析受训人员,分析攻击进展情况和受训者的反应情况,并突出具体行动。演练总结以个人和团体的意见为基础,总结经验教训,并提出改进建议。
(2)教育培训系统
工控安全靶场系统依托于提供的演练环境及靶场功能,针对高校工控安全人才培养和企业用户的工控安全培训教育需求,构建教育培训系统。
针对高校工控安全人才培养
高校是高等学校的简称,高等学校是大学、专门学院、高等职业技术学院、高等专科学校的统称。我们为高校型用户提供工业互联网安全实验室联合规划建设,工控安全实训室建设以及工控安全及工业互联网安全等专业申请承建,提供专业化、体系化的工控安全和工业互联网安全人才培养体系,实现高校型用户工业互联网安全实验室教学、培训方面的空白,推动传统的教育、培训模式发展,课程体系深化,以理论与实践相融合的方式模式改革,提升高校型用户人员攻防实战能力,能对各种主流安全实践具有独立分析、应对处理能力。
针对企业用户的工控安全培训教育
安全教育培训是贯穿整个工控安全生命周期的重要工作,是对企业决策人员、安全管理人员、规划设计人员、安全运维人员、应急响应人员等工控安全建设工作参与者的知识、能力补充的有效措施,能够提升不同角色人员的工控安全管理、规划、操作、响应等能力水平,动态完善工控安全建设工作。
(1)安全意识培训需求
着眼于工业企业对提升学生(特别是非信息安全专业技术人员及非IT领域从业人员)在工业信息安全意识提升方面的迫切需求,将工业信息安全意识的培养提升到关乎单位、组织、企业的工业信息安全保障体系建设基石的重要程度。通过工业信息安全意识的培养,使学生能够了解到工业企业生产网络面临的信息安全风险,理解个人信息安全意识在整体组织的信息安全保障体系中的重要性,学会如何养成良好的信息安全习惯、具备正确的信息安全意识,使个人能够依靠自身良好的信息安全意识与素养支持所在单位的信息安全保障体系建设、理解和遵守企业的信息安全管理制度、维护工业企业的信息安全和商业秘密,以保障工业生产相关系统、网络、设备安全、可靠、稳定运行。
工业信息安全培训主要了解国内外工业信息安全形势、主要安全事件、漏洞、威胁、风险,培训国内工业信息安全法规、政策、标准规范等合规性要求;了解在两化深度融合、智能制造和工业互联网的浪潮下,工业企业目前主要安全隐患及未来的安全风险;了解国内外工业企业的工控安全保障体系建设的常用做法和经典案例等。
(2)岗位技能培训需求
为匹配工业企业信息安全保障体系的落地实施,需要对主要信息安全专业岗位进行技能培训,以满足工业信息安全的保障体系实施的技能需求。主要针对规划设计人员、运行维护人员、应急响应人员的专业技能进行培训,以保证安全体系的全生命周期的能力需求有对应岗位的从业人员。
岗位技能培养主要培养技能:工业企业策略制修订能力、安全测试评估能力、安全规划设计能力、工程实施能力、运行维护能力、应急响应处置能力及安全自培训能力。
(3)安全实操培训需求
应用安全培训软硬件环境,着重培养工业企业安全从业人员的实操动手能力,以保证一线从业人员可以独立完成相关评估、测试、实施、运维和应急的相关工作。
(4)定制化培训需求
根据工业企业的安全现状、人员结构和未来计划,为工业企业定制符合企业安全战略需求的安全教育定制化培训方案,保证企业安全战略的有效实施。
5)靶场价值
靶场应用场景
工控安全靶场是一个培训和模拟仿真平台,使组织能够建立和管理超现实的演练、测试和培训中心,这些中心被证明可以提高信息安全团队的绩效。
l 信息安全服务提供商场景
通过建立网络安全培训和模拟中心并提供高级培训服务,扩展和区分投资组合并增加收入。
l 高校人才培养场景
通过建立工控安全靶场,提供创新的实践网络学位课程。通过实践模拟课程和先进的网络研究实验室,加速毕业生成功的职业生涯。
l 政府部门场景
通过加速网络安全专业人员的认证来解决网络安全技能差距。侧重培训公共部门事件响应小组应对网络攻击的能力。在安全可控的环境中测试您的IT基础架构和安全措施。
l 企业场景
通过在反映现实生活攻击的超逼真模拟环境中进行演练、测试和培训,提升企业的事件响应团队技能,评估新学生并加速入职。在安全可控的环境中测试工控安全新技术和验证风险等。
靶场技术优势
l 超逼真仿真技术
工控安全靶场仿真真实的工控网络,包括虚拟企业网络和工控网络,并可集成商业安全产品。并可以准确地模拟攻击场景,提供身临其境的体验,帮助学员有效地应对攻击。
l 完整的培训和学习系统
工控安全靶场提供丰富的培训方案目录,包括事件响应,安全测试,工控安全和个人技能培养。教师可以使用包括汇报,会话记录,学习进度和场景管理在内的高级培训工具,完成整个技能演练的培训流程。
l 使用可视化拓扑组网引擎构建自己的环境
工控安全靶场可使用高级拖放自定义工具来设计您自己的网络并创建自定义演练方案,使您能够根据您的特定需求定制网络拓扑。
l 专业化的网络靶场
工控安全靶场专注于关键信息基础设施和工控网络环境的演练环境仿真模拟构建,提供最完整和最广泛的关键信息基础设施和工控网络环境支持。
代码安全审计面向的应用类型:
² WEB网站系统
² 业务应用系统
² 移动APP系统(iOS/Android/WP)
² PC客户端程序(二进制)
² 微信公众号/微信小程序
² Java/JSP
² ASP/PHP
² JavaScript/Ajax
² C#/.NET/ASP.NET
² C/C++/ Objective C
² Python/Perl
² 等等数10种常见开发语言
代码安全审计有三种不同种实现方式:
² 根据位置不同,分为现场测试与非现场测试
现场测试是指经过用户授权后,测试人员到达用户现场,根据用户的期望测试的目标,使用用户提供的服务器进行代码安全审计。
非现场测试是测试人员无需到达客户现场,在签署保密协议与授权下,用户使用git\svn等代码管理软件为测试人员开通权限,测试人员对审计的代码进行快速迭代测试,测试完成后承诺删除源代码。主要用于增量开发、单元测试、回归测试等。
² 根据方法不同,分为白盒测试和灰盒测试
白盒测试是指测试人员通过企业用户授权,获取部分信息的情况下进行的测试,如:源代码、开发文档等,必要时可以与开发人员充分沟通。
灰盒测试则是根据白盒测试的审计结果,利用漏洞验证与漏洞利用方法,系统代码在Runtime状态下,进行漏洞验证和利用,进一步验证白盒审计的结果。此方法需在掌握白盒测试的审计结果前提下组合实施。
² 根据服务周期,不同分为单次服务和年度服务
单次服务适用对象为准备上线的应用系统或网站和已经稳定运行一段时间的应用系统或者网站,对用户的应用系统进行一次全面性的源代码安全检查,找出应用系统存在的各种安全漏洞和隐含的安全隐患,同时提供代码修复建议。
包年服务主要适用于正在开发阶段的应用系统,在服务周期内对应用系统进行不低于4次全面性的源代码安全检查服务,找出应用系统存在的各种安全漏洞和隐含的安全隐患,同时提供代码修复建议。
代码安全审计主要分为四个阶段,包括:准备阶段、实施阶段、复测阶段及汇报阶段:
² 准备阶段
确认代码安全审计服务的方案,方案内容主要包括:明确目的、背景调研、熟悉代码、制定计划、测试范围、测试内容、测试方式、测试要求、测试人数、测试时间等。
² 实施阶段
遵照客户的要求进行安全检测,包括:搭建环境、翻阅文档、熟悉环境、工具扫描、人工分析、漏洞验证等工作。 然后主要以工具与人工结合的方式对进行漏洞挖掘和分析,并且根据收集的各类信息进行人工的进一步深入检测。
² 复测阶段
经过代码安全审计报告提交和沟通后,等待客户针对代码安全审计发现的问题整改或加固。经整改或加固后,测试人员进行回归测试,即二次复测。复测结束后提交给客户复测报告和对复测结果进行沟通。
² 汇报阶段
对测试人员提交且经过审核确认的安全漏洞进行梳理和汇总,整理成详细的报告,并向客户项目负责人进行汇报。
² 平台拥有大量认证安全专家资源
平台的认证白帽子都是精选的信息安全顾问/专家,不接受互联网匿名白帽子参与。
² 人员交叉测试,工具交叉测试
采用专业源代码审查工具对代码进行审计,给出审计结果报告,并对审计问题与标准相关审计项逐一用人工核对。由于审计工具的局限性,不可避免存在误报和漏报的问题。针对可能的误报问题,通过人工对比审计核查。针对工具漏报的问题,采用多个工具交叉审计。人工审计是对工具审计的必要和有益的补充。
² 专业的安全服务管理团队
提供专业的安全服务团队,团队成员均有着多年丰富的安全服务管理经验来。
² 平台提供多项优质增值服务
安全服务平台为企业客户提供多项优质增值服务,包括:漏洞生命周期管理服务、专家极速服务、安全情报服务。
根据测试结果,安全漏洞报告将针对每个漏洞进行详细描述,描述内容至少包括了漏洞名称、漏洞级别、漏洞类型、漏洞描述、代码问题、修复建议等。
除此之外,安全漏洞报告还将结合审计目标的具体漏洞内容编写解决方案和相关的安全建议,为管理员的维护和修补工作提供参考。
智能网联汽车的研究安全首先应基于基础安全研究,这些基础课程包括段控车APP逆向分析、应用密码学、车辆信息安全分析技术、计算机视觉安全、V2X安全协议讲解、车载系统安全-嵌入式Linux、车载系统安全-u/COS-II、控车APP的业务逻辑分析及攻击手段分析。
平台安全可以针对云控基础平台、边缘计算平台、车联网安全身份认证平台等方向进行试验和教学试验。
面向车载系统的车联网安全方向,可采用共同研究思路,来实现在乘用车车载网络中部署车载防火墙,实现内外网络通信的身份认证,以及对基于 CAN 协议的网络数据传输提供异常检测和安全防护。
根据对车载安全需求的分析,车载防火墙应具备如下主要功能:
1、访问控制:
将非信任区 T-BOX、V-X、VAES 与 BCM、ACM、VBU 等信任区进行逻辑隔
离;
2、身份认证:
支持与通信方的身份认证,采用国密算法(SM2、SM9 等)或国际算法(AES128
等)对认证信息进行加密,确保双方通信设备的可信及安全性。
3、内容解析
实现 CAN 和 CAN-FD 两种协议栈的支撑,对报文进行解析,获取到 CAN-ID
和 CAN-DATA 之后,交由后续的安全模块处理。
4、DDOS 防护
CAN 的方式是优先处理高优先级别的报文,因此容易收到 DDOS 攻击,利
用问答的方式对可疑高频高优先级报文进行可疑筛查,如果没有应答则认为是攻
击行为,进行阻断。
5、合法性检查C
通过内容解析模块后,根据 CAN-ID 和 CAN-DATA 的内容实现合法报文检
查、语义检查、信息发送方的合法性校验、重放攻击等。
6、场景防护
场景防护根据专家知识库或机器学习形成的模型、基线进行防护,如在加速
场景下,开车门、超大音乐调节、座椅大幅度变更等不合理操作。
7、配置管理
包括:
OTA 配置管理,实现远程 OTA 在线更新配置
系统配置管理,实现旁路/串行、阻断、报警、日志等功能配置
系统备份管理,实现系统配置存储、日志存储、系统备份等功能
车载防火墙采用复合的安全检测算法,具体如下图所示:
安全防护流程分解图
安全防护流程分解图
(1)CAN 数据采集:同时支持旁路和串行部署;
(2)内容过滤:对报文进行完整性检查,并进行字段解析,获取 CAN 协议
的格式对应的值;
(3)CAN 知识矩阵:根据不同车型对应的字段的物理含义进行预置;
(4)DDOS 攻击防护:首先检测高优先级的报文的发送速率,当速率高于阈
值时,对发送请求的源对象进行应答挑战,当没有响应时,则认为此源对象在进
行 DDOS 攻击,并根据旁路或串行部署模式进行相应的报警和阻断功能;
(5)合法性检查:对不符合协议规范的的 CAN 报文进行检测,如值溢出、
某些 CAN 报文只能发送到指定的 ECU 等;
(6)行为基线增量学习:针对不同场景下的行为进行增量学习,根据统计数
据进行建模,建立起不同场景下的行为模型。
工业互联网安全运营中心平台是基于现有的东城云进行部署,其目标是在既有安全防护体系的基础上,以业务安全为导向,通过全面、深入、细致的风险评估,深入了解、准确定位用户的安全需求,并与先进的安全防御和运营技术相结合,设计适用于保障用户网络与信息系统正常运行的整体安全解决方案。在此基础上,分阶段、分步骤建设以全面监控、准确分析、快速响应、专家协同为特点的面向下一代安全威胁的安全运营体系。全面提高用户的网络与信息安全风险管控水平和安全防御能力。
主要的建设目标可以归纳为建设一套机制,连接两个团队,打造四大能力。其中,建设一套机制是指在现有防护体系的基础上,进一步加强安全预警、检测分析、实时响应。连接两个团队是指在进行本地安全运营团队建设的基础上,利用互联网、移动互联网等技术引入云端行业安全专家团队的专业能力,形成本地安全运营团队和云端行业安全专家团队的有机协同。打造四大能力是指在安全设备部署和相关知识库积累的基础上,对预警、防护、检测、响应能力实施统一管控,逻辑上形成协同、防护、检测、响应四个能力层次。
按照安全运营的建设目标,提出如下的建设原则:
(1) 从安全防护为主,到检测与响应并重
在安全防御体系设计中,不仅重视安全防护机制的完整性和有效性,而且进一步完善监控和分析机制的部分,建立包括网络、主机、业务系统、数据、人员等在内的全技术层监控和分析。同时,对发现的问题快速响应,不仅及时隔离安全事件、定位安全风险,同时要快速调整优化安全策略,对攻击行为确认损失、追踪溯源,实现连续响应。
(2) 从安全产品集成为主,到安全能力集成为主
安全攻击技术的发展非常迅速,而传统的安全产品从部署到升级需要一个较长的周期。这就造成了安全防护总是落后于安全攻击的现状。因此,在安全防御体系设计中,安全防护的重点不在是部署了哪些安全设备,而是重点设计如何引入安全专家的协同防护能力,以“不变”的安全防护能力应对“万变”的攻击手段。
(3) 从安全建设为主,到以安全运营为主
安全体系建设重点从安全防护为主,向检测与响应并重转变。这也就意味着在安全体系中,需要通过检测和响应不断感知发生的攻击行为并及时作出应对,这个过程也就是安全运营的过程。因此,在安全防御体系设计中,不仅要设计安全防护的机制,而且要重点设计支撑安全运营的机制,为安全运营机制提供有力支持,建立起面向安全运营的动态闭环自适应安全防御体系。
安全运营的建设一般从两个方面入手,一方面是进安全运营服务的建设,向客户提供专业的安全服务,减少客户因为认知不足、经验不足、精力有限、安全专业人员缺乏等问题导致的安全运营做不起来或者效果很差,同时作为以安全能力为交付目标的安全服务,可以减少客户在安全产品的更新换代、持续升级和维护上的投入;另一方面是安全服务支撑的建设,主要从安全运营平台、安全运营产品、安全运营人员、安全运营流程和安全运营环境入手进行建设,保障安全运营工作的有效开展。
根据安全运营的场景和日常工作开展,将安全运营服务分为安全咨询类服务、日常运营类服务、评估审计类服务和专项运营类。其中安全咨询类服务是向客户提供安全方面的规划咨询等,可以作为单独的安全服务;日常运营类服务是在日常运营工作中由安全运营人员向客户提供的服务,作为基本的安全运营服务,需要符合安全运营评价指标和客户的相关需求,此类服务一般以7*24持续提供;评估审计类服务是用于对安全能力进行评价和审计的服务,需要较高的专业知识,可以作为单独的安全服务开展;专项类安全运营服务是为了满足客户在特点场景或时期的安全需求而提供的安全服务,目标是弥补日常安全运营的不足,可以针对特定的需求进行相关服务的开发。
安全服务支撑的建设,主要从安全运营平台、安全运营产品、安全运营人员、安全运营流程和安全运营环境入手进行建设,保障安全运营工作的有效开展。
通过安全运营平台建设结合安全运营服务构建安全能力,打通了平台与安全人员的配合机制,可以让安全运营平台获取到的安全事件得到快速处理,打通了监测-分析-处置-通报的全流程,使得安全运营充分发挥价值,同时可以减轻用户安全工作负担,提高效率。
通过专业监测机制实现对运营对象等的监测,专业监测手段可以保证安全事件发现维度更加广泛。同时安全服务人员采用本地+远程两重服务梯队,本地人员进行安全事件的监测上报、分析及处置,远程分析人员对结果进行验证,并协助分析高级安全威胁,同时远程人员提供交叉结果验证,通过有效协作分工,有机结合平台及不同服务团队,有效、快速处理各类安全事件。
安全运营平台运用了MapReduce、ElasticSearch、Spark等大数据手段提高TB级检索和查询性能。同时,提供了强大的本地数据保存、攻击证据留存和查询、实时关联分析能力,为安全威胁的分析、钻取能力形成支撑。平台支持对日志、NetFlow流、威胁情报、资产信息等多维度数据的集中处理与分析,支持多种感知引擎部署,后续可以根据安全运营需求灵活扩展其他模块,无需重新设计系统架构。
为用户提供专业的安全服务,安全服务人员均具备扎实的安全基础和丰富的实践经验。通过多年面向政府、金融、工业企业等多个领域的专业安全服务,锻炼出了一支专业的安全服务队伍,培养出国内顶级的安全服务人才,本次服务提供全方位的安全运营服务,实现对监测-分析-处置-通报流程的全方位支持,有助于应对各种网络安全突发事件,为业务提供安全可靠的保障。
通过三个阶段的建设内容,可构建完整的工业信息安全人才培养体系和能力保障体系。
第一阶段:工业互联网安全实验室阶段
通过构建联合实验室,培养和锻炼教员或主干技术人员的工业信息安全意识和技术能力,可联合进行项目申报和技术课题研究,完成针对工业信息安全的技术积累。
第二阶段:实训基地
在实验室的基础和有一定的技术积累阶段,接入集成工业互联网安全实训平台、工业信息安全竞赛系统和工控安全靶场系统,进行大规模人才培养和实战技能训练,通过体系化的课程体系和培养体系塑造专业队伍。可解决人才缺口、岗位胜任及技术前沿研究、政策制定等内容。
同时,通过工控安全靶场系统可开展红蓝对抗实战演练。
第三阶段:工业互联网安全运营中心
在实训基地基础上,基于东城云建设工业互联网安全运营中心,培训专家级人才,研究前沿性技术,可实现培养体系化的安全防御能力、应急响应能力、安全分析能力、检查评估能力。解决现有目前安全防御人才不足的问题。
网络安全实训中心的各个子项目的建设都需要一定的投入,根据经验建议采用以下建设模式。
包括场地:建筑和支撑IT环境,如基础网络、计算环境、运行平台、实验设备、实验软件等,由政府投资建设。
有2种模式。
模式一:院校向产教融合试点企业投购买课程资料和整体服务,由企业打包提供年度教学和实训任务;
模式二:产教融合试点企业和服务厂商共同投资课程,学校支付服务费,按照约定协议进行分成。
工业互联网安全实验室建设的效益分析,如下:
(1)安全意识培训
着眼于对学生在工业信息安全意识提升方面的迫切需求,将工业信息安全意识的培养提升到关乎学生未来进入单位、组织、企业的工业信息安全保障体系建设基石的重要程度。通过工业信息安全意识的培养,使学生能够了解到工业企业生产网络面临的信息安全风险,理解个人信息安全意识在整体组织的信息安全保障体系中的重要性,学会如何养成良好的信息安全习惯、具备正确的信息安全意识,使个人能够依靠自身良好的信息安全意识与素养支持所在单位的信息安全保障体系建设、理解和遵守企业的信息安全管理制度、维护工业企业的信息安全和商业秘密,以保障工业生产相关系统、网络、设备安全、可靠、稳定运行。
工业信息安全意识教育培训主要了解国内外工业信息安全形势、主要安全事件、漏洞、威胁、风险,培训国内工业信息安全法规、政策、标准规范等合规性要求;了解在两化深度融合、智能制造和工业互联网的浪潮下,工业企业目前主要安全隐患及未来的安全风险;了解国内外工业企业的工控安全保障体系建设的常用做法和经典案例等。
(2)岗位技能培训
为匹配用户信息安全保障体系的落地实施,需要对主要信息安全专业岗位进行技能培训,以满足工业信息安全的保障体系实施的技能需求。主要针对规划设计人员、运行维护人员、应急响应人员的专业技能进行培训,以保证安全体系的全生命周期的能力需求有对应岗位的从业人员。
岗位技能培养主要培养技能:工业信息安全策略制修订能力、安全测试评估能力、安全规划设计能力、工程实施能力、运行维护能力、应急响应处置能力及安全自培训能力。
(3)安全实操培训
应用安全培训软硬件环境,着重培养工业企业安全从业人员的实操动手能力,以保证一线从业人员可以独立完成相关评估、测试、实施、运维和应急的相关工作。
(4)定制化培训
根据未来学生面对企业的安全现状、培训需求、人员结构和未来计划,为学生定制符合企业安全需求的安全教育定制化培训方案,保证用户安全战略的有效实施。
(1)驱动工控安全及工业互联网安全相关技术发展
信息技术对工业系统的深度渗透引发了数据量的爆发式增长,大数据技术的引入可帮助工控安全及工业互联网安全技术更加及时、全面、有效的实施,促进工控安全及工业互联网安全功能安全测试技术、信息安全测试及系统安全测试技术、自动化智能测试技术、行业产品技术原理数据收集与共享等应用技术加速发展。
(2)完善工控安全及工业互联网安全产业链
工控安全及工业互联网安全纵深防御系统持续积累威胁识别经验,形成防护规则,对企业防护设备进行规则更新。集合优势资源,为产业提供测试验证方法。平台通过标准平台服务的方式,对外提供技术咨询服务,推动国产芯片的应用,扩大产业资源利用率,形成防护自主可控安全防护能力。
(3)带动工业控制系统信息安全产业快速发展
一方面工业控制系统信息安全意识的提升是工业控制系统信息安全产业快速发展的根本驱动力,基于测试验证技术的工业控制系统信息安全服务能力、服务平台可推动各界对于工业控制系统信息安全的关注,加快产业成熟,促使工业控制系统信息安全投入加大;另一方面工业控制系统厂商不断整合信息安全需求、信息安全厂商整合工业控制需求,从而将用户需求和产业发展直接对接,通过两者相互促进,明确工业控制系统信息安全产业发展方向,促进产业快速发展。
(1)培养工控安全及工业互联网安全专业人才队伍
本方案将为工业控制信息安全产业发展起到典型的示范作用,为我国在起步较晚的工业控制安全领域,通过技术的更新换代实现跳跃式发展起到开路先锋的引导作用。同时,该方案的建设又可以为我国工控安全及工业互联网安全设备研发领域培养一批一流的研发人员和工程管理人员,为工控安全及工业互联网安全的快速发展,奠定良好的人才基础。
(2)专业流程化的演练过程体系探索
要使一个网络安全团队能够保持对网络攻防和网络安全事件的应急响应能力,就必须通过实践来进行锻炼。在一个考虑参加网络安全比赛的团队来说,团队的预备参赛队员都有独特的个人技能,每个人都通过重复的练习来精炼和完善个人的技能。在这种过程中,实践的顶峰是“混战”——团队的所有成员共同努力实现一个单一的目标:比另一个团队获得更多的分数。在网络安全比赛领域,比赛的组织方会竭尽全力使比赛的体验尽可能的真实。其设计和组织方式,和真正的游戏领域是完全一样的,并且比赛所使用的设备与真正的游戏设备几乎相同,游戏规则也是等价的。为了确保每个人都遵守规则,还需要增加裁判员以加强监督。在真正的比赛前,最重要的彩排就是混战。没有一个混战比拼,教练很难评估网络安全队伍的优势和劣势。同样的,如果没有团队成员的混战,就很难理解他们的角色是如何融入整体的以及相互之间的优势和配合。
这正是军事策划人员在为军事网络团队策划网络演习时必须采取的思维模式。军事演习有很多目的。比如安全攻击团队的战术、技巧和程序演习和评估。更重要的是,团队成员构建并完善信任关系。为了从这些参与中获得最大的收益,演习必须以现实主义为主要关注点。本方案试图以这样的模式设计红蓝对抗演练体系及流程。
本项目主要为大学的工控及智能设备信息安全的科技研发,项目完成后,将有效缩短产品开发周期、促进产品成果转化、提高产品质量,从而更好地适应市场多样化和产品高质量的需求,增强产品的市场竞争力,给学校和企业带来较好的间接经济效益。
依托工程实验室,将实现控信息安全管理系统和工控异常监测系统、工控网络流秩序分析诊断系统、工控运维审计系统、工业防火墙、工业网闸、工业无线安全防护系统、工控漏洞扫描系统和智能设备漏洞挖掘系统等在内的多个技术支撑引擎和工具及服务的产业化。逐步可实现重邮的自由品牌建设。
同时,本项目实施还将辐射至同类企业,促进其他企业的技术成果转化,促进新产品开发和产品质量提升,减少我国对国外工控和信息安全设备的依赖,提升信息行业的经济效益。
本项目符合国内外工控系统安全市场发展需求,带动和形成工控系统安全产品和服务的增值业务。项目可以促进大学与工业企业、工控系统产品提供商和集成商的合作,带动安全可控的国产工控系统的发展以及工控系统信息安全增值业务。
本项目将培养一批工控系统安全研发、测试和服务方面的人才,为工控系统安全发展提供人才储备。
本项目将推进我国工控系统的信息安全管理工作,提升我国工控系统的安全保障能力,促进我国信息安全基础性工作及工控系统行业的健康发展。
序号 | 名称 | 内容 | 预算(万元) |
1 | 先进制造仿真实验系统 | 先进制造行业工控安全仿真试验台; 行业模型沙盘;教学课件 详述:工业仿真试验台系统面向真实环境工业网络和环境进行复现仿真,通过虚拟仿真技术模拟真实工业环境的网络、主机、流量和威胁,并接入真实工业设备和IO模块复现真实生产工艺流程。通过工业仿真系统可帮助用户完成工业控制系统信息安全测试、攻防演练、安全防护技术研究、教育培训等工作。工业仿真试验台系统建设内容包括:工业组件配置及典型工业场景仿真环境部署。目前支持市场上主流的工控软硬件种类及厂商工业组件配置。 | 100 |
序号 | 名称 | 内容 | 预算(万元) |
1 | 实训平台 | 高性能培训平台主控中心设备3台; 实训管理系统(实训平台核心)1套; 靶场管理系统(靶场平台核心)1套; CTF训练模块(CTF培训核心)1套; 能力考评模块(理论知识技能考核)1套 实训工具1套 工控安全应急工具箱及实验课程1套 | 240 |
2 | 基础攻防课程资源包 | 1、 Web安全实验资源包:HTTP协议、HTML、java、cript、CSS、Web架构、Python、asp、jsp、php基础;注入、XSS、CSRF、XXE上传、文件包含、反序列化、命令执行、WebShell、一句话、后台扫描、爆破等Web渗透练习 2、 靶机-CTF资源包:SQL基础、Python基础、PHP基础、正则等语言基础、CTF入门介绍与工具安装、CTF-隐写、CTF-加解密、CTF-取证、CTF-代码审计、CTF-WEB、CTF-逆向、CTF-PWN、栈溢出、堆溢出、格式化字符串CTF专项练习 3、 AWD攻防线下对抗:常见PHPCMS实战、常见ASPCMS实战、常见综合靶场实战、综合练习环境 | 240 |
3 | 工业控制系统基础课程 | 工业控制系统基础、工业控制网络基础、工业控制系统信息安全概述、工业控制系统脆弱性、工业控制系统安全威胁、安全防护普遍存在的误区、工业控制系统信息安全相关法规与标准体系、信息安全管理基础与管理体系、信息安全控制措施、信息安全风险管理、应急响应与灾难恢复、工业控制系统安全关键技术、工业控制系统安全管理技术、典型行业工控系统安全解决方案 | 100 |
合计 | 580 |
序号 | 名称 | 内容 | 预算(万元) |
1 | 工业互联网安全竞赛系统 | 1、 搭建红蓝攻防演练平台,基于SAAS架构搭建,提供攻防演练全生命周期管理、攻防态势多视角展现、RBAC权限控制、在线/离线报表、日志、知识库、人员管理等基础功能以及接入认证与管控、可用性监测、基于攻防规则的异常监测、个人/战队赛制、1vs1/1vsN赛制支持、战绩规则等规则保障功能,为攻防选手、裁判、管理运维人员、上级单位等提供管理、技术等需求支撑,并为演练提供专业白帽子、专业运维保障、安全培训、综合评估、过程推演、安全接口、数据共享、系统清理等服务支撑。支持多场景需求,包括单次演练、多次演练、演示验证、涉密环境。 2、 举办工业互联网攻防演练赛事,结合课程与赛事,提供学员培训、综合评判推演等服务。 | 300 |
序号 | 名称 | 内容 | 预算(万元) |
1 | 工业互联网靶场平台 | 靶场基础平台:靶场虚拟化平台; 靶场平台资源:攻防仿真场景资源包;培训教育课件资源; 靶场业务子系统:工业信息安全实训平台。 工控安全靶场平台涵盖能源、电力、通信、交通等领域,满足关键信息基础设施安全体系建设需求、工业网络攻防能力验证需求、工业产品检测评估需求。靶场通过虚拟化技术及仿真技术重现真实工业网络节点及链路,依赖虚拟环境可以完成网络空间工业网络体系规划论证、能力测试评估、产品研发试验、产品安全性测试、人才教育培养等任务。 | 300 |
序号 | 名称 | 内容 | 预算(万元) |
1 | 工业APP代码审计实验系统 | 1、 应用系统及开发语言基础课程;工业控制系统协议基础课程; 2、 安全基线基础课程;源代码审计基础课程; 3、 安全漏洞类型学习;漏洞发现与扫描基础课程;漏洞验证课程 4、 APP代码审计工具实验;APP代码审计人工操作实验 | 300 |
序号 | 名称 | 内容 | 预算(万元) |
1 | 智能网联汽车信息安全基础课程 | 网络安全基础、段控车APP逆向分析、应用密码学、车辆信息安全分析技术、计算机视觉安全、V2X安全协议讲解、车载系统安全-嵌入式Linux、车载系统安全-u/COS-II、控车APP的业务逻辑分析及攻击手段 | 200 |
2 | 智能网联汽车平台安全课程 | 云平台安全、边缘计算安全、安全身份认证课程 | 150 |
3 | 车载防火墙安全研究 | 车联网环境内外网络通信的身份认证安全体系; 车载设备现场实验环境适应性评测与协议漏洞分析; 基于 CAN 协议的网络数据传输安全防护; 基于 CAN 协议的异常检测与审计; | 150 |
合计 | 500 |
序号 | 名称 | 内容 | 预算(万元) |
1 | 安全检测工具与采集平台 | l 流量复制工具1套; l 流量复制中心1套:40口万兆SDNTAP平台 l 流分析一体机1套; l 流分析引擎1套; l 流分析数据中心1套; l 安全检测一体机1套; l 安全检测引擎1套; l 安全检测数据中心1套; l 脆弱性分析中心1套; l 日志分析中心1套; l Web应用审计一体机1套; l Web应用采集引擎1套; l Web应用审计数据中心1套; l 网络与数据库审计一体机1套; l 网络与数据库审计引擎1套; l 网络与数据库审计数据中心1套; l 互联网检测及威胁情报中心1套; l 蜜罐系统1套; l 沙盒系统1套 | 480 |
2 | 平台支撑网络与安全 | 1、 接入交换机4台; 2、 核心骨干交换机1台; 3、 防火墙4台; 4、 运维管控系统1台; 5、 终端安全管控系统1套; 6、 安全数据交换平台1套 | 120 |
3 | 工业互联网运营中心平台 | 1、工业互联网运营大数据分析与感知平台1套;服务器8台;大屏1套; 2、实现功能 l 区域联网设备发现 l 区域工控安全态势研判 l 行业定向安全分析 l IP核查与溯源 l 互联网业务漏洞监测 l 行业重大事件跟踪 l 威胁情报 l 期性安全测试 l 新上线系统安全检查 l 变更资产漏洞监测 l 安全咨询 l 重保自查、威胁分析及防御 l 实战攻防演习 | 650 |
合计 | 1250 |
|