干货丨​工业控制系统信息安全靶场资源管控系统

★ 泰戈特（北京）工程技术有限公司 王轶

★ 北京网御星云信息技术有限公司 陈博

工控系统广泛应用于工业、智能制造、交通、水利以及市政等国家关键基础设施领域，涉及到国家安全、经济命脉和人民群众的生产生活，一旦受到攻击，可能引发工厂停产、环境污染、人员伤亡、社会动荡等灾难性的后果。近年来，工控系统面临的外部威胁日益增加，面临的攻击更加复杂、多样、隐蔽、系统和持续，安全事件频繁发生。为贯彻落实《中华人民共和国网络安全法》《国务院关于印发<中国制造2025>的通知》（国发〔2015〕28号）《国务院关于深化制造业与互联网融合发展的指导意见》（国发〔2016〕28号）《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》，切实保障制造强国和网络强国建设，加强工业控制系统安全保障工作显得尤其重要。

工业控制系统信息安全靶场是工控安全测试验证、攻防演练的重要载体。然而，能源、钢铁、有色、化工、装备制造等关系国计民生的典型行业工业控制系统组成架构千差万别，所面临的安全风险也有所不同，相应安全防护手段或策略也不同，但不同行业又有着共性的漏洞、风险、防范场景，甚至部分控制组件也是相同的。因此，有必要建设工业控制系统信息安全靶场资源管控系统，实现共性组件、资源的调度和跨网络、跨架构的攻防演练。

“工业控制系统信息安全靶场资源管控系统”是工控安全测试验证、攻防演练的重要载体。其助力客户成功打造了基于工控系统覆盖需求分析、设计、研发、集成、测试、评估、运维、废止全生命周期的攻防对抗演练靶场（靶场包含基础引擎、资源管控、组件监控、角色应用、核心业务等核心系统），提供了覆盖能源、钢铁、有色、化工、装备制造等关系到国计民生、经济社会运转的核心重点行业的攻防演练实战场景，并支持开展“攻防对抗、漏洞挖掘、风险验证、应急演练和培训教育”五大业务应用。

（1）基于产品实现基于工控系统需求分析、设计、研发、集成、测试、评估、运维、废止全生命周期的攻防对抗演练。 

（2）基于产品提供覆盖能源、钢铁、有色、化工、装备制造等关系到国计民生、经济社会运转的核心重点行业的攻防演练场景。

（3）基于产品支持攻防对抗、漏洞挖掘、风险验证、应急演练和培训教育五项业务应用。

“工业控制系统信息安全靶场资源管控系统”为纯软件研发和集成的调度管控系统。该系统能够调度和管控靶场集成的真实实物工控设备和安全设备，并在虚实结合组网的情况下快速自动化地实现对工控网络环境的仿真。该产品具备基础引擎子系统、资源管控子系统、组件监控系统、角色应用子系统、核心业务子系统五大核心模块。

该产品通过提炼不同行业的共性漏洞、风险、防范场景及控制组件，成功实现共性组件、资源的调度和跨网络、跨架构的攻防演练。除此之外，该产品支持接入全系列或主流工控系统或产品及工业信息安全领域相关检测工具，可利用检测环境进行检测、评估、验证及工业信息安全新技术研究，研发相关检测、评估、验证工具及标准规范。

“工业控制系统信息安全靶场资源管控系统”总体架构关注纵向、横向，成功实现大系统的互联、互通、互操作。

该系统总体架构如图1所示

图1 系统总体架构图

该系统架构分层设计包含调度管理层、安全基础资源层、攻防对抗监控层、核心业务层以及靶场平台应用层，如图2所示。

图2 架构分层设计图

（1）调度管理层：实现靶场基础引擎子系统与资源管控子系统的对接，为上层场景构建、虚实结合组网、资源申请释放提供功能接口。

（2）安全基础资源层：为基础引擎提供基础组件资源，将物理设备、虚拟设备、安全设备进行基于场景拓扑的编排，为上层业务系统提供多元靶场组件构成的测试演练环境。

（3）攻防对抗监控层：通过采集虚拟平台数据、组件运行数据、用户行为数据等，为核心业务系统中的白方系统提供监控、分析、可视化的数据来源。

（4）核心业务层：实现对组件监控子系统、基础引擎子系统、资源管理子系统的调度，为用户基于角色的核心业务提供一体化功能服务。

（5）平台应用层：满足靶场功能业务，实现攻防演练、漏洞挖掘、风险验证、应急演练和培训教育等全生命周期能力提升及技术保障服务。

该系统在架构设计上实现了多子系统交互和调度的接口规约以及平台自身安全保障功能。从子系统层面看，架构从基础引擎子系统到角色应用子系统，每个子系统的功能均可模块化架构实现，每个子系统之间通过标准接口规约进行交互和调度。在架构分层设计实现上，每个资源层均由下层向上层提供资源调用接口，上层对下层实现管控接口。

（1）产品成功支撑红队、蓝队、白队、黄队等不同角色开展攻防演练的需求，具备同时支撑百人进行攻防实战演练的能力。

（2）依托系统，助力客户实现针对PLC、DCS、SCADA、RTU等工业控制系统组成设备或软件开展漏洞挖掘的需求。

（3）产品具备按需组网功能，能够依据需要接入多种风险验证评估工具，以适配多种评估与风险验证方法。

（4）产品为客户提供了实操演练环境和规范化操作流程，助力提升演练人员针对工业信息安全的认知和技能水平。

（5）产品拥有完整的课程体系，同时预置大量实训环境，助力参训人员学习、训练以获得成长提升。此外，产品支持实训环境的自由构建，以满足客户的多样需求。

“工业控制系统信息安全靶场资源管控系统”架构设计采用一体化思想，统筹建设，超前布局，既考虑到已有的信息系统资源，又结合了客户系统未来的建设规划，从系统层面关注纵向、横向，成功实现了大系统的互联、互通、互操作，为靶场综合集成奠定基础。同时，该系统成功满足了客户开展攻防对抗、漏洞挖掘、风险验证、应急演练和培训教育的五大业务需求。

“工业控制系统信息安全靶场资源管控系统”能够调度和管控靶场集成的真实实物工控设备和安全设备，并在虚实结合组网的情况下，快速自动化地实现对工控网络环境的仿真，成功解决了无法在真实环境中对复杂大规模异构网络和用户进行逼真的模拟和测试以及风险评估等问题。此外，系统支持接入全系列或主流工控系统或产品及工业信息安全领域相关检测工具，可利用检测环境进行检测、评估、验证及工业信息安全新技术研究，研发相关检测、评估、验证工具及标准规范。

能源、钢铁、有色、化工、装备制造等关系国计民生的典型行业工业控制系统组成架构千差万别，所面临的安全风险也有所不同，相应安全防护手段或策略也不同，但不同行业又有着共性的漏洞、风险、防范场景，甚至部分控制组件也是相同的。“工业控制系统信息安全靶场资源管控系统”基于这些问题成功实现了共性组件、资源调度和跨网络、跨架构的攻防演练，提供了覆盖分析、设计、研发、集成、测试、评估、运维等全生命周期的保障服务，助力实现了国家工业信息安全能力的整体提升。

参考文献略。