ICS安全实验室系统架构图

系统简介

为满足大学和科研院所在ICS安全风险演示、人才培养、 攻防演练、夺旗比赛、安全研究等多方面需求,SEAtech基于 现场仿真和虚拟化技术开发了ICS安全实验室,可以根据不同 用户的多种需求实现灵活化、定制化的实验室建设。

根据ICS的特殊性,为了对实际运行的ICS进行安全测试 和攻防实验,搭建一套贴近实际工业运行环境、核心功能完整 的演示系统是当前进行工控网络安全研究最经济、实用、可行 的方案。该实验室平台模拟用户所属行业的典型工控系统环 境,通过在系统上进行深入的漏洞挖掘、攻击路径研究、防护 方法测试,实现对工控系统的漏洞挖掘、攻击效果展示以及安 全防护方案验证。

支持采用最新拟态防御理论的产品用于威胁态势感知和主 动防御产品用于搭建,采用工业安全监控预警平台SSMC实现 对工业设备、安全产品集中配置和集中管理,并通过SSMC对 安全防护的效果进行监控,对异常数据包进行追踪溯源。

系统描述

随着工业设备智能化和信息化与工业化的深度融合,伴随 着物联网、互联网+、工业4.0和工业互联网各种网络应用的普 及,工业网络安全已成为关系到国家安全和社会稳定的重要问 题,ICS安全实验室可以有效满足以下三种需求:

人才需求: 近年来,信息技术已在人类的生产生活中发挥至 关重要的作用,随之而来的网络安全问题也已成为关系国家安 全、经济发展和社会稳定的关键性问题。但由于国内专门从事 工业控制系统网络安全工作技术人才严重短缺,阻碍了我国安 全事业的长远发展。

攻防需求: 随着网络安全的日益发展,网络新型攻击和病毒 形式日益多样化,因此以安全运维、快速响应为目标,以网络 技术为主要手段,提高在网络空间监察、预防、应急处理能力。

研究需求: 以行业信息化、网络安全、保密为主要的出发点, 重点研究信息管理和安全应用,建设新产品开发与验证平台, 研究网络安全取证、溯源、破译、解密等技术。

系统部署

  • 现场仿真平台SP
    Simulation Platform

  • 主动防护平台AD
    Active Defense

  • 验证平台TP
    Test Platform

  • 安全攻击区
    Attack Area

  • 安全防护区
    Defense Area

  • 联合管控中心MC
    Monitoring Center

  • 交互展示区

  • 远程接入区

现场仿真平台SP Simulation Platform

是通过多场景现场仿真和虚拟化设备,虚拟出安全所需场景,如油气长输管线、市政管网、发电、电力调度、轨道交通、先进制造等。本部分包括:

  • 用于模拟工业现场的实景沙盘
  • 用于模拟工业现场的缩微装置
  • ICS监控系统,包含IE、PLC、DPU、ES、OS
  • 工控协议从机/主机可以仿真对其它ICS数据进行采集, 丰富现场的工业通讯协议,对真实设备只能支持少数通 讯协议的缺点进行弥补
  • 网络流量发生器用于模拟现有ICS中正常流量外大量存 在的广播包、不完整包和病毒及恶意流量的现实情况, 更加真实实现状态仿真,防止小流量测试情形下与真实 状态的偏离

能够满足用户在演练和实战时通过接入主动安全防护的设备,如工业防火墙、工业网闸等,按照攻击的实际情况和安全防护要求,生成防护规则,实现主动防护、积极防御,确保ICS的安全稳定和最优运行。工业防火墙和工业网闸均采用中京科技具有自主知识产权的产品,支持多种工业通讯协议的细粒度解析,在多个现场获得长期实际可靠运行经验,并可针对CTF、学生培训、安全研究特殊需求进行适应性开发。

  • 用于模拟工业现场的实景沙盘
  • 用于模拟工业现场的缩微装置
  • ICS监控系统,包含IE、PLC、DPU、ES、OS
  • 工控协议从机/主机可以仿真对其它ICS数据进行采集, 丰富现场的工业通讯协议,对真实设备只能支持少数通 讯协议的缺点进行弥补
  • 网络流量发生器用于模拟现有ICS中正常流量外大量存 在的广播包、不完整包和病毒及恶意流量的现实情况, 更加真实实现状态仿真,防止小流量测试情形下与真实 状态的偏离

大量COTS技术的采用,ICS自身的漏洞和攻击面日益增大。一旦某些较严重的漏洞被攻击者发现利用,可能导致ICS失效、破坏其所控制的CII正常运转,甚至产生灾难性后果。由于漏洞问题可能引发的严重后果,使得漏洞挖掘成为ICS安全研究的重点工作之一。

  • 用于模拟工业现场的实景沙盘
  • 用于模拟工业现场的缩微装置
  • ICS监控系统,包含IE、PLC、DPU、ES、OS
  • 工控协议从机/主机可以仿真对其它ICS数据进行采集, 丰富现场的工业通讯协议,对真实设备只能支持少数通 讯协议的缺点进行弥补
  • 网络流量发生器用于模拟现有ICS中正常流量外大量存 在的广播包、不完整包和病毒及恶意流量的现实情况, 更加真实实现状态仿真,防止小流量测试情形下与真实 状态的偏离

多个攻击座席通过攻击工具实现红军攻击。攻击平台已经录制多种自动攻击的数据包并可自动回放进行攻击,提供常用的针对组态软件WebServer和工业设备的攻击工具方便攻击者进行攻击。

  • 用于模拟工业现场的实景沙盘
  • 用于模拟工业现场的缩微装置
  • ICS监控系统,包含IE、PLC、DPU、ES、OS
  • 工控协议从机/主机可以仿真对其它ICS数据进行采集, 丰富现场的工业通讯协议,对真实设备只能支持少数通 讯协议的缺点进行弥补
  • 网络流量发生器用于模拟现有ICS中正常流量外大量存 在的广播包、不完整包和病毒及恶意流量的现实情况, 更加真实实现状态仿真,防止小流量测试情形下与真实 状态的偏离

多防护座席通过防护工具实现蓝军防护。提供多种防护预案实现快速应急响应,通过多数据采集、信息收集实现情报生成和预警功能。

  • 用于模拟工业现场的实景沙盘
  • 用于模拟工业现场的缩微装置
  • ICS监控系统,包含IE、PLC、DPU、ES、OS
  • 工控协议从机/主机可以仿真对其它ICS数据进行采集, 丰富现场的工业通讯协议,对真实设备只能支持少数通 讯协议的缺点进行弥补
  • 网络流量发生器用于模拟现有ICS中正常流量外大量存 在的广播包、不完整包和病毒及恶意流量的现实情况, 更加真实实现状态仿真,防止小流量测试情形下与真实 状态的偏离

实现攻防演练场景预设,过程监控、数据存储和回放,理清事件先后顺序,更好的透过现象看到攻防真实过程,对造成ICS安全事件追踪溯源。

  • 用于模拟工业现场的实景沙盘
  • 用于模拟工业现场的缩微装置
  • ICS监控系统,包含IE、PLC、DPU、ES、OS
  • 工控协议从机/主机可以仿真对其它ICS数据进行采集, 丰富现场的工业通讯协议,对真实设备只能支持少数通 讯协议的缺点进行弥补
  • 网络流量发生器用于模拟现有ICS中正常流量外大量存 在的广播包、不完整包和病毒及恶意流量的现实情况, 更加真实实现状态仿真,防止小流量测试情形下与真实 状态的偏离

交互展示区:通过大屏幕展示网络拓扑、网络状态、态势感知和攻击方式、防护策略和效果以及动态攻防过程、攻防此消彼长过程和结果以及检查ICS漏洞加固效果。

  • 用于模拟工业现场的实景沙盘
  • 用于模拟工业现场的缩微装置
  • ICS监控系统,包含IE、PLC、DPU、ES、OS
  • 工控协议从机/主机可以仿真对其它ICS数据进行采集, 丰富现场的工业通讯协议,对真实设备只能支持少数通 讯协议的缺点进行弥补
  • 网络流量发生器用于模拟现有ICS中正常流量外大量存 在的广播包、不完整包和病毒及恶意流量的现实情况, 更加真实实现状态仿真,防止小流量测试情形下与真实 状态的偏离

远程接入区:能够满足用户远程接入进行7*24小时的测试和研究,并模拟仿真来自办公网、校园网和互联网的攻击。

  • 用于模拟工业现场的实景沙盘
  • 用于模拟工业现场的缩微装置
  • ICS监控系统,包含IE、PLC、DPU、ES、OS
  • 工控协议从机/主机可以仿真对其它ICS数据进行采集, 丰富现场的工业通讯协议,对真实设备只能支持少数通 讯协议的缺点进行弥补
  • 网络流量发生器用于模拟现有ICS中正常流量外大量存 在的广播包、不完整包和病毒及恶意流量的现实情况, 更加真实实现状态仿真,防止小流量测试情形下与真实 状态的偏离
现场仿真平台SP(Simulation Platform)
主动防护平台AD(Active Defense)
验证平台TP(Test Platform)
安全攻击区(Attack Area)
安全防护区(Defense Area)
联合管控中心MC(Monitoring Center)
交互展示区()
远程接入区()

ICS网络靶场系统管理软件

场景管理

  • 满足灵活重组、快速重构的要求,场景转换时间≤2小时支持设备自动发现
  • 支持场景自动匹配:将自动发现的设备与场景库关联
  • 提供基于Web的拓扑可视化界面

还原设置

  • 任意情况下一键还原至系统初始状态,还原时间≤2小时

控制器配置文件下发

  • 支持西门子、AB、施耐德PLC逻辑组态文件下发、上载
  • 支持对西门子、AB、施耐德PLC指令下发、运行和停止

攻击过程记录

  • 支持全流量抓包
  • 单包容量2G,总抓包容量仅受服务器硬盘限制

攻击过程回放

  • 支持PCAP、PCAPNG数据包载入回放
  • 支持对数据包进行选择
  • 支持数据包按照五元组进行筛选,重新封包回放

场景支持

  • 变电站监控系统
  • 火电厂主辅控系统
  • 长输油气管线SCADA系统
  • 轨道交通监控系统

ICS安全性验证工具

ICS面临的安全风险越来越大,集团式攻击越来越多,造 成的损失日益严重,对其攻击过程的技术机理有些还不十分清 楚。因此,探求ICS和设备的攻击技术机理,模拟重现攻击过 程十分重要,对这些技术机理的掌握既可以作为攻防对抗中攻 方攻击工具、也可以供防护方作为提升防护手段研究使用,还 可以用于提升产品自身的安全性,所以对攻击方拟采用技术的 机理研究和技术实现方法研究也是针对ICS安全研究的重要一 环,在现实条件下益发重要。