水利背景
水利工程是国民经济基础设施的重要组成部分,在防洪安全、水资源合理利用,生态环境保护、推动国民经济发展等方面具有不可替代的重要作用。水利工程是我国国民经济和社会发展的重要物质基础,长期以来,水利工程在防洪、排涝、防灾、减灾等方面对国民经济的发展做出了重大的贡献,同时在农业灌溉、改善航运、生态环境等生产经营管理中发挥了巨大的作用。
随着我国智慧水利整体规划的推进,水利工程控制系统主要面临着五大严重威胁:
(1)工控设备自身的后门漏洞(未公开披露),包括进口设备和国产设备;
(2)存在高危漏洞(工控系统网络以稳定性为基础,频繁升级补丁软件,给系统的稳定性带来严重威胁),未及时升级;
(3)国家级APT(高级持续性威胁)组织现象,其攻击手段之多、范围之广、强度之高、隐蔽之深都达到了前所未见的水平;
(4)工业病毒:专门针对工业控制系统设计的工业病毒;
(5)无线技术和无线产品的广泛应用,所带来的一些风险。由于水利控制系统的自身特点,在设计开发时,大部分未将系统防护等安全指标纳入其中,而且控制系统网络中大量使用TCP/IP技术,直接与互联网连接,其防护措施薄弱,导致攻击者很容易通过互联网间接入侵工业控制系统。
建设水利靶场的意义主要体现在以下几个方面:
(1)水利部印发《“十四五”水安全保障规划》等系列文件,推进智慧水利建设,强化水利网络安全体系建设;
(2)水利行业工控安全事件频发,亟需提高员工网络安全意识;
(3)现有安全防护措施薄弱,亟需提升工业网络安全防护等级;
针对水利闸门等工控网络业务系统,尤其针对控制业务核心控制层构建工控安全最后一道防线,动态构建资产、通信、业务和指令之间的安全图谱,实时分析网络通信、指令的合法性和合理性,快速发现和拦截非法资产接入、非法指令和“合法不合理指令”等操作,实现对水利闸门等工控资产、安全资产、控制安全的全面管控。保障控制器的安全、稳定运行,确保闸门控制安全。并依托安全管理平台实现安全监测-防护的联动,在发现异常事件时,联动安全防护产品并及时调整防护策略,将威胁拦截在外。
基于闸门等控制业务的深度理解和行业工控靶场实景模拟测试,构建“行业工控行为白名单策略”,实现防护策略与控制指令、运行工艺的有机动态结合,所有安全产品的安全策略契合行业业务运行特点,解决传统安全设备“白名单”机制存在的防护不彻底、针对性不强,因主机失陷带来的“防护”变“掩护”的问题,进一步提升闸门工控网络安全防护精准度,提升闸门控制安全。
N.02典型水利网络靶场场景
博智水利网络靶场典型场景如下图所示:
水利自动化系统网络仿真
依据安全分区、网络专用、横向隔离、纵向加密原则,通过虚拟化交换机、虚拟化防火墙、虚拟化路由器、虚拟化加密装置构建多个网络区域。
水利自动化仿真系统各子系统仿真
模拟水利自动化系统的SCADA系统、LCU控制单元系统、Web信息系统等;
水利系统硬件节点仿真
模拟水利SCADA系统的监控主机、操作员站、通讯机、工程师站、历史服务器、Web服务器、时钟系统、交换机、防火墙、公用LCU、闸门LCU、等虚拟化节点。
水利系统软件仿真
模拟水利自动化系统的数据采集、设备控制、实时数据管理、历史服务、HMI、报表、对时、WEB服务等软件模块。
水利系统接口仿真
模拟SCADA系统服务器、PLC及设备之间的实时数据采集与控制通信接口及其承载的业务功能;支持的协议包括Modbus、IEC60870-5-104、SNTP、IEEE1588、SL651、MQTT、HTTPS等。
水利系统业务功能仿真
模拟水利自动化系统的数据采集及处理、控制和调节、挂牌操作、智能操作票、事故追忆、拓扑着色等SCADA业务以及WEB浏览等访问业务。
3.水利网络靶场核心优势
(1)博智水利网络靶场具备异构资源管理,动态场景构建能力,可统一管理构建各类目标监控系统所需的硬件资源、软件资源、配置资源以及相应方案,用户可根据任务需要,利用既有资源,灵活、动态构建水利自动化系统场景。
(2)博智水利网络靶场具备1:1还原水利自动化系统的能力,真实再现水利自动化系统结构与功能。
(3)博智水利网络靶场具备虚实结合的仿真能力,可接入水利领域不同厂家自动化设备,以及交换机、路由器、防火墙、网闸、加解密装置等真实网络及安全设备。
4.水利网络靶场应用能力
博智水利网络靶场逼真的场景可应用于重大网络安全事件模拟验证、试验鉴定、攻防演练、业务培训等多个场景。
重大网络安全事件模拟验证
博智水利网络靶场可按需构建场景,模拟重大网络安全事件,验证相关网络安全技术。
试验鉴定
博智水利网络靶场可接入真实物理设备、软件系统,为真实物理设备或软件系统全功能运行提供理想的环境。综合利用渗透测试工具,对可全面评估真实设备或软件系统潜在网络安全风险,确定真实设备或软件系统是否满足相关法律法规的规定。
攻防演练
博智水利网络靶场真实再现水利自动化系统结构与功能,网络安全技术人员可针对自动化系统各子系统、软硬件要素、网络要素、协议、网络协议展开实战化演练。
业务培训
博智水利网络靶场提供与网络安全相关的专项工控课程包括典型工控行业介绍、工控安全评估与应急、工控安全政策标准、工控编程组态与系统仿真、工控网络安全防护、工控系统概述与安全态势、工控系统渗透测试、工业通讯协议分析。便于网络安全技术人员开展业务培训。