1 項目概況

本次電力行業高仿真虛擬化融合工控安全實驗室（以下簡稱：實驗室）建設項目，以技術深度、演練環境、案例展示的深化和定制化為主要內容。通過本項目的建設，以及圍繞實驗室的沙盤建設、工控案例定制化、組態軟件及DCS、PLC系統的對接，將各類虛擬資源和物理資源納入到靶場管理平臺中，為電力行業的工控安全提供分析、設計、研發、集成、測試、評估、運維等全生命周期保障服務，解決無法在真實環境中對復雜大規模異構網絡和用戶環境進行逼真的模擬和測試及風險評估等問題，實現電力行業工業信息安全能力的整體提升。

從虛擬化融合靶場的功能角度，木鏈科技為用戶提供了工業控制系統控制過程模擬、工業控制系統操作環境體驗、工業控制系統人員學習培訓、工業控制系統故障模擬演練、工業控制系統控制策略研究、工業控制系統信息安全實驗、關鍵控制器的安全防護技術研究與測試、漏洞掃描、攻防演練等具體功能。

從系統設計的角度，分為電力行業工控場景網絡聯動、工控組件管理系統、攻防資源管理系統、工控攻防演練系統、演練效果展示系統、工控安全場景系統、培訓教育系統建設、攻擊案例系統開發九個方面，通過不同系統之間的組合與協同，完成電力行業高仿真虛擬化融合工控安全實驗室的高質量交付。

1.1 項目背景

1.1.1 兩化融合的推進

2017年，工信部以實施制造強國和網絡強國戰略為目標，堅持總體國家安全觀，以落實企業主體責任為關鍵，緊緊圍繞新時期兩化深度融合發展需求，重點提升工控安全態勢感知、安全防護和應急處置能力，促進產業創新發展，建立多級聯防聯動工作機制，為制造強國和網絡強國戰略建設奠定堅實基礎。確保信息安全與信息化建設同步規劃、同步建設、同步運行。

 1.1.2 等級保護工控安全擴展要求

等保2.0的發布有助于提高工控信息安全保障能力和水平，維護企業生產利益，保障和促進信息化建設健康發展，使工控信息系統安全建設更加突出重點、統一規范、科學合理，對促進我國工控信息安全的發展將起到重要推動作用。

 1.1.3 國能安全36號文件要求

國家電網公司積極落實《電力監控系統安全防護規定》（國家發展和改革委員會 2014年第14號令）及《關于印發電力監控系統安全防護總體方案等安全防護方案和評估規范的通知》（國能安全〔2015〕36號）的要求，主要從“安全管理、測評保障、技術布防、安全監測”等四個方面加強對電力工 控安全防護的支撐保障。

1.2 項目目標

本次針對電力安全方向的工控安全仿真環境建設項目，以提升電力行業工控安全業務能力，保障電力行業工控安全防護，加強電力行業安全意識，培養電力行業復合型工控安全人才，支撐電力行業工控安全攻防演練及技術研究、項目研究為主要目標。

2 項目實施

2.1 電力工控場景網絡聯動思路介紹

常見的仿真測試演練的網絡分為三層：操作層、控制層、設備層。

（1）操作層

操作層網絡連接的硬件設備包括工程師站、操作員站、攻防測試機、數據服務器、IDS、漏洞掃描平臺等，負責工業控制系統實時數據的傳輸和監控、設備的集中管理以及漏洞掃描、攻擊行為的模擬等操作。

（2）控制層

控制層網絡連接的硬件設備包括電力行業中常用的PLC和DCS設備，未來還會納入更多專用設備。負責對設備層的基礎設備進行相應的操作和控制，并將數據結果上報操作層。在執行層和操作層之間部署區域防火墻，用于防護執行層的關鍵設備不受到非法攻擊及非法數據篡改等。

（3）設備層

設備層網絡連接具體的工業現場設備，如閥門、電機、溫度控制等。通過這些設備和工控系統中的主要控制設備PLC、DCS組建多個最小化但具有代表性的電力行業工業控制環境，實現工業現場的生產工藝和生產過程模擬。

2.2 核心軟件資源介紹

實驗室的主要組成軟件包括動態系統仿真軟件、系統結構組態軟件、控制策略組態軟件、人機界面組態軟件、數據中心管理軟件、攻防演練攻擊套件。

（1）系統結構組態軟件

系統結構組態軟件用于工業控制系統的結構配置與組態，以面向控制對象的組態形式，采用多級編碼結構，系統數據層次分明。以設備為基本組成單位，提供標準的設備模板庫，幫助用戶迅速構建出工程管理架構和I/O體系。將工業自動化系統的所有數據信息以設備為集合，有效提升了對數據信息的管理和維護的效率。

（2）控制策略組態軟件

控制策略組態軟件用于控制算法構建、裝載、監控與調試，將各種不同的控制算法封裝為控制組態元件后，按照一定的拓撲排列演化出千變萬化的控制策略，能夠適應各種不同的控制類型，為不同行業用戶提供了一個標準、通用的組態環境。

（3）人機界面組態軟件

人機界面組態軟件用于人機交互環境構建與生產控制過程的實時監控。通過人機界面組態元件，將種類繁多的工藝設備抽象為有限個組態元件，形成無腳本組態實現方式；同時提供實時趨勢、歷史趨勢、實時報警、歷史報警、操作日志、智慧導航、操作記憶、CCTV智能聯動等功能，為運行人員的操作提供了極大的便利。

（4）數據中心管理軟件

數據中心管理軟件針對現場數據進行統一管理，為整個過程控制系統的過程數據提供大容量的數據存儲和服務，同時提供外部接口，是工業控制系統的數據管理中心。

（5）動態系統仿真軟件

動態系統仿真軟件用于模擬工業生產現場各設備的運行，并通過模型參數的不斷修正調整，實現仿真系統與實際系統的一致性。

（6）攻防演練攻擊套件

攻防演練攻擊套件用于對目標業務系統中的PLC、DCS、上位機、工程師站、數據服務器等做模擬攻擊。

2.3 虛擬化融合靶場工控組件管理系統

工控組件是實驗室中最基礎的資源，工控組件管理系統作為工業信息安全實驗室系統的基礎支撐環境，集成了存儲、管理一切實驗室環境及流程任務需要的軟硬件組件，其中包括工控設備、網絡設備、SCADA系統、組態軟件、網絡安全設備、協議仿真器、軟PLC等。工控組件資源與接入架構如圖1所示。

圖1 工控組件資源與接入架構

這些組件的創建、使用、管理主要利用了虛擬化技術，在本項目中工控組件的資源存在兩種類型：

（1）內置模版

針對軟件（SCADA/工業數據庫/協議仿真/軟PLC）類型，通過將對應的軟件安裝到攜帶有對應Windows/Linux/Unix/BSD操作系統的虛擬機（VM）上，并形成標準OVF模版，以便管理、備份、恢復。

（2）真實工控設備接入

硬件（工控設備/PLC/HMI/交換機/路由器）通過以太網接入到虛擬化環境的VM Network上，使接入的真實工控設備可以訪問虛擬機系統，也使得虛擬化環境內的VM系統可以訪問工控設備。

本實驗室的所有軟件應用和操作系統資源通過虛擬化的虛擬機并使用OVF統一管理。

實驗室支持和內置多種操作系統的虛擬機，所有SCADA、協議仿真軟件、軟PLC軟件均不需要用戶自行安裝，平臺內置的組件與模版均已完成安裝，用戶只需自行恢復對應的組件到運行態即可，平臺同時提供多種操作系統資源（Win/Linux），供用戶自行安裝其他應用。

2.4 虛擬化融合靶場攻防資源管理系統

攻防資源管理系統主要由多個攻防測試資源組成，這些資源以數據庫和主機服務資源形式存在，用戶可以在實驗室的環境內遠程調用。攻防資源管理系統在現有的基礎測試環境上提供了攻擊、防御、測試等多種資源，用戶可以根據需求進行整合和利用。

2.5 漏洞庫

截至2021年4月，根據中國國家信息安全漏洞共享平臺CNVD（ics.cnvd.org.cn）所發布的漏洞信息，工控系統行業漏洞總數有3166條，攻防資源管理系統的漏洞庫內置了CVE、CNVD和CNNVD最新的工控系統漏洞信息，支持自動爬取最新的漏洞條目信息，從而保持資源管理系統漏洞庫保持最新狀態。

2.5.1 靶場漏洞專用攻擊程序列表（如表1所示）

表1 靶場漏洞專用攻擊程序

2.6 工控攻防演練系統

攻防演練主要是以攻擊對抗的思路掌握黑客攻擊各階段常用的攻擊方法和原理，尋找對相應網絡攻擊的防護策略和手段。

在攻防演練系統中，一方面可以實現攻防方法的演示再現，甚至對抗性的攻防演練；另一方面，將實際攻防對抗的操作中產生的攻擊行為限制在一定的范圍內，防止對互聯網的實際網絡和服務造成干擾和破壞。

攻防演練系統就是要解決網絡攻防的演示和實驗操作環境方面的問題。攻防演練系統作為工業信息安全實驗室的主要環境，一方面選擇了某些實驗內容并搭建適當的環境，對攻防演示和課程相關的驗證性實驗提供特定場景；另一方面為工控安全知識的應用提供了綜合實驗環境，支持攻防對抗演練。

在本攻防演練場景中靶機環境存在難度級別和漏洞危害程度各異的靶機，而在完成整個攻防演練時系統將會參考兩套評分標準對攻防對抗的多方進行評分與評判。

（1）通用安全評分體系（CVSS）

CVSS 2.0由基礎得分、臨時得分和環境得分構成。基礎得分評價漏洞自身的嚴重等級，不受時間和環境（應用場景）因素的影響，其評分的主要度量值為訪問形式、訪問復雜性、認證、機密性影響、完整性影響、可用性影響。臨時得分根據漏洞被利用的時間窗的風險大小來評分，主要度量值為可利用性、修復級別、報告的可信度。環境得分通常由最終用戶根據自己的使用場景給出，作為最終風險管理的參考，其評分的主要度量值為附帶損害、目標分布、安全需求。基本得分和臨時得分通常由安全產品賣主、供應商給出，因為他們能夠更加清楚地了解漏洞的詳細信息，環境得分通常由用戶給出，因為他們能夠在自己的使用環境下更好地評價該漏洞存在的潛在影響。

（2）通用漏洞評分方法（Common VulnerabilityScoring Method，CVSM）

由于漏洞評分在應用時依賴于基礎得分，所以該方法主要研究區別于基礎得分的度量值和計算，臨時得分和環境得分與CVSS相同。CVSM的評分體系如表2所示。

表2 CVSM評分體系

2.7 演練效果展示系統

展示系統由電視墻、矩陣控制器和實物沙盤的攝像頭等硬件系統組成，其目的是將攻擊操作區、現場仿真區、工控信息安全區和控制操作區這四個區域實際情況進行集中展示。由于展示系統中的電視墻是由多塊屏幕拼接組成的大屏幕，還可統一展示實驗室的介紹視頻等內容，為參觀者提供豐富直觀的展示效果。具體展示效果如圖2、圖3、圖4、圖5所示。

圖2 攻擊操作區

圖3 工控信息安全區

圖4 現場仿真區

圖5 PLC控制操作區

2.8 攻防場景引擎系統

結合總體設計場景需要，將已經采購的產品劃分成攻擊操作區、現場仿真區、工控信息安全區、控制操作區。

 · 攻擊操作區：電腦一臺，接入局域網，可實現對實驗室所有設備統一管理的方案，并在上面部署若干個攻擊工具。

· 現場仿真區：電腦一臺，需根據案例場景開發現場仿真軟件，以展示整個工廠的布局和攻擊植入點。

· 工控信息安全操作區：電腦一臺，可連接工控信息安全統一管理平臺，配置所有實驗室工控信息安全產品，展示所有工控信息安全產品的告警事件和日志，形成工控信息安全管理中心。

· 控制操作區：電腦一臺，展示控制系統的組態軟件。

其中控制操作區的界面如圖6所示。

圖6 控制操作區界面

2.9 培訓教育系統建設

針對電力行業網絡安全人才培養過程中，培訓人員實操能力無便捷和體系化支撐平臺的問題，建設網安人才的實操教育體系，建設方案如下：

（1）電力行業網安人才實驗課程體系建設

實驗課程體系分為信息安全基礎、系統安全、軟件安全、安全編程、Web安全、企業安全、惡意代碼、數據安全、網絡安全。通過數據安全學習掌握各種加密算法的原理及常用加解密工具的使用。通過系統安全的學習掌握各種操作系統的安全配置、安全審計、容災和備份。通過網絡安全專業課程的學習掌握注入的實現與防御、網絡攻擊的方法與防御、移動設備的攻擊與防御、安全類軟件的配置以及網絡安全工具的使用。通過軟件安全的學習，掌握常用的腳本語言、分析工具的使用、惡意代碼編寫與防護、存在安全隱患的代碼分析。通過綜合的實戰，加強技能，鞏固理論知識。

（2）電力行業網絡安全能力評估體系建設

基于知識點評估、能力評估和崗位評估三個層級，設計網絡安全的評估體系。以由網絡環境、角色、任務三個方面組成的場景作為能力評估的載體。在知識點層級建設單個的滿足技能考評需要的實驗場景；在能力評估層級，構建一組經過編排的具有對單一能力進行支撐的場景；在崗位能力評估層面，則建立一組經過編排的對多種能力進行支撐的場景。場景的任務定義了任務目標以及任務完成的驗證方式和能力的評估方法，以支持量化的能力評估。

2.10 攻擊案例系統開發

結合工控信息安全現狀和所建設的場景，本項目過程中已實現以下幾個場景：

（1）“震網”病毒事件：通過移動介質，將病毒帶入控制系統，最終實現現場操作和控制系統界面的不一致，從而欺騙控制管理人員，造成實際的工業安全事件。

（2）烏克蘭電廠事件：從管理網絡入侵，散布到工控環境，發動網絡風暴攻擊，并實現短時間內無法清除、反復發作的狀況。

結合案例庫，本項目還開發了實驗室展示匯報材料和應急預案演練方案，為電力行業進一步推進工控信息安全工作提供高仿演練環境，使用戶在部署工控信息安全解決方案以前，可以開展完整的仿真實驗和系統性的實操培訓，為全行業進入工業互聯網階段打下堅實的基礎。

3 案例亮點

（1）提出了網絡靶場高擴展體系的基本標準，包括網絡靶標統一描述標準、異構異域靶場互聯標準、實現應用服務與用戶行為模擬描述與接口標準、攻擊行為仿真測試描述標準、網絡安防策略仿真描述與接口標準、多源數據采集接口標準、聯動數據分析框架接口標準、多維網絡安全態勢展示框架接口標準。通過這些標準，網絡實驗室可以實現高度的開放性和融合性，可創建并維護良好的靶場生態環境。

（2）高可伸縮、可擴展的虛實互聯仿真技術。針對高可伸縮、可擴展目標網絡構建需求，以全虛擬化、輕量級虛擬化為基礎，通過實物節點的靈活可配置透明接入、模擬節點IP報文級的透明接入，實現實物網絡節點、全虛擬化節點、輕量級虛擬化節點、離散事件模擬節點4種可伸縮虛實互聯仿真，有效兼顧了仿真成本與仿真規模。

（3）學員能力評估。通過基于知識點評估、能力評估和崗位評估三個方面，設計網絡安全的評估體系，采用支撐場景來支持評估體系的實施，并抽象場景的操作結果。設計防偽的驗證方法和能力評估算法，自動和半自動完成對評估對象的能力評估。