今日頭條
官方微信
官方抖音
案例頻道★烽臺科技(北京)有限公司訾立強,李璐吉
關鍵詞:工業網絡安全;攻防演練;安全靶場管控;工業控制系統安全測試驗證
1 項目概況
1.1 項目背景
通信行業是一個快速發展且動態變化的領域,其特點可以歸納為技術創新、全球化、快速發展和不斷變革。隨著科技的不斷進步,通信技術也在不斷升級和創新,從傳統的有線通信向無線通信、5G、物聯網等新技術的發展演進,不斷提高了通信網絡的效率、速度和覆蓋范圍,推動了通信行業的迅速發展。通信行業具有強烈的國際性和全球化特征,通信網絡能夠將全球各地連接起來,促進信息和數據的全球流動。通信行業在信息時代扮演著不可或缺的角色,是連接全球、推動數據傳輸和信息交流的核心基礎設施,其地位不斷在上升。它對全球互聯互通、經濟增長、社交互動和危機應對都具有深遠的影響,逐漸成為現代社會的支柱之一。
中國移動通信集團貴州有限公司(以下簡稱“貴州移動公司”)于1999年正式成立運營,是中國移動通信集團在貴州設立的全資子公司。隨著公司的高速發展,網絡安全威脅形勢日趨嚴峻,安全監管考核要求越來越嚴格,集團公司以及各省、自治區、直轄市公司亟需加強網絡安全相關工作。為貫徹黨中央“以新安全格局保障新發展格局”的戰略部署,圍繞公司“一二二五”戰略實施思路和網絡暨網絡安全工作會要求,貴州移動公司建設了集工控領域安全競賽、滲透測試、安全培訓、系統仿真能力于一體的工控網絡攻防靶場平臺,全面提升了貴州移動公司工控安全攻防靶場能力。
1.2 項目簡介
面對日趨嚴峻的網絡安全威脅形勢和越來越嚴格的安全監管考核要求,集團公司以及各省、自治區、直轄市公司亟需加強網絡條線網絡安全工作。為構建新型安全集中支撐能力,貴州移動公司建設了攻防靶場工控安全方向分平臺。
結合省內工控靶場系統建設現況,本項目擬解決以下痛點問題:
(1)省內運營商無工控網絡靶場建設能力;
(2)省公司工控安全攻防靶場能力不足;
(3)填補集團工控安全攻防靶場缺口;
(4)工控網絡安全能力拓展、價值賦能增強、人才團隊能力提升;
(5)省工控網絡靶場不具備與集團一級平臺進行對接的能力,不具備與外部平臺能力聯動滿足集團考核上報的要求。
1.3 項目目標
本項目實施目標為構建省公司新型安全集中支撐能力、響應集團公司SOC攻防實戰平臺安全培訓和競賽訓練功能建設要求、護航集團公司業務發展、助力集團攻防靶場能力建設。本項目在貴州公司將開展工控領域安全競賽、滲透測試、安全培訓以及系統仿真靶場等工作,為貴州移動工控網絡攻防靶場平臺支撐服務項目,提供必要的技術、實物、人員等現場支撐和保障,協助貴州移動完成工控網絡靶場支撐服務,并組織開展工業信息安全培訓、競賽活動等相關工作。
本項目重點實施的集團SOC攻防靶場分平臺包括了工控網絡靶場模塊、工業信息安全競賽模塊、工業信息安全實訓模塊三大模塊,涵蓋了工控領域安全競賽、滲透測試、安全培訓以及系統仿真等方面。本項目定位為建設集團工控安全靶場分平臺,并由集團公司對分平臺進行整體管控,實現覆蓋用戶架構、靶場攻防實訓信息以及VPN權限資源等維度的一體化管理。
2 項目實施
2.1 主要內容及功能
貴州移動公司工控網絡攻防靶場平臺建設項目的主要內容如下:
(1)為集團提供工控安全攻防能力,完成分平臺與集團靶場的數據上報及統一管理,實現貴州移動公司工控網絡攻防靶場平臺與集團靶場的對接;
(2)(2)在貴州構建新型安全集中支撐能力,建設安全數據匯聚能力和攻防實戰靶場;
(3)(3)在貴州公司開展工控領域安全競賽、滲透測試、安全培訓以及系統仿真平臺,為集團攻防靶場提供貴州本地化工控安全攻防能力,賦能集團、省公司開展攻防靶場相關業務;
(4)加強省公司網絡安全工作;
(5)有效支撐貴州移動公司工控網絡攻防靶場平臺安全競賽訓練(工控競賽)、滲透測試靶場(工控安全)、安全培訓(工控安全)、系統仿真(工控)的各項業務需求和發展。
2.2 技術方案
(1)項目目標
本案例的建設目標主要是為貴州移動公司提供工控網絡攻防靶場建設,該案例包括了工控網絡靶場模塊、工業信息安全競賽模塊、工業信息安全實訓模塊三大模塊,涵蓋了工控領域安全競賽、滲透測試、安全培訓以及系統仿真等方面。該案例主要設計目標是設計一個集安全競賽訓練(工控競賽)、滲透測試靶場(工控安全)、安全培訓(工控安全)、系統仿真(工控)于一體的工控網絡攻防靶場。
本案例通過建設如上功能靶場與集團公司攻防靶場聯動,實現重要系統數據共享接口的常態化管控,大力推進安全自主創新和核心能力內化,做好手段支撐和數據安全,開展新型安全服務能力探索,構筑面向新型信息基礎設施的安全防護能力,為公司業務發展保駕護航。
(2)項目需求面對日趨嚴峻的網絡安全威脅形勢和越來越嚴格的安全監管考核要求,中國移動通信集團有限公司以及各省、自治區、直轄市公司亟需加強網絡安全工作,打造貴州公司工控安全攻防靶場能力,同時構建省公司新型安全集中支撐能力,以滿足上級監管部門考核數據上報要求及省內安全需求。
(3)靶場基本功能架構設計貴州移動工控網絡攻防靶場平臺主要由數據展示層、安全實訓層、競賽資源層、基礎資源層、數據接口層等功能組成,具體如圖1所示。
圖1 靶場基本功能架構
(4)靶場基本技術架構設計本案例建設的集團SOC攻防靶場分平臺工控網絡攻防靶場平臺主要由工控網絡靶場模塊、工業信息安全競賽模塊和工業信息安全實訓模塊組成,可以完成靶場資源仿真環境搭建、攻防競賽應用支撐及安全實訓能力支撐等工作。其中,工控網絡靶場模塊主要提供工控仿真場景支撐;工業信息安全競賽模塊依托工控網絡靶場模塊用于相關賽事支撐;工業信息安全實訓模塊用于人才培養。三大模塊構成SOC攻防靶場分平臺工控網絡攻防靶場能力建設體系,具體如圖2所示。
圖2 靶場基本技術架構
(5)平臺對接能力本案例按照規范定制化開發單點登錄集成能力,滿足了平臺單點登錄集成要求,工控網絡攻防靶場平臺可以通過CAS單點登錄,提高了平臺工作效率。
(6)工控網絡攻防靶場平臺部署情況本項目從可拓展性、技術要求成熟度、建設周期和難度、管理和維護、安全性等多方面進行綜合考慮,依據原有平臺功能滿足考核要求方面分析得出,利舊中國移動通信集團貴州有限公司天巡實驗室服務器資源和網絡資源,依據建設所需資源在現有資源基礎上對其進行擴容,靶場采用物理機的方式進行部署,目前已部署完成。
2.3 難點及應對方法
2.3.1 難點
面對日趨嚴峻的網絡安全威脅形勢和越來越嚴格的安全監管考核要求,中國移動通信集團公司以及各省、自治區、直轄市公司亟需加強網絡條線網絡安全工作。我們通過分析省內工控靶場系統建設現況,發現本項目實施主要有以下難點:
(1)省內運營商無工控網絡靶場建設基礎;
(2)省公司工控網絡靶場不具備與集團一級平臺的接口進行對接的能力,不能實現與上級平臺能力聯動及滿足集團考核上報要求;
(3)多尺度融合仿真;
(4)超百人級培訓、演練、競賽性能支撐。
2.3.2 應對方法
(1)貴州移動工控網絡攻防靶場平臺的建設,可彌補省內運營商無工控網絡靶場建設基礎的空缺。
(2)貴州移動工控網絡攻防靶場平臺能力提升項目通過定制化單點登錄集成與平臺接口,為貴州移動工控網絡攻防靶場平臺提供了靶場平臺對接能力,實現了重要系統數據共享接口的常態化管控。
(3)本案例采用全虛擬化節點(采用KVM技術),通過虛擬節點和實物節點的協同工作實現虛擬與實際工控設備的物理連接;通過離散事件模擬節點集成,制定標準的通信協議和接口,確保所有節點(虛擬、實際和離散事件模擬節點)都支持IPv4協議的數據通信;開發自動化工具和腳本,確保生成的網絡場景可以迅速部署和啟動。
(4)本案例將貴州移動工控網絡攻防靶場平臺原有的單臺硬件配置12核CPU、內存512GB、硬盤6TB的服務器硬件配置擴容至26核CPU×2、內存512GB、系統盤960×2GB、存儲盤2.4T×8GB,可同時運行120臺靶機資源,可支撐地方、省級、國家級大型賽事。
2.4 應用效果
2.4.1 產品部署效果
(1)產品應用方式
地方級賽事支撐:2023年黔東南州青年職業技能大賽、2023年中國移動黔西南分公司第一屆“金移菁鷹杯”網絡安全技能競賽。
國家級賽事支撐:2022年第六屆工業信息安全技能大賽復賽。
(2)產品應用效果
賽事資源管控:通過多維度的賽事資源管理能力,為比賽提供賽制、賽題、試卷等管理能力,以及比賽任務下發的能力。同時提供在黑盒滲透模式中的場景資源管控能力,滿足企業對比賽的多重管理需求,如圖3、圖4、圖5所示。
圖3 賽事資源管控
圖4 賽事資源管控
圖5 賽事資源管控
賽事管控能力:裁判可以通過賽事裁判模塊對參賽選手提交賽題過程進行監控,對選手答題記錄進行審核;可按照隊伍和比賽場次、時間節點等篩選條件對賽題進行篩選,對參賽選手進行監控;可通過觀看反作弊監控記錄,判定場景中的規則是否被遵守,并對可疑隊伍進行研判,檢測是否存在作弊行為或執行處罰措施,保障裁決的公平公正性,如圖6所示。
圖6 賽事管控
2.4.2 安全威脅應對方案
本案例建設的貴州移動工控網絡攻防靶場平臺可針對企業網絡以及設備進行虛擬化,可還原企業真實網絡并進行安全威脅應急演練和漏洞驗證,同時可提供真實設備接入功能,極大程度地模擬了企業網絡真實度。企業可通過工控網絡攻防靶場平臺對自身網絡以及設備進行安全演練,避免了影響企業自身網絡的正常業務行為。本案例提供了多個安全威脅應對方案,一是企業可通過模擬自身網絡,面對社會開放攻防競賽,彌補自身漏洞;二是企業可內部培訓相關人才,開展人才培養工作;三是企業可定期開展應急演練工作,培養企業人員安全意識與應急能力。
2.4.3 下一步優化實施計劃
(1)本項目下一步計劃優化平臺組件虛擬化程度,大幅度提升組件的標準化和真實化;平臺將優化各模塊的操作方式,進一步優化業務的流程,從而提高系統的可操作性和可靠性。
(2)由于省內絕大多數工業企業遵循傳統安全防護模式,難以應對當前工業信息安全攻擊手段,因此項目形成的工控網絡安全解決方案計劃覆蓋到全省,同時逐步覆蓋到周邊省份,以提高更多工業企業的安全防護能力。
(3)利用平臺具備的工業網絡安全實驗室聯合國家和省級網絡安全主管單位共同舉辦不同級別的工業網絡安全攻防比賽,并聯合高校和行業主管部門定期舉行行業網絡安全人才培訓班,以及和國家行業有關實驗室組建網絡安全聯合實驗室。
3 案例亮點及創新性
3.1 案例亮點
(1)在技術先進方面:本項目基于網絡虛實結合構建技術擴大了仿真資源的利用率及共享率,實現了細粒度的資源共享能力,同時具有較強的協同、容錯和安全應用機制,對虛擬化技術具備良好的支持度,并利用多級控制層的實體網絡快速配置技術實現了更便捷的仿真資源調度與配置,最后通過高并發的分布式場景實例構建技術實現了大型復雜環境下的網絡環境構建。
(2)在行業發展方面:本項目可本地部署,可基于本地基礎資源層,輻射全省各地進行工控設備安全測評和驗證,對提升行業工控安全具有重要意義。
3.2 創新點
本項目結合競賽、演練和培訓,提供了一個多維度的平臺,培養了實戰技能,促進了協同工作,深化了企業對工控網絡威脅的認知,提高了工控系統的抗攻擊能力。
3.3 推廣價值
本項目可滿足地方、省級及城市級的工控安全能力提升需求,可提高對網絡事件的應對速度和質量,并推動工業網絡安全的發展。
3.4 經濟效益
(1)從信息安全服務提供商維度,可擴展和區分投資組合并增加收入。
(2)從高校人才培養維度,可提供創新的實踐網絡學位課程,畢業生可加速進入成功的職業生涯。
(3)從政府部門維度,可加速網絡安全專業人員的認證,可側重提升公共部門事件響應小組應對網絡攻擊的能力。
(4)從企業維度,可提升企業的事件響應團隊技能,可評估新員工并加速入職。
3.5 社會效益
本項目彌補了貴州省內移動公司在工控網絡安全靶場建設、團隊人才實操能力培養等方面的空缺,進一步提升了省內工控安全的防護水平,影響和帶動了相關行業在工控網絡攻防靶場平臺方面的建設,提升了工控網絡安全靶場平臺的輻射服務能力,培養了一批從事相關行業企業工控網絡安全靶場平臺系統設計、實施、運維及服務的專業技術人才。
作者簡介:
訾立強(1990-),男,河北秦皇島人,碩士,現就職于烽臺科技(北京)有限公司,主要從事工業信息安全方面的研究。
李璐吉(1996-),男,四川成都人,學士,現就職于烽臺科技(北京)有限公司,主要從事工控安全、監測運營方面的研究。
摘自《自動化博覽》2024年7月刊
北京市公安局海淀分局備案號:11010802023656號