1、信息与工业控制安全实验室规划设计方案1控系统安全实验室规划方案1.术语、定义和缩略语2.信息与工控系统安全实验室概述2.1信息与工控系统安全实验室建设背景 2.1.1信息系统现状及主要威胁 2.1.2工控系统现状及主要威胁 2.1.3信息与工控系统安全实验室建设目的及意义3.1信息安全实验室主要研究方向和实验内容3.1.1操作系统安全研究方向和实验内容3.1.2数据库安全机制研究方向和实验内容3.1.3身份认证研究方向和实验内容.3.1.4计算机病毒攻防研究方向和实验内容3.2网络安全主要研究方向和实验内容 .3.2.1入侵检测与攻防研究方向和实验内容3.2.2防火墙研究方向和实验内容 3.2
2、.3漏洞扫描研究方向和实验内容.3.2.4 WEB攻防研究方向和实验内容 .9103.2.5无线攻防研究方向和实验内容.3.3工控安全研究方向和实验内容 3.3.13.3.23.3.33.3.43.3.53.3.6工控系统漏洞挖掘研究方向和实验内容 工控系统攻防研究方向和实验内容 安全DCS PLG SCADA系统研究方向和实验内容 企业工控安全咨询评估 企业工控安全培训 对外交流和联合研究 1010111112124. 信息与工控系统安全实验室组织与运行5. 信息与工控系统安全实验室建设计划1.术语、定义和缩略语工业控制系统:(industrial control system,ICS ):
3、对工业生产过程安全、信息安全和可靠运行产生的作用和影响的人员、硬件和软件集合。信息系统:(I nformation system )是由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护, 不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。2.信息与工控系统安全实验室概述2.1信息与工控系统安全实验室建设背景2.1.1信息系统现状及主要威胁随着信息技术的不断发展,信息日益成为一种重要的战略资源。 信息技术的应用几乎涉及到了各个领域,信息技术
4、正逐渐改变着人们的日常生活和工作方式。 信息产业已经成为新的经济高速增长点,信息的获取、处理和保障能力成为一个国家综合国力的重要组成部分。可以说,信息安全事关国家安全、社会稳定,信息安全的重要性由此而知。而近年来,随着信息技术的飞速发展,网络蠕虫、木马、分布式拒绝服务攻击以及 间谍软件等技术与僵尸网络结合在一起, 利用网络及信息系统的诸多漏洞, 给互联网安全造成了严重的威胁。信息安全的威胁来自方方面面,不可 罗列。但这些威胁根据其性质,基本上可以归结为以下几个方面:1)信息泄露:保护的信息被泄露或透露给某个非授权的实体。2)破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受到损失。3)拒
5、绝服务:信息使用者对信息或其他资源的合法访问被无条件地阻止。4)非法使用(非授权访问):某一资源被某个非授权的人,或以非授权的方式使 用。5)窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在工作过程中产 生的电磁泄露截取有用信息等。6)业务流分析:通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从中发现有价值的信息 和规律。7)8)9)假冒:通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者 特权小的用户冒充成为特权大的用户的目的。我们平常所说的黑客大多采用
6、的就是假冒攻击。旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的 权利或特权。例如,攻击者通过各种攻击手段发现原本应保密,但是却又暴 露出来的一些系统“特性”,利用这些“特性”,攻击者可以绕过防线守卫者 侵入系统的内部。授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用 于其他非授权的目的,也称作“内部攻击”。10)计算机病毒:这是一种在计算机系统运行过程中能够实现传染和侵害功能的程序,行为类似病毒,故称作计算机病毒。2.1.2工控系统现状及主要威胁随着计算机技术网络技术的发展,特别是互联网及社会公共网络平台的快速发展,在“两化”融合的行业发展需求下,为了提高
7、生产高效运行、生产管理效率,国内 众多行业大力推进工业控制系统自身的集成化, 集中化管理。系统的互联互通性逐步加 强,与办公网、互联网也存在千丝万缕的联系。但是工业控制系统建设时更多的是考虑各自系统的可用性,并没有考虑系统之间互联互通的安全风险和防护建设。 使得国际国内针对工业控制系统的攻击事件层出不穷, “震网”病毒事件为全球工业控制系统安 全问题敲响了警钟,促使国家和社会逐渐重视工业控制系统的信息安全问题。随着世界各国工业信息化的迅猛发展,各种工业自动化控制系统正快速地从封闭、 孤立的系统走向互联(包括与传统IT系统互联),日益广泛地采用以太网、TCP/IP网络作为网络基础设施,将工业控制
8、协议迁移到应用层;采用包括 WLAN GPRS等在内的各种无线网络;广泛采用标准的 Win dows等商用操作系统、设备、中间件与各种通用技术。工业自动化控制系统的安全直接关系到各重点工业行业的生产安全。 如何保证开 放性越来越强的生产控制网络的安全性, 是目前摆在用户及行业自动化制造商面前的难 题。工业控制系统面临复杂的外部和内部威胁,主要集中在以下几个方面:1)外部攻击的发展工业控制系统采用大量的IT技术,互联性逐步加强,神秘的面纱逐步被揭 开,工业控制信息安全日益进入黑客的研究范围,国内外大型的信息安全交 流会议已经把工业控制信息安全作为一个重要的讨论议题。随着黑客的攻击 技术不断进步,
9、攻击的手段日趋多样,对于他们来说,入侵到某个系统,成功破坏其完整性是很有可能的。例如近几年的震网、火焰、 Havex等病毒证明黑客开始对工控系统感兴趣。根据FBI和CSI对484家公司进行的网络安全专项调查结果显示:超过 70%的安全威胁来自公司内部,在损失金额上,由于内部人员泄密导致了 6056.5万美兀的损失,是黑客造成损失的16倍,是病毒造成损失的12倍。另据中国国家信息安全测评中心调查,信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪,而非病毒和外来黑客。工业控制系统普遍缺乏网络准入和控制机制,上位机与下位机通讯缺乏身份鉴别和认证机制,只要能够从协议层面跟下位机建立连接,既可以对下
10、位机进行修改,普遍缺乏限制系统最高权限的限制,高权限账号往往掌握着数据库和业务系统的命脉,任何一个操作都可能导致数据的修改和泄露。缺乏事后追查的有效工具,也让责任划分和威胁追踪变得更加困难。设备提供商提供的应用授权版本不可能十全十美,各种各样的后门、漏洞等问题都有可能出现。出于成本的考虑,工业控制系统的组态软件一般与其工控系统是同家公司的产品,在测试节点问题容易隐藏,且组态软件的不成熟也会为系统带来威胁。第三方维护人员的威胁。工业控制系统建设在发展的过程中,因为战略定位和人力等诸多原因,越来越多的会将非核心业务外包给设备商。如何有效地管控设备厂商和运维人员的操作行为,并进行严格的审计是系统运营
11、面临的一个关键问题。病毒可通过移动存储设备、外来运维的电脑,无线系统等进入系统,当病毒侵入网络后,自动收集有用信息,如关键业务指令、网络中传输的明文口令 等,或是探测网内计算机的漏洞,向网内计算机传播。由于病毒在网络中大 规模的传播与复制,极大地消耗网络资源,严重时有可能造成网络拥塞、网 络风暴甚至网络瘫痪,这是影响工业控制系统网络安全的主要因素之一2.1.3信息与工控系统安全实验室建设目的及意义面对信息安全问题的严峻形势,我国IT信息系统、工业控制系统管理工作中仍存 在不少问题,主要是对IT信息系统、工业控制系统信息安全问题重视不够,管理制度 不健全,相关标准规范缺失,技术防护措施不到位,安
12、全防护能力和应急处置能力不高 等,威胁着政府和企业的生产安全。如何使产品在整个生命周期都能满足安全完整性等 级和功能安全性要求,保证信息安全,也成为了各行业业关注的重点。实验室将针对我省信息与工业控制系统面临日益严重的信息安全攻击威胁等问题, 围绕政府、电力电网、轨道交通、石油化工、水厂水利、煤炭运输等工业控制系统和其他领域的信息安全需求,建设信息与工业控制系统信息安全技术研发与工程化平台, 开 展包括操作系统安全、数据库安全、身份认证安全、计算机病毒安全等在内的信息安全;和防火墙、入侵检测、VPN、网络漏洞、网站安全等在内的网络安全;以及工业控制系 统安全SCAD(数据采集与监视控制系统)、
13、安全DCS(分布式控制系统)、安全PLC(可 编程逻辑控制器)、安全RTU(远程终端单元)等关键技术和产品的研发及产业化。实验室尤其针对缺少工业控制系统安全仿真验证手段、工业控制系统未建立安全防护体系、高端工业控制系统及核心部件主要由外国厂商提供的现状, 着力实现工业控制系统“可发现、可防范、可替代”的目标,提升我省工控安全核心竞争力。实验室建立 该领域发展趋势和重大问题的研究机制,制定可持续发展战略,推动工控信息安全产业 产、学、研、用在优势资源上的协同与集成,促进工控信息安全技术上、下游的对接与 耦合。另外,实验室将为相关单位提供一个IT信息、工控信息安全交流、促进产学研结 合、加快科技创
14、新与成果转化的高层次、高水平、高规格平台,共同开展工控信息安全 关键技术研发、标准规范制定、有关课题研究,为我省工控信息安全事业的发展起到积 极的推进作用,促进我省工控安全产业实现跨越式发展。3.信息与工控系统安全实验室主要研究方向和实验内容3.1信息安全实验室主要研究方向和实验内容信息安全实验室使用对象主要为信息安全领域的安全联盟成员, 要求该实验室可开 展针对信息安全领域前沿技术的相关实验,使联盟成员可通过每个部分的实验深入理解 信息安全前沿技术和过程,通过不同类型的实验使联盟成员理解安全机制并具备技术应 用能力,并向联盟成员提供可进行深入技术研究的平台保障。可全面开展服务器及信息系统进漏
15、洞扫描分析,并直观显示目标所存在的安全隐患,并同时提供操作系统策略部署、 数据库安全保障等实验操作。涵盖对典型木马及主 流病毒的攻击方式进行演技操作,分析该类型木马或者病毒所针对的网络系统漏洞, 并 提供防御方式的实验。同时提供应用程序、文件管理、网络事件等安全日志的审计实验, 通过日志的管理不断提高学生对安全日志的理解,以及审计的流程与规范。3.1.1操作系统安全研究方向和实验内容操作系统是管理整个计算机硬件与软件资源的程序,操作系统是网络系统的基础, 是保证整个互联网实现信息资源传递和共享的关键,操作系统的安全性在网络安全中举足轻重。一个安全的操作系统能够保障计算资源使用的保密性、完整性和
16、可用性, 可以 提供对数据库、应用软件、网络系统等提供全方位的保护。没有安全的操作系统的保护, 根本谈不上网络系统的安全,更不可能有应用软件信息处理的安全性。 因此,安全的操 作系统是整个信息系统安全的基础。长期以来我国广泛应用的主流操作系统都是从国外引进直接使用的产品, 这些系统 的安全性令人担忧。从认识论的高度看,人们往往首先关注对操作系统的需要、功能, 然后才被动地从出现的漏洞和后门,以及不断引起世界性的“冲击波”和“震荡波”等台匕安全事件中,注意到操作系统本身的安全问题。操作系统的结构和机制不安全,以及 PC机硬件结构的简化,系统不分执行“态”,内存无越界保护等等,这些因素都有可能 导
17、致资源配置可以被篡改,恶意程序被植入执行,利用缓冲区溢出攻击以及非法接管系 统管理员权限等安全事故发生;导致了病毒在世界范围内传播泛滥, 黑客利用各种漏洞 攻击入侵,非授权者任意窃取信息资源, 使得安全防护体系形成了防火墙、防病毒和入 侵检测老三样的被动局面。操作系统是整个网络的核心软件,操作系统的安全将直接决定网络的安全。 信息与工业控制安全实验室主要针对 Windows Linux、UNIX等主流操作系统本身的物理安全、 逻辑安全、应用安全、管理安全、操作系统漏洞发现与检测等方面进行研究和实验。物 理安全主要是指系统设备及相关设施受到物理保护, 使之免受破坏或丢失;逻辑安全主 要指系统中信
18、息资源的安全;管理安全主要包括各种管理的政策和机制,包括用户账户 控制和最小权限策略等。应用安全可以阻止未授权的程序的安装,可以阻止应用程序进 行不当的系统设置而使操作系统处于不安全的状态,从而大大的提高了系统的安全性。实验室还将研究国内外最新的操作系统防护技术, 如对数据的保护引进了内核保护技术 以防止任何非授权文件对系统内核的修改,同时还采用了缓冲区益出保护,可有效的防 止利用缓冲区益处技术发动的攻击。3.1.2数据库安全机制研究方向和实验内容数据库的安全性是指在信息系统的不同层次保护数据库,防止未授权的数据访问, 避免数据的泄漏、不合法的修改或对数据的破坏。数据库在各种信gfg息系统中得
19、到广 泛的应用,数据在信息系统中的价值越来越重要, 数据库系统的安全与保护成为一个越 来越值得重要关注的方面。信息与工业控制安全实验室重点研究和建立数据库本身的安全机制和实验环境。 包 括用户认证、存取权限、视图隔离、跟踪与审查、数据加密、数据完整性控制、数据访 问的并发控制、数据库的备份和恢复等方面。如数据库用户认证技术,是数据库提供的 最外层安全保护措施,实验室重点对身份、生物认证技术用于数据库用户标识和鉴别方面进行实验和尝试,如智能卡技术,物理特征(指纹、虹膜等) 。再如数据库存取控制机制,即确保只授权给有资格的用户访问数据库的权限, 同时令所有未被授权的人员无 属性进行匹配判断,决定主
20、体是否有权对客体进行进一步的访问操作, 从而保证数据数 据存储控制机制。而数据加密算法也是实验室重点的研究和实验领域, 包括网络数据包在客户端和服 务器端之间发送的数据、存储过程定义、函数定义、视图定义、触发器定义、默认值定 义、规则定义等数据库对象进行加密和解密实验。3.1.3身份认证研究方向和实验内容不论是信息系统、网络系统还是工控系统,不论安全性要求多高的数据,它存在就 必然要有相对应的授权人可以访问它, 否则,保存一个任何人都无权访问的数据无任何意义。然而,如果没有有效的身份认证手段,这个有权访问者的身份就很容易被伪造, 那么,不论投入再大的资金,建立再坚固安全防范体系都形同虚设。可见
21、,身份识别技 术是最基本的安全服务,其它的安全服务都要依赖于它。实验室主要针对生物认证技术相关实验环境进行搭建和测试, 包括虹膜、指纹相关 身份认证实验环境的搭建。实验室主要研究和验证生物识别技术在信息、网络、工控环 境下的场景应用以及在特殊环境下的验证正确率,并通过对识别算法的改进来提高识别 的正确率。3.1.4计算机病毒攻防研究方向和实验内容计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据 ,影响计算机使用,并能自我复制的一组计算机指令或者程序代码, 就像生物病毒一样,计 算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文
22、件上。当文件被复制或从一个用户传送到另一个用户时, 它们 就随同文件一起蔓延开来。实验室主要对最新的病毒破坏性进行检测和清除以及对主流病毒进行攻防演示实 验从而达到了解病毒的目的,包括木马实验、脚本病毒实验、DLL注入型病毒实验、COM 病毒实验、邮件型病毒实验、Word宏病毒实验、移动存储型病毒实验、HTMI恶意代码 实验、流氓软件实验以及恶意软件查找及清除实验。3.2网络安全主要研究方向和实验内容目前,各行业用户对网络的依赖程度也越来越高,建立持续、稳定、安全的网络是 保障用户业务发展的前提。大家都认识到安全的重要性,纷纷采用防火墙、网关、加密、 身份认证、访问控制等保护手段来保护网络系统
23、的安全。 与此同时,安全问题日益严重, 病毒、木马、黑客攻击、网络钓鱼、DDOS等安全威胁层出不穷,而且技术越来越复杂, 病毒、木马及黑客技术等融合造成了网络安全的巨大危机。因此,建设网络安全实验室,不但能为联盟成员提供良好的硬件资源,而且能大大 提高我省和联盟的科学研究及学科建设水平,提高联盟可研实力,为联盟培养信息安全 高级人才提供有力保证,所以联盟非常有必要建设一个现代化, 真实化的网络安全实验 室。通过网络攻防实验,联盟成员可以了解最新的网络安全威胁的后果,进而分析其原 理,掌握入侵检测技术、安全防护技术以及应急响应机制等基本安全技术,提供网络安 全防御机制,从系统的整个生命周期考虑网
24、络安全问题。3.2.1入侵检测与攻防研究方向和实验内容入侵检测是指对入侵行为的发现、报警和响应,它通过对计算机网络或计算机系统 中的若干关键点收集信息并对其进行分析, 从中发现网络或系统中是否有违反安全策略 的行为和被攻击的迹象。入侵检测系统(Intrusion Detection System)是对防火墙有益的补充,它对网络和主机行为进行检测,提供对内部攻击、外部攻击和误操作的实时监控, 增强了网络的 安全性。在安全防范方面,入侵检测系统可以实现事前警告、事中防护和事后取证。入 侵检测系统能够在入侵攻击行为对网络系统造成危害前,及时检测到入侵攻击的发生,并进行报警;入侵攻击发生时,入侵检测系
25、统可以通过与防火墙联动等方式进行报警及 动态防护;被入侵攻击后,入侵检测系统可以提供详细的攻击信息日志,便于取证分 析。相对于防火墙提供的静态防护而言,入侵检测系统侧重于提供动态实时检测防护, 因此防火墙和入侵检测系统的结合,能够给网络带来更全面的防护。实验室主要对联盟内部的入侵检测系统进行测试和优化, 使用典型的入侵攻击工具(如 DOS-DDO攻击、拒绝服务攻击、分布式拒绝服务攻击等)进行攻击,检验入侵检 测系统的准确性和识别率。通过改进入侵检测系统,增强其检测能力。322防火墙研究方向和实验内容防火墙是硬件和软件的组合,它在内部网和外部网间建立起安全网关,过滤数据包, 决定是否转发到目的地
26、。它能够控制网络进出的信息流向, 提供网络使用状况和流量的 审计、隐藏内部IP地址及网络结构的细节。它还可以帮助内部系统进行有效的网络安全隔离,通过安全过滤规则严格控制外网用户非法访问, 并只打开必须的服务,防范外部来的服务攻击。同时,防火墙可以控制内网用户访问外网时间,并通过设置 IP地址与MAC地址绑定,防止IP地址欺骗。更重要的是,防火墙不但将大量的恶意攻击直接 阻挡在外而,同时也屏蔽来自网络内部的不良行为。3.2.3漏洞扫描研究方向和实验内容利用安全漏洞进行网络攻击,就好像阳光下的阴影,始终伴随着互联网行业的应用 发展。近些年,网络安全威胁的形式也出现了不同的变化,攻击方式从单个兴趣爱
27、好者随意下载的简单工具攻击,向有组织的专业技术人员专门编写的攻击程序转变, 攻击目 的从证明个人技术实力向商业或国家信息窃取转变。实验室研究和实验最新最前沿的漏洞攻击方式,(如Google极光攻击事件中被利用 的IE浏览器溢出漏洞等),帮助联盟成员全面发现信息和网络系统存在的各种脆弱性问 题,包括安全漏洞、安全配置问题、应用系统安全漏洞,检查系统存在的弱口令,收集 系统不必要开放的账号、服务、端口,形成整体安全风险报告。帮助联盟成员快速定位 风险类型、区域、严重程度,直观展示、修补安全风险;324 WEB攻防研究方向和实验内容企业及其雇员越来越依赖于互联网, 不管是在家里、在路途中、在办公室中
28、都是如此。这种依赖性在与多种最新的 Web威胁结合之后,将会使企业比以往更加脆弱,更容 易遭受攻击。近半年来的 Web攻击都有一个鲜明的特点,在无需用户干预的情况下, 这 些威胁就可以进入网络,严重威胁着企业的数据安全、工作效率,直至企业的最终利益。而且,由于Web内容和形式的多样性,其威胁的花样也是不断翻新。实验室研究和防御各种针对WEB应用的攻击手段,包括跨网站脚本攻击(黑客可以 模拟合法用户,控制其帐户)、注入攻击(黑客可以访问后端数据库信息,修改、盗窃。)、 恶意文件执行(被修改的站点将所有交易传送给黑客)、不安全对象引用(Web应用返 回敏感文件内容)、伪造跨站点请求(黑客发起Bli
29、nd请求,要求进行转帐)、被破坏的 认证和Session管理(黑客能够盗窃session )、不安全的木马存储(隐秘信息被黑客授权,配置管理,敏感数据,会话管理,解密盗窃)等。重点帮助联盟会员单位建立 WEB安全体系,包括输入验证,身份验证, 加密,参数操作,异常管理,审核和日志记录 等。3.2.5无线攻防研究方向和实验内容无线局域网络(Wireless Local利的数据传输系统,利用射频(RadioArea Networks ;简写为: WLAN是相当便Freque ncy ; RF)的技术,取代旧式碍手碍脚 的双绞铜线所构成的局域网,使得无线局域网络能利用简单的存取架构让用户透过它, 达
30、到“信息随身化、便利走天下”的理想境界。无线局域网 (WLAN产业是当前整个数据 通信领域发展最快的产业之一。因其具有灵活性、可移动性及较低的投资成本等优势,无线局域网解决方案作为传统有线局域网络的补充和扩展, 获得了家庭网络用户、中小型办公室用户、广大企业用户及电信运营商的青睐, 然而由于无线局域网采用公共频率 的电磁波作为载体,因此对越权存取和窃听的行为也更不容易防备, 使得它的安全性更 加难以保证,面临着严重的安全威胁。实验室终端关注和分析WLAN勺不安全因素,针对不安全因素给出了解决的安全措 施,研究和利用无线入侵检测系统对联盟成员 WLANS行检测,利用VPN身份认证和 授权、数据加
31、密、内部管理等方式有效防范 WLAr中窃听、截取或者修改传输数据、置 信攻击、拒绝服务等等的攻击手段,保证无线网络内的用户的信息和传输消息的安全性 和保密性,有效地维护无线局域网的安全。3.3工控安全研究方向和实验内容3.3.1工控系统漏洞挖掘研究方向和实验内容工业控制系统(简称“工控系统”)是国家基础设施的重要组成部分,其安全性关系 到国家经济的发展和人民群众的财产和生命安全。近年来,工业控制系统漏洞和安全事件不断出现,给国家和人民经济财产安全造成了严重的威胁。 漏洞挖掘是工业控制系统 安全攻防的焦点。如果工业控制系统中的漏洞被攻击者发现,并利用这些漏洞进行攻击, 必将造成不可设想的后果。因此及时发现工控系统的漏洞,对于提升工控系统整体的安 全防护能力具有重要的意义。目前,国内外对于工业控制系统的安全保护已经取得一定的研究成果, 但是如何对 工业控制系统进行漏洞挖掘与安全预防, 仍然研究较少。该实验针对工控系统漏洞的挖掘及防护方法进行研究,它可以在威胁未发生时就检测出系统存在的安全隐患, 从而将威胁消灭在萌芽状态,避免重大的经济损失。准确地扫描出工控系统的漏洞 ,才能在这 场工控系统安全的战争中,处于先机,立于不败之地。实验室主要对工业控制网络中的设备、系统、环境所存在的漏洞风险进行检测与评 估。该
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 