★烽臺科技（北京）有限公司訾立強(qiáng)，李璐吉

關(guān)鍵詞：工業(yè)網(wǎng)絡(luò)安全；攻防演練；安全靶場管控；工業(yè)控制系統(tǒng)安全測試驗(yàn)證

1　項(xiàng)目概況

1.1　項(xiàng)目背景

通信行業(yè)是一個(gè)快速發(fā)展且動(dòng)態(tài)變化的領(lǐng)域，其特點(diǎn)可以歸納為技術(shù)創(chuàng)新、全球化、快速發(fā)展和不斷變革。隨著科技的不斷進(jìn)步，通信技術(shù)也在不斷升級和創(chuàng)新，從傳統(tǒng)的有線通信向無線通信、5G、物聯(lián)網(wǎng)等新技術(shù)的發(fā)展演進(jìn)，不斷提高了通信網(wǎng)絡(luò)的效率、速度和覆蓋范圍，推動(dòng)了通信行業(yè)的迅速發(fā)展。通信行業(yè)具有強(qiáng)烈的國際性和全球化特征，通信網(wǎng)絡(luò)能夠?qū)⑷蚋鞯剡B接起來，促進(jìn)信息和數(shù)據(jù)的全球流動(dòng)。通信行業(yè)在信息時(shí)代扮演著不可或缺的角色，是連接全球、推動(dòng)數(shù)據(jù)傳輸和信息交流的核心基礎(chǔ)設(shè)施，其地位不斷在上升。它對全球互聯(lián)互通、經(jīng)濟(jì)增長、社交互動(dòng)和危機(jī)應(yīng)對都具有深遠(yuǎn)的影響，逐漸成為現(xiàn)代社會的支柱之一。

中國移動(dòng)通信集團(tuán)貴州有限公司（以下簡稱“貴州移動(dòng)公司”）于1999年正式成立運(yùn)營，是中國移動(dòng)通信集團(tuán)在貴州設(shè)立的全資子公司。隨著公司的高速發(fā)展，網(wǎng)絡(luò)安全威脅形勢日趨嚴(yán)峻，安全監(jiān)管考核要求越來越嚴(yán)格，集團(tuán)公司以及各省、自治區(qū)、直轄市公司亟需加強(qiáng)網(wǎng)絡(luò)安全相關(guān)工作。為貫徹黨中央“以新安全格局保障新發(fā)展格局”的戰(zhàn)略部署，圍繞公司“一二二五”戰(zhàn)略實(shí)施思路和網(wǎng)絡(luò)暨網(wǎng)絡(luò)安全工作會要求，貴州移動(dòng)公司建設(shè)了集工控領(lǐng)域安全競賽、滲透測試、安全培訓(xùn)、系統(tǒng)仿真能力于一體的工控網(wǎng)絡(luò)攻防靶場平臺，全面提升了貴州移動(dòng)公司工控安全攻防靶場能力。

1.2　項(xiàng)目簡介

面對日趨嚴(yán)峻的網(wǎng)絡(luò)安全威脅形勢和越來越嚴(yán)格的安全監(jiān)管考核要求，集團(tuán)公司以及各省、自治區(qū)、直轄市公司亟需加強(qiáng)網(wǎng)絡(luò)條線網(wǎng)絡(luò)安全工作。為構(gòu)建新型安全集中支撐能力，貴州移動(dòng)公司建設(shè)了攻防靶場工控安全方向分平臺。

結(jié)合省內(nèi)工控靶場系統(tǒng)建設(shè)現(xiàn)況，本項(xiàng)目擬解決以下痛點(diǎn)問題：

（1）省內(nèi)運(yùn)營商無工控網(wǎng)絡(luò)靶場建設(shè)能力；

（2）省公司工控安全攻防靶場能力不足；

（3）填補(bǔ)集團(tuán)工控安全攻防靶場缺口；

（4）工控網(wǎng)絡(luò)安全能力拓展、價(jià)值賦能增強(qiáng)、人才團(tuán)隊(duì)能力提升；

（5）省工控網(wǎng)絡(luò)靶場不具備與集團(tuán)一級平臺進(jìn)行對接的能力，不具備與外部平臺能力聯(lián)動(dòng)滿足集團(tuán)考核上報(bào)的要求。

1.3　項(xiàng)目目標(biāo)

本項(xiàng)目實(shí)施目標(biāo)為構(gòu)建省公司新型安全集中支撐能力、響應(yīng)集團(tuán)公司SOC攻防實(shí)戰(zhàn)平臺安全培訓(xùn)和競賽訓(xùn)練功能建設(shè)要求、護(hù)航集團(tuán)公司業(yè)務(wù)發(fā)展、助力集團(tuán)攻防靶場能力建設(shè)。本項(xiàng)目在貴州公司將開展工控領(lǐng)域安全競賽、滲透測試、安全培訓(xùn)以及系統(tǒng)仿真靶場等工作，為貴州移動(dòng)工控網(wǎng)絡(luò)攻防靶場平臺支撐服務(wù)項(xiàng)目，提供必要的技術(shù)、實(shí)物、人員等現(xiàn)場支撐和保障，協(xié)助貴州移動(dòng)完成工控網(wǎng)絡(luò)靶場支撐服務(wù)，并組織開展工業(yè)信息安全培訓(xùn)、競賽活動(dòng)等相關(guān)工作。

本項(xiàng)目重點(diǎn)實(shí)施的集團(tuán)SOC攻防靶場分平臺包括了工控網(wǎng)絡(luò)靶場模塊、工業(yè)信息安全競賽模塊、工業(yè)信息安全實(shí)訓(xùn)模塊三大模塊，涵蓋了工控領(lǐng)域安全競賽、滲透測試、安全培訓(xùn)以及系統(tǒng)仿真等方面。本項(xiàng)目定位為建設(shè)集團(tuán)工控安全靶場分平臺，并由集團(tuán)公司對分平臺進(jìn)行整體管控，實(shí)現(xiàn)覆蓋用戶架構(gòu)、靶場攻防實(shí)訓(xùn)信息以及VPN權(quán)限資源等維度的一體化管理。

2　項(xiàng)目實(shí)施

2.1　主要內(nèi)容及功能

貴州移動(dòng)公司工控網(wǎng)絡(luò)攻防靶場平臺建設(shè)項(xiàng)目的主要內(nèi)容如下：

（1）為集團(tuán)提供工控安全攻防能力，完成分平臺與集團(tuán)靶場的數(shù)據(jù)上報(bào)及統(tǒng)一管理，實(shí)現(xiàn)貴州移動(dòng)公司工控網(wǎng)絡(luò)攻防靶場平臺與集團(tuán)靶場的對接；

（2）（2）在貴州構(gòu)建新型安全集中支撐能力，建設(shè)安全數(shù)據(jù)匯聚能力和攻防實(shí)戰(zhàn)靶場；

（3）（3）在貴州公司開展工控領(lǐng)域安全競賽、滲透測試、安全培訓(xùn)以及系統(tǒng)仿真平臺，為集團(tuán)攻防靶場提供貴州本地化工控安全攻防能力，賦能集團(tuán)、省公司開展攻防靶場相關(guān)業(yè)務(wù)；

（4）加強(qiáng)省公司網(wǎng)絡(luò)安全工作；

（5）有效支撐貴州移動(dòng)公司工控網(wǎng)絡(luò)攻防靶場平臺安全競賽訓(xùn)練（工控競賽）、滲透測試靶場（工控安全）、安全培訓(xùn)（工控安全）、系統(tǒng)仿真（工控）的各項(xiàng)業(yè)務(wù)需求和發(fā)展。

2.2　技術(shù)方案

（1）項(xiàng)目目標(biāo)

本案例的建設(shè)目標(biāo)主要是為貴州移動(dòng)公司提供工控網(wǎng)絡(luò)攻防靶場建設(shè)，該案例包括了工控網(wǎng)絡(luò)靶場模塊、工業(yè)信息安全競賽模塊、工業(yè)信息安全實(shí)訓(xùn)模塊三大模塊，涵蓋了工控領(lǐng)域安全競賽、滲透測試、安全培訓(xùn)以及系統(tǒng)仿真等方面。該案例主要設(shè)計(jì)目標(biāo)是設(shè)計(jì)一個(gè)集安全競賽訓(xùn)練（工控競賽）、滲透測試靶場（工控安全）、安全培訓(xùn)（工控安全）、系統(tǒng)仿真（工控）于一體的工控網(wǎng)絡(luò)攻防靶場。

本案例通過建設(shè)如上功能靶場與集團(tuán)公司攻防靶場聯(lián)動(dòng)，實(shí)現(xiàn)重要系統(tǒng)數(shù)據(jù)共享接口的常態(tài)化管控，大力推進(jìn)安全自主創(chuàng)新和核心能力內(nèi)化，做好手段支撐和數(shù)據(jù)安全，開展新型安全服務(wù)能力探索，構(gòu)筑面向新型信息基礎(chǔ)設(shè)施的安全防護(hù)能力，為公司業(yè)務(wù)發(fā)展保駕護(hù)航。

（2）項(xiàng)目需求面對日趨嚴(yán)峻的網(wǎng)絡(luò)安全威脅形勢和越來越嚴(yán)格的安全監(jiān)管考核要求，中國移動(dòng)通信集團(tuán)有限公司以及各省、自治區(qū)、直轄市公司亟需加強(qiáng)網(wǎng)絡(luò)安全工作，打造貴州公司工控安全攻防靶場能力，同時(shí)構(gòu)建省公司新型安全集中支撐能力，以滿足上級監(jiān)管部門考核數(shù)據(jù)上報(bào)要求及省內(nèi)安全需求。

（3）靶場基本功能架構(gòu)設(shè)計(jì)貴州移動(dòng)工控網(wǎng)絡(luò)攻防靶場平臺主要由數(shù)據(jù)展示層、安全實(shí)訓(xùn)層、競賽資源層、基礎(chǔ)資源層、數(shù)據(jù)接口層等功能組成，具體如圖1所示。

圖1 靶場基本功能架構(gòu)

（4）靶場基本技術(shù)架構(gòu)設(shè)計(jì)本案例建設(shè)的集團(tuán)SOC攻防靶場分平臺工控網(wǎng)絡(luò)攻防靶場平臺主要由工控網(wǎng)絡(luò)靶場模塊、工業(yè)信息安全競賽模塊和工業(yè)信息安全實(shí)訓(xùn)模塊組成，可以完成靶場資源仿真環(huán)境搭建、攻防競賽應(yīng)用支撐及安全實(shí)訓(xùn)能力支撐等工作。其中，工控網(wǎng)絡(luò)靶場模塊主要提供工控仿真場景支撐；工業(yè)信息安全競賽模塊依托工控網(wǎng)絡(luò)靶場模塊用于相關(guān)賽事支撐；工業(yè)信息安全實(shí)訓(xùn)模塊用于人才培養(yǎng)。三大模塊構(gòu)成SOC攻防靶場分平臺工控網(wǎng)絡(luò)攻防靶場能力建設(shè)體系，具體如圖2所示。

圖2 靶場基本技術(shù)架構(gòu)

（5）平臺對接能力本案例按照規(guī)范定制化開發(fā)單點(diǎn)登錄集成能力，滿足了平臺單點(diǎn)登錄集成要求，工控網(wǎng)絡(luò)攻防靶場平臺可以通過CAS單點(diǎn)登錄，提高了平臺工作效率。

（6）工控網(wǎng)絡(luò)攻防靶場平臺部署情況本項(xiàng)目從可拓展性、技術(shù)要求成熟度、建設(shè)周期和難度、管理和維護(hù)、安全性等多方面進(jìn)行綜合考慮，依據(jù)原有平臺功能滿足考核要求方面分析得出，利舊中國移動(dòng)通信集團(tuán)貴州有限公司天巡實(shí)驗(yàn)室服務(wù)器資源和網(wǎng)絡(luò)資源，依據(jù)建設(shè)所需資源在現(xiàn)有資源基礎(chǔ)上對其進(jìn)行擴(kuò)容，靶場采用物理機(jī)的方式進(jìn)行部署，目前已部署完成。

2.3　難點(diǎn)及應(yīng)對方法

2.3.1　難點(diǎn)

面對日趨嚴(yán)峻的網(wǎng)絡(luò)安全威脅形勢和越來越嚴(yán)格的安全監(jiān)管考核要求，中國移動(dòng)通信集團(tuán)公司以及各省、自治區(qū)、直轄市公司亟需加強(qiáng)網(wǎng)絡(luò)條線網(wǎng)絡(luò)安全工作。我們通過分析省內(nèi)工控靶場系統(tǒng)建設(shè)現(xiàn)況，發(fā)現(xiàn)本項(xiàng)目實(shí)施主要有以下難點(diǎn)：

（1）省內(nèi)運(yùn)營商無工控網(wǎng)絡(luò)靶場建設(shè)基礎(chǔ)；

（2）省公司工控網(wǎng)絡(luò)靶場不具備與集團(tuán)一級平臺的接口進(jìn)行對接的能力，不能實(shí)現(xiàn)與上級平臺能力聯(lián)動(dòng)及滿足集團(tuán)考核上報(bào)要求；

（3）多尺度融合仿真；

（4）超百人級培訓(xùn)、演練、競賽性能支撐。

2.3.2　應(yīng)對方法

（1）貴州移動(dòng)工控網(wǎng)絡(luò)攻防靶場平臺的建設(shè)，可彌補(bǔ)省內(nèi)運(yùn)營商無工控網(wǎng)絡(luò)靶場建設(shè)基礎(chǔ)的空缺。

（2）貴州移動(dòng)工控網(wǎng)絡(luò)攻防靶場平臺能力提升項(xiàng)目通過定制化單點(diǎn)登錄集成與平臺接口，為貴州移動(dòng)工控網(wǎng)絡(luò)攻防靶場平臺提供了靶場平臺對接能力，實(shí)現(xiàn)了重要系統(tǒng)數(shù)據(jù)共享接口的常態(tài)化管控。

（3）本案例采用全虛擬化節(jié)點(diǎn)（采用KVM技術(shù)），通過虛擬節(jié)點(diǎn)和實(shí)物節(jié)點(diǎn)的協(xié)同工作實(shí)現(xiàn)虛擬與實(shí)際工控設(shè)備的物理連接；通過離散事件模擬節(jié)點(diǎn)集成，制定標(biāo)準(zhǔn)的通信協(xié)議和接口，確保所有節(jié)點(diǎn)（虛擬、實(shí)際和離散事件模擬節(jié)點(diǎn)）都支持IPv4協(xié)議的數(shù)據(jù)通信；開發(fā)自動(dòng)化工具和腳本，確保生成的網(wǎng)絡(luò)場景可以迅速部署和啟動(dòng)。

（4）本案例將貴州移動(dòng)工控網(wǎng)絡(luò)攻防靶場平臺原有的單臺硬件配置12核CPU、內(nèi)存512GB、硬盤6TB的服務(wù)器硬件配置擴(kuò)容至26核CPU×2、內(nèi)存512GB、系統(tǒng)盤960×2GB、存儲盤2.4T×8GB，可同時(shí)運(yùn)行120臺靶機(jī)資源，可支撐地方、省級、國家級大型賽事。

2.4　應(yīng)用效果

2.4.1　產(chǎn)品部署效果

（1）產(chǎn)品應(yīng)用方式

地方級賽事支撐：2023年黔東南州青年職業(yè)技能大賽、2023年中國移動(dòng)黔西南分公司第一屆“金移菁鷹杯”網(wǎng)絡(luò)安全技能競賽。

國家級賽事支撐：2022年第六屆工業(yè)信息安全技能大賽復(fù)賽。

（2）產(chǎn)品應(yīng)用效果

賽事資源管控：通過多維度的賽事資源管理能力，為比賽提供賽制、賽題、試卷等管理能力，以及比賽任務(wù)下發(fā)的能力。同時(shí)提供在黑盒滲透模式中的場景資源管控能力，滿足企業(yè)對比賽的多重管理需求，如圖3、圖4、圖5所示。

圖3 賽事資源管控

圖4 賽事資源管控

圖5 賽事資源管控

賽事管控能力：裁判可以通過賽事裁判模塊對參賽選手提交賽題過程進(jìn)行監(jiān)控，對選手答題記錄進(jìn)行審核；可按照隊(duì)伍和比賽場次、時(shí)間節(jié)點(diǎn)等篩選條件對賽題進(jìn)行篩選，對參賽選手進(jìn)行監(jiān)控；可通過觀看反作弊監(jiān)控記錄，判定場景中的規(guī)則是否被遵守，并對可疑隊(duì)伍進(jìn)行研判，檢測是否存在作弊行為或執(zhí)行處罰措施，保障裁決的公平公正性，如圖6所示。

圖6 賽事管控

2.4.2　安全威脅應(yīng)對方案

本案例建設(shè)的貴州移動(dòng)工控網(wǎng)絡(luò)攻防靶場平臺可針對企業(yè)網(wǎng)絡(luò)以及設(shè)備進(jìn)行虛擬化，可還原企業(yè)真實(shí)網(wǎng)絡(luò)并進(jìn)行安全威脅應(yīng)急演練和漏洞驗(yàn)證，同時(shí)可提供真實(shí)設(shè)備接入功能，極大程度地模擬了企業(yè)網(wǎng)絡(luò)真實(shí)度。企業(yè)可通過工控網(wǎng)絡(luò)攻防靶場平臺對自身網(wǎng)絡(luò)以及設(shè)備進(jìn)行安全演練，避免了影響企業(yè)自身網(wǎng)絡(luò)的正常業(yè)務(wù)行為。本案例提供了多個(gè)安全威脅應(yīng)對方案，一是企業(yè)可通過模擬自身網(wǎng)絡(luò)，面對社會開放攻防競賽，彌補(bǔ)自身漏洞；二是企業(yè)可內(nèi)部培訓(xùn)相關(guān)人才，開展人才培養(yǎng)工作；三是企業(yè)可定期開展應(yīng)急演練工作，培養(yǎng)企業(yè)人員安全意識與應(yīng)急能力。

2.4.3　下一步優(yōu)化實(shí)施計(jì)劃

（1）本項(xiàng)目下一步計(jì)劃優(yōu)化平臺組件虛擬化程度，大幅度提升組件的標(biāo)準(zhǔn)化和真實(shí)化；平臺將優(yōu)化各模塊的操作方式，進(jìn)一步優(yōu)化業(yè)務(wù)的流程，從而提高系統(tǒng)的可操作性和可靠性。

（2）由于省內(nèi)絕大多數(shù)工業(yè)企業(yè)遵循傳統(tǒng)安全防護(hù)模式，難以應(yīng)對當(dāng)前工業(yè)信息安全攻擊手段，因此項(xiàng)目形成的工控網(wǎng)絡(luò)安全解決方案計(jì)劃覆蓋到全省，同時(shí)逐步覆蓋到周邊省份，以提高更多工業(yè)企業(yè)的安全防護(hù)能力。

（3）利用平臺具備的工業(yè)網(wǎng)絡(luò)安全實(shí)驗(yàn)室聯(lián)合國家和省級網(wǎng)絡(luò)安全主管單位共同舉辦不同級別的工業(yè)網(wǎng)絡(luò)安全攻防比賽，并聯(lián)合高校和行業(yè)主管部門定期舉行行業(yè)網(wǎng)絡(luò)安全人才培訓(xùn)班，以及和國家行業(yè)有關(guān)實(shí)驗(yàn)室組建網(wǎng)絡(luò)安全聯(lián)合實(shí)驗(yàn)室。

3　案例亮點(diǎn)及創(chuàng)新性

3.1　案例亮點(diǎn)

（1）在技術(shù)先進(jìn)方面：本項(xiàng)目基于網(wǎng)絡(luò)虛實(shí)結(jié)合構(gòu)建技術(shù)擴(kuò)大了仿真資源的利用率及共享率，實(shí)現(xiàn)了細(xì)粒度的資源共享能力，同時(shí)具有較強(qiáng)的協(xié)同、容錯(cuò)和安全應(yīng)用機(jī)制，對虛擬化技術(shù)具備良好的支持度，并利用多級控制層的實(shí)體網(wǎng)絡(luò)快速配置技術(shù)實(shí)現(xiàn)了更便捷的仿真資源調(diào)度與配置，最后通過高并發(fā)的分布式場景實(shí)例構(gòu)建技術(shù)實(shí)現(xiàn)了大型復(fù)雜環(huán)境下的網(wǎng)絡(luò)環(huán)境構(gòu)建。

（2）在行業(yè)發(fā)展方面：本項(xiàng)目可本地部署，可基于本地基礎(chǔ)資源層，輻射全省各地進(jìn)行工控設(shè)備安全測評和驗(yàn)證，對提升行業(yè)工控安全具有重要意義。

3.2　創(chuàng)新點(diǎn)

本項(xiàng)目結(jié)合競賽、演練和培訓(xùn)，提供了一個(gè)多維度的平臺，培養(yǎng)了實(shí)戰(zhàn)技能，促進(jìn)了協(xié)同工作，深化了企業(yè)對工控網(wǎng)絡(luò)威脅的認(rèn)知，提高了工控系統(tǒng)的抗攻擊能力。

3.3　推廣價(jià)值

本項(xiàng)目可滿足地方、省級及城市級的工控安全能力提升需求，可提高對網(wǎng)絡(luò)事件的應(yīng)對速度和質(zhì)量，并推動(dòng)工業(yè)網(wǎng)絡(luò)安全的發(fā)展。

3.4　經(jīng)濟(jì)效益

（1）從信息安全服務(wù)提供商維度，可擴(kuò)展和區(qū)分投資組合并增加收入。

（2）從高校人才培養(yǎng)維度，可提供創(chuàng)新的實(shí)踐網(wǎng)絡(luò)學(xué)位課程，畢業(yè)生可加速進(jìn)入成功的職業(yè)生涯。

（3）從政府部門維度，可加速網(wǎng)絡(luò)安全專業(yè)人員的認(rèn)證，可側(cè)重提升公共部門事件響應(yīng)小組應(yīng)對網(wǎng)絡(luò)攻擊的能力。

（4）從企業(yè)維度，可提升企業(yè)的事件響應(yīng)團(tuán)隊(duì)技能，可評估新員工并加速入職。

3.5　社會效益

本項(xiàng)目彌補(bǔ)了貴州省內(nèi)移動(dòng)公司在工控網(wǎng)絡(luò)安全靶場建設(shè)、團(tuán)隊(duì)人才實(shí)操能力培養(yǎng)等方面的空缺，進(jìn)一步提升了省內(nèi)工控安全的防護(hù)水平，影響和帶動(dòng)了相關(guān)行業(yè)在工控網(wǎng)絡(luò)攻防靶場平臺方面的建設(shè)，提升了工控網(wǎng)絡(luò)安全靶場平臺的輻射服務(wù)能力，培養(yǎng)了一批從事相關(guān)行業(yè)企業(yè)工控網(wǎng)絡(luò)安全靶場平臺系統(tǒng)設(shè)計(jì)、實(shí)施、運(yùn)維及服務(wù)的專業(yè)技術(shù)人才。

作者簡介：

訾立強(qiáng)（1990-），男，河北秦皇島人，碩士，現(xiàn)就職于烽臺科技（北京）有限公司，主要從事工業(yè)信息安全方面的研究。

李璐吉（1996-），男，四川成都人，學(xué)士，現(xiàn)就職于烽臺科技（北京）有限公司，主要從事工控安全、監(jiān)測運(yùn)營方面的研究。

摘自《自動(dòng)化博覽》2024年7月刊