奇安信科技集團股份有限公司（以下簡稱奇安信，股票代碼688561）成立于2014年，專注于網(wǎng)絡(luò)空間安全市場，向政府、企業(yè)用戶提供新一代企業(yè)級網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)，在人員規(guī)模、收入規(guī)模和產(chǎn)品覆蓋度上均位居行業(yè)第一。2022年3月13日，奇安信圓滿完成了北京冬奧會和冬殘奧會網(wǎng)絡(luò)安全保障工作，兌現(xiàn)了北京冬奧網(wǎng)絡(luò)安全“零事故”的承諾，為我國關(guān)鍵信息基礎(chǔ)設(shè)施和重大活動的網(wǎng)絡(luò)安全保障提供示范樣本和有益經(jīng)驗。

隨著數(shù)控系統(tǒng)在工控領(lǐng)域的廣泛應(yīng)用，逐漸成為國家關(guān)鍵基礎(chǔ)設(shè)施和各類工業(yè)生產(chǎn)的核心組件。奇安信通過本項目的實施，構(gòu)建工控安全攻防和工控安全滲透靶場環(huán)境，研究漏洞利用、惡意代碼利用等技術(shù)，提高數(shù)控機床信息安全檢測能力，助力數(shù)控機床的安全運行。

項目

概況

1. 項目背景

隨著信息和通信技術(shù)的高速發(fā)展，作為國家關(guān)鍵基礎(chǔ)設(shè)施和各類工業(yè)生產(chǎn)核心組件的數(shù)控系統(tǒng)面臨越來越嚴重的安全威脅。當前國內(nèi)外主流的安全防御思想已經(jīng)逐漸由安全設(shè)備驅(qū)動、邊界被動防御、已知威脅檢測轉(zhuǎn)變?yōu)楹Ａ繑?shù)據(jù)驅(qū)動、多層縱深防護、未知威脅發(fā)現(xiàn)。大數(shù)據(jù)驅(qū)動下的異常發(fā)現(xiàn)、主動預(yù)警的安全監(jiān)測響應(yīng)體系正成為當前在隔離、加密等傳統(tǒng)防護措施上的重要補充手段。APT攻擊、0day漏洞等新型安全威脅會有針對性地繞開以預(yù)防為主的傳統(tǒng)安全防御體系，在很長的時間內(nèi)不易被發(fā)現(xiàn)，而內(nèi)部人員出于各種目的的違規(guī)行為也是一個重要的安全事件根源。在新的形勢下，被動防御體系面臨越來越多的針對性問題，不同程度上限制了當前“互聯(lián)網(wǎng)+”和中國智能制造戰(zhàn)略、工業(yè)互聯(lián)網(wǎng)等的技術(shù)發(fā)展和業(yè)務(wù)開展的靈活性。

由于數(shù)控系統(tǒng)在平臺、系統(tǒng)和協(xié)議等方面的特殊性，現(xiàn)有的信息系統(tǒng)安全防護方法和工具很大程度上不能滿足要求，亟需針對數(shù)控系統(tǒng)開展網(wǎng)絡(luò)安全攻防能力建設(shè)，提高數(shù)控系統(tǒng)網(wǎng)絡(luò)安全防護水平，滿足工控側(cè)對安全性、可靠性和穩(wěn)定性的高要求。

2. 項目簡介

基于數(shù)控機床場景的工控網(wǎng)絡(luò)安全靶場具有攻防演練、滲透測試、漏洞挖掘、風(fēng)險評估和檢測預(yù)警等能力，實現(xiàn)基于數(shù)控系統(tǒng)場景的工控安全攻防靶場、工控安全滲透靶場的建設(shè)，主要包括：

（1）建設(shè)工控安全攻防靶場,采用工業(yè)漏洞掃描系統(tǒng)、工業(yè)漏洞挖掘系統(tǒng)等對數(shù)控系統(tǒng)進行全面的安全檢測，探測發(fā)現(xiàn)數(shù)控系統(tǒng)中存在的安全漏洞，對漏洞進行危險性評估；此外，與安全建設(shè)相結(jié)合，部署工業(yè)防火墻、工業(yè)安全監(jiān)測系統(tǒng)、工業(yè)主機安全防護系統(tǒng)等產(chǎn)品，驗證防護方案有效性。

（2）建設(shè)工控安全滲透靶場，通過模擬惡意人員、黑客組織、敵對勢力等不同強度的滲透活動，測試數(shù)控系統(tǒng)在滲透環(huán)境下的防護水平和安全短板；同時能夠?qū)B透途徑、漏洞利用、痕跡清除等滲透過程進行驗證，從而提升數(shù)控系統(tǒng)的安全運行能力。

3. 項目目標

通過該靶場的落實實施，將虛擬化IT/OT網(wǎng)絡(luò)與工業(yè)流程仿真模型相結(jié)合，建立工控系統(tǒng)網(wǎng)絡(luò)安全攻防基礎(chǔ)靶場環(huán)境，提供基于數(shù)控系統(tǒng)場景的安全可靠的演練、滲透和對抗等功能和服務(wù)，實現(xiàn)數(shù)控系統(tǒng)脆弱性檢測，及時發(fā)現(xiàn)數(shù)控系統(tǒng)網(wǎng)絡(luò)威脅，實現(xiàn)工業(yè)企業(yè)網(wǎng)絡(luò)安全攻防能力的整體提升。

二、項目實施概況

1. 項目總體架構(gòu)和主要內(nèi)容

基于數(shù)控系統(tǒng)場景的工控網(wǎng)絡(luò)安全靶場以虛擬化、大規(guī)模網(wǎng)絡(luò)仿真、滲透測試、漏洞掃描、數(shù)據(jù)采集分析、工業(yè)仿真等技術(shù)對數(shù)控系統(tǒng)中的網(wǎng)絡(luò)架構(gòu)、系統(tǒng)設(shè)備、業(yè)務(wù)流程、工藝狀態(tài)、運行環(huán)境進行模擬仿真和復(fù)現(xiàn)，提供攻防演練、漏洞挖掘、風(fēng)險評估、滲透測試、技術(shù)驗證等服務(wù)的一體化靶場平臺。

圖1：工控網(wǎng)絡(luò)安全靶場平臺

技術(shù)支撐層具備接入各類軟硬件資源、網(wǎng)絡(luò)仿真、可視化組網(wǎng)引擎等能力，為平臺提供基礎(chǔ)技術(shù)支撐；平臺管理層通過對鏡像、組件的接入，構(gòu)建核心資源，提供對平臺本身的運營管理支撐，包括用戶管理、角色與權(quán)限管理等，同時提供應(yīng)用層通用的資源庫，如各類安全工具、知識庫、數(shù)據(jù)采集工具等；平臺應(yīng)用層是根據(jù)工業(yè)企業(yè)典型使用場景和業(yè)務(wù)流程，支撐攻防演練、滲透測試、漏洞挖掘、風(fēng)險評估和檢測預(yù)警。

2. 具體應(yīng)用場景和應(yīng)用模式

(1)工控安全攻防靶場建設(shè)

依托工控網(wǎng)絡(luò)安全靶場平臺，構(gòu)建工控安全攻防靶場環(huán)境。攻防演練是一項檢驗信息安全防護能力以及應(yīng)急響應(yīng)速度的信息安全服務(wù)。在靶場提供的可控演練環(huán)境內(nèi)，集成網(wǎng)絡(luò)安全攻防領(lǐng)域內(nèi)漏洞掃描探針，使用專業(yè)的攻防手段，在完全可控的環(huán)境中構(gòu)造網(wǎng)絡(luò)攻防的真實場景并對其進行解析和分析呈現(xiàn)。工控安全攻防靶場支持兩種演練類型：網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)防御。

網(wǎng)絡(luò)攻擊場景架構(gòu)如下：

圖：工控安全攻防靶場——漏洞掃描架構(gòu)

工控安全攻防靶場——漏洞掃描組件針對工控仿真環(huán)境中的控制器、伺服器和計算機集成制造網(wǎng)絡(luò)中存在的常見漏洞、典型漏洞、0day漏洞等進行掃描和檢查，并利用大數(shù)據(jù)的分析技術(shù)對當前已發(fā)現(xiàn)的漏洞進行關(guān)聯(lián)性分析，生產(chǎn)關(guān)聯(lián)分析報告。

網(wǎng)絡(luò)防御：工控安全靶場平臺防御是通過接入該場景實施網(wǎng)絡(luò)防御體系， 包括但不限于邊界防護類（工業(yè)網(wǎng)閘、工業(yè)防火墻）、檢測與審計類（工業(yè)安全監(jiān)測系統(tǒng)）、主機防護類（工業(yè)主機安全防護系統(tǒng)）、安全管理類（工業(yè)安全管理與運營分析平臺）等產(chǎn)品，通過該體系，實時發(fā)現(xiàn)攻擊行為并對仿真工控系統(tǒng)進行防護，驗證安全產(chǎn)品和防護方案的有效性。

(2)工控安全滲透靶場建設(shè)

依托工控網(wǎng)絡(luò)安全靶場平臺，構(gòu)建工控安全滲透靶場環(huán)境。該系統(tǒng)滲透測試功能模塊主要實現(xiàn)利用主動滲透方式對當前的機床、工控系統(tǒng)、工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)及設(shè)備進行信息安全掃描，嘗試以各種方式查看是否對當前系統(tǒng)造成威脅。滲透測試模塊架構(gòu)如下：

圖：工控安全滲透靶場——滲透測試模塊架構(gòu)

滲透功能模塊采用了載荷變形、編碼和HTTP分片傳輸?shù)燃夹g(shù)，自動化繞過防護設(shè)備，防止被防護設(shè)備攔截而檢測不出漏洞；支持通過高質(zhì)量插件提供的漏洞利用接口，可以直接讓使用人員通過接口利用漏洞，從而進行更深一步的測試；可以在對漏洞詳情不太了解的情況下，對檢測出的漏洞進行真正的漏洞利用，發(fā)揮漏洞真正的威力；考慮到漏洞發(fā)現(xiàn)、漏洞利用和后滲透的自動化銜接，滲透功能模塊使用自動化滲透流程管控技術(shù)，實現(xiàn)了漏洞發(fā)現(xiàn)、利用到權(quán)限獲取與維持的整個過程。

惡意代碼滲透是一個無監(jiān)管的、自動的從模型建立到模型檢測的全方位功能模塊。全模塊分為工控系統(tǒng)惡意代碼武器庫、工控系統(tǒng)惡意代碼滲透投放、工控系統(tǒng)惡意代碼滲透狀態(tài)評估三大功能，分為三大核心技術(shù)：惡意代碼聚類技術(shù)、惡意代碼檢測規(guī)則自學(xué)習(xí)技術(shù)、惡意代碼檢測判定技術(shù)。

網(wǎng)絡(luò)滲透可對控制器、伺服器和計算機集成制造網(wǎng)絡(luò)等進行滲透，支持刺探、掃描、泛洪滲透、鑒別滲透、迂回滲透、偽裝、讀取、復(fù)制、竊取、篡改、刪除等滲透動作。

3. 其他亮點

(1)解決工控系統(tǒng)缺乏網(wǎng)絡(luò)安全攻防基礎(chǔ)平臺的問題

在工控系統(tǒng)網(wǎng)絡(luò)安全研究中，攻擊手段和防護方法的研究都是不可或缺的。在工業(yè)領(lǐng)域，工控系統(tǒng)一旦遭受攻擊將帶來較為嚴重的經(jīng)濟損失、人員傷亡，基于此特點，建設(shè)工控系統(tǒng)網(wǎng)絡(luò)安全攻防能力平臺，在工控系統(tǒng)未遭受真實攻擊的情況下，對工控系統(tǒng)進行攻擊模擬，直觀反映攻擊后果引起重視，同時也能綜合評價被測工控系統(tǒng)抵御網(wǎng)絡(luò)攻擊的能力，從而提出安全改進方案，提升工控系統(tǒng)安全防護能力。

(2)解決工控系統(tǒng)脆弱性檢測能力不足的問題

國外在漏洞掃描技術(shù)方面的研究相對起步較早，并且也取得了一定的成果。基于漏洞掃描與挖掘的成果構(gòu)建完備的漏洞庫，是安全研究領(lǐng)域的一項重要課題。目前國內(nèi)在這方面的能力相對較弱，基于該靶場可以利用工控漏洞掃描工具和工控漏挖工具對工控系統(tǒng)進行脆弱性探測，助力工業(yè)漏洞基礎(chǔ)研究。

(3)解決工控系統(tǒng)網(wǎng)絡(luò)威脅難發(fā)現(xiàn)的問題

傳統(tǒng)的網(wǎng)絡(luò)安全事件分析思路是遍歷各個安全設(shè)備的告警日志，嘗試找出其中的關(guān)聯(lián)關(guān)系。但在工控實戰(zhàn)過程中，針對工控生產(chǎn)裝備的攻擊，尤其是攻擊者采用某些手段進行證據(jù)銷毀工作后，依靠傳統(tǒng)的分析方式、傳統(tǒng)安全設(shè)備通常都無法對APT攻擊的各個階段進行有效的檢測?；跀?shù)控系統(tǒng)場景的工控網(wǎng)絡(luò)安全靶場建設(shè)，助力安全人員實現(xiàn)格式化檢測，從海量的數(shù)據(jù)中找到有價值的信息。

三、下一步實施計劃

1. 推廣應(yīng)用

基于數(shù)控機床場景的工控網(wǎng)絡(luò)安全靶場培養(yǎng)客戶操作員以及工控系統(tǒng)人員的安全意識和安全能力。靶場在檢驗企業(yè)數(shù)控系統(tǒng)整體安全能力的同時，可對數(shù)控系統(tǒng)進行定制化靶場環(huán)境復(fù)現(xiàn)，利用工業(yè)控制系統(tǒng)存在的漏洞進行專業(yè)演練，用可控的方式對其進行安全攻擊，加強客戶操作員和工控系統(tǒng)人員對漏洞本質(zhì)的理解，客戶根據(jù)靶場的漏洞特征分析報告有針對性的消除漏洞。本靶場將滿足我國相關(guān)行業(yè)的需求，具備巨大的市場前景，同時也將大大提升我國關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全防護能力。

四、項目創(chuàng)新點和實施效果

1. 項目先進性及創(chuàng)新點

(1)漏洞發(fā)現(xiàn)和關(guān)聯(lián)分析技術(shù)

基于大數(shù)據(jù)處理的漏洞發(fā)現(xiàn)和關(guān)聯(lián)分析技術(shù)成為對工控系統(tǒng)安全漏洞、威脅、脆弱性、異常行為分析的有力武器。利用大數(shù)據(jù)分析對全網(wǎng)資產(chǎn)面臨的安全漏洞影響面快速定位，應(yīng)用資產(chǎn)價值、業(yè)務(wù)價值和業(yè)務(wù)連續(xù)性影響等數(shù)據(jù)，綜合漏洞風(fēng)險等級、漏洞類型、漏洞危害性等數(shù)據(jù)進行數(shù)據(jù)關(guān)聯(lián)分析，給出漏洞處置優(yōu)先級及處置建議。

(2)高度自動化的滲透測試技術(shù)

基于數(shù)控系統(tǒng)場景的工控網(wǎng)絡(luò)安全靶場采用高度自動化的滲透測試技術(shù)，包括自動探測技術(shù)（端口掃描、指紋識別、子域名識別、漏洞探測等）、自動障礙繞過技術(shù)（機器學(xué)習(xí)驗證碼識別技術(shù)、Bypass WAF技術(shù)）、自動利用技術(shù)（針對無法完全自動化利用的漏洞，“一鍵式”手動調(diào)用漏洞插件）和自動權(quán)限獲取技術(shù)（利用漏洞、口令爆破等方法自動獲取用戶權(quán)限）。

(3)設(shè)備建模和數(shù)據(jù)對接技術(shù)

將大數(shù)據(jù)和網(wǎng)絡(luò)安全分析技術(shù)相結(jié)合，實現(xiàn)對數(shù)據(jù)的采集分析，功能維度進行匯總、查看、統(tǒng)計及處置。設(shè)備仿真和數(shù)據(jù)采集技術(shù)成為對工控系統(tǒng)安全威脅和系統(tǒng)狀態(tài)異常分析的有力武器。利用采集的數(shù)據(jù)進行分析能夠?qū)υO(shè)備安全態(tài)勢、運行狀態(tài)和工控資產(chǎn)進行可視化展示，并通過可視化界面進行數(shù)據(jù)關(guān)聯(lián)查詢，及時對工控環(huán)境中未來風(fēng)險進行預(yù)測、預(yù)防。

2. 實施效果

基于數(shù)控系統(tǒng)場景的工控網(wǎng)絡(luò)安全靶場可以全方位模擬工控場景，將虛擬工控節(jié)點和實體工控節(jié)點相結(jié)合部署在同一業(yè)務(wù)場景之中，通過虛實結(jié)合的技術(shù)手段模擬真實工控業(yè)務(wù)場景。由于提供虛擬與實體結(jié)合的部署方式，可以提供靈活的、真實的生產(chǎn)場景，支持從管理、監(jiān)控、操作、執(zhí)行、現(xiàn)場的多層級模擬能力，最大限度的復(fù)原全部生產(chǎn)流程及供需?；谠摪袌?/span>可以實現(xiàn)覆蓋全行業(yè)場景，全產(chǎn)業(yè)要素，全領(lǐng)域空間的安全攻防演練和滲透測試，保障工業(yè)控制系統(tǒng)安全穩(wěn)定運行，大大提升我國重要關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全防護能力。