奇安信科技集團(tuán)股份有限公司（以下簡(jiǎn)稱奇安信，股票代碼688561）成立于2014年，專注于網(wǎng)絡(luò)空間安全市場(chǎng)，向政府、企業(yè)用戶提供新一代企業(yè)級(jí)網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)，在人員規(guī)模、收入規(guī)模和產(chǎn)品覆蓋度上均位居行業(yè)第一。2022年3月13日，奇安信圓滿完成了北京冬奧會(huì)和冬殘奧會(huì)網(wǎng)絡(luò)安全保障工作，兌現(xiàn)了北京冬奧網(wǎng)絡(luò)安全“零事故”的承諾，為我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施和重大活動(dòng)的網(wǎng)絡(luò)安全保障提供示范樣本和有益經(jīng)驗(yàn)。

隨著數(shù)控系統(tǒng)在工控領(lǐng)域的廣泛應(yīng)用，逐漸成為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施和各類工業(yè)生產(chǎn)的核心組件。奇安信通過(guò)本項(xiàng)目的實(shí)施，構(gòu)建工控安全攻防和工控安全滲透靶場(chǎng)環(huán)境，研究漏洞利用、惡意代碼利用等技術(shù)，提高數(shù)控機(jī)床信息安全檢測(cè)能力，助力數(shù)控機(jī)床的安全運(yùn)行。

項(xiàng)目

概況

1. 項(xiàng)目背景

隨著信息和通信技術(shù)的高速發(fā)展，作為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施和各類工業(yè)生產(chǎn)核心組件的數(shù)控系統(tǒng)面臨越來(lái)越嚴(yán)重的安全威脅。當(dāng)前國(guó)內(nèi)外主流的安全防御思想已經(jīng)逐漸由安全設(shè)備驅(qū)動(dòng)、邊界被動(dòng)防御、已知威脅檢測(cè)轉(zhuǎn)變?yōu)楹Ａ繑?shù)據(jù)驅(qū)動(dòng)、多層縱深防護(hù)、未知威脅發(fā)現(xiàn)。大數(shù)據(jù)驅(qū)動(dòng)下的異常發(fā)現(xiàn)、主動(dòng)預(yù)警的安全監(jiān)測(cè)響應(yīng)體系正成為當(dāng)前在隔離、加密等傳統(tǒng)防護(hù)措施上的重要補(bǔ)充手段。APT攻擊、0day漏洞等新型安全威脅會(huì)有針對(duì)性地繞開(kāi)以預(yù)防為主的傳統(tǒng)安全防御體系，在很長(zhǎng)的時(shí)間內(nèi)不易被發(fā)現(xiàn)，而內(nèi)部人員出于各種目的的違規(guī)行為也是一個(gè)重要的安全事件根源。在新的形勢(shì)下，被動(dòng)防御體系面臨越來(lái)越多的針對(duì)性問(wèn)題，不同程度上限制了當(dāng)前“互聯(lián)網(wǎng)+”和中國(guó)智能制造戰(zhàn)略、工業(yè)互聯(lián)網(wǎng)等的技術(shù)發(fā)展和業(yè)務(wù)開(kāi)展的靈活性。

由于數(shù)控系統(tǒng)在平臺(tái)、系統(tǒng)和協(xié)議等方面的特殊性，現(xiàn)有的信息系統(tǒng)安全防護(hù)方法和工具很大程度上不能滿足要求，亟需針對(duì)數(shù)控系統(tǒng)開(kāi)展網(wǎng)絡(luò)安全攻防能力建設(shè)，提高數(shù)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)水平，滿足工控側(cè)對(duì)安全性、可靠性和穩(wěn)定性的高要求。

2. 項(xiàng)目簡(jiǎn)介

基于數(shù)控機(jī)床場(chǎng)景的工控網(wǎng)絡(luò)安全靶場(chǎng)具有攻防演練、滲透測(cè)試、漏洞挖掘、風(fēng)險(xiǎn)評(píng)估和檢測(cè)預(yù)警等能力，實(shí)現(xiàn)基于數(shù)控系統(tǒng)場(chǎng)景的工控安全攻防靶場(chǎng)、工控安全滲透靶場(chǎng)的建設(shè)，主要包括：

（1）建設(shè)工控安全攻防靶場(chǎng),采用工業(yè)漏洞掃描系統(tǒng)、工業(yè)漏洞挖掘系統(tǒng)等對(duì)數(shù)控系統(tǒng)進(jìn)行全面的安全檢測(cè)，探測(cè)發(fā)現(xiàn)數(shù)控系統(tǒng)中存在的安全漏洞，對(duì)漏洞進(jìn)行危險(xiǎn)性評(píng)估；此外，與安全建設(shè)相結(jié)合，部署工業(yè)防火墻、工業(yè)安全監(jiān)測(cè)系統(tǒng)、工業(yè)主機(jī)安全防護(hù)系統(tǒng)等產(chǎn)品，驗(yàn)證防護(hù)方案有效性。

（2）建設(shè)工控安全滲透靶場(chǎng)，通過(guò)模擬惡意人員、黑客組織、敵對(duì)勢(shì)力等不同強(qiáng)度的滲透活動(dòng)，測(cè)試數(shù)控系統(tǒng)在滲透環(huán)境下的防護(hù)水平和安全短板；同時(shí)能夠?qū)B透途徑、漏洞利用、痕跡清除等滲透過(guò)程進(jìn)行驗(yàn)證，從而提升數(shù)控系統(tǒng)的安全運(yùn)行能力。

3. 項(xiàng)目目標(biāo)

通過(guò)該靶場(chǎng)的落實(shí)實(shí)施，將虛擬化IT/OT網(wǎng)絡(luò)與工業(yè)流程仿真模型相結(jié)合，建立工控系統(tǒng)網(wǎng)絡(luò)安全攻防基礎(chǔ)靶場(chǎng)環(huán)境，提供基于數(shù)控系統(tǒng)場(chǎng)景的安全可靠的演練、滲透和對(duì)抗等功能和服務(wù)，實(shí)現(xiàn)數(shù)控系統(tǒng)脆弱性檢測(cè)，及時(shí)發(fā)現(xiàn)數(shù)控系統(tǒng)網(wǎng)絡(luò)威脅，實(shí)現(xiàn)工業(yè)企業(yè)網(wǎng)絡(luò)安全攻防能力的整體提升。

二、項(xiàng)目實(shí)施概況

1. 項(xiàng)目總體架構(gòu)和主要內(nèi)容

基于數(shù)控系統(tǒng)場(chǎng)景的工控網(wǎng)絡(luò)安全靶場(chǎng)以虛擬化、大規(guī)模網(wǎng)絡(luò)仿真、滲透測(cè)試、漏洞掃描、數(shù)據(jù)采集分析、工業(yè)仿真等技術(shù)對(duì)數(shù)控系統(tǒng)中的網(wǎng)絡(luò)架構(gòu)、系統(tǒng)設(shè)備、業(yè)務(wù)流程、工藝狀態(tài)、運(yùn)行環(huán)境進(jìn)行模擬仿真和復(fù)現(xiàn)，提供攻防演練、漏洞挖掘、風(fēng)險(xiǎn)評(píng)估、滲透測(cè)試、技術(shù)驗(yàn)證等服務(wù)的一體化靶場(chǎng)平臺(tái)。

圖1：工控網(wǎng)絡(luò)安全靶場(chǎng)平臺(tái)

技術(shù)支撐層具備接入各類軟硬件資源、網(wǎng)絡(luò)仿真、可視化組網(wǎng)引擎等能力，為平臺(tái)提供基礎(chǔ)技術(shù)支撐；平臺(tái)管理層通過(guò)對(duì)鏡像、組件的接入，構(gòu)建核心資源，提供對(duì)平臺(tái)本身的運(yùn)營(yíng)管理支撐，包括用戶管理、角色與權(quán)限管理等，同時(shí)提供應(yīng)用層通用的資源庫(kù)，如各類安全工具、知識(shí)庫(kù)、數(shù)據(jù)采集工具等；平臺(tái)應(yīng)用層是根據(jù)工業(yè)企業(yè)典型使用場(chǎng)景和業(yè)務(wù)流程，支撐攻防演練、滲透測(cè)試、漏洞挖掘、風(fēng)險(xiǎn)評(píng)估和檢測(cè)預(yù)警。

2. 具體應(yīng)用場(chǎng)景和應(yīng)用模式

(1)工控安全攻防靶場(chǎng)建設(shè)

依托工控網(wǎng)絡(luò)安全靶場(chǎng)平臺(tái)，構(gòu)建工控安全攻防靶場(chǎng)環(huán)境。攻防演練是一項(xiàng)檢驗(yàn)信息安全防護(hù)能力以及應(yīng)急響應(yīng)速度的信息安全服務(wù)。在靶場(chǎng)提供的可控演練環(huán)境內(nèi)，集成網(wǎng)絡(luò)安全攻防領(lǐng)域內(nèi)漏洞掃描探針，使用專業(yè)的攻防手段，在完全可控的環(huán)境中構(gòu)造網(wǎng)絡(luò)攻防的真實(shí)場(chǎng)景并對(duì)其進(jìn)行解析和分析呈現(xiàn)。工控安全攻防靶場(chǎng)支持兩種演練類型：網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)防御。

網(wǎng)絡(luò)攻擊場(chǎng)景架構(gòu)如下：

圖：工控安全攻防靶場(chǎng)——漏洞掃描架構(gòu)

工控安全攻防靶場(chǎng)——漏洞掃描組件針對(duì)工控仿真環(huán)境中的控制器、伺服器和計(jì)算機(jī)集成制造網(wǎng)絡(luò)中存在的常見(jiàn)漏洞、典型漏洞、0day漏洞等進(jìn)行掃描和檢查，并利用大數(shù)據(jù)的分析技術(shù)對(duì)當(dāng)前已發(fā)現(xiàn)的漏洞進(jìn)行關(guān)聯(lián)性分析，生產(chǎn)關(guān)聯(lián)分析報(bào)告。

網(wǎng)絡(luò)防御：工控安全靶場(chǎng)平臺(tái)防御是通過(guò)接入該場(chǎng)景實(shí)施網(wǎng)絡(luò)防御體系， 包括但不限于邊界防護(hù)類（工業(yè)網(wǎng)閘、工業(yè)防火墻）、檢測(cè)與審計(jì)類（工業(yè)安全監(jiān)測(cè)系統(tǒng)）、主機(jī)防護(hù)類（工業(yè)主機(jī)安全防護(hù)系統(tǒng)）、安全管理類（工業(yè)安全管理與運(yùn)營(yíng)分析平臺(tái)）等產(chǎn)品，通過(guò)該體系，實(shí)時(shí)發(fā)現(xiàn)攻擊行為并對(duì)仿真工控系統(tǒng)進(jìn)行防護(hù)，驗(yàn)證安全產(chǎn)品和防護(hù)方案的有效性。

(2)工控安全滲透靶場(chǎng)建設(shè)

依托工控網(wǎng)絡(luò)安全靶場(chǎng)平臺(tái)，構(gòu)建工控安全滲透靶場(chǎng)環(huán)境。該系統(tǒng)滲透測(cè)試功能模塊主要實(shí)現(xiàn)利用主動(dòng)滲透方式對(duì)當(dāng)前的機(jī)床、工控系統(tǒng)、工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)及設(shè)備進(jìn)行信息安全掃描，嘗試以各種方式查看是否對(duì)當(dāng)前系統(tǒng)造成威脅。滲透測(cè)試模塊架構(gòu)如下：

圖：工控安全滲透靶場(chǎng)——滲透測(cè)試模塊架構(gòu)

滲透功能模塊采用了載荷變形、編碼和HTTP分片傳輸?shù)燃夹g(shù)，自動(dòng)化繞過(guò)防護(hù)設(shè)備，防止被防護(hù)設(shè)備攔截而檢測(cè)不出漏洞；支持通過(guò)高質(zhì)量插件提供的漏洞利用接口，可以直接讓使用人員通過(guò)接口利用漏洞，從而進(jìn)行更深一步的測(cè)試；可以在對(duì)漏洞詳情不太了解的情況下，對(duì)檢測(cè)出的漏洞進(jìn)行真正的漏洞利用，發(fā)揮漏洞真正的威力；考慮到漏洞發(fā)現(xiàn)、漏洞利用和后滲透的自動(dòng)化銜接，滲透功能模塊使用自動(dòng)化滲透流程管控技術(shù)，實(shí)現(xiàn)了漏洞發(fā)現(xiàn)、利用到權(quán)限獲取與維持的整個(gè)過(guò)程。

惡意代碼滲透是一個(gè)無(wú)監(jiān)管的、自動(dòng)的從模型建立到模型檢測(cè)的全方位功能模塊。全模塊分為工控系統(tǒng)惡意代碼武器庫(kù)、工控系統(tǒng)惡意代碼滲透投放、工控系統(tǒng)惡意代碼滲透狀態(tài)評(píng)估三大功能，分為三大核心技術(shù)：惡意代碼聚類技術(shù)、惡意代碼檢測(cè)規(guī)則自學(xué)習(xí)技術(shù)、惡意代碼檢測(cè)判定技術(shù)。

網(wǎng)絡(luò)滲透可對(duì)控制器、伺服器和計(jì)算機(jī)集成制造網(wǎng)絡(luò)等進(jìn)行滲透，支持刺探、掃描、泛洪滲透、鑒別滲透、迂回滲透、偽裝、讀取、復(fù)制、竊取、篡改、刪除等滲透動(dòng)作。

3. 其他亮點(diǎn)

(1)解決工控系統(tǒng)缺乏網(wǎng)絡(luò)安全攻防基礎(chǔ)平臺(tái)的問(wèn)題

在工控系統(tǒng)網(wǎng)絡(luò)安全研究中，攻擊手段和防護(hù)方法的研究都是不可或缺的。在工業(yè)領(lǐng)域，工控系統(tǒng)一旦遭受攻擊將帶來(lái)較為嚴(yán)重的經(jīng)濟(jì)損失、人員傷亡，基于此特點(diǎn)，建設(shè)工控系統(tǒng)網(wǎng)絡(luò)安全攻防能力平臺(tái)，在工控系統(tǒng)未遭受真實(shí)攻擊的情況下，對(duì)工控系統(tǒng)進(jìn)行攻擊模擬，直觀反映攻擊后果引起重視，同時(shí)也能綜合評(píng)價(jià)被測(cè)工控系統(tǒng)抵御網(wǎng)絡(luò)攻擊的能力，從而提出安全改進(jìn)方案，提升工控系統(tǒng)安全防護(hù)能力。

(2)解決工控系統(tǒng)脆弱性檢測(cè)能力不足的問(wèn)題

國(guó)外在漏洞掃描技術(shù)方面的研究相對(duì)起步較早，并且也取得了一定的成果?；诼┒磼呙枧c挖掘的成果構(gòu)建完備的漏洞庫(kù)，是安全研究領(lǐng)域的一項(xiàng)重要課題。目前國(guó)內(nèi)在這方面的能力相對(duì)較弱，基于該靶場(chǎng)可以利用工控漏洞掃描工具和工控漏挖工具對(duì)工控系統(tǒng)進(jìn)行脆弱性探測(cè)，助力工業(yè)漏洞基礎(chǔ)研究。

(3)解決工控系統(tǒng)網(wǎng)絡(luò)威脅難發(fā)現(xiàn)的問(wèn)題

傳統(tǒng)的網(wǎng)絡(luò)安全事件分析思路是遍歷各個(gè)安全設(shè)備的告警日志，嘗試找出其中的關(guān)聯(lián)關(guān)系。但在工控實(shí)戰(zhàn)過(guò)程中，針對(duì)工控生產(chǎn)裝備的攻擊，尤其是攻擊者采用某些手段進(jìn)行證據(jù)銷毀工作后，依靠傳統(tǒng)的分析方式、傳統(tǒng)安全設(shè)備通常都無(wú)法對(duì)APT攻擊的各個(gè)階段進(jìn)行有效的檢測(cè)。基于數(shù)控系統(tǒng)場(chǎng)景的工控網(wǎng)絡(luò)安全靶場(chǎng)建設(shè)，助力安全人員實(shí)現(xiàn)格式化檢測(cè)，從海量的數(shù)據(jù)中找到有價(jià)值的信息。

三、下一步實(shí)施計(jì)劃

1. 推廣應(yīng)用

基于數(shù)控機(jī)床場(chǎng)景的工控網(wǎng)絡(luò)安全靶場(chǎng)培養(yǎng)客戶操作員以及工控系統(tǒng)人員的安全意識(shí)和安全能力。靶場(chǎng)在檢驗(yàn)企業(yè)數(shù)控系統(tǒng)整體安全能力的同時(shí)，可對(duì)數(shù)控系統(tǒng)進(jìn)行定制化靶場(chǎng)環(huán)境復(fù)現(xiàn)，利用工業(yè)控制系統(tǒng)存在的漏洞進(jìn)行專業(yè)演練，用可控的方式對(duì)其進(jìn)行安全攻擊，加強(qiáng)客戶操作員和工控系統(tǒng)人員對(duì)漏洞本質(zhì)的理解，客戶根據(jù)靶場(chǎng)的漏洞特征分析報(bào)告有針對(duì)性的消除漏洞。本靶場(chǎng)將滿足我國(guó)相關(guān)行業(yè)的需求，具備巨大的市場(chǎng)前景，同時(shí)也將大大提升我國(guó)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全防護(hù)能力。

四、項(xiàng)目創(chuàng)新點(diǎn)和實(shí)施效果

1. 項(xiàng)目先進(jìn)性及創(chuàng)新點(diǎn)

(1)漏洞發(fā)現(xiàn)和關(guān)聯(lián)分析技術(shù)

基于大數(shù)據(jù)處理的漏洞發(fā)現(xiàn)和關(guān)聯(lián)分析技術(shù)成為對(duì)工控系統(tǒng)安全漏洞、威脅、脆弱性、異常行為分析的有力武器。利用大數(shù)據(jù)分析對(duì)全網(wǎng)資產(chǎn)面臨的安全漏洞影響面快速定位，應(yīng)用資產(chǎn)價(jià)值、業(yè)務(wù)價(jià)值和業(yè)務(wù)連續(xù)性影響等數(shù)據(jù)，綜合漏洞風(fēng)險(xiǎn)等級(jí)、漏洞類型、漏洞危害性等數(shù)據(jù)進(jìn)行數(shù)據(jù)關(guān)聯(lián)分析，給出漏洞處置優(yōu)先級(jí)及處置建議。

(2)高度自動(dòng)化的滲透測(cè)試技術(shù)

基于數(shù)控系統(tǒng)場(chǎng)景的工控網(wǎng)絡(luò)安全靶場(chǎng)采用高度自動(dòng)化的滲透測(cè)試技術(shù)，包括自動(dòng)探測(cè)技術(shù)（端口掃描、指紋識(shí)別、子域名識(shí)別、漏洞探測(cè)等）、自動(dòng)障礙繞過(guò)技術(shù)（機(jī)器學(xué)習(xí)驗(yàn)證碼識(shí)別技術(shù)、Bypass WAF技術(shù)）、自動(dòng)利用技術(shù)（針對(duì)無(wú)法完全自動(dòng)化利用的漏洞，“一鍵式”手動(dòng)調(diào)用漏洞插件）和自動(dòng)權(quán)限獲取技術(shù)（利用漏洞、口令爆破等方法自動(dòng)獲取用戶權(quán)限）。

(3)設(shè)備建模和數(shù)據(jù)對(duì)接技術(shù)

將大數(shù)據(jù)和網(wǎng)絡(luò)安全分析技術(shù)相結(jié)合，實(shí)現(xiàn)對(duì)數(shù)據(jù)的采集分析，功能維度進(jìn)行匯總、查看、統(tǒng)計(jì)及處置。設(shè)備仿真和數(shù)據(jù)采集技術(shù)成為對(duì)工控系統(tǒng)安全威脅和系統(tǒng)狀態(tài)異常分析的有力武器。利用采集的數(shù)據(jù)進(jìn)行分析能夠?qū)υO(shè)備安全態(tài)勢(shì)、運(yùn)行狀態(tài)和工控資產(chǎn)進(jìn)行可視化展示，并通過(guò)可視化界面進(jìn)行數(shù)據(jù)關(guān)聯(lián)查詢，及時(shí)對(duì)工控環(huán)境中未來(lái)風(fēng)險(xiǎn)進(jìn)行預(yù)測(cè)、預(yù)防。

2. 實(shí)施效果

基于數(shù)控系統(tǒng)場(chǎng)景的工控網(wǎng)絡(luò)安全靶場(chǎng)可以全方位模擬工控場(chǎng)景，將虛擬工控節(jié)點(diǎn)和實(shí)體工控節(jié)點(diǎn)相結(jié)合部署在同一業(yè)務(wù)場(chǎng)景之中，通過(guò)虛實(shí)結(jié)合的技術(shù)手段模擬真實(shí)工控業(yè)務(wù)場(chǎng)景。由于提供虛擬與實(shí)體結(jié)合的部署方式，可以提供靈活的、真實(shí)的生產(chǎn)場(chǎng)景，支持從管理、監(jiān)控、操作、執(zhí)行、現(xiàn)場(chǎng)的多層級(jí)模擬能力，最大限度的復(fù)原全部生產(chǎn)流程及供需?；谠摪袌?chǎng)可以實(shí)現(xiàn)覆蓋全行業(yè)場(chǎng)景，全產(chǎn)業(yè)要素，全領(lǐng)域空間的安全攻防演練和滲透測(cè)試，保障工業(yè)控制系統(tǒng)安全穩(wěn)定運(yùn)行，大大提升我國(guó)重要關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全防護(hù)能力。