工業控制系統網路攻防實驗

安全問題是制約工業4.0、工業網際網路發展的因素之一，亟需培養相關安全人才。傳統的網路攻防實踐局限於IT技術領域，主要利用網路靶場等實施IT攻擊與防禦，較少涉及廣泛套用於電力1核電、石化、水廠、軌道交通等關乎國家社會穩定與安全的關鍵基礎設施網路或工業控制系統網路，主要原因是:①不能在實際工控網路中進行攻防測試，②基於實物或半實物搭建安全測試床代價高，且存在設備損壞、環境污染等風險，③基於軟體聯合仿真的測試床不支持互動性強的攻防實驗。.

課程組針對現有工控系統測試床網路規模、網路數據流難以與實際系統一致，以及網路拓撲不易變更、網路互動性不強等問題，自主研發基於工藝生產過程仿真的工業控制系統網路虛擬仿真實驗平台，基於網路功能虛擬化等技術，將工藝生產過程仿真軟體打包為容器鏡像，每次實驗時，只需根據規劃設計的工業控制系統網路拓撲及參數配置，載入指定的容器、按設計的拓撲生成容器網路，容器之間按指定的工控協定進行網路通訊，模擬實時工藝生產過程，從而為攻防演練提供工業控.制系統網路環境，避免在實際生產環境中對工控系統進行攻防演練可能會導致的設備損毀、環境污染、人身傷害。支持IT攻.防測試和工控網路操控技術(Operation Technology, OT)攻擊實驗，並為相關教學研究、科學研究提供支持，為國家培養“既懂安全，又懂工控”的複合型網路安全人才。

熟悉Modbus/TCP等工控系統常用協定，熟悉工控基本原理;以IT網路攻擊技術為基礎，掌握基本的OT攻擊方法，包括利用IT的完整性、可用性攻擊手段破壞OT的可控、可觀測、可操作;熟悉面向未來網路的、基於SDN的OT網路的安全防禦.基本方法。

(1)深入理解石化、水處理等流程工業的生產控制原理，掌握感測器參數作用、控制器控制邏輯、化學反應罐等元器件的參數控制方法，從而將信息安全基礎理論和專業知識結合實際工程套用需求，培養解決基礎設施網路或工業控制網路中數據採集與監視控制系統(Supervisory Control And Data Acquisition，SCADA) 的數據採集、授權控制、安全通信等問題的能力;

(2)能夠基於實驗平台，搭建化工廠等虛擬工廠，進一步提升對實際流程工業的工控網路，即網路化工控系統(Networked Industrial Control System, NICS) 的分析、設計能力，並在實驗方案設計中培養創新意識、創新能力;

(3)掌握針對NICS的IT攻擊方法和基本的OT攻擊方法，設計抵禦IT攻擊的NICS安全方案， 設計/開發檢測OT攻擊的解決方案，設計滿足NICS異常檢測基本需求的系統，培養創新意識、創新能力;

(4)掌握NICS監聽、常見工控協定分析方法，熟悉基於SDN動態路由的抗監聽及攻擊流重定向方法，進一步提升對流程工業NICS的分析能力、實戰能力，為基於時序數據和深度學習算法的自動檢測、自動防禦等後續理論研究奠定基礎。