信息與工業(yè)控制安全實(shí)驗(yàn)室規(guī)劃方案

信息與工業(yè)控制安全實(shí)驗(yàn)室規(guī)劃方案 信息與工控系統(tǒng)安全實(shí)驗(yàn)室規(guī)劃方案目錄1. 術(shù)語、定義和縮略語 12. 信息與工控系統(tǒng)安全實(shí)驗(yàn)室概述 12.1信息與工控系統(tǒng)安全實(shí)驗(yàn)室建設(shè)背景 12.1.1信息系統(tǒng)現(xiàn)狀及主要威脅 12.1.2工控系統(tǒng)現(xiàn)狀及主要威脅 22.1.3信息與工控系統(tǒng)安全實(shí)驗(yàn)室建設(shè)目的及意義 43. 信息與工控系統(tǒng)安全實(shí)驗(yàn)室主要研究方向和實(shí)驗(yàn)內(nèi)容 53.1信息安全實(shí)驗(yàn)室主要研究方向和實(shí)驗(yàn)內(nèi)容 53.1.1操作系統(tǒng)安全研究方向和實(shí)驗(yàn)內(nèi)容 53.1.2數(shù)據(jù)庫安全機(jī)制研究方向和實(shí)驗(yàn)內(nèi)容 63.1.3身份認(rèn)證研究方向和實(shí)驗(yàn)內(nèi)容 73.1.4計(jì)算機(jī)病毒攻防研究方向和實(shí)驗(yàn)內(nèi)容 73.2網(wǎng)絡(luò)安全主要研究方向和實(shí)驗(yàn)內(nèi)容 73.2.1入侵檢測(cè)與攻防研究方向和實(shí)驗(yàn)內(nèi)容 83.2.2防火墻研究方向和實(shí)驗(yàn)內(nèi)容 83.2.3漏洞掃描研究方向和實(shí)驗(yàn)內(nèi)容 93.2.4WEB攻防研究方向和實(shí)驗(yàn)內(nèi)容 93.2.5無線攻防研究方向和實(shí)驗(yàn)內(nèi)容 93.3工控安全研究方向和實(shí)驗(yàn)內(nèi)容 103.3.1工控系統(tǒng)漏洞挖掘研究方向和實(shí)驗(yàn)內(nèi)容 103.3.2工控系統(tǒng)攻防研究方向和實(shí)驗(yàn)內(nèi)容 113.3.3安全DCS、PLC、SCADA系統(tǒng)研究方向和實(shí)驗(yàn)內(nèi)容 113.3.4企業(yè)工控安全咨詢?cè)u(píng)估 123.3.5企業(yè)工控安全培訓(xùn) 123.3.6對(duì)外交流和聯(lián)合研究 124. 信息與工控系統(tǒng)安全實(shí)驗(yàn)室組織與運(yùn)行 135. 信息與工控系統(tǒng)安全實(shí)驗(yàn)室建設(shè)計(jì)劃 13信息與工業(yè)控制安全實(shí)驗(yàn)室規(guī)劃方案 第12頁/共SECTIONPAGES13頁術(shù)語、定義和縮略語工業(yè)控制系統(tǒng)：（industrialcontrolsystem,ICS）：對(duì)工業(yè)生產(chǎn)過程安全、信息安全和可靠運(yùn)行產(chǎn)生的作用和影響的人員、硬件和軟件集合。信息系統(tǒng)：（Informationsystem）是由計(jì)算機(jī)硬件、網(wǎng)絡(luò)和通訊設(shè)備、計(jì)算機(jī)軟件、信息資源、信息用戶和規(guī)章制度組成的以處理信息流為目的的人機(jī)一體化系統(tǒng)。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。信息與工控系統(tǒng)安全實(shí)驗(yàn)室概述信息與工控系統(tǒng)安全實(shí)驗(yàn)室建設(shè)背景信息系統(tǒng)現(xiàn)狀及主要威脅隨著信息技術(shù)的不斷發(fā)展，信息日益成為一種重要的戰(zhàn)略資源。信息技術(shù)的應(yīng)用幾乎涉及到了各個(gè)領(lǐng)域，信息技術(shù)正逐漸改變著人們的日常生活和工作方式。信息產(chǎn)業(yè)已經(jīng)成為新的經(jīng)濟(jì)高速增長(zhǎng)點(diǎn)，信息的獲取、處理和保障能力成為一個(gè)國家綜合國力的重要組成部分?？梢哉f，信息安全事關(guān)國家安全、社會(huì)穩(wěn)定，信息安全的重要性由此而知。而近年來，隨著信息技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)蠕蟲、木馬、分布式拒絕服務(wù)攻擊以及間諜軟件等技術(shù)與僵尸網(wǎng)絡(luò)結(jié)合在一起，利用網(wǎng)絡(luò)及信息系統(tǒng)的諸多漏洞，給互聯(lián)網(wǎng)安全造成了嚴(yán)重的威脅。信息安全的威脅來自方方面面，不可一一羅列。但這些威脅根據(jù)其性質(zhì)，基本上可以歸結(jié)為以下幾個(gè)方面：

信息泄露：保護(hù)的信息被泄露或透露給某個(gè)非授權(quán)的實(shí)體。

破壞信息的完整性：數(shù)據(jù)被非授權(quán)地進(jìn)行增刪、修改或破壞而受到損失。拒絕服務(wù)：信息使用者對(duì)信息或其他資源的合法訪問被無條件地阻止。非法使用(非授權(quán)訪問)：某一資源被某個(gè)非授權(quán)的人，或以非授權(quán)的方式使用。

竊聽：用各種可能的合法或非法的手段竊取系統(tǒng)中的信息資源和敏感信息。例如對(duì)通信線路中傳輸?shù)男盘?hào)搭線監(jiān)聽，或者利用通信設(shè)備在工作過程中產(chǎn)生的電磁泄露截取有用信息等。業(yè)務(wù)流分析：通過對(duì)系統(tǒng)進(jìn)行長(zhǎng)期監(jiān)聽，利用統(tǒng)計(jì)分析方法對(duì)諸如通信頻度、通信的信息流向、通信總量的變化等參數(shù)進(jìn)行研究，從中發(fā)現(xiàn)有價(jià)值的信息和規(guī)律。

假冒：通過欺騙通信系統(tǒng)（或用戶）達(dá)到非法用戶冒充成為合法用戶，或者特權(quán)小的用戶冒充成為特權(quán)大的用戶的目的。我們平常所說的黑客大多采用的就是假冒攻擊。

旁路控制：攻擊者利用系統(tǒng)的安全缺陷或安全性上的脆弱之處獲得非授權(quán)的權(quán)利或特權(quán)。例如，攻擊者通過各種攻擊手段發(fā)現(xiàn)原本應(yīng)保密，但是卻又暴露出來的一些系統(tǒng)“特性”，利用這些“特性”，攻擊者可以繞過防線守衛(wèi)者侵入系統(tǒng)的內(nèi)部。授權(quán)侵犯：被授權(quán)以某一目的使用某一系統(tǒng)或資源的某個(gè)人，卻將此權(quán)限用于其他非授權(quán)的目的，也稱作“內(nèi)部攻擊”。

計(jì)算機(jī)病毒：這是一種在計(jì)算機(jī)系統(tǒng)運(yùn)行過程中能夠?qū)崿F(xiàn)傳染和侵害功能的程序，行為類似病毒，故稱作計(jì)算機(jī)病毒。工控系統(tǒng)現(xiàn)狀及主要威脅隨著計(jì)算機(jī)技術(shù)網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是互聯(lián)網(wǎng)及社會(huì)公共網(wǎng)絡(luò)平臺(tái)的快速發(fā)展，在“兩化”融合的行業(yè)發(fā)展需求下，為了提高生產(chǎn)高效運(yùn)行、生產(chǎn)管理效率，國內(nèi)眾多行業(yè)大力推進(jìn)工業(yè)控制系統(tǒng)自身的集成化，集中化管理。系統(tǒng)的互聯(lián)互通性逐步加強(qiáng)，與辦公網(wǎng)、互聯(lián)網(wǎng)也存在千絲萬縷的聯(lián)系。但是工業(yè)控制系統(tǒng)建設(shè)時(shí)更多的是考慮各自系統(tǒng)的可用性，并沒有考慮系統(tǒng)之間互聯(lián)互通的安全風(fēng)險(xiǎn)和防護(hù)建設(shè)。使得國際國內(nèi)針對(duì)工業(yè)控制系統(tǒng)的攻擊事件層出不窮，“震網(wǎng)”病毒事件為全球工業(yè)控制系統(tǒng)安全問題敲響了警鐘，促使國家和社會(huì)逐漸重視工業(yè)控制系統(tǒng)的信息安全問題。隨著世界各國工業(yè)信息化的迅猛發(fā)展，各種工業(yè)自動(dòng)化控制系統(tǒng)正快速地從封閉、孤立的系統(tǒng)走向互聯(lián)（包括與傳統(tǒng)IT系統(tǒng)互聯(lián)），日益廣泛地采用以太網(wǎng)、TCP/IP網(wǎng)絡(luò)作為網(wǎng)絡(luò)基礎(chǔ)設(shè)施，將工業(yè)控制協(xié)議遷移到應(yīng)用層；采用包括WLAN、GPRS等在內(nèi)的各種無線網(wǎng)絡(luò)；廣泛采用標(biāo)準(zhǔn)的Windows等商用操作系統(tǒng)、設(shè)備、中間件與各種通用技術(shù)。工業(yè)自動(dòng)化控制系統(tǒng)的安全直接關(guān)系到各重點(diǎn)工業(yè)行業(yè)的生產(chǎn)安全。如何保證開放性越來越強(qiáng)的生產(chǎn)控制網(wǎng)絡(luò)的安全性，是目前擺在用戶及行業(yè)自動(dòng)化制造商面前的難題。工業(yè)控制系統(tǒng)面臨復(fù)雜的外部和內(nèi)部威脅，主要集中在以下幾個(gè)方面：外部攻擊的發(fā)展工業(yè)控制系統(tǒng)采用大量的IT技術(shù)，互聯(lián)性逐步加強(qiáng)，神秘的面紗逐步被揭開，工業(yè)控制信息安全日益進(jìn)入黑客的研究范圍，國內(nèi)外大型的信息安全交流會(huì)議已經(jīng)把工業(yè)控制信息安全作為一個(gè)重要的討論議題。隨著黑客的攻擊技術(shù)不斷進(jìn)步，攻擊的手段日趨多樣，對(duì)于他們來說，入侵到某個(gè)系統(tǒng)，成功破壞其完整性是很有可能的。例如近幾年的震網(wǎng)、火焰、Havex等病毒證明黑客開始對(duì)工控系統(tǒng)感興趣。內(nèi)部威脅的加劇根據(jù)FBI和CSI對(duì)484家公司進(jìn)行的網(wǎng)絡(luò)安全專項(xiàng)調(diào)查結(jié)果顯示：超過70%的安全威脅來自公司內(nèi)部，在損失金額上，由于內(nèi)部人員泄密導(dǎo)致了6056.5萬美元的損失，是黑客造成損失的16倍，是病毒造成損失的12倍。另據(jù)中國國家信息安全測(cè)評(píng)中心調(diào)查，信息安全的現(xiàn)實(shí)威脅也主要為內(nèi)部信息泄露和內(nèi)部人員犯罪，而非病毒和外來黑客。工業(yè)控制系統(tǒng)普遍缺乏網(wǎng)絡(luò)準(zhǔn)入和控制機(jī)制，上位機(jī)與下位機(jī)通訊缺乏身份鑒別和認(rèn)證機(jī)制，只要能夠從協(xié)議層面跟下位機(jī)建立連接，既可以對(duì)下位機(jī)進(jìn)行修改，普遍缺乏限制系統(tǒng)最高權(quán)限的限制，高權(quán)限賬號(hào)往往掌握著數(shù)據(jù)庫和業(yè)務(wù)系統(tǒng)的命脈，任何一個(gè)操作都可能導(dǎo)致數(shù)據(jù)的修改和泄露。缺乏事后追查的有效工具，也讓責(zé)任劃分和威脅追蹤變得更加困難。應(yīng)用軟件的威脅設(shè)備提供商提供的應(yīng)用授權(quán)版本不可能十全十美，各種各樣的后門、漏洞等問題都有可能出現(xiàn)。出于成本的考慮，工業(yè)控制系統(tǒng)的組態(tài)軟件一般與其工控系統(tǒng)是同家公司的產(chǎn)品，在測(cè)試節(jié)點(diǎn)問題容易隱藏，且組態(tài)軟件的不成熟也會(huì)為系統(tǒng)帶來威脅。第三方維護(hù)人員的威脅第三方維護(hù)人員的威脅。工業(yè)控制系統(tǒng)建設(shè)在發(fā)展的過程中，因?yàn)閼?zhàn)略定位和人力等諸多原因，越來越多的會(huì)將非核心業(yè)務(wù)外包給設(shè)備商。如何有效地管控設(shè)備廠商和運(yùn)維人員的操作行為，并進(jìn)行嚴(yán)格的審計(jì)是系統(tǒng)運(yùn)營面臨的一個(gè)關(guān)鍵問題。多種病毒的泛濫病毒可通過移動(dòng)存儲(chǔ)設(shè)備、外來運(yùn)維的電腦，無線系統(tǒng)等進(jìn)入系統(tǒng)，當(dāng)病毒侵入網(wǎng)絡(luò)后，自動(dòng)收集有用信息，如關(guān)鍵業(yè)務(wù)指令、網(wǎng)絡(luò)中傳輸?shù)拿魑目诹畹?，或是探測(cè)網(wǎng)內(nèi)計(jì)算機(jī)的漏洞，向網(wǎng)內(nèi)計(jì)算機(jī)傳播。由于病毒在網(wǎng)絡(luò)中大規(guī)模的傳播與復(fù)制，極大地消耗網(wǎng)絡(luò)資源，嚴(yán)重時(shí)有可能造成網(wǎng)絡(luò)擁塞、網(wǎng)絡(luò)風(fēng)暴甚至網(wǎng)絡(luò)癱瘓，這是影響工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的主要因素之一.信息與工控系統(tǒng)安全實(shí)驗(yàn)室建設(shè)目的及意義面對(duì)信息安全問題的嚴(yán)峻形勢(shì)，我國IT信息系統(tǒng)、工業(yè)控制系統(tǒng)管理工作中仍存在不少問題，主要是對(duì)IT信息系統(tǒng)、工業(yè)控制系統(tǒng)信息安全問題重視不夠，管理制度不健全，相關(guān)標(biāo)準(zhǔn)規(guī)范缺失，技術(shù)防護(hù)措施不到位，安全防護(hù)能力和應(yīng)急處置能力不高等，威脅著政府和企業(yè)的生產(chǎn)安全。如何使產(chǎn)品在整個(gè)生命周期都能滿足安全完整性等級(jí)和功能安全性要求，保證信息安全，也成為了各行業(yè)業(yè)關(guān)注的重點(diǎn)。實(shí)驗(yàn)室將針對(duì)我省信息與工業(yè)控制系統(tǒng)面臨日益嚴(yán)重的信息安全攻擊威脅等問題，圍繞政府、電力電網(wǎng)、軌道交通、石油化工、水廠水利、煤炭運(yùn)輸?shù)裙I(yè)控制系統(tǒng)和其他領(lǐng)域的信息安全需求，建設(shè)信息與工業(yè)控制系統(tǒng)信息安全技術(shù)研發(fā)與工程化平臺(tái)，開展包括操作系統(tǒng)安全、數(shù)據(jù)庫安全、身份認(rèn)證安全、計(jì)算機(jī)病毒安全等在內(nèi)的信息安全；和防火墻、入侵檢測(cè)、VPN、網(wǎng)絡(luò)漏洞、網(wǎng)站安全等在內(nèi)的網(wǎng)絡(luò)安全；以及工業(yè)控制系統(tǒng)安全SCADA（數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)）、安全DCS（分布式控制系統(tǒng)）、安全PLC（可編程邏輯控制器）、安全RTU（遠(yuǎn)程終端單元）等關(guān)鍵技術(shù)和產(chǎn)品的研發(fā)及產(chǎn)業(yè)化。實(shí)驗(yàn)室尤其針對(duì)缺少工業(yè)控制系統(tǒng)安全仿真驗(yàn)證手段、工業(yè)控制系統(tǒng)未建立安全防護(hù)體系、高端工業(yè)控制系統(tǒng)及核心部件主要由外國廠商提供的現(xiàn)狀，著力實(shí)現(xiàn)工業(yè)控制系統(tǒng)“可發(fā)現(xiàn)、可防范、可替代”的目標(biāo)，提升我省工控安全核心競(jìng)爭(zhēng)力。實(shí)驗(yàn)室建立該領(lǐng)域發(fā)展趨勢(shì)和重大問題的研究機(jī)制，制定可持續(xù)發(fā)展戰(zhàn)略，推動(dòng)工控信息安全產(chǎn)業(yè)產(chǎn)、學(xué)、研、用在優(yōu)勢(shì)資源上的協(xié)同與集成，促進(jìn)工控信息安全技術(shù)上、下游的對(duì)接與耦合。另外，實(shí)驗(yàn)室將為相關(guān)單位提供一個(gè)IT信息、工控信息安全交流、促進(jìn)產(chǎn)學(xué)研結(jié)合、加快科技創(chuàng)新與成果轉(zhuǎn)化的高層次、高水平、高規(guī)格平臺(tái)，共同開展工控信息安全關(guān)鍵技術(shù)研發(fā)、標(biāo)準(zhǔn)規(guī)范制定、有關(guān)課題研究，為我省工控信息安全事業(yè)的發(fā)展起到積極的推進(jìn)作用，促進(jìn)我省工控安全產(chǎn)業(yè)實(shí)現(xiàn)跨越式發(fā)展。信息與工控系統(tǒng)安全實(shí)驗(yàn)室主要研究方向和實(shí)驗(yàn)內(nèi)容信息安全實(shí)驗(yàn)室主要研究方向和實(shí)驗(yàn)內(nèi)容信息安全實(shí)驗(yàn)室使用對(duì)象主要為信息安全領(lǐng)域的安全聯(lián)盟成員，要求該實(shí)驗(yàn)室可開展針對(duì)信息安全領(lǐng)域前沿技術(shù)的相關(guān)實(shí)驗(yàn)，使聯(lián)盟成員可通過每個(gè)部分的實(shí)驗(yàn)深入理解信息安全前沿技術(shù)和過程，通過不同類型的實(shí)驗(yàn)使聯(lián)盟成員理解安全機(jī)制并具備技術(shù)應(yīng)用能力，并向聯(lián)盟成員提供可進(jìn)行深入技術(shù)研究的平臺(tái)保障?？扇骈_展服務(wù)器及信息系統(tǒng)進(jìn)漏洞掃描分析，并直觀顯示目標(biāo)所存在的安全隱患，并同時(shí)提供操作系統(tǒng)策略部署、數(shù)據(jù)庫安全保障等實(shí)驗(yàn)操作。涵蓋對(duì)典型木馬及主流病毒的攻擊方式進(jìn)行演技操作，分析該類型木馬或者病毒所針對(duì)的網(wǎng)絡(luò)系統(tǒng)漏洞，并提供防御方式的實(shí)驗(yàn)。同時(shí)提供應(yīng)用程序、文件管理、網(wǎng)絡(luò)事件等安全日志的審計(jì)實(shí)驗(yàn)，通過日志的管理不斷提高學(xué)生對(duì)安全日志的理解，以及審計(jì)的流程與規(guī)范。操作系統(tǒng)安全研究方向和實(shí)驗(yàn)內(nèi)容操作系統(tǒng)是管理整個(gè)計(jì)算機(jī)硬件與軟件資源的程序，操作系統(tǒng)是網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)，是保證整個(gè)互聯(lián)網(wǎng)實(shí)現(xiàn)信息資源傳遞和共享的關(guān)鍵，操作系統(tǒng)的安全性在網(wǎng)絡(luò)安全中舉足輕重。一個(gè)安全的操作系統(tǒng)能夠保障計(jì)算資源使用的保密性、完整性和可用性，可以提供對(duì)數(shù)據(jù)庫、應(yīng)用軟件、網(wǎng)絡(luò)系統(tǒng)等提供全方位的保護(hù)。沒有安全的操作系統(tǒng)的保護(hù)，根本談不上網(wǎng)絡(luò)系統(tǒng)的安全，更不可能有應(yīng)用軟件信息處理的安全性。因此，安全的操作系統(tǒng)是整個(gè)信息系統(tǒng)安全的基礎(chǔ)。長(zhǎng)期以來我國廣泛應(yīng)用的主流操作系統(tǒng)都是從國外引進(jìn)直接使用的產(chǎn)品，這些系統(tǒng)的安全性令人擔(dān)憂。從認(rèn)識(shí)論的高度看，人們往往首先關(guān)注對(duì)操作系統(tǒng)的需要、功能，然后才被動(dòng)地從出現(xiàn)的漏洞和后門，以及不斷引起世界性的“沖擊波”和“震蕩波”等安全事件中，注意到操作系統(tǒng)本身的安全問題。操作系統(tǒng)的結(jié)構(gòu)和機(jī)制不安全，以及PC機(jī)硬件結(jié)構(gòu)的簡(jiǎn)化，系統(tǒng)不分執(zhí)行“態(tài)”，內(nèi)存無越界保護(hù)等等，這些因素都有可能導(dǎo)致資源配置可以被篡改，惡意程序被植入執(zhí)行，利用緩沖區(qū)溢出攻擊以及非法接管系統(tǒng)管理員權(quán)限等安全事故發(fā)生；導(dǎo)致了病毒在世界范圍內(nèi)傳播泛濫，黑客利用各種漏洞攻擊入侵，非授權(quán)者任意竊取信息資源，使得安全防護(hù)體系形成了防火墻、防病毒和入侵檢測(cè)老三樣的被動(dòng)局面。

操作系統(tǒng)是整個(gè)網(wǎng)絡(luò)的核心軟件，操作系統(tǒng)的安全將直接決定網(wǎng)絡(luò)的安全。信息與工業(yè)控制安全實(shí)驗(yàn)室主要針對(duì)Windows、Linux、UNIX等主流操作系統(tǒng)本身的物理安全、邏輯安全、應(yīng)用安全、管理安全、操作系統(tǒng)漏洞發(fā)現(xiàn)與檢測(cè)等方面進(jìn)行研究和實(shí)驗(yàn)。物理安全主要是指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù)，使之免受破壞或丟失；邏輯安全主要指系統(tǒng)中信息資源的安全；管理安全主要包括各種管理的政策和機(jī)制，包括用戶賬戶控制和最小權(quán)限策略等。應(yīng)用安全可以阻止未授權(quán)的程序的安裝，可以阻止應(yīng)用程序進(jìn)行不當(dāng)?shù)南到y(tǒng)設(shè)置而使操作系統(tǒng)處于不安全的狀態(tài)，從而大大的提高了系統(tǒng)的安全性。實(shí)驗(yàn)室還將研究國內(nèi)外最新的操作系統(tǒng)防護(hù)技術(shù)，如對(duì)數(shù)據(jù)的保護(hù)引進(jìn)了內(nèi)核保護(hù)技術(shù)以防止任何非授權(quán)文件對(duì)系統(tǒng)內(nèi)核的修改,同時(shí)還采用了緩沖區(qū)益出保護(hù),可有效的防止利用緩沖區(qū)益處技術(shù)發(fā)動(dòng)的攻擊。數(shù)據(jù)庫安全機(jī)制研究方向和實(shí)驗(yàn)內(nèi)容數(shù)據(jù)庫的安全性是指在信息系統(tǒng)的不同層次保護(hù)數(shù)據(jù)庫，防止未授權(quán)的數(shù)據(jù)訪問，避免數(shù)據(jù)的泄漏、不合法的修改或?qū)?shù)據(jù)的破壞。數(shù)據(jù)庫在各種信gfg息系統(tǒng)中得到廣泛的應(yīng)用，數(shù)據(jù)在信息系統(tǒng)中的價(jià)值越來越重要，數(shù)據(jù)庫系統(tǒng)的安全與保護(hù)成為一個(gè)越來越值得重要關(guān)注的方面。信息與工業(yè)控制安全實(shí)驗(yàn)室重點(diǎn)研究和建立數(shù)據(jù)庫本身的安全機(jī)制和實(shí)驗(yàn)環(huán)境。包括用戶認(rèn)證、存取權(quán)限、視圖隔離、跟蹤與審查、數(shù)據(jù)加密、數(shù)據(jù)完整性控制、數(shù)據(jù)訪問的并發(fā)控制、數(shù)據(jù)庫的備份和恢復(fù)等方面。如數(shù)據(jù)庫用戶認(rèn)證技術(shù)，是數(shù)據(jù)庫提供的最外層安全保護(hù)措施，實(shí)驗(yàn)室重點(diǎn)對(duì)身份、生物認(rèn)證技術(shù)用于數(shù)據(jù)庫用戶標(biāo)識(shí)和鑒別方面進(jìn)行實(shí)驗(yàn)和嘗試，如智能卡技術(shù)，物理特征（指紋、虹膜等）。再如數(shù)據(jù)庫存取控制機(jī)制，即確保只授權(quán)給有資格的用戶訪問數(shù)據(jù)庫的權(quán)限，同時(shí)令所有未被授權(quán)的人員無法接近數(shù)據(jù)。而實(shí)驗(yàn)室主要研究強(qiáng)制型存取控制機(jī)制，即對(duì)主體和客體的已分配的安全屬性進(jìn)行匹配判斷，決定主體是否有權(quán)對(duì)客體進(jìn)行進(jìn)一步的訪問操作，從而保證數(shù)據(jù)數(shù)據(jù)存儲(chǔ)控制機(jī)制。而數(shù)據(jù)加密算法也是實(shí)驗(yàn)室重點(diǎn)的研究和實(shí)驗(yàn)領(lǐng)域，包括網(wǎng)絡(luò)數(shù)據(jù)包在客戶端和服務(wù)器端之間發(fā)送的數(shù)據(jù)、存儲(chǔ)過程定義、函數(shù)定義、視圖定義、觸發(fā)器定義、默認(rèn)值定義、規(guī)則定義等數(shù)據(jù)庫對(duì)象進(jìn)行加密和解密實(shí)驗(yàn)。身份認(rèn)證研究方向和實(shí)驗(yàn)內(nèi)容不論是信息系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)還是工控系統(tǒng)，不論安全性要求多高的數(shù)據(jù)，它存在就必然要有相對(duì)應(yīng)的授權(quán)人可以訪問它，否則，保存一個(gè)任何人都無權(quán)訪問的數(shù)據(jù)無任何意義。然而，如果沒有有效的身份認(rèn)證手段，這個(gè)有權(quán)訪問者的身份就很容易被偽造，那么，不論投入再大的資金，建立再堅(jiān)固安全防范體系都形同虛設(shè)?？梢?，身份識(shí)別技術(shù)是最基本的安全服務(wù)，其它的安全服務(wù)都要依賴于它。實(shí)驗(yàn)室主要針對(duì)生物認(rèn)證技術(shù)相關(guān)實(shí)驗(yàn)環(huán)境進(jìn)行搭建和測(cè)試，包括虹膜、指紋相關(guān)身份認(rèn)證實(shí)驗(yàn)環(huán)境的搭建。實(shí)驗(yàn)室主要研究和驗(yàn)證生物識(shí)別技術(shù)在信息、網(wǎng)絡(luò)、工控環(huán)境下的場(chǎng)景應(yīng)用以及在特殊環(huán)境下的驗(yàn)證正確率，并通過對(duì)識(shí)別算法的改進(jìn)來提高識(shí)別的正確率。計(jì)算機(jī)病毒攻防研究方向和實(shí)驗(yàn)內(nèi)容計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù),影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼，就像生物病毒一樣，計(jì)算機(jī)病毒有獨(dú)特的復(fù)制能力。計(jì)算機(jī)病毒可以很快地蔓延，又常常難以根除。它們能把自身附著在各種類型的文件上。當(dāng)文件被復(fù)制或從一個(gè)用戶傳送到另一個(gè)用戶時(shí)，它們就隨同文件一起蔓延開來。實(shí)驗(yàn)室主要對(duì)最新的病毒破壞性進(jìn)行檢測(cè)和清除以及對(duì)主流病毒進(jìn)行攻防演示實(shí)驗(yàn)從而達(dá)到了解病毒的目的，包括木馬實(shí)驗(yàn)、腳本病毒實(shí)驗(yàn)、DLL注入型病毒實(shí)驗(yàn)、COM病毒實(shí)驗(yàn)、郵件型病毒實(shí)驗(yàn)、Word宏病毒實(shí)驗(yàn)、移動(dòng)存儲(chǔ)型病毒實(shí)驗(yàn)、HTML惡意代碼實(shí)驗(yàn)、流氓軟件實(shí)驗(yàn)以及惡意軟件查找及清除實(shí)驗(yàn)。網(wǎng)絡(luò)安全主要研究方向和實(shí)驗(yàn)內(nèi)容目前，各行業(yè)用戶對(duì)網(wǎng)絡(luò)的依賴程度也越來越高，建立持續(xù)、穩(wěn)定、安全的網(wǎng)絡(luò)是保障用戶業(yè)務(wù)發(fā)展的前提。大家都認(rèn)識(shí)到安全的重要性，紛紛采用防火墻、網(wǎng)關(guān)、加密、身份認(rèn)證、訪問控制等保護(hù)手段來保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全。與此同時(shí)，安全問題日益嚴(yán)重，病毒、木馬、黑客攻擊、網(wǎng)絡(luò)釣魚、DDOS等安全威脅層出不窮，而且技術(shù)越來越復(fù)雜，病毒、木馬及黑客技術(shù)等融合造成了網(wǎng)絡(luò)安全的巨大危機(jī)。因此，建設(shè)網(wǎng)絡(luò)安全實(shí)驗(yàn)室，不但能為聯(lián)盟成員提供良好的硬件資源，而且能大大提高我省和聯(lián)盟的科學(xué)研究及學(xué)科建設(shè)水平，提高聯(lián)盟可研實(shí)力，為聯(lián)盟培養(yǎng)信息安全高級(jí)人才提供有力保證，所以聯(lián)盟非常有必要建設(shè)一個(gè)現(xiàn)代化，真實(shí)化的網(wǎng)絡(luò)安全實(shí)驗(yàn)室。通過網(wǎng)絡(luò)攻防實(shí)驗(yàn)，聯(lián)盟成員可以了解最新的網(wǎng)絡(luò)安全威脅的后果，進(jìn)而分析其原理，掌握入侵檢測(cè)技術(shù)、安全防護(hù)技術(shù)以及應(yīng)急響應(yīng)機(jī)制等基本安全技術(shù)，提供網(wǎng)絡(luò)安全防御機(jī)制，從系統(tǒng)的整個(gè)生命周期考慮網(wǎng)絡(luò)安全問題。

入侵檢測(cè)與攻防研究方向和實(shí)驗(yàn)內(nèi)容入侵檢測(cè)是指對(duì)入侵行為的發(fā)現(xiàn)、報(bào)警和響應(yīng)，它通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)系統(tǒng)(Intrusion

Detection

System)是對(duì)防火墻有益的補(bǔ)充，它對(duì)網(wǎng)絡(luò)和主機(jī)行為進(jìn)行檢測(cè)，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)監(jiān)控，增強(qiáng)了網(wǎng)絡(luò)的安全性。在安全防范方面，入侵檢測(cè)系統(tǒng)可以實(shí)現(xiàn)事前警告、事中防護(hù)和事后取證。入侵檢測(cè)系統(tǒng)能夠在入侵攻擊行為對(duì)網(wǎng)絡(luò)系統(tǒng)造成危害前，及時(shí)檢測(cè)到入侵攻擊的發(fā)生，并進(jìn)行報(bào)警；入侵攻擊發(fā)生時(shí)，入侵檢測(cè)系統(tǒng)可以通過與防火墻聯(lián)動(dòng)等方式進(jìn)行報(bào)警及動(dòng)態(tài)防護(hù)；被入侵攻擊后，入侵檢測(cè)系統(tǒng)可以提供詳細(xì)的攻擊信息日志，便于取證分析。

相對(duì)于防火墻提供的靜態(tài)防護(hù)而言，入侵檢測(cè)系統(tǒng)側(cè)重于提供動(dòng)態(tài)實(shí)時(shí)檢測(cè)防護(hù)，因此防火墻和入侵檢測(cè)系統(tǒng)的結(jié)合，能夠給網(wǎng)絡(luò)帶來更全面的防護(hù)。實(shí)驗(yàn)室主要對(duì)聯(lián)盟內(nèi)部的入侵檢測(cè)系統(tǒng)進(jìn)行測(cè)試和優(yōu)化，使用典型的入侵攻擊工具（如DOS-DDOS攻擊、拒絕服務(wù)攻擊、分布式拒絕服務(wù)攻擊等）進(jìn)行攻擊，檢驗(yàn)入侵檢測(cè)系統(tǒng)的準(zhǔn)確性和識(shí)別率。通過改進(jìn)入侵檢測(cè)系統(tǒng)，增強(qiáng)其檢測(cè)能力。防火墻研究方向和實(shí)驗(yàn)內(nèi)容防火墻是硬件和軟件的組合，它在內(nèi)部網(wǎng)和外部網(wǎng)間建立起安全網(wǎng)關(guān)，過濾數(shù)據(jù)包，決定是否轉(zhuǎn)發(fā)到目的地。它能夠控制網(wǎng)絡(luò)進(jìn)出的信息流向，提供網(wǎng)絡(luò)使用狀況和流量的審計(jì)、隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié)。它還可以幫助內(nèi)部系統(tǒng)進(jìn)行有效的網(wǎng)絡(luò)安全隔離，通過安全過濾規(guī)則嚴(yán)格控制外網(wǎng)用戶非法訪問，并只打開必須的服務(wù)，防范外部來的服務(wù)攻擊。同時(shí)，防火墻可以控制內(nèi)網(wǎng)用戶訪問外網(wǎng)時(shí)間，并通過設(shè)置IP地址與MAC地址綁定，防止IP地址欺騙。更重要的是，防火墻不但將大量的惡意攻擊直接阻擋在外而，同時(shí)也屏蔽來自網(wǎng)絡(luò)內(nèi)部的不良行為。漏洞掃描研究方向和實(shí)驗(yàn)內(nèi)容利用安全漏洞進(jìn)行網(wǎng)絡(luò)攻擊，就好像陽光下的陰影，始終伴隨著互聯(lián)網(wǎng)行業(yè)的應(yīng)用發(fā)展。近些年，網(wǎng)絡(luò)安全威脅的形式也出現(xiàn)了不同的變化，攻擊方式從單個(gè)興趣愛好者隨意下載的簡(jiǎn)單工具攻擊，向有組織的專業(yè)技術(shù)人員專門編寫的攻擊程序轉(zhuǎn)變，攻擊目的從證明個(gè)人技術(shù)實(shí)力向商業(yè)或國家信息竊取轉(zhuǎn)變。實(shí)驗(yàn)室研究和實(shí)驗(yàn)最新最前沿的漏洞攻擊方式，（如Google極光攻擊事件中被利用的IE瀏覽器溢出漏洞等），幫助聯(lián)盟成員全面發(fā)現(xiàn)信息和網(wǎng)絡(luò)系統(tǒng)存在的各種脆弱性問題，包括安全漏洞、安全配置問題、應(yīng)用系統(tǒng)安全漏洞，檢查系統(tǒng)存在的弱口令，收集系統(tǒng)不必要開放的賬號(hào)、服務(wù)、端口，形成整體安全風(fēng)險(xiǎn)報(bào)告。幫助聯(lián)盟成員快速定位風(fēng)險(xiǎn)類型、區(qū)域、嚴(yán)重程度，直觀展示、修補(bǔ)安全風(fēng)險(xiǎn)；WEB攻防研究方向和實(shí)驗(yàn)內(nèi)容企業(yè)及其雇員越來越依賴于互聯(lián)網(wǎng)，不管是在家里、在路途中、在辦公室中都是如此。這種依賴性在與多種最新的Web威脅結(jié)合之后，將會(huì)使企業(yè)比以往更加脆弱，更容易遭受攻擊。近半年來的Web攻擊都有一個(gè)鮮明的特點(diǎn)，在無需用戶干預(yù)的情況下，這些威脅就可以進(jìn)入網(wǎng)絡(luò)，嚴(yán)重威脅著企業(yè)的數(shù)據(jù)安全、工作效率，直至企業(yè)的最終利益。而且，由于Web內(nèi)容和形式的多樣性，其威脅的花樣也是不斷翻新。實(shí)驗(yàn)室研究和防御各種針對(duì)WEB應(yīng)用的攻擊手段，包括跨網(wǎng)站腳本攻擊（黑客可以模擬合法用戶，控制其帳戶）、注入攻擊（黑客可以訪問后端數(shù)據(jù)庫信息，修改、盜竊。）、惡意文件執(zhí)行（被修改的站點(diǎn)將所有交易傳送給黑客）、不安全對(duì)象引用（Web

應(yīng)用返回敏感文件內(nèi)容）、偽造跨站點(diǎn)請(qǐng)求（黑客發(fā)起B(yǎng)lind請(qǐng)求，要求進(jìn)行轉(zhuǎn)帳）、被破壞的認(rèn)證和Session管理（黑客能夠盜竊session）、不安全的木馬存儲(chǔ)（隱秘信息被黑客解密盜竊）等。重點(diǎn)幫助聯(lián)盟會(huì)員單位建立WEB安全體系，包括輸入驗(yàn)證，身份驗(yàn)證，授權(quán)，配置管理，敏感數(shù)據(jù)，會(huì)話管理，加密，參數(shù)操作，異常管理，審核和日志記錄等。無線攻防研究方向和實(shí)驗(yàn)內(nèi)容無線局域網(wǎng)絡(luò)（Wireless

Local

Area

Networks；簡(jiǎn)寫為：

WLAN）是相當(dāng)便利的數(shù)據(jù)傳輸系統(tǒng)，利用射頻（Radio

Frequency；

RF）的技術(shù)，取代舊式礙手礙腳的雙絞銅線所構(gòu)成的局域網(wǎng)，使得無線局域網(wǎng)絡(luò)能利用簡(jiǎn)單的存取架構(gòu)讓用戶透過它，達(dá)到“信息隨身化、便利走天下”的理想境界。無線局域網(wǎng)(WLAN)產(chǎn)業(yè)是當(dāng)前整個(gè)數(shù)據(jù)通信領(lǐng)域發(fā)展最快的產(chǎn)業(yè)之一。因其具有靈活性、可移動(dòng)性及較低的投資成本等優(yōu)勢(shì)，無線局域網(wǎng)解決方案作為傳統(tǒng)有線局域網(wǎng)絡(luò)的補(bǔ)充和擴(kuò)展，獲得了家庭網(wǎng)絡(luò)用戶、中小型辦公室用戶、廣大企業(yè)用戶及電信運(yùn)營商的青睞，然而由于無線局域網(wǎng)采用公共頻率的電磁波作為載體，因此對(duì)越權(quán)存取和竊聽的行為也更不容易防備，使得它的安全性更加難以保證，面臨著嚴(yán)重的安全威脅。實(shí)驗(yàn)室終端關(guān)注和分析WLAN的不安全因素，針對(duì)不安全因素給出了解決的安全措施，研究和利用無線入侵檢測(cè)系統(tǒng)對(duì)聯(lián)盟成員WLAN進(jìn)行檢測(cè)，利用VPN、身份認(rèn)證和授權(quán)、數(shù)據(jù)加密、內(nèi)部管理等方式有效防范WLAN中竊聽、截取或者修改傳輸數(shù)據(jù)、置信攻擊、拒絕服務(wù)等等的攻擊手段，保證無線網(wǎng)絡(luò)內(nèi)的用戶的信息和傳輸消息的安全性和保密性，有效地維護(hù)無線局域網(wǎng)的安全。工控安全研究方向和實(shí)驗(yàn)內(nèi)容工控系統(tǒng)漏洞挖掘研究方向和實(shí)驗(yàn)內(nèi)容工業(yè)控制系統(tǒng)(簡(jiǎn)稱“工控系統(tǒng)”)是國家基礎(chǔ)設(shè)施的重要組成部分,其安全性關(guān)系到國家經(jīng)濟(jì)的發(fā)展和人民群眾的財(cái)產(chǎn)和生命安全。近年來,工業(yè)控制系統(tǒng)漏洞和安全事件不斷出現(xiàn),給國家和人民經(jīng)濟(jì)財(cái)產(chǎn)安全造成了嚴(yán)重的威脅。漏洞挖掘是工業(yè)控制系統(tǒng)安全攻防的焦點(diǎn)。如果工業(yè)控制系統(tǒng)中的漏洞被攻擊者發(fā)現(xiàn),并利用這些漏洞進(jìn)行攻擊,必將造成不可設(shè)想的后果。因此及時(shí)發(fā)現(xiàn)工控系統(tǒng)的漏洞,對(duì)于提升工控系統(tǒng)整體的安全防護(hù)能力具有重要的意義。目前，國內(nèi)外對(duì)于工業(yè)控制系統(tǒng)的安全保護(hù)已經(jīng)取得一定的研究成果，但是如何對(duì)工業(yè)控制系統(tǒng)進(jìn)行漏洞挖掘與安全預(yù)防，仍然研究較少。該實(shí)驗(yàn)針對(duì)工控系統(tǒng)漏洞的挖掘及防護(hù)方法進(jìn)行研究，它可以在威脅未發(fā)生時(shí)就檢測(cè)出系統(tǒng)存在的安全隱患，從而將威脅消滅在萌芽狀態(tài)，避免重大的經(jīng)濟(jì)損失。準(zhǔn)確地掃描出工控系統(tǒng)的漏洞,才能在這場(chǎng)工控系統(tǒng)安全的戰(zhàn)爭(zhēng)中,處于先機(jī),立于不敗之地。實(shí)驗(yàn)室主要對(duì)工業(yè)控制網(wǎng)絡(luò)中的設(shè)備、系統(tǒng)、環(huán)境所存在的漏洞風(fēng)險(xiǎn)進(jìn)行檢測(cè)與評(píng)估。該平臺(tái)包括了阿基里斯測(cè)試工具、協(xié)議漏洞挖掘工具、網(wǎng)絡(luò)安全審計(jì)工具和認(rèn)證分析工具等一系列的測(cè)試、檢測(cè)、分析工具,用于評(píng)估工控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。工控系統(tǒng)攻防研究方向和實(shí)驗(yàn)內(nèi)容依托實(shí)驗(yàn)室先進(jìn)的技術(shù)和強(qiáng)大的工控安全產(chǎn)品，搭建一整套工控安全攻防演練平臺(tái)。該平臺(tái)搭建一套和實(shí)際系統(tǒng)完全物理隔離的模擬業(yè)務(wù)系統(tǒng)，利用模擬攻擊系統(tǒng)和保護(hù)驗(yàn)證系統(tǒng)展示病毒、木馬等網(wǎng)絡(luò)攻擊對(duì)系統(tǒng)造成的危害，以及其防護(hù)方案對(duì)惡意攻擊產(chǎn)生的實(shí)際效果，能夠直觀的增強(qiáng)企業(yè)對(duì)工控系統(tǒng)脆弱性的認(rèn)識(shí)，并增強(qiáng)對(duì)該實(shí)驗(yàn)室安全防護(hù)解決方案的信心。攻防實(shí)驗(yàn)系統(tǒng)包含了在該實(shí)驗(yàn)平臺(tái)上針對(duì)模擬仿真業(yè)務(wù)環(huán)境實(shí)施攻擊所需的攻擊方案和工具集。攻擊方案包括了攻擊的方式、攻擊的路徑、攻擊預(yù)期效果，攻擊工具用于實(shí)施攻擊方案，如PLC漏洞腳本攻擊、上位機(jī)木馬病毒攻擊、病毒U盤攻擊、網(wǎng)絡(luò)風(fēng)暴攻擊等。防護(hù)實(shí)驗(yàn)系統(tǒng)包括基于目標(biāo)業(yè)務(wù)系統(tǒng)的脆弱性和攻擊手段而采取的防護(hù)措施，包括：在工程師站和PLC之間部署工業(yè)防火墻，防止來自工程師站的針對(duì)PLC漏洞的攻擊。在工程師站上部署可信衛(wèi)士軟件，防護(hù)工程師站遭受感染惡意腳本的U盤的攻擊或其他感染惡意軟件的應(yīng)用在工程師站上安裝運(yùn)行，從而導(dǎo)致工程師站被入侵，從而獲得向PLC發(fā)送惡意指令的權(quán)限，或通過工程師站基于PLC漏洞對(duì)PLC進(jìn)行攻擊的行為。安全DCS、PLC、SCADA系統(tǒng)研究方向和實(shí)驗(yàn)內(nèi)容工控系統(tǒng)（ICS）主要包括SCADA系統(tǒng)分布式控制系統(tǒng)(DCS)、SCADA系統(tǒng)、分布式控制系統(tǒng)(DCS)、可編程邏輯控制器(PLC)等，而SCADA系統(tǒng)則是工控系統(tǒng)的神經(jīng)中樞。加強(qiáng)工控系統(tǒng)安全防護(hù)產(chǎn)品技術(shù)應(yīng)著重考慮工業(yè)環(huán)境、協(xié)議的適應(yīng)性，同時(shí)要注重輕量級(jí)產(chǎn)品的開發(fā)、強(qiáng)化工控系統(tǒng)的安全監(jiān)控和管理。此外，由于國產(chǎn)化程度不高，尤其是高端市場(chǎng)基本被國外壟斷，核心技術(shù)和元件均掌握在國外廠商手中，因此要基于自主可控技術(shù)的安全體系，開發(fā)更多國產(chǎn)工控軟件。企業(yè)工控安全咨詢?cè)u(píng)估隨著工業(yè)4.0及兩化融合的趨勢(shì)到來，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問題受到越來越多