信息與工業(yè)控制安全系統(tǒng)實驗室規(guī)劃方案設(shè)計

信息與工控系統(tǒng)安全實驗室規(guī)劃方案目錄TOC\o"1-5"\h\z\o"CurrentDocument"術(shù)語、定義和縮略語 1信息與工控系統(tǒng)安全實驗室概述 12.1信息與工控系統(tǒng)安全實驗室建設(shè)背景 12.1.1信息系統(tǒng)現(xiàn)狀及主要威脅 12.1.2工控系統(tǒng)現(xiàn)狀及主要威脅 22.1.3信息與工控系統(tǒng)安全實驗室建設(shè)目的及意義 5\o"CurrentDocument"信息與工控系統(tǒng)安全實驗室主要研究方向和實驗內(nèi)容 6\o"CurrentDocument"3.1信息安全實驗室主要研究方向和實驗內(nèi)容 63.1.1操作系統(tǒng)安全研究方向和實驗內(nèi)容 63.1.2數(shù)據(jù)庫安全機制研究方向和實驗內(nèi)容 73.1.3身份認(rèn)證研究方向和實驗內(nèi)容 83.1.4計算機病毒攻防研究方向和實驗內(nèi)容 9\o"CurrentDocument"3.2網(wǎng)絡(luò)安全主要研究方向和實驗內(nèi)容 93.2.1入侵檢測與攻防研究方向和實驗內(nèi)容 .1.0...3.2.2防火墻研究方向和實驗內(nèi)容 .1.0....3.2.3漏洞掃描研究方向和實驗內(nèi)容 11...3.2.4WEB攻防研究方向和實驗內(nèi)容 1.1....3.2.5無線攻防研究方向和實驗內(nèi)容 12...\o"CurrentDocument"3.3工控安全研究方向和實驗內(nèi)容 123.3.1工控系統(tǒng)漏洞挖掘研究方向和實驗內(nèi)容 1.2..3.3.2工控系統(tǒng)攻防研究方向和實驗內(nèi)容 1.3...TOC\o"1-5"\h\z333 安全DCS、PLC、SCADA系統(tǒng)研究方向和實驗內(nèi)容 14.企業(yè)工控安全咨詢評估 .1.4.企業(yè)工控安全培訓(xùn) 1.5對外交流和聯(lián)合研究 15.\o"CurrentDocument"信息與工控系統(tǒng)安全實驗室組織與運行 16信息與工控系統(tǒng)安全實驗室建設(shè)計劃 錯誤!未定義書簽。1.術(shù)語、定義和縮略語工業(yè)控制系統(tǒng)：(industrialcontrolsystem,ICS):對工業(yè)生產(chǎn)過程安全、信息安全和可靠運行產(chǎn)生的作用和影響的人員、硬件和軟件集合。信息系統(tǒng)：(Informationsystem)是由計算機硬件、網(wǎng)絡(luò)和通訊設(shè)備、計算機軟件、信息資源、信息用戶和規(guī)章制度組成的以處理信息流為目的的人機一體化系統(tǒng)。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。2?信息與工控系統(tǒng)安全實驗室概述2.1信息與工控系統(tǒng)安全實驗室建設(shè)背景2.1.1信息系統(tǒng)現(xiàn)狀及主要威脅隨著信息技術(shù)的不斷發(fā)展，信息日益成為一種重要的戰(zhàn)略資源。信息技術(shù)的應(yīng)用幾乎涉及到了各個領(lǐng)域，信息技術(shù)正逐漸改變著人們的日常生活和工作方式。 信息產(chǎn)業(yè)已經(jīng)成為新的經(jīng)濟高速增長點，信息的獲取、處理和保障能力成為一個國家綜合國力的重要組成部分?？梢哉f，信息安全事關(guān)國家安全、社會穩(wěn)定，信息安全的重要性由此而知。而近年來，隨著信息技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)蠕蟲、木馬、分布式拒絕服務(wù)攻擊以及間諜軟件等技術(shù)與僵尸網(wǎng)絡(luò)結(jié)合在一起， 利用網(wǎng)絡(luò)及信息系統(tǒng)的諸多漏洞，給互聯(lián)網(wǎng)安全造成了嚴(yán)重的威脅。信息安全的威脅來自方方面面，不可 羅列。但這些威脅根據(jù)其性質(zhì)，基本上可以歸結(jié)為以下幾個方面：信息泄露：保護的信息被泄露或透露給某個非授權(quán)的實體。破壞信息的完整性：數(shù)據(jù)被非授權(quán)地進行增刪、修改或破壞而受到損失。拒絕服務(wù)：信息使用者對信息或其他資源的合法訪問被無條件地阻止。4） 非法使用（非授權(quán)訪問）：某一資源被某個非授權(quán)的人，或以非授權(quán)的方式使用。5） 竊聽：用各種可能的合法或非法的手段竊取系統(tǒng)中的信息資源和敏感信息。例如對通信線路中傳輸?shù)男盘柎罹€監(jiān)聽，或者利用通信設(shè)備在工作過程中產(chǎn)生的電磁泄露截取有用信息等。6） 業(yè)務(wù)流分析：通過對系統(tǒng)進行長期監(jiān)聽，利用統(tǒng)計分析方法對諸如通信頻度、通信的信息流向、通信總量的變化等參數(shù)進行研究，從中發(fā)現(xiàn)有價值的信息和規(guī)律。7） 假冒：通過欺騙通信系統(tǒng)（或用戶）達到非法用戶冒充成為合法用戶，或者特權(quán)小的用戶冒充成為特權(quán)大的用戶的目的。我們平常所說的黑客大多采用的就是假冒攻擊。8） 旁路控制：攻擊者利用系統(tǒng)的安全缺陷或安全性上的脆弱之處獲得非授權(quán)的權(quán)利或特權(quán)。例如，攻擊者通過各種攻擊手段發(fā)現(xiàn)原本應(yīng)保密，但是卻又暴露出來的一些系統(tǒng)“特性”，利用這些“特性”，攻擊者可以繞過防線守衛(wèi)者侵入系統(tǒng)的內(nèi)部。9） 授權(quán)侵犯：被授權(quán)以某一目的使用某一系統(tǒng)或資源的某個人，卻將此權(quán)限用于其他非授權(quán)的目的，也稱作“內(nèi)部攻擊”。10） 計算機病毒：這是一種在計算機系統(tǒng)運行過程中能夠?qū)崿F(xiàn)傳染和侵害功能的程序，行為類似病毒，故稱作計算機病毒。2.1.2工控系統(tǒng)現(xiàn)狀及主要威脅隨著計算機技術(shù)網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是互聯(lián)網(wǎng)及社會公共網(wǎng)絡(luò)平臺的快速發(fā)展，在“兩化”融合的行業(yè)發(fā)展需求下，為了提高生產(chǎn)高效運行、生產(chǎn)管理效率，國內(nèi)眾多行業(yè)大力推進工業(yè)控制系統(tǒng)自身的集成化， 集中化管理。系統(tǒng)的互聯(lián)互通性逐步加強，與辦公網(wǎng)、互聯(lián)網(wǎng)也存在千絲萬縷的聯(lián)系。但是工業(yè)控制系統(tǒng)建設(shè)時更多的是考慮各自系統(tǒng)的可用性，并沒有考慮系統(tǒng)之間互聯(lián)互通的安全風(fēng)險和防護建設(shè)。 使得國際國內(nèi)針對工業(yè)控制系統(tǒng)的攻擊事件層出不窮， “震網(wǎng)”病毒事件為全球工業(yè)控制系統(tǒng)安全問題敲響了警鐘，促使國家和社會逐漸重視工業(yè)控制系統(tǒng)的信息安全問題。隨著世界各國工業(yè)信息化的迅猛發(fā)展，各種工業(yè)自動化控制系統(tǒng)正快速地從封閉、孤立的系統(tǒng)走向互聯(lián)（包括與傳統(tǒng)IT系統(tǒng)互聯(lián)），日益廣泛地采用以太網(wǎng)、TCP/IP網(wǎng)絡(luò)作為網(wǎng)絡(luò)基礎(chǔ)設(shè)施，將工業(yè)控制協(xié)議遷移到應(yīng)用層；采用包括 WLAN、GPRS等在內(nèi)的各種無線網(wǎng)絡(luò)；廣泛采用標(biāo)準(zhǔn)的Windows等商用操作系統(tǒng)、設(shè)備、中間件與各種通用技術(shù)。工業(yè)自動化控制系統(tǒng)的安全直接關(guān)系到各重點工業(yè)行業(yè)的生產(chǎn)安全。 如何保證開放性越來越強的生產(chǎn)控制網(wǎng)絡(luò)的安全性， 是目前擺在用戶及行業(yè)自動化制造商面前的難題。工業(yè)控制系統(tǒng)面臨復(fù)雜的外部和內(nèi)部威脅，主要集中在以下幾個方面：1） 外部攻擊的發(fā)展工業(yè)控制系統(tǒng)采用大量的IT技術(shù)，互聯(lián)性逐步加強，神秘的面紗逐步被揭開，工業(yè)控制信息安全日益進入黑客的研究范圍，國內(nèi)外大型的信息安全交流會議已經(jīng)把工業(yè)控制信息安全作為一個重要的討論議題。隨著黑客的攻擊技術(shù)不斷進步，攻擊的手段日趨多樣，對于他們來說，入侵到某個系統(tǒng)，成功破壞其完整性是很有可能的。例如近幾年的震網(wǎng)、火焰、 Havex等病毒證明黑客開始對工控系統(tǒng)感興趣。2） 內(nèi)部威脅的加劇根據(jù)FBI和CSI對484家公司進行的網(wǎng)絡(luò)安全專項調(diào)查結(jié)果顯示：超過70%的安全威脅來自公司內(nèi)部，在損失金額上，由于內(nèi)部人員泄密導(dǎo)致了6056.5萬美元的損失，是黑客造成損失的16倍，是病毒造成損失的12倍。另據(jù)中國國家信息安全測評中心調(diào)查，信息安全的現(xiàn)實威脅也主要為內(nèi)部信息泄露和內(nèi)部人員犯罪，而非病毒和外來黑客。工業(yè)控制系統(tǒng)普遍缺乏網(wǎng)絡(luò)準(zhǔn)入和控制機制，上位機與下位機通訊缺乏身份鑒別和認(rèn)證機制，只要能夠從協(xié)議層面跟下位機建立連接，既可以對下位機進行修改，普遍缺乏限制系統(tǒng)最高權(quán)限的限制，高權(quán)限賬號往往掌握著數(shù)據(jù)庫和業(yè)務(wù)系統(tǒng)的命脈，任何一個操作都可能導(dǎo)致數(shù)據(jù)的修改和泄露。缺乏事后追查的有效工具，也讓責(zé)任劃分和威脅追蹤變得更加困難。3） 應(yīng)用軟件的威脅設(shè)備提供商提供的應(yīng)用授權(quán)版本不可能十全十美，各種各樣的后門、漏洞等問題都有可能出現(xiàn)。出于成本的考慮，工業(yè)控制系統(tǒng)的組態(tài)軟件一般與其工控系統(tǒng)是同家公司的產(chǎn)品，在測試節(jié)點問題容易隱藏，且組態(tài)軟件的不成熟也會為系統(tǒng)帶來威脅。4） 第三方維護人員的威脅第三方維護人員的威脅。工業(yè)控制系統(tǒng)建設(shè)在發(fā)展的過程中，因為戰(zhàn)略定位和人力等諸多原因，越來越多的會將非核心業(yè)務(wù)外包給設(shè)備商。如何有效地管控設(shè)備廠商和運維人員的操作行為，并進行嚴(yán)格的審計是系統(tǒng)運營面臨的一個關(guān)鍵問題。5） 多種病毒的泛濫病毒可通過移動存儲設(shè)備、外來運維的電腦，無線系統(tǒng)等進入系統(tǒng)，當(dāng)病毒侵入網(wǎng)絡(luò)后，自動收集有用信息，如關(guān)鍵業(yè)務(wù)指令、網(wǎng)絡(luò)中傳輸?shù)拿魑目诹畹?，或是探測網(wǎng)內(nèi)計算機的漏洞，向網(wǎng)內(nèi)計算機傳播。由于病毒在網(wǎng)絡(luò)中大規(guī)模的傳播與復(fù)制，極大地消耗網(wǎng)絡(luò)資源，嚴(yán)重時有可能造成網(wǎng)絡(luò)擁塞、網(wǎng)絡(luò)風(fēng)暴甚至網(wǎng)絡(luò)癱瘓，這是影響工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的主要因素之一 .2.1.3信息與工控系統(tǒng)安全實驗室建設(shè)目的及意義面對信息安全問題的嚴(yán)峻形勢，我國IT信息系統(tǒng)、工業(yè)控制系統(tǒng)管理工作中仍存在不少問題，主要是對IT信息系統(tǒng)、工業(yè)控制系統(tǒng)信息安全問題重視不夠，管理制度不健全，相關(guān)標(biāo)準(zhǔn)規(guī)范缺失，技術(shù)防護措施不到位，安全防護能力和應(yīng)急處置能力不高等，威脅著政府和企業(yè)的生產(chǎn)安全。如何使產(chǎn)品在整個生命周期都能滿足安全完整性等級和功能安全性要求，保證信息安全，也成為了各行業(yè)業(yè)關(guān)注的重點。實驗室將針對我省信息與工業(yè)控制系統(tǒng)面臨日益嚴(yán)重的信息安全攻擊威脅等問題，圍繞政府、電力電網(wǎng)、軌道交通、石油化工、水廠水利、煤炭運輸?shù)裙I(yè)控制系統(tǒng)和其他領(lǐng)域的信息安全需求，建設(shè)信息與工業(yè)控制系統(tǒng)信息安全技術(shù)研發(fā)與工程化平臺， 開展包括操作系統(tǒng)安全、數(shù)據(jù)庫安全、身份認(rèn)證安全、計算機病毒安全等在內(nèi)的信息安全；和防火墻、入侵檢測、VPN、網(wǎng)絡(luò)漏洞、網(wǎng)站安全等在內(nèi)的網(wǎng)絡(luò)安全；以及工業(yè)控制系統(tǒng)安全SCADA（數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)）、安全DCS（分布式控制系統(tǒng)）、安全PLC（可編程邏輯控制器）、安全RTU（遠(yuǎn)程終端單元）等關(guān)鍵技術(shù)和產(chǎn)品的研發(fā)及產(chǎn)業(yè)化。實驗室尤其針對缺少工業(yè)控制系統(tǒng)安全仿真驗證手段、工業(yè)控制系統(tǒng)未建立安全防護體系、高端工業(yè)控制系統(tǒng)及核心部件主要由外國廠商提供的現(xiàn)狀， 著力實現(xiàn)工業(yè)控制系統(tǒng)“可發(fā)現(xiàn)、可防范、可替代”的目標(biāo)，提升我省工控安全核心競爭力。實驗室建立該領(lǐng)域發(fā)展趨勢和重大問題的研究機制，制定可持續(xù)發(fā)展戰(zhàn)略，推動工控信息安全產(chǎn)業(yè)產(chǎn)、學(xué)、研、用在優(yōu)勢資源上的協(xié)同與集成，促進工控信息安全技術(shù)上、下游的對接與耦合。另外，實驗室將為相關(guān)單位提供一個IT信息、工控信息安全交流、促進產(chǎn)學(xué)研結(jié)合、加快科技創(chuàng)新與成果轉(zhuǎn)化的高層次、高水平、高規(guī)格平臺，共同開展工控信息安全關(guān)鍵技術(shù)研發(fā)、標(biāo)準(zhǔn)規(guī)范制定、有關(guān)課題研究，為我省工控信息安全事業(yè)的發(fā)展起到積極的推進作用，促進我省工控安全產(chǎn)業(yè)實現(xiàn)跨越式發(fā)展。3?信息與工控系統(tǒng)安全實驗室主要研究方向和實驗內(nèi)容3.1信息安全實驗室主要研究方向和實驗內(nèi)容信息安全實驗室使用對象主要為信息安全領(lǐng)域的安全聯(lián)盟成員， 要求該實驗室可開展針對信息安全領(lǐng)域前沿技術(shù)的相關(guān)實驗，使聯(lián)盟成員可通過每個部分的實驗深入理解信息安全前沿技術(shù)和過程，通過不同類型的實驗使聯(lián)盟成員理解安全機制并具備技術(shù)應(yīng)用能力，并向聯(lián)盟成員提供可進行深入技術(shù)研究的平臺保障?？扇骈_展服務(wù)器及信息系統(tǒng)進漏洞掃描分析，并直觀顯示目標(biāo)所存在的安全隱患，并同時提供操作系統(tǒng)策略部署、數(shù)據(jù)庫安全保障等實驗操作。涵蓋對典型木馬及主流病毒的攻擊方式進行演技操作，分析該類型木馬或者病毒所針對的網(wǎng)絡(luò)系統(tǒng)漏洞， 并提供防御方式的實驗。同時提供應(yīng)用程序、文件管理、網(wǎng)絡(luò)事件等安全日志的審計實驗，通過日志的管理不斷提高學(xué)生對安全日志的理解，以及審計的流程與規(guī)范。3.1.1操作系統(tǒng)安全研究方向和實驗內(nèi)容操作系統(tǒng)是管理整個計算機硬件與軟件資源的程序，操作系統(tǒng)是網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)，是保證整個互聯(lián)網(wǎng)實現(xiàn)信息資源傳遞和共享的關(guān)鍵，操作系統(tǒng)的安全性在網(wǎng)絡(luò)安全中舉足輕重。一個安全的操作系統(tǒng)能夠保障計算資源使用的保密性、完整性和可用性， 可以提供對數(shù)據(jù)庫、應(yīng)用軟件、網(wǎng)絡(luò)系統(tǒng)等提供全方位的保護。沒有安全的操作系統(tǒng)的保護，根本談不上網(wǎng)絡(luò)系統(tǒng)的安全，更不可能有應(yīng)用軟件信息處理的安全性。 因此，安全的操作系統(tǒng)是整個信息系統(tǒng)安全的基礎(chǔ)。長期以來我國廣泛應(yīng)用的主流操作系統(tǒng)都是從國外引進直接使用的產(chǎn)品， 這些系統(tǒng)的安全性令人擔(dān)憂。從認(rèn)識論的高度看，人們往往首先關(guān)注對操作系統(tǒng)的需要、功能，然后才被動地從出現(xiàn)的漏洞和后門，以及不斷引起世界性的“沖擊波”和“震蕩波”等安全事件中，注意到操作系統(tǒng)本身的安全問題。操作系統(tǒng)的結(jié)構(gòu)和機制不安全，以及PC機硬件結(jié)構(gòu)的簡化，系統(tǒng)不分執(zhí)行“態(tài)”，內(nèi)存無越界保護等等，這些因素都有可能導(dǎo)致資源配置可以被篡改，惡意程序被植入執(zhí)行，利用緩沖區(qū)溢出攻擊以及非法接管系統(tǒng)管理員權(quán)限等安全事故發(fā)生；導(dǎo)致了病毒在世界范圍內(nèi)傳播泛濫，黑客利用各種漏洞攻擊入侵，非授權(quán)者任意竊取信息資源，使得安全防護體系形成了防火墻、防病毒和入侵檢測老三樣的被動局面。操作系統(tǒng)是整個網(wǎng)絡(luò)的核心軟件，操作系統(tǒng)的安全將直接決定網(wǎng)絡(luò)的安全。信息與工業(yè)控制安全實驗室主要針對Windows、Linux、UNIX等主流操作系統(tǒng)本身的物理安全、邏輯安全、應(yīng)用安全、管理安全、操作系統(tǒng)漏洞發(fā)現(xiàn)與檢測等方面進行研究和實驗。物理安全主要是指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護， 使之免受破壞或丟失；邏輯安全主要指系統(tǒng)中信息資源的安全；管理安全主要包括各種管理的政策和機制，包括用戶賬戶控制和最小權(quán)限策略等。應(yīng)用安全可以阻止未授權(quán)的程序的安裝，可以阻止應(yīng)用程序進行不當(dāng)?shù)南到y(tǒng)設(shè)置而使操作系統(tǒng)處于不安全的狀態(tài)，從而大大的提高了系統(tǒng)的安全性。實驗室還將研究國內(nèi)外最新的操作系統(tǒng)防護技術(shù)， 如對數(shù)據(jù)的保護引進了內(nèi)核保護技術(shù)以防止任何非授權(quán)文件對系統(tǒng)內(nèi)核的修改，同時還采用了緩沖區(qū)益出保護，可有效的防止利用緩沖區(qū)益處技術(shù)發(fā)動的攻擊。3.1.2數(shù)據(jù)庫安全機制研究方向和實驗內(nèi)容數(shù)據(jù)庫的安全性是指在信息系統(tǒng)的不同層次保護數(shù)據(jù)庫，防止未授權(quán)的數(shù)據(jù)訪問，避免數(shù)據(jù)的泄漏、不合法的修改或?qū)?shù)據(jù)的破壞。數(shù)據(jù)庫在各種信gfg息系統(tǒng)中得到廣泛的應(yīng)用，數(shù)據(jù)在信息系統(tǒng)中的價值越來越重要，數(shù)據(jù)庫系統(tǒng)的安全與保護成為一個越來越值得重要關(guān)注的方面。信息與工業(yè)控制安全實驗室重點研究和建立數(shù)據(jù)庫本身的安全機制和實驗環(huán)境。 包括用戶認(rèn)證、存取權(quán)限、視圖隔離、跟蹤與審查、數(shù)據(jù)加密、數(shù)據(jù)完整性控制、數(shù)據(jù)訪問的并發(fā)控制、數(shù)據(jù)庫的備份和恢復(fù)等方面。如數(shù)據(jù)庫用戶認(rèn)證技術(shù)，是數(shù)據(jù)庫提供的最外層安全保護措施，實驗室重點對身份、生物認(rèn)證技術(shù)用于數(shù)據(jù)庫用戶標(biāo)識和鑒別方面進行實驗和嘗試，如智能卡技術(shù)，物理特征（指紋、虹膜等） 。再如數(shù)據(jù)庫存取控制機制，即確保只授權(quán)給有資格的用戶訪問數(shù)據(jù)庫的權(quán)限， 同時令所有未被授權(quán)的人員無法接近數(shù)據(jù)。而實驗室主要研究強制型存取控制機制，即對主體和客體的已分配的安全屬性進行匹配判斷，決定主體是否有權(quán)對客體進行進一步的訪問操作，從而保證數(shù)據(jù)數(shù)據(jù)存儲控制機制。而數(shù)據(jù)加密算法也是實驗室重點的研究和實驗領(lǐng)域， 包括網(wǎng)絡(luò)數(shù)據(jù)包在客戶端和服務(wù)器端之間發(fā)送的數(shù)據(jù)、存儲過程定義、函數(shù)定義、視圖定義、觸發(fā)器定義、默認(rèn)值定義、規(guī)則定義等數(shù)據(jù)庫對象進行加密和解密實驗。3.1.3身份認(rèn)證研究方向和實驗內(nèi)容不論是信息系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)還是工控系統(tǒng)，不論安全性要求多高的數(shù)據(jù)，它存在就必然要有相對應(yīng)的授權(quán)人可以訪問它，否則，保存一個任何人都無權(quán)訪問的數(shù)據(jù)無任何意義。然而，如果沒有有效的身份認(rèn)證手段，這個有權(quán)訪問者的身份就很容易被偽造，那么，不論投入再大的資金，建立再堅固安全防范體系都形同虛設(shè)?？梢?，身份識別技術(shù)是最基本的安全服務(wù)，其它的安全服務(wù)都要依賴于它。實驗室主要針對生物認(rèn)證技術(shù)相關(guān)實驗環(huán)境進行搭建和測試，包括虹膜、指紋相關(guān)身份認(rèn)證實驗環(huán)境的搭建。實驗室主要研究和驗證生物識別技術(shù)在信息、網(wǎng)絡(luò)、工控環(huán)境下的場景應(yīng)用以及在特殊環(huán)境下的驗證正確率，并通過對識別算法的改進來提高識別的正確率。3.1.4計算機病毒攻防研究方向和實驗內(nèi)容計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼，就像生物病毒一樣，計算機病毒有獨特的復(fù)制能力。計算機病毒可以很快地蔓延，又常常難以根除。它們能把自身附著在各種類型的文件上。當(dāng)文件被復(fù)制或從一個用戶傳送到另一個用戶時，它們就隨同文件一起蔓延開來。實驗室主要對最新的病毒破壞性進行檢測和清除以及對主流病毒進行攻防演示實驗從而達到了解病毒的目的，包括木馬實驗、腳本病毒實驗、 DLL注入型病毒實驗、COM病毒實驗、郵件型病毒實驗、Word宏病毒實驗、移動存儲型病毒實驗、HTML惡意代碼實驗、流氓軟件實驗以及惡意軟件查找及清除實驗。3.2網(wǎng)絡(luò)安全主要研究方向和實驗內(nèi)容目前，各行業(yè)用戶對網(wǎng)絡(luò)的依賴程度也越來越高，建立持續(xù)、穩(wěn)定、安全的網(wǎng)絡(luò)是保障用戶業(yè)務(wù)發(fā)展的前提。大家都認(rèn)識到安全的重要性，紛紛采用防火墻、網(wǎng)關(guān)、加密、身份認(rèn)證、訪問控制等保護手段來保護網(wǎng)絡(luò)系統(tǒng)的安全。與此同時，安全問題日益嚴(yán)重，病毒、木馬、黑客攻擊、網(wǎng)絡(luò)釣魚、 DDOS等安全威脅層出不窮，而且技術(shù)越來越復(fù)雜，病毒、木馬及黑客技術(shù)等融合造成了網(wǎng)絡(luò)安全的巨大危機。因此，建設(shè)網(wǎng)絡(luò)安全實驗室，不但能為聯(lián)盟成員提供良好的硬件資源，而且能大大提高我省和聯(lián)盟的科學(xué)研究及學(xué)科建設(shè)水平，提高聯(lián)盟可研實力，為聯(lián)盟培養(yǎng)信息安全高級人才提供有力保證，所以聯(lián)盟非常有必要建設(shè)一個現(xiàn)代化，真實化的網(wǎng)絡(luò)安全實驗室。通過網(wǎng)絡(luò)攻防實驗，聯(lián)盟成員可以了解最新的網(wǎng)絡(luò)安全威脅的后果，進而分析其原理，掌握入侵檢測技術(shù)、安全防護技術(shù)以及應(yīng)急響應(yīng)機制等基本安全技術(shù)，提供網(wǎng)絡(luò)安全防御機制，從系統(tǒng)的整個生命周期考慮網(wǎng)絡(luò)安全問題。3.2.1入侵檢測與攻防研究方向和實驗內(nèi)容入侵檢測是指對入侵行為的發(fā)現(xiàn)、報警和響應(yīng)，它通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測系統(tǒng)(IntrusionDetectionSystem) 是對防火墻有益的補充，它對網(wǎng)絡(luò)和主機行為進行檢測，提供對內(nèi)部攻擊、外部攻擊和誤操作的實時監(jiān)控， 增強了網(wǎng)絡(luò)的安全性。在安全防范方面，入侵檢測系統(tǒng)可以實現(xiàn)事前警告、事中防護和事后取證。入侵檢測系統(tǒng)能夠在入侵攻擊行為對網(wǎng)絡(luò)系統(tǒng)造成危害前， 及時檢測到入侵攻擊的發(fā)生，并進行報警；入侵攻擊發(fā)生時，入侵檢測系統(tǒng)可以通過與防火墻聯(lián)動等方式進行報警及動態(tài)防護；被入侵攻擊后，入侵檢測系統(tǒng)可以提供詳細(xì)的攻擊信息日志，便于取證分析。相對于防火墻提供的靜態(tài)防護而言，入侵檢測系統(tǒng)側(cè)重于提供動態(tài)實時檢測防護， 因此防火墻和入侵檢測系統(tǒng)的結(jié)合，能夠給網(wǎng)絡(luò)帶來更全面的防護。實驗室主要對聯(lián)盟內(nèi)部的入侵檢測系統(tǒng)進行測試和優(yōu)化， 使用典型的入侵攻擊工具(如DOS-DDOS攻擊、拒絕服務(wù)攻擊、分布式拒絕服務(wù)攻擊等)進行攻擊，檢驗入侵檢測系統(tǒng)的準(zhǔn)確性和識別率。通過改進入侵檢測系統(tǒng)，增強其檢測能力。3.2.2防火墻研究方向和實驗內(nèi)容防火墻是硬件和軟件的組合，它在內(nèi)部網(wǎng)和外部網(wǎng)間建立起安全網(wǎng)關(guān)，過濾數(shù)據(jù)包，決定是否轉(zhuǎn)發(fā)到目的地。它能夠控制網(wǎng)絡(luò)進出的信息流向，提供網(wǎng)絡(luò)使用狀況和流量的審計、隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié)。它還可以幫助內(nèi)部系統(tǒng)進行有效的網(wǎng)絡(luò)安全隔離，通過安全過濾規(guī)則嚴(yán)格控制外網(wǎng)用戶非法訪問， 并只打開必須的服務(wù)，防范外部來的服務(wù)攻擊。同時，防火墻可以控制內(nèi)網(wǎng)用戶訪問外網(wǎng)時間，并通過設(shè)置 IP地址與MAC地址綁定，防止IP地址欺騙。更重要的是，防火墻不但將大量的惡意攻擊直接阻擋在外而，同時也屏蔽來自網(wǎng)絡(luò)內(nèi)部的不良行為。323漏洞掃描研究方向和實驗內(nèi)容利用安全漏洞進行網(wǎng)絡(luò)攻擊，就好像陽光下的陰影，始終伴隨著互聯(lián)網(wǎng)行業(yè)的應(yīng)用發(fā)展。近些年，網(wǎng)絡(luò)安全威脅的形式也出現(xiàn)了不同的變化，攻擊方式從單個興趣愛好者隨意下載的簡單工具攻擊，向有組織的專業(yè)技術(shù)人員專門編寫的攻擊程序轉(zhuǎn)變， 攻擊目的從證明個人技術(shù)實力向商業(yè)或國家信息竊取轉(zhuǎn)變。實驗室研究和實驗最新最前沿的漏洞攻擊方式， （如Google極光攻擊事件中被利用的IE瀏覽器溢出漏洞等），幫助聯(lián)盟成員全面發(fā)現(xiàn)信息和網(wǎng)絡(luò)系統(tǒng)存在的各種脆弱性問題，包括安全漏洞、安全配置問題、應(yīng)用系統(tǒng)安全漏洞，檢查系統(tǒng)存在的弱口令，收集系統(tǒng)不必要開放的賬號、服務(wù)、端口，形成整體安全風(fēng)險報告。幫助聯(lián)盟成員快速定位風(fēng)險類型、區(qū)域、嚴(yán)重程度，直觀展示、修補安全風(fēng)險；3.2.4WEB攻防研究方向和實驗內(nèi)容企業(yè)及其雇員越來越依賴于互聯(lián)網(wǎng)，不管是在家里、在路途中、在辦公室中都是如此。這種依賴性在與多種最新的Web威脅結(jié)合之后，將會使企業(yè)比以往更加脆弱，更容易遭受攻擊。近半年來的Web攻擊都有一個鮮明的特點，在無需用戶干預(yù)的情況下，這些威脅就可以進入網(wǎng)絡(luò)，嚴(yán)重威脅著企業(yè)的數(shù)據(jù)安全、工作效率，直至企業(yè)的最終利益。而且，由于Web內(nèi)容和形式的多樣性，其威脅的花樣也是不斷翻新。實驗室研究和防御各種針對WEB應(yīng)用的攻擊手段，包括跨網(wǎng)站腳本攻擊（黑客可以模擬合法用戶，控制其帳戶）、注入攻擊（黑客可以訪問后端數(shù)據(jù)庫信息，修改、盜竊。）、惡意文件執(zhí)行（被修改的站點將所有交易傳送給黑客）、不安全對象引用（Web應(yīng)用返回敏感文件內(nèi)容）、偽造跨站點請求（黑客發(fā)起B(yǎng)lind請求，要求進行轉(zhuǎn)帳）、被破壞的認(rèn)證和Session管理（黑客能夠盜竊session）、不安全的木馬存儲（隱秘信息被黑客解密盜竊）等。重點幫助聯(lián)盟會員單位建立 WEB安全體系，包括輸入驗證，身份驗證，授權(quán)，配置管理，敏感數(shù)據(jù)，會話管理，加密，參數(shù)操作，異常管理，審核和日志記錄等。325無線攻防研究方向和實驗內(nèi)容無線局域網(wǎng)絡(luò)（WirelessLocalAreaNetworks;簡寫為：WLAN）是相當(dāng)便利的數(shù)據(jù)傳輸系統(tǒng)，利用射頻（RadioFrequency；RF）的技術(shù)，取代舊式礙手礙腳的雙絞銅線所構(gòu)成的局域網(wǎng)，使得無線局域網(wǎng)絡(luò)能利用簡單的存取架構(gòu)讓用戶透過它， 達到“信息隨身化、便利走天下”的理想境界。無線局域網(wǎng) （WLAN）產(chǎn)業(yè)是當(dāng)前整個數(shù)據(jù)通信領(lǐng)域發(fā)展最快的產(chǎn)業(yè)之一。因其具有靈活性、可移動性及較低的投資成本等優(yōu)勢，無線局域網(wǎng)解決方案作為傳統(tǒng)有線局域網(wǎng)絡(luò)的補充和擴展， 獲得了家庭網(wǎng)絡(luò)用戶、中小型辦公室用戶、廣大企業(yè)用戶及電信運營商的青睞，然而由于無線局域網(wǎng)采用公共頻率的電磁波作為載體，因此對越權(quán)存取和竊聽的行為也更不容易防備， 使得它的安全性更加難以保證，面臨著嚴(yán)重的安全威脅。實驗室終端關(guān)注和分析WLAN的不安全因素，針對不安全因素給出了解決的安全措施，研究和利用無線入侵檢測系統(tǒng)對聯(lián)盟成員 WLAN進行檢測，利用VPN、身份認(rèn)證和授權(quán)、數(shù)據(jù)加密、內(nèi)部管理等方式有效防范 WLAN中竊聽、截取或者修改傳輸數(shù)據(jù)、置信攻擊、拒絕服務(wù)等等的攻擊手段，保證無線網(wǎng)絡(luò)內(nèi)的用戶的信息和傳輸消息的安全性和保密性，有效地維護無線局域網(wǎng)的安全。3.3工控安全研究方向和實驗內(nèi)容3.3.1工控系統(tǒng)漏洞挖掘研究方向和實驗內(nèi)容工業(yè)控制系統(tǒng)（簡稱“工控系統(tǒng)”）是國家基礎(chǔ)設(shè)施的重要組成部分，其安全性關(guān)系到國家經(jīng)濟的發(fā)展和人民群眾的財產(chǎn)和生命安全。近年來，工業(yè)控制系統(tǒng)漏洞和安全事件不斷出現(xiàn),給國家和人民經(jīng)濟財產(chǎn)安全造成了嚴(yán)重的威脅。 漏洞挖掘是工業(yè)控制系統(tǒng)安全攻防的焦點。如果工業(yè)控制系統(tǒng)中的漏洞被攻擊者發(fā)現(xiàn)，并利用這些漏洞進行攻擊，必將造成不可設(shè)想的后果。因此及時發(fā)現(xiàn)工控系統(tǒng)的漏洞，對于提升工控系統(tǒng)整體的安全防護能力具有重要的意義。目前，國內(nèi)外對于工業(yè)控制系統(tǒng)的安全保護已經(jīng)取得一定的研究成果， 但是如何對工業(yè)控制系統(tǒng)進行漏洞挖掘與安全預(yù)防，仍然研究較少。該實驗針對工控系統(tǒng)漏洞的挖掘及防護方法進行研究，它可以在威脅未發(fā)生時就檢測出系統(tǒng)存在的安全隱患， 從而將威脅消滅在萌芽狀態(tài)，避免重大的經(jīng)濟損失。準(zhǔn)確地掃描出工控系統(tǒng)的漏洞 ，才能在這場工控系統(tǒng)安全的戰(zhàn)爭中，處于先機，立于不敗之地。實驗室主要對工業(yè)控制網(wǎng)絡(luò)中的設(shè)備、系統(tǒng)、環(huán)境所存在的漏洞風(fēng)險進行檢測與評估。該平臺包括了阿基里斯測試工具、協(xié)議漏洞挖掘工具、網(wǎng)絡(luò)安全審計工具和認(rèn)證分析工具等一系列的測試、檢測、分析工具，用于評估工控網(wǎng)絡(luò)安全風(fēng)險。3.3.2工控系統(tǒng)攻防研究方向和實驗內(nèi)容依托實驗室先進的技術(shù)和強大的工控安全產(chǎn)品，搭建一整套工控安全攻防演練平臺。該平臺搭建一套和實際系統(tǒng)完全物理隔離的模擬業(yè)務(wù)系統(tǒng)，利用模擬攻擊系統(tǒng)和保護驗證系統(tǒng)展示病毒、木馬等網(wǎng)絡(luò)攻擊對系統(tǒng)造成的危害，以及其防護方案對惡意攻擊產(chǎn)生的實際效果，能夠直觀的增強企業(yè)對工控系統(tǒng)脆弱性的認(rèn)識，并增強對該實驗室安全防護解決方案的信心。攻防實驗系統(tǒng)包含了在該實驗平臺上針對模擬仿真業(yè)務(wù)環(huán)境實施攻擊所需的攻擊方案和工具集。攻擊方案包括了攻擊的方式、攻擊的路徑、攻擊預(yù)期效果，攻擊工具用于實施攻擊方案，如PLC漏洞腳本攻擊、上位機木馬病毒攻擊、病毒U盤攻擊、網(wǎng)絡(luò)風(fēng)暴攻擊等。防護實驗系統(tǒng)包括基于目標(biāo)業(yè)務(wù)系統(tǒng)的脆弱性和攻擊手段而采取的防護措施，包括：1） 在工程師站和PLC之間部署工業(yè)防火墻，防止來自工程師站的針對PLC漏洞的攻擊。2） 在工程師站上部署可信衛(wèi)士軟件，防護工程師站遭受感染惡意腳本的 U盤的攻擊或其他感染惡意軟件的應(yīng)用在工程師站上安裝運行，從而導(dǎo)致工程師站被入侵，從而獲得向PLC發(fā)送惡意指令的權(quán)限，或通過工程師站基于PLC漏洞對PLC進行攻擊的行為。3.3.3安全DCS、PLC、SCADA系統(tǒng)研究方向和實驗內(nèi)容工控系統(tǒng)（ICS）主要包括SCADA系統(tǒng)分布式控制系統(tǒng)（DCS）、SCADA系統(tǒng)、分布式控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）等，而SCADA系統(tǒng)則是工控系統(tǒng)的神經(jīng)中樞。加強工控系統(tǒng)安全防護產(chǎn)品技術(shù)應(yīng)著重考慮工業(yè)環(huán)境、協(xié)議的適應(yīng)性，同時要注重輕量級產(chǎn)品的開發(fā)、強化工控系統(tǒng)的安全監(jiān)控和管理。此外，由于國產(chǎn)化程度不高，尤其是高端市場基本被國外壟斷，核心技術(shù)和元件均掌握在國外廠商手中， 因此要基于自主可控技術(shù)的安全體系，開發(fā)更多國產(chǎn)工控軟件。3.3.4企業(yè)工控安全咨詢評估隨著工業(yè)4.0及兩化融合的趨勢到來，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問題受到越來越多政府部門、企業(yè)及研究機構(gòu)的關(guān)注。信息安全風(fēng)險永遠(yuǎn)存在，光靠安全產(chǎn)品上馬并不能解決所有問題。制度、管理、人員意識和產(chǎn)品、技術(shù)的綜合體系才是科學(xué)的保障，信息安全工作本身是一個完整項目過程，它的本質(zhì)是風(fēng)險管理。所以，通過安全咨詢、提高工控安全意識，了解企業(yè)安全漏洞所在，意識到我們在制度、管理和技術(shù)等方面和