论文部分内容阅读
摘要:工业4.0是当前制造业发展的标志,工业控制安全已经成为当前网络空间安全的重要部分,如何在工业4.0的前提下实现对工控安全的教学是一个需要仔细考虑的问题。本文通过虚实结合的技术方式,实现基本的工控安全的教学应用,学生可以通过平台实现完整工业安全攻防的实践课程。
关键词:工控安全;实践教学;教学改革
中图分类号:G642.0 文献标志码:A 文章编号:1674-9324(2018)12-0104-02
一、绪论
工业控制安全是近年来安全领域的关注重点[1],区别于互联网安全的传统安全领域,工业控制安全属于典型的交叉学科,涉及到能源[2]、交通[3]、智能制造加工[4]等多个领域。既涵盖了网络安全的主要知识内容,同时又需要以工业控制特别是自动化领域知识为基础。不同领域之间的工业控制原理差异较大。单纯的课堂教学不可能实现各个课程之间的融会贯通,必须要对课程进行实践教学。实践是基础和创新的源泉,更新观念、强化实践教学,培养高素质的人才,是对专业教学改革的迫切需要。近年来随着“互联网 ”概念兴起,工业与互联网的融合开始加剧,以互联网为依托的工业4.0[5]开始成为的热点,同传统的机械加工制造相比,由于引入互联网的模式,工业的生产加工更加趨于方便快捷,目前全国多所高校都设置了相关课程,该课程的学习不限于传统机械制造专业,同时也引发了计算机、通信和自动化等其他跨专业的领域兴趣。本文以工业4.0智能制造教学平台为基础,以实践教学为引导,结合工业互联网常用Modbus协议为对象,设计实现了一套虚实结合的工控安全平台,并设计了配套的教学资源,满足了当前工控安全领域实践教学的需要。
二、实践教学的现状分析
工控安全的实践教学与传统的网络安全教学形式基本一致,一般包括三个部分,即安全环境的实践教学、安全攻击实践教学和安全防御方面的教学。从目前传统安全的实验教学观点来看,需要注意以下几点。
(一)明确工控安全实践教学的基本环境
传统网络安全的实验环境多采用虚拟机的方式,仿真若干个虚拟节点和网络环境,这种方式对于互联网环境下的教学是比较理想的,学生可以在网络上完成基本的安全实验。作为工控领域,大量PLC、RTU等设备的存在虚拟化和仿真技术难度大的问题,因此需要考虑使用虚实结合的形式解决实验环境的问题。
(二)选择合适的工控安全攻击实验语言
工控安全的攻击实验需要有网络通信和自动控制系统的知识体系的帮助,考虑到在本科教学过程中,一般将C语言作为共有的程序类课程,在攻击过程中实验语言采用较低层的C语言或者其他脚本编写程序,能够满足各个学科的学生的阅读和使用。
(三)针对工控安全防御教学的核心内容
工控安全的防御教学采用普适的安全防御工具:防火墙和IDS系统,这些防御产品的技原理对于以往以TCP/IP为主要知识体系的学习的学生来讲并不陌生,而在工业领域,大量采用以Modbus、OPC等工业领域类协议,加之工业控制领域复杂的问题现状,适用于安全防御教学目标的内容还不够清晰,如果仅停留在对安全产品的掌握上,则难以培养出适合工控安全实际需要、对网络安全环境有整体掌控的人才,安全防御的实践教学需要以协议安全为核心内容。
三、实践平台的构建
本课题首先构造用于智能加工制造的原型教学系统,在该系统中,以传送带机械臂为主要传送方式,集合铣床、车窗、AUV和智能仓库,实现网络化的智能制造。在本实验平台中,工业4.0平台中的机械臂是整个安全的重点,为防止实验对真实设备的破坏,因此不宜采用直接的安全攻防实验操作,而是采用虚实结合的方式,利用仿真的方式对原有的工业控制系统实现模拟。使学生可以在仿真的环境下实现工业控制网络的安全的学习。
教学平台主要分为仿真区、实物区和安全测试区三个部分(如图1所示)。其中仿真区主要部署工业数据库和组态软件监控器,其中工业数据库部存储大量的工业运行通信数据,用以模拟真实环境下的工业数据通信,组态软件则主要用来实现工业运行环境下的数据监控,为了有利于系统教学,平台采用二维动画显示的方式逼真地还原了整个工业4.0的工作过程;实物区主要部署真实的PLC,通过工业以太网和Modbus协议和其他区域连接;安全测试区通过工业防火墙和三层交换机连接,主要负责实施安全方面的实验教学。实物区主要由智能控制卡组成,为保证实验效果的一致性智能控制卡采用和硬件环境保持一致的产品,通过对智能控制卡的操作来模拟与现实环境一致的效果。仿真区是通过安装的组态软件,使用图形图像的方式,模拟真实的机械臂、铣床的等实物的工作情况,这样就可以避免在真实网络中进行网络分析时可能产生的不可控因素。攻击区主要用于实现网络安全的实验教学,在该区域通过配置三层交换机和网络防火墙设备。学生可以通过该设备直接接入到实物区,对正在运行的网络设备实施网络攻击,当攻击发生时,PLC会产生相应状态变化,组态软件在监视到变化后会通过可视化的方式显示,同时在攻击区学生也可以使用交换机对攻击数据包实施抓取分析,或者使用防火墙配置安全防护策略,实现安全防护方面的实验。
四、实践教学的具体实施
工控安全课程的设置是整个改革的中心,对整个实践教学改革的过程分为课程资源改革和实践教学改革两部分实施。前者用于实现实践课程体系的构件,后者则面向提高学生的实践能力和实践效果。
(一)课程资源的改革
工业控制领域的内容跨越学科范围较大,涉及到自动化、机械、通信和计算机等多个学科,因此在实施教学的过程中,需要考虑各个阶段的知识内容。考虑到各个专业的学生特点,教学平台的课程资源以实际操作为主,重点落实在学生的理解层面,比如在该平台上开展针对Modbus的拒绝服务攻击和防御实验,该实验主要涉及到计算机网络安全的拒绝服务机制、Modbus协议的请求响应机制、防火墙配置策略管理、PLC的端口工作原理和组态软件的使用等多个内容。为保证实验的顺利进行,在实验中重点讲述Modbus协议的内容,此部分知识点是整个工控安全的关键,对于工业自动化中其他的知识点,采用以理解为主的目标实现。 (二)实践教学安排的改革
實践的教学安排是教学环境中的重要内容,处于对学生实践效果的考虑,实验的主要实践都安排在两到三周的时间进行,主要分为三个阶段:第一个阶段主要用于实现面向工业4.0环境的学习,学生可以在该环境下学习关于工业4.0机械加工制造的简单知识和操作,对工业4.0环境有一个初步的了解。第二阶段则是有学生根据已有的实验指导材料对工业环境实现初步的攻击实验,在这个过程中,需要学生以小组的方式配合,一方面操作观察攻击效果,另一方面从网络数据中分析攻击的机制,各学习小组还需要对专用的工业安全攻击代码实施解读,学习其中的攻击过程。第三个阶段则侧重在安全防护方面,在该阶段学生主要针对已有的网络环境,设计相应的安全方案。
五、总结
工控安全作为网络空间安全领域的延伸,有其特殊的地方,其实践学习的主要目的在于提高学生的安全认识,对基本的安全事件有所理解,激发学生对安全问题的学习兴趣。本文以工业4.0作为入手点,通过Modbus协议安全分析结合PLC机制,实现了面向工控安全基本的教学实验资源,为学生提供了一个比较全面的学习和掌握工控安全技术的平台。
参考文献:
[1]尹丽波.我国亟需建立工控安全保障体系[J].中国信息安全,2016,(4).
[2]张五一,李圣泉.能源行业工控系统信息安全分析与防护[J].信息安全与通信保密,2015,(4).
[3]何增镇,吕毅,李道丰.城市智能交通系统的工控系统安全风险研究[J].西部交通科技,2014,(11).
[4]裘坤.智能制造与工控安全[J].自动化博览,2016,(9).
[5]宗健.工业4.0时代的工控网络安全防护研究[J].化工管理,2016,(4).
An Industrial Control Security Teaching Platform for Industry 4.0
JIAO Jian
(Computer School,Beijing Information Science
关键词:工控安全;实践教学;教学改革
中图分类号:G642.0 文献标志码:A 文章编号:1674-9324(2018)12-0104-02
一、绪论
工业控制安全是近年来安全领域的关注重点[1],区别于互联网安全的传统安全领域,工业控制安全属于典型的交叉学科,涉及到能源[2]、交通[3]、智能制造加工[4]等多个领域。既涵盖了网络安全的主要知识内容,同时又需要以工业控制特别是自动化领域知识为基础。不同领域之间的工业控制原理差异较大。单纯的课堂教学不可能实现各个课程之间的融会贯通,必须要对课程进行实践教学。实践是基础和创新的源泉,更新观念、强化实践教学,培养高素质的人才,是对专业教学改革的迫切需要。近年来随着“互联网 ”概念兴起,工业与互联网的融合开始加剧,以互联网为依托的工业4.0[5]开始成为的热点,同传统的机械加工制造相比,由于引入互联网的模式,工业的生产加工更加趨于方便快捷,目前全国多所高校都设置了相关课程,该课程的学习不限于传统机械制造专业,同时也引发了计算机、通信和自动化等其他跨专业的领域兴趣。本文以工业4.0智能制造教学平台为基础,以实践教学为引导,结合工业互联网常用Modbus协议为对象,设计实现了一套虚实结合的工控安全平台,并设计了配套的教学资源,满足了当前工控安全领域实践教学的需要。
二、实践教学的现状分析
工控安全的实践教学与传统的网络安全教学形式基本一致,一般包括三个部分,即安全环境的实践教学、安全攻击实践教学和安全防御方面的教学。从目前传统安全的实验教学观点来看,需要注意以下几点。
(一)明确工控安全实践教学的基本环境
传统网络安全的实验环境多采用虚拟机的方式,仿真若干个虚拟节点和网络环境,这种方式对于互联网环境下的教学是比较理想的,学生可以在网络上完成基本的安全实验。作为工控领域,大量PLC、RTU等设备的存在虚拟化和仿真技术难度大的问题,因此需要考虑使用虚实结合的形式解决实验环境的问题。
(二)选择合适的工控安全攻击实验语言
工控安全的攻击实验需要有网络通信和自动控制系统的知识体系的帮助,考虑到在本科教学过程中,一般将C语言作为共有的程序类课程,在攻击过程中实验语言采用较低层的C语言或者其他脚本编写程序,能够满足各个学科的学生的阅读和使用。
(三)针对工控安全防御教学的核心内容
工控安全的防御教学采用普适的安全防御工具:防火墙和IDS系统,这些防御产品的技原理对于以往以TCP/IP为主要知识体系的学习的学生来讲并不陌生,而在工业领域,大量采用以Modbus、OPC等工业领域类协议,加之工业控制领域复杂的问题现状,适用于安全防御教学目标的内容还不够清晰,如果仅停留在对安全产品的掌握上,则难以培养出适合工控安全实际需要、对网络安全环境有整体掌控的人才,安全防御的实践教学需要以协议安全为核心内容。
三、实践平台的构建
本课题首先构造用于智能加工制造的原型教学系统,在该系统中,以传送带机械臂为主要传送方式,集合铣床、车窗、AUV和智能仓库,实现网络化的智能制造。在本实验平台中,工业4.0平台中的机械臂是整个安全的重点,为防止实验对真实设备的破坏,因此不宜采用直接的安全攻防实验操作,而是采用虚实结合的方式,利用仿真的方式对原有的工业控制系统实现模拟。使学生可以在仿真的环境下实现工业控制网络的安全的学习。
教学平台主要分为仿真区、实物区和安全测试区三个部分(如图1所示)。其中仿真区主要部署工业数据库和组态软件监控器,其中工业数据库部存储大量的工业运行通信数据,用以模拟真实环境下的工业数据通信,组态软件则主要用来实现工业运行环境下的数据监控,为了有利于系统教学,平台采用二维动画显示的方式逼真地还原了整个工业4.0的工作过程;实物区主要部署真实的PLC,通过工业以太网和Modbus协议和其他区域连接;安全测试区通过工业防火墙和三层交换机连接,主要负责实施安全方面的实验教学。实物区主要由智能控制卡组成,为保证实验效果的一致性智能控制卡采用和硬件环境保持一致的产品,通过对智能控制卡的操作来模拟与现实环境一致的效果。仿真区是通过安装的组态软件,使用图形图像的方式,模拟真实的机械臂、铣床的等实物的工作情况,这样就可以避免在真实网络中进行网络分析时可能产生的不可控因素。攻击区主要用于实现网络安全的实验教学,在该区域通过配置三层交换机和网络防火墙设备。学生可以通过该设备直接接入到实物区,对正在运行的网络设备实施网络攻击,当攻击发生时,PLC会产生相应状态变化,组态软件在监视到变化后会通过可视化的方式显示,同时在攻击区学生也可以使用交换机对攻击数据包实施抓取分析,或者使用防火墙配置安全防护策略,实现安全防护方面的实验。
四、实践教学的具体实施
工控安全课程的设置是整个改革的中心,对整个实践教学改革的过程分为课程资源改革和实践教学改革两部分实施。前者用于实现实践课程体系的构件,后者则面向提高学生的实践能力和实践效果。
(一)课程资源的改革
工业控制领域的内容跨越学科范围较大,涉及到自动化、机械、通信和计算机等多个学科,因此在实施教学的过程中,需要考虑各个阶段的知识内容。考虑到各个专业的学生特点,教学平台的课程资源以实际操作为主,重点落实在学生的理解层面,比如在该平台上开展针对Modbus的拒绝服务攻击和防御实验,该实验主要涉及到计算机网络安全的拒绝服务机制、Modbus协议的请求响应机制、防火墙配置策略管理、PLC的端口工作原理和组态软件的使用等多个内容。为保证实验的顺利进行,在实验中重点讲述Modbus协议的内容,此部分知识点是整个工控安全的关键,对于工业自动化中其他的知识点,采用以理解为主的目标实现。 (二)实践教学安排的改革
實践的教学安排是教学环境中的重要内容,处于对学生实践效果的考虑,实验的主要实践都安排在两到三周的时间进行,主要分为三个阶段:第一个阶段主要用于实现面向工业4.0环境的学习,学生可以在该环境下学习关于工业4.0机械加工制造的简单知识和操作,对工业4.0环境有一个初步的了解。第二阶段则是有学生根据已有的实验指导材料对工业环境实现初步的攻击实验,在这个过程中,需要学生以小组的方式配合,一方面操作观察攻击效果,另一方面从网络数据中分析攻击的机制,各学习小组还需要对专用的工业安全攻击代码实施解读,学习其中的攻击过程。第三个阶段则侧重在安全防护方面,在该阶段学生主要针对已有的网络环境,设计相应的安全方案。
五、总结
工控安全作为网络空间安全领域的延伸,有其特殊的地方,其实践学习的主要目的在于提高学生的安全认识,对基本的安全事件有所理解,激发学生对安全问题的学习兴趣。本文以工业4.0作为入手点,通过Modbus协议安全分析结合PLC机制,实现了面向工控安全基本的教学实验资源,为学生提供了一个比较全面的学习和掌握工控安全技术的平台。
参考文献:
[1]尹丽波.我国亟需建立工控安全保障体系[J].中国信息安全,2016,(4).
[2]张五一,李圣泉.能源行业工控系统信息安全分析与防护[J].信息安全与通信保密,2015,(4).
[3]何增镇,吕毅,李道丰.城市智能交通系统的工控系统安全风险研究[J].西部交通科技,2014,(11).
[4]裘坤.智能制造与工控安全[J].自动化博览,2016,(9).
[5]宗健.工业4.0时代的工控网络安全防护研究[J].化工管理,2016,(4).
An Industrial Control Security Teaching Platform for Industry 4.0
JIAO Jian
(Computer School,Beijing Information Science