一種面向工業(yè).的工控安全教學(xué)平臺(tái)

焦健

摘要：工業(yè)4.0是當(dāng)前制造業(yè)發(fā)展的標(biāo)志，工業(yè)控制安全已經(jīng)成為當(dāng)前網(wǎng)絡(luò)空間安全的重要部分，如何在工業(yè)4.0的前提下實(shí)現(xiàn)對(duì)工控安全的教學(xué)是一個(gè)需要仔細(xì)考慮的問題。本文通過虛實(shí)結(jié)合的技術(shù)方式，實(shí)現(xiàn)基本的工控安全的教學(xué)應(yīng)用，學(xué)生可以通過平臺(tái)實(shí)現(xiàn)完整工業(yè)安全攻防的實(shí)踐課程。

關(guān)鍵詞：工控安全；實(shí)踐教學(xué)；教學(xué)改革

中圖分類號(hào)：G642.0 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1674-9324（2018）12-0104-02

一、緒論

工業(yè)控制安全是近年來安全領(lǐng)域的關(guān)注重點(diǎn)[1]，區(qū)別于互聯(lián)網(wǎng)安全的傳統(tǒng)安全領(lǐng)域，工業(yè)控制安全屬于典型的交叉學(xué)科，涉及到能源[2]、交通[3]、智能制造加工[4]等多個(gè)領(lǐng)域。既涵蓋了網(wǎng)絡(luò)安全的主要知識(shí)內(nèi)容，同時(shí)又需要以工業(yè)控制特別是自動(dòng)化領(lǐng)域知識(shí)為基礎(chǔ)。不同領(lǐng)域之間的工業(yè)控制原理差異較大。單純的課堂教學(xué)不可能實(shí)現(xiàn)各個(gè)課程之間的融會(huì)貫通，必須要對(duì)課程進(jìn)行實(shí)踐教學(xué)。實(shí)踐是基礎(chǔ)和創(chuàng)新的源泉，更新觀念、強(qiáng)化實(shí)踐教學(xué)，培養(yǎng)高素質(zhì)的人才，是對(duì)專業(yè)教學(xué)改革的迫切需要。近年來隨著“互聯(lián)網(wǎng)+”概念興起，工業(yè)與互聯(lián)網(wǎng)的融合開始加劇，以互聯(lián)網(wǎng)為依托的工業(yè)4.0[5]開始成為的熱點(diǎn)，同傳統(tǒng)的機(jī)械加工制造相比，由于引入互聯(lián)網(wǎng)的模式，工業(yè)的生產(chǎn)加工更加趨于方便快捷，目前全國(guó)多所高校都設(shè)置了相關(guān)課程，該課程的學(xué)習(xí)不限于傳統(tǒng)機(jī)械制造專業(yè)，同時(shí)也引發(fā)了計(jì)算機(jī)、通信和自動(dòng)化等其他跨專業(yè)的領(lǐng)域興趣。本文以工業(yè)4.0智能制造教學(xué)平臺(tái)為基礎(chǔ)，以實(shí)踐教學(xué)為引導(dǎo)，結(jié)合工業(yè)互聯(lián)網(wǎng)常用Modbus協(xié)議為對(duì)象，設(shè)計(jì)實(shí)現(xiàn)了一套虛實(shí)結(jié)合的工控安全平臺(tái)，并設(shè)計(jì)了配套的教學(xué)資源，滿足了當(dāng)前工控安全領(lǐng)域?qū)嵺`教學(xué)的需要。

二、實(shí)踐教學(xué)的現(xiàn)狀分析

工控安全的實(shí)踐教學(xué)與傳統(tǒng)的網(wǎng)絡(luò)安全教學(xué)形式基本一致，一般包括三個(gè)部分，即安全環(huán)境的實(shí)踐教學(xué)、安全攻擊實(shí)踐教學(xué)和安全防御方面的教學(xué)。從目前傳統(tǒng)安全的實(shí)驗(yàn)教學(xué)觀點(diǎn)來看，需要注意以下幾點(diǎn)。

（一）明確工控安全實(shí)踐教學(xué)的基本環(huán)境

傳統(tǒng)網(wǎng)絡(luò)安全的實(shí)驗(yàn)環(huán)境多采用虛擬機(jī)的方式，仿真若干個(gè)虛擬節(jié)點(diǎn)和網(wǎng)絡(luò)環(huán)境，這種方式對(duì)于互聯(lián)網(wǎng)環(huán)境下的教學(xué)是比較理想的，學(xué)生可以在網(wǎng)絡(luò)上完成基本的安全實(shí)驗(yàn)。作為工控領(lǐng)域，大量PLC、RTU等設(shè)備的存在虛擬化和仿真技術(shù)難度大的問題，因此需要考慮使用虛實(shí)結(jié)合的形式解決實(shí)驗(yàn)環(huán)境的問題。

（二）選擇合適的工控安全攻擊實(shí)驗(yàn)語言

工控安全的攻擊實(shí)驗(yàn)需要有網(wǎng)絡(luò)通信和自動(dòng)控制系統(tǒng)的知識(shí)體系的幫助，考慮到在本科教學(xué)過程中，一般將C語言作為共有的程序類課程，在攻擊過程中實(shí)驗(yàn)語言采用較低層的C語言或者其他腳本編寫程序，能夠滿足各個(gè)學(xué)科的學(xué)生的閱讀和使用。

（三）針對(duì)工控安全防御教學(xué)的核心內(nèi)容

工控安全的防御教學(xué)采用普適的安全防御工具：防火墻和IDS系統(tǒng)，這些防御產(chǎn)品的技原理對(duì)于以往以TCP/IP為主要知識(shí)體系的學(xué)習(xí)的學(xué)生來講并不陌生，而在工業(yè)領(lǐng)域，大量采用以Modbus、OPC等工業(yè)領(lǐng)域類協(xié)議，加之工業(yè)控制領(lǐng)域復(fù)雜的問題現(xiàn)狀，適用于安全防御教學(xué)目標(biāo)的內(nèi)容還不夠清晰，如果僅停留在對(duì)安全產(chǎn)品的掌握上，則難以培養(yǎng)出適合工控安全實(shí)際需要、對(duì)網(wǎng)絡(luò)安全環(huán)境有整體掌控的人才，安全防御的實(shí)踐教學(xué)需要以協(xié)議安全為核心內(nèi)容。

三、實(shí)踐平臺(tái)的構(gòu)建

本課題首先構(gòu)造用于智能加工制造的原型教學(xué)系統(tǒng)，在該系統(tǒng)中，以傳送帶機(jī)械臂為主要傳送方式，集合銑床、車窗、AUV和智能倉庫，實(shí)現(xiàn)網(wǎng)絡(luò)化的智能制造。在本實(shí)驗(yàn)平臺(tái)中，工業(yè)4.0平臺(tái)中的機(jī)械臂是整個(gè)安全的重點(diǎn)，為防止實(shí)驗(yàn)對(duì)真實(shí)設(shè)備的破壞，因此不宜采用直接的安全攻防實(shí)驗(yàn)操作，而是采用虛實(shí)結(jié)合的方式，利用仿真的方式對(duì)原有的工業(yè)控制系統(tǒng)實(shí)現(xiàn)模擬。使學(xué)生可以在仿真的環(huán)境下實(shí)現(xiàn)工業(yè)控制網(wǎng)絡(luò)的安全的學(xué)習(xí)。

教學(xué)平臺(tái)主要分為仿真區(qū)、實(shí)物區(qū)和安全測(cè)試區(qū)三個(gè)部分（如圖1所示）。其中仿真區(qū)主要部署工業(yè)數(shù)據(jù)庫和組態(tài)軟件監(jiān)控器，其中工業(yè)數(shù)據(jù)庫部存儲(chǔ)大量的工業(yè)運(yùn)行通信數(shù)據(jù)，用以模擬真實(shí)環(huán)境下的工業(yè)數(shù)據(jù)通信，組態(tài)軟件則主要用來實(shí)現(xiàn)工業(yè)運(yùn)行環(huán)境下的數(shù)據(jù)監(jiān)控，為了有利于系統(tǒng)教學(xué)，平臺(tái)采用二維動(dòng)畫顯示的方式逼真地還原了整個(gè)工業(yè)4.0的工作過程；實(shí)物區(qū)主要部署真實(shí)的PLC，通過工業(yè)以太網(wǎng)和Modbus協(xié)議和其他區(qū)域連接；安全測(cè)試區(qū)通過工業(yè)防火墻和三層交換機(jī)連接，主要負(fù)責(zé)實(shí)施安全方面的實(shí)驗(yàn)教學(xué)。實(shí)物區(qū)主要由智能控制卡組成，為保證實(shí)驗(yàn)效果的一致性智能控制卡采用和硬件環(huán)境保持一致的產(chǎn)品，通過對(duì)智能控制卡的操作來模擬與現(xiàn)實(shí)環(huán)境一致的效果。仿真區(qū)是通過安裝的組態(tài)軟件，使用圖形圖像的方式，模擬真實(shí)的機(jī)械臂、銑床的等實(shí)物的工作情況，這樣就可以避免在真實(shí)網(wǎng)絡(luò)中進(jìn)行網(wǎng)絡(luò)分析時(shí)可能產(chǎn)生的不可控因素。攻擊區(qū)主要用于實(shí)現(xiàn)網(wǎng)絡(luò)安全的實(shí)驗(yàn)教學(xué)，在該區(qū)域通過配置三層交換機(jī)和網(wǎng)絡(luò)防火墻設(shè)備。學(xué)生可以通過該設(shè)備直接接入到實(shí)物區(qū)，對(duì)正在運(yùn)行的網(wǎng)絡(luò)設(shè)備實(shí)施網(wǎng)絡(luò)攻擊，當(dāng)攻擊發(fā)生時(shí)，PLC會(huì)產(chǎn)生相應(yīng)狀態(tài)變化，組態(tài)軟件在監(jiān)視到變化后會(huì)通過可視化的方式顯示，同時(shí)在攻擊區(qū)學(xué)生也可以使用交換機(jī)對(duì)攻擊數(shù)據(jù)包實(shí)施抓取分析，或者使用防火墻配置安全防護(hù)策略，實(shí)現(xiàn)安全防護(hù)方面的實(shí)驗(yàn)。

四、實(shí)踐教學(xué)的具體實(shí)施

工控安全課程的設(shè)置是整個(gè)改革的中心，對(duì)整個(gè)實(shí)踐教學(xué)改革的過程分為課程資源改革和實(shí)踐教學(xué)改革兩部分實(shí)施。前者用于實(shí)現(xiàn)實(shí)踐課程體系的構(gòu)件，后者則面向提高學(xué)生的實(shí)踐能力和實(shí)踐效果。

（一）課程資源的改革

工業(yè)控制領(lǐng)域的內(nèi)容跨越學(xué)科范圍較大，涉及到自動(dòng)化、機(jī)械、通信和計(jì)算機(jī)等多個(gè)學(xué)科，因此在實(shí)施教學(xué)的過程中，需要考慮各個(gè)階段的知識(shí)內(nèi)容?？紤]到各個(gè)專業(yè)的學(xué)生特點(diǎn)，教學(xué)平臺(tái)的課程資源以實(shí)際操作為主，重點(diǎn)落實(shí)在學(xué)生的理解層面，比如在該平臺(tái)上開展針對(duì)Modbus的拒絕服務(wù)攻擊和防御實(shí)驗(yàn)，該實(shí)驗(yàn)主要涉及到計(jì)算機(jī)網(wǎng)絡(luò)安全的拒絕服務(wù)機(jī)制、Modbus協(xié)議的請(qǐng)求響應(yīng)機(jī)制、防火墻配置策略管理、PLC的端口工作原理和組態(tài)軟件的使用等多個(gè)內(nèi)容。為保證實(shí)驗(yàn)的順利進(jìn)行，在實(shí)驗(yàn)中重點(diǎn)講述Modbus協(xié)議的內(nèi)容，此部分知識(shí)點(diǎn)是整個(gè)工控安全的關(guān)鍵，對(duì)于工業(yè)自動(dòng)化中其他的知識(shí)點(diǎn)，采用以理解為主的目標(biāo)實(shí)現(xiàn)。

（二）實(shí)踐教學(xué)安排的改革

實(shí)踐的教學(xué)安排是教學(xué)環(huán)境中的重要內(nèi)容，處于對(duì)學(xué)生實(shí)踐效果的考慮，實(shí)驗(yàn)的主要實(shí)踐都安排在兩到三周的時(shí)間進(jìn)行，主要分為三個(gè)階段：第一個(gè)階段主要用于實(shí)現(xiàn)面向工業(yè)4.0環(huán)境的學(xué)習(xí)，學(xué)生可以在該環(huán)境下學(xué)習(xí)關(guān)于工業(yè)4.0機(jī)械加工制造的簡(jiǎn)單知識(shí)和操作，對(duì)工業(yè)4.0環(huán)境有一個(gè)初步的了解。第二階段則是有學(xué)生根據(jù)已有的實(shí)驗(yàn)指導(dǎo)材料對(duì)工業(yè)環(huán)境實(shí)現(xiàn)初步的攻擊實(shí)驗(yàn)，在這個(gè)過程中，需要學(xué)生以小組的方式配合，一方面操作觀察攻擊效果，另一方面從網(wǎng)絡(luò)數(shù)據(jù)中分析攻擊的機(jī)制，各學(xué)習(xí)小組還需要對(duì)專用的工業(yè)安全攻擊代碼實(shí)施解讀，學(xué)習(xí)其中的攻擊過程。第三個(gè)階段則側(cè)重在安全防護(hù)方面，在該階段學(xué)生主要針對(duì)已有的網(wǎng)絡(luò)環(huán)境，設(shè)計(jì)相應(yīng)的安全方案。

五、總結(jié)

工控安全作為網(wǎng)絡(luò)空間安全領(lǐng)域的延伸，有其特殊的地方，其實(shí)踐學(xué)習(xí)的主要目的在于提高學(xué)生的安全認(rèn)識(shí)，對(duì)基本的安全事件有所理解，激發(fā)學(xué)生對(duì)安全問題的學(xué)習(xí)興趣。本文以工業(yè)4.0作為入手點(diǎn)，通過Modbus協(xié)議安全分析結(jié)合PLC機(jī)制，實(shí)現(xiàn)了面向工控安全基本的教學(xué)實(shí)驗(yàn)資源，為學(xué)生提供了一個(gè)比較全面的學(xué)習(xí)和掌握工控安全技術(shù)的平臺(tái)。

參考文獻(xiàn)：

[1]尹麗波.我國(guó)亟需建立工控安全保障體系[J].中國(guó)信息安全，2016，（4）.

[2]張五一，李圣泉.能源行業(yè)工控系統(tǒng)信息安全分析與防護(hù)[J].信息安全與通信保密，2015，（4）.

[3]何增鎮(zhèn)，呂毅，李道豐.城市智能交通系統(tǒng)的工控系統(tǒng)安全風(fēng)險(xiǎn)研究[J].西部交通科技，2014，（11）.

[4]裘坤.智能制造與工控安全[J].自動(dòng)化博覽，2016，（9）.

[5]宗健.工業(yè)4.0時(shí)代的工控網(wǎng)絡(luò)安全防護(hù)研究[J].化工管理，2016，（4）.

An Industrial Control Security Teaching Platform for Industry 4.0

JIAO Jian

（Computer School，Beijing Information Science & Technology Universtiy，Beijing 100101，China）

Abstract：The industry 4.0 is an important symbol of the development of industry，security has become an part of the current network security space，how to achieve safety education is a question in industry 4.0 is needed to consider carefully. Using the combination of virtual and reality，We design the platform for practice course of industrial safety. Student can have attack and defense course through the platform.

Key words：industry safety；practice teaching；reform in education