業(yè)控制系統(tǒng)網(wǎng)絡(luò)健壯性檢測方案_第1頁
業(yè)控制系統(tǒng)網(wǎng)絡(luò)健壯性檢測方案_第2頁
業(yè)控制系統(tǒng)網(wǎng)絡(luò)健壯性檢測方案_第3頁
業(yè)控制系統(tǒng)網(wǎng)絡(luò)健壯性檢測方案_第4頁
業(yè)控制系統(tǒng)網(wǎng)絡(luò)健壯性檢測方案_第5頁
已閱讀5頁,還剩2頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、概述工業(yè)控制系統(tǒng)(ICS)是幾種類型控制系統(tǒng)的總稱,包括監(jiān)控和數(shù)據(jù)采集系 統(tǒng)(SCADA)分布式控制系統(tǒng)(DCS)和其它控制系統(tǒng)(如可編程邏輯控制器 (PLC)工業(yè)控制系統(tǒng)廣泛應(yīng)用于核設(shè)施、電力、石化、化工、冶金、食品、市政、 先進(jìn)制造等國家關(guān)鍵基礎(chǔ)設(shè)施的運(yùn)行控制過程是國家關(guān)鍵基礎(chǔ)設(shè)施的“中樞神”。 隨著我國兩化融合”工作的不深化 工業(yè)控制系統(tǒng)郵的內(nèi)夕部安全威脅日益嚴(yán)重,保 障工業(yè)控制系統(tǒng)信息安全已經(jīng)上升為國家層面的安全戰(zhàn)略。針對工業(yè)控制系統(tǒng)信息安全的問題,工控系統(tǒng)廠商、安全產(chǎn)品廠商、行業(yè)機(jī)構(gòu) 等信息安全干系方從不同的視角提出了一些安全解決方案,但這些解決方案大都是 從“病了吃藥”的角度提出瞅

2、根源上,更要增加工控系統(tǒng)自身的免疫力和提升自身 的抵抗力。網(wǎng)絡(luò)健壯性測試平臺(tái)阿基里斯認(rèn)證是一項(xiàng)被用戶、行業(yè)組織和供應(yīng)商廣泛認(rèn)可和推薦的行業(yè)網(wǎng)絡(luò)安全 國際標(biāo)準(zhǔn),西門子、施耐德、ABB等公司的自動(dòng)化產(chǎn)品均通過了阿基里斯認(rèn)證 的所有要求,使得阿基里斯認(rèn)證成為事實(shí)上的行業(yè)標(biāo)準(zhǔn)。阿基里斯測試平臺(tái)(Achilles Test Platform以下簡稱ATP)是為工業(yè)設(shè)備提供 網(wǎng)絡(luò)健壯性測試而設(shè)計(jì)的平臺(tái),主要測試對象為可編程邏輯控制器(PLC分布式 控制系統(tǒng)(DCS)控制器等,ATP也可以測試任何徒thernet端口和網(wǎng)絡(luò)堆棧實(shí)現(xiàn) 的設(shè)備,如服務(wù)器、HMI、工程師站、網(wǎng)絡(luò)設(shè)備等。阿基里斯測試平臺(tái)提供主動(dòng)式先

3、 期預(yù)防的技術(shù)解決方案以提升網(wǎng)絡(luò)可靠性和安全性,并可驗(yàn)證產(chǎn)品受到網(wǎng)絡(luò)攻擊時(shí) 的耐受力,通過阿基里斯測試的產(chǎn)品,被證明已經(jīng)達(dá)到通訊可靠性的最高標(biāo)準(zhǔn)要求, 可以有效防范上萬種“零日漏洞”以及其他未公開的漏洞或隱患。工控系統(tǒng)健壯性檢測方案(1)連接配置在進(jìn)行設(shè)備測試時(shí)阿基里斯測試平臺(tái)支持兩種組網(wǎng)方式,一種是直接測試工控 設(shè)備,另一種是橋接到工控設(shè)備和上位機(jī)中間。a)直接測試工控設(shè)備圖41直連方式b)橋接到工控設(shè)備與上位機(jī)之間MgmtAchilles ClientAchillesVCSPortlPort2Port1Port1DUTb)橋接到工控設(shè)備與上位機(jī)之間MgmtAchilles ClientAc

4、hillesVCSPortlPort2Port1Port1DUT圖42橋接方式71阿基里斯測試平臺(tái)與被測設(shè)備(Device Under Test以下簡稱DUT)的連接如上圖所示,針對不同的測試對象、測試要求,拓?fù)浣Y(jié)構(gòu)會(huì)作出某些調(diào)整,應(yīng)以具體情 況為準(zhǔn)。在ATP與DUT實(shí)現(xiàn)物理連接后,將對ATP配置界面進(jìn)行具體配置。該操作 主要是用來填寫ATP、DUT的IP地址與MAC地址,以便實(shí)現(xiàn)兩者的互聯(lián)互通。 并可以開啟相應(yīng)的監(jiān)視器,以查看在通信過程中DUT的端口或者協(xié)議是否正常 工作。圖43 ATP配置界面配置完成后,需要對DUT進(jìn)行端口掃描,為后期測試項(xiàng)的執(zhí)行做好前期準(zhǔn) 備工作。端口掃描界面如下圖所示

5、:圖44端口掃描界面(2)檢測執(zhí)行ATP與DUT實(shí)現(xiàn)連接以及配置和端口掃描等測試前準(zhǔn)備工作后,開始具體 的測試過程。阿基里斯測試主要分為兩個(gè)等級:一級和二級,針對不同的檢測級別, ATP中包含不同的測試項(xiàng),如以下兩表格所示:表1 Level-1測試項(xiàng)協(xié)議類型Level-1測試項(xiàng)EthernetEthernet Unicast Storm (L1)Ethernet Multicast Storm (L1)Ethernet Broadcast Storm (L1)Ethernet Fuzzer (L1)Ethernet Grammar (L1)ARPARP Request Storm (L1)AR

6、P Host Reply Storm (L1)ARP Cache Saturation Storm (L1)ARP Grammar (L1)IPIP Unicast Storm (L1)IP Multicast Storm (L1)IP Broadcast Storm (L1)IP Fragmented Storm (L1)73IP Fuzzer (L1)IP Grammar - Header Fields (L1)IP Grammar - Fragmentation (L1)IP Grammar - Options Fields (L1)ICMPICMP Storm (L1)ICMP Gra

7、mmar (L1)ICMP Type/Code Cross Product (L1)TCPTCP Scan Robustness (L1)TCP SYN Storm (L1)TCP/IP LAND Storm (L1)TCP Fuzzer (L1)TCP Grammar (L1)UDPUDP Scan Robustness (L1)UDP Unicast Storm (L1)UDP Multicast Storm (L1)UDP Broadcast Storm (L1)UDP Fuzzer (L1)UDP Grammar (L1)表2 Level-2測試項(xiàng)協(xié)議類型Level-2測試項(xiàng)Ether

8、netEthernet Unicast Storm (L1/L2)Ethernet Multicast Storm (L1/L2)Ethernet Broadcast Storm (L1/L2)Ethernet Fuzzer (L1/L2)Ethernet Grammar (L1/L2)Ethernet VLAN Grammar(L2)Ethernet LLC/SNAP Grammar(L2)Ethernet VLAN/LLC/SNAP Chaining(L2)Ethernet Data Grammar(L2)ARPARP Request Storm (L1/L2)ARP Host Reply

9、 Storm (L1/L2)ARP Cache Saturation Storm (L1/L2)ARP Grammar (L2)IPIP Unicast Storm (L1/L2)IP Multicast Storm (L1/L2)IP Broadcast Storm (L1/L2)IP Fragmented Storm (L1/L2)IP Bad Checksum Storm(L2)IP Fuzzer (L1/L2)IP Grammar - Header Fields (L1/L2)IP Grammar - Fragmentation (L1/L2)IP Grammar - Options

10、Fields (L1/L2)IP Data Grammar(L2)ICMPICMP Storm (L1/L2)ICMP Fuzzer(L2)ICMP Grammar (L2)ICMP Type/Code Cross Product (L1/L2)TCPTCP Scan Robustness (L1/L2)TCP SYN Storm (L1/L2)YCP SYN Storm from Broadcast(L2)TCP/IP LAND Storm (L1/L2)TCP URG Storm(L2)TCP FIN Strom(L2)TCP RST Storm(L2)TCP Closed Receive

11、 Window Storm(L2)TCP Segment Reassembly Storm(L2)TCP Fuzzer (L1/L2)TCP Grammar-Header Fields (L2)TCP Grammar-Contextually Invalid Packets(L2)TCP Priority Traffic Interleaving(L2)TCP Timestamp Manipulation(L2)TCP/IP Grammar (L2)TCP Selective Acknowledgement(L2)TCP Receive Window(L2)TCP Data Grammar(L

12、2)TCP Maximum Concurrent Connections(L2)TCP Initial Sequence Number Randomness Check(L2)UDPUDP Scan Robustness (L1/L2)UDP Unicast Storm (L1/L2)UDP Multicast Storm (L1/L2)UDP Broadcast Storm (L1/L2)UDP Fuzzer (L1/L2)UDP Grammar (L2)UDP Data Grammar (L2)75通過測試設(shè)置,選擇測試所需的ATP中不同測試項(xiàng),作為測試執(zhí)行的測試案例,在測試執(zhí)行界面執(zhí)行已選擇的測試項(xiàng),進(jìn)行被測設(shè)備網(wǎng)絡(luò)健壯性檢測。如下圖所示:圖45測試執(zhí)行界面測試過程中發(fā)現(xiàn)的問題會(huì)在事件日志中詳細(xì)說明,用以指導(dǎo)測試產(chǎn)品廠商進(jìn)行 產(chǎn)品改進(jìn)。在測試結(jié)果界面,保存的信息包括:測試結(jié)果、測試參數(shù)、測試環(huán)境信息、 監(jiān)視圖表、事件日志、抓包分析或流量分析。最終,阿基里斯測試平臺(tái)會(huì)針對測試過 程生成PDF報(bào)告,通過分析測試數(shù)據(jù),可以自動(dòng)判斷被測設(shè)備是否通過認(rèn)證。小結(jié)基于上述工控安全健壯性測評思路016年對國內(nèi)某LK系列可編程控制器開 展了阿基里斯認(rèn)證工作

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論