张涛 徐波

摘要：水利工业控制（工控）系统的网络安全是水利工程网络安全的重要组成部分。鉴于工控系统对可靠性、实时性、稳定性方面的要求，对工控网络的漏洞扫描等操作可能导致工控系统的运行异常，因此，为实现工控系统网络安全问题的提前发现、主动预防，有必要建设一个与实体工控系统一致的模拟仿真系统，作为工控系统网络安全的工作平台。结合丹江口水利枢纽实际，分析了丹江口水利枢纽控制系统网络安全需求，介绍了枢纽控制系统模拟仿真平台的总体设计思路、各分项的组成以及功能设计，重点对利用工控设备薄弱环节开展攻击、利用网络薄弱环节开展攻击、利用管理薄弱环节开展攻击等几类典型针对工控系统的攻击方式进行了模拟。模拟仿真平台不仅可以实现工业控制系统网络安全攻防的现场展示，更重要的是为工控系统的更新改造提供了测试环境，为工控系统的网络安全研究提供条件，从而找到薄弱环节，进而采取必要的加固、防护措施。

关 键 词：

数字孪生； 工业控制系统； 网络安全； 模拟仿真系统； 丹江口水利枢纽

中图法分类号： TP393.08

文献标志码： A

DOI：10.16232/j.cnki.1001-4179.2023.S2.057

0 引 言

丹江口水利枢纽是开发汉江的第一个控制性大型骨干工程，枢纽建成后形成的丹江口水库是南水北调中线工程水源地，是国家水网的重要节点，为汉江中下游的防洪和保障國家水安全发挥了重要作用。为切实履行防洪、供水职责，同时兼顾发电、航运和生态效益的发挥，丹江口水利枢纽开展了大量的自动化、信息化建设，其中丹江口水利枢纽控制系统是保障工程安全、防洪安全和供水安全的重要工业控制系统［1］。

随着网络安全形势的日益严峻，枢纽管理单位从技术、管理等多方面对丹江口水利枢纽控制系统进行了网络安全防护，建立了较为完善的网络安全防护体系。但由于工控系统对系统的可靠性、稳定性、实时性的要求，一些网络安全的技术措施在正式的生产环境中进行部署、测试、验证，可能对控制系统的可靠稳定运行产生不利的影响，甚至可能会造成业务的中断。因此，有必要建设一个仿真平台，以实现在模拟环境中部署相关系统，完成系统的测试和验证等工作［2］。同时，模拟仿真平台也可以作为生产技术人员和网络安全人员进行培训和科研的基础环境，为提高丹江口水利枢纽网络安全防护能力和运行管理技术水平提供条件［3］。

1 总体设计

丹江口水利枢纽控制系统网络安全模拟仿真平台的总体设计思路是：通过理清丹江口水利枢纽深孔弧形闸门监控系统和丹江口电厂计算机监控系统的网络拓扑，分析控制系统的结构和功能，在保留系统主体和核心逻辑的基础上，对网络和控制系统进行抽象、简化、提炼，制作与生产环境总体一致的仿真实体模型，布置相应的网络和控制系统，形成在总体上与丹江口水利枢纽控制系统的主体和核心部分一致的完整的枢纽控制仿真系统。同时，在仿真的控制系统中配备防火墙、网闸、流量采集器、日志采集器等安全设备，并与网络安全态势感知系统连接，形成网络安全防护系统。在仿真的控制系统环境中开发网络安全相关的软件和应用，为安全测试和控制系统的更新改造等提供技术平台。通过模拟对工控系统的网络攻击，对网络安全态势感知平台的有效性和准确性进行验证。平台建设以开展水利工控系统网络安全模拟仿真为主要目的，兼具工控系统技术开发和网络安全培训等功能。

网络安全模拟仿真平台由工业控制系统、网络系统、网络安全系统以及软件系统组成。工业控制系统由PLC等实体控制设备组成，网络系统参照丹江口水利枢纽控制系统的网络结构搭建。其中，网络系统、网络安全系统以及软件系统统一安装在网络结构展板，工业控制系统统一安装在沙盘模型。该网络安全模拟仿真平台架构见图1。

2 分项设计

2.1 工业控制系统模拟

工业控制系统按管理信息区、非实时控制区和实时控制区分区部署。结合丹江口水利枢纽控制系统的实际，从丹江口水利枢纽控制系统中的主体中提炼出核心的完整业务系统，搭建的业务系统与实际工控系统功能结构相似且与实际工控系统完全隔离，形成典型的水利工控网络环境，体现工控系统网络架构拓扑和安全分区的特点［4］。

管理信息区主要配置网关机、MIS仿真系统、水库调度系统，并且与非实时监控区通过网闸进行物理隔离。

非实时控制区主要配置通讯主站、电量计量系统、遥测系统、非实时接入交换机等设备组成非实时控制网络，通过工业防火墙与实时控制区连接。

实时控制区是仿真平台的核心区域，主要配置闸门控制系统、计算机监控系统的PLC设备，并通过模拟仿真的上位机（工程师站、操作员站）进行控制。控制层设备采用主流的PLC，工控系统上位机上运行组态软件，构成实时控制区的控制系统。

2.2 网络及网络安全系统模拟

参照丹江口水利枢纽控制系统的主干网络结构，通过交换机连接各控制设备，通过防火墙和网闸对各分区进行隔离，部署镜像交换机、流量采集器、日志采集器等设备与网络安全态势感知系统连接，形成较为完整的网络和网络安全防护结构。

2.3 软件

软件主要包括工业控制系统软件和模拟攻防软件。工业控制系统软件用于控制仿真平台上的各类控制设备，模拟攻防软件用于演示攻防过程和攻防效果［5］。

2.4 模拟仿真平台展板

展板用来承载部署丹江口水利枢纽控制系统网络设备和网络安全设备，网络设备和网络安全设备配备彩色指示灯，各设备之间配备LED光带，用于显示设备的工作状态和数据流向。同时，在展板安装显示器，整体展示平台的运行状态，在攻防演练时呈现每个环节的网络和控制系统状态，用于全面展示系统的功能。展板采用实体网络设备和网络安全设备，将设备安装在展板上，连通电路，构成工业控制网络。

2.5 模拟仿真沙盘

模拟沙盘为水利枢纽提供水工建筑物、电厂及其他相关设备设施提供仿真环境，直观展示各种攻防情境下的实体运行状态。实现不同组合的演示场景展示。模拟沙盘等比例缩小丹江口水利枢纽大坝主体工程及周边地形地貌，包括上游水库、坝体、泄洪建筑物、电站、变电站、电网和其他环境要素，重点对闸门和发电机组等关键设备设施进行模拟。其中，闸门模拟丹江口水利枢纽深孔弧形闸门、机组进水闸门，闸门设置关闭、开启两个状态；发电机组置于发电站厂房，包含发电机、水轮机、控制柜、引水管道等设备设施。设备以及管道内部安装流水灯带模拟介质的流动，电机、泵等设备安装微型电机或者指示灯光，使用不同的颜色和灯光来展示闸门、机组等设备设施的运行状态。模型设置多个数据采集点和控制点，接入控制系统中，采集相关数据，接受操作指令。

当平台受到网络攻击时，模型上的相关设备状态指示也将发生变化，直观展示机组进水闸门异常关闭、泄洪闸门异常关闭、发电机组工作异常状态信息，并伴有报警声。

3 核心功能

工控协议分析和工控网络漏洞挖掘是平台的两个核心功能。

3.1 工控协议分析

工控协议采集工控系统中的网络流量，针对Modbus、S7等工业控制协议进行测试、分析。通过在网络中利用相应的抓包分析将网络流量的协议字段构成以及协议字段中包含的数据进行解析，从而对整个攻击事件流进行分析。

通過抓包工具对系统上位机组态软件与PLC建立连接的过程进行抓包，然后分析其过程。以闸门控制系统使用的西门子S7-300为例，分析西门子S7协议的步骤如下：

① 发送COTP包请求连接，其中请求指令码为0xe0；

② 分析PLC回应一个COTP包，告诉客户端，确认连接；

③ 正式确立连接，发送包括TPKT和COTP以及S7的报文。连接正式确立后，后续可以发送正常的功能包。

通过抓包软件可以完整地分析上位机与PLC建立连接的工作流程，同时也可以通过抓包软件进行攻击分析。

3.2 工控网络漏洞挖掘

根据已知的工业控制系统漏洞库，对照枢纽控制系统使用的设备型号和版本，对现有的工业控制系统进行漏洞验证和分析。对发现的针对模拟仿真平台的网络攻击进行分析，从而发现工业控制系统设备和协议的漏洞。对漏洞的危险性开展评估，并相应制定预警机制以及有效的防御措施。

4 攻防演练

利用丹江口水利枢纽控制系统网络安全模拟仿真平台，针对其中的工控设备、网络设备和安全管理的漏洞，设计了3类网络攻击场景开展网络安全模拟仿真，演示黑客攻击场景，充分模拟攻击的真实性和有效性。

模拟攻击的过程包括通信模式分析、攻击模式分析、Modbus/S7协议分析、构造攻击请求包、编写攻击脚本、攻击执行等几个步骤。丹江口水利枢纽控制系统模拟仿真平台将以上攻击过程集成形成模拟网络攻防演示系统。模拟攻防演示系统底层完成两个方面的核心工作：① 对工业控制系统的硬件和上位机软件进行安全威胁分析，结合威胁管理工具，实现攻击路径分析、结构安全性分析、漏洞库验证，进而发现系统中的薄弱环节。② 针对挖掘到的薄弱环节编写攻击脚本，并将脚本植入攻击介质中，如U盘、计算机等。

模拟网络攻防演示系统可以分步骤模拟攻击验证和演示，在每个步骤中可以通过声光电效果和实体设备的动作直观地查看攻击产生的效果。在防护效果演示方面，针对攻击，可以在模拟仿真平台中观察到安全防护体系中的安全设备进行及时阻断防护、攻击流程审查、以及安全事件的告警等防护效果。主要的攻防演示包括以下场景。

4.1 利用工控设备薄弱环节攻击

4.1.1 指令篡改，导致泄洪流程终止

以西门子PLC为例，西门子PLC使用的S7本身不具备身份认证、数据校验等攻击防护能力，存在可修改操作指令的漏洞。仿真系统通过上位机使用的组态软件对枢纽泄洪流程模拟仿真编程，通过PLC控制闸门启闭进行泄洪流程模拟。

攻击演示过程如下：通过模拟网络攻防演示系统预置的攻击指令对PLC发起攻击，模拟入侵者将攻击指令通过交换机等网络设备发送给控制闸门启闭的PLC。入侵者发送的数据包中包含修改寄存器/内存数据的指令，导致PLC设备数据被篡改，引发设备动作，使本应该处于泄洪状态的闸门关闭。

防护演示过程如下：开启安全防护系统后，再次执行指令篡改攻击操作，沙盘中的设备运行未受到影响。

4.1.2 拒绝服务，导致发电机停机

以施耐德PLC为例，施耐德PLC使用Modbus/TCP作为通讯协议，但此协议不具备验证指令来源的能力。仿真系统通过上位机使用组态软件对水电站发电流程进行模拟仿真编程，通过PLC控制发电机正常运转。

攻击演示过程如下：模拟入侵者通过模拟网络攻击演示系统将拒绝服务的攻击数据包通过交换机等网络设备发送给控制发电机的PLC。PLC设备在接收到入侵者伪造的指定格式的数据包后，进入异常状态，本该正常运转的发电机停止工作，LED指示灯显示异常，并发出告警声。

防护演示过程如下：开启安全防护体系介入安全攻击，在入侵者发送拒绝服务攻击数据包后，沙盘中的模型未受到影响。查看工业防火墙日志可以追查到本次攻击的防护日志。

4.1.3 利用上位机远程执行漏洞控制上位机

以Windows操作系统为例，如上位机使用Windows操作系统，利用上位机操作系统本身存在的安全漏洞进行攻击。

攻击演示过程如下：使用漏洞扫描工具发现Windows操作系统存在的安全漏洞。模拟网络攻击演示系统针对上位机操作系统版本存在的漏洞，对上位机操作系统发起攻击，获取上位机的用户操作权限，进而进行系统管理员操作。

防护演示过程如下：更换Windows操作系统的新版本，安全补丁升级后，再次实施攻击但已无法进入系统。从网络安全态势感知平台可以查看网络攻击行为。

4.2 利用网络薄弱环节进行攻击

ARP欺骗攻击是一种常用的攻击手段。网络寻址时，IP与MAC的对应关系保存在ARP缓存表中，利用ARP欺骗方式可以将原HMI“踢”下线，建立攻击机与PLC的连接；然后在ARP欺骗的基础上可以注入攻击指令，从而干扰PLC的正常运行逻辑。

攻击演示过程如下：攻击PC机向PLC发送ARP欺骗指令，将HMI“踢”下线；将攻击PC机的IP 地址修改为HMI的IP地址；攻击PC机将攻击指令以Socket的形式发送给PLC；PLC设备端可出现LED灯异常闪烁，信号输出异常，温度输出异常，电机转速控制异常，HMI显示不更新或者无数据显示。

防护演示过程如下：开启工业防火墙可以通过预置的ARP攻击防护策略，直接检测到ARP攻击并阻断其访问。

4.3 利用管理薄弱环节攻击

4.3.1 U盘摆渡攻击

该攻击方式主要利用被植入反弹木马的恶意U盘进行攻击。攻击者将该U盘插入工程师站后执行木马程序，从而进一步接管目标主机。

攻击演示过程如下：攻击者将该U盘插入工程师站后植入反弹木马，该木马将与攻击者建立反向连接，攻击者通过该连接能够彻底接管工程师站。攻击者使用工程师站作为跳板能够进一步入侵、攻击其他控制设备及系统。

防护演示过程如下：针对接入的设备进行扫描，工业威胁监测系统可以收集目前网络中病毒攻击的行为，同时记录攻击者的扫描行为；工业威胁监测系统还可以监测被攻击的设备，监视并及时发现威胁的扩散，减小其他设备被攻击的概率。

4.3.2 非法接入攻击

该攻击方式主要是指攻击者直接接入工业以太网交换机，通过对现场控制设备进行扫描，发现漏洞，对现场设备进行攻击，从而使现场控制设备运行异常。

攻击演示过程如下：攻击者通过非法接入的方式接入工业以太网交换机后对现场设备进行扫描，获取设备信息。攻击者获取信息后，利用针对性的漏洞，对不同的控制设备进行攻击，造成控制设备的工作异常或直接导致控制设备停止工作。

防护演示过程如下：启动工业威胁监测系统监测网络中存在的扫描行为，开启隔离设备后，可以进一步阻断攻击。

4.3.3 中间人篡改攻击

该攻击主要以中间人攻击的方式截获上位机与控制器之间的通讯数据。攻击者在分析了通讯数据的协议格式及数据规律后，对上位机与控制器之间的通讯数据进行篡改，导致上位机无法获取真实的现场控制数据。

攻击演示过程如下：攻击者使用非法接入的方法入侵到现场网络后，以中间人攻击方式截获上位机与控制器之间的通讯数据。结合对水利业务和枢纽运行参数特征以及截取的数据变化规律，对现场采集的数据进行篡改，导致上位机无法获取真实的现场数据。通过该攻击，攻击者成功蒙蔽了上位机的监控画面，让运行值守人员产生误判。

防护演示过程如下：针对接入的中间人篡改攻击，工业审计系统可以收集到网络中攻击者进行中间人攻击篡改的数据，同时记录攻击者的篡改行为。

5 模拟仿真平台与网络安全态势感知平台联动

丹江口水利枢纽模拟仿真平台是一个独立的系统，也是丹江口水利枢纽网络安全态势感知系统的一部分，是态势感知系统的数据来源，为态势感知系统提供真实的攻击数据。

通过网络安全态势感知平台，可以对仿真环境中的所有设备：网关机、通讯主站、操作员站、工程师站、服务器、交换机、防火墙、PLC等进行资产管理、数据采集、漏洞扫描。网络安全态势感知平台通过对模拟仿真环境中网络流量和设备日志的分析，发现仿真环境中PLC设备、操作系统、数据库中存在的漏洞。通过流量采集探针、日志采集探针采集实时流量和日志，监测发现对模拟仿真平台的网络攻击，并将数据传输到网络安全态势感知平台，通过工控系统网络安全模拟分析，识别网络攻击行为。工业安全审计系统可以采集漏洞利用的流量数据，在安全监测系统中也可以捕获特定的攻击行为。根据网络安全态势感知平台的预警，对模拟仿真平台的网络安全相应策略进行调整。

6 系统特点

网络安全模拟仿真平台不仅可以完成工业控制系统网络安全攻防的现场演示，更主要的作用是作为工控系统网络安全技术研究的平台，可以发现并验证存在的漏洞和工控网络安全的薄弱环节，进而采取必要的加固方案，从而保障水利工控系统的安全性和稳定性。

6.1 工控协议分析技术

通过协议分析工具可以分析仿真环境中所有工业流量中的通讯协议，如Modbus、西门子S7等常用协议。通过协议分析，可捕获完整的仿真模拟攻击流量，并支持导出到其他设备上进行分析。

6.2 工控漏洞挖掘技术

通过漏洞挖掘技术，可以验证已知的设备漏洞。可针对仿真环境中的主要设备进行未知漏洞挖掘测试，将漏洞挖掘过程的数据、操作、结果等以文档的形式进行留存。挖掘到的漏洞具备可复现性、可操作性、公认性等。

6.3 攻防模拟技术

使用与丹江口水利枢纽控制一致的设备或者设备模型来展示攻击效果。可以演示诸如利用PLC漏洞、操作系统、网络漏洞、介质（U盘）等方式进行的网络攻击；工业控制系统遭受攻击时，通过仿真模型展现声、光、电方面的明显变化，从而体现攻击效果；能够展现攻击步骤、完整详细的攻击路径，能够明显标识出被攻克的设备；网络攻击方案不会造成设备的永久破坏，演示方案可以重复使用；提供完整的用于渗透测试的软硬件平台；根据需要可以扩展信息安全攻击套件。

7 结 语

丹江口水利枢纽网络安全模拟仿真平台

由工业控制系统、网络系统、网络安全系统及软件系统组成，

在实际网络安全防护工作和系统测试等工作中发挥了积极的作用。为便于展现直接的效果和教育培训的作用，仿真系统采用了实体模型的形式进行建设，虽然具有形象直观的特点，但系统的灵活性不强，对于有多个工控系统的单位，在模拟仿真系统建设时，建议采用电子沙盘的形式建设，提高系统的适应性和扩展性。

参考文献：

［1］ 王佰玲，刘红日，张耀方.工业控制系统安全仿真关键技术研究综述［J］.系統仿真学报，2021，33（6）：1466-1488.

［2］ 林楠，吴林峰，方洪波.大数据环境下电力网络数据安全入侵模型仿真［J］.现代电子技术，2022，45（4）：118-122.

［3］ 方捷睿，曹卫民，白建涛.基于协议解析的工控网络安全仿真平台设计［J］.自动化仪表，2021，42（2）：102-106.

［4］ 李凡.基于拓扑抽象的网络安全事件模拟系统的设计与实现［D］.哈尔滨：哈尔滨工业大学，2014.

［5］ 梁捷.计量终端DDoS网络安全模拟攻击研究［J］.电力安全技术，2020，22（8）：20-23.

（编辑：郑 毅）