技術領域

本發明涉及工業控制系統信息安全防御技術領域，更具體地，涉及一種面向工控系統信息安全防護的半實物演示驗證平臺及方法。

背景技術

近年來，隨著信息通信技術的迅速發展，現代工控系統已成為深度融合計算進程、通信網絡與物理設備的信息化系統；工控系統的安全問題日益凸顯。

工業控制系統的層次結構包括企業層、監控層、控制層與物理層。由于各層的分工不同；各層面臨的信息安全威脅也有所差異，單一的防護技術難以有效應對信息安全威脅；另一方面，工業控制系統是持續運行的生產系統，運行過程中不允許中斷；一旦工業控制系統出現問題，將導致嚴重的事故，輕則造成經濟財產損失，重則危及人身安全或造成大范圍的環境破壞；因此，針對工業控制系統的信息安全的防護研究無法在實際的系統中開展。融合工業控制系統結構和功能的特點，搭建用于工業控制系統信息安全智能防護的演示驗證平臺就顯得至關重要。

現有的半實物演示驗證平臺，使用的仿真物理過程對象、網絡協議多是單一固化的，可擴展性不強；攻擊造成的系統損失與防護作用的效果僅通過量化的數值顯示在屏幕上，演示效果不夠立體直觀；仿真平臺得到的結果需要依靠專家進行分析，自動化、智能化的程度不高，不能方便直觀地顯示防護策略作用的效果。

發明內容

針對現有技術的以上缺陷或改進需求，本發明提供了一種面向工控系統信息安全防護的半實物演示驗證平臺及方法，其目的在于解決現有半實物演示驗證平臺不可重構、不可擴展地問題。

為實現上述目的，按照本發明的一個方面，提供了一種面向工控系統信息安全防護的半實物演示驗證平臺，包括依次相連的物理層、控制層和監控層；

其中，物理層用于構造并顯示虛擬的物理對象模型，并在控制層的控制指令的控制下模擬運行物理對象模型，生成實時現場數據；通過工業現場總線與控制層進行數據交互；

控制層用于根據物理層上傳的生產實時數據與監控層下發的統一調度指令，根據內嵌的信息安全防護算法生成控制指令；

監控層用于根據控制層上傳的系統實時運行數據和控制指令生成統一調度指令，實現對實際生產過程進行實時的監測與控制。

優選的，上述面向工控系統信息安全防護的半實物演示驗證平臺，其物理層包括仿真主機、模型演示裝置；仿真主機通過串口與模型演示裝置進行數據交互，通過工業現場總線與控制層進行數據交互；

其中，仿真主機用于構造虛擬的物理對象模型并根據控制指令模擬運行，生成實時現場數據；模型演示裝置用于動態顯示物理對象模型的狀態；

通過將軟件模塊設計成函數形式封裝在函數庫中或將軟件模塊編譯成目標文件，在仿真主機中形成固定的函數調用；通過選擇函數來改變或擴展系統功能，實現物理對象的可重構性；由此實現通過物理層任意重構配置各種工控場景。

優選的，上述面向工控系統信息安全防護的半實物演示驗證平臺，其控制層包括控制節點、代理節點和網關節點；

控制節點用于控制物理對象模型；代理節點用于實現仿真主機與控制層控制節點間的數據交互；仿真主機通過以太網與代理節點連接；代理節點通過工業控制總線與控制節點連接；

網關節點用于實現控制節點與監控層之間數據交互；控制節點通過工業控制總線與網關節點連接；網關節點通過工業以太網與監控層連接；

控制節點包括可重構配置的嵌入式控制器；使用時，根據待測試的工控系統為嵌入式控制器配置驅動程序。

優選的，上述面向工控系統信息安全防護的半實物演示驗證平臺，其監控層包括HMI(Human Machine Interface，人機交互界面)監控系統、數據服務器、網絡數據分析站；

其中，HMI監控系統用于監控實時生產過程；數據服務器用于數據的歸檔記錄；網絡數據分析站用于對數據庫中的歷史數據進行分析處理。

為實現本發明目的，按照本發明的另一個方面，基于上述面向工控系統信息安全防護的半實物演示驗證平臺，提供了一種面向工控系統信息安全防護的半實物演示驗證方法，包括如下步驟：

(1)根據待測試的工控系統的物理對象模型、控制設備與網絡協議棧，在物理層配置工控系統參數，包括系統運行時間、穩定狀態值；

(2)根據擬驗證的安全防護方案，在控制層配置攻擊手段、攻擊強度、攻擊目標、攻擊路線；

(3)獲取系統的運行狀態信息，將系統的運行狀態信息與已建立的系統網絡模型、節點模型、應用模型進行比較得出系統的異常狀態，通過異常狀態的因果關系算法分析得出攻擊傳播的路徑，生成拓撲圖；