本文由《現代教育技術》授權發布
作者:阮偉 陳亮 郝唯傑 楊強
如何高質、高效培養滿足工業企業現場需求的工業控制系統信息安全複合人才,成為了國內高校面臨的教學難題。基於此,文章以浙江大學為例,對工業控制系統信息安全沉浸式教學進行深入探索,設計了虛實結合的工業控制系統信息安全實訓教學平台,並依託此平台開發了工業控制系統信息安全實訓教學課程,彌補了工業控制系統信息安全教學過程中應用場景的缺失。課程教學實踐及其滿意度分析表明:學生可以沉浸在高逼真的工業控制應用場景中完成課程學習,還可以與實訓教學平台互動,既突破了單向灌輸式教育模式的禁錮,也充分調動了學生的好奇心與學習主動性,使學生能夠更加系統、快速地掌握相關知識,並積極動手實踐操作,提升了其解決實際問題的能力。
關鍵詞:工業控制系統;信息安全;沉浸式教學;實訓課程
1
引言
2
工業控制系統信息安全沉浸式教學的發展現狀
3
工業控制系統信息安全實訓教學平台設計
1.實訓教學平台建設的目標與原則
浙江大學工業控制系統信息安全實訓教學平台(下文簡稱「實訓教學平台」)面向浙江大學工業控制專業、電氣工程與網絡信息安全相關專業的本科生和研究生而開發,以培養滿足工業企業實際需求的人才為目標,最大限度地提供實網、實境、實戰的工控系統信息安全沉浸式教育。此外,實訓教學平台還可以面向社會承擔工控系統信息安全培訓任務。
實訓教學平台在建設過程中遵循兩大原則:①實訓教學平台能夠逼真地模擬典型工業場景,在學習過程中給學生以沉浸式感受,增強學習效果;②實訓教學平台採用虛實相結合的形式,儘可能地減少場地占用,節約建設成本。
2.實訓教學平台架構設計
根據學生實訓需求和工業企業的工控系統應用現狀,本研究選取電力系統、天然氣長輸管線兩大工業場景來構建實訓教學平台。依據兩大場景的現場工業控制系統網絡拓撲,本研究設計了實訓教學平台4層網絡架構,如圖1所示。為保證每層網絡的數據安全,每層網絡之間不能直通,因而在企業辦公網與生產管理網之間用1台信息網絡防火牆隔離,在生產管理網與生產控制網之間用1台工業網絡防火牆隔離,每個防火牆都配置相應的安全策略。
①0層:學生實訓接入網,是學生參加實訓時的接入平台。學生實訓接入網配置了11台交換機,且全部採用實物方式配置。其中,1台為匯聚交換機,其他10台為接入交換機。學生實訓接入網一次可以容納10組學生參加實訓,但每組最多為4名學生,因此實訓教學平台最多可以同時承擔40名學生的實訓學習。
圖1 工業控制系統信息安全實訓教學平台架構
②1層:企業辦公網,用於模擬企業辦公所需的各類應用與服務。1層的企業辦公網配置了1台辦公服務器,可以安裝20台虛擬機。虛擬機之間相互隔離,其中10台虛擬機作為企業門戶網站服務器並安裝相關軟件,另外10台作為企業郵件服務器並安裝相關軟件,以提供與企業現場相同的企業門戶網站與郵件服務功能——這20台虛擬機均可作為遠程攻擊滲透的入口。
③2層:企業生產管理網,用於模擬企業生產管理所需的各類應用與服務。2層的企業生產管理網配置了1台生產管理服務器,可以安裝30台虛擬機。虛擬機之間相互隔離,其中10台虛擬機作為企業資產管理站,10台作為生產過程優化站,另外10台作為企業生產管理站,分別安裝與企業現場相同的資產管理、生產過程優化、企業生產管理軟件,以提供與企業現場相同的應用與服務——這30台虛擬機均可作為網絡攻擊滲透通道。
④3層:企業生產控制網,用於模擬企業生產過程與工業控制系統的各類應用與服務。3層的企業生產控制網配置了3台生產模擬服務器、20台工控操作員站、2套流程工業微縮生產裝置和2套工業控制系統。具體來說,3台生產模擬服務器安裝40台虛擬機,其中20台虛擬機作為虛擬工控系統操作站,在操作員站和虛擬操作員站安裝工業控制系統監控軟件,用於模擬工業現場的操作員行為;另外20台虛擬機作為工控蜜罐安裝工控系統蜜罐軟件,工控蜜罐用於增加實訓學習過程中的攻防難度。20台工控操作員站用於U盤擺渡滲透,不同工控操作員站之間通過IP分配策略相互隔離。2套流程工業微縮生產裝置是指1套電力系統縮微生產裝置和1套天然氣長輸管線微縮生產裝置,前者能夠動態、逼真地模擬火力發電場景中的發、變、輸、配、用等關鍵流程並可發出1kw電力供給用電設備,後者能夠動態、逼真地模擬天然氣傳輸場景的首站、增壓站、門站等關鍵工業流程,這2套裝置均配置傳感器與執行器,通過硬接線與工業控制系統進行數據交互。2套流程工業微縮生產裝置分別由其對應的1套工業控制系統進行控制,這2套系統採用國內企業使用的主流工業控制系統軟硬件,能夠實現對微縮生產裝置相關設備的啟動、停止操作和聲光電信號狀態反饋顯示,並實時監控微縮生產裝置的運行狀態。
上述1~3層網絡模擬了電力系統和天然氣長輸管線兩大工業場景的工業控制系統網絡拓撲和生產所需的各類應用服務。考慮到經費與場地受限,實訓教學平台採用虛實結合方式建設:企業辦公網與企業生產管理網的硬件以虛擬為主,企業生產控制網的硬件以實物為主;所有軟件全部採用工業生產現場所用軟件。參加實訓課程的學生可以在0層接入實訓教學平台,由此進入企業辦公網,之後滲透穿過防火牆進入企業生產管理網,最後滲透穿過工業防火牆進入企業生產控制網,並在企業生產控制網內的工業控制系統完成對電力縮微生產裝置或天然氣長輸縮微生產裝置的操控,觸發縮微生產裝置聲、光、電的響應和執行器的動作,從而完成一次完整的信息安全攻防實踐。
值得一提的是,實訓教學平台還配置了1台攻防管理服務器、1台入侵檢測服務器、1台終端防護服務器。其中,攻防管理服務器安裝攻防管理軟件與課程管理軟件,提供登錄管理、學習過程動態記錄、自動打分等功能;入侵檢測服務器安裝流量異常檢測軟件,用於數據流量監測、異常報警;終端防護服務器安裝終端安全防護軟件,用於整個網絡中每台計算機和服務器異常行為的辨識與報警,自動構建網絡攻擊滲透路徑,並對網絡攻擊鏈追蹤溯源。入侵檢測服務器和終端防護服務器還有一個重要功能,是作為學習過程中防守方的防守工具與接入口。
4
工控系統信息安全實訓課程設計
工控系統信息安全實訓課程緊密依託實訓教學平台開發,主要分為兩類:①知識學習課程,具有內容廣而精、針對性強的特點。與傳統的專業課程相比,知識學習課程的知識面更廣,涉及計算、自動化、電氣、能源動力學科的相關內容;課程內容也更具針對性,其在各學科中只抽取與工控系統信息安全相關的內容放到課程內容中。②攻防實訓課程,是利用實訓教學平台中的工控系統、縮微生產裝置和其他應用服務與學生互動的課程,以學生動手實戰實操為主。
1.知識學習課程設計
知識學習課程是指工控系統信息安全學習過程中必備的基本知識,主要包括基礎知識、專業知識、網絡安全知識,如表1所示。其中,網絡安全知識是指網絡安全相關的概念及術語。知識學習課程配有名師講解錄製的視頻、實踐操作的演示視頻、課後作業題與思考題,知識學習課程被存放在攻防管理服務器中,學生可以通過客戶端註冊、登錄後學習。
表1 知識學習課程設計
2.攻防實訓課程設計
攻防實訓課程是指依託實訓教學平台,利用感官或動手操作來完成的實踐課程,包括工業生產及其安全、工業控制系統及其功能安全、工控系統信息安全與常用攻防手段、國內外典型工控系統信息安全案例分析及復現、工控系統信息安全攻防實踐五類課程,具體如表2所示。
表2 攻防實訓課程設計
值得一提的是,「工控系統信息安全攻防實踐」課程採用奪旗賽(Capture The Flag,CTF)模式,將實訓學生分成若干個小組,每個小組4人,要求每個小組針對課程設定的Flag或目標逐級滲透,並以最終提交Flag或改變目標狀態作為滲透成功的標誌。在CTF模式下,實訓教學平台為實訓學生提供了網絡安全工具庫,供學生參與實訓課程時方便地下載使用相關安全工具。
5
實訓課程教學實踐及其滿意度分析
實訓教學平台於2017年3月開始建設,2018年8月建成,先後完成了多屆本科生和研究生的實訓教學任務。實訓課程的教學過程分為三個階段:第一個階段,學生在線學習信息安全相關基礎知識;第二個階段,學生在線學習工控系統的專業知識和工業安全相關知識;第三個階段,學生開展工控安全攻防實踐訓練。每次知識學習課程均設有相關的課後作業,學生必須完成作業才能結束課程,實訓教學平台會根據作業的答題結果給出每個學生的課程評分;在攻防實訓課程的軟件中設置了Flag,實訓教學平台會以學生提交Flag的數量和質量作為評分標準來完成學生實訓評分。
每期課程最後一節課結束前,授課教師會現場發放課程滿意度調查問卷,本次抽取2019年第一學期面向30名學生發放的課程滿意度調查問卷作為案例進行分析研究。該問捲髮放與回收的有效率均達100%,問卷內容包括課程整體效果、課程沉浸感受、課程實用性、知識學習課程內容、攻防實訓課程內容、縮微裝置逼真度、工業場景設計、評分標準8個子項的滿意度調查。每個子項有5個選項,按照李克特五點量表計分,從「非常不滿意」到「非常滿意」分別用1~5分表示。通過統計服務的科學平台(Scientific Platform Serving for Statistics Professional,SPSSPRO)在線分析,得到問卷的信度分析結果如表3所示,其中Cronbach’s α係數值為0.879,說明該問卷的信度很好;同時,得到問卷的效度分析結果如表4所示,其中KMO值為0.837,Bartlett球形檢驗結果中p=0.000<0.005,水平上呈現顯著性,說明各變量間具有很強的相關性,因子分析有效,適合作因子分析。
表3 問卷的信度分析結果
表4 問卷的效度分析結果
課程滿意度問卷調查結果如表5所示,可以看出:在課程整體效果方面,選「非常滿意」的學生人數占比70%、選「滿意」的占比23.333%,故整體滿意度達到93.333%;此外,課程沉浸感受、課程實用性和攻防實訓課程內容的整體滿意度均為90%以上,知識學習課程內容、縮微裝置逼真度和工業場景設計的整體滿意度均為80%以上,評分標準的整體滿意度為80%。由此可見,學生對工控系統信息安全沉浸式教學課程整體滿意度較高,特別是對課程沉浸感受、課程實用性和攻防實訓課程內容的滿意度很高,達到了課程的預期效果。
從2018年12月到2021年12月,本研究先後完成了5次問卷調查,問卷反饋結果與上述抽取的問卷結果相似。通過對問卷調查結果和學生課後作業的完成情況進行詳細分析,並結合與學生面談內容的錄音文本分析,本研究發現:通過與實訓教學平台互動式的沉浸學習,學生系統地掌握了大量傳統教學所無法傳授的實戰網絡攻防知識、工業控制系統與工業生產場景的工藝流程知識等,真正做到了理論與實踐相結合。實訓教學平台提供的高逼真工業控制應用場景,給學生以身臨其境般的感受,讓學生沉浸其中與實訓教學平台實時互動,徹底突破了單向灌輸式教育,最大限度地調動了學生的好奇心與學習主動性,使學生更加系統、快速地掌握相關知識,並積極動手實踐,提升了其解決實際問題能力,取得了很好的教學效果。通過實訓教學,學生可以基本熟悉工控系統的功能、工作原理和相關網絡通信協議,掌握常用的網絡攻防技術,並全面了解電力系統生產與天然氣長輸管線生產的工藝流程。
表5 課程滿意度問卷調查結果
6
結語
本研究以浙江大學為例,對工控系統信息安全沉浸式教學進行探究,設計了工控系統信息安全沉浸式實訓教學平台,並依託此平台開發了工控系統信息安全實訓課程,結果發現:工控系統信息安全沉浸式教學有助於學生積極、主動地參與實際的工程實訓,鍛煉他們解決實際問題的能力,並增進他們對相關學科的理解。與此同時,結合浙江大學的教學實踐與學生的反饋,本研究也發現一些不足,如實操課設置偏少,後續應多開發「以學生為中心」的實操課,利用已有工具進行端口掃描或漏洞挖掘,培養學生的動手能力;課程評分標準不太合理,知識學習課比重過高,而攻防實訓課比重偏低,不利於激發學生參與實踐的積極性,後續應設置儘可能多的國內外典型信息安全事件復現課程,提高攻防實訓課評分比重,鼓勵學生動手實踐。
參考文獻:
[1]雷遠東.工控安全現狀及面臨的問題[J].網絡安全和信息化,2018,(6):36-37.
[2]徐偉,孔堅,毛慶梅,等.工業控制系統安全現狀及應對策略[J].網絡安全技術與應用,2021,(9):115-117.
[3]馮偉.我國工業控制系統面臨的信息安全挑戰及措施建議[J].信息安全與技術,2013,(2):19-22.
[4]邸麗清,謝豐.工業控制系統信息安全與功能安全結合之探討[J].中國信息安全,2016,(4):62-65.
[5]朱辰,孫斌,金心宇,等.網絡空間安全攻防實驗教學與實訓平台的構建[J].實驗室研究與探索,2021,(6):265-267、275.
[6]艾興,李葦.基於具身認知的沉浸式教學:理論架構、本質特徵與應用探索[J].遠程教育,2021,(5):55-65.
[7]唐穎,余願.基於虛擬現實技術的沉浸式教學實踐探索[J].進展:科學視界,2022,(4):92-94.
[8]段丹萍.多種理論視角下的VR教育應用研究綜述[J].中國教育技術裝備,2019,(6):54-56、60.
[9]陳志翔,歐斌娜,田謙益.工控系統網絡信息安全本科教學課程探討[J].計算機教育,2019,(4):28-33.
[10]黃兆軍.高職院校信息類新工科專業建設探索——以工控信息安全專業為例[J].職業教育(下旬刊),2020,(11):25-34.
[11]王立新,蔣烈輝,郭玉東,等.以嵌入式為核心的計算機課程體系建設[J].計算機教育,2016,(2):66-68.
[12]楊良斌,周新麗,劉思涵,等.大數據背景下網絡空間安全人才培養機制與模式研究[J].情報雜誌,2016,(12):81-87、80.
掃碼即可申請加入在線教育交流群
更多資訊
《室聯網元宇宙de前世與今生》喧囂時代的持之以恆...【總448期】
了解在線教育,把握MOOC國際發展前沿,請關註:微信公號:openonline公號暱稱:MOOC
留言列表