康乔工控漏洞验证系统KQ-ICIT

1. 工控网络发展与安全

随着工业互联网与自动控制技术的融合发展，工业控制系统被广泛地应用于电力、交通、能源、水利、冶金、航空航天等国家重要基础设施。新一代的5G通信技术的出现及数字孪生时代的到来，工业互联网的安全将面临颠覆性的机遇，同时也意味着即将迎接更加严峻的挑战。工业互联网在疫情防控中表现出了独特的优势及顽强的生命力，这让更多的工业与制造业意识到实施信息化和智能化建设的重要性。因此在后新冠时代，加强新型基础设施建设，驱动信息技术创新，打造工业互联网主动安全防御和保护体系成为重要任务。

习总书记在向2020中国5G+工业互联网大会致贺信中指出，“5G与工业互联网的融合将加速数字中国、智慧社会建设，加速中国新型工业化进程，为中国经济发展注入新动能，为疫情阴霾笼罩下的世界经济创造新的发展机遇。”面对突如其来的新冠肺炎疫情，工业互联网发挥了不可小觑的重要作用，加速了企业的复工复产，从而为疫情防控做出了卓越贡献。工业互联网的发展已经逐步迈向深耕阶段，助力工业与制造业全面实现信息化与智能化，为我国经济发展不断赋能。然而近年来，我国工业网络安全形势仍然较为严峻，必须尽快夯实安全基础，构筑新型防御体系，形成更加安全的工业互联网生态环境才能够为社会不断创造新的价值。

2. 产品介绍

目前的网络安全攻防，已经由早期的简单攻防，到复杂攻防，到持续性潜伏攻防阶段。目前已经提出了APT（高级持续威胁）概念。攻击者不是一个周期内，或者短时间内就完成了对系统的攻击，而且，分阶段分步骤在系统内长期潜伏，不断寻找和探索系统的漏洞。最后完成对一个系统体系的攻击。

  3.1. 攻击场景

由于目前的网络攻击通常具有多维度，长期博弈，对被攻击系统深入了解等特点。漏洞的扫描测试，已经无法单纯的满足我们的一个测试要求了。而应该使用一个场景化的测试过程。比如，一个系统存在的某种漏洞，已经不再是单独的某一个漏洞而形成的，而是多个不同的漏洞共同形成一个巨大的安全威胁。这时候，使用场景化的过程，即可满足这种测试要求，使用攻击场景，将攻击的过程进行场景化以后，多个漏洞，这些漏洞可能是公开的一个个的单独漏洞，可能是我们通过漏洞挖掘系统，或者漏洞扫描系统找到的内部漏洞。将这些漏洞转换为POC，然后，成为一个个的自定义的漏洞。这样由多种多样的漏洞，依次序组合而成为一个攻击场景。这个攻击场景则成为了一种高效的专门的漏洞测试工具。可以针对某种特定系统或者特定平台，进行专门的深入的漏洞攻击测试。

3.2. 产品特点

1)   内置大量公开CVE漏洞。漏洞验证平台，内置了大量的公开漏洞执行脚本，可以用于进行漏洞测试。

2)   内置优秀开源漏洞测试平台。漏洞验证平台，内置metasploit，并将其复杂的命令操作转换为直观的界面UI操作。

3)   支持自定义POC脚本执行。漏洞验证平台，内置脚本执行器，可以执行自定义的POC脚本。

3 产品功能

• 资产列表
  

资产列表用于管理资产的一些基本信息。用于记录攻击场景的攻击过程，针对的具体是哪一个资产项。

• 攻击场景

攻击场景用于创建情景化的攻击任务，一个攻击场景将使用多个漏洞进行攻击测试。

• 攻击场景执行

攻击场景执行用于执行预先设定的攻击场景任务。执行过程，将首先配置通用网络属性。

• 默认漏洞查看

默认漏洞列表包含了上千个公开的漏洞，可以在页面上搜索查看默认的漏洞的信息。

• 默认漏洞详情

可以查看默认漏洞的详情信息，该公开漏洞的所有信息都列于此页面。

• 默认漏洞选项

默认漏洞选项是默认漏洞执行过程，必须要输入的信息，如果有默认值，那么在执行过程中，即可不输入信息，允许使用默认值执行。如果没有默认值，那么就需要按要求输入参数了。

• 默认漏洞可用攻击对象

默认漏洞可用攻击对象，是指该漏洞可以用于哪些平台或者系统的供给测试任务。

• 自定义漏洞管理

自定义漏洞列表用于管理自定义的漏洞，自定义漏洞管理分为基本信息管理和漏洞的相关文件信息的管理。

• 漏洞基本信息管理

可以添加删除编辑漏洞，录入漏洞的基本信息属性。

• 漏洞资料管理

自定义漏洞包含了该漏洞的多种信息，漏洞基本信息，音视频资料以及漏洞的POC脚本等。漏洞资料管理即可对漏洞进行全面的管理。

• 漏洞类型管理

漏洞类型管理主要是自定义漏洞的类型进行管理，包含两级漏洞类型。

• 系统状态查看

系统状态信息查看，可以查看CPU使用率信息，内存占用率信息，磁盘使用率信息。

• 系统备份

系统备份用于进行系统的备份，将主要备份系统的自定义漏洞的信息与自定义漏洞的文件。

系统备份分为三个步骤：

1)选定主机角色，系统备份需要有一个主机和一个从机。主机数据将传出，从机将接收来自主机的备份数据，并覆盖从机数据。准备好开始备份以后，主机和从机都将无法进行添加和编辑，删除操作。只能查看，也不能启动攻击场景。

2)验证从机，主机方需要验证从机，在前端页面输入从机的地址，以及从机的管理员信息以后，即可验证从机。从机接收到验证请求以后，将校验自己已有的文件，返回给主机。主机根据返回校验主机文件，然后进行文件对比。查找差异，显示在页面上。

3)执行备份，页面展示主从机的文件系统差异，如果操作人员认为无误，即可点击开始进行备份过程。