本申请实施例提供的一种工控网络安全靶场系统,该系统包括边缘端计算模块以及边缘端管理模块,其中:所述边缘端计算模块,用于根据工控网络的特点,进行虚拟网络环境的搭建;所述边缘端管理模块,用于从所述边缘端计算模块获取所需的资源数据,并根据所述资源数据,以虚实结合的方式,结合私有云平台搭建适用于对工业生产过程进行监控的第一场景,以满足中小规模的用户群体进行靶场应用服务的自用,和/或,结合公有云平台搭建适用于工业控制网络的第二场景,以多租户方式实现靶场应用服务的调用。该方法的实施能够准确的生成虚拟网络环境,降低用户使用难度和成本,有利于推广和应用。用。用。
【技术实现步骤摘要】
一种云化共享工控网络安全靶场系统
[0001]本申请涉及工控网络安全
,具体而言,涉及一种云化共享工控网络安全靶场系统。
技术介绍
[0002]现下工业控制系统(Industrial Control System)已应用于工业网络的各个领域,如电力、石油、冶金、天然气、铁路、供水、化工等关系国家命脉的基础产业。然而,随着互联网技术的不断发展,DDoS攻击的频繁、木马病毒的泛滥,使得网络威胁变得日益严重,网络安全问题已经深入到工业网络,对国家级工业、能源行业安全挑战严峻。目前,已建有工控网络安全靶场,其具体是通过虚拟化、虚实结合组网等技术,仿真出接近真实的工控网络环境,以为安全技术培训、演练、竞赛以及评测研究等需求提供可靠的网络训练试验场地。然而,现有的系统架构创建网络环境的成本过高、周期过长,且网络变动的更新需要人工进行再次调整,不利于推广和应用。
技术实现思路
[0003]本申请实施例的目的在基于提供一种云化共享工控网络安全靶场系统,可以准确的生成虚拟网络环境,降低用户使用难度和成本,有利于推广和应用。
[0004]本申请实施例还提供了一种工控网络安全靶场系统,所述系统包括边缘端计算模块以及边缘端管理模块,其中:
[0005]所述边缘端计算模块,用于根据工控网络的特点,进行虚拟网络环境的搭建;
[0006]所述边缘端管理模块,用于从所述边缘端计算模块获取所需的资源数据,并根据所述资源数据,以虚实结合的方式,结合私有云平台搭建适用于对工业生产过程进行监控的第一场景,以满足中小规模的用户群体进行靶场应用服务的自用,和/或,结合公有云平台搭建适用于工业控制网络的第二场景,以多租户方式实现靶场应用服务的调用。
[0007]由上可知,本申请实施例提供的一种云化共享工控网络安全靶场系统,不同于传统的靶场架构,将工控靶场系统模块化、软件化和轻量化。在提高工控网络安全靶场的服务能力的情况下,通过搭建边缘端计算模块和边缘端管理模块,实现工控靶场的应用微服务化和提升整个靶场平台架构的综合管理能力,完整的为用户解决本地服务和云服务的双重需求,在此架构下,实现工控靶场业务和工控网络安全的一站式运营,打造基于工控网络安全专业方向的工业互联网平台。
[0008]本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
[0009]为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使
用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0010]图1为本申请实施例提供的一种云化共享工控网络安全靶场系统的结构示意图;
[0011]图2为边缘端计算模块以及边缘端管理模块的连接示意图;
[0012]图3为私有云
‑
边缘端的连接、以及内部结构示意图;
[0013]图4为公有云
‑
边缘端的连接、以及内部结构示意图。
具体实施方式
[0014]下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0015]应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
[0016]请参照图1,图1是本申请一些实施例中的一种云化共享工控网络安全靶场系统的结构示意图。该系统100包括边缘端计算模块101以及边缘端管理模块102,其中:
[0017]边缘端计算模块101,用于根据工控网络的特点,进行虚拟网络环境的搭建。
[0018]边缘端管理模块102,用于从边缘端计算模块获取所需的资源数据,并根据资源数据,以虚实结合的方式,结合私有云平台搭建适用于对工业生产过程进行监控的第一场景,以满足中小规模的用户群体进行靶场应用服务的自用,和/或,结合公有云平台搭建适用于工业控制网络的第二场景,以多租户方式实现靶场应用服务的调用。
[0019]上述云化共享工控网络安全靶场系统,不同于传统的靶场架构,将工控靶场系统模块化、软件化和轻量化。在提高工控网络安全靶场的服务能力的情况下,通过搭建边缘端计算模块和边缘端管理模块,实现工控靶场的应用微服务化和提升整个靶场平台架构的综合管理能力,完整的为用户解决本地服务和云服务的双重需求,在此架构下,实现工控靶场业务和工控网络安全的一站式运营,打造基于工控网络安全专业方向的工业互联网平台。
[0020]在其中一个实施例中,边缘端计算模块还用于根据工控网络特点,以OpenStack
‑
KVM云平台架构搭建虚拟网络环境,以及进行网络流量的模拟。
[0021]具体的:(1)KVM基于内核的虚拟机(Kernel
‑
based Virtual Machine),是目前唯一进入Linux核心的虚拟化解决方案,在物理硬件节点之上生成多个可以同时独立运行的虚拟计算机实例,具有独立运行操作系统软件的能力,即所谓的虚拟机(Virtual Machine)。在KVM架构中,每个虚拟机都是宿主机中的一个Linux进程,其由宿主机统一进行管理。它可以利用Linux中集成的很多功能模块,因此,也成为了当前大多数Linux系统上的默认开源虚拟化方案,也是云平台中应用较为广泛的虚拟化技术。
[0022]需要说明的是,KVM本身只能提供CPU和内存的虚拟化,必须结合QEMU(是一款开源
的模拟器及虚拟机监管器)提供的I/O(Input/Output,即输入/输出)虚拟化,才能构成完整的虚拟化技术,通常称为KVM
‑
QEMU。其中,位于内核的KVM模块负责创虚拟机,并为其分配由上层用户为其指定大小的虚拟内存,并控制着VCPU(电脑中的虚拟处理器)的运行;QEMU则完成虚拟机用户控件组件的模拟功能,在主机CPU上直接执行虚拟客户端的代码。由于,工控软件和服务大部分需要运行于windows环境中,KVM可以虚拟Linux和windows操作系统,这也为工控应用虚拟化提供了充分的条件。
[0023](2)OpenStack是一个开放源本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种工控网络安全靶场系统,其特征在于,所述系统包括边缘端计算模块以及边缘端管理模块,其中:所述边缘端计算模块,用于根据工控网络的特点,进行虚拟网络环境的搭建;所述边缘端管理模块,用于从所述边缘端计算模块获取所需的资源数据,并根据所述资源数据,以虚实结合的方式,结合私有云平台搭建适用于对工业生产过程进行监控的第一场景,以满足中小规模的用户群体进行靶场应用服务的自用,和/或,结合公有云平台搭建适用于工业控制网络的第二场景,以多租户方式实现靶场应用服务的调用。2.根据权利要求1所述的系统,其特征在于,所述边缘端计算模块还用于根据工控网络特点,以OpenStack
‑
KVM云平台架构搭建虚拟网络环境,以及进行网络流量的模拟。3.根据权利要求1所述的系统,其特征在于,所述边缘端计算模块还用于进行SDN网络架构的引用,并将其作为系统的网络部分,使得能够在SDN网络环境下进行目标应用的开发;所述边缘端计算模块还用于将支持OpenFlow协议的OpenvSwitch作为虚拟交换机,并基于虚拟交换机和VXLAN隧道技术实现网络虚拟化,使得搭建的环境能够真正运行在OpenFlow协议下。4.根据权利要求1所述的系统,其特征在于,所述边缘端计算模块还用于基于主机的虚拟化、基于存储设备的虚拟化、基于网络的虚拟化中的至少一种方式,进行存储虚拟化处理,以对存储硬件资源进行抽象化表现。5.根据权利要求1所述的系统,其特征在于,所述边缘端管理模块还用于通过预设的通信协议与所述边缘端计算模块进行通信交互,以获取到所需的资源数据,所述资源数据包括计算资源、网络资源以及存储资源中的至少一...
【专利技术属性】
技术研发人员:朱奕辉,叶君霞,刘新伟,梁承雪,向昶宇,
申请(专利权)人:浙江木链物联网科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。