簡析電力系統網絡靶場建設的價值、挑戰與趨勢

在當下已經演變為持久戰的俄烏地區沖突中，通信、交通、能源供應等相關國家關鍵基礎設施一直是雙方互相攻擊的重點目標。同時，“網絡戰”作為先行戰場，也把關基設施作為主陣地，不斷以相對輕量級成本制造比想象中更廣泛的破壞和社會混亂。

在全球的電力行業，針對電力系統及相關基礎設施的網絡攻擊層出不窮。究其原因，一方面電力系統規模異常龐大，網絡連接、運行方式多樣，存在很多“可乘之機”；另外入侵電力系統對于黑客組織來說是一個高價值的目標，因為電力與人們生產生活深度關聯，受到攻擊后所產生的損失往往十分巨大。

應用價值提升以人為核心的網絡對抗能力

對于電力企業而言，僅依靠完善病毒查殺系統，在服務器及網絡邊界部署防火墻、入侵檢測、漏掃系統，加強對人員的規范管理等通用防護手段是遠遠不夠的。根據丈八網安公司長期的實踐經驗，我們認為：安全產品和防護軟件，只能起到輔助作用，無法代替技術人員在網絡對抗中的地位。

因為，各安全公司在做的事情其實是將其核心安全技術能力集成到他們的產品中，再由產品將“能力”傳導給企業端的安全運維人員，但實際情況是，因為企業端人員自身能力的短板，會導致安全產品所傳導的“能力”大幅縮水，遠不能支撐其抵御專業APT組織的攻擊。網絡攻擊的源頭是人，防御的最終端也是人，歸根結底，網絡對抗的結果還是取決于技術人員能力的高低。

而技術人員要提升攻防能力，就需要大量實戰經驗的積累，這便是網絡靶場這款產品的核心價值所在，它可以直接將安全能力“傳遞”給企業端防護人員，即：將人、攻防工具、貼近真實的實戰場景融為一體，在網絡靶場中通過實戰提升人的技術能力，從而為企業構建堅實的安全防護能力。所以，建設電力靶場并加強實戰訓練，培養具備電力網絡安全對抗能力的專業型人才，對于電力系統網絡安全乃至國家網絡安全而言至關重要。

近幾年，我國也陸續出臺了關于電力網絡安全相關管理辦法和標準，其中關于電力系統網絡應急能力建設、事件應急處置、人才培養等被著重強調。2023年初，國家能源局綜合司印發《2023年電力安全監管重點任務》中也指出，要加強網絡安全態勢感知能力建設，推進國家級電力網絡安全靶場建設，組織開展年度攻防演練。可見，圍繞電力系統安全人才能力培養的網絡靶場建設已經被提上日程。

網絡靶場是提供網絡仿真環境，集成網絡攻防、測試評估等技術，來支撐基于真實業務的攻防技能訓練以及測試評估等需求的軟件系統。基于網絡靶場的高仿真環境模擬，還可以衍生出欺騙防御、安全策略有效性驗證等應用方向。

攻防技能訓練的形式主要包括演習、競賽、應急響應預演等，其中攻擊側訓練即提供一個仿真的目標環境開展演練，來提升攻擊技術，演練各種攻擊戰術戰法等；防御側訓練，即在靶場中復現與真實業務環境高度吻合的模擬場景，聯動全業務部門開展應急響應演練，持續提升企業安全運維團隊的技術能力。由于網絡靶場所復現的是安全隔離的仿真環境，在其中的任何攻防行為都不會損傷到真實業務的連續性。這一特質也使得“測試評估”類需求興起，并逐漸成為網絡靶場的主要功能之一。

建設挑戰對真實電力系統環境的仿真

在靶場中開展技術訓練和測試評估，對于電力行業而言，重點在于訓練和測試所使用的虛擬環境，要與實際的電力生產網絡及設備環境高度吻合，這樣才能確保技術人員經過多番訓練后，可以在實際生產環境下無差別行動。同樣，高度仿真也是保證測評結果有效性的最大前提。因此，在國家關鍵基礎設施所涵蓋的所有行業中，電力行業的網絡靶場建設被認為是建設難度最大的，主要體現在以下幾個維度：

1. 場景構建難。電力系統被稱為“最復雜的人造工程”之一，電網由大量專有元件構成，遍布范圍廣，這些元器件依托網絡構成復雜的關系網，結構和功能都異常復雜。除此之外，電網涉及很多專有的工藝節點，對電網系統及其設備環境的模擬是對仿真技術的極大考驗。目前很多傳統的網絡靶場依托來自國外的云計算底層架構，定制化程度受到很大影響，更加難以有針對性地去復現電力系統專有網絡環境和設備環境。
2. 成本控制難。傳統靶場習慣通過復刻微縮版設備模型的方式，實現對專有工藝節點的“1:1”復現，此方式被業界視為“形式大于內容”，導致對物理空間的大量占用，再加上硬件采購和運營人員的投入，使得整體靶場建設費用激增。而網絡靶場中經常開展的攻防測試具備高危險性，這些設備一旦遭到破壞很難在有限的時間內恢復。
3. 內容運營難。當一個貼近真實生產環境的仿真場景被復現完畢，接下來對靶場的考驗就是內容建設和運營能力，也就是如何更好地完成攻防訓練和測評目標，包括攻防能力雙向訓練，對人員能力及崗位匹配度、業務連續性目標的量化評估，個性化的態勢呈現等均為當代網絡靶場產品建設過程中需要不斷完善的重要環節。

伴隨網絡仿真技術的革新，以上電力系統網絡靶場的建設難點也在逐步被克服。以丈八網安為例，我們摒棄了傳統的云計算底層架構，自主研發了一套為仿真服務的原生網絡靶場專用引擎，通過在電力行業的實踐，在很大程度上解決了場景構建、成本控制及運營難等問題。

發展趨勢向純虛擬仿真技術邁進

其實，網絡靶場產品在任何行業的應用，核心能力和前進趨勢都圍繞“仿真”展開。

在仿真內容維度，工控/電力系統的網絡靶場建設中，首先要考慮契合企業實際生產情況，做全架構仿真。

在ISA-95 企業系統與控制系統集成國際標準中，對信息系統架構做了五層分級，從0層到4層分別為：現場層（生產層）、控制層、操作層、管理層、企業層，攻擊行為一般從4層逐一向0層滲透，所以單獨對其中某層的仿真是無意義的，網絡靶場的全架構仿真就是要對企業的每一層設備及組網情況進行模擬。

在丈八網安的電力靶場實踐案例中，蛇矛實驗室就在火天網境靶場平臺做了基于P廠全局的全架構仿真，比如釣魚郵件攻擊目標位于管理層，被攻擊的SCADA系統位于操作層，最終直接影響到了控制層和現場層。

在仿真技術、方式上，做全架構仿真就意味著場景或許會很“宏大”，正如前面所述，傳統靶場的微縮版模型復現，雖然從形式上還原了現場層的很多工控物理設備，但被還原的“模型”占地大、成本高且不具備可復用性。更符合發展趨勢和企業需求的方式是其實是將重要工藝及環節通過數字化建模、外設仿真以及虛實結合組網等技術進行還原，通過在仿真平臺中的一張張“藍圖”，可以隨時復用、切換“場景”。

比如在對P廠復現的案例中，因為涉及特殊專用設備，丈八網安通過70%的虛擬仿真+30%的物理設備接入方式完成整個場景搭建。我們認為，伴隨數字孿生技術的發展，網絡靶場“虛實結合”的仿真方式也會逐漸向純虛擬仿真邁進，輕量化、敏捷化將成為行業發展的主旋律。

網絡靶場技術的快速發展也在推進其在更多應用場景的實踐，比如前面提到的測試評估場景。近幾年，美國國防部在持續推進的“向左移（Shift Left）”戰略中，主要在采辦項目階段，不斷應用靶場進行評估，目的是“避免在開發生命周期結束時進行高成本集成”。類似需求場景在工控/電力系統內的需求也逐漸提升，很多傳統的工控系統的數字化推進進程緩慢，皆因受到確保“生產連續性”這個高優先級目標影響，在系統升級，或者外接新型設備的時候，無法確保生產不被打斷，而網絡靶場的測評場景成了破局的關鍵。

我們認為，提供一個接近真實生產網的仿真測試環境，開展整機、固件、系統軟件、應用軟件的安全檢測環境，去驗證設備的安全性、可用性和有效性，同時出具可度量、可視化的測評結論，對于工控領域，特別是電力行業的數字化升級而言，是極具吸引力的解決方案。