工業互聯網安全能力指南
工業互聯網安全除了對工業相關企業的安全性進行保障以外,還需要能夠通過教育培養更多的工業互聯網安全人才、通過演練提升人員能力并發現不足、通過驗證推演進行工業系統的相關安全研究——這些場景都離不開一個不影響業務的虛擬仿真環境,即工業靶場。
工業靶場相比于一般網絡靶場,側重于對工業環境的仿真與模擬,包括工業系統、工業設備、工業協議,而不只是通過生成工業流量模擬工業環境。因此,本報告中的工業靶場,特指:
能夠基于對工業設備、工業協議、工業系統等OT相關能力的仿真,實現在完全虛擬環境或者虛實結合環境中工業場景復現的能力。
關鍵發現
- 工業靶場的應用場景與網絡靶場類似,為人才培養、競賽平臺、演練演習、研究分析。當前工業靶場提供的能力依然為教學、實訓和競賽為主,工業研究的應用場景尚處起步階段。但是,從未來發展來看,工業研究的應用會非常關鍵。
- 由于工業場景很難直接對真實場景進行測試,因此工業靶場的需求剛性相對傳統靶場會更強。
- 工業靶場由于需要同時對工業系統、工業場景和仿真能力都有相對高的要求,門檻更高,先發廠商優勢很大。
工業互聯網安全工業靶場能力點陣圖
本次參與工業互聯網安全工業靶場能力點陣圖的廠商共有9家,分別為:安帝科技、博智安全、長揚科技、烽臺科技、珞安科技、綠盟科技、木鏈科技、齊安科技、啟明星辰。
工業靶場應用場景
與一般的網絡靶場類似,工業靶場的應用場景為人才培養、競賽平臺、演練演習、研究分析四個方向。
人才培養
人才培養是大部分工業靶場的切入點。通過在虛擬的環境中,進行針對工業場景的教學,可以有效加深學生對工業技術環境的認知,不再浮于書面的抽象知識。同時,在工業靶場中,能夠通過具體實際操作,熟悉工業場景中的技術實現原理,以及對工業環境的攻防進行訓練。人才培養的應用場景偏向于提升人員的技術能力,包括技術原理的理解、攻防技術的使用等。一般情況下,工業靶場或者其供應商都會提供一系列的課程以及針對基于課程的簡單虛擬環境,循序漸進地幫助學習人員逐步提升。對于已經有一定安全技能的人員,也可以通過自定義或者使用內置的場景模板,進行針對性訓練。
從整體網絡安全人才培養的角度來看,工業靶場相較于傳統網絡靶場的需求應更高。工業場景本身具有極強的封閉性,一般人通常情況下難以接觸工控相關設備、系統,因此需要更為全面完備的靶場環境為相關人員提供學習與訓練的機會。
競賽支撐
為攻防競賽提供工業相關的競賽平臺是工業靶場的另一個常見場景。盡管針對工業環境相關競賽的數量與影響力不如針對傳統IT環境相關競賽的情況,但是近年來,隨著對關鍵基礎設施安全性的注重,這一類比賽數量也在逐漸上升,對工業靶場的競賽平臺需求也會進一步提升。
演練演習
近年來,為了評估、測試重點企業的安全防護能力,進行了大量的大型演練的活動,其中也包括了工業相關企業。工業靶場可以通過虛擬化與虛實結合的方式,分隔出一部分的演練區域,在確保本身業務與安全性不會遭到破壞的情況下,進行演練演習,從而對工業企業的當前安全能力進行評估,發現潛在問題。同時,工業企業還能通過工業靶場進行自演自練,持續自主地發現自身潛在的問題。
研究分析
基于工業靶場的研究分析現在并非是一個主流的應用場景,但是卻是一個非常重要,并且在未來極具前景的應用場景。
研究分析應用場景主要由兩個方向組成:
- 安全研究:對指定的工業設備、系統、協議等技術與產品,在工業靶場中進行安全研究分析,發現其中潛在的漏洞,或者對其進行功能解析,從而提升對應相關的安全能力,包括協議的深度解析、安全加固等能力。
- 方案推演:通過工業靶場,對技術環境變化產生的結果進行推演驗證,比如增加某一工業設備或者工業安全設備對業務的影響、業務模式變化帶來的潛在的風險等等。
盡管當前來看,研究分析的需求有限,但是這一需求必然會成為關鍵。當前工業系統相當依賴國外供應,因此安全隱患難以從底層解決。通過工業靶場的研究,一方面能夠讓我們更完整地把握國外工業設備、工業系統的安全情況,防范隱藏的漏洞;另一方面,我們能夠對國產系統進行驗證分析,確保自主系統的安全性。
工業靶場關鍵技術
靶場的基礎能力是仿真,最終需要達到的目的是實現在仿真環境下的各種應用。因此,工業靶場技術的關鍵是能否實現需要的仿真效果,以及仿真環境是否能達成最終的應用。
工業仿真能力
工業靶場最核心的能力,是其工業仿真能力。工業仿真能力不只是對工業流量的復現,更重要的是對基于對工業系統、工業設備、工業協議的解析與理解,將真實的工業系統、工業設備、工業協議的運作與響應狀態呈現在靶場之中,才能實現真正的工業環境的模擬。
工業環境是一個相對封閉的環境,因此對工業系統、工業設備、工業協議的仿真都需要靶場廠商對相關的技術有深度的理解,才能將其在自身環境中復現。能否將工業技術在自身靶場中更為真實地復現,對工業靶場尤為關鍵。越能真實展現真實環境的工業靶場,就越能實現更高的技術要求。
對于工業研究分析而言,需要測試能夠真實反映對現實的影響。在一個貼近真實工業生產環境的工業靶場中,研究目標在各種情況下對生產環境會產生怎樣的影響,能夠更準確地把握研究對象可能產生的安全后果,而非研究對象自身存在的安全隱患。因此,能有更廣泛工業仿真種類、更真實仿真效果的廠商能夠對工業技術研究提供更有效的幫助。另一方面,這一類廠商由于能夠更多接觸最前沿的工業研究機會,其在研究中獲得的對工業技術的解析又會反哺其仿真能力,形成一個會提升自己能力的良性循環,從而進一步拉開和其他工業靶場供應商的差距。
工業仿真場景
工業靶場供應商在工業仿真能力的另一個體現是其能夠提供的仿真場景的豐富度以及差異性。
盡管豐富的工業系統、工業設備、工業協議的仿真能力能夠提供多樣性的場景建設,但是在實際使用過程中,由于不同客戶之間自身技術能力與安全能力的差異,往往會在自身搭建仿真環境的能力有很大的差距。因此,工業靶場廠商需要能夠基于自身對工業場景的積累與了解,提供貼近一般該領域使用場景的預置模板,協助客戶快速搭建需要的場景。
另一方面,由于工業環境類型復雜多樣,不同的使用場景的設備、系統、協議差距都很大,甚至對于某系關鍵、敏感的場景都有封閉的特殊技術,這就對工業靶場供應商能夠提供的場景豐富性帶來了挑戰。
事件復現分析能力
豐富真實的仿真技術類型,貼近現實生產環境的場景是工業靶場的底層基礎,在工業靶場的實際使用過程中則需要靶場內發生事件的復現與分析能力。
演練演習的目的是為了通過實戰,發現現有的安全能力中存在的問題。因此,需要對演練演習進行復盤,才能精確定位到安全隱患的所處位置,包括技術隱患、人員隱患、流程隱患等。
同樣,對工業研究而言,需要細致地了解研究對象的每一個行為。通過對研究進程的復現,研究人員可以在工業靶場中比對不同情況下產生的行為與數據,最終達成對研究對象的解析。
工業安全知識庫
無論是人才培養、競賽支撐、演練演習,還是研究分析,都離不開工業靶場中工業安全知識庫的支持。工業安全知識庫包括設備指紋庫、漏洞庫、攻防工具庫等。
在工業安全知識庫的支撐下,工業靶場中可以構建更為靈活的環境。漏洞庫與設備指紋庫越豐富,就越能針對性地構建靶場環境,對特定的安全風險編排培訓、演練環境,精準提升需要的工業安全技能。同時,攻防工具庫不僅能在人才培養與競賽、演練過程中,能夠讓人員可以運用的工業安全攻防工具更為廣泛,工具庫更為強大的工業靶場還能為工業技術的研究分析提供更為有效的手段。
工業靶場市場情況
根據本次調研的方向,2019年我國工業靶場能力收入總體約為1.04億元,2020年總體收入約為2.27億元,預計2021年收入為3.77億元,2022年預期為5.81億元。工業靶場的市場相對網絡靶場的市場,或者其他工業互聯網安全領域的市場,其規模相對有限;但是由于工業場景因業務連續性要求極高,很難在真實場景進行測試等操作,工業靶場的需求剛性會比傳統網絡靶場更強,因此整體市場增長會呈平緩狀態。同時,工業靶場對于工業仿真能力的積累要求很高,因此未來市場會逐漸趨向于飽和,已有的工業靶場廠商的技術優勢會非常明顯。
工業靶場能力當前以定制化交付與運營模式為主,占73%。無論工業靶場最終的應用場景是什么,大部分情況下都會需要特定的工業環境。尤其當前工業靶場的客戶往往已經有了相當深度的工業安全能力積累,會有基于自身特點的需求。值得注意的是,作為功能交付及其他模式占了14%。工業靶場本身也可以成為某個大型項目的一環,比如將工業靶場接入工業互聯網安全管理平臺,成為更為完善的工業互聯網安全體系中的一環。
從銷售方式來看,工業靶場平臺能力基本以直銷方式進行,占88%;渠道模式與OEM模式分別占7%與5%。
監管機構在占工業靶場落地領域的三成以上,使用場景在競賽平臺、演練演習、研究分析都有覆蓋。在監管機構的落地將自上而下推動工業靶場的市場發展。同時,電力行業作為工業企業中數字化轉型的領先領域,占比為7%。
案例六:5G+工業互聯網安全靶場在鋼鐵行業應用案例
(本案例由烽臺科技提供)
背景介紹
鋼鐵行業作為制造業的重要組成部分,已形成了較為完備的自動化、信息化體系架構,數字化水平居于所有行業的前列。
鋼鐵行業屬于典型的流程生產行業,生產過程是連續不斷的,難以在復雜環境下實現大量信息的及時傳遞。近年來,“5G+工業互聯網”以大數據賦能,促進遠程操控、協同作業、故障診斷等功能加快應用,正好能夠助推鋼鐵這一傳統行業的提質增效。
“5G+工業互聯網靶場”借助虛擬化、虛實互聯、軟件定義網絡、數字孿生等技術,通過構建大規模5G+工業互聯網仿真驗證場景,集成可編排測試驗證能力,標準化公共服務應用流程,為工業網絡空間安全領域的技術研究、開發測評、攻防對抗、應急演練、人才培養提供了基礎支撐,同時在保障網絡安全的基礎上對新技術進行適配性測試驗證,幫助企業在數字化轉型過程中順利過渡。
客戶需求
新技術適配驗證
新技術適配驗證需求要面向5G+工業互聯網”10個重點行業,鼓勵聯合建設行業應用測試床,開展融合技術、標準、設備、解決方案的研發研制、試驗驗證、評估評測等工作,提升垂直領域的5G應用創新能力,形成覆蓋重點行業的網絡部署架構及方案,驗證關鍵技術產業化能力、業務場景融合應用能力。
業務與適配驗證能力融合
“5G+工業互聯網”的應用場景具備多樣性,要實現在鋼鐵行業的應用需要定制化安全業務應用場景,最大化的提高業務與適配驗證能力融合度,避免業務與能力的不匹配造成的資源、時間浪費。
5G MEC(邊緣計算multi-access edge computing,MEC)與靶場架構融合
要滿足工業現場多網并存的行業網絡的運維和管理需求,行業現場網絡要綜合考慮多樣化的無線接入技術和實現高效匯聚到5G蜂窩網絡的措施。行業現場網數字孿生平臺基于數字孿生的網絡服務,定義支持自優化能力的完整工業網絡和流程,包括無線連接、工廠網絡以及5G網絡之間的交互,提供面向工業現場網的信息建模、標識解析、基于模型驅動智能化網絡運維,實現網絡可視、可管、可控,降低駐場運維成本,提升行業現場服務效率。
行業應用與測試驗證架構融合
行業應用與測試驗證架構融合主要考慮網絡全態感知和5G性能及安全性兩方面內容。網絡全態感知方面采用鏈路級的主動質量探針,了解主要性能狀況,為企業客戶提供應用服務的可用性監測、端到端的質量分析和診斷定界,采集時延、丟包等核心性能指標,實現鏈路性能劣化至告警閾值時的性能告警,自動化故障定界、定位。5G性能及安全性方面通過網絡規劃仿真、網絡實時監控和網絡運維優化來實現。
解決方案
現狀評估
評估分析階段主要基于“5G+工業互聯網”安全靶場的能力和鋼鐵行業的發展,進行多維度的評估,以實現對現狀的全面把控。評估分析階段主要采取數字化成熟度評估、網絡通信能力評估、工控安全成熟度評估的方法。
- 數字化成熟度評估針對企業的數字化轉型需求,參考IOMM標準以及數字化轉型新型能力體系建設總體框架進行階段定級與綜合評估,不同等級能力呈現不同的狀態特征以及能力單元/能力模塊的過程維、要素維、管理維的不同建設重點。根據評估,全部生產數據還未能互聯互通,信息數據還未能協同共享,專家知識與智能化系統還未能交流共用,設備感知能力和自主控制能力還需提升,生產線的智能化水平還未實現數字化生產,數字化成熟度對實施智能化改造同步打造數字化應用的需求還未滿足。鋼鐵行業要發展就要將5G與工業互聯網融合,以其為抓手,實現快速提供承載個性化功能的高品質產品和服務的制造模式,建設“數字化工廠”。
- 網絡通信能力評估針對企業的數字化運維5G通信能力需求、鋼材質量缺陷檢測5G通信能需求、人員安全監控5G通信能力需求、無人天車5G通信能力需求。
- 工控安全成熟度評估針對企業開展工控安全項目建設、管理、運營等活動的需求,提供工具和方法論,對于工業企業用戶、工控安全服務廠商和第三方機構,以及整個工控安全產業生態建設都具有重要作用。對于工業企業用戶而言,幫助其確定自身在安全技術、管理手段、業務流程和人員能力上的短板,明確安全投入優先級別,優化和量化投資價值,指明建設采購決策和落地實踐的方向。對于工控安全服務廠商和第三方機構而言,按照提供安全防護技術/產品、管理技術工具、幫助企業落地安全業務流程、提升安全人員專業能力的分類明確業務范圍。
規劃設計
經過策略制定階段的方向把控和評估分析階段的現狀分析,依據鋼鐵行業和5G+工業互聯網安全靶場的情況,進行規劃設計,考慮三個原則:強化5G專網、拓展應用能力和孿生仿真建模:
- 強化5G專網主要從5G MEC核心網下沉組網架構和5G基站布局入手。
- 拓展應用能力包含經營決策層應用、生產執行層應用兩個角度。經營決策層應用涉及安全生產管理系統的多方面,包括安全基礎管理、安全教育培訓、安全生產雙控系統管理、檢維修安全管理、安全專項工作管理、建設施工管理、安全評價管理、安全檢查等內容。生產執行層應用涉及能源管理系統(EMS)、生產制造執行系統(MES)。
- 孿生仿真建模立足鋼鐵行業靶場,建立典型采礦廠、燒結廠、煉鐵廠、煉鋼廠、軋鋼廠、能源廠、采礦廠等仿真場景,覆蓋鋼鐵行業典型信息化、自動化、網絡安全各類組件,涉及現場設備層(L0)、現場控制層(L1)、過程監控層(L2)、生產執行層(L3)、經營決策層(L4),包含鋼鐵行業靶場沙盤和自動控制系統,實現工控靶場管理平臺、檢測驗證、應急演練、安全實訓等應用。
建設實施
建設實施階段包含工藝及電氣設計、仿真模型設計兩個步驟。工藝及電氣設計包含典型鋼鐵主要生產工藝、測試床仿真工藝兩個方面。
典型鋼鐵主要生產工藝涉及到選礦、燒結、煉鐵、煉鋼、連鑄、動力等內容。
測試床仿真工藝涉及動力能源、綜合料場、燒結、煉鐵、煉鋼、軋鋼、倉庫管理、物流運輸等方面。
仿真模型設計就是根據測試床仿真工藝設計相應的鋼鐵行業仿真測試床。
運營優化
結合鋼鐵行業發展情況,“5G+工業互聯網”安全靶場將逐漸形成圍繞鋼鐵企業安全發展的典型應用,包括工控靶場管理平臺、檢測驗證、應急演練、安全實訓等,增強企業安全人員的安全意識,提高企業安全管理能力,促進企業整體網絡安全合規水平以及綜合保障水平的的提升。
方案價值
應用效果
“5G+工業互聯網”安全靶場在鋼鐵行業的應用實現了針對鋼鐵行業的數字化轉型,包含5G通信能力測試驗證、行業openupf測試驗證、安全產品入網測試驗證、攻防演練與人才培養、靶場互聯等方面。
經濟效益
通過“5G+工業互聯網”安全靶場實現鋼鐵行業的數字化轉型,實現對安全事件的預警預告和迅速的安排處置,能夠降低生產單位防范和化解方面的人員、金錢成本,確保資源流向更有利于生產發展的方向,從而達到提高鋼鐵行業經濟效益,實現安全可持續發展的目標。
社會效益
“5G+工業互聯網”安全靶場在鋼鐵行業的應用,不僅代表了其在促進鋼鐵行業發展上面的功能效益,更是為其他行業借助“5G+工業互聯網”實現數字化發展提供了借鑒。從鋼鐵行業的成功應用到向其他行業的全面推廣,其形成的示范效應和輻射作用可幫助工業企業更好的的發展,履行社會責任,保障企業安全生產能力,為國家工控安全戰略保駕護航。
客戶反饋
“5G+工業互聯網”安全靶場在實際應用中,通過發揮其在數據采集、控制和圖像傳輸的作用,解決了生產設備及儀器儀表數據大范圍采集、生產設備及物流運輸車輛自動遠程控制、高清圖像視頻傳輸等的問題,同時,對于新產品在生產系統上線運行前提供了良好的驗證適配環境,規避了由此可能帶來的停產風險。
安全靶場通過解決工業現場多網并存帶來的行業網絡運維和管理方面的問題,實現了網絡的可視化、可管理、可控制,降低了駐場運維的成本,提升了現場服務效率,同時,也提升了崗位人員的專業能力。
