網絡靶場還原工業現場環境的方法

一、網絡靶場還原工業現場環境的優勢及難題

利用網絡靶場研究工業現場環境信息安全問題，具有很多天然優勢，也有不少無法回避 的難題。

從優勢上來說，除了網絡靶場本身的特點，工業現場環境的很多特質也決定了利用網絡靶場仿真建模的便利性，主要有三：一是工業現場環境敏感，其事關國家和經濟安全，影響面大，不允許頻繁組織針對工業現場環境進行研究性測試演習等工作，而網絡靶場仿真建模手段則可以多次演練工業現場環境安全問題。二是工業現場環境封閉，沒有足夠的數據和實戰案例來充分支撐信息安全研究，而很多新型安全機理性問題和新型安全技術與概念可以利用網絡靶場仿真建模手段來研究。三是工業現場環境特殊，其安全問題結合了現場物理環境特性，而網絡靶場恰恰具備對工業現場環境安全問題可視化演示的潛力。

從難題上來說，利用網絡靶場還原工業現場環境面臨兩個基本問題：場景復雜度和模擬逼真度。一是工業現場環境仿真建模的場景復雜度問題。工業現場設備品牌和型號眾多，軟件和協議各不相同，具有復雜的網絡特性。同時，仿真的網絡交互效應也異常復雜，不僅包括直接造成的，還包括間接造成并在體系中進一步傳播開來的效應，而且這些網絡化交互效應不確定性很大，其產生機理也異常復雜。網絡靶場仿真建模始終難度非常大！二是工業現場環境仿真建模的模擬逼真度問題。模擬逼真度不僅表現在能夠完全模擬工業現場環境的整體細節和工藝流程，還表現在仿真建模環境所使用的工具、軟件等是否與實際一致，工業現場環境與外部組織之間的交互能否被真實地模擬，即模擬逼真度需要盡可能設計出讓參與者經歷的條件、觀察和獲取信息的環境更具體的真實細節。

二、工業網絡靶場的工業仿真建模框架

網絡靶場仿真建模工業現場環境有四種主要的技術實現方法：模擬靶場技術、疊加靶場技術、仿真靶場技術和混合靶場技術。模擬靶場技術基于真實網絡組件重建一個綜合網絡環境，模擬運行在虛擬實例中，除服務器計算資源外不需要其他物理設備。其優點是重新配置的速度較快，可使用通用服務器和存儲設備，而缺點則是場景復雜度、模擬仿真度、網絡性能和延遲均無法滿足要求。疊加靶場技術是運行在真實工業現場網絡、服務器和存儲等設備之上的網絡靶場，通常是退役的工業現場環境或在生產停止階段可實施的真實基礎設施。其優點是具有顯著的場景復雜度和模擬逼真度，而缺點則是試驗過程中一旦有基礎設施損壞，恢復的時間和成本相當大。仿真靶場技術是在專用的基礎設施上運行，且基于真實的工業現場環境基礎設施映射或重構，通過專用的物理基礎設施來進行仿真。其優點是具有顯著的場景復雜度和模擬逼真度，而缺點則是投資成本巨大，屬于重資產類型投資。混合靶場技術由上述模擬靶場技術、疊加靶場技術、仿真靶場技術三種靶場技術組合產生，在充分考慮場景復雜度、模擬逼真度的同時，還能平衡投資成本。

工業控制系統的本質是感知和控制工業現場的物理環境。工業網絡靶場為了解決工業現場環境仿真建模面臨的資產、網絡、交互效應等場景復雜度、模擬逼真度等問題，采用混合靶場技術，利用工業現場環境特征，基于信息環境典型模型將工業現場環境分為物理域、信息域和認知域三層架構，對應的建模模型也分為物理域模型、信息域模型和認知域模型三層架構模型，工業網絡靶場以上述三層架構模型構建了靶場工業仿真建模框架。

圖2-1 靶場工業仿真建模框架

靶場工業仿真建模框架分為三層，分別對應物理域模型、信息域模型和認知域模型，每個域都有基于工業現場環境相應的仿真建模模型。這些模型通過抽象真實工業現場環境中的要素提取靜態和動態信息，映射為一個相對的模型，并根據真實工業現場環境間的要素的關聯關系，確定模型間發生交互的可能性，使交互的發生符合客觀規律。在此基礎上，再依靠真實工業現場環境的執行動作和交互關系在靶場仿真建模空間中進行映射和反應。

物理域模型描述的是在工業現場環境中存在的物理實體環境。該環境是實現工業現場物料的產生、輸送、分配和使用等過程的物理生產過程。物理域模型包括工業領域典型的控制器、傳感器、執行器等設備模型以及由此構建的數字孿生模型，這是整個網絡靶場仿真模擬逼真度的基礎，也是工業現場環境區別于其他仿真場景的特征所在。物理域模型具有動態結構特征，在高度模擬逼真度的要求下，物理間的客觀反應很難通過純程序仿真或數字建模的方式表現出來。

信息域模型是描述與工業現場環境中信息相關的模型。該模型是保障工業物理實體環境可靠、穩定、安全，保障經濟運行的生產控制，保障企業及管理部門的信息管理與決策過程正常運轉。信息域模型包括信息流模型、虛擬化模型、網絡模型等各種信息化形式。信息域模型仿真讓仿真建模環境的使用者像在工業現場環境中使用信息化/工業化系統組件一樣，具有相同的網絡拓撲結構、網絡行為特征和軟件過程。

認知域模型是描述與工業現場環境中行為與交互相關的模型。該模型表現工業現場環境中人類行為的活動與交互模式，是保證工業現場環境模擬逼真度和場景復雜度的重要指標。認知域模型根據工業現場環境人類活動及行為映射作為具體角色模型，創建能夠逼真地模仿典型工業現場環境人類行為的活動與行為方式，使得網絡靶場使用者無法在靶場建模環境中發現人類和計算機控制活動之間的任何明顯差異。認知域模型包含工業現場的生產經營活動、員工日常工作、企業職能部門事務、內外部人類攻擊活動等各種認知模型。認知域模型具有動態結構特征，專注于工業現場環境人類能力和行為（例如注意力管理、信息處理、錯誤操作、認知偏見、社會工程等）的計算模型和工具。認知域模型仿真的是工業現場環境由人、軟件、硬件及其相互關系組成的整個人類活動的技術系統。

三、網絡靶場還原工業現場環境的具體流程

典型的工業現場環境由幾種不同類型的控制系統構成，包括監控數據采集系統（SCADA），分布式控制系統（DCS）和小型控制系統，如可編程邏輯控制器（PLC）等。SCADA系統是以計算機為基礎的生產過程控制與調度自動化系統，通常采用客戶端/服務器體系，它收集分散在現場的測控信息，并通過網絡傳送到中央處理器，使客戶端的操作人員能夠實時監控生產過程或者設備狀態，并進行本地或者遠程控制，是一種典型的物理信息系統（CPS）。在典型的網絡結構上，工業現場環境由企業信息網絡、過程控制網絡和現場控制網絡三部分組成，如圖3-1所示。

圖3-1 典型工業現場環境架構圖

借助靶場工業仿真建模框架，工業網絡靶場在還原工業現場環境時，需要調研真實工業現場環境的網絡架構、系統應用、工藝流程、運營體系等內容，提取和歸納靶場仿真建模所需的模型要素，為靶場仿真建模提供真實世界的數據支撐。具體的還原方法如下：

（1）物理域模型構建

物理域模型的構建需調研工業現場環境的物理環境，包括工業現場環境的實體因素、工業特征等要素，通過實物等比例復制的方式還原工業現場環境或利用數字孿生技術建模工業現場環境，其中以實現工業現場環境所需的工業控制和反饋流程產生、輸送、分配和使用的生產過程為主要復制要素。采用的實物是使用真實的設備構建與真實系統等比例的工業現場設備，采用實物構建的仿真環境非常貼近真實系統的運行模式，能夠提供最真實可靠的實驗數據，其目的是為了保證靶場仿真建模的模擬逼真度，同時也滿足工業現場設備品牌和型號眾多，以及軟件和協議異構的復雜性等需求。當我們以實物方式進行物理域模型構建時，必須考慮到一個簡單的事實：隨著真實細節點的增加，模型構建的成本也會增加。因此，需要對各種真實細節點進行成本/效益分析，以確定投資的平衡點，并使這個建模模型和環境足夠真實，以達到預期的建模效果。典型實物設備還原物理域模型構建效果如下圖所示：

圖3-2 典型實物設備還原物理域模型構建效果

隨著數字孿生技術的發展，物理域模型的構建技術也采用了數字孿生的構建方法。采用數字孿生構建物理域模型的好處是可利用現有的工業現場物理環境，即通過實網進行數字孿生靶場建設，不必再基于真實設備等比例還原工業現場，可大幅度減少重資產投資，同時還可實時同步工業現場環境的信息，做到虛實互聯互動，在場景復雜度和模擬逼真度上也可滿足工業現場環境建模要求。

（2）信息域模型構建

信息域模型的構建需調研工業現場環境的信息化系統、工藝控制系統和網絡架構等，包括工業現場環境的網絡架構、系統應用、工藝流程等要素，通過虛擬化轉換及運行方式復制還原工業現場環境信息域模型，其中以實現工業物理環境生產控制系統和信息管理系統為主要復制要素。

工業網絡靶場采用“平臺+組件+拓撲”的方式還原工業現場環境典型信息模型組件及信息流。首先，基于可視化拓撲編排的軟件定義基礎架構實現工業現場環境網絡組件+拓撲編排，可快速構建、復現、管理、銷毀各種典型工業現場環境網絡架構。另外，其構建的虛擬工業現場環境信息域模型中包含工業控制層、過程監控層、企業管理層等工業網絡層級，通過虛擬化技術及仿真技術重現真實工業現場環境節點及鏈路。

圖3-3 信息域模型構建示意圖

在信息域模型層，工業網絡靶場還通過虛實互聯組網技術同物理域模型進行組網和通信，該技術將工控實物設備和虛擬化場景進行靈活組網構建。虛實互聯組網技術可靈活快速構建基于工業實物設備與物理集群的大規模任意拓撲及特征的虛擬網絡生成與實物網絡的互聯互通。信息域模型工控場景是實物網絡的虛擬化展示，其規模是在物理域模型基礎上的擴展。信息域模型下發操作指令來控制物理域模型，而物理域模型向信息域模型反饋實時數據。物理域模型網絡中的專用設備通過虛實互聯接入信息域模型網絡。

（3）認知域模型構建

認知域模型的構建需調研工業現場環境中與人類角色行為與交互相關的活動，屬于一個動態的活動過程。它包括工業現場環境的企業職能部門事務、員工日常工作行為、內外部攻擊活動等要素，通過工業現場環境流量鏡像及網絡靶場NPC（非玩家角色）方式復制還原工業現場環境認知域模型，其中以創建能夠逼真地模仿典型工業現場環境人類行為的活動與行為方式為主要建模要素。認知域模型將工業現場環境建模仿真擴展到網絡拓撲和物理環境之外，為網絡靶場的使用者建立真實的工業現場環境體驗。

網絡靶場在獲取真實工業現場環境的運營體系流程及網絡數據流量后，通過數據提取建模，以網絡靶場NPC（非玩家角色）代理框架執行，支撐真實工業現場環境提取的無數人物角色模型。這些NPC代表多個真實工業現場環境角色并參與可觀察或可交互的大量可能的活動中，比如瀏覽互聯網、創建電子表格等日常辦公行為以及惡意的內部訪問行為等。根據這些角色模型能夠執行的操作，網絡靶場NPC代理框架可通過真實工業現場環境的運營策略編排這些NPC執行相應的動作，指定要完成的特定任務，進而在物理域模型和信息域模型之間產生交互和行為流量，通過各個認知域模型角色之間的相互作用，從底層的簡單行為產生出整體性的高層行為，實現將工業現場環境的動態人類能力與行為數據復制到靶場仿真建模環境中。

認知域模型的NPC代理框架交互，可以使得靶場建模與仿真模型之間存在交互關聯得以復現，并根據真實環境的關聯進而傳播和反應模型之間的相互作用，通過該模式和方法，仿真的網絡交互效應也能很好的通過認知模型對運行和反應進行觀察，不僅包括直接造成的，還包括間接造成并在體系中進一步傳播開來的效應，還能進一步研究和觀察工業現場環境的整體交互和反應機理。

典型的構建認知域模型的技術包括基于Agent代理技術和基于人工智能技術下的機器人流程自動化(RPA)技術。

四、總 結

利用網絡靶場還原工業現場環境，本文介紹了采用典型信息模型—物理域模型、信息域模型和認知域模型并構建對應分層模型的方法，通過該框架作為設計和構建足夠真實的工業現場仿真環境，能夠很好的滿足工業領域場景復雜度和模擬逼真度要求。隨著信息技術的發展，工業現場環境越來越復雜，和工業現場環境互聯的互聯網、5G等也需要被模擬以滿足客戶對場景仿真需求，因此在物理域模型、信息域模型和認知域模型之外，還需要有第四層的模型--社會域模型來建模互聯網、5G等內容。