久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

★深圳航天信息有限公司藍(lán)炫勉，陳剛，李周，王立展

1　引言

2021年12月28日，工業(yè)和信息化部等八部門聯(lián)合印發(fā)了《“十四五”智能制造發(fā)展規(guī)劃》，其中，在重點任務(wù)部分，網(wǎng)絡(luò)安全赫然在列。這說明智能制造領(lǐng)域的網(wǎng)絡(luò)安全已經(jīng)到了刻不容緩的地步?，F(xiàn)如今，航空航天、船舶制造、兵器制造等關(guān)系到國家安全、國計民生等重要領(lǐng)域已廣泛應(yīng)用到了智能制造，因此，保障智能制造網(wǎng)絡(luò)的安全就顯得尤為重要。而由于智能制造網(wǎng)絡(luò)對可用性的要求十分嚴(yán)格，使得安全人員難以在真實環(huán)境中進行滲透測試、漏洞挖掘等會影響可用性的工作，因此，實物安全靶場應(yīng)運而生，又由于智能制造網(wǎng)絡(luò)的復(fù)雜度極高，顯然實物安全靶場無法滿足。因此，本文提出了基于虛擬化技術(shù)的智能制造網(wǎng)絡(luò)安全靶場。

2　當(dāng)今智能制造網(wǎng)絡(luò)安全的現(xiàn)狀

智能制造（Intelligent Manufacturing，IM）是一種由智能機器和人類專家共同組成的人機一體化智能系統(tǒng)，該系統(tǒng)與傳統(tǒng)人工智能相比不同之處在于它重點強調(diào)與突出人才是制造業(yè)中的核心而不是智能機器，智能機器的作用，則是與人配合，使人能更好地發(fā)揮出其潛能。這樣一來人機之間就表現(xiàn)出了一種相互“理解”、相互協(xié)作的關(guān)系，這種關(guān)系使得二者在不同的層次上各顯其能，相輔相成。

隨著智能制造的不斷發(fā)展，越來越多的設(shè)備和系統(tǒng)相互連接，通過網(wǎng)絡(luò)進行通信和協(xié)作，這些設(shè)備和系統(tǒng)之間的交互變得越來越頻繁。然而，智能制造中的設(shè)備和系統(tǒng)往往都擁有重要的信息和數(shù)據(jù)，例如生產(chǎn)計劃、產(chǎn)品質(zhì)量、供應(yīng)鏈信息等，如果這些信息和數(shù)據(jù)被泄露或遭到攻擊，將會導(dǎo)致十分嚴(yán)重的后果。

目前，智能制造領(lǐng)域面臨的網(wǎng)絡(luò)安全威脅主要包括以下幾個方面:

（1）網(wǎng)絡(luò)安全威脅不斷增加：隨著智能制造的不斷發(fā)展，越來越多的黑客和組織開始關(guān)注這一領(lǐng)域，通過網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露等方式來對智能制造系統(tǒng)進行攻擊和威脅。

（2）網(wǎng)絡(luò)安全漏洞普遍存在：智能制造領(lǐng)域中的設(shè)備和系統(tǒng)往往都采用了最新的技術(shù)和算法，而這些技術(shù)和算法由于面世時間較短，普遍存在著漏洞和弱點，一旦被攻擊者利用，就可以入侵智能制造系統(tǒng)并竊取重要信息。

（3）為了保障智能制造中的網(wǎng)絡(luò)安全，需要采取一系列的措施，例如制定網(wǎng)絡(luò)安全策略、加強網(wǎng)絡(luò)安全監(jiān)管、提高網(wǎng)絡(luò)安全意識和技能等。同時，還需要加強網(wǎng)絡(luò)安全技術(shù)和加快新的網(wǎng)絡(luò)安全產(chǎn)品的研發(fā)，不斷提高智能制造系統(tǒng)的網(wǎng)絡(luò)安全水準(zhǔn)，保障系統(tǒng)和數(shù)據(jù)的安全。

由于現(xiàn)運行的智能制造網(wǎng)絡(luò)對高可靠性和安全性的要求十分嚴(yán)格，而傳統(tǒng)的滲透測試、攻防應(yīng)急演練等保障工作對網(wǎng)絡(luò)、系統(tǒng)天然自帶破壞性。因此，為了避免這些問題，構(gòu)建能夠滿足安全評估、攻防演練、培訓(xùn)教育等功能的靶場，就顯得十分重要、緊迫。工控靶場由于其特殊性，必須要具備實物場景，雖然實物類靶場對工控場景的仿真程度較高，但同時也存在著建設(shè)投入成本高，建設(shè)周期長、維護維修成本巨大、場景單一固化等問題，并不利于推廣應(yīng)用。因此，本文提出了基于虛擬化技術(shù)的智能制造網(wǎng)絡(luò)安全靶場設(shè)計方案，完善了工控類靶場的建設(shè)。

3　基于虛擬化技術(shù)的智能制造靶場框架設(shè)計

3.1　靶場概述

本論文描述的靶場旨在設(shè)計一個含有安全評估、攻防演練、培訓(xùn)教育三大主要功能的并且基于虛擬化技術(shù)的智能制造網(wǎng)絡(luò)安全靶場。通過安全評估，可以粗略評估企業(yè)的工控設(shè)備及其工控網(wǎng)絡(luò)和系統(tǒng)的安全態(tài)勢和安全風(fēng)險。通過攻防演練，使得企業(yè)或個人能以攻擊對抗的思路掌握黑客攻擊各階段常用的攻擊方法和原理，尋找相應(yīng)的網(wǎng)絡(luò)攻擊的防護策略和手段。而通過培訓(xùn)教育，則可以使工控安全意識和技能得到全面提升。靶場設(shè)計框架如圖1所示。

圖1 靶場設(shè)計框架

（1）基礎(chǔ)資源

基礎(chǔ)資源將由虛擬仿真環(huán)境和半實物仿真環(huán)境組成，構(gòu)成了靶場的最基本要素——測試與實驗環(huán)境，靶場所有功能全部建立在此環(huán)境的基礎(chǔ)上。

（2）虛擬化平臺

將由虛擬化IaaS平臺與虛擬化資源組件池構(gòu)成，由于工控網(wǎng)絡(luò)的多樣性與復(fù)雜性，靶場必須擁有靈活且快速變更網(wǎng)絡(luò)拓?fù)涞哪芰εc數(shù)量龐大的資源庫，以實現(xiàn)可以仿真不同工業(yè)行業(yè)場景的目的。

（3）虛實結(jié)合的網(wǎng)絡(luò)架構(gòu)

靶場將支持控制層、生產(chǎn)運行層中的PLC、DCS、儀器儀表等實物設(shè)備接入，從而彌補了通過仿真技術(shù)實現(xiàn)的全虛擬化對工業(yè)流程仿真能力的不足。

（4）數(shù)據(jù)監(jiān)測

數(shù)據(jù)監(jiān)測將由流量監(jiān)管評判、攻防組件監(jiān)控、匯聚存儲清洗、過程推演及追蹤溯源四部分組成。主要功能是為白方提供評判依據(jù)與為使用者進行推演、溯源提供數(shù)據(jù)支持。

（5）核心業(yè)務(wù)子系統(tǒng)

核心業(yè)務(wù)子系統(tǒng)由攻防演練、安全評估、教育培訓(xùn)三個子系統(tǒng)構(gòu)成，作為靶場的三大核心功能，直接與使用者進行交互。

4　靶場各部分的設(shè)計與實現(xiàn)

4.1　基礎(chǔ)資源與虛擬化平臺的設(shè)計與實現(xiàn)

4.1.1　虛擬仿真環(huán)境與半實物仿真環(huán)境

智能制造網(wǎng)絡(luò)靶場采用虛擬化軟件的主要優(yōu)勢是可以將智能制造中的傳統(tǒng)架構(gòu)的工控網(wǎng)絡(luò)進行模擬仿真，實現(xiàn)利用該系統(tǒng)對企業(yè)實際的工控網(wǎng)絡(luò)進行模擬仿真，以此來對其進行脆弱性、安全性檢測。同時，靶場還可接入半實物仿真系統(tǒng)，以滿足工控行業(yè)不同行業(yè)工業(yè)現(xiàn)場從控制單元到控制器產(chǎn)品再到上位機及組態(tài)軟件都各不相同的特點，同時滿足了工控安全的攻防演練、安全評估、實訓(xùn)的需要。

4.1.2　虛擬化平臺

IaaS是指提供基礎(chǔ)設(shè)施作為服務(wù)，用戶可以通過互聯(lián)網(wǎng)租用虛擬化的服務(wù)器、存儲、網(wǎng)絡(luò)等基礎(chǔ)設(shè)施，來構(gòu)建自己的應(yīng)用程序和服務(wù)。IaaS通常提供了許多功能，如自動化部署、彈性擴容、備份和恢復(fù)等。

而軟件定義網(wǎng)絡(luò)（Software?Defined?Network，SDN），一種來自美國的新技術(shù)，是一種新型的網(wǎng)絡(luò)架構(gòu)，也是實現(xiàn)網(wǎng)絡(luò)虛擬化的一種手段。

虛擬化平臺將SDN技術(shù)和IaaS攻防平臺進行了集成，在利用SDN的技術(shù)優(yōu)勢完全實現(xiàn)IaaS攻防平臺的網(wǎng)絡(luò)自動化操作的同時也利用SDN技術(shù)實現(xiàn)了網(wǎng)絡(luò)拓?fù)淇梢暬?、可視化網(wǎng)絡(luò)拓?fù)淇焖購?fù)現(xiàn)及設(shè)備添加與網(wǎng)絡(luò)拓?fù)淇焖僮詣幼兏裙δ堋?/p>

而虛擬化資源組件池則是利用虛擬機、物理機、虛擬網(wǎng)絡(luò)設(shè)備和安全設(shè)備等封裝成組件資源庫，將其中的資源提供給大規(guī)模網(wǎng)絡(luò)環(huán)境的自動化復(fù)現(xiàn)引擎使用，用于復(fù)現(xiàn)網(wǎng)絡(luò)環(huán)境中的資源節(jié)點，其由組件資源和場景資源組成。

在組件資源庫中可調(diào)用工控網(wǎng)絡(luò)設(shè)備、安全設(shè)備等資源，而場景資源則用來仿真工業(yè)企業(yè)環(huán)境，如“S7工業(yè)協(xié)議仿真攻擊測試場景”“OPC工業(yè)協(xié)議仿真攻擊測試場景”“運載火箭殼段生產(chǎn)SCADA系統(tǒng)仿真攻擊測試場景”等。其中每個場景包括了若干虛擬機來進行仿真。

4.2　虛實結(jié)合網(wǎng)絡(luò)架構(gòu)的設(shè)計與實現(xiàn)

通過對業(yè)界主流的云平臺和虛擬化解決方案進行調(diào)研和分析，本論文最終決定使用KVM自帶的Bridge虛擬機解決方案來實現(xiàn)靶場的虛擬網(wǎng)絡(luò)。而虛擬仿真環(huán)境又由虛擬化IaaS平臺與虛擬化資源組件池組成，再加上半實物仿真環(huán)境，共同構(gòu)成了靶場虛實結(jié)合的網(wǎng)絡(luò)架構(gòu)。

4.3   數(shù)據(jù)監(jiān)測的設(shè)計與實現(xiàn)

4.3.1　攻防組件監(jiān)控

攻防組件監(jiān)控系統(tǒng)需要實現(xiàn)低損耗、實時采集攻防信息的目的，主要通過工業(yè)資產(chǎn)設(shè)備實時無感狀態(tài)采集、多模態(tài)試驗數(shù)據(jù)流的存儲與管理等技術(shù)，來實現(xiàn)對攻防演練實驗過程中所產(chǎn)生信息的精確、實時、快速與低耗的采集，并同時以讀取日志的方式實時監(jiān)測控制系統(tǒng)其他狀態(tài)信息，并在第一時間及時感知系統(tǒng)運行的狀態(tài)，依此為白方系統(tǒng)提供評判依據(jù)。

4.3.2　流量監(jiān)管評判

流量監(jiān)管評判系統(tǒng)即攻防當(dāng)中的白方系統(tǒng)。無規(guī)矩不成方圓，攻防演練亦是如此，在紅藍(lán)雙方之外，必須還要有一方，負(fù)責(zé)演練前的準(zhǔn)備工作與演練中的管理和演練后的分析與復(fù)盤推演，這就產(chǎn)生了專門的管理方——白方。

4.3.3　流量匯聚存儲清洗

流量匯聚存儲清洗系統(tǒng)即靶場大數(shù)據(jù)平臺，負(fù)責(zé)匯聚實時演練數(shù)據(jù)，其下的各子平臺將全方位上報攻防平臺監(jiān)測運行數(shù)據(jù)，而后將這些數(shù)據(jù)進行存儲，存儲后結(jié)合工控系統(tǒng)的特征進行威脅建模，并通過數(shù)據(jù)挖掘、人工智能、深度學(xué)習(xí)、可視化計算等技術(shù)，同時結(jié)合云端威脅情報，從而實現(xiàn)對未知工控攻擊威脅的自動化發(fā)現(xiàn)及預(yù)警，并且提供被監(jiān)測企業(yè)工控網(wǎng)絡(luò)系統(tǒng)的攻擊威脅、漏洞情況、系統(tǒng)配置情況、惡意代碼泛濫情況等安全威脅態(tài)勢服務(wù)，還具備了快速查找、檢索、融合、識別、檢查、關(guān)聯(lián)、可視化分析及歸檔的功能，可實現(xiàn)對攻擊行為的取證和快速溯源，為安全事件或威脅的應(yīng)急處置服務(wù)能力提供情報和數(shù)據(jù)支撐。

4.3.4　過程推演及追蹤溯源

可視化演練過程推演子系統(tǒng)作為靶場的一個重要組成部分，擔(dān)負(fù)著實時、客觀地為白方顯示紅藍(lán)雙方攻防態(tài)勢的任務(wù)。演練管理系統(tǒng)負(fù)責(zé)管理整個攻防環(huán)境，系統(tǒng)將演練的整個周期分為演練前、演練中和演練后三個階段。其中演練進行階段是重中之重，那么在演練開始后，對演練的過程進行實時、準(zhǔn)確的監(jiān)視就顯得格外重要，而推演系統(tǒng)就是作為該階段的主要模塊而存在的，其主要功能就是進行實時、客觀、全面的演練整體態(tài)勢的反映。

而仿真實體則運行在網(wǎng)絡(luò)中的各個節(jié)點中，這些仿真實體本身則通過網(wǎng)絡(luò)來互相傳遞數(shù)據(jù)。態(tài)勢子系統(tǒng)則通過輸入網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)，然后輸出結(jié)果，主要包括演練數(shù)據(jù)庫記錄、演練數(shù)據(jù)庫、二維態(tài)勢顯示、三維場景顯示，以及實體狀態(tài)和統(tǒng)計結(jié)果顯示幾個部分。

演練數(shù)據(jù)記錄層作為溝通態(tài)勢子系統(tǒng)與網(wǎng)絡(luò)的橋梁，位于網(wǎng)絡(luò)與上層態(tài)勢顯示模塊的中間。該數(shù)據(jù)層在對來源于網(wǎng)絡(luò)中的數(shù)據(jù)進行收集、整理、分類、歸納之后，將其他類型的數(shù)據(jù)全部過濾掉，只留存產(chǎn)生于演練過程中所有仿真實體的當(dāng)前狀態(tài)信息。而顯示模塊（由二維態(tài)勢顯示和三維場景顯示所共同組成）所調(diào)用的，也正是這些記錄中的數(shù)據(jù)。

4.4　核心業(yè)務(wù)子系統(tǒng)的設(shè)計與實現(xiàn)

4.4.1　攻防演練子系統(tǒng)

攻防演練子系統(tǒng)作為可拓展性極強的平臺環(huán)境，具備完善的指導(dǎo)、實驗及演練條件。攻防演練子系統(tǒng)支持配置、創(chuàng)建、回收包含多種工控網(wǎng)絡(luò)軟硬件組件的演練環(huán)境，并可創(chuàng)建不同流程的演練劇情為使用者提供基礎(chǔ)攻防網(wǎng)絡(luò)環(huán)境，使得系統(tǒng)具備多平臺、綜合性、多樣性、可復(fù)現(xiàn)、可重構(gòu)的能力，支持同步更新最新的漏洞、技術(shù)及相關(guān)演練環(huán)境。同時系統(tǒng)還記錄了使用者的操作流程以及過程產(chǎn)生數(shù)據(jù)，用來支撐系統(tǒng)評分功能。

4.4.2　安全評估子系統(tǒng)

為了精準(zhǔn)評測使用者實際的工業(yè)網(wǎng)絡(luò)環(huán)境安全性、可恢復(fù)性和靈活性，測試現(xiàn)場的設(shè)備、PC操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議等關(guān)鍵軟硬件是否具備安全性與是否滿足國家相關(guān)標(biāo)準(zhǔn)就顯得至關(guān)重要，這就要求攻防平臺具備完整成熟的安全評估能力。因此，系統(tǒng)在提供了按需組網(wǎng)功能的同時還提供了接入多種評估工具，使得使用者可以按需選擇，以適配多種評估方法。通過測評標(biāo)準(zhǔn)庫、測試工具庫以及各種風(fēng)險評估方式可對攻防復(fù)現(xiàn)目標(biāo)展開全方位、體系化的測試評估工作。4.4.3　培訓(xùn)教育子系統(tǒng)教育培訓(xùn)子系統(tǒng)面向智能制造安全領(lǐng)域的人員教學(xué)實踐需求，提供了體系化、分層次的工控安全教育課程體系，該課程體系中包含了單課程、演練課程、實戰(zhàn)課程等。通過理論與實踐相結(jié)合的教學(xué)方法，填補了智能制造網(wǎng)絡(luò)安全領(lǐng)域的教學(xué)、培訓(xùn)方面的空白，推動了傳統(tǒng)教育與培訓(xùn)模式的發(fā)展。同時不斷深化課程體系，以理論與實踐相融合的方式來進行教育培訓(xùn)，以此來全方位提升工控安全人員攻防實戰(zhàn)能力，使受訓(xùn)人員具備對各種主流安全實踐具備獨立分析、應(yīng)對處理的能力。

5　總結(jié)

為了提升智能制造網(wǎng)絡(luò)安全的攻防演練與場景構(gòu)建能力、測試評估能力與新技術(shù)研究水平，本論文提出了智能制造網(wǎng)絡(luò)安全靶場，并通過結(jié)合虛擬化技術(shù)來實現(xiàn)。具體所做工作總結(jié)如下：

（1）分析了當(dāng)前智能制造網(wǎng)絡(luò)安全的現(xiàn)狀，并根據(jù)現(xiàn)狀提出了基于虛擬化技術(shù)的智能制造網(wǎng)絡(luò)安全靶場。

（2）通過虛擬化IaaS平臺，SDN等技術(shù)實現(xiàn)了虛擬化仿真環(huán)境，再加上半實物仿真環(huán)境，構(gòu)成了靶場虛實結(jié)合的網(wǎng)絡(luò)架構(gòu)。在提升了攻防演練真實性的同時也提升了靶場自身的擴展性。

（3）靶場通過二維態(tài)勢顯示、三維場景顯示兩種方式，成功實現(xiàn)了低損耗、高實時的數(shù)據(jù)監(jiān)測。

（4）攻防演練子系統(tǒng)、安全評估子系統(tǒng)、教育培訓(xùn)子系統(tǒng)作為靶場的三大核心業(yè)務(wù)子系統(tǒng)，滿足了不同場景、不同業(yè)務(wù)復(fù)雜度的需求，可以切實提高使用者工控網(wǎng)絡(luò)的安全性。

作者簡介：

藍(lán)炫勉（1989-），男，廣東普寧人，中級工程師，學(xué)士，現(xiàn)就職于深圳航天信息有限公司，研究方向為網(wǎng)絡(luò)安全。陳　剛（1985-），男，河南鄧州人，中級工程師，學(xué)士，現(xiàn)就職于深圳航天信息有限公司，研究方向為網(wǎng)絡(luò)安全。

李　周（1988-），男，湖南衡陽人，中級工程師，學(xué)士，現(xiàn)就職于深圳航天信息有限公司，研究方向為網(wǎng)絡(luò)安全。

王立展（1984-），男，河南鄧州人，現(xiàn)就職于深圳航天信息有限公司，研究方向為網(wǎng)絡(luò)安全。

參考文獻：

[1] 孫健. 工控網(wǎng)絡(luò)仿真靶場的虛擬化場景構(gòu)建研究[D]. 哈爾濱: 哈爾濱工業(yè)大學(xué), 2021.

[2] 王榮壯. 智能制造下的工業(yè)互聯(lián)網(wǎng)安全風(fēng)險應(yīng)對分析[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2022, 6 : 94 - 96.

[3] 李京京. 基于蜜罐技術(shù)的ICS平臺威脅感知平臺[D]. 鄭州: 鄭州大學(xué), 2017.

[4] 梁丹. 運載火箭智能制造標(biāo)準(zhǔn)體系架構(gòu)及實踐[J]. 航天標(biāo)準(zhǔn)化, 2022, 4 : 9 - 12.

[5] 王玉紅. 服裝生產(chǎn)企業(yè)智能制造技術(shù)研究及應(yīng)用[J]. 化纖與紡織技術(shù), 52 (1) : 31 - 33.

摘自《自動化博覽》2023年7月刊