网络靶场还原工业现场环境的方法
一、网络靶场还原工业现场环境的优势及难题
利用网络靶场研究工业现场环境信息安全问题,具有很多天然优势,也有不少无法回避 的难题。
从优势上来说,除了网络靶场本身的特点,工业现场环境的很多特质也决定了利用网络靶场仿真建模的便利性,主要有三:一是工业现场环境敏感,其事关国家和经济安全,影响面大,不允许频繁组织针对工业现场环境进行研究性测试演习等工作,而网络靶场仿真建模手段则可以多次演练工业现场环境安全问题。二是工业现场环境封闭,没有足够的数据和实战案例来充分支撑信息安全研究,而很多新型安全机理性问题和新型安全技术与概念可以利用网络靶场仿真建模手段来研究。三是工业现场环境特殊,其安全问题结合了现场物理环境特性,而网络靶场恰恰具备对工业现场环境安全问题可视化演示的潜力。
从难题上来说,利用网络靶场还原工业现场环境面临两个基本问题:场景复杂度和模拟逼真度。一是工业现场环境仿真建模的场景复杂度问题。工业现场设备品牌和型号众多,软件和协议各不相同,具有复杂的网络特性。同时,仿真的网络交互效应也异常复杂,不仅包括直接造成的,还包括间接造成并在体系中进一步传播开来的效应,而且这些网络化交互效应不确定性很大,其产生机理也异常复杂。网络靶场仿真建模始终难度非常大!二是工业现场环境仿真建模的模拟逼真度问题。模拟逼真度不仅表现在能够完全模拟工业现场环境的整体细节和工艺流程,还表现在仿真建模环境所使用的工具、软件等是否与实际一致,工业现场环境与外部组织之间的交互能否被真实地模拟,即模拟逼真度需要尽可能设计出让参与者经历的条件、观察和获取信息的环境更具体的真实细节。
二、工业网络靶场的工业仿真建模框架
网络靶场仿真建模工业现场环境有四种主要的技术实现方法:模拟靶场技术、叠加靶场技术、仿真靶场技术和混合靶场技术。模拟靶场技术基于真实网络组件重建一个综合网络环境,模拟运行在虚拟实例中,除服务器计算资源外不需要其他物理设备。其优点是重新配置的速度较快,可使用通用服务器和存储设备,而缺点则是场景复杂度、模拟仿真度、网络性能和延迟均无法满足要求。叠加靶场技术是运行在真实工业现场网络、服务器和存储等设备之上的网络靶场,通常是退役的工业现场环境或在生产停止阶段可实施的真实基础设施。其优点是具有显著的场景复杂度和模拟逼真度,而缺点则是试验过程中一旦有基础设施损坏,恢复的时间和成本相当大。仿真靶场技术是在专用的基础设施上运行,且基于真实的工业现场环境基础设施映射或重构,通过专用的物理基础设施来进行仿真。其优点是具有显著的场景复杂度和模拟逼真度,而缺点则是投资成本巨大,属于重资产类型投资。混合靶场技术由上述模拟靶场技术、叠加靶场技术、仿真靶场技术三种靶场技术组合产生,在充分考虑场景复杂度、模拟逼真度的同时,还能平衡投资成本。
工业控制系统的本质是感知和控制工业现场的物理环境。工业网络靶场为了解决工业现场环境仿真建模面临的资产、网络、交互效应等场景复杂度、模拟逼真度等问题,采用混合靶场技术,利用工业现场环境特征,基于信息环境典型模型将工业现场环境分为物理域、信息域和认知域三层架构,对应的建模模型也分为物理域模型、信息域模型和认知域模型三层架构模型,工业网络靶场以上述三层架构模型构建了靶场工业仿真建模框架。
图2-1 靶场工业仿真建模框架
靶场工业仿真建模框架分为三层,分别对应物理域模型、信息域模型和认知域模型,每个域都有基于工业现场环境相应的仿真建模模型。这些模型通过抽象真实工业现场环境中的要素提取静态和动态信息,映射为一个相对的模型,并根据真实工业现场环境间的要素的关联关系,确定模型间发生交互的可能性,使交互的发生符合客观规律。在此基础上,再依靠真实工业现场环境的执行动作和交互关系在靶场仿真建模空间中进行映射和反应。
物理域模型描述的是在工业现场环境中存在的物理实体环境。该环境是实现工业现场物料的产生、输送、分配和使用等过程的物理生产过程。物理域模型包括工业领域典型的控制器、传感器、执行器等设备模型以及由此构建的数字孪生模型,这是整个网络靶场仿真模拟逼真度的基础,也是工业现场环境区别于其他仿真场景的特征所在。物理域模型具有动态结构特征,在高度模拟逼真度的要求下,物理间的客观反应很难通过纯程序仿真或数字建模的方式表现出来。
信息域模型是描述与工业现场环境中信息相关的模型。该模型是保障工业物理实体环境可靠、稳定、安全,保障经济运行的生产控制,保障企业及管理部门的信息管理与决策过程正常运转。信息域模型包括信息流模型、虚拟化模型、网络模型等各种信息化形式。信息域模型仿真让仿真建模环境的使用者像在工业现场环境中使用信息化/工业化系统组件一样,具有相同的网络拓扑结构、网络行为特征和软件过程。
认知域模型是描述与工业现场环境中行为与交互相关的模型。该模型表现工业现场环境中人类行为的活动与交互模式,是保证工业现场环境模拟逼真度和场景复杂度的重要指标。认知域模型根据工业现场环境人类活动及行为映射作为具体角色模型,创建能够逼真地模仿典型工业现场环境人类行为的活动与行为方式,使得网络靶场使用者无法在靶场建模环境中发现人类和计算机控制活动之间的任何明显差异。认知域模型包含工业现场的生产经营活动、员工日常工作、企业职能部门事务、内外部人类攻击活动等各种认知模型。认知域模型具有动态结构特征,专注于工业现场环境人类能力和行为(例如注意力管理、信息处理、错误操作、认知偏见、社会工程等)的计算模型和工具。认知域模型仿真的是工业现场环境由人、软件、硬件及其相互关系组成的整个人类活动的技术系统。
三、网络靶场还原工业现场环境的具体流程
典型的工业现场环境由几种不同类型的控制系统构成,包括监控数据采集系统(SCADA),分布式控制系统(DCS)和小型控制系统,如可编程逻辑控制器(PLC)等。SCADA系统是以计算机为基础的生产过程控制与调度自动化系统,通常采用客户端/服务器体系,它收集分散在现场的测控信息,并通过网络传送到中央处理器,使客户端的操作人员能够实时监控生产过程或者设备状态,并进行本地或者远程控制,是一种典型的物理信息系统(CPS)。在典型的网络结构上,工业现场环境由企业信息网络、过程控制网络和现场控制网络三部分组成,如图3-1所示。
图3-1 典型工业现场环境架构图
借助靶场工业仿真建模框架,工业网络靶场在还原工业现场环境时,需要调研真实工业现场环境的网络架构、系统应用、工艺流程、运营体系等内容,提取和归纳靶场仿真建模所需的模型要素,为靶场仿真建模提供真实世界的数据支撑。具体的还原方法如下:
(1)物理域模型构建
物理域模型的构建需调研工业现场环境的物理环境,包括工业现场环境的实体因素、工业特征等要素,通过实物等比例复制的方式还原工业现场环境或利用数字孪生技术建模工业现场环境,其中以实现工业现场环境所需的工业控制和反馈流程产生、输送、分配和使用的生产过程为主要复制要素。采用的实物是使用真实的设备构建与真实系统等比例的工业现场设备,采用实物构建的仿真环境非常贴近真实系统的运行模式,能够提供最真实可靠的实验数据,其目的是为了保证靶场仿真建模的模拟逼真度,同时也满足工业现场设备品牌和型号众多,以及软件和协议异构的复杂性等需求。当我们以实物方式进行物理域模型构建时,必须考虑到一个简单的事实:随着真实细节点的增加,模型构建的成本也会增加。因此,需要对各种真实细节点进行成本/效益分析,以确定投资的平衡点,并使这个建模模型和环境足够真实,以达到预期的建模效果。典型实物设备还原物理域模型构建效果如下图所示:
图3-2 典型实物设备还原物理域模型构建效果
随着数字孪生技术的发展,物理域模型的构建技术也采用了数字孪生的构建方法。采用数字孪生构建物理域模型的好处是可利用现有的工业现场物理环境,即通过实网进行数字孪生靶场建设,不必再基于真实设备等比例还原工业现场,可大幅度减少重资产投资,同时还可实时同步工业现场环境的信息,做到虚实互联互动,在场景复杂度和模拟逼真度上也可满足工业现场环境建模要求。
(2)信息域模型构建
信息域模型的构建需调研工业现场环境的信息化系统、工艺控制系统和网络架构等,包括工业现场环境的网络架构、系统应用、工艺流程等要素,通过虚拟化转换及运行方式复制还原工业现场环境信息域模型,其中以实现工业物理环境生产控制系统和信息管理系统为主要复制要素。
工业网络靶场采用“平台+组件+拓扑”的方式还原工业现场环境典型信息模型组件及信息流。首先,基于可视化拓扑编排的软件定义基础架构实现工业现场环境网络组件+拓扑编排,可快速构建、复现、管理、销毁各种典型工业现场环境网络架构。另外,其构建的虚拟工业现场环境信息域模型中包含工业控制层、过程监控层、企业管理层等工业网络层级,通过虚拟化技术及仿真技术重现真实工业现场环境节点及链路。
图3-3 信息域模型构建示意图
在信息域模型层,工业网络靶场还通过虚实互联组网技术同物理域模型进行组网和通信,该技术将工控实物设备和虚拟化场景进行灵活组网构建。虚实互联组网技术可灵活快速构建基于工业实物设备与物理集群的大规模任意拓扑及特征的虚拟网络生成与实物网络的互联互通。信息域模型工控场景是实物网络的虚拟化展示,其规模是在物理域模型基础上的扩展。信息域模型下发操作指令来控制物理域模型,而物理域模型向信息域模型反馈实时数据。物理域模型网络中的专用设备通过虚实互联接入信息域模型网络。
(3)认知域模型构建
认知域模型的构建需调研工业现场环境中与人类角色行为与交互相关的活动,属于一个动态的活动过程。它包括工业现场环境的企业职能部门事务、员工日常工作行为、内外部攻击活动等要素,通过工业现场环境流量镜像及网络靶场NPC(非玩家角色)方式复制还原工业现场环境认知域模型,其中以创建能够逼真地模仿典型工业现场环境人类行为的活动与行为方式为主要建模要素。认知域模型将工业现场环境建模仿真扩展到网络拓扑和物理环境之外,为网络靶场的使用者建立真实的工业现场环境体验。
网络靶场在获取真实工业现场环境的运营体系流程及网络数据流量后,通过数据提取建模,以网络靶场NPC(非玩家角色)代理框架执行,支撑真实工业现场环境提取的无数人物角色模型。这些NPC代表多个真实工业现场环境角色并参与可观察或可交互的大量可能的活动中,比如浏览互联网、创建电子表格等日常办公行为以及恶意的内部访问行为等。根据这些角色模型能够执行的操作,网络靶场NPC代理框架可通过真实工业现场环境的运营策略编排这些NPC执行相应的动作,指定要完成的特定任务,进而在物理域模型和信息域模型之间产生交互和行为流量,通过各个认知域模型角色之间的相互作用,从底层的简单行为产生出整体性的高层行为,实现将工业现场环境的动态人类能力与行为数据复制到靶场仿真建模环境中。
认知域模型的NPC代理框架交互,可以使得靶场建模与仿真模型之间存在交互关联得以复现,并根据真实环境的关联进而传播和反应模型之间的相互作用,通过该模式和方法,仿真的网络交互效应也能很好的通过认知模型对运行和反应进行观察,不仅包括直接造成的,还包括间接造成并在体系中进一步传播开来的效应,还能进一步研究和观察工业现场环境的整体交互和反应机理。
典型的构建认知域模型的技术包括基于Agent代理技术和基于人工智能技术下的机器人流程自动化(RPA)技术。
四、总 结
利用网络靶场还原工业现场环境,本文介绍了采用典型信息模型—物理域模型、信息域模型和认知域模型并构建对应分层模型的方法,通过该框架作为设计和构建足够真实的工业现场仿真环境,能够很好的满足工业领域场景复杂度和模拟逼真度要求。随着信息技术的发展,工业现场环境越来越复杂,和工业现场环境互联的互联网、5G等也需要被模拟以满足客户对场景仿真需求,因此在物理域模型、信息域模型和认知域模型之外,还需要有第四层的模型--社会域模型来建模互联网、5G等内容。
