韦婷 陈慧
(广西工业职业技术学院 广西壮族自治区南宁市 530000)
“十四五”规划中三次提及工业互联网[1],工业互联网融合了新一代信息技术与工业制造,成为数字化转型、产业升级的重要抓手。 随着工业互联网创新步伐的加快,互联网与实体经济深度融合,工业系统已从封闭的系统逐渐作为工业互联网系统的一部分,互联互通的同时也把常规意义上的网络、信息、数据安全等面临的威胁与风险引入到工业领域[2]。工业环境面临着前所未有的网络安全挑战。中国工业互联网市场发展报告(IDC)调研发现,工业互联网安全建设受到汽车、石油化工、机械制造等多个行业领域的重视,在网络安全方面的投入涵盖了安全硬件、软件及服务且呈现上升趋势。工业互联网安全是工业互联网健康发展的重要保障、核心底座,是国家基础设施安全的重要部分,加大工业互联网安全技术的研究,应对来自各个层面的安全威胁及攻击具有重要意义。
本文先从《网络安全法》和国家实行的网络安全等级保护制度入手,对工业互联网的安全需求进行分析。《网络安全法》第三十一条,国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。通过分析关键信息基础设施的认定标准,工业互联网主要涉及生产业务类,若发生安全事故,可能会严重损害社会和经济秩序或危害国家安全。从这个认定角度,工业互联网是智能制造时代的关键基础设施。
网络安全等级保护,是我国网络安全保障的基本国策、基本制度、基本策略。等级保护2.0制度是在1.0时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。工业互联网安全不仅涉及传统信息系统、基础信息网络的安全,还重点包括核心的工业控制系统的安全。同时工业4.0的数字化、智能化、网络化特征也决定了工业角度下的工业互联网安全离不开云计算、大数据、物联网、移动互联网等多方面的安全保障。
国家对工业互联网安全的高度重视,且相关机构、企业面临的越来越多、越来越复杂的网络及信息安全问题,使得应急响应工作举足轻重。参考网络安全应急响应的定义,可以把工业互联网安全应急响应理解为,指的是对已经发生或者可能发生的工业互联网安全事件进行监控、分析、协调、处理、保护工业互联网安全的活动。通过应急响应的活动,可以对可能存在的安全问题提前有所准备,以便在遇到突发的工业互联网或者工控安全事件时,将损失和影响降到最低。依据国家《信息技术服务运行维护第3部分:应急响应规范》的要求,应急响应的过程如图1所示,可包括应急准备阶段、监测与预警阶段、应急处置阶段、总结改进阶段共4个阶段。
图1:工业互联网安全应急响应活动阶段
应急准备阶段,完成的标志性成果之一就是应急预案。应急预案中,包含的关键元素包括组织的建立、响应制度的确定,定义应急事件级别,识别、评估、预测在运行维护服务对象及运行维护活动中可能出现的风险。在形成应急预案后,还要进行相应的培训及演练。在这个阶段,为了能够最终能及时响应紧急安全事件,避免难以意料的损失,必须做好充足的准备,才能够应对较短时间内同时发生的很多事务。完善应急准备的阶段工作,可达到“未雨绸缪,事半功倍”的效果。风险评估与分析是该阶段的首要步骤。以某个工业控制系统为例,参考IEC 62264-1的层次结构模型划分,同时将SCADA系统、DCS系统和PLC系统等模型的共性进行分类,可分为5个层级。针对各个层级的资产、威胁、脆弱性基本要素分析,可得到图2。监测与预警阶段,建立工业互联网安全事件报告和通报制度,在接到事件报告后,经过初步核实后,研究分析可能造成的损害程度,提出初步的行动对策。应急处置阶段,采取相关措施抑制工业互联网或工控安全事件影响,避免造成更大的损失。总结改进阶段,分析和总结事件发生的原因、现象,评估损害程度,评审应急响应计划和措施的效果和效率,并给出改进建议。
图2:工业控制系统分层模型与风险分析
“数字孪生”作为当前“元宇宙”的重点概念之一,在2001年被密歇根大学的Michael Grieves博士定义为对所生产的产品的虚拟展现,他在2011年进一步将数字孪生分为真实的物理实体、虚拟数字体、物理实体和虚拟数字体的数据和信息交互接口三大部分。文献[3]把数字孪生列为工业生产过程中的数字等效物,这些等效物可以反映出在物理空间及对应的数字化空间中工业设备的行为和生命周期的状态,为工业生产过程如故障预测、状态检测等提供准确的有价值的决策信息。而数字孪生技术体系层次可分为模型构建层、数据互动层、仿真分析层[4],模型构建层是指建立物理实体的数字化模型或信息建模技术,是创建数字孪生、实现数字孪生的源头和核心技术,也是“数字化”阶段的核心。数据互动层主要是指物理对象和数字对象之间的动态互动,隐含了物理对象之间的互动以及数字对象之间的互动。仿真技术不仅建立物理对象的数字化模型,还要根据当前状态,通过物理学规律和机理来计算、分析和预测物理对象的未来状态。可见,数字化模型、动态互动、分析与预测是数字孪生重点解决的问题及重要特征。
工业互联网安全体系中重点包括设备安全、控制安全、网络安全、数据安全、应用安全。工业互联网把各种智能化设备引入到工业控制系统中,而这些各种工业现场的智能传感器、智能仪表、工业机器人等本身也是带有系统与应用软件,且置于IP化、无线化、组网灵活化复杂网络中,网络安全面临的攻击来源、类型也增多。工业互联网相关应用数量及种类也迅速增长。而对于量大、类多、流动频繁的工业数据的保护难度也是极大的。控制安全中,为了保证工业控制系统的实时性和高可靠性,往往在身份认证、传输加密、授权访问等做了弱化。而工业生产对于业务持续性的需求,使得安全风险挑战更为严峻。
经过两个体系间的融合分析,数字孪生技术的可见性、预见性、数据交互机制等特征,可在工业互联网安全体系中做相应逻辑层次上的应用,如图3所示。工业互联网设备及主机通过数字孪生的实时建模技术,形成对应的数字孪生体,实现设备本身的可见性,并且通过双向映射、动态连接、数据交互,能够预测工业设备未来的状态、生产建设过程状态,实现预见性;数字孪生还能够实现工业控制系统中机器操作的可见性[5],各类工厂及工业环境中设备仪器间关系关联的可见性;实体与数字体间的交互数据则通过适当的接口来实现。对于尚未实际发生的问题或者状况,数字孪生能够支撑虚拟的数据空间当中假设状况的模拟部署,模拟出现实中当前无法创建的条件;数字孪生模型还能对单独的工业设备或者设备集合的行为进行解释和理解,形成一种信息交互及记录机制;数字孪生还能连接后端的业务,形成完整的闭环业务链。
图3:工业互联网安全体系与数字孪生技术特征
工业互联网安全领域的数字孪生应用仍处于起步阶段。2016年,Haruspex网络安全公司应用数字孪生来模拟攻击者的行为。一些研究中心或者机构,例如奥地利的萨尔茨堡研究中心,利用数字孪生模型,结合机器学习行为分析预测安全性、隐私性等问题。2019年Christian和Martin 提出了基于数字孪生的工控系统的状态复制模型,以确保工控系统安全[6]。2020年的美国《空军杂志》提及,美国空军通过GPS IIF卫星的数字孪生模型检测系统的网络安全问题[7]。2020年Murillo和 Rueda提出了一种用于工业控制系统数字孪生体的轻量级访问控制框架,研究了数字孪生技术在工业控制网络安全方面的应用, 使用OpenStack进行概念验证[8]。
对工业互联内复杂的网络架构和运行及安全状况进行数字建模,不仅包含仿真模型数据本身,还包括状态数据、同步数据等,对工业互联网的空间安全状况进行理解与认知,实现工业互联网的空间安全评估,及时开展预测性防护。而不同层次的交互和服务接口,能够支撑持续的评估、预测及攻防演练等,为应急响应的应急准备、监测与预警、应急处置各个重要阶段提供技术应用支撑。
工业互联网安全攻防演练是做好应急准备工作的一个重要方法及手段。构建安全演练的承载空间,即工业互联网安全靶场,则是对真实环境的最大限度的模拟,能够在应急响应事前、事中、事后均能发挥作用,是一种成本低、灵活性强,对实际生产影响小,保证工业企业持续生产且具有安全保障的有效策略。数字孪生技术可以为靶场提供仿真工业互联网复杂网络构建和虚实结合能力。数字孪生技术能够虚拟出各种工业设备的数字孪生体,如一些重要的“资产”,包括应用服务系统、网络与安全设备、网络和协议、虚拟网关设备等。但有的工控设备在无法模拟的情况下,还要把这些设备以及真实运行的网络环境接入到靶场环境中。这就需要通过实现虚实结合,把实体设备和虚拟设备结合到一个网络中,构建更逼真的网络环境。根据需要进行测评或者演练的的工业互联网网络实际部署情况检测和发现原有网络中的风险和漏洞,测试原有安全加固设备的有效性和稳定性,提供修复建议,帮助修复风险,提高系统的安全性。
构建基于数字孪生的工业互联网靶场涉及到的对象不仅有虚拟设备、实体设备及其数字孪生体,还有不同设备与网络实体、数字孪生体之间相互交叉的信息交换。本文提出一种虚实结合多模控制方案,如图4所示,提供虚实结合的多层网络接口,包括虚拟设备与实体设备间的接口,实体设备与其数字孪生体间数据交互的接口,虚拟设备与数字孪生体的交互接口。通过SDN(Software Defined Network)技术、网络功能虚拟化(Network Function Virtualization)等软件控制技术[9],自定义网络路由和传输规则策略,可编程能力使得数据交互控制更加灵活和智能,满足对整个工业互联网架构的调整、扩容或升级的需求。
图4:虚实结合多模控制模型
实体设备包括工控设备、物联网设备、智能终端、工业机器人等工业场景下的资产。虚拟设备包括操作系统靶标、应用系统靶标、网络设备靶标、防护设备靶标、流量控制靶标、虚拟网关靶标等。数字孪生体,即是对实体设备或资产的完整数据元素构建出来的数字孪生体。这些数字孪生体除了包含实体的仿真数据信息,还包括从实体的配置数据和实时状态数据。三类对象包含以下几种逻辑对接:实体与实体之间的对接、数字孪生体与数字孪生体的对接、虚拟设备间的对接、实体与自身的数字孪生体的对接、实体与非自身的数字孪生体的对接、虚拟设备与自身数字孪生体的对接、虚拟设备与非自身孪生体的对接等。本方案实现了把三种对象共同接入到同一个虚拟网络当中,为这三种对象间的数据交互提供网络前提。
这个包含三种对象的虚拟网络架构,通过“软件化”把设备简化为交换机,无需依靠特定的硬件,透明化基础结构的细节,使得网络的功能像软件一样易于管理与更新。相对传统的逻辑控制与数据转发耦合在同一个网络设备当中,基于OpenFlow的SDN技术能够实现交换设备的数据转发层和控制层的分离,改变原本的垂直模型。当网络协议和交换策略进行调整时,可以只需要改动控制层。在交换机上进行数据转发,在控制器上进行数据的转发控制,数据与控制的分离实现了在网络中的软硬件分离以及底层硬件的虚拟化[10]。控制器中可以实现路由、负载均衡及防火墙规则等安全策略,通过指令配置控制对象间的数据流。物理设备的接入可以直接通过交换机的网口接入。创建VLAN网络时,在交换机上配置相应的网口,接入的物理设备只要接入相应的交换网口即实现接入虚拟网络里。无线设备可以通过接入无线AP的形式接入到虚拟网络中,接入的物理设备与平台创建的虚拟机会在同一个VLAN网络中。这种虚实结合的多模控制模式更适应具有大量传感器和机器的工业互联网场景。
对于不同型号的交换机实现不同的驱动包,由Openstack采用插件的方式进行统一调用和管理,Openstack网络模块在启动的时候会自动加载配置的驱动,在创建、删除或者编辑网络的时候,Openstack会通过驱动程序自动在交换机上进行相应的操作,无需再进行手动配置。交换机驱动主要实现了对交换机进行远程管理。驱动程序采用建立在应用层的安全协议SSH进行交换机的远程管理,对传输的数据进行加密,有效防止远程管理的过程中的信息泄露问题。
设计一个文本解析器,对SSH协议命令执行后返回的文本格式信息进行解析。有两种方式对交换机的返回文本内容进行解析,一种是字符串分割,另一种是通过正则表达式。处理程序生成文本块后再进行解析。根据不同数据需求,设计一定的规则,做相应的标记,为数据的下一步有效利用打好基础。文本内容解析成对象之后,返回值即可直接调用和处理。
实体设备、虚拟设备、数字孪生体在这个虚拟结合的多模控制模型方案中实现了虚与实、实与实、虚与虚等对象中的数据交互逻辑通路,灵活扩展网络拓扑、动态配置与部署。方案能支撑动态数据的采集,为态势感知的可视化展示提供数据基础,支撑安全评估、预测性防护等重要的工业互联网安全应急响应活动。构建的虚实结合靶场能够为新的技术和设备、新的安全事件,提供测试和评估的环境,并通过结果反馈促进技术的改进及优化。
工业互联网安全是国家安全战略中重要的一部分。工业互联网安全应急响应是应对工业互联网安全事件的重要策略及活动。工业互联网安全靶场在工业互联网安全应急响应活动的关键环节中,能提供风险识别、预测、评估损害等多个方面的支持。为构建成本更低、适应性更强、虚实融合的工业互联网架构的安全靶场,开展数字孪生技术的应用研究,具有重要的意义。一方面,对工业互联网内的设备、复杂网络架构、运行状态、安全状况等构建数字孪生体;另一方面,探究数字孪生虚实结合技术,提出了一个实现靶场虚实对接及数据管理的虚实结合多模控制方案,解耦控制与数据,灵活扩展靶场中的网络结构及虚拟设备规模,扩充工业互联网安全态势感知的范围,持续支撑工业互联网的空间安全评估、预测性防护、攻防演练等,促进工业互联网安全应急响应方案的改进,不断提升工业互联网安全防护水平。同时,依据该方案搭建的工业互联网安全测试环境和攻防演练靶场,不仅支撑产业技术发展,还用于学校教学、学生实训、学生竞赛、教师科研等,顺应国家重点产业发展对工业互联网安全人才的需求。