基于數字孿生的水務工業控制系統攻防驗證技術*

陳 升，宗志鋒，倪 華，黃非易，劉 虹

(1.上海市水務信息中心，上海200050；2.上海工業控制安全創新科技有限公司，上海200085；3.華東師范大學 軟件工程學院，上海200062)

0 引言

工業控制系統(簡稱“工控系統”)是國家實施制造強國和網絡強國戰略的重要保障，對于維護工業生產秩序、確保工業生產安全、促進兩化融合健康發展具有重要意義。作為國家關鍵基礎設施和網絡空間安全的重要組成部分，工控系統是能源電力、軌道交通、鋼鐵石化等重點領域的神經中樞。全球范圍的工控系統面臨日趨嚴峻的網絡安全形勢，特別是與民生緊密相關的城市關鍵基礎設施系統成為黑客攻擊的“重災區”。2020年，美國、以色列、中國都發生了水務系統安全攻擊事件，造成水廠控制系統遭受破壞，相關城市用水安全影響社會經濟運行和數千萬人工作生活。2021年2月，美國佛羅里達州水處理廠工控系統受到網絡攻擊，導致飲用水化學成分改變，嚴重影響居民用水安全和社會穩定。

由于“工控現場設備不能碰、工控網絡環境不能改動、工控系統安全隱患分析不充分”等痛點問題，迫切需要搭建面向特定行業的工控安全仿真驗證環境，實現工控安全問題充分暴露、安全隱患充分驗證，防患于未然。傳統仿真驗證技術側重于硬件工藝模擬復現，缺乏“極端場景安全驗證”和“安全和業務實時聯動性”能力，難以滿足工業現場安全應急需求。

數字孿生被國際著名的Gartner連續三年評為“未來10大戰略性技術發展趨勢”，其利用物理模型機制、場景仿真驗證、實時交互數據實現虛擬數字空間與物理現實空間的關聯映射，進而實現全生命周期的感知、診斷、預測等功能，將成為未來工業互聯網安全領域的關鍵共性支撐技術[1-3]。數字孿生通過實時感知、診斷、預測現場狀態，成為助力工控安全仿真驗證的新興技術手段。

本文構建面向水務制水典型工藝流程的數字孿生機理模型，建立水務系統數字孿生仿真驗證試驗床，實現水務系統典型工藝全要素數據的安全分析與輔助決策，為后續建立水務行業工藝流程與安全要素“實時交互聯動性”，輔助開展“極端情況安全場景”仿真驗證提供技術支持。

1 水務制水工藝機理及流程體系

本項目實現水務制水典型工藝流程的設計實現，根據傳統自來水廠水務處理工藝流程，本文將流程簡化，如圖1所示。并結合實際情況，設計將流程體系劃分為原水提升模塊，加藥混凝模塊，沉淀模塊，過濾、氣反沖、水反沖洗模塊，反滲透模塊，消毒模塊等[4-6]。

圖1 傳統水務處理工藝流程

(1)原水提升模塊：攪拌系統利用酸堿度值和濁度探頭測量原水箱內水質，將原水混合均勻后利用提升泵將水提升至高液位進入后續處理工藝流程。通過電磁流量計實時測量水位和流量，實現將電磁流量計信號反饋到變頻器，進而實現對提升泵的轉速控制以及流量調節。其中，原水箱內安裝超聲波液位計，用于檢測原水箱內水位，當原水箱內水位低于設定安全液位時，實現提升泵自動停止，避免因原水不足造成泵空轉及燒泵等情況。

(2)加藥混凝模塊：加藥模塊包括堿液箱、聚合氯化鋁PAC箱和聚丙烯酰胺PAM箱。將原水調節PH值至微堿性，通過計量泵投加PAC和PAM等化學藥劑，并經管道混合器混合均勻后與細微懸浮物以及膠體污染物形成礬花，之后進入沉淀模塊進行沉淀。通過在藥箱安裝攪拌器實現對原藥液的均勻混合，并安裝超聲波液位計實現低液位自動報警，防止因藥液不足造成流程異常。

(3)沉淀模塊：加藥混凝模塊形成的礬花進入斜板沉淀池后進行重力沉降，實現清水從斜板縫隙上升流出，雜質污染物與清水分離，進一步進入中間水箱原水進行投藥、混合、反應等過程。其中水中懸浮物變成較大的絮凝體，由于該絮凝體顆粒比重大于水，使得沉淀從水中分離出來。采用斜板沉淀池和集水槽工藝，實現斜管沉淀池的出水系統出水均勻。其中平流式沉淀池具有適應性強、處理效果穩定和排泥效果好等優點，但是占地面積較大。斜板沉淀池因采用斜板組件，實現沉淀效率大大提高，處理效果比平流沉淀池好。

(4)過濾、氣反沖、水反沖洗模塊：中間水下水經由濾池提升泵提升至濾柱內進行過濾處理，濾柱采用石英砂進行過濾處理，主要用于去除水中呈分散懸浮態的無機質和有機質粒子，包括各種浮游生物、細菌、濾過性病毒與漂浮油、乳化油等。反洗泵抽取清水箱內水進行反沖洗操作，水流經底部反向通過濾池，沖洗掉濾料中的堵塞物質，以便濾柱進行更好的處理。空壓機將壓縮空氣壓入濾池，利用上升空氣氣泡產生的振動和擦洗作用，將附著于濾料表面的雜質清除下來并使之懸浮于水中，然后用水反沖把雜質排出池外。壓縮空氣通過緩沖罐貯存氣體來提供穩定壓力。

(5)反滲透模塊：反滲透具有深度處理工藝，能夠有效去除水中鈣、鎂、細菌、有機物、無機物、金屬離子和放射性物質等，經過該裝置凈化出的水可以直接飲用。

(6)消毒模塊：氯氣具有較強的滅殺病原體的作用，使用時不易水解，不受其他因素影響，能夠高效去除水中鐵錳離子及細菌，具有良好的消毒作用。

2 基于數字孿生的制水工藝仿真建模

2.1 物理虛擬環境及孿生控制環境搭建

利用數字孿生建模工具實現水務制水工藝流程工業機理的建模，實現將物理空間的制水系統數字虛擬化到數字孿生平臺[7-8]。通過將管道、水泵、電機、加藥等作為層對象，實現工業場景協同聯動。其中主要涉及的物理實體包括繼電器、PLC、斷路器、電氣線路、電機、電磁閥、溫度傳感器、液位傳感器等檢測設備、控制器和執行機構。將各個傳感器、控制器、執行器等進行結構化處理及屬性狀態標識。

水務制水工藝流程包括原水消毒加藥絮凝、沉淀、過濾、消毒、水質監測等。以管道為載體代表網線，聯網設備作為節點或終端(包括交換機)。通過將網絡數據包轉化為管道中的水分子，實現每個數據包流向的可視化表達。

2.2 數據驅動的數字孿生仿真建模

數據驅動的數字孿生仿真建模實現了對過去、當前、將來工藝數據和安全態勢的建模，結合設備故障模型實現信息安全攻防驗證功能[9-11]。

針對過去數據仿真，利用歷史數據精準還原歷史交互場景，實現工控設備運行狀態的監測分析。針對當前數據仿真，實現完全將物理世界的生產環境虛擬到數字環境中，利用網絡傳輸，解除了地理位置的限制。針對將來數據仿真，基于歷史數據，結合當前數據，構建數據分析模型，為生產環境中各種設備可能存在的安全風險提供預警策略。

結合以上需求，搭建水務制水工藝數字孿生仿真模型，如圖2所示。該建模與現實物理實驗環境完全一致，并實時監控數據，實現動態更新。

圖2 水務制水工藝數字孿生仿真建模

本文設計設備故障模型，實現對物理實驗環境可能出現的供水管路缺水、設備異常、各電動機過載跳閘等異常進行模擬，利用數字孿生系統展示所有可感知的故障類型，并在“數據孿生體”中進行實時展示。該模型支持設備故障報警和上下限報警，實時展示制水過程中的告警信息，可查詢歷史告警信息，并可設置告警消除規則。

3 面向功能安全和信息安全聯動的攻防驗證

3.1 安全攻防驗證場景構建

本文構建基于網絡硬件防護設備和數字孿生攻防模擬的協同報警機制，通過雙重安全防護機制實現安全保障。其中，硬件防護主要包括四個層次：(1)服務器啟動防火墻保護，區域邊界隔離，避免病毒擴散；(2)隔離主要控制器，阻止對控制器的任何非法訪問及控制；(3)保護關鍵工業控制設備，防止來自上層信息網或其他區域威脅；(4)阻斷上層網絡的威脅，隔離PLC傳感器與信息網，阻止來自數據采集端的信息網的威脅。

數字孿生仿真建模平臺可以模擬被攻擊后的安全防護及應急響應流程，按照預定義的業務邏輯和安全策略啟動告警信號。主要支持的攻擊方式包括9個方面，主要作用點如圖3所示。

圖3 攻擊方式作用點

(1)攻擊一：針對①原水池進行攻擊，對原水水位傳感器上傳水位信息進行修改。

(2)攻擊二：對②水泵進行攻擊，修改輸出功率。

(3)攻擊三：針對混凝模塊，對③加藥裝置進行攻擊，導致加藥量改變。

(4)攻擊四：針對沉淀模塊，對④沉淀池進行攻擊，修改液位傳感器輸出。

(5)攻擊五：針對過濾模塊，對⑤水質監控設備進行攻擊，修改當前水質參數。

(6)攻擊六：針對消毒模塊，對⑥消毒池進行攻擊，修改消毒液的加入量。

(7)攻擊七：對⑦水質綜合檢測系統進行攻擊，修改檢測到的水質參數。

(8)攻擊八：針對水質進行攻擊，修改混凝模塊中③加藥裝置的參數，修改⑤水質監控和⑦水質綜合檢測系統，導致最終經過制水工藝的水質污染而不會被上位機監控系統發現。

(9)攻擊九：對②水泵進行攻擊，固定①原水池中水位傳感器輸出，使系統認為原水充足，增大水泵輸出功率，讓水泵不停地工作，最終使得水泵電機燒壞。

3.2 信息攻擊及功能安全危害聯動分析

3.1節介紹了安全攻防驗證場景的構建及根據場景構建所支持的9種攻擊方式。其中網絡攻擊和系統漏洞攻擊是主要的攻擊方式。目前網絡攻擊中主要為ARP攻擊及利用網絡協議缺陷來對目標系統侵害的攻擊。而系統漏洞則根據當前數字孿生系統的部署環境，利用Windows 7系統的漏洞來進行攻擊。下面將分析相應攻擊的原理及手段，并進行比較[12-15]。

(1)利用ARP中間人欺騙原理，對指定的聯網設備進行斷網攻擊(輸入指定的IP地址)。主要步驟包括：打開水務系統終端，并在終端輸入命令：

輸入命令成功，PLC宕機后可觀察組態王數據全部丟失。

(2)利用Ethernet/IP協議缺陷，對指定環境中的PLC進行關停攻擊。

通過打開水務系統終端，修改堿液箱攪拌速率。運行以下命令：

其中xx為要改變的數值，此操作要在堿液箱攪拌開啟的狀態下運行。當修改完成后若數值超出了設備閾值，數字孿生系統中攪拌電機會發煙和告警。

修改原水提升泵轉速，運行以下命令：

其中xx為要改變的數值，此操作要在原水提升泵開啟的狀態下運行。當修改完成后若數值超出了設備閾值，數字孿生系統中提升泵會發煙和告警。

(3)針對流量和壓力傳感器，利用Windows 7系統漏洞，接管上位機，讓上位系統與現場儀表數據不一致，進行數據篡改，從而間接管控整個自動化控制系統。

針對上述三種攻擊，進行多次實驗，可發現隨著時間的增加，三種攻擊的成功率均有所提升，成功率隨時間變化如圖4所示。分析可發現ARP攻擊和PLC宕機攻擊相比于Windows 7漏洞攻擊的成功率相對較高。由此可見，網絡攻擊相對系統漏洞依舊是工業控制系統安全的主要安全隱患。

圖4 三種攻擊的成功率隨時間變化圖

4 結論

本文利用數字孿生新興技術，實現了水務制水工藝流程和工業機理的仿真建模。通過搭建水務系統數字孿生仿真驗證試驗床，提出了面向水務工控系統功能安全和信息安全聯動的攻防驗證技術，為保障工業互聯網場景下水務行業工業控制系統安全提供技術參考。本文搭建的水務系統數字孿生仿真驗證試驗床，實現了水務系統典型工藝全要素數據的安全分析與輔助決策，以及為后續建立水務行業工藝流程與安全要素實時交互聯動性，輔助開展極端情況下安全場景仿真驗證提供參考。