基于農(nóng)業(yè)信息安全的虛擬化實(shí)訓(xùn)攻防系統(tǒng)設(shè)計(jì)

摘要：提出一種農(nóng)業(yè)信息網(wǎng)絡(luò)虛擬化實(shí)訓(xùn)平臺(tái)，通過網(wǎng)絡(luò)靶場(chǎng)技術(shù)來對(duì)真實(shí)農(nóng)業(yè)信息化生產(chǎn)過程進(jìn)行模擬，可減少不法分子攻擊農(nóng)業(yè)信息網(wǎng)絡(luò)而帶來的安全問題。首先，基于WEB操作界面提供近似真實(shí)的各種虛擬實(shí)訓(xùn)環(huán)境；其次，可動(dòng)態(tài)地創(chuàng)建虛擬機(jī)以滿足當(dāng)前實(shí)驗(yàn)所需要的節(jié)點(diǎn)數(shù)量；最后，通過對(duì)虛擬機(jī)的靈活部署和動(dòng)態(tài)遷移，形成預(yù)想的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的實(shí)訓(xùn)平臺(tái)。

關(guān)鍵詞：農(nóng)業(yè)信息安全；網(wǎng)絡(luò)靶場(chǎng)；虛擬化平臺(tái)

中圖分類號(hào)：TP309;F323.3" " 文獻(xiàn)標(biāo)識(shí)碼：A" " 文章編號(hào)：1674-1161（2023）05-0054-03

2019年12月，農(nóng)業(yè)農(nóng)村部、中央網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室印發(fā)的《數(shù)字農(nóng)業(yè)農(nóng)村發(fā)展規(guī)劃（2019—2025年）》，著重強(qiáng)調(diào)了數(shù)字技術(shù)在農(nóng)業(yè)生產(chǎn)、農(nóng)村發(fā)展中的重要作用^[1-3]。在此大背景下，以數(shù)字平臺(tái)為代表的各種數(shù)字技術(shù)紛紛應(yīng)用于農(nóng)業(yè)、農(nóng)村。隨著數(shù)字技術(shù)在農(nóng)業(yè)農(nóng)村的不斷應(yīng)用，農(nóng)業(yè)生產(chǎn)運(yùn)行模式也發(fā)生了重大改變。長(zhǎng)期以來，農(nóng)業(yè)被認(rèn)為受到潛在網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)很低，然而，在越來越多的農(nóng)場(chǎng)和食品加工廠采用新技術(shù)來簡(jiǎn)化生產(chǎn)和整合供應(yīng)鏈服務(wù)的大趨勢(shì)下，網(wǎng)絡(luò)犯罪對(duì)農(nóng)業(yè)企業(yè)的威脅日益嚴(yán)重，襲擊事件的數(shù)量正在逐年上升^[4-6]。

1 農(nóng)業(yè)信息網(wǎng)絡(luò)的安全問題

當(dāng)前信息化在各行各業(yè)逐漸成為趨勢(shì)，并取得了不錯(cuò)的效果^[7-10]。農(nóng)業(yè)科技信息是其中的一部分，在網(wǎng)絡(luò)環(huán)境下農(nóng)業(yè)科技信息可以廣泛地進(jìn)行傳播，從而保證農(nóng)業(yè)技術(shù)生產(chǎn)的良好發(fā)展。相比發(fā)達(dá)國家，中國的網(wǎng)絡(luò)技術(shù)開發(fā)起步晚、水平低，網(wǎng)絡(luò)核心安全技術(shù)發(fā)展受限，農(nóng)業(yè)信息網(wǎng)絡(luò)建設(shè)方面存在各種不足，這為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的發(fā)生留下了隱患。主要安全問題有兩個(gè)方面：1）計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用服務(wù)的實(shí)時(shí)性和高可靠性要求，難以直接在業(yè)務(wù)網(wǎng)絡(luò)尤其是生產(chǎn)系統(tǒng)上進(jìn)行網(wǎng)絡(luò)攻防演練和滲透測(cè)試研究；2）運(yùn)維人員存在技能不足的問題，無法對(duì)資產(chǎn)漏洞風(fēng)險(xiǎn)情況提供完善的、全方面的、實(shí)戰(zhàn)性的摸排，缺乏對(duì)存在漏洞或者0 day漏洞實(shí)行風(fēng)險(xiǎn)評(píng)估和威脅預(yù)警的能力。

在此狀況下，提出一種農(nóng)業(yè)信息網(wǎng)絡(luò)虛擬化實(shí)訓(xùn)平臺(tái)，通過網(wǎng)絡(luò)靶場(chǎng)技術(shù)來對(duì)真實(shí)業(yè)務(wù)網(wǎng)絡(luò)特別是生產(chǎn)系統(tǒng)進(jìn)行網(wǎng)絡(luò)攻防演練和滲透測(cè)試研究，從實(shí)戰(zhàn)和運(yùn)維兩個(gè)層面來實(shí)現(xiàn)對(duì)信息系統(tǒng)風(fēng)險(xiǎn)的全程管理，進(jìn)而實(shí)現(xiàn)風(fēng)險(xiǎn)管控，消除漏洞威脅。

2 系統(tǒng)架構(gòu)及布局

2.1 體系架構(gòu)

農(nóng)業(yè)信息網(wǎng)絡(luò)虛擬化實(shí)訓(xùn)攻防平臺(tái)采用分層設(shè)計(jì)理念，從上到下分3個(gè)層級(jí)，即基礎(chǔ)層、中間層、應(yīng)用層。如圖1所示。

基礎(chǔ)層基于超融合云計(jì)算平臺(tái)Gartner HCI（Hyperconverged Infrastructure超融合基礎(chǔ)設(shè)施，簡(jiǎn)稱HCI）定義標(biāo)準(zhǔn)，提供計(jì)算存儲(chǔ)網(wǎng)絡(luò)和安全的虛擬化、多租戶管理及任務(wù)調(diào)度HA（Highly Available高可用性集群，簡(jiǎn)稱HA）等。

中間層在基礎(chǔ)設(shè)施之上模擬出多種設(shè)備和系統(tǒng)，并能夠完全貼近網(wǎng)絡(luò)安全的各應(yīng)用領(lǐng)域，同時(shí)集成各類資源，以服務(wù)總線ESB（Enterprise Service Bus企業(yè)服務(wù)總線，簡(jiǎn)稱ESB）方式向上應(yīng)用層提供服務(wù)支持，能夠?qū)崿F(xiàn)不同服務(wù)之間的通信與整合，支持基于內(nèi)容的路由和過濾，具備復(fù)雜數(shù)據(jù)的傳輸能力，并可以提供一系列的標(biāo)準(zhǔn)接口。

應(yīng)用層向用戶提供各類應(yīng)用服務(wù)。在標(biāo)準(zhǔn)規(guī)范體系方面，產(chǎn)品采用開放的、基于標(biāo)準(zhǔn)的消息機(jī)制，通過簡(jiǎn)單的標(biāo)準(zhǔn)適配器和接口來完成粗粒度應(yīng)用、服務(wù)和其他組件之間的互操作，能夠滿足復(fù)雜場(chǎng)景的編排需求。

2.2 總體布局

虛擬化測(cè)試平臺(tái)能夠?qū)崿F(xiàn)典型的農(nóng)業(yè)信息網(wǎng)絡(luò)場(chǎng)景虛擬化，共有5層，具體涉及到：L0層（控制執(zhí)行層）：場(chǎng)景虛擬化，如農(nóng)業(yè)智能制造現(xiàn)場(chǎng)場(chǎng)景等；L1層（農(nóng)業(yè)控制層）：控制器虛擬化，如控制系統(tǒng)PLC等；L2層（農(nóng)業(yè)監(jiān)控層）：監(jiān)控層虛擬化，如組態(tài)軟件WinCC，IFIX等；L3層（農(nóng)業(yè)信息層）：信息層虛擬化，如OPC客戶端（WinCC等軟件監(jiān)控版）等；L4層（企業(yè)IT層）：IT層虛擬化，如各類主機(jī)虛擬化、OA辦公應(yīng)用虛擬化等。

虛擬化平臺(tái)的搭建，能夠?qū)o限接近真實(shí)環(huán)境的農(nóng)業(yè)系統(tǒng)（包括農(nóng)業(yè)場(chǎng)景、控制系統(tǒng)、監(jiān)控上位機(jī)、控制協(xié)議、控制信息層、管理信息層）進(jìn)行虛擬化仿真。相比較于目前所采用部分場(chǎng)景虛擬化技術(shù)的現(xiàn)狀，這種虛擬化搭建更注重全場(chǎng)景的虛擬化，能夠在一組（臺(tái)）服務(wù)器陣列中實(shí)現(xiàn)整個(gè)農(nóng)業(yè)信息網(wǎng)絡(luò)場(chǎng)景的虛擬化。

3 系統(tǒng)軟件功能

3.1 用戶權(quán)限體系

農(nóng)業(yè)網(wǎng)絡(luò)虛擬化網(wǎng)絡(luò)空間靶場(chǎng)—自主實(shí)訓(xùn)平臺(tái)，秉承以實(shí)際使用者為目標(biāo)用戶的理念，將系統(tǒng)使用角色主要分為：管理員、教師和普通用戶。靶場(chǎng)所有功能在管理員的管控下完全開放給使用者，并提供用戶權(quán)限理念，從而為用戶在實(shí)際使用過程中，對(duì)物理設(shè)備、基礎(chǔ)靶標(biāo)等內(nèi)容進(jìn)行隱私保護(hù)。

3.2 場(chǎng)景克隆

因行業(yè)的多樣性及特殊性，靶場(chǎng)產(chǎn)品無法囊括所有行業(yè)所需場(chǎng)景。因此，為減少用戶在靶場(chǎng)實(shí)際使用過程中的操作步驟，特設(shè)計(jì)場(chǎng)景克隆功能。此功能可對(duì)靶場(chǎng)內(nèi)部已完成場(chǎng)景進(jìn)行快速克隆，克隆內(nèi)容包括節(jié)點(diǎn)配置及關(guān)聯(lián)關(guān)系，這可為業(yè)務(wù)拓展及使用便利提供相應(yīng)支持。

3.3 實(shí)戰(zhàn)教學(xué)

目前，網(wǎng)絡(luò)安全基礎(chǔ)教學(xué)課件的推廣已經(jīng)極為普及，但隨著實(shí)戰(zhàn)教學(xué)需求的日益增長(zhǎng)，相關(guān)課件內(nèi)容卻極為稀少。為滿足用戶對(duì)實(shí)戰(zhàn)教學(xué)的需求，以靶場(chǎng)內(nèi)置場(chǎng)景為基礎(chǔ)，由專業(yè)的攻擊滲透人員對(duì)攻擊滲透方式進(jìn)行定制化開發(fā)相應(yīng)教學(xué)課件，并將課件嵌入到靶場(chǎng)內(nèi)實(shí)戰(zhàn)教學(xué)當(dāng)中。課件包括錄屏視頻及攻擊指導(dǎo)文檔等操作。

3.4 農(nóng)業(yè)互聯(lián)網(wǎng)拓?fù)湓O(shè)備完整

系統(tǒng)利用虛擬數(shù)據(jù)采集監(jiān)視系統(tǒng)、仿真智能制造系統(tǒng)等來控制流程。設(shè)備層產(chǎn)生生產(chǎn)數(shù)據(jù)；監(jiān)控層監(jiān)控生產(chǎn)數(shù)據(jù)，下發(fā)生產(chǎn)指令，并對(duì)設(shè)備層進(jìn)行安全防護(hù)；管理層提供對(duì)外數(shù)據(jù)接口服務(wù)。用戶可以通過最外層管理層開放的對(duì)外Web服務(wù)接口對(duì)仿真環(huán)境進(jìn)行層層滲透，也可以通過工控安全攻擊架構(gòu)平臺(tái)在系統(tǒng)內(nèi)進(jìn)行攻擊和學(xué)習(xí)。

3.5 多環(huán)境部署

1） 部署云端：利用集群服務(wù)器算力，支持線上比賽；2） 場(chǎng)景獨(dú)立部署：農(nóng)業(yè)信息網(wǎng)絡(luò)虛擬化靶場(chǎng)支持多個(gè)隊(duì)伍同時(shí)擁有自己獨(dú)立的場(chǎng)景。比賽中每個(gè)場(chǎng)景網(wǎng)絡(luò)都可以隔離，實(shí)現(xiàn)并支持并行比賽或攻防實(shí)驗(yàn)。

4 系統(tǒng)演示

所有實(shí)戰(zhàn)演練都在云端部署。通過Web一鍵登錄實(shí)訓(xùn)平臺(tái)，啟動(dòng)云端實(shí)訓(xùn)環(huán)境，可解決機(jī)房、實(shí)驗(yàn)時(shí)間受限的現(xiàn)狀，使實(shí)驗(yàn)具有更高靈活性、自主性。通過對(duì)農(nóng)業(yè)現(xiàn)實(shí)環(huán)境的全虛擬化，系統(tǒng)滿足實(shí)戰(zhàn)應(yīng)用型的網(wǎng)絡(luò)安全攻防及安全人才培養(yǎng)。通過云計(jì)算融合平臺(tái)來為網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)虛擬各種實(shí)訓(xùn)環(huán)境，以攻擊與防護(hù)理論為指導(dǎo)，以全面真實(shí)的網(wǎng)絡(luò)攻防環(huán)境為支撐，以豐富全面的攻防腳本知識(shí)庫為保障，融合了傳統(tǒng)實(shí)驗(yàn)教學(xué)、網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)、網(wǎng)絡(luò)安全演練競(jìng)賽環(huán)境等，可實(shí)現(xiàn)線上選拔、奪旗爭(zhēng)霸、攻防對(duì)抗等多種不同類型的安全競(jìng)技。演練人員可深入實(shí)踐網(wǎng)絡(luò)安全攻防技術(shù)的本質(zhì)，體驗(yàn)網(wǎng)絡(luò)安全攻防實(shí)踐過程。信息安全虛擬化實(shí)訓(xùn)攻防平臺(tái)如圖2所示。

5 結(jié)論

研究提出的一種農(nóng)業(yè)信息化網(wǎng)絡(luò)虛擬化靶場(chǎng)平臺(tái)，主要關(guān)鍵點(diǎn)及創(chuàng)新點(diǎn)有4個(gè)方面：1）每次進(jìn)行靶場(chǎng)實(shí)驗(yàn)前，可動(dòng)態(tài)地創(chuàng)建虛擬機(jī)以滿足當(dāng)前實(shí)驗(yàn)所需要的節(jié)點(diǎn)數(shù)量，并通過對(duì)虛擬機(jī)的靈活部署和動(dòng)態(tài)遷移來形成預(yù)想的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；2）靶場(chǎng)實(shí)驗(yàn)過程中，所有的攻擊效果都被限定在虛擬的靶標(biāo)場(chǎng)景中，對(duì)真實(shí)系統(tǒng)和企業(yè)業(yè)務(wù)沒有任何影響，減少了物理設(shè)備因攻擊而出現(xiàn)故障或損壞而需要增加投入的風(fēng)險(xiǎn)；3）每次實(shí)驗(yàn)結(jié)束時(shí)，動(dòng)態(tài)地掛起或者銷毀虛擬機(jī)，可釋放分配的實(shí)驗(yàn)資源，之后由靶場(chǎng)完整回收并供下次實(shí)驗(yàn)繼續(xù)使用；4）研究人員可以非常方便地在靶場(chǎng)中部署各種不同的攻防場(chǎng)景，反復(fù)演練不同的攻擊和防御手段。

總體來看，農(nóng)業(yè)信息網(wǎng)絡(luò)虛擬化靶場(chǎng)平臺(tái)相當(dāng)于一個(gè)農(nóng)業(yè)信息網(wǎng)絡(luò)虛擬化靶場(chǎng)，能夠?qū)r(nóng)業(yè)生產(chǎn)設(shè)備、控制、網(wǎng)絡(luò)、業(yè)務(wù)數(shù)據(jù)、應(yīng)用進(jìn)行真實(shí)業(yè)務(wù)網(wǎng)絡(luò)的虛擬化仿真模擬，并能在其上進(jìn)行攻防演練以避免對(duì)真實(shí)業(yè)務(wù)網(wǎng)絡(luò)的破壞。其成本低、部署靈活、過程可重復(fù)的特點(diǎn)，成為農(nóng)業(yè)信息網(wǎng)絡(luò)攻防演練和測(cè)實(shí)研究的有效途徑。

參考文獻(xiàn)

[1] 張茂元，黃芷璇，王飛飛.青年流動(dòng)中的鄉(xiāng)村治理危機(jī)及其數(shù)字化應(yīng)對(duì)[J].青年探索，2022（5）：17-26.

[2]農(nóng)業(yè)農(nóng)村部.數(shù)字農(nóng)業(yè)農(nóng)村發(fā)展規(guī)劃（2019—2025年）[EB/OL].（2019-12-25）[2022-10-26].http：//www.gov.cn/zhengce/zhengceku/2020-01/20/content_5470944.htm.

[3] 范月琴，余克非，鄭展望.數(shù)字化農(nóng)業(yè)為加快浙江山區(qū)26縣高質(zhì)量發(fā)展賦能[J].現(xiàn)代農(nóng)機(jī)，2022（5）：3-5.

[4] 網(wǎng)空閑話.被忽視的智慧農(nóng)業(yè)網(wǎng)絡(luò)安全問題：農(nóng)業(yè)面臨日益嚴(yán)重的網(wǎng)絡(luò)威脅[DB/OL].（2021-08-17）[2022-10-26]. https：//www.secrss.com/articles/33524.

[5] 王峰，胡大輝.農(nóng)業(yè)信息系統(tǒng)中的信息安全問題及防范措施[J].廣東農(nóng)業(yè)科學(xué)，2012，39（21）：196-199.

[6] 才豐.農(nóng)業(yè)信息網(wǎng)絡(luò)的安全問題及防范策略[J].農(nóng)業(yè)工程技術(shù)，2022，42（21）：50-51.

[7] 謝蕊.淺析我國智慧農(nóng)業(yè)發(fā)展現(xiàn)狀及戰(zhàn)略目標(biāo)[J].南方農(nóng)業(yè)，2021，15（24）：225-226+229.

[8] 房寶祥.網(wǎng)絡(luò)環(huán)境下農(nóng)業(yè)科技信息安全與對(duì)策[J].廣東蠶業(yè)，2020，54（4）：82-83.

[9] 白小寧，任曉東，宗伏霖.農(nóng)業(yè)網(wǎng)絡(luò)信息安全體系建設(shè)初探[J].農(nóng)藥科學(xué)與管理，2012，33（4）：24-25.

[10] 張蒙蒙，汪來喜.大數(shù)據(jù)驅(qū)動(dòng)智慧農(nóng)業(yè)發(fā)展路徑探析[J].糧食問題研究，2022（5）：12-15.

Design of Virtualization Practical Training Attack and Defense System Based on Agricultural Information Security

YIN Hongyan1， LIU Jinyu2， ZHAO Liang2， CHEN Hongxiu2

（1. College of Information Engineering，Shenyang University，Shenyang 110000， China; 2.Shenyang Institute of Computing Technology Co.， Ltd， Chinese Academy of Sciences， Shenyang 110168， China）

Abstract： A practical training platform of agricultural information network virtualization is proposed to simulate the real agricultural information production process through the network target range technology， it can reduce the security problems caused by criminals attacking the agricultural information network. Firstly， provide realistic virtual practical training environment based on WEB interface; Second， the virtual machine can be created dynamically to meet the number of nodes for current test; Finally， the training platform of expected network topology is formed through flexible deployment and dynamic migration of virtual machine.

Key words： agricultural information security; network range; virtualization platform

收稿日期：2023-03-16

作者簡(jiǎn)介：尹紅艷（1982—），女，碩士，中級(jí)實(shí)驗(yàn)師，從事信息工程方面的研究。