工控網絡安全靶場異構資源建模封裝技術研究

杜 林，朱俊虎，白永強

（1.32085 部隊，北京 100000；2.戰略支援部隊信息工程大學，河南 鄭州 450001）

0 引言

當前，以工業互聯網及其工業控制系統為重點的關鍵信息基礎設施面臨嚴峻的網絡安全威脅。在經歷烏克蘭電站遭黑客攻擊大范圍停電[1]、以色列塔爾半導體代工廠遭網絡攻擊導致暫停了部分服務器和設施、日本豐田供應商遭網絡攻擊導致14 家日本工廠全部停工[2]等一系列針對互聯網及其工業控制系統的攻擊后，各國都開始重視關鍵基礎設施的網絡安全情況，圍繞工業互聯網及其工業控制系統安全的工控網絡安全靶場建設變得更加緊迫和必要。建設工控網絡安全靶場，對技術驗證、網絡武器試驗、攻防對抗演練和網絡風險評估[3]等方面具有重要意義。當前工控網絡安全靶場的管控對象包括大量的硬件資源，這些硬件資源種類多樣，工控接口協議和標準不同，缺少對實物設備的管理策略和描述方法，試驗資源管控效率低、復用效果差、靶場自動化運用差。因此需要有一個統一標準規范對各類資源進行管理和配置。通過對異構資源建模與封裝，實現工控網絡安全靶場資源復用和快速重構，提升工控網絡靶場管理控制能力和應用效益，為國家工業網絡安全發展、經濟發展和國家整體安全貢獻重要力量。

1 研究現狀

工控網絡安全靶場建設是個復雜的系統工程，其基礎平臺的實現可以分為全實物復制、半實物仿真、全軟件仿真、仿真模擬相結合4 種方式。全實物復制測試平臺是指通過實物復制的方式，利用與實際工業系統的相同實物設備，構建一個與真實網絡相近的大型工業互聯網測試環境。比如美國的愛達荷國家實驗室的全實物復制測試平臺就構建了一個完整的電網SCADA 系統[4]，它可以用于進行工業控制系統的脆弱性評估和風險評估。半實物仿真測試平臺采用虛實結合的方法，在信息層通過仿真軟件來模擬，在物理層采用真實的物理硬件設備。軟件聯合仿真測試平臺完全使用軟件仿真技術構建測試環境，包括基礎網絡仿真、實物仿真和虛擬機仿真等。仿真與模擬相結合的混合結構測試平臺在物理層采用軟件建模仿真，在信息層采用部分真實或模擬的物理設備或軟件系統。

上面介紹的半實物仿真、全軟件仿真、仿真模擬相結合這3 種基礎仿真平臺的構設，主要需要解決仿真平臺與實物設備互聯、虛實協議轉換、實物設備狀態參數在仿真平臺中的映射等問題，目前有很多研究工作提供支撐。例如美國國防部針對建模與仿真領域發布的通用高級體系結構（High Level Architecture，HLA）[5]和針對試驗與訓練領域開發的試驗訓練使能體系結構（Test and Training Enabling Architecture，TENA）[6?7]，提供了虛擬試驗平臺建模仿真的一系列標準。在國內，科研人員圍繞HLA 和TENA 也開展了大量研究工作。國防科技大學的韓文彬設計了一種HLA 對象模型開發工具(OMT)[8]，北京航空航天大學的邸彥強設計了面向HLA的通用SOM 實現框架HLAport[9]，哈爾濱工業大學的樊龍借鑒美軍的TENA 開發出了HIT-TENA 資源封裝工具[10]。韓其濤[11]、王曉娟[12]、鄧舒予[13]則在實物接入仿真平臺協議轉換等方面展開了研究。

本課題研究對象工控網絡安全靶場平臺更接近全實物復制測試平臺，靶場平臺中存在大量實物工控設備或軟件，主要需要解決的是大量異構資源的統一管理、靈活管控和場景快速構建。研究的難度表現在“實物型”工控網絡安全靶場存在大量的標準和非標準資源，這些資源類型多樣、數量眾多，管理上自治、地理上分布，每個靶場對同類資源的管理策略和描述方法都不一致，而且這些資源協議體系和通信體制互不相同，異構網絡互聯互通困難，對靶場資源的配置管控和數據采集也就無法實現自動化。這些異構的特性使資源重用和互操作性差、管控變得困難，而在國內目前沒有形成建設工控網絡安全靶場資源模型建立的標準，因此需要有一個統一的、標準的規范對工控網絡安全靶場的異構資源進行建模，從而使得模型復用、重構更為快速和方便。同時建立資源的構件化封裝規范，從而變成可控可管的模擬系統，使工控網絡安全靶場體系更加靈活、更方便擴展，解決在動態的、分布式、異構的環境中實現資源共享與協同工作的問題。

2 資源的建模技術研究

研究面向工控網絡安全靶場異構資源建模技術，通過對試驗資源的分類、描述其核心能力，構建相應的模型，可以解決異構資源的統一描述、統一管控、高效互聯和高效應用問題，實現工控網絡安全靶場資源復用和快速重構。

2.1 資源的分類

工控網絡安全靶場資源體系涵蓋的資源多樣、數目眾多，既包含計算機、防火墻、工業控制設備等資源，也包含數據采集、試驗效果評估等資源，還包含業務訪問等行為資源[14]。不同種類的資源，屬性和特征差別較大，描述方式也區別較大。因此需要對工控網絡安全靶場體系資源進行科學分類。

按照所屬行業領域劃可分為電力、石化、鋼鐵、交通、水利等工業控制領域的各類資源，由于每個工業領域的業務流程、平臺系統工控網絡安全靶場和設備等資源在不同領域內差異較大，按照工業領域劃分工業控制類試驗資源具有更好的可切分性和同類資源的繼承性。按照分系統分類可分為計算機控制系統（Computer Control System,CCS）、分散控制系統（Distributed Control System,DCS）、現場總線控制系統（Fieldbus Control System,FCS）、基于工業以太網的控制系統、基于無線的工控系統、數據采集與監視控制系統（Supervisory Control And Data Axquisition,SCADA），如圖1 所示。

工控網絡安全靶場也可按照物理的存在形式來分，分為硬件資源和軟件資源。

硬件資源里包含上位機、下位機和通信網絡。在上位機中，服務器、工程師站、操作員站等負責發出特定操控指令和接收上報信息；下位機中包含傳感器、執行器、控制器等接收操控指令，上報采集信息，并直接對設備監測、控制；通信網絡主要完成接收設備的連通與現場設備的連接，主要包括工控網關、工業防火墻、路由器、交換機、現場總線以及互聯網的通信子網資源等。軟件資源包含系統軟件、支撐軟件和應用軟件。系統軟件主要包括操作系統和固件等；支撐軟件包括所需的驅動程序、運行庫、數據庫等；應用軟件主要包括組態工具軟件、組態通信軟件、監控組態軟件、設備編程軟件、用戶程序軟件、設備接口通信軟件、設備功能軟件等，如圖2所示。

圖2 按物理存在形式分類

2.2 資源的統一描述

工控網絡安全靶場資源經過分類過后，每一類下的資源都需要進行描述，對資源描述信息的無歧義理解是資源管理、資源組合的基礎。采用面向對象的方法描述的每個資源模型的基本信息、基本屬性、對外接口、功能指標和性能指標等，如圖3 所示。

圖3 工控網絡安全靶場資源統一描述

2.3 資源的建模方法

圍繞著工控網絡安全靶場異構資源，基于模型驅動架構的思想，采用元建模方法對工控網絡安全靶場異構資源進行建模。

元對象機制（Meta Object Reality，MOF）是模型驅動架構中用于詳細闡述構建模型對象、模型的語義、模型間的集成和互操性的一種規范[15]。通過MOF 定義的規則，把模型分為了4 個層次，自上而下依次是元元模型、元模型、原子模型和耦合模型，如圖4 所示。

圖4 模型層次圖

元元模型經過實例化變成元模型，元模型再經過組裝和互操作形成了原子模型或耦合模型。采用元建模方法對資源的建模可主要分為元模型元素定義、原子模型建模、耦合模型建模。原子模型主要是針對簡單的設備級資源或者是設備級資源中功能相對獨立、可復用的資源；耦合模型主要是針對復雜的設備級資源或者平臺級、系統級的資源。

下面以可編程邏輯控制器（Programmable Logic Controller，PLC）為例，介紹工控網絡安全靶場異構資源元建模方法。PLC 作為工控系統一個必要的器件，可以按照指令執行控制各種類型機器的命令，是工控網絡安全靶場是最不可缺少的重要元素之一。對PLC 的內容和具體參數進行簡化，建立模型。首先將工控網絡安全靶場的異構資源分層分類。將傳統的工控系統的劃分為5 層：現場裝置層、過程控制層、生產監控層、經營管理層、企業業務應用層，將網絡分層解耦。PLC 處于第二層，過程控制層。PLC 由電源、中央處理單元（CPU）、存儲器、輸入單元、輸出單元等組成，這些都可以看成是元模型。

下面對PLC 進行原子建模。PLC 原子建模過程包括：（1）命名事物，由字母、數字、漢字、特殊字符組成的字符串，如PLC S7-300/400；（2）建立分類，PLC 屬于硬件資源；（3）尋找關系，父類屬于工業控制類，PLC 組成了SCADA 主機或基本單元；（4）定義特性，CPU 模塊型號、通信模塊型號、RAM 容量、編程語言等。原子建模過程如圖5 所示。

圖5 PLC 原子建模

其次是耦合建模。耦合建模的過程包括：（1）導入模型范式，將前一階段形成的PLC 模型生成模型范式,如在工控系統第三層生產監控層SCADA 可以由PLC 和其他的部分元模型進行導入和組合；（2）建立模型實例和關系，可以完成對模型SCADA、模型的子類型PLC，建立實例化關系。耦合建模過程如圖6 所示。

圖6 PLC 和其他模型建立模型實例

這樣模型抽象為元模型、元元模型并建立統一的描述規范，然后采用“自底向上”的思路，用“堆積木”的方式組合建模。如從最底層的CPU 建立元模型，逐步往上層堆積，就像樂高的積木塊一樣，由最基本的元素進行定義、描述、組裝，進行類的派生或實例重構，形成可快速重構的、敏捷的模型，最終構成整個系統。由于元模型、元元模型的標準是統一的，因此使其具有更好的可重用性，可以大大降低資源建模的工作量。

利用這種工控系統網絡分層解耦的資源建模方法，有利于異構資源的接入和快速靈活的管理配置，能夠把業務邏輯和應用邏輯與底層平臺技術分離，使得各模型之間可以容易地在不同環境下的工具間進行交互。

3 資源的封裝技術研究

在工控網絡安全靶場運行的過程中，大多數情況操作人員無需了解底層的模型和架構，只需能夠操作整體的系統級資源，比如可以遠程采集、管控、配置等。所以在之前介紹的工控資源建模過后，還需要將各類的資源進行模塊化封裝。

對于標準資源的構件封裝，采用插件的技術和思想，開發管控插件和數據采集插件，實現模型的即插即用。對于異構非標準資源或須改造適配的資源，設計代理模塊，完成信息交互格式和接口標準化整形適配功能，需開發管控代理模塊和數據采集代理模塊，將非標的資源封裝為標準的構件。

下面以資源交互接口設計為例，對封裝進行說明。

插件與資源之間的典型交互方式有3 種，如圖7 所示，依據資源的訪問形式進行封裝。

圖7 資源交互結構圖

資源以標準協議的方式提供遠程操作接口，插件直接通過訪問協議對資源進行控制，支持HTTP、HTTPS、Web Service、套接字。

資源的遠程訪問協議不公開。資源訪問控制API 可以是二次集成開發的標準接口，也可以是資源自身的應用軟件，通過管理不公開的資源內部協議，來配置管理資源。此時的封裝即將虛擬化廠商軟件對PLC 的控制做成鏡像封裝，通過控制腳本來控制比如西門子step7編程軟件的執行，來模擬控制，實現資源的啟停、程序的下裝。

資源不提供遠程訪問接口，只提供本地訪問接口，試驗數據需要通過代理進行數據中轉。代理一方面通過連接測試網，一方面通過串口、并口、USB 口、PCIe 等形式連接資源。

4 開發與驗證

本實驗在工控網絡安全靶場建模與封裝系統的測試環境下進行，該測試環境由6 臺高性能服務器組成，基于OpenStack 云計算管理平臺進行資源管理和網絡互聯，并充分利用服務器的計算、存儲、網絡資源，針對大規模計算網絡開展的試驗提供可按需構建虛擬資源、實物資源及仿真網絡環境。

該環境可按照統一的資源模型建模標準，構建工控軟硬件資源的模型，用于支撐靶場資源管理、任務規劃、網絡參數配置、數據采集配置，實現邏輯層面到實體層面映射。同時基于工控網絡安全靶場建模與封裝系統框架，結合工控資源特性，定制開發配置管理插件/代理、數據采集插件/代理等，可接受與反饋命令、完成工控網絡的配置生成和部署、進行數據采集，實現工控資源的統一管控和任務應用。

基于對以上的開發環境和對工業系統分層結構的理解，結合工控網絡安全靶場建模與封裝技術，在開發環境上建立油氣煉化測試場景。

（1）建立模型，可在模型庫中對資源設備進行選擇，若模型庫沒有對應設備，可對設備進行新建分類及描述形成模型模板添加入庫。建好的模型如圖8 所示。

圖8 模型的建立

（2）建立油氣煉化網絡拓撲，通過網頁上的拖拽模型進行拓撲的設計。最上層有化工部、設備部等模擬真實工業控制系統業務部門，這些節點通過核心交換機與另一端有PI 客戶端、PI 服務器相連，作為底層控制網絡和上層管理信息系統的橋梁。下層過程控制層為艾默生Deltav 控制器、工程師站、操作員站，連接現場裝置層的常壓塔、分餾塔、出餾塔等實物資源。這些實物資源通過接口開關柜接受艾默生控制器的控制，如圖9所示。

圖9 油氣煉化場景網絡拓撲示意圖

（3）部署好網絡拓撲圖后，對想定的設備進行配置采集準備。可點擊拓撲中對應的設備，在右側列表中進行相應配置。

（4）當完成每個子任務的配置后，通過排隊、創建網絡、創建終端、校驗終端后，便可開啟場景。

本實驗設計的科目是通過管控插件的啟停接口對艾默生控制器下達運行的指令，完成開啟電機的操作。當下發初始化、開始試驗的指令后，可以發現現場實物設備電機已經開始運轉。數據采集的插件采集實驗數據，經過簡單處理后發送到軟件界面進行顯示。數據采集的軟件界面示意圖如圖10 所示，點擊查看操作可以顯示采集數據。

圖10 數據采集軟件界面示意圖

以上展示了一個完整的對油氣煉化測試場景配置和采集流程，為了避免因單一實驗特殊性對實驗帶來的影響，使用城市水利、油氣管道傳輸等不同的場景測試，模擬了西門子PCS7、艾默生DeltaV、HONEYWELL 等DCS 控制系統，測試封裝了5 種以上的工業協議，均達到了配置管理、啟停、數據采集的要求，證明了本文所提出的建模與封裝技術的有效性。

5 結論

本文提出基于模型驅動架構思想的工控網絡安全靶場資源建模方法，以工控系統為對象，描述真實資源的功能、性能、接口、形態等屬性，描述試驗資源的核心能力，設計一個面向工控網絡安全靶場應用的異構資源模型，對異構資源封裝技術進行了探索。解決工控網絡安全靶場資源種類多、互聯管控難、復用效率低等問題，增加了靶場的靈活性、擴展性和可控性。實現分布式多任務場景靈活接入，提高領域優勢資源利用效率。