安帝科技周磊：虚实结合才能做好工业网络靶场

时间：2023-06-12 作者：安帝科技

访谈嘉宾：安帝科技董事长、CEO 周磊
分析师：王剑桥

随着万物互联、工业4.0、IT与OT融合发展的推进，网络安全风险已经逐渐渗透到工业领域的各个方面，给国家的关键基础设施安全带来严重威胁。因此，工业企业迫切需要一种理念先进同时又便捷好用的新方法，来提升工业网络应对威胁攻击的能力。而工业网络靶场的建设，正是帮助企业全面对抗工业网络安全风险挑战的有效手段之一，逐步受到政府主管部门和工业企业的关注。
尽管工业网络靶场的应用需求快速增长，但作为一项创新安全技术，必然会在方案设计、关键技术实现、持续运行以及建设成本等方面面临诸多挑战。为了更好地了解工业网络靶场技术在实际应用中的价值、挑战和发展趋势，本期牛人访谈邀请到工控安全专业厂商安帝科技董事长、CEO周磊，分享其对工业网络靶场未来应用与发展的看法。

周磊：
北京安帝科技有限公司CEO、董事长，毕业于北京大学软件与微电子学院。长期从事计算机应用、网络安全、工业控制系统安全的研究、开发和项目实践，具有丰富的能源行业数字化、网络化与网络安全建设规划与实践经验。拥有工业控制系统安全领域的发明专利20余项。在《信息技术与网络安全》、《工业信息安全》、《中国石油石化》等刊物发表论文、专栏文章多篇。

01
安全牛：
我国工业企业当前面临的主要安全风险有哪些？现有的工控安全防护技术是否能够有效应对这些风险？

周磊：
我们发现目前很多工业企业的实际防护能力与其实际防护需求的差距还是很大。这不仅表现在企业对工控网络安全的意识、投入、价值认知上，还表现在对理念、技术、管理、文化的墨守成规。

从安全理念上看，很多工业企业还是以威胁、以数据为中心，期望靠纵深防御、靠物理隔离御敌于内部网络之外，缺乏以工业风险为中心的安全探索。从技术应用上看，工业企业的安全建设口号喊得多，创新技术乏善可陈，很多用户的工控安全建设还是为了合规，工控安全设备并没有真的用起来。

首先，很多工业设备的可见性不足。OT网的设备可见性是远低于IT网的，我们常说“你永远无法保护你都看不见的东西”，就是这个道理。OT资产不可见、OT网络不可管、攻击面不收敛，网络风险可防可控就是无源之水、无本之木。

其次，现在工控网络安全解决方案水土不服。目前很多工控安全企业还是在基于Windows系统、IP网做防护工作。而在工控网络中，特别是L0层，已经不是传统的以太网环境，而是串口方式链接。真正的工控网络攻击，是从IT网进来把DMZ穿过去，要造成的后果是要达到L1或L0的执行设备、控制设备，这一侧的安全目前大家还没有重视起来。因此，仅用互联网的防护思维来防护OT网是不够的。

再次，是认知和文化的巨大差异。自动化工程师关注功能安全，而安全工程师关注于网络安全，这是不同的。如果这种认知存在差异，那OT的安全问题也是不能解决的。所以很多工控安全企业都开始强调融合的安全，即将IT安全和OT安全融合。当然这个过程是漫长涉及及到人员、技术、流程、文化等多个方面。

最后，OT网络和IT网络的安全目标不同。安帝科技认为OT网络安全目标应该要设定为任务弹性、业务弹性、网络弹性这个层面。OT网络安全问题主要是工程问题而不是计算机科学问题，本质是落实在物理设备行为上，比如执行器、控制器、传感器等。工程问题要用工程化的思维去解决，而现在想要通过建立一个新的安全系统去保护旧的业务系统，这肯定是不对的，这就是我们所说的需要原生安全的理念。

02
安全牛：
工业网络靶场是一种主动型的防御技术，这项技术会对当前以被动防护为主的工控安全防护现状带来什么改变和影响？

周磊：
在NIST发布的网络安全框架2.0（CSF2.0）中，在传统的IPDRR模型里增加了治理（Govern），即包括治理、识别、保护、检测、响应和恢复。安帝科技在工业网络靶场产品规划时，就是在建设防护体系之前加一个预防的工作，丰富了整个安全防护模型。

我们认为，工控靶场当前的一个主要应用目标是提升用户认知。目前相对来讲，工业安全是偏保守的，而建设工业靶场就是要解决客户、企业对工控安全的认知问题，认知问题的解决一定要有场景感和代入感，可以让对方看到对手是从哪里攻的、怎么攻进来的，怎么立足、怎么施加影响产生后果的，重点要看到可能产生的物理影响后果（比如对人、设备、环境的恶劣影响）。工业环境对生产安全的要求非常高，所以要用一些仿真和虚拟化的手段去做一些相应的虚拟场景来教育/唤醒用户。工业网络靶场的其它应用场景还包括一些科研机构、教育机构，用来验证科研成果、技术方案、产品能力的真实性和可用性。

03
安全牛：
和传统网络安全靶场相比，工业网络靶场在技术上的主要差异点在哪儿？

周磊：
工业网络靶场和传统安全靶场最大的差异点在于场景，传统靶场的重点主要放在对抗和竞赛上。场景的不同，导致了大家在建设靶场时投入方向不同。比如关基防护场景中，传统靶场会将攻击场景模拟的终极目标设为攻陷上位机，实施对工业设备操控，后续攻击仅能通过相对粗糙的模拟来实现效果的展示，因为他们不擅长对工控设备本身的模拟或仿真。

工业网络靶场则需要对各种过程传感器（测量压力、水平、流量、温度、电压电流、电机转速频率、化学成分）、控制器、执行器、驱动器、定位器和分析仪这类现场设备，甚至阀门、闸等具体的执行设备进行仿真，核心建设要求在于其能够提供高度真实、可定制和可扩展的工业控制系统仿真环境，并配备了各种攻击和防御工具和技术，以帮助企业进行全面的安全培训、方案验证和攻防演练。相比传统靶场，工控靶场需要在对工业系统的上做得更深入，包括模拟各种真实工业控制系统、实现数字孪生并将工控系统的安全态势可视化。

这里有三个关键词，模拟、仿真、虚拟化，不同的理解造成了当前工控靶场的实现或解读的不同。我们认为模拟（simulation），是模拟出原系统的一个抽象模型，不需要真的去做真实系统的事情。仿真（emulation），仿造一个原系统的模型，要真正去做真实系统能做的事情。模拟侧重于软件，强调过程；仿真侧重于硬件，依赖于计算机和模拟器。这两个概念有联系也有区别，容易混为一谈。

而工业网络靶场建设中的虚拟化，泛指对工业设备的虚拟化，比如PLC虚拟化。但一个简单的软件PLC或安装在虚拟机里的PLC软件并不能算PLC虚拟化。我们认为PLC虚拟化是指将传统专用的PLC硬件功能解耦，利用软件化的方法和通用的标准模块化硬件仿真或模拟，看起来和行为类似于特定PLC硬件的系统。从这点上看，PLC生产商具备这方面的能力。

04
安全牛：
目前工业网络靶场技术的实际应用程度如何？目前主要的建设和应用难点是什么？

周磊：
靶场相当于是对整个生产系统上重建了一个仿真系统，不会对原来的系统造成任何的影响，有些用户会担忧这个系统会不会对原有的网络系统和性能产生影响，靶场不存在这个问题，因为靶场更多解决的是认知层面的问题，所以靶场的接受度远比工控的安全防御系统接受度更高。目前，工控靶场的市场主要受众是科研院所、军工企业、航天系统、卫星互联网，这些需求呈持续旺盛的状态。

同时，我们看到有很多工业企业用户，也开始使用工控靶场，比如电厂、电网，好多电力企业、研究院所已经建立了这样的靶场。但现阶段大家对工业靶场的应用效果还不是很满意，核心原因是安全厂商对甲方业务并没有真正理解，这其中有历史原因，但关键是一些安全厂商不愿意投入资源去学习甲方的业务。

我们看到，目前一些工业网络靶场产品过于依赖虚拟化技术，尽管这是技术快速发展的红利，但仅通过虚拟化技术，很难构建真正有效的工业网络靶场，特别是在很多非军事化的应用场景下。因此，安帝科技一直依赖坚持虚实结合的工业靶场技术理念，也是借鉴了国际上先进国家的建设经验。例如，目前美国的工业靶场基本都是按虚实结合的模式建设的。而一项研究数据显示，研究人员对数十个国家地区的61个工业网络靶场调研后发现，95%以上的工业靶场都是出于安全性目的而构建，其中有22个是虚实混合型的，另外有18个是以纯物理方式构建的。

05
安全牛：
工业企业在选择工业网络靶场产品的时候应该重点关注哪些因素？

周磊：
我们认为，工业企业在选型工业网络靶场时，应该重点关注以下方面：

第一个最重要的评价指标就是对真实生产环境的仿真程度；仿真度评价的标准是要与真实的生产场景保持一致性，同时也能反应出差异性在哪里，这需要根据行业的情况建立一个科学评判的指标体系。

第二个就是可重复性，同样的实验在靶场中是否能保证得出一致性的结果？有的靶场因为在虚拟环境上运行的，无法保障这次的结果和上一次的结果存在一致性。

第三个是灵活性，靶场在建设完成后是否能根据用户的需求变化灵活扩展，能够增加一些设备，能够连一些设备等。

第四个是凸显工业属性，即对工业协议、工业设备仿真/模拟的积累，比如对西门子、施耐德、ABB、罗克韦尔等主流厂商自动化设备能够支持多少？

最后就是一个成本效益问题，就是将上边的主要关注点和靶场建设成本进行平衡。

06
安全牛：
您认为当前工控靶场技术应用的主要挑战是什么？未来工控靶场的发展方向在哪里？

周磊：
目前，工控靶场技术的主要不足就在于仿真度上，仿真出来的系统跟真实系统之间的差异到底在哪里？目前没有一个科学的指标进行评判。原因有两点，首先是我们的靶场没有办法仿真/模拟大型设备，这是工业设备的技术壁垒问题；第二个不足就是整个业务流程的仿真/模拟，懂安全的人又不知道工控的业务流程是什么，因此难以模拟，所以工控靶场还是需要长期的积累。

随着国家网络空间安全战略的深入推进，工业网络靶场的研究和建设将更加成熟丰富，满足关基防护各方的不同需求，同时推动工业网络靶场相关技术的演进发展。工业网络靶场在网络安全人才教育培训、系统设备测试与检验、安全新技术评估与验证、防御体系制定与推演以及系统效能分析与评估方面发挥着愈来愈重要的作用。

——————————————
未来工业网络靶场的发展，不仅表现在技术层面和应用层面的变化，还会体现在需求层面的变化。比如IoT靶场、卫星互联网靶场、CPS靶场、军工制造靶场、海事船舶仿真靶场等等，满足物联网、卫星互联、军事航天、航海等多层次的网络安全能力发展需求。随着数字孪生、SDN、NFV等技术研究的深入和应用的成熟，工业网络靶场将具备精确复制真实攻防现场的全场景仿真能力、持续保持实战训练的仿真环境快速搭建和便捷维护能力、强调网络实战与对抗的多角色协同演练能力、提升作战训练效能的高阶自动化操作能力，以及实现功能与业务价值转化的系统自助式运营能力。