隨著5G和萬物互聯(lián)IOT時代的到來，無人駕駛、智能工廠全面普及，人人互聯(lián)、機機互聯(lián)，甚至人機互聯(lián)成為可能，而網(wǎng)絡風險和威脅也與日俱增，漏洞和病毒造成的后果也更加嚴重，尤其是在能源、電力、通信、交通、軍工、智能制造等領域的關鍵信息基礎設施的網(wǎng)絡安全隱患尤為突出。

　　隨著工業(yè)4.0時代的到來，工業(yè)控制系統(tǒng)網(wǎng)絡安全面臨更為艱巨的挑戰(zhàn)。工業(yè)控制系統(tǒng)環(huán)境的復雜性、設備組件的多樣化、工業(yè)協(xié)議的相對封閉性等一系列制約因素。對于工控系統(tǒng)而言，一旦遭到病毒、蠕蟲等入侵，系統(tǒng)將會面臨停機的風險，帶來不可估量的經(jīng)濟損失。因此，對工業(yè)控制系統(tǒng)進行測試、對工控安全進行研究的任務迫在眉睫。

　　近日，安全牛有幸采訪了博智安全科技股份有限公司創(chuàng)始人傅濤，就圍繞軟件定義靶場的建設思路進行了深入交流，以下是主要內(nèi)容：

　　傅濤

　　博智安全創(chuàng)始人

　　博智安全科技股份有限公司董事長

　　工作期間先后主持國家工信部十余項國家省級發(fā)改委和科技部（廳）專項，先后獲得中國人民解放軍科技進步獎1次，江蘇省科技進步獎1次，省優(yōu)秀軟件產(chǎn)品金慧獎6次，南京市優(yōu)秀發(fā)明專利獎1次，南京市科技進步獎5次。

　　個人入選中共中央組織部“萬人計劃”，國家科技部“創(chuàng)新創(chuàng)業(yè)人才”，江蘇省組織部“科技企業(yè)家”，江蘇省經(jīng)信委“產(chǎn)業(yè)教授”，江蘇省“六大人才高峰計劃”，江蘇省“333人才工程計劃”南京市中青年“拔尖人才”，南京市經(jīng)信委“科技創(chuàng)業(yè)家”。

　　安全牛

　　傅總，當前工控安全事件頻發(fā)，我國的工業(yè)基礎設施也遭受到網(wǎng)絡攻擊，工控安全所面臨的威脅不斷加劇，能談談我們該如何應對這些威脅，有什么好的解決方案？

　　傅濤：隨著信息技術迅速發(fā)展，5G的大規(guī)模應用，網(wǎng)絡空間安全已成為世界各國關注的重點。近年來，病毒攻擊事件頻發(fā)。2012年伊朗核電站病毒事件、2015年烏克蘭電力系統(tǒng)被攻擊導致大規(guī)模停電、2018年臺積電受攻擊導致停產(chǎn)等，這些針對工控領域的攻擊對國家正常生產(chǎn)和安全造成了嚴重破壞，其影響和打擊力度不亞于一次中等規(guī)模的戰(zhàn)爭。因此國家重點行業(yè)工控系統(tǒng)安全是亟待解決的關鍵問題，迫切需要深入研究，采取有效措施，扎實突破互聯(lián)網(wǎng)核心技術，掌握“命門”，構(gòu)建可信基礎產(chǎn)品體系，可控重大工程體系，可信賴安全服務體系，支撐重要行業(yè)信息系統(tǒng)的高可靠、高性能和高安全，加快構(gòu)建關鍵信息基礎設施安全保障體系。

　　這里最關鍵的就是要解決“人才+技術”的短板問題，需要政府引導，龍頭主導，企業(yè)參與，產(chǎn)業(yè)鏈聚集，面向工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、互聯(lián)網(wǎng)全場景，虛實結(jié)合模式，打造集仿真實驗、聯(lián)合攻關、孵化驗證、人才培訓、比武競技、測評認證五位一體的國家級綜合網(wǎng)絡安全靶場；構(gòu)建全面工控安全知識圖譜，提供聯(lián)合攻關、創(chuàng)新孵化、仿真實驗、人才培訓和測評認證服務；手把手-教、真刀真槍-比、真實環(huán)境-驗證的技術服務。

　　網(wǎng)絡安全靶場針對不同行業(yè)需要不同的網(wǎng)絡環(huán)境構(gòu)建，運行系統(tǒng)部署，應用程序加載，以及不同的漏洞部署，那么就需要引入軟件定義技術，將軟件邏輯與硬件資源充分解耦，自上而下設計編排，映射資源池，構(gòu)建環(huán)境。其中硬件可以是服務器，路由器，防火墻，工控PLC。同時這些物理資源也可以虛擬化，虛擬路由器、虛擬防火墻這些都是比較成熟的技術。工控PLC虛擬化是將PLC軟件化，協(xié)議也是虛擬化，可以和實際物理PLC一樣，基于IEC61131-3進行控制邏輯設計，生成IEC程序，只是虛擬化PLC是將IEC程序轉(zhuǎn)換成C語言程序，加載的虛擬PLC執(zhí)行，從而完全虛擬與實際物理場景一樣的控制邏輯，做到場景可定義、應用可定義、網(wǎng)絡可定義、系統(tǒng)可定義、漏洞可定義，進而做到覆蓋全行業(yè)場景，全產(chǎn)業(yè)要素，全領域空間的安全實操演訓，從而方便靈活的構(gòu)建安全技術創(chuàng)新孵化體系、安全比武打擂攻防技術體系、安全人才培訓體系、安全測評認證體系，承擔起網(wǎng)絡空間安全領域基于實戰(zhàn)環(huán)境的創(chuàng)新攻關、比武競技、人才培訓、測評認證四大核心功能和任務。

　　安全牛

　　上面您提到“人才+技術”是主要的短板和命門，通過構(gòu)建網(wǎng)絡安全靶場進行人才培養(yǎng)和技術驗證，同時您又提到了軟件定義技術是構(gòu)建網(wǎng)絡安全靶場的關鍵技術，可以做到場景可定義，應用可定義等，這些可定義技術相對于傳統(tǒng)技術有哪些優(yōu)勢，能帶來哪些突破？

　　傅濤：傳統(tǒng)技術是針對某個特定場景的靶場定制開發(fā)對應的功能，、靈活度，、可擴展性都是欠缺的，而軟件定義技術將物理層與邏輯層完全解耦，可以將物理及虛擬資源池化，自上而下定義場景，自由組合功能邏輯按需建立與物理及虛擬資源的映射，具備高度的靈活性和可擴展性。這樣我們就可以深入具體行業(yè)，基于軟件定義技術，結(jié)合安全態(tài)勢感知、主機及流量探針、脆弱性分析、惡意代碼分析等技術，做到不同行業(yè)場景360°全息感知攻防過程，明確攻防意圖，幫助不同行業(yè)客戶合理應對安全事件，將負面影響最小化，培養(yǎng)安全人員技能水平、加強安全網(wǎng)絡環(huán)境建設、提高設施環(huán)境安全防護。

　　軟件定義靶場具有以下幾點核心優(yōu)勢。

　　1、高：目標場景仿真度高，基于場景可定義，可以讓用戶通過拖拉拽的方式定義環(huán)境，配置場景，自動與虛擬資源和物理資源關聯(lián)映射，構(gòu)建出基于用戶意圖的高仿真目標場景。

　　2、強：攻防過程以及結(jié)果感知強，基于高仿真環(huán)境，結(jié)合綜合評估系統(tǒng)，使用豐富的三維態(tài)勢，做到事前、事中、事后的整體綜合評估，全面展示攻防過程、態(tài)勢分析效果。

　　3、智：靶場運維智能化，基于軟件定義分層抽象，軟件業(yè)務邏輯層根據(jù)業(yè)務應用與物理資源層自動建立映射，各層狀態(tài)有機聯(lián)動，自動配置構(gòu)建目前網(wǎng)絡；基于安全分析組件發(fā)現(xiàn)系統(tǒng)安全隱患精準定位目標網(wǎng)元執(zhí)行自動加固，結(jié)合故障分析組件，出現(xiàn)故障節(jié)點通過調(diào)度資源池進行動態(tài)彈縮擴展或者替換自動恢復，從而形成一個自動加固優(yōu)化，自動映射配置，自愈恢復的智能化系統(tǒng)。

　　自動加固和自愈恢復是需要在基于軟件定義層次架構(gòu)下才能實現(xiàn)，對于加固策略的自動執(zhí)行，這需要上層應用邏輯和底層物理資源建立關聯(lián)映射，其狀態(tài)才能有機聯(lián)動，同時基于聯(lián)動的關聯(lián)關系，精準定位執(zhí)行加固策略。對于故障自愈也是一樣，這是一個立體關聯(lián)的模型，任何一個節(jié)點出現(xiàn)故障可以及時發(fā)現(xiàn)，通過調(diào)度資源池進行動態(tài)彈縮擴展或者替換做到自愈。

　　4、寬：靶場覆蓋行業(yè)寬，基于軟件定義技術，用戶可以靈活定義所屬行業(yè)的環(huán)境場景，可以覆蓋傳統(tǒng)網(wǎng)絡靶場、工業(yè)網(wǎng)絡靶場、電信網(wǎng)絡靶場、衛(wèi)星遙感網(wǎng)絡靶場、智能制造靶場、核電控制靶場等多種靶場環(huán)境。軟件定義靶場基于分層抽象架構(gòu)，通過網(wǎng)絡虛擬化，工控系統(tǒng)虛擬化，結(jié)合集群管理、智能運維、資源池化管理等平臺組件，自動構(gòu)建各種工控網(wǎng)絡場景。同時可以通過植入基于意圖的網(wǎng)絡安全分析IBNS，可為客戶提供多維度基于意圖的產(chǎn)品安全測試驗證、攻防對抗訓練、比武競賽、攻防武器的驗證等功能。

　　安全牛

　　那您剛剛還提到過軟件定義靶場可以做到全行業(yè)覆蓋，而工控行業(yè)所涉及面很廣，每個行業(yè)都有特定的專業(yè)背景，全行業(yè)覆蓋的難度可想而知，您可以談談為什么軟件定義靶場能夠做到這種全行業(yè)覆蓋？

　　傅濤：是的，工控行業(yè)非常廣，涉及電力、核電、軌交、汽車制造、糧食加工、化學制藥、金屬礦山等等，我國工控細分領域就多達40多種，要做到全行業(yè)覆蓋的網(wǎng)絡靶場是很困難，而軟件定義技術，虛擬化技術以及虛實結(jié)合技術使得全行業(yè)覆蓋成為可能。

　　首先，從理論上看，通過分層抽象，將物理資源及虛擬資源池化，邏輯層根據(jù)業(yè)務應用進行映射調(diào)度，將業(yè)務功能邏輯抽象封閉，物理層可以自由擴展，上層應用依賴功能抽象邏輯，而不與實際物理或虛擬設備綁定，做到軟件可定義，可編程；基于此這樣的架構(gòu)，產(chǎn)品能夠分層橫向擴展，不斷完善和擴展應用場景和業(yè)務功能。比如對于工控的各個行業(yè)最主要的控制單元就是PLC，我們可以使用實際的PLC產(chǎn)品，也可以虛擬化PLC，納入軟件定義靶場的資源池，這樣就可以針對大部分工控行業(yè)，比如電力、軌交、水處理、化工等行業(yè)，在上層通過拖拉拽方式構(gòu)建工程圖，再基于IEC61131標準進行控制邏輯定義，加載到關聯(lián)映射的PLC上，從而就構(gòu)建出了對應的工控靶場。對于相對復雜的行業(yè)，比如核電行業(yè)，其反應堆、蒸汽發(fā)生器、穩(wěn)壓器、渦輪發(fā)電機、水槽、給水泵、重力棒、冷凝器等，都可以物理仿真或虛擬化，納入資源池，通過軟件定義建立關聯(lián)映射構(gòu)建核電靶場。

　　再從實現(xiàn)方式看，可以通過構(gòu)建一種基于軟件定義靶場的平臺，分為基礎設施、業(yè)務平臺、服務平臺，建立工控行業(yè)靶場標準規(guī)范，打造一種生態(tài)圈，可以容納各行業(yè)環(huán)境、場景、應用、系統(tǒng)、漏洞定義，在該平臺上實現(xiàn)并驗證，結(jié)合全社會力量不斷完善和增強。對于基礎設施主要針對各個行業(yè)所涉及的物理資源進行虛擬化或物理仿真資源化，建立基礎設施資源池。業(yè)務平臺主要針對不用行業(yè)所涉及的業(yè)務邏輯進行封裝組件化，用于上層服務業(yè)務邏輯定義。服務平臺主要針對不同行業(yè)構(gòu)建對應服務系統(tǒng)，如實訓、競賽、測評等。

　　安全牛

　　軟件定義靶場覆蓋行業(yè)較廣，您能談談面對不同行業(yè)不同層次的用戶，如何去滿足他們所需的各種不同的服務需求？

　　傅濤：通常用戶對網(wǎng)絡安全靶場的需求分為兩類，第一類，就是對業(yè)務覆蓋需求，這個之前已經(jīng)談過了。第二類，就是服務應用及運維需求，這是一個很關鍵也很重要的需求，直接關系到網(wǎng)絡安全靶場發(fā)展。

　　不同行業(yè)不同企業(yè)其體量和規(guī)模都是不一樣的，對于體量大規(guī)模大的企業(yè)客戶，其所掌握的資源較多，對于這類客戶完全可以給予定制并獨立部署網(wǎng)絡安全靶場滿足其需求，但是更廣泛的企業(yè)用戶是不具備這種資源的，大部分客戶無法也不愿意承擔部署運維獨立網(wǎng)絡安全靶場的成本，于是基于軟件定義靶場構(gòu)建一種網(wǎng)絡靶場即服務（SDRaaS）的構(gòu)想就被提出來了，可以基于云服務技術部署軟件定義靶場向廣大工控企業(yè)用戶發(fā)布工控安全靶場服務?？蛻艨梢灾苯邮褂冒袌龇斩x所需環(huán)境及場景，進行安全攻防演練及驗證。

　　軟件定義靶場即服務（SDRaaS）可以給廣大客戶帶來三方面的價值：

　　1、省去建設成本： 部署一套網(wǎng)絡靶場需要采購服務器，物理仿真等資源，其建設成本還是比較高的，通過靶場即服務，客戶可以省去部署和采購，直接使用靶場服務，省去了建設成本；

　　2、提升用戶體驗：通過軟件定義方式構(gòu)建用戶所需靶場環(huán)境和場景可以交付給客戶一個最具體驗性的產(chǎn)品和服務，用戶不需關心所需資源，直接定義場景使用體驗；

　　3、沒有運維成本：通過靶場即服務提供給客戶一整套靶場解決方案，具備靈活的及時訪問和現(xiàn)場支持能力，同時整個系統(tǒng)的運維客戶都不用關心，不需要單獨建立運維團隊，只需要直接使用對應的靶場服務。

　　可以看到通過靶場即服務這樣一種服務方式所帶來的客戶價值，將非常容易推廣網(wǎng)絡安全靶場，服務于各類工控企業(yè)，推動工控安全的可持續(xù)發(fā)展，形成關系國計民生的關鍵行業(yè)系統(tǒng)有力的安全保障。

　　安全牛

　　軟件定義靶場有著諸多優(yōu)勢，能夠靈活定義覆蓋全行業(yè)，具備很大的發(fā)展?jié)摿Γ敲磳W(wǎng)絡安全靶場未來的發(fā)展趨勢您是怎么看的？

　　傅濤：可以預見，網(wǎng)絡靶場將向著安全體系化、數(shù)據(jù)智能化、場景融合化、協(xié)議標準化等方向發(fā)展，網(wǎng)絡靶場建設不僅是取得國家網(wǎng)絡空間安全主導權的關鍵領域，也是確保國家網(wǎng)絡安全的戰(zhàn)略新高地。未來，將通過網(wǎng)絡虛擬化、工控系統(tǒng)虛擬化，結(jié)合集群管理、智能運維、資源池化管理等平臺組件，自動構(gòu)建各種工控網(wǎng)絡場景，在此基礎上疊加各種業(yè)務功能組合成軟件定義靶場，基于場景可定義、應用可定義、網(wǎng)絡可定義、系統(tǒng)可定義及漏洞可定義，著力打造如下七種新型工控安全網(wǎng)絡綜合靶場場景：

　　1、沉浸式人機交互靶場：基于虛擬現(xiàn)實技術，結(jié)合3D多維呈現(xiàn)技術實現(xiàn)第一人稱視角的人機交互系統(tǒng)，讓用戶真實感知系統(tǒng)運行全過程，并可以及時干預。

　　2、意圖驅(qū)動靶場：基于IBNS分析技術，結(jié)合網(wǎng)絡探測技術收集數(shù)據(jù)，經(jīng)過抽取，轉(zhuǎn)換，加載綜合橫向分析，提取有效信息，隨著網(wǎng)絡和威脅態(tài)勢的變化實時精煉安全。

　　3、城市級靶場：基于微服務架構(gòu)，結(jié)合負荷分擔及動態(tài)彈縮技術，實現(xiàn)超大規(guī)模場景綜合部署，將城市中多場景靶場同時運行。

　　4、跨網(wǎng)聯(lián)動靶場：基于開閉原則，結(jié)合分層抽象 軟件架構(gòu)技術，場景易于擴展，場景可綜合跨領域，可實現(xiàn)縱向跨網(wǎng)聯(lián)合攻擊的綜合網(wǎng)絡安全靶場 。

　　5、自主攻防靶場：基于大數(shù)據(jù)機器學習技術，歸類對應場景的攻防特征，能夠自適應進行攻防操作，實現(xiàn)智能化人機交互 。

　　6、零部署靶場：通過分層抽象，物理資源池化，分層映射調(diào)度，基于用戶意圖構(gòu)建網(wǎng)絡環(huán)境，自動配置，出現(xiàn)故障能夠自愈的系統(tǒng)，實現(xiàn)智能運維，自動化部署。

　　7、全息感知靶場：通過虛實結(jié)合，基于主機及流量探針，做到全過程可視化，所見即所得，驗證結(jié)果實時展示。