隨著5G和萬物互聯(lián)IOT時代的到來，無人駕駛、智能工廠全面普及，人人互聯(lián)、機(jī)機(jī)互聯(lián)，甚至人機(jī)互聯(lián)成為可能，而網(wǎng)絡(luò)風(fēng)險和威脅也與日俱增，漏洞和病毒造成的后果也更加嚴(yán)重，尤其是在能源、電力、通信、交通、軍工、智能制造等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全隱患尤為突出。

　　隨著工業(yè)4.0時代的到來，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全面臨更為艱巨的挑戰(zhàn)。工業(yè)控制系統(tǒng)環(huán)境的復(fù)雜性、設(shè)備組件的多樣化、工業(yè)協(xié)議的相對封閉性等一系列制約因素。對于工控系統(tǒng)而言，一旦遭到病毒、蠕蟲等入侵，系統(tǒng)將會面臨停機(jī)的風(fēng)險，帶來不可估量的經(jīng)濟(jì)損失。因此，對工業(yè)控制系統(tǒng)進(jìn)行測試、對工控安全進(jìn)行研究的任務(wù)迫在眉睫。

　　近日，安全牛有幸采訪了博智安全科技股份有限公司創(chuàng)始人傅濤，就圍繞軟件定義靶場的建設(shè)思路進(jìn)行了深入交流，以下是主要內(nèi)容：

　　傅濤

　　博智安全創(chuàng)始人

　　博智安全科技股份有限公司董事長

　　工作期間先后主持國家工信部十余項國家省級發(fā)改委和科技部（廳）專項，先后獲得中國人民解放軍科技進(jìn)步獎1次，江蘇省科技進(jìn)步獎1次，省優(yōu)秀軟件產(chǎn)品金慧獎6次，南京市優(yōu)秀發(fā)明專利獎1次，南京市科技進(jìn)步獎5次。

　　個人入選中共中央組織部“萬人計劃”，國家科技部“創(chuàng)新創(chuàng)業(yè)人才”，江蘇省組織部“科技企業(yè)家”，江蘇省經(jīng)信委“產(chǎn)業(yè)教授”，江蘇省“六大人才高峰計劃”，江蘇省“333人才工程計劃”南京市中青年“拔尖人才”，南京市經(jīng)信委“科技創(chuàng)業(yè)家”。

　　安全牛

　　傅總，當(dāng)前工控安全事件頻發(fā)，我國的工業(yè)基礎(chǔ)設(shè)施也遭受到網(wǎng)絡(luò)攻擊，工控安全所面臨的威脅不斷加劇，能談?wù)勎覀冊撊绾螒?yīng)對這些威脅，有什么好的解決方案？

　　傅濤：隨著信息技術(shù)迅速發(fā)展，5G的大規(guī)模應(yīng)用，網(wǎng)絡(luò)空間安全已成為世界各國關(guān)注的重點。近年來，病毒攻擊事件頻發(fā)。2012年伊朗核電站病毒事件、2015年烏克蘭電力系統(tǒng)被攻擊導(dǎo)致大規(guī)模停電、2018年臺積電受攻擊導(dǎo)致停產(chǎn)等，這些針對工控領(lǐng)域的攻擊對國家正常生產(chǎn)和安全造成了嚴(yán)重破壞，其影響和打擊力度不亞于一次中等規(guī)模的戰(zhàn)爭。因此國家重點行業(yè)工控系統(tǒng)安全是亟待解決的關(guān)鍵問題，迫切需要深入研究，采取有效措施，扎實突破互聯(lián)網(wǎng)核心技術(shù)，掌握“命門”，構(gòu)建可信基礎(chǔ)產(chǎn)品體系，可控重大工程體系，可信賴安全服務(wù)體系，支撐重要行業(yè)信息系統(tǒng)的高可靠、高性能和高安全，加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系。

　　這里最關(guān)鍵的就是要解決“人才+技術(shù)”的短板問題，需要政府引導(dǎo)，龍頭主導(dǎo)，企業(yè)參與，產(chǎn)業(yè)鏈聚集，面向工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、互聯(lián)網(wǎng)全場景，虛實結(jié)合模式，打造集仿真實驗、聯(lián)合攻關(guān)、孵化驗證、人才培訓(xùn)、比武競技、測評認(rèn)證五位一體的國家級綜合網(wǎng)絡(luò)安全靶場；構(gòu)建全面工控安全知識圖譜，提供聯(lián)合攻關(guān)、創(chuàng)新孵化、仿真實驗、人才培訓(xùn)和測評認(rèn)證服務(wù)；手把手-教、真刀真槍-比、真實環(huán)境-驗證的技術(shù)服務(wù)。

　　網(wǎng)絡(luò)安全靶場針對不同行業(yè)需要不同的網(wǎng)絡(luò)環(huán)境構(gòu)建，運行系統(tǒng)部署，應(yīng)用程序加載，以及不同的漏洞部署，那么就需要引入軟件定義技術(shù)，將軟件邏輯與硬件資源充分解耦，自上而下設(shè)計編排，映射資源池，構(gòu)建環(huán)境。其中硬件可以是服務(wù)器，路由器，防火墻，工控PLC。同時這些物理資源也可以虛擬化，虛擬路由器、虛擬防火墻這些都是比較成熟的技術(shù)。工控PLC虛擬化是將PLC軟件化，協(xié)議也是虛擬化，可以和實際物理PLC一樣，基于IEC61131-3進(jìn)行控制邏輯設(shè)計，生成IEC程序，只是虛擬化PLC是將IEC程序轉(zhuǎn)換成C語言程序，加載的虛擬PLC執(zhí)行，從而完全虛擬與實際物理場景一樣的控制邏輯，做到場景可定義、應(yīng)用可定義、網(wǎng)絡(luò)可定義、系統(tǒng)可定義、漏洞可定義，進(jìn)而做到覆蓋全行業(yè)場景，全產(chǎn)業(yè)要素，全領(lǐng)域空間的安全實操演訓(xùn)，從而方便靈活的構(gòu)建安全技術(shù)創(chuàng)新孵化體系、安全比武打擂攻防技術(shù)體系、安全人才培訓(xùn)體系、安全測評認(rèn)證體系，承擔(dān)起網(wǎng)絡(luò)空間安全領(lǐng)域基于實戰(zhàn)環(huán)境的創(chuàng)新攻關(guān)、比武競技、人才培訓(xùn)、測評認(rèn)證四大核心功能和任務(wù)。

　　安全牛

　　上面您提到“人才+技術(shù)”是主要的短板和命門，通過構(gòu)建網(wǎng)絡(luò)安全靶場進(jìn)行人才培養(yǎng)和技術(shù)驗證，同時您又提到了軟件定義技術(shù)是構(gòu)建網(wǎng)絡(luò)安全靶場的關(guān)鍵技術(shù)，可以做到場景可定義，應(yīng)用可定義等，這些可定義技術(shù)相對于傳統(tǒng)技術(shù)有哪些優(yōu)勢，能帶來哪些突破？

　　傅濤：傳統(tǒng)技術(shù)是針對某個特定場景的靶場定制開發(fā)對應(yīng)的功能，、靈活度，、可擴(kuò)展性都是欠缺的，而軟件定義技術(shù)將物理層與邏輯層完全解耦，可以將物理及虛擬資源池化，自上而下定義場景，自由組合功能邏輯按需建立與物理及虛擬資源的映射，具備高度的靈活性和可擴(kuò)展性。這樣我們就可以深入具體行業(yè)，基于軟件定義技術(shù)，結(jié)合安全態(tài)勢感知、主機(jī)及流量探針、脆弱性分析、惡意代碼分析等技術(shù)，做到不同行業(yè)場景360°全息感知攻防過程，明確攻防意圖，幫助不同行業(yè)客戶合理應(yīng)對安全事件，將負(fù)面影響最小化，培養(yǎng)安全人員技能水平、加強(qiáng)安全網(wǎng)絡(luò)環(huán)境建設(shè)、提高設(shè)施環(huán)境安全防護(hù)。

　　軟件定義靶場具有以下幾點核心優(yōu)勢。

　　1、高：目標(biāo)場景仿真度高，基于場景可定義，可以讓用戶通過拖拉拽的方式定義環(huán)境，配置場景，自動與虛擬資源和物理資源關(guān)聯(lián)映射，構(gòu)建出基于用戶意圖的高仿真目標(biāo)場景。

　　2、強(qiáng)：攻防過程以及結(jié)果感知強(qiáng)，基于高仿真環(huán)境，結(jié)合綜合評估系統(tǒng)，使用豐富的三維態(tài)勢，做到事前、事中、事后的整體綜合評估，全面展示攻防過程、態(tài)勢分析效果。

　　3、智：靶場運維智能化，基于軟件定義分層抽象，軟件業(yè)務(wù)邏輯層根據(jù)業(yè)務(wù)應(yīng)用與物理資源層自動建立映射，各層狀態(tài)有機(jī)聯(lián)動，自動配置構(gòu)建目前網(wǎng)絡(luò)；基于安全分析組件發(fā)現(xiàn)系統(tǒng)安全隱患精準(zhǔn)定位目標(biāo)網(wǎng)元執(zhí)行自動加固，結(jié)合故障分析組件，出現(xiàn)故障節(jié)點通過調(diào)度資源池進(jìn)行動態(tài)彈縮擴(kuò)展或者替換自動恢復(fù)，從而形成一個自動加固優(yōu)化，自動映射配置，自愈恢復(fù)的智能化系統(tǒng)。

　　自動加固和自愈恢復(fù)是需要在基于軟件定義層次架構(gòu)下才能實現(xiàn)，對于加固策略的自動執(zhí)行，這需要上層應(yīng)用邏輯和底層物理資源建立關(guān)聯(lián)映射，其狀態(tài)才能有機(jī)聯(lián)動，同時基于聯(lián)動的關(guān)聯(lián)關(guān)系，精準(zhǔn)定位執(zhí)行加固策略。對于故障自愈也是一樣，這是一個立體關(guān)聯(lián)的模型，任何一個節(jié)點出現(xiàn)故障可以及時發(fā)現(xiàn)，通過調(diào)度資源池進(jìn)行動態(tài)彈縮擴(kuò)展或者替換做到自愈。

　　4、寬：靶場覆蓋行業(yè)寬，基于軟件定義技術(shù)，用戶可以靈活定義所屬行業(yè)的環(huán)境場景，可以覆蓋傳統(tǒng)網(wǎng)絡(luò)靶場、工業(yè)網(wǎng)絡(luò)靶場、電信網(wǎng)絡(luò)靶場、衛(wèi)星遙感網(wǎng)絡(luò)靶場、智能制造靶場、核電控制靶場等多種靶場環(huán)境。軟件定義靶場基于分層抽象架構(gòu)，通過網(wǎng)絡(luò)虛擬化，工控系統(tǒng)虛擬化，結(jié)合集群管理、智能運維、資源池化管理等平臺組件，自動構(gòu)建各種工控網(wǎng)絡(luò)場景。同時可以通過植入基于意圖的網(wǎng)絡(luò)安全分析IBNS，可為客戶提供多維度基于意圖的產(chǎn)品安全測試驗證、攻防對抗訓(xùn)練、比武競賽、攻防武器的驗證等功能。

　　安全牛

　　那您剛剛還提到過軟件定義靶場可以做到全行業(yè)覆蓋，而工控行業(yè)所涉及面很廣，每個行業(yè)都有特定的專業(yè)背景，全行業(yè)覆蓋的難度可想而知，您可以談?wù)劄槭裁窜浖x靶場能夠做到這種全行業(yè)覆蓋？

　　傅濤：是的，工控行業(yè)非常廣，涉及電力、核電、軌交、汽車制造、糧食加工、化學(xué)制藥、金屬礦山等等，我國工控細(xì)分領(lǐng)域就多達(dá)40多種，要做到全行業(yè)覆蓋的網(wǎng)絡(luò)靶場是很困難，而軟件定義技術(shù)，虛擬化技術(shù)以及虛實結(jié)合技術(shù)使得全行業(yè)覆蓋成為可能。

　　首先，從理論上看，通過分層抽象，將物理資源及虛擬資源池化，邏輯層根據(jù)業(yè)務(wù)應(yīng)用進(jìn)行映射調(diào)度，將業(yè)務(wù)功能邏輯抽象封閉，物理層可以自由擴(kuò)展，上層應(yīng)用依賴功能抽象邏輯，而不與實際物理或虛擬設(shè)備綁定，做到軟件可定義，可編程；基于此這樣的架構(gòu)，產(chǎn)品能夠分層橫向擴(kuò)展，不斷完善和擴(kuò)展應(yīng)用場景和業(yè)務(wù)功能。比如對于工控的各個行業(yè)最主要的控制單元就是PLC，我們可以使用實際的PLC產(chǎn)品，也可以虛擬化PLC，納入軟件定義靶場的資源池，這樣就可以針對大部分工控行業(yè)，比如電力、軌交、水處理、化工等行業(yè)，在上層通過拖拉拽方式構(gòu)建工程圖，再基于IEC61131標(biāo)準(zhǔn)進(jìn)行控制邏輯定義，加載到關(guān)聯(lián)映射的PLC上，從而就構(gòu)建出了對應(yīng)的工控靶場。對于相對復(fù)雜的行業(yè)，比如核電行業(yè)，其反應(yīng)堆、蒸汽發(fā)生器、穩(wěn)壓器、渦輪發(fā)電機(jī)、水槽、給水泵、重力棒、冷凝器等，都可以物理仿真或虛擬化，納入資源池，通過軟件定義建立關(guān)聯(lián)映射構(gòu)建核電靶場。

　　再從實現(xiàn)方式看，可以通過構(gòu)建一種基于軟件定義靶場的平臺，分為基礎(chǔ)設(shè)施、業(yè)務(wù)平臺、服務(wù)平臺，建立工控行業(yè)靶場標(biāo)準(zhǔn)規(guī)范，打造一種生態(tài)圈，可以容納各行業(yè)環(huán)境、場景、應(yīng)用、系統(tǒng)、漏洞定義，在該平臺上實現(xiàn)并驗證，結(jié)合全社會力量不斷完善和增強(qiáng)。對于基礎(chǔ)設(shè)施主要針對各個行業(yè)所涉及的物理資源進(jìn)行虛擬化或物理仿真資源化，建立基礎(chǔ)設(shè)施資源池。業(yè)務(wù)平臺主要針對不用行業(yè)所涉及的業(yè)務(wù)邏輯進(jìn)行封裝組件化，用于上層服務(wù)業(yè)務(wù)邏輯定義。服務(wù)平臺主要針對不同行業(yè)構(gòu)建對應(yīng)服務(wù)系統(tǒng)，如實訓(xùn)、競賽、測評等。

　　安全牛

　　軟件定義靶場覆蓋行業(yè)較廣，您能談?wù)劽鎸Σ煌袠I(yè)不同層次的用戶，如何去滿足他們所需的各種不同的服務(wù)需求？

　　傅濤：通常用戶對網(wǎng)絡(luò)安全靶場的需求分為兩類，第一類，就是對業(yè)務(wù)覆蓋需求，這個之前已經(jīng)談過了。第二類，就是服務(wù)應(yīng)用及運維需求，這是一個很關(guān)鍵也很重要的需求，直接關(guān)系到網(wǎng)絡(luò)安全靶場發(fā)展。

　　不同行業(yè)不同企業(yè)其體量和規(guī)模都是不一樣的，對于體量大規(guī)模大的企業(yè)客戶，其所掌握的資源較多，對于這類客戶完全可以給予定制并獨立部署網(wǎng)絡(luò)安全靶場滿足其需求，但是更廣泛的企業(yè)用戶是不具備這種資源的，大部分客戶無法也不愿意承擔(dān)部署運維獨立網(wǎng)絡(luò)安全靶場的成本，于是基于軟件定義靶場構(gòu)建一種網(wǎng)絡(luò)靶場即服務(wù)（SDRaaS）的構(gòu)想就被提出來了，可以基于云服務(wù)技術(shù)部署軟件定義靶場向廣大工控企業(yè)用戶發(fā)布工控安全靶場服務(wù)。客戶可以直接使用靶場服務(wù)定義所需環(huán)境及場景，進(jìn)行安全攻防演練及驗證。

　　軟件定義靶場即服務(wù)（SDRaaS）可以給廣大客戶帶來三方面的價值：

　　1、省去建設(shè)成本： 部署一套網(wǎng)絡(luò)靶場需要采購服務(wù)器，物理仿真等資源，其建設(shè)成本還是比較高的，通過靶場即服務(wù)，客戶可以省去部署和采購，直接使用靶場服務(wù)，省去了建設(shè)成本；

　　2、提升用戶體驗：通過軟件定義方式構(gòu)建用戶所需靶場環(huán)境和場景可以交付給客戶一個最具體驗性的產(chǎn)品和服務(wù)，用戶不需關(guān)心所需資源，直接定義場景使用體驗；

　　3、沒有運維成本：通過靶場即服務(wù)提供給客戶一整套靶場解決方案，具備靈活的及時訪問和現(xiàn)場支持能力，同時整個系統(tǒng)的運維客戶都不用關(guān)心，不需要單獨建立運維團(tuán)隊，只需要直接使用對應(yīng)的靶場服務(wù)。

　　可以看到通過靶場即服務(wù)這樣一種服務(wù)方式所帶來的客戶價值，將非常容易推廣網(wǎng)絡(luò)安全靶場，服務(wù)于各類工控企業(yè)，推動工控安全的可持續(xù)發(fā)展，形成關(guān)系國計民生的關(guān)鍵行業(yè)系統(tǒng)有力的安全保障。

　　安全牛

　　軟件定義靶場有著諸多優(yōu)勢，能夠靈活定義覆蓋全行業(yè)，具備很大的發(fā)展?jié)摿?，那么對網(wǎng)絡(luò)安全靶場未來的發(fā)展趨勢您是怎么看的？

　　傅濤：可以預(yù)見，網(wǎng)絡(luò)靶場將向著安全體系化、數(shù)據(jù)智能化、場景融合化、協(xié)議標(biāo)準(zhǔn)化等方向發(fā)展，網(wǎng)絡(luò)靶場建設(shè)不僅是取得國家網(wǎng)絡(luò)空間安全主導(dǎo)權(quán)的關(guān)鍵領(lǐng)域，也是確保國家網(wǎng)絡(luò)安全的戰(zhàn)略新高地。未來，將通過網(wǎng)絡(luò)虛擬化、工控系統(tǒng)虛擬化，結(jié)合集群管理、智能運維、資源池化管理等平臺組件，自動構(gòu)建各種工控網(wǎng)絡(luò)場景，在此基礎(chǔ)上疊加各種業(yè)務(wù)功能組合成軟件定義靶場，基于場景可定義、應(yīng)用可定義、網(wǎng)絡(luò)可定義、系統(tǒng)可定義及漏洞可定義，著力打造如下七種新型工控安全網(wǎng)絡(luò)綜合靶場場景：

　　1、沉浸式人機(jī)交互靶場：基于虛擬現(xiàn)實技術(shù)，結(jié)合3D多維呈現(xiàn)技術(shù)實現(xiàn)第一人稱視角的人機(jī)交互系統(tǒng)，讓用戶真實感知系統(tǒng)運行全過程，并可以及時干預(yù)。

　　2、意圖驅(qū)動靶場：基于IBNS分析技術(shù)，結(jié)合網(wǎng)絡(luò)探測技術(shù)收集數(shù)據(jù)，經(jīng)過抽取，轉(zhuǎn)換，加載綜合橫向分析，提取有效信息，隨著網(wǎng)絡(luò)和威脅態(tài)勢的變化實時精煉安全。

　　3、城市級靶場：基于微服務(wù)架構(gòu)，結(jié)合負(fù)荷分擔(dān)及動態(tài)彈縮技術(shù)，實現(xiàn)超大規(guī)模場景綜合部署，將城市中多場景靶場同時運行。

　　4、跨網(wǎng)聯(lián)動靶場：基于開閉原則，結(jié)合分層抽象 軟件架構(gòu)技術(shù)，場景易于擴(kuò)展，場景可綜合跨領(lǐng)域，可實現(xiàn)縱向跨網(wǎng)聯(lián)合攻擊的綜合網(wǎng)絡(luò)安全靶場 。

　　5、自主攻防靶場：基于大數(shù)據(jù)機(jī)器學(xué)習(xí)技術(shù)，歸類對應(yīng)場景的攻防特征，能夠自適應(yīng)進(jìn)行攻防操作，實現(xiàn)智能化人機(jī)交互 。

　　6、零部署靶場：通過分層抽象，物理資源池化，分層映射調(diào)度，基于用戶意圖構(gòu)建網(wǎng)絡(luò)環(huán)境，自動配置，出現(xiàn)故障能夠自愈的系統(tǒng)，實現(xiàn)智能運維，自動化部署。

　　7、全息感知靶場：通過虛實結(jié)合，基于主機(jī)及流量探針，做到全過程可視化，所見即所得，驗證結(jié)果實時展示。