陈 升，宗志锋，倪 华，黄非易，刘 虹

(1.上海市水务信息中心，上海200050；2.上海工业控制安全创新科技有限公司，上海200085；3.华东师范大学 软件工程学院，上海200062)

0 引言

工业控制系统(简称“工控系统”)是国家实施制造强国和网络强国战略的重要保障，对于维护工业生产秩序、确保工业生产安全、促进两化融合健康发展具有重要意义。作为国家关键基础设施和网络空间安全的重要组成部分，工控系统是能源电力、轨道交通、钢铁石化等重点领域的神经中枢。全球范围的工控系统面临日趋严峻的网络安全形势，特别是与民生紧密相关的城市关键基础设施系统成为黑客攻击的“重灾区”。2020年，美国、以色列、中国都发生了水务系统安全攻击事件，造成水厂控制系统遭受破坏，相关城市用水安全影响社会经济运行和数千万人工作生活。2021年2月，美国佛罗里达州水处理厂工控系统受到网络攻击，导致饮用水化学成分改变，严重影响居民用水安全和社会稳定。

由于“工控现场设备不能碰、工控网络环境不能改动、工控系统安全隐患分析不充分”等痛点问题，迫切需要搭建面向特定行业的工控安全仿真验证环境，实现工控安全问题充分暴露、安全隐患充分验证，防患于未然。传统仿真验证技术侧重于硬件工艺模拟复现，缺乏“极端场景安全验证”和“安全和业务实时联动性”能力，难以满足工业现场安全应急需求。

数字孪生被国际著名的Gartner连续三年评为“未来10大战略性技术发展趋势”，其利用物理模型机制、场景仿真验证、实时交互数据实现虚拟数字空间与物理现实空间的关联映射，进而实现全生命周期的感知、诊断、预测等功能，将成为未来工业互联网安全领域的关键共性支撑技术[1-3]。数字孪生通过实时感知、诊断、预测现场状态，成为助力工控安全仿真验证的新兴技术手段。

本文构建面向水务制水典型工艺流程的数字孪生机理模型，建立水务系统数字孪生仿真验证试验床，实现水务系统典型工艺全要素数据的安全分析与辅助决策，为后续建立水务行业工艺流程与安全要素“实时交互联动性”，辅助开展“极端情况安全场景”仿真验证提供技术支持。

1 水务制水工艺机理及流程体系

本项目实现水务制水典型工艺流程的设计实现，根据传统自来水厂水务处理工艺流程，本文将流程简化，如图1所示。并结合实际情况，设计将流程体系划分为原水提升模块，加药混凝模块，沉淀模块，过滤、气反冲、水反冲洗模块，反渗透模块，消毒模块等[4-6]。

图1 传统水务处理工艺流程

(1)原水提升模块：搅拌系统利用酸碱度值和浊度探头测量原水箱内水质，将原水混合均匀后利用提升泵将水提升至高液位进入后续处理工艺流程。通过电磁流量计实时测量水位和流量，实现将电磁流量计信号反馈到变频器，进而实现对提升泵的转速控制以及流量调节。其中，原水箱内安装超声波液位计，用于检测原水箱内水位，当原水箱内水位低于设定安全液位时，实现提升泵自动停止，避免因原水不足造成泵空转及烧泵等情况。

(2)加药混凝模块：加药模块包括碱液箱、聚合氯化铝PAC箱和聚丙烯酰胺PAM箱。将原水调节PH值至微碱性，通过计量泵投加PAC和PAM等化学药剂，并经管道混合器混合均匀后与细微悬浮物以及胶体污染物形成矾花，之后进入沉淀模块进行沉淀。通过在药箱安装搅拌器实现对原药液的均匀混合，并安装超声波液位计实现低液位自动报警，防止因药液不足造成流程异常。

(3)沉淀模块：加药混凝模块形成的矾花进入斜板沉淀池后进行重力沉降，实现清水从斜板缝隙上升流出，杂质污染物与清水分离，进一步进入中间水箱原水进行投药、混合、反应等过程。其中水中悬浮物变成较大的絮凝体，由于该絮凝体颗粒比重大于水，使得沉淀从水中分离出来。采用斜板沉淀池和集水槽工艺，实现斜管沉淀池的出水系统出水均匀。其中平流式沉淀池具有适应性强、处理效果稳定和排泥效果好等优点，但是占地面积较大。斜板沉淀池因采用斜板组件，实现沉淀效率大大提高，处理效果比平流沉淀池好。

(4)过滤、气反冲、水反冲洗模块：中间水下水经由滤池提升泵提升至滤柱内进行过滤处理，滤柱采用石英砂进行过滤处理，主要用于去除水中呈分散悬浮态的无机质和有机质粒子，包括各种浮游生物、细菌、滤过性病毒与漂浮油、乳化油等。反洗泵抽取清水箱内水进行反冲洗操作，水流经底部反向通过滤池，冲洗掉滤料中的堵塞物质，以便滤柱进行更好的处理。空压机将压缩空气压入滤池，利用上升空气气泡产生的振动和擦洗作用，将附着于滤料表面的杂质清除下来并使之悬浮于水中，然后用水反冲把杂质排出池外。压缩空气通过缓冲罐贮存气体来提供稳定压力。

(5)反渗透模块：反渗透具有深度处理工艺，能够有效去除水中钙、镁、细菌、有机物、无机物、金属离子和放射性物质等，经过该装置净化出的水可以直接饮用。

(6)消毒模块：氯气具有较强的灭杀病原体的作用，使用时不易水解，不受其他因素影响，能够高效去除水中铁锰离子及细菌，具有良好的消毒作用。

2 基于数字孪生的制水工艺仿真建模

2.1 物理虚拟环境及孪生控制环境搭建

利用数字孪生建模工具实现水务制水工艺流程工业机理的建模，实现将物理空间的制水系统数字虚拟化到数字孪生平台[7-8]。通过将管道、水泵、电机、加药等作为层对象，实现工业场景协同联动。其中主要涉及的物理实体包括继电器、PLC、断路器、电气线路、电机、电磁阀、温度传感器、液位传感器等检测设备、控制器和执行机构。将各个传感器、控制器、执行器等进行结构化处理及属性状态标识。

水务制水工艺流程包括原水消毒加药絮凝、沉淀、过滤、消毒、水质监测等。以管道为载体代表网线，联网设备作为节点或终端(包括交换机)。通过将网络数据包转化为管道中的水分子，实现每个数据包流向的可视化表达。

2.2 数据驱动的数字孪生仿真建模

数据驱动的数字孪生仿真建模实现了对过去、当前、将来工艺数据和安全态势的建模，结合设备故障模型实现信息安全攻防验证功能[9-11]。

针对过去数据仿真，利用历史数据精准还原历史交互场景，实现工控设备运行状态的监测分析。针对当前数据仿真，实现完全将物理世界的生产环境虚拟到数字环境中，利用网络传输，解除了地理位置的限制。针对将来数据仿真，基于历史数据，结合当前数据，构建数据分析模型，为生产环境中各种设备可能存在的安全风险提供预警策略。

结合以上需求，搭建水务制水工艺数字孪生仿真模型，如图2所示。该建模与现实物理实验环境完全一致，并实时监控数据，实现动态更新。

图2 水务制水工艺数字孪生仿真建模

本文设计设备故障模型，实现对物理实验环境可能出现的供水管路缺水、设备异常、各电动机过载跳闸等异常进行模拟，利用数字孪生系统展示所有可感知的故障类型，并在“数据孪生体”中进行实时展示。该模型支持设备故障报警和上下限报警，实时展示制水过程中的告警信息，可查询历史告警信息，并可设置告警消除规则。

3 面向功能安全和信息安全联动的攻防验证

3.1 安全攻防验证场景构建

本文构建基于网络硬件防护设备和数字孪生攻防模拟的协同报警机制，通过双重安全防护机制实现安全保障。其中，硬件防护主要包括四个层次：(1)服务器启动防火墙保护，区域边界隔离，避免病毒扩散；(2)隔离主要控制器，阻止对控制器的任何非法访问及控制；(3)保护关键工业控制设备，防止来自上层信息网或其他区域威胁；(4)阻断上层网络的威胁，隔离PLC传感器与信息网，阻止来自数据采集端的信息网的威胁。

数字孪生仿真建模平台可以模拟被攻击后的安全防护及应急响应流程，按照预定义的业务逻辑和安全策略启动告警信号。主要支持的攻击方式包括9个方面，主要作用点如图3所示。

图3 攻击方式作用点

(1)攻击一：针对①原水池进行攻击，对原水水位传感器上传水位信息进行修改。

(2)攻击二：对②水泵进行攻击，修改输出功率。

(3)攻击三：针对混凝模块，对③加药装置进行攻击，导致加药量改变。

(4)攻击四：针对沉淀模块，对④沉淀池进行攻击，修改液位传感器输出。

(5)攻击五：针对过滤模块，对⑤水质监控设备进行攻击，修改当前水质参数。

(6)攻击六：针对消毒模块，对⑥消毒池进行攻击，修改消毒液的加入量。

(7)攻击七：对⑦水质综合检测系统进行攻击，修改检测到的水质参数。

(8)攻击八：针对水质进行攻击，修改混凝模块中③加药装置的参数，修改⑤水质监控和⑦水质综合检测系统，导致最终经过制水工艺的水质污染而不会被上位机监控系统发现。

(9)攻击九：对②水泵进行攻击，固定①原水池中水位传感器输出，使系统认为原水充足，增大水泵输出功率，让水泵不停地工作，最终使得水泵电机烧坏。

3.2 信息攻击及功能安全危害联动分析

3.1节介绍了安全攻防验证场景的构建及根据场景构建所支持的9种攻击方式。其中网络攻击和系统漏洞攻击是主要的攻击方式。目前网络攻击中主要为ARP攻击及利用网络协议缺陷来对目标系统侵害的攻击。而系统漏洞则根据当前数字孪生系统的部署环境，利用Windows 7系统的漏洞来进行攻击。下面将分析相应攻击的原理及手段，并进行比较[12-15]。

(1)利用ARP中间人欺骗原理，对指定的联网设备进行断网攻击(输入指定的IP地址)。主要步骤包括：打开水务系统终端，并在终端输入命令：

输入命令成功，PLC宕机后可观察组态王数据全部丢失。

(2)利用Ethernet/IP协议缺陷，对指定环境中的PLC进行关停攻击。

通过打开水务系统终端，修改碱液箱搅拌速率。运行以下命令：

其中xx为要改变的数值，此操作要在碱液箱搅拌开启的状态下运行。当修改完成后若数值超出了设备阈值，数字孪生系统中搅拌电机会发烟和告警。

修改原水提升泵转速，运行以下命令：

其中xx为要改变的数值，此操作要在原水提升泵开启的状态下运行。当修改完成后若数值超出了设备阈值，数字孪生系统中提升泵会发烟和告警。

(3)针对流量和压力传感器，利用Windows 7系统漏洞，接管上位机，让上位系统与现场仪表数据不一致，进行数据篡改，从而间接管控整个自动化控制系统。

针对上述三种攻击，进行多次实验，可发现随着时间的增加，三种攻击的成功率均有所提升，成功率随时间变化如图4所示。分析可发现ARP攻击和PLC宕机攻击相比于Windows 7漏洞攻击的成功率相对较高。由此可见，网络攻击相对系统漏洞依旧是工业控制系统安全的主要安全隐患。

图4 三种攻击的成功率随时间变化图

4 结论

本文利用数字孪生新兴技术，实现了水务制水工艺流程和工业机理的仿真建模。通过搭建水务系统数字孪生仿真验证试验床，提出了面向水务工控系统功能安全和信息安全联动的攻防验证技术，为保障工业互联网场景下水务行业工业控制系统安全提供技术参考。本文搭建的水务系统数字孪生仿真验证试验床，实现了水务系统典型工艺全要素数据的安全分析与辅助决策，以及为后续建立水务行业工艺流程与安全要素实时交互联动性，辅助开展极端情况下安全场景仿真验证提供参考。