杜 林，朱俊虎，白永强

（1.32085 部队，北京 100000；2.战略支援部队信息工程大学，河南 郑州 450001）

0 引言

当前，以工业互联网及其工业控制系统为重点的关键信息基础设施面临严峻的网络安全威胁。在经历乌克兰电站遭黑客攻击大范围停电[1]、以色列塔尔半导体代工厂遭网络攻击导致暂停了部分服务器和设施、日本丰田供应商遭网络攻击导致14 家日本工厂全部停工[2]等一系列针对互联网及其工业控制系统的攻击后，各国都开始重视关键基础设施的网络安全情况，围绕工业互联网及其工业控制系统安全的工控网络安全靶场建设变得更加紧迫和必要。建设工控网络安全靶场，对技术验证、网络武器试验、攻防对抗演练和网络风险评估[3]等方面具有重要意义。当前工控网络安全靶场的管控对象包括大量的硬件资源，这些硬件资源种类多样，工控接口协议和标准不同，缺少对实物设备的管理策略和描述方法，试验资源管控效率低、复用效果差、靶场自动化运用差。因此需要有一个统一标准规范对各类资源进行管理和配置。通过对异构资源建模与封装，实现工控网络安全靶场资源复用和快速重构，提升工控网络靶场管理控制能力和应用效益，为国家工业网络安全发展、经济发展和国家整体安全贡献重要力量。

1 研究现状

工控网络安全靶场建设是个复杂的系统工程，其基础平台的实现可以分为全实物复制、半实物仿真、全软件仿真、仿真模拟相结合4 种方式。全实物复制测试平台是指通过实物复制的方式，利用与实际工业系统的相同实物设备，构建一个与真实网络相近的大型工业互联网测试环境。比如美国的爱达荷国家实验室的全实物复制测试平台就构建了一个完整的电网SCADA 系统[4]，它可以用于进行工业控制系统的脆弱性评估和风险评估。半实物仿真测试平台采用虚实结合的方法，在信息层通过仿真软件来模拟，在物理层采用真实的物理硬件设备。软件联合仿真测试平台完全使用软件仿真技术构建测试环境，包括基础网络仿真、实物仿真和虚拟机仿真等。仿真与模拟相结合的混合结构测试平台在物理层采用软件建模仿真，在信息层采用部分真实或模拟的物理设备或软件系统。

上面介绍的半实物仿真、全软件仿真、仿真模拟相结合这3 种基础仿真平台的构设，主要需要解决仿真平台与实物设备互联、虚实协议转换、实物设备状态参数在仿真平台中的映射等问题，目前有很多研究工作提供支撑。例如美国国防部针对建模与仿真领域发布的通用高级体系结构（High Level Architecture，HLA）[5]和针对试验与训练领域开发的试验训练使能体系结构（Test and Training Enabling Architecture，TENA）[6−7]，提供了虚拟试验平台建模仿真的一系列标准。在国内，科研人员围绕HLA 和TENA 也开展了大量研究工作。国防科技大学的韩文彬设计了一种HLA 对象模型开发工具(OMT)[8]，北京航空航天大学的邸彦强设计了面向HLA的通用SOM 实现框架HLAport[9]，哈尔滨工业大学的樊龙借鉴美军的TENA 开发出了HIT-TENA 资源封装工具[10]。韩其涛[11]、王晓娟[12]、邓舒予[13]则在实物接入仿真平台协议转换等方面展开了研究。

本课题研究对象工控网络安全靶场平台更接近全实物复制测试平台，靶场平台中存在大量实物工控设备或软件，主要需要解决的是大量异构资源的统一管理、灵活管控和场景快速构建。研究的难度表现在“实物型”工控网络安全靶场存在大量的标准和非标准资源，这些资源类型多样、数量众多，管理上自治、地理上分布，每个靶场对同类资源的管理策略和描述方法都不一致，而且这些资源协议体系和通信体制互不相同，异构网络互联互通困难，对靶场资源的配置管控和数据采集也就无法实现自动化。这些异构的特性使资源重用和互操作性差、管控变得困难，而在国内目前没有形成建设工控网络安全靶场资源模型建立的标准，因此需要有一个统一的、标准的规范对工控网络安全靶场的异构资源进行建模，从而使得模型复用、重构更为快速和方便。同时建立资源的构件化封装规范，从而变成可控可管的模拟系统，使工控网络安全靶场体系更加灵活、更方便扩展，解决在动态的、分布式、异构的环境中实现资源共享与协同工作的问题。

2 资源的建模技术研究

研究面向工控网络安全靶场异构资源建模技术，通过对试验资源的分类、描述其核心能力，构建相应的模型，可以解决异构资源的统一描述、统一管控、高效互联和高效应用问题，实现工控网络安全靶场资源复用和快速重构。

2.1 资源的分类

工控网络安全靶场资源体系涵盖的资源多样、数目众多，既包含计算机、防火墙、工业控制设备等资源，也包含数据采集、试验效果评估等资源，还包含业务访问等行为资源[14]。不同种类的资源，属性和特征差别较大，描述方式也区别较大。因此需要对工控网络安全靶场体系资源进行科学分类。

按照所属行业领域划可分为电力、石化、钢铁、交通、水利等工业控制领域的各类资源，由于每个工业领域的业务流程、平台系统工控网络安全靶场和设备等资源在不同领域内差异较大，按照工业领域划分工业控制类试验资源具有更好的可切分性和同类资源的继承性。按照分系统分类可分为计算机控制系统（Computer Control System,CCS）、分散控制系统（Distributed Control System,DCS）、现场总线控制系统（Fieldbus Control System,FCS）、基于工业以太网的控制系统、基于无线的工控系统、数据采集与监视控制系统（Supervisory Control And Data Axquisition,SCADA），如图1 所示。

工控网络安全靶场也可按照物理的存在形式来分，分为硬件资源和软件资源。

硬件资源里包含上位机、下位机和通信网络。在上位机中，服务器、工程师站、操作员站等负责发出特定操控指令和接收上报信息；下位机中包含传感器、执行器、控制器等接收操控指令，上报采集信息，并直接对设备监测、控制；通信网络主要完成接收设备的连通与现场设备的连接，主要包括工控网关、工业防火墙、路由器、交换机、现场总线以及互联网的通信子网资源等。软件资源包含系统软件、支撑软件和应用软件。系统软件主要包括操作系统和固件等；支撑软件包括所需的驱动程序、运行库、数据库等；应用软件主要包括组态工具软件、组态通信软件、监控组态软件、设备编程软件、用户程序软件、设备接口通信软件、设备功能软件等，如图2所示。

图2 按物理存在形式分类

2.2 资源的统一描述

工控网络安全靶场资源经过分类过后，每一类下的资源都需要进行描述，对资源描述信息的无歧义理解是资源管理、资源组合的基础。采用面向对象的方法描述的每个资源模型的基本信息、基本属性、对外接口、功能指标和性能指标等，如图3 所示。

图3 工控网络安全靶场资源统一描述

2.3 资源的建模方法

围绕着工控网络安全靶场异构资源，基于模型驱动架构的思想，采用元建模方法对工控网络安全靶场异构资源进行建模。

元对象机制（Meta Object Reality，MOF）是模型驱动架构中用于详细阐述构建模型对象、模型的语义、模型间的集成和互操性的一种规范[15]。通过MOF 定义的规则，把模型分为了4 个层次，自上而下依次是元元模型、元模型、原子模型和耦合模型，如图4 所示。

图4 模型层次图

元元模型经过实例化变成元模型，元模型再经过组装和互操作形成了原子模型或耦合模型。采用元建模方法对资源的建模可主要分为元模型元素定义、原子模型建模、耦合模型建模。原子模型主要是针对简单的设备级资源或者是设备级资源中功能相对独立、可复用的资源；耦合模型主要是针对复杂的设备级资源或者平台级、系统级的资源。

下面以可编程逻辑控制器（Programmable Logic Controller，PLC）为例，介绍工控网络安全靶场异构资源元建模方法。PLC 作为工控系统一个必要的器件，可以按照指令执行控制各种类型机器的命令，是工控网络安全靶场是最不可缺少的重要元素之一。对PLC 的内容和具体参数进行简化，建立模型。首先将工控网络安全靶场的异构资源分层分类。将传统的工控系统的划分为5 层：现场装置层、过程控制层、生产监控层、经营管理层、企业业务应用层，将网络分层解耦。PLC 处于第二层，过程控制层。PLC 由电源、中央处理单元（CPU）、存储器、输入单元、输出单元等组成，这些都可以看成是元模型。

下面对PLC 进行原子建模。PLC 原子建模过程包括：（1）命名事物，由字母、数字、汉字、特殊字符组成的字符串，如PLC S7-300/400；（2）建立分类，PLC 属于硬件资源；（3）寻找关系，父类属于工业控制类，PLC 组成了SCADA 主机或基本单元；（4）定义特性，CPU 模块型号、通信模块型号、RAM 容量、编程语言等。原子建模过程如图5 所示。

图5 PLC 原子建模

其次是耦合建模。耦合建模的过程包括：（1）导入模型范式，将前一阶段形成的PLC 模型生成模型范式,如在工控系统第三层生产监控层SCADA 可以由PLC 和其他的部分元模型进行导入和组合；（2）建立模型实例和关系，可以完成对模型SCADA、模型的子类型PLC，建立实例化关系。耦合建模过程如图6 所示。

图6 PLC 和其他模型建立模型实例

这样模型抽象为元模型、元元模型并建立统一的描述规范，然后采用“自底向上”的思路，用“堆积木”的方式组合建模。如从最底层的CPU 建立元模型，逐步往上层堆积，就像乐高的积木块一样，由最基本的元素进行定义、描述、组装，进行类的派生或实例重构，形成可快速重构的、敏捷的模型，最终构成整个系统。由于元模型、元元模型的标准是统一的，因此使其具有更好的可重用性，可以大大降低资源建模的工作量。

利用这种工控系统网络分层解耦的资源建模方法，有利于异构资源的接入和快速灵活的管理配置，能够把业务逻辑和应用逻辑与底层平台技术分离，使得各模型之间可以容易地在不同环境下的工具间进行交互。

3 资源的封装技术研究

在工控网络安全靶场运行的过程中，大多数情况操作人员无需了解底层的模型和架构，只需能够操作整体的系统级资源，比如可以远程采集、管控、配置等。所以在之前介绍的工控资源建模过后，还需要将各类的资源进行模块化封装。

对于标准资源的构件封装，采用插件的技术和思想，开发管控插件和数据采集插件，实现模型的即插即用。对于异构非标准资源或须改造适配的资源，设计代理模块，完成信息交互格式和接口标准化整形适配功能，需开发管控代理模块和数据采集代理模块，将非标的资源封装为标准的构件。

下面以资源交互接口设计为例，对封装进行说明。

插件与资源之间的典型交互方式有3 种，如图7 所示，依据资源的访问形式进行封装。

图7 资源交互结构图

资源以标准协议的方式提供远程操作接口，插件直接通过访问协议对资源进行控制，支持HTTP、HTTPS、Web Service、套接字。

资源的远程访问协议不公开。资源访问控制API 可以是二次集成开发的标准接口，也可以是资源自身的应用软件，通过管理不公开的资源内部协议，来配置管理资源。此时的封装即将虚拟化厂商软件对PLC 的控制做成镜像封装，通过控制脚本来控制比如西门子step7编程软件的执行，来模拟控制，实现资源的启停、程序的下装。

资源不提供远程访问接口，只提供本地访问接口，试验数据需要通过代理进行数据中转。代理一方面通过连接测试网，一方面通过串口、并口、USB 口、PCIe 等形式连接资源。

4 开发与验证

本实验在工控网络安全靶场建模与封装系统的测试环境下进行，该测试环境由6 台高性能服务器组成，基于OpenStack 云计算管理平台进行资源管理和网络互联，并充分利用服务器的计算、存储、网络资源，针对大规模计算网络开展的试验提供可按需构建虚拟资源、实物资源及仿真网络环境。

该环境可按照统一的资源模型建模标准，构建工控软硬件资源的模型，用于支撑靶场资源管理、任务规划、网络参数配置、数据采集配置，实现逻辑层面到实体层面映射。同时基于工控网络安全靶场建模与封装系统框架，结合工控资源特性，定制开发配置管理插件/代理、数据采集插件/代理等，可接受与反馈命令、完成工控网络的配置生成和部署、进行数据采集，实现工控资源的统一管控和任务应用。

基于对以上的开发环境和对工业系统分层结构的理解，结合工控网络安全靶场建模与封装技术，在开发环境上建立油气炼化测试场景。

（1）建立模型，可在模型库中对资源设备进行选择，若模型库没有对应设备，可对设备进行新建分类及描述形成模型模板添加入库。建好的模型如图8 所示。

图8 模型的建立

（2）建立油气炼化网络拓扑，通过网页上的拖拽模型进行拓扑的设计。最上层有化工部、设备部等模拟真实工业控制系统业务部门，这些节点通过核心交换机与另一端有PI 客户端、PI 服务器相连，作为底层控制网络和上层管理信息系统的桥梁。下层过程控制层为艾默生Deltav 控制器、工程师站、操作员站，连接现场装置层的常压塔、分馏塔、出馏塔等实物资源。这些实物资源通过接口开关柜接受艾默生控制器的控制，如图9所示。

图9 油气炼化场景网络拓扑示意图

（3）部署好网络拓扑图后，对想定的设备进行配置采集准备。可点击拓扑中对应的设备，在右侧列表中进行相应配置。

（4）当完成每个子任务的配置后，通过排队、创建网络、创建终端、校验终端后，便可开启场景。

本实验设计的科目是通过管控插件的启停接口对艾默生控制器下达运行的指令，完成开启电机的操作。当下发初始化、开始试验的指令后，可以发现现场实物设备电机已经开始运转。数据采集的插件采集实验数据，经过简单处理后发送到软件界面进行显示。数据采集的软件界面示意图如图10 所示，点击查看操作可以显示采集数据。

图10 数据采集软件界面示意图

以上展示了一个完整的对油气炼化测试场景配置和采集流程，为了避免因单一实验特殊性对实验带来的影响，使用城市水利、油气管道传输等不同的场景测试，模拟了西门子PCS7、艾默生DeltaV、HONEYWELL 等DCS 控制系统，测试封装了5 种以上的工业协议，均达到了配置管理、启停、数据采集的要求，证明了本文所提出的建模与封装技术的有效性。

5 结论

本文提出基于模型驱动架构思想的工控网络安全靶场资源建模方法，以工控系统为对象，描述真实资源的功能、性能、接口、形态等属性，描述试验资源的核心能力，设计一个面向工控网络安全靶场应用的异构资源模型，对异构资源封装技术进行了探索。解决工控网络安全靶场资源种类多、互联管控难、复用效率低等问题，增加了靶场的灵活性、扩展性和可控性。实现分布式多任务场景灵活接入，提高领域优势资源利用效率。