隨著5G和萬物互聯IOT時代的到來，無人駕駛、智能工廠全面普及，人人互聯、機機互聯，甚至人機互聯成為可能，而網絡風險和威脅也與日俱增，漏洞和病毒造成的后果也更加嚴重，尤其是在能源、電力、通信、交通、軍工、智能制造等領域的關鍵信息基礎設施的網絡安全隱患尤為突出。

　　隨著工業4.0時代的到來，工業控制系統網絡安全面臨更為艱巨的挑戰。工業控制系統環境的復雜性、設備組件的多樣化、工業協議的相對封閉性等一系列制約因素。對于工控系統而言，一旦遭到病毒、蠕蟲等入侵，系統將會面臨停機的風險，帶來不可估量的經濟損失。因此，對工業控制系統進行測試、對工控安全進行研究的任務迫在眉睫。

　　近日，安全牛有幸采訪了博智安全科技股份有限公司創始人傅濤，就圍繞軟件定義靶場的建設思路進行了深入交流，以下是主要內容：

　　傅濤

　　博智安全創始人

　　博智安全科技股份有限公司董事長

　　工作期間先后主持國家工信部十余項國家省級發改委和科技部（廳）專項，先后獲得中國人民解放軍科技進步獎1次，江蘇省科技進步獎1次，省優秀軟件產品金慧獎6次，南京市優秀發明專利獎1次，南京市科技進步獎5次。

　　個人入選中共中央組織部“萬人計劃”，國家科技部“創新創業人才”，江蘇省組織部“科技企業家”，江蘇省經信委“產業教授”，江蘇省“六大人才高峰計劃”，江蘇省“333人才工程計劃”南京市中青年“拔尖人才”，南京市經信委“科技創業家”。

　　安全牛

　　傅總，當前工控安全事件頻發，我國的工業基礎設施也遭受到網絡攻擊，工控安全所面臨的威脅不斷加劇，能談談我們該如何應對這些威脅，有什么好的解決方案？

　　傅濤：隨著信息技術迅速發展，5G的大規模應用，網絡空間安全已成為世界各國關注的重點。近年來，病毒攻擊事件頻發。2012年伊朗核電站病毒事件、2015年烏克蘭電力系統被攻擊導致大規模停電、2018年臺積電受攻擊導致停產等，這些針對工控領域的攻擊對國家正常生產和安全造成了嚴重破壞，其影響和打擊力度不亞于一次中等規模的戰爭。因此國家重點行業工控系統安全是亟待解決的關鍵問題，迫切需要深入研究，采取有效措施，扎實突破互聯網核心技術，掌握“命門”，構建可信基礎產品體系，可控重大工程體系，可信賴安全服務體系，支撐重要行業信息系統的高可靠、高性能和高安全，加快構建關鍵信息基礎設施安全保障體系。

　　這里最關鍵的就是要解決“人才+技術”的短板問題，需要政府引導，龍頭主導，企業參與，產業鏈聚集，面向工業互聯網、物聯網、互聯網全場景，虛實結合模式，打造集仿真實驗、聯合攻關、孵化驗證、人才培訓、比武競技、測評認證五位一體的國家級綜合網絡安全靶場；構建全面工控安全知識圖譜，提供聯合攻關、創新孵化、仿真實驗、人才培訓和測評認證服務；手把手-教、真刀真槍-比、真實環境-驗證的技術服務。

　　網絡安全靶場針對不同行業需要不同的網絡環境構建，運行系統部署，應用程序加載，以及不同的漏洞部署，那么就需要引入軟件定義技術，將軟件邏輯與硬件資源充分解耦，自上而下設計編排，映射資源池，構建環境。其中硬件可以是服務器，路由器，防火墻，工控PLC。同時這些物理資源也可以虛擬化，虛擬路由器、虛擬防火墻這些都是比較成熟的技術。工控PLC虛擬化是將PLC軟件化，協議也是虛擬化，可以和實際物理PLC一樣，基于IEC61131-3進行控制邏輯設計，生成IEC程序，只是虛擬化PLC是將IEC程序轉換成C語言程序，加載的虛擬PLC執行，從而完全虛擬與實際物理場景一樣的控制邏輯，做到場景可定義、應用可定義、網絡可定義、系統可定義、漏洞可定義，進而做到覆蓋全行業場景，全產業要素，全領域空間的安全實操演訓，從而方便靈活的構建安全技術創新孵化體系、安全比武打擂攻防技術體系、安全人才培訓體系、安全測評認證體系，承擔起網絡空間安全領域基于實戰環境的創新攻關、比武競技、人才培訓、測評認證四大核心功能和任務。

　　安全牛

　　上面您提到“人才+技術”是主要的短板和命門，通過構建網絡安全靶場進行人才培養和技術驗證，同時您又提到了軟件定義技術是構建網絡安全靶場的關鍵技術，可以做到場景可定義，應用可定義等，這些可定義技術相對于傳統技術有哪些優勢，能帶來哪些突破？

　　傅濤：傳統技術是針對某個特定場景的靶場定制開發對應的功能，、靈活度，、可擴展性都是欠缺的，而軟件定義技術將物理層與邏輯層完全解耦，可以將物理及虛擬資源池化，自上而下定義場景，自由組合功能邏輯按需建立與物理及虛擬資源的映射，具備高度的靈活性和可擴展性。這樣我們就可以深入具體行業，基于軟件定義技術，結合安全態勢感知、主機及流量探針、脆弱性分析、惡意代碼分析等技術，做到不同行業場景360°全息感知攻防過程，明確攻防意圖，幫助不同行業客戶合理應對安全事件，將負面影響最小化，培養安全人員技能水平、加強安全網絡環境建設、提高設施環境安全防護。

　　軟件定義靶場具有以下幾點核心優勢。

　　1、高：目標場景仿真度高，基于場景可定義，可以讓用戶通過拖拉拽的方式定義環境，配置場景，自動與虛擬資源和物理資源關聯映射，構建出基于用戶意圖的高仿真目標場景。

　　2、強：攻防過程以及結果感知強，基于高仿真環境，結合綜合評估系統，使用豐富的三維態勢，做到事前、事中、事后的整體綜合評估，全面展示攻防過程、態勢分析效果。

　　3、智：靶場運維智能化，基于軟件定義分層抽象，軟件業務邏輯層根據業務應用與物理資源層自動建立映射，各層狀態有機聯動，自動配置構建目前網絡；基于安全分析組件發現系統安全隱患精準定位目標網元執行自動加固，結合故障分析組件，出現故障節點通過調度資源池進行動態彈縮擴展或者替換自動恢復，從而形成一個自動加固優化，自動映射配置，自愈恢復的智能化系統。

　　自動加固和自愈恢復是需要在基于軟件定義層次架構下才能實現，對于加固策略的自動執行，這需要上層應用邏輯和底層物理資源建立關聯映射，其狀態才能有機聯動，同時基于聯動的關聯關系，精準定位執行加固策略。對于故障自愈也是一樣，這是一個立體關聯的模型，任何一個節點出現故障可以及時發現，通過調度資源池進行動態彈縮擴展或者替換做到自愈。

　　4、寬：靶場覆蓋行業寬，基于軟件定義技術，用戶可以靈活定義所屬行業的環境場景，可以覆蓋傳統網絡靶場、工業網絡靶場、電信網絡靶場、衛星遙感網絡靶場、智能制造靶場、核電控制靶場等多種靶場環境。軟件定義靶場基于分層抽象架構，通過網絡虛擬化，工控系統虛擬化，結合集群管理、智能運維、資源池化管理等平臺組件，自動構建各種工控網絡場景。同時可以通過植入基于意圖的網絡安全分析IBNS，可為客戶提供多維度基于意圖的產品安全測試驗證、攻防對抗訓練、比武競賽、攻防武器的驗證等功能。

　　安全牛

　　那您剛剛還提到過軟件定義靶場可以做到全行業覆蓋，而工控行業所涉及面很廣，每個行業都有特定的專業背景，全行業覆蓋的難度可想而知，您可以談談為什么軟件定義靶場能夠做到這種全行業覆蓋？

　　傅濤：是的，工控行業非常廣，涉及電力、核電、軌交、汽車制造、糧食加工、化學制藥、金屬礦山等等，我國工控細分領域就多達40多種，要做到全行業覆蓋的網絡靶場是很困難，而軟件定義技術，虛擬化技術以及虛實結合技術使得全行業覆蓋成為可能。

　　首先，從理論上看，通過分層抽象，將物理資源及虛擬資源池化，邏輯層根據業務應用進行映射調度，將業務功能邏輯抽象封閉，物理層可以自由擴展，上層應用依賴功能抽象邏輯，而不與實際物理或虛擬設備綁定，做到軟件可定義，可編程；基于此這樣的架構，產品能夠分層橫向擴展，不斷完善和擴展應用場景和業務功能。比如對于工控的各個行業最主要的控制單元就是PLC，我們可以使用實際的PLC產品，也可以虛擬化PLC，納入軟件定義靶場的資源池，這樣就可以針對大部分工控行業，比如電力、軌交、水處理、化工等行業，在上層通過拖拉拽方式構建工程圖，再基于IEC61131標準進行控制邏輯定義，加載到關聯映射的PLC上，從而就構建出了對應的工控靶場。對于相對復雜的行業，比如核電行業，其反應堆、蒸汽發生器、穩壓器、渦輪發電機、水槽、給水泵、重力棒、冷凝器等，都可以物理仿真或虛擬化，納入資源池，通過軟件定義建立關聯映射構建核電靶場。

　　再從實現方式看，可以通過構建一種基于軟件定義靶場的平臺，分為基礎設施、業務平臺、服務平臺，建立工控行業靶場標準規范，打造一種生態圈，可以容納各行業環境、場景、應用、系統、漏洞定義，在該平臺上實現并驗證，結合全社會力量不斷完善和增強。對于基礎設施主要針對各個行業所涉及的物理資源進行虛擬化或物理仿真資源化，建立基礎設施資源池。業務平臺主要針對不用行業所涉及的業務邏輯進行封裝組件化，用于上層服務業務邏輯定義。服務平臺主要針對不同行業構建對應服務系統，如實訓、競賽、測評等。

　　安全牛

　　軟件定義靶場覆蓋行業較廣，您能談談面對不同行業不同層次的用戶，如何去滿足他們所需的各種不同的服務需求？

　　傅濤：通常用戶對網絡安全靶場的需求分為兩類，第一類，就是對業務覆蓋需求，這個之前已經談過了。第二類，就是服務應用及運維需求，這是一個很關鍵也很重要的需求，直接關系到網絡安全靶場發展。

　　不同行業不同企業其體量和規模都是不一樣的，對于體量大規模大的企業客戶，其所掌握的資源較多，對于這類客戶完全可以給予定制并獨立部署網絡安全靶場滿足其需求，但是更廣泛的企業用戶是不具備這種資源的，大部分客戶無法也不愿意承擔部署運維獨立網絡安全靶場的成本，于是基于軟件定義靶場構建一種網絡靶場即服務（SDRaaS）的構想就被提出來了，可以基于云服務技術部署軟件定義靶場向廣大工控企業用戶發布工控安全靶場服務。客戶可以直接使用靶場服務定義所需環境及場景，進行安全攻防演練及驗證。

　　軟件定義靶場即服務（SDRaaS）可以給廣大客戶帶來三方面的價值：

　　1、省去建設成本： 部署一套網絡靶場需要采購服務器，物理仿真等資源，其建設成本還是比較高的，通過靶場即服務，客戶可以省去部署和采購，直接使用靶場服務，省去了建設成本；

　　2、提升用戶體驗：通過軟件定義方式構建用戶所需靶場環境和場景可以交付給客戶一個最具體驗性的產品和服務，用戶不需關心所需資源，直接定義場景使用體驗；

　　3、沒有運維成本：通過靶場即服務提供給客戶一整套靶場解決方案，具備靈活的及時訪問和現場支持能力，同時整個系統的運維客戶都不用關心，不需要單獨建立運維團隊，只需要直接使用對應的靶場服務。

　　可以看到通過靶場即服務這樣一種服務方式所帶來的客戶價值，將非常容易推廣網絡安全靶場，服務于各類工控企業，推動工控安全的可持續發展，形成關系國計民生的關鍵行業系統有力的安全保障。

　　安全牛

　　軟件定義靶場有著諸多優勢，能夠靈活定義覆蓋全行業，具備很大的發展潛力，那么對網絡安全靶場未來的發展趨勢您是怎么看的？

　　傅濤：可以預見，網絡靶場將向著安全體系化、數據智能化、場景融合化、協議標準化等方向發展，網絡靶場建設不僅是取得國家網絡空間安全主導權的關鍵領域，也是確保國家網絡安全的戰略新高地。未來，將通過網絡虛擬化、工控系統虛擬化，結合集群管理、智能運維、資源池化管理等平臺組件，自動構建各種工控網絡場景，在此基礎上疊加各種業務功能組合成軟件定義靶場，基于場景可定義、應用可定義、網絡可定義、系統可定義及漏洞可定義，著力打造如下七種新型工控安全網絡綜合靶場場景：

　　1、沉浸式人機交互靶場：基于虛擬現實技術，結合3D多維呈現技術實現第一人稱視角的人機交互系統，讓用戶真實感知系統運行全過程，并可以及時干預。

　　2、意圖驅動靶場：基于IBNS分析技術，結合網絡探測技術收集數據，經過抽取，轉換，加載綜合橫向分析，提取有效信息，隨著網絡和威脅態勢的變化實時精煉安全。

　　3、城市級靶場：基于微服務架構，結合負荷分擔及動態彈縮技術，實現超大規模場景綜合部署，將城市中多場景靶場同時運行。

　　4、跨網聯動靶場：基于開閉原則，結合分層抽象 軟件架構技術，場景易于擴展，場景可綜合跨領域，可實現縱向跨網聯合攻擊的綜合網絡安全靶場 。

　　5、自主攻防靶場：基于大數據機器學習技術，歸類對應場景的攻防特征，能夠自適應進行攻防操作，實現智能化人機交互 。

　　6、零部署靶場：通過分層抽象，物理資源池化，分層映射調度，基于用戶意圖構建網絡環境，自動配置，出現故障能夠自愈的系統，實現智能運維，自動化部署。

　　7、全息感知靶場：通過虛實結合，基于主機及流量探針，做到全過程可視化，所見即所得，驗證結果實時展示。