工業(yè)互聯(lián)網(wǎng)安全應(yīng)急響應(yīng)的數(shù)字孿生技術(shù)分析

摘要：工業(yè)互聯(lián)網(wǎng)又被稱為第四代工業(yè)革命基石，借助互聯(lián)網(wǎng)背景及技術(shù)，將互聯(lián)網(wǎng)進(jìn)行延伸、外擴(kuò)。將互聯(lián)網(wǎng)技術(shù)與工業(yè)經(jīng)濟(jì)深度融合，形成從基礎(chǔ)設(shè)施到應(yīng)用模式，包含人、機(jī)、物、平臺等的全面控制管理，形成創(chuàng)新的數(shù)字化、網(wǎng)絡(luò)化、智能化工業(yè)發(fā)展。基于此，工業(yè)互聯(lián)網(wǎng)的安全性尤為重要。相關(guān)應(yīng)急響應(yīng)工作也具有重要意義，開展有效控制，避免因為安全問題導(dǎo)致工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)鏈?zhǔn)艿接绊懀瑴p少各種損失。本文通過分析工業(yè)互聯(lián)網(wǎng)安全需求，闡述其應(yīng)急響應(yīng)的概念及意義，并對相關(guān)的數(shù)字孿生安全技術(shù)進(jìn)行分析，優(yōu)化具體應(yīng)用措施和控制方案，以期為工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)鏈安全保障提供參考依據(jù)。

關(guān)鍵詞：工業(yè)互聯(lián)網(wǎng)安全；數(shù)字孿生；應(yīng)急響應(yīng)

1. 國家法律及制度下的工業(yè)互聯(lián)網(wǎng)安全需求

互聯(lián)網(wǎng)從應(yīng)用至今，其安全性一直是人們關(guān)注的重點，特別是涉及國家層面的網(wǎng)絡(luò)安全保障，更是網(wǎng)絡(luò)安全的重中之重。我國網(wǎng)絡(luò)安全保障有基本國策、基本制度、基本策略不同等級，從被動防御到主動防御，到事前、事中、事后的全面防御，確保互聯(lián)網(wǎng)信息數(shù)據(jù)的安全，保障國家、人民經(jīng)濟(jì)財產(chǎn)。工業(yè)互聯(lián)網(wǎng)安全不是簡單的工業(yè)產(chǎn)業(yè)中信息技術(shù)的安全，而是整個新興產(chǎn)業(yè)全鏈條的安全保障。隨著各種大數(shù)據(jù)技術(shù)、物聯(lián)網(wǎng)技術(shù)、云計算技術(shù)的全面應(yīng)用，工業(yè)互聯(lián)網(wǎng)的安全保障亟須升級，不僅要適應(yīng)互聯(lián)網(wǎng)移動信息技術(shù)的發(fā)展，更要對工業(yè)控制信息系統(tǒng)、平臺等形成全面保護(hù)，確保核心工業(yè)控制系統(tǒng)安全，保障國家工業(yè)技術(shù)和國有工業(yè)資產(chǎn)安全。

2. 工業(yè)互聯(lián)網(wǎng)安全的應(yīng)急響應(yīng)

工業(yè)互聯(lián)網(wǎng)安全的應(yīng)急響應(yīng)是有效解決工業(yè)互聯(lián)網(wǎng)安全問題的重要策略，受到互聯(lián)網(wǎng)行業(yè)及國家安全事業(yè)的重視與關(guān)注，其實際應(yīng)用意義非常重要。應(yīng)急響應(yīng)主要是進(jìn)行預(yù)防活動，通過有效監(jiān)測、分析，找到相關(guān)預(yù)測的準(zhǔn)確度，對可能發(fā)生或者已經(jīng)初步發(fā)生的安全事件進(jìn)行有效協(xié)調(diào)、處理，并在全面監(jiān)控中進(jìn)行分析，對工業(yè)互聯(lián)網(wǎng)活動、業(yè)務(wù)進(jìn)行高效保護(hù)，提供安全屏障。在此基礎(chǔ)上，只要實施有效儲備，執(zhí)行高效預(yù)防措施，可以將已經(jīng)發(fā)生或即將發(fā)生的安全事故防范在可控范圍內(nèi)，并將損失、影響降到最低，減少各種不利情況的發(fā)生。根據(jù)《應(yīng)急響應(yīng)規(guī)范》要求，應(yīng)急響應(yīng)整體分為四個階段，分別為應(yīng)急準(zhǔn)備階段、監(jiān)測與預(yù)警階段、應(yīng)急處置階段、總結(jié)改進(jìn)階段。

3. 工業(yè)互聯(lián)網(wǎng)安全應(yīng)急響應(yīng)的具體內(nèi)容

首先，應(yīng)急準(zhǔn)備階段。應(yīng)急準(zhǔn)備階段最重要的工作內(nèi)容，就是應(yīng)急預(yù)案的制定。而一份合格有效的應(yīng)急預(yù)案，需要包括組織建立、制度制定兩大部分。要根據(jù)應(yīng)急事件的實際情況，進(jìn)行事件識別、事件評估，對事件級別進(jìn)行定義，并對維護(hù)對象和維護(hù)活動進(jìn)行預(yù)測，對可能出現(xiàn)的風(fēng)險、隱患做出詳細(xì)描述，制定對應(yīng)策略。應(yīng)急預(yù)案制定之初，需要通過培訓(xùn)、演練來鑒別其實用性和有效性，通過完善的準(zhǔn)備工作，能夠有效提升應(yīng)急預(yù)案的使用效果。在開展演練的過程中，要先準(zhǔn)備應(yīng)急材料、物資，這將決定應(yīng)急預(yù)案的可操作性和可行性；開展科學(xué)的事前評估和預(yù)計，才能保障應(yīng)急預(yù)案所需材料準(zhǔn)備得充足與合理。先以某工業(yè)控制系統(tǒng)作為研究示例，依據(jù)IEC62264-1層次結(jié)構(gòu)模型標(biāo)準(zhǔn)及劃分標(biāo)準(zhǔn)，參考SCADA系統(tǒng)、DCS系統(tǒng)、PLC系統(tǒng)三類模型的共同特點，工業(yè)控制系統(tǒng)應(yīng)遵循如下5個層級，以此開展必要工作，具體內(nèi)容及詳細(xì)分析見圖1[1]。

其次，監(jiān)測與預(yù)警階段。監(jiān)測及預(yù)警主要依賴完善的報告、通報制度，依靠各項有力的實時監(jiān)測工具和技術(shù)。一旦發(fā)生風(fēng)險或隱患問題，系統(tǒng)會自動生成報告進(jìn)行匯報并預(yù)警，相關(guān)人員在經(jīng)過詳細(xì)核實與分析后，對事件影響、損害進(jìn)行評估，制定相應(yīng)策略。

再次，應(yīng)急處置階段。嚴(yán)格執(zhí)行應(yīng)急方案，并根據(jù)現(xiàn)場實際情況進(jìn)行調(diào)整，將各種損失、損害降到最低，保障各項活動安全、有效。

最后，總結(jié)改進(jìn)階段。本階段是對應(yīng)急事件的復(fù)盤，從事件發(fā)生的原因、過程進(jìn)行分析，并針對應(yīng)急方案執(zhí)行過程進(jìn)行評估、改正，總結(jié)整個事件的影響、危害程度，明確有效應(yīng)急辦法和措施，改進(jìn)、優(yōu)化流程，提高實際應(yīng)用效率。

4. 工業(yè)互聯(lián)網(wǎng)安全體系下的數(shù)字孿生技術(shù)應(yīng)用分析

數(shù)字孿生又稱Digital Twin，是充分利用物理模型、傳感器更新、運(yùn)行歷史等數(shù)據(jù)，集成多學(xué)科、多物理量、多尺度、多概率的仿真過程，在虛擬空間中完成映射，從而反映相對應(yīng)的實體裝備的全生命周期過程[2]。這是一種超越現(xiàn)實的概念，是對相互影響設(shè)備、平臺等的一種數(shù)字映射系統(tǒng)。作為當(dāng)前最新穎、受關(guān)注的“元宇宙”概念，數(shù)字孿生技術(shù)成為工業(yè)生產(chǎn)過程中的數(shù)字虛擬產(chǎn)物，直接反映各種工業(yè)設(shè)備在物理空間、數(shù)字空間的行為、生命周期狀態(tài)，特別是對于設(shè)備故障預(yù)測、狀態(tài)檢測具有重要意義。由此獲得的相關(guān)數(shù)據(jù)、參數(shù)，都可作為重要決策信息，更可以指導(dǎo)各項預(yù)案措施的落實。

數(shù)字孿生技術(shù)主要分為模型構(gòu)建層、數(shù)據(jù)互動層和仿真分析層[3]。首先，模型構(gòu)建層是指建立物理實體的數(shù)字化模型或信息建模技術(shù)，這些信息、數(shù)據(jù)是實現(xiàn)數(shù)字化的基礎(chǔ)，是數(shù)字孿生技術(shù)的重要核心。其次，數(shù)據(jù)互動，顧名思義就是各種信息間的交互、呼應(yīng)，包括物力、數(shù)字等多種對象，其交互過程展現(xiàn)整個對象互動的過程。最后，仿真技術(shù)通俗來說就是模仿、演化過程，在保障原有物理現(xiàn)象準(zhǔn)確性的前提下，對整個運(yùn)行過程、原理也進(jìn)行模仿，通過數(shù)據(jù)技術(shù)、計算算法等，預(yù)估物理對象的未來行為、狀況等。這三部分聯(lián)合運(yùn)作，是解決工業(yè)設(shè)備故障問題和預(yù)測風(fēng)險的重要因素。數(shù)字孿生技術(shù)可以實現(xiàn)可見性、預(yù)見性、數(shù)據(jù)交互機(jī)制等功能，并利用數(shù)字映射關(guān)系，在工業(yè)互聯(lián)網(wǎng)安全體系中做出邏輯層次的對應(yīng)和應(yīng)用，具體數(shù)據(jù)及運(yùn)行見圖2[1]。

首先，將數(shù)字孿生技術(shù)應(yīng)用于工業(yè)互聯(lián)網(wǎng)設(shè)備、主機(jī)，以模型形式創(chuàng)造數(shù)字化孿生體，通過互相映射滿足狀態(tài)可見。同時，數(shù)字孿生技術(shù)也可以通過亂省體，實現(xiàn)工業(yè)控制系統(tǒng)設(shè)備操作的可見性、工廠環(huán)境和工業(yè)環(huán)境中設(shè)備儀器交互關(guān)聯(lián)的可見性，而孿生體與物理實體的數(shù)據(jù)交互則通過系統(tǒng)接口進(jìn)行。其次，孿生體與設(shè)備本身進(jìn)行交互，應(yīng)用相關(guān)鏈接、映射原理，體現(xiàn)工業(yè)控制過程中所有實際狀況及未來預(yù)估情形可見。再次，對于需要預(yù)測的相關(guān)內(nèi)容，都能在數(shù)字孿生體中得到全面模擬，實現(xiàn)虛擬運(yùn)行、控制部署，創(chuàng)建尚未出現(xiàn)情況的數(shù)據(jù)條件和設(shè)備狀況，從而得到預(yù)見性數(shù)據(jù)。最后，數(shù)字孿生模型也可以實現(xiàn)單一設(shè)備和設(shè)備集合行為的理解和說明，并將具體行為進(jìn)行記錄；同時，孿生技術(shù)整體閉環(huán)性較高，能夠?qū)Ω黜椇罄m(xù)內(nèi)容開展對接，實現(xiàn)全鏈條完備。

當(dāng)前，數(shù)字孿生技術(shù)在我國應(yīng)用較低，屬于初級級別，基于互聯(lián)網(wǎng)技術(shù)的發(fā)展升級速度及網(wǎng)絡(luò)架構(gòu)的復(fù)雜，其運(yùn)行狀況及安全保障需要隨時進(jìn)行更新，不斷處于升級狀態(tài)。因此，數(shù)字孿生體的核心數(shù)字、信息等都需要不斷進(jìn)行升級，從而有效支撐持續(xù)的評估和防護(hù)，以此為應(yīng)急響應(yīng)提供各種數(shù)據(jù)參考和技術(shù)依據(jù)。

5. 一種應(yīng)用在工業(yè)互聯(lián)網(wǎng)安全靶場的數(shù)字孿生、雙模雙控技術(shù)

工業(yè)互聯(lián)網(wǎng)安全靶場的配置以實體、虛擬、孿生體設(shè)備為主，其中達(dá)到需求的計算機(jī)主機(jī)、軟件等都非常多樣、復(fù)雜，且技術(shù)級別較高。同時，優(yōu)秀的信息交互技術(shù)也是安全靶場必不可少的軟件之一。圖3[1]展示的是一種虛實結(jié)合的多模控制方案，包含虛擬、實體設(shè)備連接接口、實體、數(shù)字孿生體交互接口等多種設(shè)備間接口。通過SDN技術(shù)、網(wǎng)絡(luò)功能虛擬化等技術(shù)，按照設(shè)定好的網(wǎng)絡(luò)渠道及簽署的傳輸協(xié)議內(nèi)容，將對整個系統(tǒng)的信息交互和數(shù)據(jù)轉(zhuǎn)換高效運(yùn)行提供幫助，還能促進(jìn)工業(yè)互聯(lián)網(wǎng)的合理性和實用性，并在有必要時及時升級。

5.1 協(xié)同共控

工控系統(tǒng)以實體和虛擬設(shè)備的結(jié)合共同搭建而成，分別存在的實體設(shè)備與虛擬設(shè)備數(shù)量、種類各不相同，系統(tǒng)是通過相互對應(yīng)和交互作用，滿足工控結(jié)果。實體設(shè)備、虛擬設(shè)備、數(shù)字孿生體三類對象形成多種邏輯對接，滿足統(tǒng)一虛擬網(wǎng)絡(luò)對三者的聯(lián)合應(yīng)用和控制，提供三者數(shù)字、信息間的數(shù)據(jù)交互。其中的邏輯對接是指實體、數(shù)字孿生體、虛擬設(shè)備、實體數(shù)字孿生體、非實體數(shù)字孿生體、虛擬數(shù)字孿生體、非虛擬數(shù)字孿生體等設(shè)備之間的單獨交互和相互交互過程，且過程要含有一定邏輯理論的程序?qū)印Ｕw的虛擬控制系統(tǒng)也在執(zhí)行“軟件化”操作，設(shè)置各種特定硬件、強(qiáng)化軟件、基礎(chǔ)結(jié)構(gòu)等，完全復(fù)制、覆蓋原網(wǎng)絡(luò)標(biāo)準(zhǔn)，操作、控制性能得到很大提升。

其中，SDN技術(shù)是經(jīng)過革新后的數(shù)據(jù)轉(zhuǎn)發(fā)、控制關(guān)鍵，依據(jù)OpenFlow協(xié)議，改變傳統(tǒng)數(shù)據(jù)轉(zhuǎn)發(fā)和邏輯控制在同一個網(wǎng)絡(luò)設(shè)備的缺點，通過SDN技術(shù)實現(xiàn)轉(zhuǎn)發(fā)與控制分離，使模型不再垂直管理[4]。一旦發(fā)生網(wǎng)絡(luò)協(xié)議、交換策略調(diào)整，僅改動控制層即可；而進(jìn)行交換機(jī)的數(shù)據(jù)轉(zhuǎn)發(fā)，直接操作數(shù)據(jù)轉(zhuǎn)發(fā)應(yīng)用就能夠?qū)崿F(xiàn)。通過技術(shù)分離，完成虛擬系統(tǒng)工作需求，來實現(xiàn)軟硬件的實際掌握與操作。針對其中具體的控制器、物理設(shè)備、無線設(shè)備等，其工作原理為：首先，操作控制器。通過操作控制器，可以完成路由器相關(guān)安全設(shè)置的調(diào)整，滿足不同行為需求。其次，物理設(shè)備與交換網(wǎng)口相互連接后，通過計算機(jī)界面呈現(xiàn)虛擬網(wǎng)絡(luò)狀況。最后，無線AP是進(jìn)入虛擬網(wǎng)絡(luò)的專有形式，通過網(wǎng)絡(luò)VLAN共享，物理設(shè)備、無線AP、虛擬網(wǎng)絡(luò)系統(tǒng)等處于同一個系統(tǒng)中，才能為虛擬系統(tǒng)控制和實體系統(tǒng)控制交互進(jìn)行提供基礎(chǔ)，實現(xiàn)工業(yè)機(jī)器設(shè)備和傳感設(shè)備的正常運(yùn)作。

5.2 交換機(jī)數(shù)據(jù)傳輸

交換機(jī)的驅(qū)動程序要依據(jù)具體型號進(jìn)行選擇，確保能夠有效安裝和高效使用，特別是與遠(yuǎn)程管理系統(tǒng)的配套性要提高。另外，交換機(jī)數(shù)據(jù)傳輸過程中，一定要遵循安全協(xié)議，確保數(shù)據(jù)加密保護(hù)率，避免傳輸中的信息泄露問題發(fā)生。在日常使用中，Openstack插件會自動加載到系統(tǒng)中，通過自動配置安裝驅(qū)動，并開展具體的操作。Openstack軟件的自適應(yīng)非常高，保障性更強(qiáng)。

5.3 調(diào)用及處理

調(diào)用和處理需要將文本內(nèi)容解析成對象方可執(zhí)行，這就離不開文本解析器的應(yīng)用。文本解析一般有兩種方式，一種是字符串分割，另一種是正則表達(dá)式。文本解析器執(zhí)行SSH協(xié)議命令，將返回信息進(jìn)行解析，這個文本塊可以按照需求進(jìn)行數(shù)據(jù)設(shè)計，也可以擬定規(guī)則，并進(jìn)行標(biāo)記，可提高數(shù)據(jù)應(yīng)用效率[5]。當(dāng)實現(xiàn)文本塊中文本內(nèi)容解析成對象后，直接調(diào)用、處理返回值即可。多模多控方案的出現(xiàn)，通過實體、虛擬、數(shù)字孿生體的設(shè)備、系統(tǒng)自身交互與相互交互實現(xiàn)操作，不僅建立科學(xué)的邏輯通路，還能與其他動態(tài)、外網(wǎng)拓展進(jìn)行交互部署，提高協(xié)同控制能力。在發(fā)現(xiàn)或者預(yù)警應(yīng)急活動時，這套方案以數(shù)據(jù)采集和可視化操作等虛擬系統(tǒng)進(jìn)行預(yù)判與演練，提高安全評估性能，提升預(yù)估準(zhǔn)確度，從而為工業(yè)互聯(lián)網(wǎng)安全活動提供保障，為應(yīng)急管理奠定基礎(chǔ)。因此，雙模雙控的安全靶場是工業(yè)互聯(lián)網(wǎng)中新技術(shù)、新設(shè)備運(yùn)行的基礎(chǔ)和保障。

結(jié)語

工業(yè)互聯(lián)網(wǎng)安全是國家安全戰(zhàn)略的重要部分，安全應(yīng)急響應(yīng)更是開展和應(yīng)用工業(yè)互聯(lián)網(wǎng)活動的重要保障，而數(shù)字孿生技術(shù)則是實現(xiàn)工業(yè)互聯(lián)網(wǎng)安全應(yīng)急響應(yīng)的重要渠道和有效辦法，因此，開展數(shù)字孿生技術(shù)學(xué)習(xí)、應(yīng)用、研究，對提高工業(yè)互聯(lián)網(wǎng)安全具有重要意義。工業(yè)互聯(lián)網(wǎng)安全靶場就是應(yīng)用數(shù)字孿生技術(shù)，提供各種風(fēng)險識別、預(yù)測、評估等多方面支持，并在此基礎(chǔ)上構(gòu)建成本更低、適應(yīng)性更強(qiáng)、運(yùn)行更安全的虛擬現(xiàn)實相融合的安全靶場。數(shù)字孿生技術(shù)的應(yīng)用，將有效提高工業(yè)互聯(lián)網(wǎng)安全應(yīng)急響應(yīng)方案的改進(jìn)、升級，不斷提升安全系數(shù)，持續(xù)支撐攻防演練靶場，還可將其應(yīng)用于教學(xué)、實訓(xùn)、競賽、科研等多個方面，獲得各種有效經(jīng)驗，為國家工業(yè)發(fā)展和工業(yè)互聯(lián)網(wǎng)安全人才儲備奠定堅實基礎(chǔ)。

參考文獻(xiàn)：

[1]魏毅寅，柴旭東.工業(yè)互聯(lián)網(wǎng)：技術(shù)與實踐[M].北京：電子工業(yè)出版社，2021：139-142.

[2]陶飛，張賀，戚慶林，等.數(shù)字孿生十問分析與思考[J].計算機(jī)集成制造系統(tǒng)，2020，26（1）：1-17.

[3]牛鵬飛，王洲.基于數(shù)字孿生技術(shù)的生產(chǎn)運(yùn)行管理系統(tǒng)仿真技術(shù)研究[J].中國儀器儀表，2021，（11）：68-71.

[4]羅可，曾鵬，熊兵，等.面向SD-DCN的OpenFlow分組轉(zhuǎn)發(fā)能效聯(lián)合優(yōu)化模型[J].計算機(jī)研究與發(fā)展，2022，（7）：11.

[5]韋婷，陳慧.面向工業(yè)互聯(lián)網(wǎng)安全應(yīng)急響應(yīng)的數(shù)字孿生技術(shù)研究[J].電子技術(shù)與軟件工程，2022，（17）：50-53.

作者簡介：薛智文，本科，中級注冊安全工程師，研究方向：公共安全與應(yīng)急管理機(jī)制研究、應(yīng)急治理體系和能力、防災(zāi)減災(zāi)救災(zāi)體制機(jī)制研究等。