基于農業信息安全的虛擬化實訓攻防系統設計

摘要：提出一種農業信息網絡虛擬化實訓平臺，通過網絡靶場技術來對真實農業信息化生產過程進行模擬，可減少不法分子攻擊農業信息網絡而帶來的安全問題。首先，基于WEB操作界面提供近似真實的各種虛擬實訓環境；其次，可動態地創建虛擬機以滿足當前實驗所需要的節點數量；最后，通過對虛擬機的靈活部署和動態遷移，形成預想的網絡拓撲結構的實訓平臺。

關鍵詞：農業信息安全；網絡靶場；虛擬化平臺

中圖分類號：TP309;F323.3" " 文獻標識碼：A" " 文章編號：1674-1161（2023）05-0054-03

2019年12月，農業農村部、中央網絡安全和信息化委員會辦公室印發的《數字農業農村發展規劃（2019—2025年）》，著重強調了數字技術在農業生產、農村發展中的重要作用^[1-3]。在此大背景下，以數字平臺為代表的各種數字技術紛紛應用于農業、農村。隨著數字技術在農業農村的不斷應用，農業生產運行模式也發生了重大改變。長期以來，農業被認為受到潛在網絡攻擊的風險很低，然而，在越來越多的農場和食品加工廠采用新技術來簡化生產和整合供應鏈服務的大趨勢下，網絡犯罪對農業企業的威脅日益嚴重，襲擊事件的數量正在逐年上升^[4-6]。

1 農業信息網絡的安全問題

當前信息化在各行各業逐漸成為趨勢，并取得了不錯的效果^[7-10]。農業科技信息是其中的一部分，在網絡環境下農業科技信息可以廣泛地進行傳播，從而保證農業技術生產的良好發展。相比發達國家，中國的網絡技術開發起步晚、水平低，網絡核心安全技術發展受限，農業信息網絡建設方面存在各種不足，這為網絡安全風險的發生留下了隱患。主要安全問題有兩個方面：1）計算機網絡應用服務的實時性和高可靠性要求，難以直接在業務網絡尤其是生產系統上進行網絡攻防演練和滲透測試研究；2）運維人員存在技能不足的問題，無法對資產漏洞風險情況提供完善的、全方面的、實戰性的摸排，缺乏對存在漏洞或者0 day漏洞實行風險評估和威脅預警的能力。

在此狀況下，提出一種農業信息網絡虛擬化實訓平臺，通過網絡靶場技術來對真實業務網絡特別是生產系統進行網絡攻防演練和滲透測試研究，從實戰和運維兩個層面來實現對信息系統風險的全程管理，進而實現風險管控，消除漏洞威脅。

2 系統架構及布局

2.1 體系架構

農業信息網絡虛擬化實訓攻防平臺采用分層設計理念，從上到下分3個層級，即基礎層、中間層、應用層。如圖1所示。

基礎層基于超融合云計算平臺Gartner HCI（Hyperconverged Infrastructure超融合基礎設施，簡稱HCI）定義標準，提供計算存儲網絡和安全的虛擬化、多租戶管理及任務調度HA（Highly Available高可用性集群，簡稱HA）等。

中間層在基礎設施之上模擬出多種設備和系統，并能夠完全貼近網絡安全的各應用領域，同時集成各類資源，以服務總線ESB（Enterprise Service Bus企業服務總線，簡稱ESB）方式向上應用層提供服務支持，能夠實現不同服務之間的通信與整合，支持基于內容的路由和過濾，具備復雜數據的傳輸能力，并可以提供一系列的標準接口。

應用層向用戶提供各類應用服務。在標準規范體系方面，產品采用開放的、基于標準的消息機制，通過簡單的標準適配器和接口來完成粗粒度應用、服務和其他組件之間的互操作，能夠滿足復雜場景的編排需求。

2.2 總體布局

虛擬化測試平臺能夠實現典型的農業信息網絡場景虛擬化，共有5層，具體涉及到：L0層（控制執行層）：場景虛擬化，如農業智能制造現場場景等；L1層（農業控制層）：控制器虛擬化，如控制系統PLC等；L2層（農業監控層）：監控層虛擬化，如組態軟件WinCC，IFIX等；L3層（農業信息層）：信息層虛擬化，如OPC客戶端（WinCC等軟件監控版）等；L4層（企業IT層）：IT層虛擬化，如各類主機虛擬化、OA辦公應用虛擬化等。

虛擬化平臺的搭建，能夠將無限接近真實環境的農業系統（包括農業場景、控制系統、監控上位機、控制協議、控制信息層、管理信息層）進行虛擬化仿真。相比較于目前所采用部分場景虛擬化技術的現狀，這種虛擬化搭建更注重全場景的虛擬化，能夠在一組（臺）服務器陣列中實現整個農業信息網絡場景的虛擬化。

3 系統軟件功能

3.1 用戶權限體系

農業網絡虛擬化網絡空間靶場—自主實訓平臺，秉承以實際使用者為目標用戶的理念，將系統使用角色主要分為：管理員、教師和普通用戶。靶場所有功能在管理員的管控下完全開放給使用者，并提供用戶權限理念，從而為用戶在實際使用過程中，對物理設備、基礎靶標等內容進行隱私保護。

3.2 場景克隆

因行業的多樣性及特殊性，靶場產品無法囊括所有行業所需場景。因此，為減少用戶在靶場實際使用過程中的操作步驟，特設計場景克隆功能。此功能可對靶場內部已完成場景進行快速克隆，克隆內容包括節點配置及關聯關系，這可為業務拓展及使用便利提供相應支持。

3.3 實戰教學

目前，網絡安全基礎教學課件的推廣已經極為普及，但隨著實戰教學需求的日益增長，相關課件內容卻極為稀少。為滿足用戶對實戰教學的需求，以靶場內置場景為基礎，由專業的攻擊滲透人員對攻擊滲透方式進行定制化開發相應教學課件，并將課件嵌入到靶場內實戰教學當中。課件包括錄屏視頻及攻擊指導文檔等操作。

3.4 農業互聯網拓撲設備完整

系統利用虛擬數據采集監視系統、仿真智能制造系統等來控制流程。設備層產生生產數據；監控層監控生產數據，下發生產指令，并對設備層進行安全防護；管理層提供對外數據接口服務。用戶可以通過最外層管理層開放的對外Web服務接口對仿真環境進行層層滲透，也可以通過工控安全攻擊架構平臺在系統內進行攻擊和學習。

3.5 多環境部署

1） 部署云端：利用集群服務器算力，支持線上比賽；2） 場景獨立部署：農業信息網絡虛擬化靶場支持多個隊伍同時擁有自己獨立的場景。比賽中每個場景網絡都可以隔離，實現并支持并行比賽或攻防實驗。

4 系統演示

所有實戰演練都在云端部署。通過Web一鍵登錄實訓平臺，啟動云端實訓環境，可解決機房、實驗時間受限的現狀，使實驗具有更高靈活性、自主性。通過對農業現實環境的全虛擬化，系統滿足實戰應用型的網絡安全攻防及安全人才培養。通過云計算融合平臺來為網絡安全攻防實戰虛擬各種實訓環境，以攻擊與防護理論為指導，以全面真實的網絡攻防環境為支撐，以豐富全面的攻防腳本知識庫為保障，融合了傳統實驗教學、網絡安全攻防實戰、網絡安全演練競賽環境等，可實現線上選拔、奪旗爭霸、攻防對抗等多種不同類型的安全競技。演練人員可深入實踐網絡安全攻防技術的本質，體驗網絡安全攻防實踐過程。信息安全虛擬化實訓攻防平臺如圖2所示。

5 結論

研究提出的一種農業信息化網絡虛擬化靶場平臺，主要關鍵點及創新點有4個方面：1）每次進行靶場實驗前，可動態地創建虛擬機以滿足當前實驗所需要的節點數量，并通過對虛擬機的靈活部署和動態遷移來形成預想的網絡拓撲結構；2）靶場實驗過程中，所有的攻擊效果都被限定在虛擬的靶標場景中，對真實系統和企業業務沒有任何影響，減少了物理設備因攻擊而出現故障或損壞而需要增加投入的風險；3）每次實驗結束時，動態地掛起或者銷毀虛擬機，可釋放分配的實驗資源，之后由靶場完整回收并供下次實驗繼續使用；4）研究人員可以非常方便地在靶場中部署各種不同的攻防場景，反復演練不同的攻擊和防御手段。

總體來看，農業信息網絡虛擬化靶場平臺相當于一個農業信息網絡虛擬化靶場，能夠對農業生產設備、控制、網絡、業務數據、應用進行真實業務網絡的虛擬化仿真模擬，并能在其上進行攻防演練以避免對真實業務網絡的破壞。其成本低、部署靈活、過程可重復的特點，成為農業信息網絡攻防演練和測實研究的有效途徑。

參考文獻

[1] 張茂元，黃芷璇，王飛飛.青年流動中的鄉村治理危機及其數字化應對[J].青年探索，2022（5）：17-26.

[2]農業農村部.數字農業農村發展規劃（2019—2025年）[EB/OL].（2019-12-25）[2022-10-26].http：//www.gov.cn/zhengce/zhengceku/2020-01/20/content_5470944.htm.

[3] 范月琴，余克非，鄭展望.數字化農業為加快浙江山區26縣高質量發展賦能[J].現代農機，2022（5）：3-5.

[4] 網空閑話.被忽視的智慧農業網絡安全問題：農業面臨日益嚴重的網絡威脅[DB/OL].（2021-08-17）[2022-10-26]. https：//www.secrss.com/articles/33524.

[5] 王峰，胡大輝.農業信息系統中的信息安全問題及防范措施[J].廣東農業科學，2012，39（21）：196-199.

[6] 才豐.農業信息網絡的安全問題及防范策略[J].農業工程技術，2022，42（21）：50-51.

[7] 謝蕊.淺析我國智慧農業發展現狀及戰略目標[J].南方農業，2021，15（24）：225-226+229.

[8] 房寶祥.網絡環境下農業科技信息安全與對策[J].廣東蠶業，2020，54（4）：82-83.

[9] 白小寧，任曉東，宗伏霖.農業網絡信息安全體系建設初探[J].農藥科學與管理，2012，33（4）：24-25.

[10] 張蒙蒙，汪來喜.大數據驅動智慧農業發展路徑探析[J].糧食問題研究，2022（5）：12-15.

Design of Virtualization Practical Training Attack and Defense System Based on Agricultural Information Security

YIN Hongyan1， LIU Jinyu2， ZHAO Liang2， CHEN Hongxiu2

（1. College of Information Engineering，Shenyang University，Shenyang 110000， China; 2.Shenyang Institute of Computing Technology Co.， Ltd， Chinese Academy of Sciences， Shenyang 110168， China）

Abstract： A practical training platform of agricultural information network virtualization is proposed to simulate the real agricultural information production process through the network target range technology， it can reduce the security problems caused by criminals attacking the agricultural information network. Firstly， provide realistic virtual practical training environment based on WEB interface; Second， the virtual machine can be created dynamically to meet the number of nodes for current test; Finally， the training platform of expected network topology is formed through flexible deployment and dynamic migration of virtual machine.

Key words： agricultural information security; network range; virtualization platform

收稿日期：2023-03-16

作者簡介：尹紅艷（1982—），女，碩士，中級實驗師，從事信息工程方面的研究。