編者推薦：

　　工業(yè)網(wǎng)絡(luò)靶場越來越受到學(xué)術(shù)界和工業(yè)界的青睞，反映出業(yè)界對工業(yè)網(wǎng)絡(luò)安全的關(guān)注度和重視度的日益提升。工業(yè)網(wǎng)絡(luò)靶場以零風(fēng)險，低成本、易部署、可擴展、可重復(fù)以及監(jiān)視、學(xué)習(xí)、管理、團隊、環(huán)境和場景等諸多鮮明特性，成為積極應(yīng)對工業(yè)網(wǎng)絡(luò)安全威脅風(fēng)險的不可或缺的重要手段和平臺。盡管當(dāng)前工業(yè)網(wǎng)絡(luò)靶場的概念、技術(shù)、用途、目的不盡相同，用戶、規(guī)模、場景、效能差異較大，但主流的發(fā)展方向應(yīng)該是更加聚焦實用性、可用性和易用性，由“酷、炫、看”向“演、測、練”轉(zhuǎn)變，其“試驗臺、測試床、檢測場、演武廳、練兵場”的功能定位將更加突出。

　　以下文章來源于安帝科技，作者安帝科技安全研究院

　　編者按

　　數(shù)字化轉(zhuǎn)型發(fā)展背景下，IT/CT/OT新技術(shù)浪潮加速，系統(tǒng)連接性復(fù)雜性激增，復(fù)合風(fēng)險因素增多，網(wǎng)絡(luò)攻擊成本降低，網(wǎng)絡(luò)安全形勢空前復(fù)雜，工業(yè)網(wǎng)絡(luò)已成為網(wǎng)絡(luò)空間攻防對抗的主戰(zhàn)場。對關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)攻擊的嚴(yán)重后果，對現(xiàn)實世界來說可能是災(zāi)難性或前所未有的。當(dāng)前迫切需要一種成本效益高和可復(fù)制的方法來提高網(wǎng)絡(luò)防御團隊的安全意識，增加OT網(wǎng)絡(luò)防御團隊的專業(yè)知識和技能，檢驗網(wǎng)絡(luò)防御技術(shù)、產(chǎn)品、方案的可行性和效能，等等。試驗床或工業(yè)網(wǎng)絡(luò)靶場正是完成這一使命的戰(zhàn)略選擇，即建立具有模擬工業(yè)流程的具有成本效益、可配置和可擴展的，仿真工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)靶場平臺。安帝科技在工業(yè)網(wǎng)絡(luò)泛在化、數(shù)字化、智能化的背景下，持續(xù)探索工業(yè)網(wǎng)絡(luò)安全跨域、復(fù)雜、融合、動態(tài)、協(xié)同的本質(zhì)特征，傾力打造虛實結(jié)合的工業(yè)網(wǎng)絡(luò)靶場平臺，以期滿足當(dāng)前工業(yè)網(wǎng)絡(luò)安全能力建設(shè)中利益相關(guān)方（運營方、監(jiān)管方、防御方）科研、教學(xué)、培訓(xùn)、演練、對抗、比賽、測試、評估、演示等全方位需求。安帝科技工業(yè)網(wǎng)絡(luò)安全研究院結(jié)合近年來的實踐探索和前瞻技術(shù)跟蹤研究，推出《工業(yè)網(wǎng)絡(luò)靶場漫談》系列，期待與業(yè)界同行探討工業(yè)網(wǎng)絡(luò)靶場能力建設(shè)之道，共同推進工業(yè)網(wǎng)絡(luò)安全技術(shù)、能力、生態(tài)、產(chǎn)業(yè)高質(zhì)量發(fā)展。

　　隨著網(wǎng)絡(luò)空間作為一個單獨的軍事領(lǐng)域被當(dāng)作繼陸、海、空、天之后的第五域——美國國防部在2011年正式將網(wǎng)絡(luò)空間作為第五個軍事維度，而北約直到 2016年晚些時候才承認(rèn)網(wǎng)絡(luò)空間是一個作戰(zhàn)領(lǐng)域——世界各國都在爭先恐后地制定網(wǎng)絡(luò)安全戰(zhàn)略，包括開發(fā)、利用、獲得網(wǎng)絡(luò)能力。網(wǎng)絡(luò)能力被認(rèn)為是國家通過網(wǎng)絡(luò)空間對抗或投射影響力的資源和資產(chǎn)。基于這樣的背景，早先的網(wǎng)絡(luò)靶場是用于網(wǎng)絡(luò)戰(zhàn)訓(xùn)練和網(wǎng)絡(luò)技術(shù)開發(fā)的虛擬環(huán)境。它提供的工具有助于增強政府和軍事部門使用的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和IT系統(tǒng)的穩(wěn)定性、安全性和性能。多年來，這些平臺已經(jīng)從內(nèi)部部署的硬件和軟件解決方案發(fā)展為由許多公司、大學(xué)和政府組織提供的云托管和內(nèi)部部署平臺的復(fù)合體。網(wǎng)絡(luò)靶場的應(yīng)用領(lǐng)域已經(jīng)發(fā)展到包括安全教育、安全培訓(xùn)和技能評估、網(wǎng)絡(luò)彈性的開發(fā)和評估以及數(shù)字靈活性的開發(fā)。

　　毫無疑問，作為在軍事領(lǐng)域首先開發(fā)應(yīng)用的網(wǎng)絡(luò)靶場，早期是為非常特定的用戶群和非常特定的用例服務(wù)。隨著網(wǎng)絡(luò)靶場應(yīng)用的數(shù)量和可擴展性要求的增加，其可用性與越來越多的附加功能密切相關(guān)，這些功能與價值已遠(yuǎn)遠(yuǎn)超出了提供ICT/OT模擬表示的原始基礎(chǔ)設(shè)施的能力與價值。

　　一、網(wǎng)絡(luò)靶場的概念

　　網(wǎng)絡(luò)靶場的概念大約出現(xiàn)在2006年，當(dāng)時Cyberbit和Metova CyberCENTS等公司開始向客戶提供網(wǎng)絡(luò)靶場的平臺。網(wǎng)絡(luò)靶場近年來蓬勃發(fā)展的一個主要驅(qū)動力是虛擬化和云計算技術(shù)的商業(yè)化、服務(wù)化，加之網(wǎng)絡(luò)攻擊泛化的趨勢愈演愈烈，這使得網(wǎng)絡(luò)靶場已完全超越了信息戰(zhàn)、網(wǎng)絡(luò)戰(zhàn)等軍事應(yīng)用需求的范疇。

　　網(wǎng)絡(luò)靶場可以用不同的方式定義。事實上，盡管當(dāng)前越來越多的網(wǎng)絡(luò)靶場技術(shù)和產(chǎn)品進入國際市場，但網(wǎng)絡(luò)靶場彼此差異很大。技術(shù)百科（techopedia）在2012年6月更新的詞條中解釋，網(wǎng)絡(luò)靶場是用于網(wǎng)絡(luò)戰(zhàn)訓(xùn)練和網(wǎng)絡(luò)技術(shù)開發(fā)的虛擬環(huán)境。它提供的工具有助于增強政府和軍事機構(gòu)使用的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和 IT系統(tǒng)的穩(wěn)定性、安全性和性能。網(wǎng)絡(luò)靶場的功能類似于射擊或動能靶場，促進武器、作戰(zhàn)或戰(zhàn)術(shù)方面的訓(xùn)練。因此，各個機構(gòu)雇用的網(wǎng)絡(luò)戰(zhàn)士和IT專業(yè)人員培訓(xùn)、開發(fā)和測試網(wǎng)絡(luò)靶場技術(shù)，以確保一致的操作和為現(xiàn)實世界部署做好準(zhǔn)備。

　　從廣義上講，網(wǎng)絡(luò)靶場可通過以下兩種方式之一定義。

　　模擬環(huán)境——網(wǎng)絡(luò)靶場的這種觀點側(cè)重于網(wǎng)絡(luò)靶場傳統(tǒng)上提供的內(nèi)容，即用于多種目的的ICT和/或OT環(huán)境的模擬。例如，美國國家標(biāo)準(zhǔn)與技術(shù)研究所 （NIST） 提供的解釋，它通過將網(wǎng)絡(luò)靶場稱為模擬環(huán)境來定義，而沒有提及由其提供的服務(wù)和/或功能，即沒有特指用于產(chǎn)品開發(fā)和安全態(tài)勢測試的模擬環(huán)境的通用目的。

　　NIST 將網(wǎng)絡(luò)靶場定義為：“一個組織的本地網(wǎng)絡(luò)、系統(tǒng)、工具和應(yīng)用程序的交互式模擬表示，這些表示連接到模擬的Internet級別環(huán)境。它們提供了一個安全、合法的環(huán)境來獲得動手的網(wǎng)絡(luò)技能，并為產(chǎn)品開發(fā)和安全態(tài)勢測試提供一個安全的環(huán)境。網(wǎng)絡(luò)靶場可能包括實際的硬件和軟件，或者可能是實際和虛擬組件的組合。靶場可以與其他網(wǎng)絡(luò)靶場環(huán)境互操作。靶場環(huán)境的互聯(lián)網(wǎng)部分不僅包括模擬流量，還包括客戶需要的網(wǎng)頁、瀏覽器和電子郵件等網(wǎng)絡(luò)服務(wù)的復(fù)制?！?/p>

　　平臺——在網(wǎng)絡(luò)靶場的背景下，平臺可以是一組用于創(chuàng)建和使用模擬環(huán)境的技術(shù)。這里的重點是“使用”這個詞，因為要用于特定目的的網(wǎng)絡(luò)靶場，網(wǎng)絡(luò)靶場必須具有附加功能并向最終用戶公開特定功能。

　　歐洲網(wǎng)絡(luò)安全組織 （ECSO） 網(wǎng)絡(luò)靶場的定義：“網(wǎng)絡(luò)靶場是一個開發(fā)、交付和使用交互式模擬環(huán)境的平臺。模擬環(huán)境是組織的ICT、OT、移動和物理系統(tǒng)、應(yīng)用程序和基礎(chǔ)設(shè)施的表示，包括模擬攻擊、用戶及其活動以及模擬環(huán)境可能依賴的任何其他互聯(lián)網(wǎng)、公共或第三方服務(wù)。網(wǎng)絡(luò)靶場包括用于實現(xiàn)和使用模擬環(huán)境的核心技術(shù)以及附加組件的組合，這些組件反過來又是實現(xiàn)特定網(wǎng)絡(luò)靶場用例所需要或必需的。”

　　無論是將網(wǎng)絡(luò)靶場定義為模擬環(huán)境還是平臺，事實上，大多數(shù)網(wǎng)絡(luò)靶場用例都需要一種或多種超越單純模擬環(huán)境的能力。

　　二、定義工業(yè)網(wǎng)絡(luò)靶場

　　隨著關(guān)鍵信息基礎(chǔ)設(shè)施成為網(wǎng)絡(luò)攻防對抗的最前沿，工業(yè)網(wǎng)絡(luò)靶場的應(yīng)用需求逐步擴大，成為在工業(yè)網(wǎng)絡(luò)安全領(lǐng)域支撐網(wǎng)絡(luò)安全技術(shù)驗證、網(wǎng)絡(luò)工具試驗、攻防對抗演練、科研試驗、教育培訓(xùn)和網(wǎng)絡(luò)風(fēng)險評估等工業(yè)網(wǎng)絡(luò)安全能力建設(shè)的重要手段。

　　通過文獻調(diào)查，發(fā)現(xiàn)不同機構(gòu)對工業(yè)網(wǎng)絡(luò)靶場的描述不盡相同，外文文獻中常用的相關(guān)詞條有ICS cyber range、Industrial cyber range、IoT cyber range、 Cyber-physical range、Testbeds等，而中文文獻中的詞條則為“工控網(wǎng)絡(luò)靶場”、“工業(yè)網(wǎng)絡(luò)靶場”、“工業(yè)安全靶場”。無論是從組成要件、基礎(chǔ)架構(gòu)、構(gòu)建技術(shù)、功能和服務(wù)、應(yīng)用對象等方面的描述，對工業(yè)網(wǎng)絡(luò)靶場或工業(yè)控制系統(tǒng)靶場和測試床，目前還沒有一個規(guī)范、標(biāo)準(zhǔn)的或權(quán)威的定義，這也恰恰說明這是一個新興的細(xì)分領(lǐng)域，也是一個可以各顯其能、大有可為的新舞臺。

　　按照美國國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）對網(wǎng)絡(luò)靶場的定義，即與組織的本地網(wǎng)絡(luò)、系統(tǒng)、工具和應(yīng)用程序相關(guān)的交互式和模擬表示，它為培訓(xùn)信息和通信技術(shù)（ICT）專業(yè)人員以應(yīng)對廣泛的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)戰(zhàn)場景提供了現(xiàn)實世界的平臺。

　　相應(yīng)地，測試床（TBs）被定義為“具有模擬工業(yè)過程的可配置和可擴展的網(wǎng)絡(luò)靶場。測試床是最接近工業(yè)網(wǎng)絡(luò)靶場的概念。網(wǎng)絡(luò)靶場和測試床能夠培訓(xùn)面對網(wǎng)絡(luò)攻擊的操作技術(shù)（OT）網(wǎng)絡(luò)人員，以提高網(wǎng)絡(luò)態(tài)勢感知能力。二者應(yīng)該是互補的，因為OT和ICT網(wǎng)絡(luò)與通信的進步、各行業(yè)物聯(lián)網(wǎng)（IoT）和工業(yè)物聯(lián)網(wǎng)（IIoT）的采用相互交織整合?？梢越?fù)制一系列網(wǎng)絡(luò)攻擊的場景，在可識別的環(huán)境中加強對操作人員和用戶的培訓(xùn)，以識別和緩解策略來獵殺網(wǎng)絡(luò)入侵。模擬環(huán)境中的培訓(xùn)加速了最佳實踐的有效學(xué)習(xí)，”實時“動態(tài)互動促進了對任何行動后果的更深層次的理解。測試床可根據(jù)訓(xùn)練階段，促進建立具有不同復(fù)雜程度的擴展范圍的攻擊場景。用戶群體還可以在遠(yuǎn)程可訪問的平臺上進行培訓(xùn)，以定義、優(yōu)化和評估協(xié)同應(yīng)對網(wǎng)絡(luò)攻擊的影響。小組培訓(xùn)包括多個團隊，包括不同的知識集，提高組織的網(wǎng)絡(luò)態(tài)勢意識，并提高識別和獵殺網(wǎng)絡(luò)攻擊的響應(yīng)時間。

　　類似于網(wǎng)絡(luò)靶場的不同描述維度，工業(yè)網(wǎng)絡(luò)靶場也可以從不同的角度來描述或定義。比如從構(gòu)建目的（研究，訓(xùn)練，演習(xí)，教學(xué)，測試，操作/作戰(zhàn)，演示，開發(fā)）、針對的行業(yè)（學(xué)術(shù)，教育，軍事，政府，企業(yè)）、環(huán)境（演示，開發(fā)，測試，仿真，模擬，混合/信息物理）、平臺技術(shù)（基礎(chǔ)設(shè)施平臺，VM，OpenStack，Virtualbox，Docker，公有云AWS，QEMU/KVM，Opennebula, Proxmox ， Minimega）、數(shù)據(jù)集（有/無，按需提供，在線）、云計算部署方式（私有云，公有云，社區(qū)/行業(yè)云，混合云，Infrastructure as code （IaC））等。

　　基于工業(yè)網(wǎng)絡(luò)安全的行業(yè)特殊性和復(fù)雜性，結(jié)合近年來的實踐探索，安帝科技將工業(yè)網(wǎng)絡(luò)靶場定義為：

　　一個能夠映射真實的IT/OT運營環(huán)境的可配置和可擴展的成本效益比高的混合平臺，能夠批量整合（虛擬、實體）OT環(huán)境特定的硬件資源（如來自不同供應(yīng)商的PLCs、HMIs、RTUs、歷史數(shù)據(jù)庫、SCADA、服務(wù)器等），同時模擬出IT/OT的各種工業(yè)流程場景和攻擊場景，將虛擬化IT/OT網(wǎng)絡(luò)與工業(yè)流程仿真模型相結(jié)合，提供安全可靠的科研、教育、培訓(xùn)、演練、對抗、比賽、演示等功能和服務(wù)。采用的技術(shù)包括軟件定義網(wǎng)絡(luò)、數(shù)字孿生、OT環(huán)境的SIEM、資產(chǎn)管理、網(wǎng)絡(luò)可見性、威脅追蹤、移動目標(biāo)防御等等。比如攻擊效果演示，可讓使用者親身體驗網(wǎng)絡(luò)操控效應(yīng)可能對正在運行的過程產(chǎn)生的物理影響。

　　雖然針對不同的行業(yè)不同的用戶有不同的應(yīng)用需求，但工業(yè)網(wǎng)絡(luò)靶場通常的終極目標(biāo)至少有三個，一是提高OT操作員的網(wǎng)絡(luò)安全意識，這包括提高對攻擊者戰(zhàn)術(shù)、技術(shù)和過程（TTPs）的認(rèn)識，以檢測和響應(yīng)網(wǎng)絡(luò)攻擊。二是提高IT運營者的工業(yè)網(wǎng)絡(luò)安全意識（工業(yè)設(shè)備、工業(yè)協(xié)議、業(yè)務(wù)連續(xù)性），這包括理解系統(tǒng)操作、物理過程的相互依賴和可視化攻擊的效果。三是對IT和OT團隊的技術(shù)、流程和文化施加影響，從而系統(tǒng)性地提高工業(yè)網(wǎng)絡(luò)彈性。

　　三、工業(yè)網(wǎng)絡(luò)靶場的發(fā)展方向

　　由于數(shù)字化轉(zhuǎn)型的加速發(fā)展，IT與OT呈”你中有我、我中有你“之勢，現(xiàn)代工業(yè)網(wǎng)絡(luò)靶場還應(yīng)不斷增加新的能力，如各種電信功能、模擬智能電網(wǎng)、自動化車輛、虛擬網(wǎng)絡(luò)運營中心、無線傳感器網(wǎng)絡(luò)、實時入侵檢測系統(tǒng)、蜜罐、新型認(rèn)證機制、零信任安全策略、移動安全場景，以及一些隱私保護機制。通過添加這些特性，將更多新的攻擊場景方便地部署到測試平臺上，揭示各種系統(tǒng)的漏洞，從而使研究人員有機會開發(fā)創(chuàng)新的防御機制。如果工業(yè)網(wǎng)絡(luò)靶場能夠與各種現(xiàn)實世界的設(shè)備連接到網(wǎng)絡(luò)上，使其成為發(fā)起攻擊和測試各種系統(tǒng)的防御機制的理想方式。另外一個關(guān)注點就是能夠以半自動化的方式在有限的人工干預(yù)下創(chuàng)建可測量數(shù)據(jù)的能力。

　　工業(yè)網(wǎng)絡(luò)靶場應(yīng)當(dāng)實現(xiàn)便攜性，方便于演示，并便于在各種網(wǎng)絡(luò)安全事件中作為現(xiàn)代教學(xué)工具部署。此外，以工業(yè)網(wǎng)絡(luò)靶場構(gòu)建形成的研究中心能夠為研究人員提供遠(yuǎn)程訪問能力。最后，從傳統(tǒng)的網(wǎng)絡(luò)靶場轉(zhuǎn)移到數(shù)字雙胞胎的需求是一種趨勢，在不久的將來將成為主導(dǎo)，特別是在復(fù)制關(guān)鍵基礎(chǔ)設(shè)施方面。

　　安帝科技的實踐表明，工業(yè)網(wǎng)絡(luò)靶場要充分發(fā)揮作用和效用，需要具備6個方面的特性，即監(jiān)視、學(xué)習(xí)、管理、團隊、環(huán)境和場景。未來，安帝科技的工業(yè)網(wǎng)絡(luò)靶場建設(shè)能力將全力聚焦實時自動化配置技術(shù)、智能化、移動化、集成化技術(shù)、增強現(xiàn)實技術(shù)、5G通信技術(shù)、容器化技術(shù)等的創(chuàng)新應(yīng)用，突破關(guān)鍵難點技術(shù)，不斷提升靶場平臺的可用性、實用性和易用性，適配智能信息物理系統(tǒng)、智慧城市、航空航天和衛(wèi)星工業(yè)等更加廣泛的工業(yè)場景。