編者推薦：

　　工業(yè)網絡靶場越來越受到學術界和工業(yè)界的青睞，反映出業(yè)界對工業(yè)網絡安全的關注度和重視度的日益提升。工業(yè)網絡靶場以零風險，低成本、易部署、可擴展、可重復以及監(jiān)視、學習、管理、團隊、環(huán)境和場景等諸多鮮明特性，成為積極應對工業(yè)網絡安全威脅風險的不可或缺的重要手段和平臺。盡管當前工業(yè)網絡靶場的概念、技術、用途、目的不盡相同，用戶、規(guī)模、場景、效能差異較大，但主流的發(fā)展方向應該是更加聚焦實用性、可用性和易用性，由“酷、炫、看”向“演、測、練”轉變，其“試驗臺、測試床、檢測場、演武廳、練兵場”的功能定位將更加突出。

　　以下文章來源于安帝科技，作者安帝科技安全研究院

　　編者按

　　數字化轉型發(fā)展背景下，IT/CT/OT新技術浪潮加速，系統(tǒng)連接性復雜性激增，復合風險因素增多，網絡攻擊成本降低，網絡安全形勢空前復雜，工業(yè)網絡已成為網絡空間攻防對抗的主戰(zhàn)場。對關鍵信息基礎設施網絡攻擊的嚴重后果，對現實世界來說可能是災難性或前所未有的。當前迫切需要一種成本效益高和可復制的方法來提高網絡防御團隊的安全意識，增加OT網絡防御團隊的專業(yè)知識和技能，檢驗網絡防御技術、產品、方案的可行性和效能，等等。試驗床或工業(yè)網絡靶場正是完成這一使命的戰(zhàn)略選擇，即建立具有模擬工業(yè)流程的具有成本效益、可配置和可擴展的，仿真工業(yè)控制系統(tǒng)的網絡靶場平臺。安帝科技在工業(yè)網絡泛在化、數字化、智能化的背景下，持續(xù)探索工業(yè)網絡安全跨域、復雜、融合、動態(tài)、協(xié)同的本質特征，傾力打造虛實結合的工業(yè)網絡靶場平臺，以期滿足當前工業(yè)網絡安全能力建設中利益相關方（運營方、監(jiān)管方、防御方）科研、教學、培訓、演練、對抗、比賽、測試、評估、演示等全方位需求。安帝科技工業(yè)網絡安全研究院結合近年來的實踐探索和前瞻技術跟蹤研究，推出《工業(yè)網絡靶場漫談》系列，期待與業(yè)界同行探討工業(yè)網絡靶場能力建設之道，共同推進工業(yè)網絡安全技術、能力、生態(tài)、產業(yè)高質量發(fā)展。

　　隨著網絡空間作為一個單獨的軍事領域被當作繼陸、海、空、天之后的第五域——美國國防部在2011年正式將網絡空間作為第五個軍事維度，而北約直到 2016年晚些時候才承認網絡空間是一個作戰(zhàn)領域——世界各國都在爭先恐后地制定網絡安全戰(zhàn)略，包括開發(fā)、利用、獲得網絡能力。網絡能力被認為是國家通過網絡空間對抗或投射影響力的資源和資產?；谶@樣的背景，早先的網絡靶場是用于網絡戰(zhàn)訓練和網絡技術開發(fā)的虛擬環(huán)境。它提供的工具有助于增強政府和軍事部門使用的網絡基礎設施和IT系統(tǒng)的穩(wěn)定性、安全性和性能。多年來，這些平臺已經從內部部署的硬件和軟件解決方案發(fā)展為由許多公司、大學和政府組織提供的云托管和內部部署平臺的復合體。網絡靶場的應用領域已經發(fā)展到包括安全教育、安全培訓和技能評估、網絡彈性的開發(fā)和評估以及數字靈活性的開發(fā)。

　　毫無疑問，作為在軍事領域首先開發(fā)應用的網絡靶場，早期是為非常特定的用戶群和非常特定的用例服務。隨著網絡靶場應用的數量和可擴展性要求的增加，其可用性與越來越多的附加功能密切相關，這些功能與價值已遠遠超出了提供ICT/OT模擬表示的原始基礎設施的能力與價值。

　　一、網絡靶場的概念

　　網絡靶場的概念大約出現在2006年，當時Cyberbit和Metova CyberCENTS等公司開始向客戶提供網絡靶場的平臺。網絡靶場近年來蓬勃發(fā)展的一個主要驅動力是虛擬化和云計算技術的商業(yè)化、服務化，加之網絡攻擊泛化的趨勢愈演愈烈，這使得網絡靶場已完全超越了信息戰(zhàn)、網絡戰(zhàn)等軍事應用需求的范疇。

　　網絡靶場可以用不同的方式定義。事實上，盡管當前越來越多的網絡靶場技術和產品進入國際市場，但網絡靶場彼此差異很大。技術百科（techopedia）在2012年6月更新的詞條中解釋，網絡靶場是用于網絡戰(zhàn)訓練和網絡技術開發(fā)的虛擬環(huán)境。它提供的工具有助于增強政府和軍事機構使用的網絡基礎設施和 IT系統(tǒng)的穩(wěn)定性、安全性和性能。網絡靶場的功能類似于射擊或動能靶場，促進武器、作戰(zhàn)或戰(zhàn)術方面的訓練。因此，各個機構雇用的網絡戰(zhàn)士和IT專業(yè)人員培訓、開發(fā)和測試網絡靶場技術，以確保一致的操作和為現實世界部署做好準備。

　　從廣義上講，網絡靶場可通過以下兩種方式之一定義。

　　模擬環(huán)境——網絡靶場的這種觀點側重于網絡靶場傳統(tǒng)上提供的內容，即用于多種目的的ICT和/或OT環(huán)境的模擬。例如，美國國家標準與技術研究所 （NIST） 提供的解釋，它通過將網絡靶場稱為模擬環(huán)境來定義，而沒有提及由其提供的服務和/或功能，即沒有特指用于產品開發(fā)和安全態(tài)勢測試的模擬環(huán)境的通用目的。

　　NIST 將網絡靶場定義為：“一個組織的本地網絡、系統(tǒng)、工具和應用程序的交互式模擬表示，這些表示連接到模擬的Internet級別環(huán)境。它們提供了一個安全、合法的環(huán)境來獲得動手的網絡技能，并為產品開發(fā)和安全態(tài)勢測試提供一個安全的環(huán)境。網絡靶場可能包括實際的硬件和軟件，或者可能是實際和虛擬組件的組合。靶場可以與其他網絡靶場環(huán)境互操作。靶場環(huán)境的互聯網部分不僅包括模擬流量，還包括客戶需要的網頁、瀏覽器和電子郵件等網絡服務的復制。”

　　平臺——在網絡靶場的背景下，平臺可以是一組用于創(chuàng)建和使用模擬環(huán)境的技術。這里的重點是“使用”這個詞，因為要用于特定目的的網絡靶場，網絡靶場必須具有附加功能并向最終用戶公開特定功能。

　　歐洲網絡安全組織 （ECSO） 網絡靶場的定義：“網絡靶場是一個開發(fā)、交付和使用交互式模擬環(huán)境的平臺。模擬環(huán)境是組織的ICT、OT、移動和物理系統(tǒng)、應用程序和基礎設施的表示，包括模擬攻擊、用戶及其活動以及模擬環(huán)境可能依賴的任何其他互聯網、公共或第三方服務。網絡靶場包括用于實現和使用模擬環(huán)境的核心技術以及附加組件的組合，這些組件反過來又是實現特定網絡靶場用例所需要或必需的。”

　　無論是將網絡靶場定義為模擬環(huán)境還是平臺，事實上，大多數網絡靶場用例都需要一種或多種超越單純模擬環(huán)境的能力。

　　二、定義工業(yè)網絡靶場

　　隨著關鍵信息基礎設施成為網絡攻防對抗的最前沿，工業(yè)網絡靶場的應用需求逐步擴大，成為在工業(yè)網絡安全領域支撐網絡安全技術驗證、網絡工具試驗、攻防對抗演練、科研試驗、教育培訓和網絡風險評估等工業(yè)網絡安全能力建設的重要手段。

　　通過文獻調查，發(fā)現不同機構對工業(yè)網絡靶場的描述不盡相同，外文文獻中常用的相關詞條有ICS cyber range、Industrial cyber range、IoT cyber range、 Cyber-physical range、Testbeds等，而中文文獻中的詞條則為“工控網絡靶場”、“工業(yè)網絡靶場”、“工業(yè)安全靶場”。無論是從組成要件、基礎架構、構建技術、功能和服務、應用對象等方面的描述，對工業(yè)網絡靶場或工業(yè)控制系統(tǒng)靶場和測試床，目前還沒有一個規(guī)范、標準的或權威的定義，這也恰恰說明這是一個新興的細分領域，也是一個可以各顯其能、大有可為的新舞臺。

　　按照美國國家標準與技術研究所（NIST）對網絡靶場的定義，即與組織的本地網絡、系統(tǒng)、工具和應用程序相關的交互式和模擬表示，它為培訓信息和通信技術（ICT）專業(yè)人員以應對廣泛的網絡攻擊和網絡戰(zhàn)場景提供了現實世界的平臺。

　　相應地，測試床（TBs）被定義為“具有模擬工業(yè)過程的可配置和可擴展的網絡靶場。測試床是最接近工業(yè)網絡靶場的概念。網絡靶場和測試床能夠培訓面對網絡攻擊的操作技術（OT）網絡人員，以提高網絡態(tài)勢感知能力。二者應該是互補的，因為OT和ICT網絡與通信的進步、各行業(yè)物聯網（IoT）和工業(yè)物聯網（IIoT）的采用相互交織整合?？梢越椭埔幌盗芯W絡攻擊的場景，在可識別的環(huán)境中加強對操作人員和用戶的培訓，以識別和緩解策略來獵殺網絡入侵。模擬環(huán)境中的培訓加速了最佳實踐的有效學習，”實時“動態(tài)互動促進了對任何行動后果的更深層次的理解。測試床可根據訓練階段，促進建立具有不同復雜程度的擴展范圍的攻擊場景。用戶群體還可以在遠程可訪問的平臺上進行培訓，以定義、優(yōu)化和評估協(xié)同應對網絡攻擊的影響。小組培訓包括多個團隊，包括不同的知識集，提高組織的網絡態(tài)勢意識，并提高識別和獵殺網絡攻擊的響應時間。

　　類似于網絡靶場的不同描述維度，工業(yè)網絡靶場也可以從不同的角度來描述或定義。比如從構建目的（研究，訓練，演習，教學，測試，操作/作戰(zhàn)，演示，開發(fā)）、針對的行業(yè)（學術，教育，軍事，政府，企業(yè)）、環(huán)境（演示，開發(fā)，測試，仿真，模擬，混合/信息物理）、平臺技術（基礎設施平臺，VM，OpenStack，Virtualbox，Docker，公有云AWS，QEMU/KVM，Opennebula, Proxmox ， Minimega）、數據集（有/無，按需提供，在線）、云計算部署方式（私有云，公有云，社區(qū)/行業(yè)云，混合云，Infrastructure as code （IaC））等。

　　基于工業(yè)網絡安全的行業(yè)特殊性和復雜性，結合近年來的實踐探索，安帝科技將工業(yè)網絡靶場定義為：

　　一個能夠映射真實的IT/OT運營環(huán)境的可配置和可擴展的成本效益比高的混合平臺，能夠批量整合（虛擬、實體）OT環(huán)境特定的硬件資源（如來自不同供應商的PLCs、HMIs、RTUs、歷史數據庫、SCADA、服務器等），同時模擬出IT/OT的各種工業(yè)流程場景和攻擊場景，將虛擬化IT/OT網絡與工業(yè)流程仿真模型相結合，提供安全可靠的科研、教育、培訓、演練、對抗、比賽、演示等功能和服務。采用的技術包括軟件定義網絡、數字孿生、OT環(huán)境的SIEM、資產管理、網絡可見性、威脅追蹤、移動目標防御等等。比如攻擊效果演示，可讓使用者親身體驗網絡操控效應可能對正在運行的過程產生的物理影響。

　　雖然針對不同的行業(yè)不同的用戶有不同的應用需求，但工業(yè)網絡靶場通常的終極目標至少有三個，一是提高OT操作員的網絡安全意識，這包括提高對攻擊者戰(zhàn)術、技術和過程（TTPs）的認識，以檢測和響應網絡攻擊。二是提高IT運營者的工業(yè)網絡安全意識（工業(yè)設備、工業(yè)協(xié)議、業(yè)務連續(xù)性），這包括理解系統(tǒng)操作、物理過程的相互依賴和可視化攻擊的效果。三是對IT和OT團隊的技術、流程和文化施加影響，從而系統(tǒng)性地提高工業(yè)網絡彈性。

　　三、工業(yè)網絡靶場的發(fā)展方向

　　由于數字化轉型的加速發(fā)展，IT與OT呈”你中有我、我中有你“之勢，現代工業(yè)網絡靶場還應不斷增加新的能力，如各種電信功能、模擬智能電網、自動化車輛、虛擬網絡運營中心、無線傳感器網絡、實時入侵檢測系統(tǒng)、蜜罐、新型認證機制、零信任安全策略、移動安全場景，以及一些隱私保護機制。通過添加這些特性，將更多新的攻擊場景方便地部署到測試平臺上，揭示各種系統(tǒng)的漏洞，從而使研究人員有機會開發(fā)創(chuàng)新的防御機制。如果工業(yè)網絡靶場能夠與各種現實世界的設備連接到網絡上，使其成為發(fā)起攻擊和測試各種系統(tǒng)的防御機制的理想方式。另外一個關注點就是能夠以半自動化的方式在有限的人工干預下創(chuàng)建可測量數據的能力。

　　工業(yè)網絡靶場應當實現便攜性，方便于演示，并便于在各種網絡安全事件中作為現代教學工具部署。此外，以工業(yè)網絡靶場構建形成的研究中心能夠為研究人員提供遠程訪問能力。最后，從傳統(tǒng)的網絡靶場轉移到數字雙胞胎的需求是一種趨勢，在不久的將來將成為主導，特別是在復制關鍵基礎設施方面。

　　安帝科技的實踐表明，工業(yè)網絡靶場要充分發(fā)揮作用和效用，需要具備6個方面的特性，即監(jiān)視、學習、管理、團隊、環(huán)境和場景。未來，安帝科技的工業(yè)網絡靶場建設能力將全力聚焦實時自動化配置技術、智能化、移動化、集成化技術、增強現實技術、5G通信技術、容器化技術等的創(chuàng)新應用，突破關鍵難點技術，不斷提升靶場平臺的可用性、實用性和易用性，適配智能信息物理系統(tǒng)、智慧城市、航空航天和衛(wèi)星工業(yè)等更加廣泛的工業(yè)場景。