陳 升，宗志鋒，倪 華，黃非易，劉 虹

(1.上海市水務(wù)信息中心，上海200050；2.上海工業(yè)控制安全創(chuàng)新科技有限公司，上海200085；3.華東師范大學(xué) 軟件工程學(xué)院，上海200062)

0 引言

工業(yè)控制系統(tǒng)(簡(jiǎn)稱“工控系統(tǒng)”)是國(guó)家實(shí)施制造強(qiáng)國(guó)和網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略的重要保障，對(duì)于維護(hù)工業(yè)生產(chǎn)秩序、確保工業(yè)生產(chǎn)安全、促進(jìn)兩化融合健康發(fā)展具有重要意義。作為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施和網(wǎng)絡(luò)空間安全的重要組成部分，工控系統(tǒng)是能源電力、軌道交通、鋼鐵石化等重點(diǎn)領(lǐng)域的神經(jīng)中樞。全球范圍的工控系統(tǒng)面臨日趨嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，特別是與民生緊密相關(guān)的城市關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)成為黑客攻擊的“重災(zāi)區(qū)”。2020年，美國(guó)、以色列、中國(guó)都發(fā)生了水務(wù)系統(tǒng)安全攻擊事件，造成水廠控制系統(tǒng)遭受破壞，相關(guān)城市用水安全影響社會(huì)經(jīng)濟(jì)運(yùn)行和數(shù)千萬人工作生活。2021年2月，美國(guó)佛羅里達(dá)州水處理廠工控系統(tǒng)受到網(wǎng)絡(luò)攻擊，導(dǎo)致飲用水化學(xué)成分改變，嚴(yán)重影響居民用水安全和社會(huì)穩(wěn)定。

由于“工控現(xiàn)場(chǎng)設(shè)備不能碰、工控網(wǎng)絡(luò)環(huán)境不能改動(dòng)、工控系統(tǒng)安全隱患分析不充分”等痛點(diǎn)問題，迫切需要搭建面向特定行業(yè)的工控安全仿真驗(yàn)證環(huán)境，實(shí)現(xiàn)工控安全問題充分暴露、安全隱患充分驗(yàn)證，防患于未然。傳統(tǒng)仿真驗(yàn)證技術(shù)側(cè)重于硬件工藝模擬復(fù)現(xiàn)，缺乏“極端場(chǎng)景安全驗(yàn)證”和“安全和業(yè)務(wù)實(shí)時(shí)聯(lián)動(dòng)性”能力，難以滿足工業(yè)現(xiàn)場(chǎng)安全應(yīng)急需求。

數(shù)字孿生被國(guó)際著名的Gartner連續(xù)三年評(píng)為“未來10大戰(zhàn)略性技術(shù)發(fā)展趨勢(shì)”，其利用物理模型機(jī)制、場(chǎng)景仿真驗(yàn)證、實(shí)時(shí)交互數(shù)據(jù)實(shí)現(xiàn)虛擬數(shù)字空間與物理現(xiàn)實(shí)空間的關(guān)聯(lián)映射，進(jìn)而實(shí)現(xiàn)全生命周期的感知、診斷、預(yù)測(cè)等功能，將成為未來工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域的關(guān)鍵共性支撐技術(shù)[1-3]。數(shù)字孿生通過實(shí)時(shí)感知、診斷、預(yù)測(cè)現(xiàn)場(chǎng)狀態(tài)，成為助力工控安全仿真驗(yàn)證的新興技術(shù)手段。

本文構(gòu)建面向水務(wù)制水典型工藝流程的數(shù)字孿生機(jī)理模型，建立水務(wù)系統(tǒng)數(shù)字孿生仿真驗(yàn)證試驗(yàn)床，實(shí)現(xiàn)水務(wù)系統(tǒng)典型工藝全要素?cái)?shù)據(jù)的安全分析與輔助決策，為后續(xù)建立水務(wù)行業(yè)工藝流程與安全要素“實(shí)時(shí)交互聯(lián)動(dòng)性”，輔助開展“極端情況安全場(chǎng)景”仿真驗(yàn)證提供技術(shù)支持。

1 水務(wù)制水工藝機(jī)理及流程體系

本項(xiàng)目實(shí)現(xiàn)水務(wù)制水典型工藝流程的設(shè)計(jì)實(shí)現(xiàn)，根據(jù)傳統(tǒng)自來水廠水務(wù)處理工藝流程，本文將流程簡(jiǎn)化，如圖1所示。并結(jié)合實(shí)際情況，設(shè)計(jì)將流程體系劃分為原水提升模塊，加藥混凝模塊，沉淀模塊，過濾、氣反沖、水反沖洗模塊，反滲透模塊，消毒模塊等[4-6]。

圖1 傳統(tǒng)水務(wù)處理工藝流程

(1)原水提升模塊：攪拌系統(tǒng)利用酸堿度值和濁度探頭測(cè)量原水箱內(nèi)水質(zhì)，將原水混合均勻后利用提升泵將水提升至高液位進(jìn)入后續(xù)處理工藝流程。通過電磁流量計(jì)實(shí)時(shí)測(cè)量水位和流量，實(shí)現(xiàn)將電磁流量計(jì)信號(hào)反饋到變頻器，進(jìn)而實(shí)現(xiàn)對(duì)提升泵的轉(zhuǎn)速控制以及流量調(diào)節(jié)。其中，原水箱內(nèi)安裝超聲波液位計(jì)，用于檢測(cè)原水箱內(nèi)水位，當(dāng)原水箱內(nèi)水位低于設(shè)定安全液位時(shí)，實(shí)現(xiàn)提升泵自動(dòng)停止，避免因原水不足造成泵空轉(zhuǎn)及燒泵等情況。

(2)加藥混凝模塊：加藥模塊包括堿液箱、聚合氯化鋁PAC箱和聚丙烯酰胺PAM箱。將原水調(diào)節(jié)PH值至微堿性，通過計(jì)量泵投加PAC和PAM等化學(xué)藥劑，并經(jīng)管道混合器混合均勻后與細(xì)微懸浮物以及膠體污染物形成礬花，之后進(jìn)入沉淀模塊進(jìn)行沉淀。通過在藥箱安裝攪拌器實(shí)現(xiàn)對(duì)原藥液的均勻混合，并安裝超聲波液位計(jì)實(shí)現(xiàn)低液位自動(dòng)報(bào)警，防止因藥液不足造成流程異常。

(3)沉淀模塊：加藥混凝模塊形成的礬花進(jìn)入斜板沉淀池后進(jìn)行重力沉降，實(shí)現(xiàn)清水從斜板縫隙上升流出，雜質(zhì)污染物與清水分離，進(jìn)一步進(jìn)入中間水箱原水進(jìn)行投藥、混合、反應(yīng)等過程。其中水中懸浮物變成較大的絮凝體，由于該絮凝體顆粒比重大于水，使得沉淀從水中分離出來。采用斜板沉淀池和集水槽工藝，實(shí)現(xiàn)斜管沉淀池的出水系統(tǒng)出水均勻。其中平流式沉淀池具有適應(yīng)性強(qiáng)、處理效果穩(wěn)定和排泥效果好等優(yōu)點(diǎn)，但是占地面積較大。斜板沉淀池因采用斜板組件，實(shí)現(xiàn)沉淀效率大大提高，處理效果比平流沉淀池好。

(4)過濾、氣反沖、水反沖洗模塊：中間水下水經(jīng)由濾池提升泵提升至濾柱內(nèi)進(jìn)行過濾處理，濾柱采用石英砂進(jìn)行過濾處理，主要用于去除水中呈分散懸浮態(tài)的無機(jī)質(zhì)和有機(jī)質(zhì)粒子，包括各種浮游生物、細(xì)菌、濾過性病毒與漂浮油、乳化油等。反洗泵抽取清水箱內(nèi)水進(jìn)行反沖洗操作，水流經(jīng)底部反向通過濾池，沖洗掉濾料中的堵塞物質(zhì)，以便濾柱進(jìn)行更好的處理?？諌簷C(jī)將壓縮空氣壓入濾池，利用上升空氣氣泡產(chǎn)生的振動(dòng)和擦洗作用，將附著于濾料表面的雜質(zhì)清除下來并使之懸浮于水中，然后用水反沖把雜質(zhì)排出池外。壓縮空氣通過緩沖罐貯存氣體來提供穩(wěn)定壓力。

(5)反滲透模塊：反滲透具有深度處理工藝，能夠有效去除水中鈣、鎂、細(xì)菌、有機(jī)物、無機(jī)物、金屬離子和放射性物質(zhì)等，經(jīng)過該裝置凈化出的水可以直接飲用。

(6)消毒模塊：氯氣具有較強(qiáng)的滅殺病原體的作用，使用時(shí)不易水解，不受其他因素影響，能夠高效去除水中鐵錳離子及細(xì)菌，具有良好的消毒作用。

2 基于數(shù)字孿生的制水工藝仿真建模

2.1 物理虛擬環(huán)境及孿生控制環(huán)境搭建

利用數(shù)字孿生建模工具實(shí)現(xiàn)水務(wù)制水工藝流程工業(yè)機(jī)理的建模，實(shí)現(xiàn)將物理空間的制水系統(tǒng)數(shù)字虛擬化到數(shù)字孿生平臺(tái)[7-8]。通過將管道、水泵、電機(jī)、加藥等作為層對(duì)象，實(shí)現(xiàn)工業(yè)場(chǎng)景協(xié)同聯(lián)動(dòng)。其中主要涉及的物理實(shí)體包括繼電器、PLC、斷路器、電氣線路、電機(jī)、電磁閥、溫度傳感器、液位傳感器等檢測(cè)設(shè)備、控制器和執(zhí)行機(jī)構(gòu)。將各個(gè)傳感器、控制器、執(zhí)行器等進(jìn)行結(jié)構(gòu)化處理及屬性狀態(tài)標(biāo)識(shí)。

水務(wù)制水工藝流程包括原水消毒加藥絮凝、沉淀、過濾、消毒、水質(zhì)監(jiān)測(cè)等。以管道為載體代表網(wǎng)線，聯(lián)網(wǎng)設(shè)備作為節(jié)點(diǎn)或終端(包括交換機(jī))。通過將網(wǎng)絡(luò)數(shù)據(jù)包轉(zhuǎn)化為管道中的水分子，實(shí)現(xiàn)每個(gè)數(shù)據(jù)包流向的可視化表達(dá)。

2.2 數(shù)據(jù)驅(qū)動(dòng)的數(shù)字孿生仿真建模

數(shù)據(jù)驅(qū)動(dòng)的數(shù)字孿生仿真建模實(shí)現(xiàn)了對(duì)過去、當(dāng)前、將來工藝數(shù)據(jù)和安全態(tài)勢(shì)的建模，結(jié)合設(shè)備故障模型實(shí)現(xiàn)信息安全攻防驗(yàn)證功能[9-11]。

針對(duì)過去數(shù)據(jù)仿真，利用歷史數(shù)據(jù)精準(zhǔn)還原歷史交互場(chǎng)景，實(shí)現(xiàn)工控設(shè)備運(yùn)行狀態(tài)的監(jiān)測(cè)分析。針對(duì)當(dāng)前數(shù)據(jù)仿真，實(shí)現(xiàn)完全將物理世界的生產(chǎn)環(huán)境虛擬到數(shù)字環(huán)境中，利用網(wǎng)絡(luò)傳輸，解除了地理位置的限制。針對(duì)將來數(shù)據(jù)仿真，基于歷史數(shù)據(jù)，結(jié)合當(dāng)前數(shù)據(jù)，構(gòu)建數(shù)據(jù)分析模型，為生產(chǎn)環(huán)境中各種設(shè)備可能存在的安全風(fēng)險(xiǎn)提供預(yù)警策略。

結(jié)合以上需求，搭建水務(wù)制水工藝數(shù)字孿生仿真模型，如圖2所示。該建模與現(xiàn)實(shí)物理實(shí)驗(yàn)環(huán)境完全一致，并實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)，實(shí)現(xiàn)動(dòng)態(tài)更新。

圖2 水務(wù)制水工藝數(shù)字孿生仿真建模

本文設(shè)計(jì)設(shè)備故障模型，實(shí)現(xiàn)對(duì)物理實(shí)驗(yàn)環(huán)境可能出現(xiàn)的供水管路缺水、設(shè)備異常、各電動(dòng)機(jī)過載跳閘等異常進(jìn)行模擬，利用數(shù)字孿生系統(tǒng)展示所有可感知的故障類型，并在“數(shù)據(jù)孿生體”中進(jìn)行實(shí)時(shí)展示。該模型支持設(shè)備故障報(bào)警和上下限報(bào)警，實(shí)時(shí)展示制水過程中的告警信息，可查詢歷史告警信息，并可設(shè)置告警消除規(guī)則。

3 面向功能安全和信息安全聯(lián)動(dòng)的攻防驗(yàn)證

3.1 安全攻防驗(yàn)證場(chǎng)景構(gòu)建

本文構(gòu)建基于網(wǎng)絡(luò)硬件防護(hù)設(shè)備和數(shù)字孿生攻防模擬的協(xié)同報(bào)警機(jī)制，通過雙重安全防護(hù)機(jī)制實(shí)現(xiàn)安全保障。其中，硬件防護(hù)主要包括四個(gè)層次：(1)服務(wù)器啟動(dòng)防火墻保護(hù)，區(qū)域邊界隔離，避免病毒擴(kuò)散；(2)隔離主要控制器，阻止對(duì)控制器的任何非法訪問及控制；(3)保護(hù)關(guān)鍵工業(yè)控制設(shè)備，防止來自上層信息網(wǎng)或其他區(qū)域威脅；(4)阻斷上層網(wǎng)絡(luò)的威脅，隔離PLC傳感器與信息網(wǎng)，阻止來自數(shù)據(jù)采集端的信息網(wǎng)的威脅。

數(shù)字孿生仿真建模平臺(tái)可以模擬被攻擊后的安全防護(hù)及應(yīng)急響應(yīng)流程，按照預(yù)定義的業(yè)務(wù)邏輯和安全策略啟動(dòng)告警信號(hào)。主要支持的攻擊方式包括9個(gè)方面，主要作用點(diǎn)如圖3所示。

圖3 攻擊方式作用點(diǎn)

(1)攻擊一：針對(duì)①原水池進(jìn)行攻擊，對(duì)原水水位傳感器上傳水位信息進(jìn)行修改。

(2)攻擊二：對(duì)②水泵進(jìn)行攻擊，修改輸出功率。

(3)攻擊三：針對(duì)混凝模塊，對(duì)③加藥裝置進(jìn)行攻擊，導(dǎo)致加藥量改變。

(4)攻擊四：針對(duì)沉淀模塊，對(duì)④沉淀池進(jìn)行攻擊，修改液位傳感器輸出。

(5)攻擊五：針對(duì)過濾模塊，對(duì)⑤水質(zhì)監(jiān)控設(shè)備進(jìn)行攻擊，修改當(dāng)前水質(zhì)參數(shù)。

(6)攻擊六：針對(duì)消毒模塊，對(duì)⑥消毒池進(jìn)行攻擊，修改消毒液的加入量。

(7)攻擊七：對(duì)⑦水質(zhì)綜合檢測(cè)系統(tǒng)進(jìn)行攻擊，修改檢測(cè)到的水質(zhì)參數(shù)。

(8)攻擊八：針對(duì)水質(zhì)進(jìn)行攻擊，修改混凝模塊中③加藥裝置的參數(shù)，修改⑤水質(zhì)監(jiān)控和⑦水質(zhì)綜合檢測(cè)系統(tǒng)，導(dǎo)致最終經(jīng)過制水工藝的水質(zhì)污染而不會(huì)被上位機(jī)監(jiān)控系統(tǒng)發(fā)現(xiàn)。

(9)攻擊九：對(duì)②水泵進(jìn)行攻擊，固定①原水池中水位傳感器輸出，使系統(tǒng)認(rèn)為原水充足，增大水泵輸出功率，讓水泵不停地工作，最終使得水泵電機(jī)燒壞。

3.2 信息攻擊及功能安全危害聯(lián)動(dòng)分析

3.1節(jié)介紹了安全攻防驗(yàn)證場(chǎng)景的構(gòu)建及根據(jù)場(chǎng)景構(gòu)建所支持的9種攻擊方式。其中網(wǎng)絡(luò)攻擊和系統(tǒng)漏洞攻擊是主要的攻擊方式。目前網(wǎng)絡(luò)攻擊中主要為ARP攻擊及利用網(wǎng)絡(luò)協(xié)議缺陷來對(duì)目標(biāo)系統(tǒng)侵害的攻擊。而系統(tǒng)漏洞則根據(jù)當(dāng)前數(shù)字孿生系統(tǒng)的部署環(huán)境，利用Windows 7系統(tǒng)的漏洞來進(jìn)行攻擊。下面將分析相應(yīng)攻擊的原理及手段，并進(jìn)行比較[12-15]。

(1)利用ARP中間人欺騙原理，對(duì)指定的聯(lián)網(wǎng)設(shè)備進(jìn)行斷網(wǎng)攻擊(輸入指定的IP地址)。主要步驟包括：打開水務(wù)系統(tǒng)終端，并在終端輸入命令：

輸入命令成功，PLC宕機(jī)后可觀察組態(tài)王數(shù)據(jù)全部丟失。

(2)利用Ethernet/IP協(xié)議缺陷，對(duì)指定環(huán)境中的PLC進(jìn)行關(guān)停攻擊。

通過打開水務(wù)系統(tǒng)終端，修改堿液箱攪拌速率。運(yùn)行以下命令：

其中xx為要改變的數(shù)值，此操作要在堿液箱攪拌開啟的狀態(tài)下運(yùn)行。當(dāng)修改完成后若數(shù)值超出了設(shè)備閾值，數(shù)字孿生系統(tǒng)中攪拌電機(jī)會(huì)發(fā)煙和告警。

修改原水提升泵轉(zhuǎn)速，運(yùn)行以下命令：

其中xx為要改變的數(shù)值，此操作要在原水提升泵開啟的狀態(tài)下運(yùn)行。當(dāng)修改完成后若數(shù)值超出了設(shè)備閾值，數(shù)字孿生系統(tǒng)中提升泵會(huì)發(fā)煙和告警。

(3)針對(duì)流量和壓力傳感器，利用Windows 7系統(tǒng)漏洞，接管上位機(jī)，讓上位系統(tǒng)與現(xiàn)場(chǎng)儀表數(shù)據(jù)不一致，進(jìn)行數(shù)據(jù)篡改，從而間接管控整個(gè)自動(dòng)化控制系統(tǒng)。

針對(duì)上述三種攻擊，進(jìn)行多次實(shí)驗(yàn)，可發(fā)現(xiàn)隨著時(shí)間的增加，三種攻擊的成功率均有所提升，成功率隨時(shí)間變化如圖4所示。分析可發(fā)現(xiàn)ARP攻擊和PLC宕機(jī)攻擊相比于Windows 7漏洞攻擊的成功率相對(duì)較高。由此可見，網(wǎng)絡(luò)攻擊相對(duì)系統(tǒng)漏洞依舊是工業(yè)控制系統(tǒng)安全的主要安全隱患。

圖4 三種攻擊的成功率隨時(shí)間變化圖

4 結(jié)論

本文利用數(shù)字孿生新興技術(shù)，實(shí)現(xiàn)了水務(wù)制水工藝流程和工業(yè)機(jī)理的仿真建模。通過搭建水務(wù)系統(tǒng)數(shù)字孿生仿真驗(yàn)證試驗(yàn)床，提出了面向水務(wù)工控系統(tǒng)功能安全和信息安全聯(lián)動(dòng)的攻防驗(yàn)證技術(shù)，為保障工業(yè)互聯(lián)網(wǎng)場(chǎng)景下水務(wù)行業(yè)工業(yè)控制系統(tǒng)安全提供技術(shù)參考。本文搭建的水務(wù)系統(tǒng)數(shù)字孿生仿真驗(yàn)證試驗(yàn)床，實(shí)現(xiàn)了水務(wù)系統(tǒng)典型工藝全要素?cái)?shù)據(jù)的安全分析與輔助決策，以及為后續(xù)建立水務(wù)行業(yè)工藝流程與安全要素實(shí)時(shí)交互聯(lián)動(dòng)性，輔助開展極端情況下安全場(chǎng)景仿真驗(yàn)證提供參考。