国际视野看工控靶场的融合与创新——赛宁网安总经理谢峥产品发布会主题报告分享

赛宁网安定位于专业靶场提供商，做为该领域唯一能走出国门参与国际市场竞争的中国企业，多年的海外实践经验铸就了国际化视野。在与全球优秀厂家同台竞技的过程中，逐步形成了自身在网络靶场领域的洞察力和领导力，并基于此提出了工控领域靶场的演进趋势与“1234”框架。

▶ 国际视野

在参与网络靶场国际化进程的这几年里，我们或主动或被动的对先进国际厂家的产品及技术进行了研究与分析，如美国、欧洲、中东等厂家，这些老牌厂家在靶场领域呈现出不同的特征，这里简单列举几家。

• Mantech主导了美国陆军靶场的项目，对业务研究呈现出深度的特点。在三叉戟计划和PCTE项目中，扩展了靶场的应用领域与业务纬度，引入工程性开发、生命周期管理、持续性训练等新概念，赋予靶场两个Any的新特征，即Anywhere、Anytime。靶场要能够支持基于全球部署的形态下，通过互联网、卫星网络、国防专网，实现全球任意地点、任意时间地快速开启演训。

• Raytheon在美、英等国的工控项目，业务涵盖空中交通管制、电网、供水等多个领域，并能实现多域融合，业务呈现出广度的特点。在英国、美国等地部署的CODE靶场项目，融合了威胁审计、应急响应等新业务，同时在虚拟化技术上向可高仿真、快速构建、自动配置、快速重构等方向发展来构建技术壁垒。

• Cyberbit起源于以色列8200网络部队，专注于网络防御训练，注重细节，由于应用目标单一所以产品的标准化程度较高。在为以色利CMF提供的服务中，将典型威胁、响应、取证等能力进行场景固化，为全球用户提供了标准化训练服务。

• Diateam主要服务法军及欧洲工业企业，数字化沙盘展示能力比较好，产品呈现轻量化，各类工控场景比较丰富。依托“网络卓越计划（Cyber Pole of Excellence）”，体系化地为法军提供网络安全训练、网络防御等方向的长期性赋能。

通过对国际厂家的总结分析，可以发现以下特点：

• 工控领域的建设、研究工作开展的早，已发展多年，并根据业务发展特点，各自构建了纵向或横向的产品壁垒；

• 完成了基本布局，在各工业领域都已有较成熟方案，并积极拓展靶场的应用边界，赋予靶场更多使命；

• 靶场与国家级防御体系建立了一定程度的协同及联动，比如与欧盟安全中心EDA、英国国家安全中心NCSC的协同联动。

而国内的工控靶场刚刚起步，关系国计民生的重要行业如电力、能源开始重视和尝试。

▶ 痛点分析

通过对比分析，我们可以看出国际厂家更注重框架、流程、细节。在安全能力框架下（如NICE、ATT&CK for ICS等），通过构建、还原完整的安全业务流程（包括人员、组织架构、岗位职能、操作规范、响应流程及预案等），加强细节的磨练（安全技能实操、真实威胁响应等），从而构建起高效的、有价值的工控靶场体系。

而国内厂家由于现阶段发展限制，更注重在多种多样的业务应用上，在靶场的体系下放入了教学、训练、比赛、兵棋、红蓝、认证、研究等繁复多型的业务，另一方面，国内行业用户面对日益严峻的网络安全形势，也希望能毕其功于一役，在产品需求及招标参数要求上也更倾向于大而全的功能，这就导致了产品架构庞大，难以在真正价值点上精益求精，客户购买到的产品要么能用但不好用，要么干脆就使用不起来，我们统计发现靶场类的产品使用率是非常低的，相对高一些的行业如高校、部队，主要应用方向还是以教学和训练为主，大部分的功能其实都很少用到。

通过总结与分析，我们可以得出国内工控靶场需要提升的四个方面，这也是我们未来工作的重点：

1.复杂工业环境简单化。安全问题需要整体性考虑，简单化导致攻击链无法完成还原，实际价值不大；

2.训练零散，缺少体系化框架。训练内容零散不成体系，缺少如ATT&CK for ICS，NICE指导性安全框架；

3.护网较弱，靶场无法转化成实际价值。目前还主要是外部支援、断网、减小攻击面，没有将靶场的赋能转化为安全能力的加强；

4.业务断层。IT与OT没有完全打通，两个领域的专业壁垒仍存在；

用“点-线”模型来描述国内外工控靶场，国际先进厂家在做“点”（细节化、标准化的内容构建）和“线”（工业全流程、全体系的内容构建），国内厂家现阶段则在做“线段”（IT、OT分离，体系化流程缺失，防御单点化）。这就要求我们需要注重点与线，通过扎实工作将线段打通为线，实现追赶。

当然我们也看到在国家越来越重视网络安全的大环境下，国内网络安全市场越来越活跃，有不少企业也积极投入到靶场的研发中来，我们相信未来国内一定会涌现出优秀的、具备国际竞争力的专注网络靶场工控靶场的实力企业。

▶ 演进趋势

基于对国内外的分析，赛宁网安团队总结出工控靶场的演进趋势，分为四个阶段。

• 第一阶段；虚拟化靶场。通过对企业管理层、生产管理层、过程监控层的部分模拟，以实现对工控IT部分的安全演练；

• 第二阶段：Hybrid靶场。通过虚实结合技术，将工业协议、设备、网络接入到虚拟化环境中，将IT、OT连接在一起；

• 第三阶段：SDN靶场。通过更高保真度的仿真，将工业流量、行为、威胁等在环境中复现；

• 第四阶段：AI靶场。通过业务实践数据与设备、系统协同，更自动化、智能化地帮助安全管理人员进行管理、应急的决策与运营。

目前国内大多数厂家处在第一第二阶段中。赛宁和长扬通过强强联合，处于在第二阶段向第三阶段的跃迁中，同时也正在积极布局第四阶段工作。

▶ 框架提出

有了对趋势的判断，有了前进方向和目标，还需要落实到实践中。基于上述研究，赛宁网安提出工控靶场融合创新“1234”框架。

• 一个核心：数字孪生超仿真底层。通过超仿真底层，工控靶场可以实现广泛的连接，包括HMI、PLC、RTU、工业防火墙、工业交换机、工业IDS等。在这个基础上，才能实现SDN靶场的能力，构建出复杂、超复杂工业现场环境的孪生实网。

• 两类覆盖：IT攻防与OT攻防。打通从IT到OT的攻防体系差异，打通从IT初始访问到执行器故障的工业攻防全链演练。

• 三种趋势：靶场业务智能化、工控现场实战化、防御运营常态化。这三种趋势是未来靶场的演进方向与高价值点，也符合“三化六防”指导思想；

• 四项落地业务：演训业务、运营业务、验证业务、实战业务。囊括了工控靶场的主要业务方向与价值。

▶ 意义和价值

愈演愈烈的网络攻击已经成为各行各业新挑战，伴随着工业4.0时代的到来，工业基础设施遭受到网络攻击，工控安全所面临的威胁不断加剧，因此国家重点行业工控系统安全是亟待解决的关键问题。靶场作为网络空间安全研究、学习、测试、验证、演练等必不可少的重要基础设施，可以将攻防、分析、对战过程中形成的安全经验有效转化，并开放给行业客户，帮其验证安全攻防能力、发现安全薄弱环节、改进安全能力，实现客户安全防护能力的持续提升，为提高工业互联网安全整体建设和策略水平、建设网络强国贡献力量，为网络强国战略提供有力保障，全面护航数字经济腾飞！