隨著我國“智能制造”政策的推進和企業數字化轉型的內生需求，工業互聯網系統已經在國家重大關鍵基礎實施建設中有良好的應用。工業互聯網系統將計算和通信能力與物理系統交織在一起，用于監視和控制系統功能和狀態，以實現數據的統一化和業務流程的高度自動化，最終實現降本增效的目的。但是，互聯互通的情況下，各種網絡組件使得工業互聯網系統非常容易受到網絡威脅的攻擊，這些攻擊或是內部產生的，或是由惡意外部實體、參與者發起的。在將系統要求轉化為設計、部署和維護網絡組件時（例如，操作員設備或關鍵系統組件上的軟件更新），或將任何外部 USB設備連接到工作站時，可能會在不知不覺中植入不同的漏洞，這可能被用作新的攻擊媒介。使用這些攻擊向量，攻擊者可以在任何攻擊面（包括本地或遠程的傳感器和通信網絡） 上安裝和執行惡意有效負載，以攻擊和破壞高價值目標。控制中心的節點通常不太容易受到影響，因為它們部署在物理受限的環境中以防止篡改。通過發起網絡攻擊， 網絡級漏洞（不安全的通信通道、對企業網絡的遠程訪問或節點欺騙）相對更容易被利用。在系統中，網絡攻擊是違反安全目標并阻礙預期系統功能的、故意使系統故障的誤用或濫用條件。這些可能是主動的或被動的， 其中主動攻擊對于工業互聯網系統來說造成的危害更為嚴重。

由此可見，即使是安全關鍵型網絡物理系統也成為了重要目標。在主要關注安全保證的此類系統中，安全建模通常沒有得到適當的關注，增加了導致嚴重后果的重大損害的風險。在這類復雜且資本密集的系統中，在需求分析和設計階段解決安全特性，能夠降低成本、減少工作量，而不是在系統開發取得實質性進展后考慮，此時變更設計成本更高。因此，最好在系統開發生命周期的早期階段識別和發現可能的漏洞，要在設計階段對預期系統進行建模和分析，防止后續系統故障。

【資料圖】

本文所提出的方法可以幫助工業互聯網服務商和應用商了解PetriNet（對離散并行系統的數學表示）的安全建模方式，即在工業互聯網系統平臺中如何有效保證其構建和應用能力及其屬性的安全性。通過分析模型屬性并識別安全威脅及其影響，在建模級別過濾安全問題。數學描述

2.1 　工業互聯網系統

工業互聯網系統實際可以描述為一個三元組｛S；C；A｝。其中，S 是一組傳感器，C 是一組控制器，A 是一組執行器。工業互聯網系統的動態行為的數學方程可以描述為

式中，a，b 為常數；表示傳感器Sx 的測量值，Smx (t) 表示t 時刻執行器A 的x 點位傳感器的均值；Cx (t) 表示控制器Cx 在t 時刻的測量值。

2.2 　隨機PetriNet 網格模型

隨機 PetriNet（Stochastic PetriNet，SPN） 是PetriNet 的擴展形式。它是一種圖形和數學工具，可以對分布式、非確定性、并行和異步系統進行建模。它表示具有兩組不相交節點的有向二分圖：位置節點 P 和過度節點T，建模為一個圓圈，表示狀態或條件。轉換節點， 建模為條形，表示離散事件或函數。轉換與特定數量的輸入和輸出位置相連，以表達事件的前后條件。系統行為以可能的系統狀態（標記）及其轉換的形式進行描述， 這些狀態以圖形表示為標記，即非負數的點。每個轉換都與一個正的、指數分布的隨機變量相關聯，該變量表示從啟用到觸發該特定轉換的延遲。形式上，將位置等被定義為一個五元組。

式中，P 表示位置集合；T 表示轉換節點集合；A 表示建模的模型弧度集合；M0 表示初始標識；γ 表示與轉換相關的平均觸發延遲倒數的觸發率集合。

如果啟用了多個轉換，則延遲最短的轉換將在觸發中獲得優先權。基本 SPN 模型如圖 1 所示。由于觸發延遲指數分布的無記憶特性，SPN 的可達性圖可以轉換為如圖 2 所示的有限馬爾可夫鏈，其 λ0 是觸發率與轉換節點之間的關聯系數。因此，SPN 結合了 PN 和馬爾可夫過程的強大功能。這可能有助于計算系統的不同性能度量， 以分析工業互聯網平臺在正常條件、攻擊和應用緩解下的動態行為。

建模方法

本節簡要介紹了基于PetriNet 的工業互聯網安全建模和分析的建議方法，該方法包括五個階段。

3.1 　需求分析

此階段確定工業互聯網的技術、功能、場景和非功能要求。識別系統組件及其交互以交付符合安全要求的預期功能是此階段的輸出。

組件仿真模塊為虛擬化設備的邏輯體現，支持真實或虛擬的主機設備、網絡設備、安全設備和電力工控設備等多種類型組件組合配置，將可仿真的電力工控設備或軟件安裝到不同類型的操作系統上，從而實現不同設備功能的仿真，提供PLC、DCS、通信網絡、SCADA 組態軟件、通信軟件及各種中間件資源，用于構建或復現電力監控系統網絡環境中的資源節點。

3.2 　功能模型分析

此階段對系統組件之間的交互進行建模，以使用 SPN 提供預期的功能。基于Web 開發的核心網絡場景構建模塊，實現組件、場景的拖拽組網及虛擬化訪問交互。通過在Web 界面選擇網絡拓撲組件，實現自由拖拽組網功能，待網絡環境組建完畢后，點擊一鍵生成環境，該系統自動將Web 端的可視化拓撲圖轉化為可自動化配置的虛擬化網絡環境，實現對網絡拓撲圖中的虛擬機以及網絡的自動化配置，并在分鐘級內完成整個環境的構建工作。構建完成后，整個拓撲圖需要利用組件監控系統實時展示網絡流量狀態以及組件的實時狀態、異常狀態等。同時，基于該拓撲圖還可以直接點擊組件，進入相應的組件SSH、RDP 界面或VNC 界面。

場景構建模塊主要由可視化拓撲編輯畫板及后臺的電力業務處理邏輯構成，拓撲畫板負責與用戶交互，將用戶預想的網絡結構通過JSON 格式數據傳輸到后臺，后臺經過邏輯處理并存入數據庫。

3.3 　威脅模型生成

此階段識別傳感器網絡的漏洞并識別可以利用它們入侵和破壞工業互聯網的威脅類型。威脅建模構建如圖3 所示。

威脅建模通常從三個維度來建立模型：以資產為核心、以攻擊者為核心和以軟件系統為核心。結合數據流圖的基本元素，使用STRIDE 方法作為威脅維度來對各基本元素進行威脅分析，可以得出STRIDE 方法威脅建模見下表。

3.4 　應急處置模型生成

應用安全緩解措施來報復或消除威脅的影響。

3.5 　安全驗證

模型的每次成功運行都可確保系統在沒有任何沖突和安全違規的情況下執行。此階段根據不同的安全指標定性和定量地評估模型行為。定性分析顯示威脅的影響是什么，定量分析顯示應用緩解措施降低了攻擊概率的程度。

基于PetriNet 的工業互聯網模型的電力領域工業互聯網平臺的應用

基于PetriNet 的工業互聯網安全模型的工業互聯網平臺在電力領域的應用，主要由實訓平臺、競賽系統、應急演練、開發測試和測試驗證構成，每個應用系統有自己單獨的劇本任務系統，同時業務上依賴于場景構建提供的電力監控系統網絡場景。

實訓平臺面向電力監控系統網絡安全領域的人員教學實踐需求，教育、培訓理論與實踐結合，以實戰化電力監控系統網絡安全建設為目標，為理論學習、測試、實戰訓練和網絡新技術研發提供支撐。

競賽系統面向電力監控系統網絡構建、選手競賽網絡設計、選手攻擊行為分析等提供解決方案，提供選手接入能力、網絡承載能力、環境仿真能力和數據分析能力。

應急演練針對各類電力監控系統網絡安全應急事件發生及處理全過程的模擬演練，實現對應急事件處理的多角度、全方位的演練和評估。通過配置仿真模型、用戶操作界面和部署仿真場景，可快速構建面向各類應急預案的模擬演練系統，在突發事件事先預防、事發應對、事中處置和善后恢復過程中，建立必要的應對機制，保障電力監控系統網絡安全。

開發測試為電力監控系統軟件開發提供云開發環境、使用場景和軟件測試環境等，真實復現電力系統的生產過程、流程工藝，在真實的網絡環境和仿真硬件環境中完成開發、匹配和測試等工作。

測試驗證為基于電力監控系統網絡信息安全威脅情報、態勢感知、安全可視化、漏洞驗證和安全分析等研究方向提供虛擬化電力監控系統網絡沙箱環境，可接入安全測試工具、綜合實驗分析工具和漏洞測試腳本集等。形成電力特色的研究能力、攻防能力和漏洞挖掘能力。

結束語

本文提出了一種基于隨機 PetriNet 網格模型的工業互聯網系統的安全建模方法，定性和定量地研究和分析工業互聯網系統在關鍵基礎設施領域應用的安全性，可以有效解決關系國計民生的重大關鍵基礎設施建設在可行性研究階段的網絡安全建模問題，可有效分析和評估重大基礎實施的安全能力，為保障國內企業安全運營提供有效的技術手段。

審核編輯：劉清