工業互聯網“咖”解丨李建華:基于數字孿生的工業互聯網安全新思路
李建華 360集團高級副總裁、工業互聯網產業聯盟副理事長
張建新 360集團工業互聯網安全實驗室主任
01前言
近年來,數字孿生成為了工業互聯網領域熱門技術,并廣泛用于工業設計、制造等。2016-2018年,Gartner連續三年將數字孿生列為十大戰略科技發展趨勢;2019年,Gartner認為數字孿生處于期望膨脹期頂峰,將在未來5年產生顛覆性創新。美國工業互聯網聯盟將數字孿生作為工業互聯落地的核心和關鍵,發布了《工業應用中的數字孿生:定義,行業價值、設計、標準及應用案例)》白皮書;德國工業4.0參考架構也將數字孿生作為重要內容。在產業界,GE、西門子、達索等產業巨頭,紛紛圍繞數字孿生開展技術研究和業務布局。美國國防部和NASA幾乎在同一時間開始關注數字孿生,2010年,NASA發布了《建模、仿真、信息技術和處理路線圖》,指出大概在2027年實現數字孿生體(Digital Twin),該報告也被稱之為“數字孿生體2027計劃”。
02數字孿生的概念內涵
數字孿生并非一個全新的技術,可以說CAX等數字化的設計手段都可以算作是數字孿生的雛形,只不過近些年,隨著仿真模擬水平的不斷加深,加之物聯網、云計算、大數據等新興技術的加持,使得我們對物理世界的數字化仿真程度越來越深,虛實互動、虛實融合,帶來了更加廣泛的應用場景和價值。因此,大家覺得有必要用一個全新的概念來表述這個技術范疇,數字孿生才逐漸成為一個熱門詞語。
數字孿生概念的提出最早可以追溯到Michael Grieves博士在2002年密歇根大學的一次演講,提及了類似數字孿生的相關概念。但是在之后的18年時間里,業界卻始終沒有達成對數字孿生的統一概念,不同的使用者基于不同的角度和需求,賦予了數字孿生不同的概念描述,這是因為數字孿生并非指具體的技術,而是一種技術理念。數字孿生主要包含如下技術特征:
一是數字表征。“數字孿生”是對物理世界進行數字化表征的一種方式,這種方式源于具體的應用需求并且受限于我們對物理世界的理解程度,比如說:設計汽車的數字孿生包含了汽車的每一個零部件,而用于汽車調度的數字孿生,汽車可能只是用一個方塊表示,因為我們關心的是它位置、速度等;但受限于我們對材料工藝的了解,我們無法準確構建每一個零部件的機理模型。
二是虛實互聯。數字孿生強調了數字世界與物理世界的雙向聯接,實現物理孿生體與數字孿生體的同步和反饋。這使得原本的數字仿真不再是孤立、靜止的“模型”,而是可以隨著物理世界變化、與物理世界互動,甚至影響物理世界的“孿生體”,這種改變一方面增加了數字仿真的真實性,同時也使得數字孿生可以更好的發揮作用。
三是數據驅動。數字孿生價值的本質是數據價值,通過建立在海量數據之上的高級數據分析能力和智能應用,實現了對數字孿生價值的應用。通過對數據的分析和挖掘,建立起物理實體的數據模型,使我們對物理實體的認識不再受限于機理模型,可以更好的認識世界的潛在規律,并支撐我們做出正確的決策。
03數字孿生的應用價值
目前,數字孿生的理念已經得到廣泛認可,并且在不同行業或領域發揮了重要價值。數字孿生正在從螺絲、設備到產線,從管道、建筑到城市,從細胞、心臟到人體,不斷的構建數字孿生體,在建筑、醫療、制造等不同領域得到了應用。下面我們通過幾個例子看看數字孿生的具體應用價值。
案例一
2019年4月15日,巴黎圣母院發生大火,近千年的古跡幾乎盡毀。由于在歷史發展過程中,巴黎圣母院也經歷了多次維修和改建,因此想要完全復原巴黎圣母院是一項非常復雜和困難的事情。好在2015年達索系統公司與巴黎市政府合作“數字巴黎”項目,通過數字化建模、仿真,完整地還原了巴黎古城的建造過程,真實還原了巴黎圣母院的原貌和幾百年的建造過程,在數字世界中再現了一塊磚、一扇門、一扇窗的安裝過程,為巴黎圣母院重建提供了重要支撐,數字孿將助力巴黎圣母院獲得重生。
案例二
達索公司另一個非常著名的項目叫“數字心臟(Living Heart)”:通過研究心臟生物學、物理學、化學的作用規律,研究心臟是如何泵送血液,患者口服降壓藥后藥物分子怎么作用于心臟,捕捉心臟如何通過生物電控制每股肌肉纖維產生收縮力,還原復制人類心臟的真實運行,基于對心臟物理、化學、生物規律完全掌握的基礎上,在數字世界構建一個數字孿生的心臟。心臟手術專家可以事先借助數字孿生的心臟進行手術預演、規劃手術步驟,幫助醫生設計規劃最佳手術方案,提高醫生手術質量,降低風險;醫學院或是醫院,基于數字孿生的心臟,可以低成本、高效率、高質量地開展復雜醫學手術和解剖教學,提高醫生和醫學院學者的學習效率;醫療設備制造商可以借助心臟數字孿生體開展藥物和醫療器械的仿真實驗,大大縮短醫療器械的研發周期,使之能夠快速通過醫療部門的認證。
案例三
2018年底到2019年初,波音737 MAX 8型飛機接連出現兩次墜毀事故,引發了人們對數字孿生技術的關注:如果能為物理世界找到一個數字映射,能讓飛機故障被及時察覺,甚至被預測到,讓維修變得更精準,將有效避免事故的發生。很早以前,數字孿生已經由美國用于航空航天飛行器的健康維護與保障。通過為每架飛機建立一個“數字鏡像”,使得飛機的真實狀態能通過傳感器與數字傳輸實現完全同步,從而及時分析評估飛機是否要維修、能否承受下次任務載荷等。
通過上面三個案例我們可以發現,數字孿生在應用方面有以下幾個顯著價值:
一、數字孿生的主要能力包含展示、診斷、驗證、預測、決策等五個層次。其中展示是最基本的呈現功能;診斷和驗證用于發現當前狀態存在的問題;預測用于面向未來的發展態勢進行預測;決策是最高級別的能力,指通過數字孿生產生決策指令對物理實體進行控制,目前的實際應用還很少。
二、數字孿生的應用價值體現在解決全局性、高復雜度問題,提供更加精準、精細的解決問題能力。比如:如果我們要制作的是一塊磚,使用數字孿生技術似乎無法帶來明顯的好處;但如果我們要恢復整個巴黎圣母院,無疑數字孿生可以提供最直觀、最精細的呈現。而心臟、飛機,無不是包含了人腦難以處理的復雜細節,并且需要將各種細節全局考慮。數字孿生以算力、算法和數據,將復雜問題具象化、全局化,提供更加精準、精細的解決辦法。
三、數字孿生的應用價值體現在對“昂貴的”、“脆弱的”目標對象的仿真模擬,以提供經濟、高效的解決方案。之前,我們要開發一架飛機或一輛汽車,總要經過多次的技術方案嘗試,在不斷的嘗試中完善方案,比如:汽車需要做多次碰撞試驗,飛機要做幾萬小時的風洞實驗,安全性才能夠達到最終的要求。這極大增加了我們的時間和成本投入。更不要說一次心臟手術,相信沒有人愿意成為試驗的對象。但是,數據孿生的應用可以實現以極低的成本對這些昂貴的、脆弱的對象的進行多次反復試驗,以得到最優的產品或方案。
04基于數字孿生的工業互聯網安全新思路
4.1工業互聯網應用場景
工業互聯網符合數字孿生的應用場景特征,具體體現在:
一、工業網絡屬于信息物理系統(CPS)的一種,是一個包含計算、網絡、控制、物理環境的多維復雜系統,工業安全問題是一個“功能安全+信息安全”的復雜融合安全問題。因此,我們解決工業安全問題必須同時考慮到網絡空間與物理空間的影響,建立包含工業網絡的系統組成、業務承載以及人員行為的全局體系,這是一個非常復雜的系統性問題。而數字孿生恰好可以打通物理世界與數字世界的連接,在數字空間重構物理實體的數字孿生體,建立起包含生產設備、控制設備、網絡設備、計算設備的工業數字孿生網絡,讓我們可以站在“上帝”的視角俯瞰工業網絡的安全問題。
二、工業網絡是一個昂貴、脆弱的“系統”,而工業領域是一個重視成本和效率的業務領域,因此針對工業網絡的安全體系評估和驗證存在巨大挑戰。首先,我們應該明確的是真實有效的網絡安全評估和驗證是非常必要的,因為安全不是一個標準化的、靜止的狀態,一個網絡、一個系統是否安全只有攻擊能夠驗證,所謂“講十遍不如打一遍”。但是,針對工業網絡這種“昂貴、脆弱的”系統進行攻防驗證是非常困難的,一方面,以工業網絡實體進行攻防驗證,有可能對工業網絡造成難以恢復的損害,會極大影響工業生產造成經濟損失,即使沒有造成破壞性損壞,協調工廠停止生產進行安全演習也是不夠“經濟的”;另一方面,要以高保真度復制完整的工業網絡,所需付出的價格也是非常昂貴的,顯然也是不夠“經濟的”。而數字孿生恰好可以針對這種昂貴、脆弱的系統進行低成本驗證提供了解決之道。
三、工業網絡安全能力的需求依然逃不開檢測、防御、響應的體系化能力,具體內容包含了:資產識別、流量監測、日志審計、邊界防護、鏈路加密、態勢感知和應急響應等功能需求。而數字孿生的展示、診斷、驗證、預測、決策功能恰好可以服務于工業網絡安全體系的構建,通過展示功能可以為構建全局化的網絡拓撲和資產展示;診斷和驗證功能可以支撐安全防護能力的評估和驗證;安全威脅預警正是預測功能的具體體現;而自動化和智能化的應急響應也可以通過決策功能實現。
4.2基于數字孿生的工業互聯網安全方向
數字孿生可為解決工業安全問題提供新的思路和途徑,主要有以下幾個方向:
一、基于數字孿生的高逼真工業互聯網靶場構建。工業網絡靶場的難點在于控制設備和生產設備難以實現虛擬化,因此需要結合實物控制器,生產設備沒有或者用簡單的開關、閘門模擬。這樣的靶場不僅仿真度不高,而且價格昂貴,難以實現大規模網絡模擬。而結合數字孿生可以從數字化的角度模擬控制器和生產設備,真正實現物理空間與網絡空間的融合,提供高仿真、低成本、可擴展的靶場環境。
二、基于數字孿生的工業互聯網安全性評估和規劃。當前,工業企業無論是出于合規需求還是對于網絡安全的擔憂,普遍已經購買了網絡安全產品,但他們依然不知道自己的網絡是否真的安全?一旦遭受網絡攻擊會對企業造成怎樣的影響?在缺少驗證環境的情況下通常采用理論推理和實驗驗證的方法。而結合數字孿生技術建立的工業網絡數字孿生體和攻擊驗證手段,對網絡安全性進行反復的測試、驗證,可以使工業企業清晰的了解到他們的網絡面對不同攻擊的防御能力,以及遭受到網絡攻擊后的影響范圍。從而根據需求,調整網絡架構和部署,建立起全局性、按需化的安全防御體系。我們可以想見,這樣的部署應該也是最經濟的。
三、基于數字孿生的工業互聯網精準化安全態勢感知。首先,數字孿生在可視化展示方面具有天然優勢;同時,通過與物理實體的實時連接可以實現更加真實的流量重放和業務模擬,可以形成全域感知和全景展示的安全態勢感知能力。
四、基于數字孿生與攻擊欺騙的工業互聯網主動防御。基于數字孿生構建的高仿真工業網絡數字孿生體是天然的蜜網環境,結合相應的攻擊欺騙技術,可以輕松誘導攻擊者進入錯誤的攻擊路徑,保護物理網絡實體,并為溯源、反制提供基礎。
05結語
美國《航空周報》曾經做過這樣一個預測:2035年,當航空公司接收一架飛機的時候,將同時收到一套數字飛機。這套數字飛機包含真飛機的每一個部件,每一個結構,并且伴隨著真飛機的每一次飛行而老化。我們可以想象,未來的十年,各種各樣的數字孿生體將被逐步構建,從螺絲、設備、到產線;從窗戶、建筑、到城市;從細胞、心臟、到人體, 物理世界的實體將逐一被數字化重構;目前,數字孿生的世界還是碎片化的,未來不同數字孿生之間將會被打通,實現不同數字孿生體之間的相互連接、相互影響,到那時將在物理空間之外形成一個全新的數字孿生空間。
基于數字孿生的工業互聯網安全新思路迫切需要工業企業、工業互聯網企業、工業安全三方密切合作,建立工業互聯網的數字孿生體,并將不同數字孿生體之間打通,共同構建起工業安全的數字孿生空間。
AII微信公眾號
AII頭條號