一、引言

隨著信息技術(shù)的不斷發(fā)展與演進(jìn)，互聯(lián)網(wǎng)逐漸由日常消費(fèi)擴(kuò)展到工業(yè)生產(chǎn)領(lǐng)域，從實(shí)現(xiàn)人與人的連接逐漸擴(kuò)展到人與物、物與物的連接，全球正在迎來(lái)產(chǎn)業(yè)變革和科技革命的浪潮。互聯(lián)網(wǎng)與制造業(yè)相融合形成的工業(yè)互聯(lián)網(wǎng)成為競(jìng)相爭(zhēng)奪的產(chǎn)業(yè)制高點(diǎn)。

從2011年起，德國(guó)、美國(guó)、日本相繼推出了各自的智能制造業(yè)國(guó)家戰(zhàn)略。在現(xiàn)有的工業(yè)機(jī)械化、自動(dòng)化和信息化基礎(chǔ)上，利用互聯(lián)網(wǎng)技術(shù)與工業(yè)相融合，以信息物理系CPS （Cyber-Physical Systems）為核心提高制造業(yè)的智能化水平，建立具有靈活性、敏捷性和資源節(jié)約型的智慧工廠。

美國(guó)通用電器（GE）公司在其白皮書(shū)中指出，工業(yè)物聯(lián)網(wǎng)與數(shù)據(jù)分析平臺(tái)相結(jié)合而形成的工業(yè)互聯(lián)網(wǎng)，是提升工廠工業(yè)生產(chǎn)各環(huán)節(jié)的傳感器和其他設(shè)備收集海量運(yùn)行數(shù)據(jù)，而數(shù)據(jù)分析平臺(tái)則通過(guò)數(shù)據(jù)分析與挖掘技術(shù)對(duì)現(xiàn)有資源、網(wǎng)絡(luò)和生產(chǎn)流程等進(jìn)行改進(jìn)來(lái)提高生產(chǎn)效率。

數(shù)字孿生作為集成工業(yè)互聯(lián)網(wǎng)中數(shù)據(jù)采集、實(shí)體模型、數(shù)據(jù)分析和云計(jì)算能力的新興應(yīng)用，成為信息化與工業(yè)化兩化融合的關(guān)鍵研究領(lǐng)域。數(shù)字孿生是在數(shù)字空間內(nèi)綜合各學(xué)科知識(shí)對(duì)物理實(shí)體建立起多維度的動(dòng)態(tài)虛擬模型，構(gòu)建與物理實(shí)體具有相同屬性、行為和規(guī)則的數(shù)字實(shí)體。數(shù)字實(shí)體通過(guò)物理反饋獲取外部數(shù)據(jù)，在數(shù)字空間實(shí)時(shí)反映物理實(shí)體的真實(shí)狀況。采用人工智能、機(jī)器學(xué)習(xí)和軟件分析等技術(shù)，利用數(shù)字孿生體進(jìn)行模擬仿真，實(shí)現(xiàn)制造過(guò)程、制造系統(tǒng)與制造裝備的知識(shí)推理、動(dòng)態(tài)傳感與自主決策。數(shù)字孿生具有豐富的應(yīng)用領(lǐng)域和場(chǎng)景，IDC數(shù)據(jù)顯示，世界上40%的大型制造商都會(huì)用到數(shù)字孿生系統(tǒng)來(lái)建立虛擬模型，數(shù)字孿生技術(shù)被廣泛運(yùn)用于制造業(yè)，成為企業(yè)邁向工業(yè)4.0的核心解決方案。

隨著數(shù)字孿生等工業(yè)智能化系統(tǒng)的普及，針對(duì)聯(lián)網(wǎng)工業(yè)設(shè)備和軟件的攻擊與日倶增。根云、航天云網(wǎng)、COSMOPlat、OneNET、OceanConnect等我國(guó)知名的工業(yè)互聯(lián)網(wǎng)平臺(tái)受到持續(xù)的網(wǎng)絡(luò)攻擊。工業(yè)互聯(lián)網(wǎng)平臺(tái)和數(shù)字孿生系統(tǒng)已經(jīng)成為惡意入侵的重點(diǎn)目標(biāo)。而數(shù)字孿生系統(tǒng)的開(kāi)源供應(yīng)鏈則成為安全防護(hù)工作中的薄弱環(huán)節(jié)。

二、數(shù)字孿生開(kāi)演軟件供應(yīng)鏈概念及特點(diǎn)

數(shù)字孿生在促進(jìn)工業(yè)生產(chǎn)的數(shù)字化轉(zhuǎn)型上需要豐富的軟件生態(tài)進(jìn)行支撐。這一軟件體系需要從認(rèn)知傳感、物聯(lián)網(wǎng)平臺(tái)、軟件工具、企業(yè)應(yīng)用和可視化輔助工具等不同層面對(duì)產(chǎn)品設(shè)計(jì)、制造裝配、故障預(yù)測(cè)與健康管理以及整體管控的智能輔助和自動(dòng)化決策進(jìn)行支持。

為了實(shí)現(xiàn)上述目標(biāo)，數(shù)字孿生需要構(gòu)建豐富且完整的軟件生態(tài)將物聯(lián)網(wǎng)平臺(tái)、傳感引擎、數(shù)字孿生、數(shù)字建模工具和數(shù)字主線、內(nèi)部和第三方軟件、企業(yè)應(yīng)用、虛擬化工具和儀表板集成起來(lái)，并在它們之間進(jìn)行數(shù)據(jù)交換，從而實(shí)現(xiàn)生產(chǎn)流程中各環(huán)節(jié)之間的互聯(lián)互通。

由于數(shù)字孿生貫穿于工業(yè)生產(chǎn)的全部生命周期，軟件支撐分布在設(shè)備與數(shù)據(jù)交互的各個(gè)環(huán)節(jié)之中，這種分布式特性極大地提高了軟件復(fù)雜性，從而使得單一組織已經(jīng)無(wú)法依靠?jī)?nèi)部力量完成所有功能。為了應(yīng)對(duì)這種復(fù)雜性，大多數(shù)公司和開(kāi)發(fā)團(tuán)隊(duì)利用免費(fèi)提供的高質(zhì)量開(kāi)源軟件去構(gòu)建自己的定制功能軟件。這種“定制”本質(zhì)上就是將各種開(kāi)源軟件黏合在一起，從而提供能夠?qū)崿F(xiàn)特定功能的軟件服務(wù)。西門(mén)子、通用電氣公司、美國(guó)參數(shù)技術(shù)公司（PTC）等國(guó)外知名廠商都是通過(guò)培植開(kāi)源社區(qū)形成自身數(shù)字孿生平臺(tái)的軟件供應(yīng)鏈。

在數(shù)字孿生的開(kāi)源軟件供應(yīng)鏈中，集成團(tuán)隊(duì)交付給用戶的“定制”軟件更應(yīng)視為構(gòu)成該軟件所有軟件包的集合，這種集合關(guān)系已經(jīng)超越了傳統(tǒng)的供應(yīng)商與采購(gòu)商之間的關(guān)系，而是按照開(kāi)源軟件組織的流程形成了新的模型。

在數(shù)字孿生的開(kāi)源軟件供應(yīng)鏈中，開(kāi)發(fā)者、鏡像倉(cāng)庫(kù)、集成團(tuán)隊(duì)和最終用戶在開(kāi)發(fā)、存儲(chǔ)、分發(fā)、集成和使用軟件并進(jìn)行反饋的過(guò)程中形成了緊密的連接。

三、數(shù)字孿生開(kāi)演軟件供應(yīng)鏈面臨的安全風(fēng)險(xiǎn)

數(shù)字孿生的岀現(xiàn)雖然在信息物理系統(tǒng)層面為企業(yè)生產(chǎn)的全流程數(shù)字化打通了渠道，但是也為惡意攻擊打開(kāi)了方便之門(mén)。針對(duì)數(shù)字孿生系統(tǒng)的攻擊行為會(huì)嚴(yán)重?cái)_亂經(jīng)濟(jì)和社會(huì)的運(yùn)行秩序。美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院(NIST )專門(mén)制定了供應(yīng)鏈風(fēng)險(xiǎn)管理實(shí)踐清單來(lái)應(yīng)對(duì)傳統(tǒng)ICT系統(tǒng)的惡意攻擊。然而，數(shù)字孿生系統(tǒng)具有其獨(dú)特的系統(tǒng)特征，數(shù)字孿生體與現(xiàn)實(shí)世界物理實(shí)體具備映射關(guān)系，由于建立在物聯(lián)網(wǎng)基礎(chǔ)上的物理實(shí)體呈現(xiàn)高度的連通性，原本能夠阻斷惡意攻擊的物理隔離和數(shù)據(jù)隔離在數(shù)字孿生領(lǐng)域全部消失，這使得其與傳統(tǒng)的ICT安全性在經(jīng)濟(jì)、社會(huì)、法律和技術(shù)方法等層面具有差異性。

（1）數(shù)字孿生系統(tǒng)建立在物聯(lián)網(wǎng)的傳感器網(wǎng)絡(luò)之上，其與現(xiàn)實(shí)世界存在密切的交互行為。傳統(tǒng)的ICT攻擊通常只停留在信息和數(shù)據(jù)層面，而針對(duì)數(shù)據(jù)孿生系統(tǒng)的攻擊會(huì)威脅到物理世界中的人身安全、設(shè)備安全和業(yè)務(wù)安全。

（2）開(kāi)源軟件的供應(yīng)鏈同樣會(huì)受到政治風(fēng)險(xiǎn)的影響，開(kāi)源軟件的開(kāi)發(fā)團(tuán)隊(duì)很可能因?yàn)樾姓�禁令而不能向集成商或者用戶提供服�?wù)或者分發(fā)安全補(bǔ)丁。

（3）開(kāi)源軟件的開(kāi)發(fā)團(tuán)隊(duì)更關(guān)注功能的實(shí)現(xiàn)，在進(jìn)行軟件設(shè)計(jì)時(shí)為了功能的便捷性而忽視安全性問(wèn)題。同時(shí)，開(kāi)源軟件開(kāi)發(fā)者通常免除了自己的法律責(zé)任，而集成團(tuán)隊(duì)在安全驗(yàn)證方面通常過(guò)分信任開(kāi)源軟件包，這使得厘清供應(yīng)鏈參與者與漏洞產(chǎn)生之間的法律責(zé)任非常困難。

（4）開(kāi)源軟件開(kāi)發(fā)過(guò)程中，依賴包關(guān)系復(fù)雜，大部分開(kāi)發(fā)團(tuán)隊(duì)僅能厘清所遵循的開(kāi)源協(xié)議，而無(wú)法提供依賴包關(guān)系的清單等開(kāi)源代碼的準(zhǔn)確使用狀況。

（5）傳統(tǒng)的安全驗(yàn)證可以依賴于對(duì)軟件的完備測(cè)試，然而面對(duì)數(shù)字孿生這種無(wú)法通過(guò)構(gòu)建完備測(cè)試集進(jìn)行安全性驗(yàn)證的高階協(xié)同復(fù)雜軟件系統(tǒng)，現(xiàn)階段缺乏針對(duì)安全性進(jìn)行模型檢測(cè)和模型驗(yàn)證的方法。

正是由于存在這些差異性，數(shù)字孿生的開(kāi)源軟件供應(yīng)鏈體系在開(kāi)發(fā)、集成、交付和使用環(huán)節(jié)面臨著數(shù)據(jù)風(fēng)險(xiǎn)和業(yè)務(wù)風(fēng)險(xiǎn)，惡意攻擊可能從以下幾個(gè)層面展開(kāi)。

（1）攻擊開(kāi)發(fā)環(huán)境。該種攻擊是針對(duì)開(kāi)源軟件供應(yīng)鏈中的開(kāi)發(fā)者環(huán)節(jié)。攻擊者可以通過(guò)向開(kāi)發(fā)環(huán)境中植入惡意程序，通過(guò)污染編譯器等方式，在每次代碼編譯過(guò)程中將惡意代碼放入編譯完成的可執(zhí)行文件中，從而躲過(guò)代碼審查。

（2）攻擊開(kāi)發(fā)工具。2015年的XcodeGhost事件為此類攻擊的代表，攻擊者通過(guò)修改開(kāi)發(fā)工具的配置，利用開(kāi)發(fā)工具作為跳板對(duì)軟件開(kāi)發(fā)過(guò)程中使用的自動(dòng)生成代碼和編譯環(huán)境進(jìn)行污染，從而實(shí)現(xiàn)將惡意代碼混入軟件的目的。

（3）攻擊鏡像倉(cāng)庫(kù)。開(kāi)發(fā)者在開(kāi)發(fā)過(guò)程中通常關(guān)注第三方包是否能夠?qū)崿F(xiàn)功能，而不會(huì)對(duì)第三方包的安全性加以關(guān)注。攻擊者可以通過(guò)對(duì)鏡像倉(cāng)庫(kù)進(jìn)行網(wǎng)絡(luò)劫持或者采用名稱混淆的方式，誘使開(kāi)發(fā)者下載植入惡意代碼的第三方軟件包從而實(shí)現(xiàn)攻擊目的。

（4）攻擊軟件運(yùn)行環(huán)境。數(shù)字孿生系統(tǒng)軟件有很大一部分需要運(yùn)行在物聯(lián)網(wǎng)環(huán)境中，需要集成嵌入式系統(tǒng)進(jìn)行支持。由于嵌入式系統(tǒng)安全驗(yàn)證機(jī)制薄弱、物理暴露和部署復(fù)雜、網(wǎng)絡(luò)接入多樣的特點(diǎn)，攻擊者可以通過(guò)直接攻擊物聯(lián)網(wǎng)對(duì)整個(gè)數(shù)字孿生系統(tǒng)進(jìn)行入侵，從而執(zhí)行信息竊取和業(yè)務(wù)破壞行為。

四、數(shù)字孿生開(kāi)源軟件供應(yīng)鏈安全防護(hù)

正是由于惡意攻擊帶來(lái)的破壞性，數(shù)字孿生開(kāi)源軟件供應(yīng)鏈的安全防護(hù)工作值得我們高度重視。從多個(gè)角度分析供應(yīng)鏈中存在的不同風(fēng)險(xiǎn)，建設(shè)有針對(duì)性的安全流程和技術(shù)方案對(duì)供應(yīng)鏈進(jìn)行風(fēng)險(xiǎn)管理，維護(hù)數(shù)字孿生系統(tǒng)的安全運(yùn)行。

（1）建立開(kāi)源軟件供應(yīng)鏈攻擊的分析與防范機(jī)制。有針對(duì)性地研究和分析數(shù)字孿生開(kāi)源軟件供應(yīng)鏈中的威脅情況，給出攻擊源及其對(duì)應(yīng)潛在影響的清單，按照風(fēng)險(xiǎn)暴露的可能性與攻擊危害的嚴(yán)重程度對(duì)風(fēng)險(xiǎn)進(jìn)行全面和綜合衡量。通過(guò)清單列出軟件供應(yīng)鏈中的全部風(fēng)險(xiǎn)點(diǎn)與威脅信息后，制訂出規(guī)避開(kāi)源軟件供應(yīng)鏈風(fēng)險(xiǎn)的最佳方案。

（2）提高開(kāi)發(fā)人員安全意識(shí)。軟件開(kāi)發(fā)人員是整個(gè)開(kāi)源軟件供應(yīng)鏈中的第一個(gè)節(jié)點(diǎn)，也是作為每一個(gè)環(huán)節(jié)中的重要參與者貫穿于數(shù)字孿生系統(tǒng)建設(shè)過(guò)程中。開(kāi)發(fā)團(tuán)隊(duì)?wèi)?yīng)在開(kāi)發(fā)過(guò)程中的每一個(gè)環(huán)節(jié)和每一個(gè)關(guān)鍵點(diǎn)進(jìn)行安全與風(fēng)險(xiǎn)的評(píng)估。在開(kāi)源軟件開(kāi)發(fā)過(guò)程中，開(kāi)發(fā)人員不應(yīng)過(guò)分注重功能實(shí)現(xiàn)和版本迭代的速度，更不應(yīng)該認(rèn)為安全開(kāi)發(fā)的規(guī)范流程是拖慢開(kāi)發(fā)進(jìn)度的阻礙。

（3 ）建立可信的開(kāi)發(fā)環(huán)境。利用軟件過(guò)程可信模型對(duì)軟件開(kāi)發(fā)環(huán)境的可信性進(jìn)行評(píng)估，通過(guò)形式化驗(yàn)證的方法，在開(kāi)發(fā)環(huán)境中建立起規(guī)約和驗(yàn)證模型。針對(duì)開(kāi)發(fā)環(huán)境中的風(fēng)險(xiǎn)點(diǎn)，制作風(fēng)險(xiǎn)控制清單，并定期對(duì)開(kāi)發(fā)環(huán)境進(jìn)行安全評(píng)測(cè)。

（4）建立開(kāi)源軟件漏洞信息數(shù)據(jù)庫(kù)，針對(duì)開(kāi)源軟件包，建立起標(biāo)準(zhǔn)化的漏洞信息庫(kù)用以命名、描述和跟蹤漏洞。

（5）開(kāi)源軟件供應(yīng)鏈安全分析報(bào)告。系統(tǒng)集成團(tuán)隊(duì)在將產(chǎn)品交付用戶之前，需要對(duì)開(kāi)源軟件的供應(yīng)鏈安全進(jìn)行分析與研究，形成開(kāi)源軟件供應(yīng)鏈安全分析報(bào)告。報(bào)告內(nèi)容應(yīng)包括：

①系統(tǒng)軟件中開(kāi)源軟件包占比分析，即給岀軟件供應(yīng)鏈中所涉及的源代碼種類及對(duì)應(yīng)的文件數(shù)量；

②開(kāi)源軟件包依賴關(guān)系，報(bào)告中應(yīng)對(duì)軟件所使用的開(kāi)源軟件包之間的依賴關(guān)系進(jìn)行詳細(xì)描述；

③開(kāi)源軟件歸屬分析，報(bào)告應(yīng)針對(duì)開(kāi)源軟件權(quán)益歸屬地和開(kāi)發(fā)團(tuán)隊(duì)的地理分布信息進(jìn)行分析，給出供應(yīng)鏈政策風(fēng)險(xiǎn)評(píng)估，同時(shí)應(yīng)給出高斷供風(fēng)險(xiǎn)的軟件包的替代方案并盡可能消除高政治風(fēng)險(xiǎn)開(kāi)源軟件包的使用；

④開(kāi)源組件漏洞分析，利用漏洞信息庫(kù)對(duì)開(kāi)源軟件包的漏洞進(jìn)行掃描來(lái)完成安全等級(jí)評(píng)估。

五、結(jié)語(yǔ)

由于數(shù)字孿生領(lǐng)域剛剛興起，相應(yīng)的技術(shù)標(biāo)準(zhǔn)、安全規(guī)范和生產(chǎn)實(shí)踐都處于摸索前進(jìn)的過(guò)程中，目前尚無(wú)法形成理論完備、安全有效的開(kāi)源軟件供應(yīng)鏈風(fēng)險(xiǎn)控制方法。因此需要我們?cè)诶碚搶用嫔蠈?duì)其進(jìn)行深入探討和研究，以應(yīng)對(duì)未來(lái)可能出現(xiàn)的安全風(fēng)險(xiǎn)。

（1）加強(qiáng)高階協(xié)同系統(tǒng)可信性驗(yàn)證方法的研究工作。數(shù)字孿生系統(tǒng)中物理實(shí)體與數(shù)據(jù)模型之間不僅僅存在一階的數(shù)據(jù)交互，兩者之間還存在激勵(lì)、反饋、控制等多種協(xié)同方式，屬于典型的高階協(xié)同系統(tǒng)。現(xiàn)有的高階CCS演算、高階n演算、高階并發(fā)通信模型等都是基于進(jìn)程形式，然而數(shù)字孿生這樣的安全苛刻系統(tǒng)中，設(shè)備與軟件存在相互的獨(dú)立性，內(nèi)部同時(shí)存在數(shù)據(jù)交互與業(yè)務(wù)維護(hù)工作；同時(shí)各個(gè)子系統(tǒng)之間對(duì)外接口存在不同的協(xié)議約束，使得現(xiàn)有的模型工具很難對(duì)其進(jìn)行準(zhǔn)確描述。

（2）加強(qiáng)開(kāi)源軟件供應(yīng)鏈的掌控力度，完善供應(yīng)鏈安全評(píng)價(jià)。利用重點(diǎn)實(shí)驗(yàn)室、行業(yè)協(xié)會(huì)和業(yè)內(nèi)龍頭企業(yè)的技術(shù)、政策和業(yè)務(wù)能力，對(duì)開(kāi)源軟件供應(yīng)鏈的上下游合作伙伴進(jìn)行管控。推動(dòng)開(kāi)發(fā)人員的安全開(kāi)發(fā)能力度量標(biāo)準(zhǔn)和基于企業(yè)能力評(píng)價(jià)的供應(yīng)鏈安全標(biāo)準(zhǔn)的建設(shè)和實(shí)施。

（3）加強(qiáng)開(kāi)源軟件社區(qū)管理，建設(shè)可信軟件資源鏡像倉(cāng)庫(kù)。開(kāi)源軟件發(fā)布的隨意性是導(dǎo)致其被惡意代碼植入的最主要原因，通過(guò)建設(shè)可信的軟件資源鏡像倉(cāng)庫(kù)，能夠在很大程度上避免惡意代碼因軟件包被二次打包、網(wǎng)絡(luò)劫持、相似命名等方式進(jìn)入到軟件開(kāi)發(fā)環(huán)境中。因此從國(guó)家層面上，推動(dòng)行業(yè)主管單位、網(wǎng)絡(luò)安全相關(guān)科研單位、互聯(lián)網(wǎng)龍頭企業(yè)等組織共同建設(shè)和推廣可信軟件資源鏡像倉(cāng)庫(kù)，能夠最大程度地避免引入惡意代碼，保護(hù)開(kāi)源軟件供應(yīng)鏈的安全。

 

（原載于《保密科學(xué)技術(shù)》雜志2020年7月刊）