信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“安在”，作者/管窺蠡測(cè)。

Digital Twin被稱(chēng)為“數(shù)字孿生”，也被稱(chēng)為“數(shù)字鏡像”、“數(shù)字雙胞胎”或“數(shù)字化映射”等，是以數(shù)字化方式為物理對(duì)象創(chuàng)建的虛擬模型，來(lái)模擬其在現(xiàn)實(shí)環(huán)境中的行為，可以說(shuō)Digital Twin代表了物理世界與虛擬世界的融合。國(guó)外專(zhuān)家認(rèn)為，數(shù)字孿生是一種對(duì)“對(duì)象、結(jié)構(gòu)或系統(tǒng)”的數(shù)字表示，可以讓組織更深入地了解這些對(duì)象的生命周期，但這樣在虛擬世界里可以達(dá)到的洞察力和控制或會(huì)為惡意攻擊者打開(kāi)大門(mén)。

通用電氣全球研究公司（GE Global Research）執(zhí)行技術(shù)總監(jiān)賈斯汀·約翰遜（Justin John）表示：“數(shù)字孿生可以為任何物理基礎(chǔ)設(shè)施創(chuàng)建模型，包括發(fā)動(dòng)機(jī)、渦輪機(jī)和其他任一設(shè)備的單個(gè)組件，甚至整個(gè)工廠和數(shù)據(jù)中心。數(shù)字孿生的不同之處在于，它的特定序列號(hào)是組織在現(xiàn)場(chǎng)部署的，它要么有物理學(xué)的支持，要么已經(jīng)通過(guò)歷史數(shù)據(jù)了解了資產(chǎn)是如何運(yùn)作的，組織可用它來(lái)分析預(yù)測(cè)故障并提前報(bào)警。”

John說(shuō)，數(shù)字孿生可以擴(kuò)展到更為復(fù)雜的系統(tǒng)模型。“組織可以同時(shí)將五到六種不同的模式組合在一起，以獲得他們感興趣的商業(yè)成果。在某些情況下，數(shù)字孿生甚至可以用來(lái)直接控制鏡像的資產(chǎn)。”

CISO所面臨的數(shù)字孿生挑戰(zhàn)

通過(guò)使用數(shù)字孿生的數(shù)據(jù)，可以調(diào)整現(xiàn)實(shí)世界中的設(shè)備或系統(tǒng)，使其盡可能高效地工作，從而節(jié)省成本并延長(zhǎng)其生命周期，但這也同時(shí)帶來(lái)了安全風(fēng)險(xiǎn)。

Gartner物聯(lián)網(wǎng)研究副總裁Alfonso Velosa表示，盡管CISO可能是數(shù)字孿生項(xiàng)目的利益相關(guān)者，但他們從來(lái)都不是最終的決策者。他說(shuō)：“由于數(shù)字孿生是推動(dòng)業(yè)務(wù)流程轉(zhuǎn)型的工具，因此業(yè)務(wù)或運(yùn)營(yíng)部門(mén)通常會(huì)主導(dǎo)這一舉措。大多數(shù)數(shù)字孿生都是為滿(mǎn)足特定的業(yè)務(wù)需求而定制的。”

Velosa認(rèn)為，當(dāng)企業(yè)購(gòu)買(mǎi)一種新的智能資產(chǎn)時(shí)，無(wú)論是卡車(chē)、反鏟挖掘機(jī)、電梯、壓縮機(jī)還是冰箱，通常都會(huì)附帶相應(yīng)的數(shù)字孿生。“大多數(shù)運(yùn)營(yíng)團(tuán)隊(duì)需要的是精簡(jiǎn)的、跨IT的各種支持，而不僅僅是CISO的支持，這樣才能將數(shù)字孿生整合到更廣泛的業(yè)務(wù)流程中并管理好安全。”

如果沒(méi)有實(shí)施適當(dāng)?shù)木W(wǎng)絡(luò)安全控制，數(shù)字孿生可能會(huì)擴(kuò)大公司的攻擊面，使不法者能夠訪問(wèn)以前無(wú)法訪問(wèn)的控制系統(tǒng)，并暴露可能存在的漏洞。

數(shù)字孿生擴(kuò)展了攻擊面

當(dāng)系統(tǒng)的數(shù)字孿生被創(chuàng)建后，潛在的攻擊面就加倍了，不法者可以攻擊系統(tǒng)本身或攻擊該系統(tǒng)的數(shù)字孿生。

有時(shí)，當(dāng)?shù)讓酉到y(tǒng)不易從外部訪問(wèn)時(shí)，數(shù)字孿生可能會(huì)暴露企業(yè)所隱藏的部分。比如，過(guò)去數(shù)據(jù)中心中的電源，可能只有物理上位于控制終端附近的技術(shù)人員才能訪問(wèn)，而此類(lèi)基礎(chǔ)設(shè)施的數(shù)字孿生可讓技術(shù)人員遠(yuǎn)程監(jiān)控設(shè)備，因此這也就意味著黑客同樣可以遠(yuǎn)程監(jiān)控設(shè)備。

Velosa表示：“現(xiàn)在暴露的不僅僅是以前無(wú)法訪問(wèn)的傳感器數(shù)據(jù)，在某些情況下，數(shù)字孿生可以發(fā)送控制信號(hào)，改變正在建模的實(shí)際事物的狀態(tài)。”

Velosa提出，當(dāng)數(shù)字孿生是實(shí)時(shí)數(shù)據(jù)提供的商業(yè)運(yùn)營(yíng)模型時(shí)，它們可以收集關(guān)鍵的企業(yè)信息，有時(shí)還會(huì)收集員工和客戶(hù)的個(gè)人身份信息，這就使得這些數(shù)字孿生成為了誘人的目標(biāo)。

Velosa補(bǔ)充道：“根據(jù)相關(guān)法律法規(guī)，這還可能導(dǎo)致監(jiān)管和合規(guī)的處罰。當(dāng)然，這也突出了數(shù)據(jù)的重要性，因?yàn)閿?shù)字孿生是為了滿(mǎn)足業(yè)務(wù)目標(biāo)而被構(gòu)建的。因此，可以說(shuō)數(shù)字孿生的存在，不僅可以對(duì)公司的戰(zhàn)略和未來(lái)方向提供有價(jià)值的見(jiàn)解，還同時(shí)可以告訴競(jìng)爭(zhēng)對(duì)手企業(yè)現(xiàn)階段正在做些什么。”

此外，咨詢(xún)公司NCC group的CISO勞倫斯·蒙羅（Lawrence Munro）表示，數(shù)字孿生與它們的物理孿生相關(guān)聯(lián)，這種關(guān)聯(lián)本身就為雙胞胎之間的跳躍提供了額外的攻擊向量，如果其中一個(gè)受到損害，另一個(gè)也難逃牽連。

最后Munro表示，部署數(shù)字孿生，允許內(nèi)部用戶(hù)或第三方進(jìn)行遠(yuǎn)程監(jiān)控，這是一種提高效率的行為，但也同時(shí)會(huì)帶來(lái)遠(yuǎn)程用戶(hù)通過(guò)網(wǎng)絡(luò)連接訪問(wèn)物理孿生的威脅性。

要知道企業(yè)擁有多少數(shù)字孿生資產(chǎn)

數(shù)字孿生最大的作用是使操作技術(shù)更易于訪問(wèn)和管理。不幸的是，網(wǎng)絡(luò)安全在操作技術(shù)領(lǐng)域往往是后顧之憂(yōu)，許多系統(tǒng)往往被運(yùn)行在不怎么安全的傳統(tǒng)技術(shù)上。

SaaS管理軟件公司Zluri的CISO Todd Dekkinga表示，如果攻擊者獲得了操作技術(shù)，他們會(huì)對(duì)企業(yè)造成巨大傷害，而數(shù)字孿生正在加速這種風(fēng)險(xiǎn)。

Dekkinga說(shuō)，數(shù)字孿生比實(shí)物更容易接近。操作系統(tǒng)環(huán)境在過(guò)去被認(rèn)為是獨(dú)立的，但現(xiàn)在已今非昔比了，如今的操作系統(tǒng)環(huán)境完全與一般網(wǎng)絡(luò)相連接，完全可以被訪問(wèn)，而且很容易被破壞。

Dekkinga提出，很多CISO甚至不知道企業(yè)里有多少數(shù)字孿生資產(chǎn)，就像安全界里一直在說(shuō)的那樣，如果安全部門(mén)不知道企業(yè)擁有什么，那又如何能保護(hù)企業(yè)的安全？

傳感器暴露了潛在漏洞

另一方面，數(shù)字孿生依賴(lài)物聯(lián)網(wǎng)傳感器的輸入，這些傳感器可能也充滿(mǎn)了漏洞，根據(jù)Nozomi Networks 8月份的一份安全報(bào)告，2022年上半年，ICS CERT發(fā)布了560個(gè)與操作技術(shù)、物聯(lián)網(wǎng)相關(guān)的常見(jiàn)漏洞和風(fēng)險(xiǎn)，其中有109個(gè)直接影響著關(guān)鍵制造業(yè)。

NCC Group的Munro表示：“由于這些設(shè)備的安全性普遍較差，因此將物聯(lián)網(wǎng)設(shè)備用作孿生設(shè)置中的傳感器是一個(gè)令人擔(dān)憂(yōu)的問(wèn)題。可以看到，當(dāng)問(wèn)題涉及到數(shù)字孿生時(shí)，網(wǎng)絡(luò)安全方面的專(zhuān)業(yè)知識(shí)往往滯后。”

Munro表示：“接觸這些新技術(shù)也好，研究人員或工程師獲取運(yùn)行示例也罷，通常都十分困難。因此想要獲得這些平臺(tái)安全的專(zhuān)業(yè)知識(shí)，對(duì)任何企業(yè)、組織來(lái)說(shuō)都是一大挑戰(zhàn)。”

如何保護(hù)數(shù)字孿生

那說(shuō)了這么多可能存在的漏洞威脅，到底該如何保護(hù)好數(shù)字孿生呢？美國(guó)安全專(zhuān)家指出，其最佳實(shí)踐依舊講究遵循基本的網(wǎng)絡(luò)安全衛(wèi)生，并采用零信任原則。

Munro表示：“部署數(shù)字孿生的組織應(yīng)該與安全專(zhuān)家進(jìn)行合作，制作詳細(xì)的威脅模型。與任何新技術(shù)一樣，CISO應(yīng)該設(shè)法了解其引入的威脅模型并對(duì)攻擊面做出分析。”

Munro建議，所需的專(zhuān)業(yè)知識(shí)可能并不會(huì)由企業(yè)內(nèi)部來(lái)提供，解決方案可以是與網(wǎng)絡(luò)安全行業(yè)的同僚們進(jìn)行合作。

高德納公司的Velosa表示：“部署數(shù)字孿生的企業(yè)從一開(kāi)始就應(yīng)該遵循良好的網(wǎng)絡(luò)安全原則，在他們的設(shè)計(jì)中利用從策略到技術(shù)到標(biāo)準(zhǔn)的安全最佳實(shí)踐，這包括從加密到NIST或TLS策略到基于角色的訪問(wèn)控制，等等。”

Velosa表示，數(shù)字孿生的設(shè)計(jì)和開(kāi)發(fā)應(yīng)該得到適當(dāng)?shù)馁Y金支持，并在觀念上注重降低風(fēng)險(xiǎn)、遵守法規(guī)，進(jìn)行一定的安全左移。“同時(shí)，盡可能避免使用個(gè)人數(shù)據(jù)，并對(duì)‘在何處收集’、‘為什么收集’以及‘如何保護(hù)這些數(shù)據(jù)’方面保持策略透明。安全部門(mén)要與采購(gòu)部門(mén)合作，確保企業(yè)不僅擁有數(shù)字孿生中的數(shù)據(jù)，還同時(shí)擁有模型。”

Zluri的Dekkinga表示：“數(shù)字孿生應(yīng)該像網(wǎng)絡(luò)上的任何其他關(guān)鍵設(shè)備一樣受到保護(hù)。不僅要在外圍植入零信任架構(gòu)，還要通過(guò)細(xì)分、多因素身份驗(yàn)證和其他技術(shù)確保內(nèi)部網(wǎng)絡(luò)的安全。同時(shí)，員工訪問(wèn)這些系統(tǒng)時(shí)還需要添加額外的步驟，這都是有必要采取的措施。”

數(shù)字孿生可以用來(lái)幫助網(wǎng)絡(luò)安全

國(guó)外安全專(zhuān)家指出，數(shù)字孿生并不僅僅是公司的安全責(zé)任，一些企業(yè)正在利用數(shù)字孿生提高網(wǎng)絡(luò)安全的能力，并將其作為攻擊預(yù)警系統(tǒng)、蜂蜜陷阱和測(cè)試沙盒等來(lái)使用。

數(shù)字孿生可以通過(guò)創(chuàng)建用于安全測(cè)試的虛擬克隆，來(lái)幫助組織消除系統(tǒng)中的漏洞，它們可以通過(guò)“反映實(shí)際系統(tǒng)的方式”對(duì)網(wǎng)絡(luò)漏洞作出反應(yīng)。

咨詢(xún)公司Booz Allen的副總裁凱文·科金斯（Kevin Coggins）表示：“企業(yè)可以從很多方面得到這種作用，包括讓實(shí)際系統(tǒng)軟件或固件在企業(yè)的數(shù)字孿生上運(yùn)行。”

在投入生產(chǎn)之前，數(shù)字孿生可以用于測(cè)試昂貴的物理系統(tǒng)是否存在漏洞，比如航空電子設(shè)備。Coggins說(shuō)：“你要做什么測(cè)試時(shí)，不可能就直接走到一架飛機(jī)前施加某種威脅吧？因?yàn)檫@會(huì)使整個(gè)飛機(jī)認(rèn)證的過(guò)程失效。而你如果攻擊了飛機(jī)的數(shù)字孿生就不一樣了，非但不會(huì)增加成本，還能夠發(fā)現(xiàn)其潛在的漏洞。”

Coggins的公司與軟件開(kāi)發(fā)商Unity Technologies進(jìn)行合作，制作了一個(gè)大型設(shè)施的三維物聯(lián)網(wǎng)數(shù)字孿生體，據(jù)他介紹，這使得他們能夠查看系統(tǒng)中的具體漏洞，以確定誰(shuí)可能會(huì)對(duì)其進(jìn)行訪問(wèn)。

Coggins說(shuō)：“盡管數(shù)字孿生本身不是生產(chǎn)系統(tǒng)，但這些數(shù)字應(yīng)該得到相同級(jí)別的安全保護(hù)，不法者可以通過(guò)數(shù)字孿生去獲得它的實(shí)體參照物。如果企業(yè)決定要做出某實(shí)物的數(shù)字孿生體，請(qǐng)確保自己能夠防護(hù)它的生存環(huán)境。”

數(shù)字孿生也可被視為一種蜘蛛網(wǎng)或威脅檢測(cè)系統(tǒng)，以隨時(shí)讓安全團(tuán)隊(duì)察覺(jué)到攻擊者的入侵。

一家將數(shù)字孿生作為高度敏感傳感器的公司表示，他們的通用電氣可使數(shù)字孿生成為“檢測(cè)殺手”，該公司現(xiàn)階段正在建造一種稱(chēng)之為“數(shù)字幽靈”的工具。他們中名為John的專(zhuān)家表示：“如果對(duì)手攻擊關(guān)鍵基礎(chǔ)設(shè)施的部分關(guān)鍵控制，即使他們能夠偽造特定傳感器的輸出，數(shù)字孿生體作為整體中的一部分也能立刻意識(shí)到‘有問(wèn)題’，這是因?yàn)檎麄€(gè)系統(tǒng)不再像數(shù)字孿生體預(yù)測(cè)的那樣在運(yùn)行，或者是有些內(nèi)容與其他傳感器的信息流不匹配了。”

John認(rèn)為，數(shù)字孿生系統(tǒng)可以做得越復(fù)雜越好，因?yàn)樗鼘⒂懈嗟膫鞲衅?，從而讓企業(yè)得到更多的可觀測(cè)性。“事實(shí)是，大多數(shù)企業(yè)都能很好地預(yù)測(cè)事情應(yīng)該如何運(yùn)作，特別是當(dāng)數(shù)字孿生模型集成了控制，企業(yè)可以用它來(lái)判斷是否發(fā)生了網(wǎng)絡(luò)攻擊，可以查看其流程變量氣流、壓力、溫度，以及所有使資產(chǎn)按其方式運(yùn)行的因素，然后檢查這些因素是否正常或異常，這樣就能找到問(wèn)題所在了。我們使用的是數(shù)字孿生體，這點(diǎn)攻擊者是不知道的，他們會(huì)以為我們?cè)谑褂?lsquo;真實(shí)系統(tǒng)’，所以才稱(chēng)其為數(shù)字幽靈。”

John表示，數(shù)字幽靈不僅可以用于保護(hù)關(guān)鍵基礎(chǔ)設(shè)施，還可以用于保護(hù)組織數(shù)據(jù)中心的操作技術(shù)，典型的OT網(wǎng)絡(luò)安全是查看網(wǎng)絡(luò)流量、防火墻和搜索病毒，而這些在數(shù)字幽靈面前一點(diǎn)也不重要。

“數(shù)字幽靈更多會(huì)關(guān)注基礎(chǔ)實(shí)物資產(chǎn)的運(yùn)作方式，也就是說(shuō)我們需要了解的是，正常情況下的物理性質(zhì)是什么，控制層是如何將系統(tǒng)運(yùn)作起來(lái)的。如果我有大量的模擬數(shù)據(jù)或歷史數(shù)據(jù)，我就可以建立起‘資產(chǎn)該如何運(yùn)作’的模型。”

John說(shuō)，通過(guò)數(shù)字幽靈所建立起的模型能夠檢測(cè)出系統(tǒng)是否存在問(wèn)題，并準(zhǔn)確地告訴企業(yè)什么傳感器被破壞了。僅憑這一點(diǎn)，運(yùn)營(yíng)商通常需要幾天或幾周的時(shí)間才能確定問(wèn)題所在，而數(shù)字幽靈在幾秒鐘內(nèi)就能做到這一點(diǎn)。

國(guó)內(nèi)安全專(zhuān)家的建議

數(shù)字孿生在國(guó)內(nèi)的發(fā)展已有雛形，對(duì)此國(guó)內(nèi)安全專(zhuān)家也有不同的解讀和看法。

某省通信運(yùn)營(yíng)商信息與系統(tǒng)安全部副主任劉東認(rèn)為，他所理解的數(shù)字孿生，是使用跨學(xué)科的信息技術(shù)對(duì)物理世界的仿真，同時(shí)結(jié)合海量信息數(shù)據(jù)更精確實(shí)現(xiàn)物理到虛擬的映射建模。伴隨數(shù)字孿生的實(shí)現(xiàn)要素，其自身的信息系統(tǒng)風(fēng)險(xiǎn)、數(shù)據(jù)風(fēng)險(xiǎn)等都不可避免。而對(duì)于緩解數(shù)字孿生安全風(fēng)險(xiǎn)的方式，劉東更提倡原生安全的體系化建設(shè)，從信息技術(shù)、數(shù)據(jù)安全、AI安全等方面協(xié)同構(gòu)建。

而某金融集團(tuán)安全專(zhuān)家汪偉認(rèn)為，當(dāng)前對(duì)數(shù)字孿生尚未形成統(tǒng)一共識(shí)的定義，存在多種理解和認(rèn)知，但物理實(shí)體、虛擬模型、數(shù)據(jù)、連接是數(shù)字孿生的核心要素，比如可以將企業(yè)的數(shù)字基礎(chǔ)設(shè)施完全復(fù)制，以便在生產(chǎn)和測(cè)試環(huán)境之間快速切換。正是因?yàn)榇嬖跀?shù)據(jù)和信息的復(fù)制，所以會(huì)增加機(jī)密信息的泄漏風(fēng)險(xiǎn)。對(duì)此，汪偉表示未來(lái)企業(yè)可以利用這項(xiàng)技術(shù)，將組織的基礎(chǔ)設(shè)施復(fù)制成多個(gè)“鏡像”，從而提高實(shí)時(shí)信息流通、數(shù)據(jù)收集以及自動(dòng)化工作流的效率。

而某互聯(lián)網(wǎng)企業(yè)安全專(zhuān)家鄭歡表示，數(shù)字孿生簡(jiǎn)單的理解就是物理實(shí)體、場(chǎng)景在虛擬世界的“克隆”，通過(guò)數(shù)字化的手段，實(shí)現(xiàn)對(duì)實(shí)體場(chǎng)景的快速高效、成本可控的感知、成效驗(yàn)證等。因此，新的技術(shù)勢(shì)必帶來(lái)新的安全風(fēng)險(xiǎn)，風(fēng)險(xiǎn)的識(shí)別、監(jiān)控、修復(fù)手段以及風(fēng)險(xiǎn)可能造成的影響等都給網(wǎng)絡(luò)安全領(lǐng)域帶來(lái)了新的挑戰(zhàn)，但本質(zhì)上仍是組織基于自身風(fēng)險(xiǎn)偏好對(duì)于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的管理。

鄭歡認(rèn)為，面對(duì)海量的數(shù)據(jù)、復(fù)雜的計(jì)算模型、集中的算力基礎(chǔ)設(shè)施等，擁有完善的網(wǎng)絡(luò)安全保障體系，專(zhuān)業(yè)技術(shù)人才，尤其是在數(shù)據(jù)安全、算法安全、IOT安全等領(lǐng)域?qū)I(yè)人才的組織，才能夠更加從容的應(yīng)對(duì)數(shù)字孿生技術(shù)帶來(lái)的安全風(fēng)險(xiǎn)。鄭歡說(shuō)，相信隨著該技術(shù)的不斷推廣應(yīng)用，其安全風(fēng)險(xiǎn)也將對(duì)物理世界造成更大的影響，而相關(guān)的組織對(duì)于數(shù)字孿生應(yīng)用的安全投入將會(huì)水漲船高，并推動(dòng)整個(gè)安全行業(yè)迎來(lái)新的增長(zhǎng)點(diǎn)。

最后，浙江移動(dòng)張?jiān)椭赋?，?shù)字孿生也被稱(chēng)為數(shù)字雙胞胎和數(shù)字化映射，是充分利用物理模型、傳感器更新、運(yùn)行歷史等數(shù)據(jù)，集成多學(xué)科、多物理量、多尺度、多概率的仿真過(guò)程，在虛擬空間中完成映射，從而反映相對(duì)應(yīng)的實(shí)體裝備的全生命周期過(guò)程。數(shù)字孿生是一種超越現(xiàn)實(shí)的概念，可以被視為一個(gè)或多個(gè)重要的、彼此依賴(lài)的裝備系統(tǒng)的數(shù)字映射系統(tǒng)。

簡(jiǎn)單的理解，數(shù)字孿?以數(shù)字化的形式在虛擬空間中構(gòu)建了與物理世界?致的?保真模型，通過(guò)與物理世界間不間斷的閉環(huán)信息交互反饋與數(shù)據(jù)融合，能夠模擬對(duì)象在物理世界中的?為，監(jiān)控物理世界的變化，反映物理世界的運(yùn)?狀況，評(píng)估物理世界的狀態(tài)，診斷發(fā)?的問(wèn)題，預(yù)測(cè)未來(lái)趨勢(shì)，乃?優(yōu)化和改變物理世界。

數(shù)字孿生是個(gè)普遍適應(yīng)的理論技術(shù)體系，可以在眾多領(lǐng)域應(yīng)用，目前在產(chǎn)品設(shè)計(jì)、產(chǎn)品制造、醫(yī)學(xué)分析、工程建設(shè)、城市管理、航空航天等領(lǐng)域應(yīng)用較多。目前在國(guó)內(nèi)應(yīng)用最深入的是工程建設(shè)領(lǐng)域，關(guān)注度最高、研究最熱的是智能制造領(lǐng)域。目前，數(shù)字孿生正在與人工智能技術(shù)深度結(jié)合，促進(jìn)信息空間與物理空間的實(shí)時(shí)交互與融合，以在信息化平臺(tái)內(nèi)進(jìn)行更加真實(shí)的數(shù)字化模擬，并實(shí)現(xiàn)更廣泛的應(yīng)用。

張?jiān)捅硎?，隨著數(shù)字孿生技術(shù)與智能制造的加速融合，由封閉系統(tǒng)向開(kāi)放系統(tǒng)的轉(zhuǎn)變勢(shì)在必行，系統(tǒng)性的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)將集中呈現(xiàn)。物聯(lián)網(wǎng)（IoT）設(shè)備，邊緣計(jì)算和5G網(wǎng)絡(luò)的日益普及，攻擊面迅速擴(kuò)大，為黑客提供了更多的攻擊目標(biāo)。在數(shù)字孿生體方面存在安全風(fēng)險(xiǎn)，包括：

1、系統(tǒng)訪問(wèn)

如果黑客可以訪問(wèn)數(shù)字孿生，他們可以從其復(fù)制的系統(tǒng)或資產(chǎn)中獲取信息，并控制這些物理資產(chǎn)，從而導(dǎo)致無(wú)法控制的行為。

2、知識(shí)產(chǎn)權(quán)盜竊

例如，數(shù)字孿生體是知識(shí)產(chǎn)權(quán)的藍(lán)圖;黑客可以對(duì)該財(cái)產(chǎn)進(jìn)行逆向工程和重建，同時(shí)自行進(jìn)行研究和開(kāi)發(fā)。

3、信息完整性

數(shù)字孿生系統(tǒng)運(yùn)行產(chǎn)生的海量數(shù)據(jù)可能分布在用戶(hù)、生產(chǎn)終端、設(shè)計(jì)服務(wù)器等多種設(shè)備上，但由于當(dāng)前網(wǎng)絡(luò)攻擊方式的不斷變化，任何一個(gè)設(shè)備的安全問(wèn)題都有可能引發(fā)數(shù)據(jù)的安全風(fēng)險(xiǎn)。當(dāng)有人訪問(wèn)數(shù)據(jù)并進(jìn)行未經(jīng)授權(quán)的更改時(shí)，數(shù)據(jù)可能會(huì)失去其完整性。為了保護(hù)數(shù)據(jù)的完整性，您必須獲取正確的數(shù)據(jù)，準(zhǔn)確地解釋它，并實(shí)施身份驗(yàn)證和安全過(guò)程以防止未經(jīng)授權(quán)的更改。

數(shù)字孿生體使用連接的設(shè)備、網(wǎng)絡(luò)和支持基礎(chǔ)設(shè)施在物理世界和數(shù)字世界之間提供雙向通信，同時(shí)帶來(lái)了一些漏洞及隱患。因此張?jiān)徒ㄗh，可以通過(guò)以下方式確保數(shù)字孿生的安全性：

1、做好需求與風(fēng)險(xiǎn)的評(píng)估

將根據(jù)數(shù)字孿生的需求來(lái)決定，可以通過(guò)與調(diào)研計(jì)算必須為資產(chǎn)、流程或系統(tǒng)構(gòu)建的數(shù)字孿生體級(jí)別以及所需的技能。例如，數(shù)字孿生答案對(duì)于實(shí)時(shí)雙向通信、所需網(wǎng)絡(luò)的最大延遲、可能的威脅、數(shù)據(jù)安全、隱私問(wèn)題等等。一旦確定功能需求后，就必須建立數(shù)據(jù)治理和相應(yīng)管理方法來(lái)保護(hù)數(shù)字孿生體、資產(chǎn)和數(shù)據(jù)。

2、構(gòu)建數(shù)據(jù)探查參數(shù)

對(duì)包含舊系統(tǒng)和新源（如IoT設(shè)備）的數(shù)據(jù)源進(jìn)行分類(lèi)和分析。作為數(shù)據(jù)剖析實(shí)踐的一部分，須確定數(shù)據(jù)集的關(guān)鍵參數(shù)和法律要求。

“

這需要回答關(guān)鍵問(wèn)題，例如：

此數(shù)據(jù)集是公有的還是私有的？

它屬于什么許可證？

數(shù)據(jù)集的哪個(gè)部分必須匿名化？

如果數(shù)據(jù)不可用，如何生成數(shù)據(jù)？

我們?nèi)绾伟踩卦谙到y(tǒng)之間傳輸數(shù)據(jù)？等等。

3、做好數(shù)據(jù)治理

參數(shù)和標(biāo)準(zhǔn)將與特定于用戶(hù)的數(shù)據(jù)治理策略集成，以實(shí)現(xiàn)最大的隱私，同時(shí)最大限度地降低風(fēng)險(xiǎn)。需要適當(dāng)?shù)臄?shù)據(jù)管理戰(zhàn)略來(lái)確保這些政策的適當(dāng)執(zhí)行。對(duì)于每個(gè)數(shù)據(jù)集，必須要求實(shí)施身份訪問(wèn)管理、數(shù)據(jù)反應(yīng)和數(shù)據(jù)駐留限制。

充分運(yùn)用一些技術(shù)實(shí)現(xiàn)重要的數(shù)據(jù)治理活動(dòng)，例如屏蔽、編校、差分隱私、加密和生命周期管理。此外，可以制定原則和框架，以確保數(shù)據(jù)安全，透明地分發(fā)，并具有足夠的質(zhì)量來(lái)提供有意義的價(jià)值和洞察力。

4、搭建面向網(wǎng)絡(luò)安全的數(shù)字孿生體

在網(wǎng)絡(luò)安全領(lǐng)域，數(shù)字孿生體為整個(gè)價(jià)值鏈帶來(lái)了新的機(jī)會(huì)?？梢詫U(kuò)展到從研究、開(kāi)發(fā)、測(cè)試和分析到供應(yīng)商管理的所有方面。因此可以使用數(shù)字孿生體以簡(jiǎn)單的形式構(gòu)建每個(gè)實(shí)體資產(chǎn)的在線數(shù)字副本。此數(shù)字副本旨在模擬網(wǎng)絡(luò)攻擊，類(lèi)似我們常見(jiàn)的蜜罐，以便在攻擊之前識(shí)別可能發(fā)生的安全風(fēng)險(xiǎn)。

數(shù)字孿生體可以模擬網(wǎng)絡(luò)攻擊，并建立決策和應(yīng)對(duì)策略，技術(shù)人員可以使用各種場(chǎng)景來(lái)測(cè)試和修改操作員識(shí)別系統(tǒng)危害和響應(yīng)的方式，從而確保過(guò)程安全。

雖然傳統(tǒng)的實(shí)時(shí)攻擊和具有明顯特征的惡意軟件（如遠(yuǎn)程訪問(wèn)木馬，加密儲(chǔ)物柜和拒絕服務(wù)特洛伊木馬）可以在數(shù)字孿生中生成，但無(wú)法產(chǎn)生復(fù)雜的隱蔽攻擊，例如Stuxnet，Mirai，Expert，crypto-jacking等。

數(shù)字孿生體可以在實(shí)時(shí)、響應(yīng)迅速的環(huán)境中復(fù)制各種控制系統(tǒng)的妥協(xié)。通過(guò)培訓(xùn)和實(shí)操，操作員確定如何使用診斷工具來(lái)識(shí)別風(fēng)險(xiǎn)等級(jí)，控制和安全系統(tǒng)的可用性和完整性，以及在控制喪失的情況下如何做出恰當(dāng)?shù)姆磻?yīng)。

還可以使用數(shù)字孿生來(lái)跟蹤和分析安全漏洞，并計(jì)算當(dāng)前和計(jì)劃的安全標(biāo)準(zhǔn)之間的差距。它可以幫助確定特定安全目標(biāo)，并根據(jù)網(wǎng)絡(luò)風(fēng)險(xiǎn)對(duì)日常運(yùn)營(yíng)的影響來(lái)確定網(wǎng)絡(luò)風(fēng)險(xiǎn)的優(yōu)先級(jí)。

借助數(shù)字孿生，我們可以檢查基礎(chǔ)設(shè)施，從而識(shí)別并最大限度地降低風(fēng)險(xiǎn)敞口。如果需要進(jìn)行任何基礎(chǔ)結(jié)構(gòu)更改，可以在變更之前預(yù)測(cè)并更好地處理威脅。

張?jiān)捅硎?，在未?lái)，數(shù)字孿生將與人工智能、5G/6G、區(qū)塊鏈、云計(jì)算、大數(shù)據(jù)等新一代信息技術(shù)進(jìn)行深度融合，呈現(xiàn)出如下發(fā)展趨勢(shì)：

■孿生智造新業(yè)態(tài)：新一代信息技術(shù)與實(shí)體經(jīng)濟(jì)的加速融合，工業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化演進(jìn)趨勢(shì)日益明顯，通過(guò)數(shù)字孿生預(yù)測(cè)性維護(hù)、故障預(yù)測(cè)、質(zhì)量分析等應(yīng)用場(chǎng)景可以實(shí)現(xiàn)對(duì)產(chǎn)品生產(chǎn)過(guò)程中重要指標(biāo)及性能等數(shù)據(jù)的實(shí)時(shí)監(jiān)測(cè)，從而更好地提升制造企業(yè)效益。將催生一批制造業(yè)數(shù)字化轉(zhuǎn)型新模式、新業(yè)態(tài)，數(shù)字化制造模式與制造服務(wù)模式將成為未來(lái)數(shù)字孿生的重要應(yīng)用場(chǎng)景，并進(jìn)一步豐富虛擬現(xiàn)實(shí)和增強(qiáng)現(xiàn)實(shí)體驗(yàn)。數(shù)字孿生將日趨成為產(chǎn)業(yè)各界研究熱點(diǎn)。

■孿生城市可視化：隨著物聯(lián)感知、新型測(cè)繪、BIM/CIM建模、協(xié)同計(jì)算等相關(guān)基礎(chǔ)技術(shù)加速創(chuàng)新應(yīng)用，物聯(lián)感知的技術(shù)持續(xù)迭代更新，傳感器、RFID、ZigBee、NB-IoT、Sigfox等核心技術(shù)推動(dòng)智能化、網(wǎng)絡(luò)化發(fā)展，為上層應(yīng)用提供強(qiáng)大底層技術(shù)支撐。新型測(cè)繪技術(shù)助推三維GIS在城市多源異構(gòu)數(shù)據(jù)融合、全空間數(shù)據(jù)建模、空間分析等方面進(jìn)行了創(chuàng)新。

■孿生產(chǎn)業(yè)大機(jī)遇：數(shù)字孿生行業(yè)的上游行業(yè)主要是芯片、傳感器、監(jiān)控設(shè)備等行業(yè)。上游行業(yè)市場(chǎng)呈完全競(jìng)爭(zhēng)狀態(tài)，產(chǎn)品價(jià)格會(huì)隨市場(chǎng)變化產(chǎn)生一定的波動(dòng)。數(shù)字孿生行業(yè)的下游行業(yè)包括航空航天、電力、船舶、城市管理、農(nóng)業(yè)、建筑、制造、石油天然氣、健康醫(yī)療、環(huán)境保護(hù)等行業(yè)。下游行業(yè)規(guī)模龐大，潛在需求較大。在國(guó)內(nèi)經(jīng)濟(jì)持續(xù)發(fā)展的帶動(dòng)下，中國(guó)的數(shù)字孿生行業(yè)面臨著前所未有的發(fā)展機(jī)遇。

參考資料：

《The cybersecurity challenges and opportunities of digital twins》