Cyber-Physical Systems Security（CPS-Sec），即信息物理系統(tǒng)安全（也有翻譯為信息物理系統(tǒng)安全）,這個(gè)概念在行業(yè)炒作的不是太多，筆者認(rèn)為主要原因是CPS是一個(gè)相對(duì)抽象的概念，是一類具有共性的系統(tǒng)的統(tǒng)稱，而不是特指某個(gè)垂直行業(yè)。但實(shí)際上CPS的應(yīng)用十分普遍，并跟我們的生活息息相關(guān)。因此Gartner將CPS安全列為一個(gè)單獨(dú)的新興的安全技術(shù)市場(chǎng)。本文對(duì)CPS的概念和安全做一個(gè)概述。

一、CPS是什么？

過(guò)去，IT 和 OT 被視為截然不同且孤立的業(yè)務(wù)領(lǐng)域。IT 僅關(guān)注處理數(shù)據(jù)所需的功能，而 OT 僅關(guān)注負(fù)責(zé)監(jiān)控或執(zhí)行物理過(guò)程的設(shè)備。然而，隨著數(shù)字化轉(zhuǎn)型的加速，將 OT 網(wǎng)絡(luò)連接到 IT 系統(tǒng)和互聯(lián)網(wǎng)釋放了巨大的商業(yè)價(jià)值，從而提高了運(yùn)營(yíng)效率、性能和服務(wù)質(zhì)量。物聯(lián)網(wǎng)的興起帶來(lái)的互聯(lián)水平——包括更多特定行業(yè)的概念，如工業(yè)物聯(lián)網(wǎng) (IIoT)和醫(yī)療物聯(lián)網(wǎng) (IoMT)，以及整體擴(kuò)展物聯(lián)網(wǎng) (XIoT)——進(jìn)一步提升推動(dòng)了 IT-OT 融合?，F(xiàn)在我們已經(jīng)達(dá)到了這樣一個(gè)地步：我們的物理世界非常依賴于其數(shù)字組件。

因此，各行各業(yè)的自動(dòng)化和數(shù)字化的轉(zhuǎn)型，使得越來(lái)越多的軟硬件資產(chǎn)相互連接，從而使用了跨信息（cyber）和物理（physical）世界的技術(shù)，CPS概念孕育而生。CPS是制造業(yè)的一種新范式，它將物理系統(tǒng)與計(jì)算、網(wǎng)絡(luò)和軟件技術(shù)等集成一體。術(shù)語(yǔ)“cyber”是指軟件和網(wǎng)絡(luò)組件，而“physical”是指物理形態(tài)的設(shè)備。CPS的抽象架構(gòu)如圖1所示。

圖1：CPS抽象架構(gòu)

1. 物理系統(tǒng)：由物理處理過(guò)程、傳感器和執(zhí)行器組成

傳感器（Sensor）:用于實(shí)時(shí)數(shù)據(jù)采集。

執(zhí)行器（Actuator）:控制命令由相應(yīng)的致動(dòng)器執(zhí)行，實(shí)現(xiàn)期望的物理動(dòng)作

2. 信息系統(tǒng)包括通信網(wǎng)絡(luò)、計(jì)算和控制中心

計(jì)算與控制中心（Computing and control center）:負(fù)責(zé)接收傳感器測(cè)量的數(shù)據(jù)?？刂浦行耐ㄟ^(guò)分析接收到的數(shù)據(jù)，做出相應(yīng)的控制決策，保證物理過(guò)程的正確執(zhí)行。

通信網(wǎng)絡(luò)（Communication network）:為控制中心和物理系統(tǒng)提供通信平臺(tái)。精確地說(shuō)，傳感器獲得的測(cè)量數(shù)據(jù)通過(guò)通信網(wǎng)絡(luò)傳輸?shù)娇刂浦行摹？刂?a target="_blank">信號(hào)或決策通過(guò)通信網(wǎng)絡(luò)從控制中心傳送到執(zhí)行機(jī)構(gòu)。

Gartner 將信息物理系統(tǒng)定義為“協(xié)調(diào)傳感、計(jì)算、控制、網(wǎng)絡(luò)和分析以與物理世界（包括人類）交互的工程系統(tǒng)。Gartner 使用 CPS 一詞并不是為了取代 OT 和 IoT，而是涵蓋整個(gè)信息物理系統(tǒng)家譜。

目前CPS被廣泛應(yīng)用于許多行業(yè)，如電力系統(tǒng)、農(nóng)業(yè)系統(tǒng)、軍事系統(tǒng)、自主系統(tǒng)(無(wú)人機(jī)和自動(dòng)駕駛系統(tǒng)等)、醫(yī)療保健，以及其他與我們?nèi)粘Ｉ钪苯酉嚓P(guān)的領(lǐng)域（圖2）。

圖2CPS系統(tǒng)在各行各業(yè)中的應(yīng)用

二、 CPS與傳統(tǒng)IT有何不同？

我們從下面幾個(gè)方面簡(jiǎn)要說(shuō)明一下CPS系統(tǒng)的幾個(gè)關(guān)鍵特征。

物理接口:CPS的傳感器和執(zhí)行器的物理接口暴露了最簡(jiǎn)單的攻擊面，這也將其與IT安全區(qū)分開(kāi)來(lái)。攻擊者可以利用物理接口破壞CPS安全性。在傳統(tǒng)的IT安全中，只有當(dāng)數(shù)據(jù)通過(guò)開(kāi)放網(wǎng)絡(luò)傳輸時(shí)才會(huì)增加這種暴露面的情況。

控制系統(tǒng):CPS在一個(gè)或多個(gè)底層控制網(wǎng)絡(luò)下執(zhí)行，該網(wǎng)絡(luò)通常與物理傳感器/執(zhí)行器集成，這與傳統(tǒng)的IT安全觀點(diǎn)明顯不同。典型的例子是植入式醫(yī)療設(shè)備，它收集用戶數(shù)據(jù)，并在關(guān)鍵參數(shù)異常時(shí)觸發(fā)操作。監(jiān)控與數(shù)據(jù)采集(SCADA)系統(tǒng)是現(xiàn)代工業(yè)基礎(chǔ)設(shè)施的重要組成部分。這個(gè)控制網(wǎng)絡(luò)中的漏洞是網(wǎng)絡(luò)攻擊的重要目標(biāo)。由于互聯(lián)網(wǎng)連接的SCADA系統(tǒng)，從而導(dǎo)致網(wǎng)絡(luò)攻擊不斷增長(zhǎng)。

可用性:CPS中可用性漏洞的重要性比獨(dú)立數(shù)字系統(tǒng)嚴(yán)重得多。這方面的一個(gè)例子是2015年報(bào)道的烏克蘭電網(wǎng)攻擊。請(qǐng)注意，對(duì)于工業(yè)控制系統(tǒng)，可用性攻擊的經(jīng)濟(jì)影響與不可用的持續(xù)時(shí)間成正比。另一方面，對(duì)于植入式健康設(shè)備或自動(dòng)駕駛汽車來(lái)說(shuō)，它可能會(huì)導(dǎo)致動(dòng)能攻擊（kinetic attack）（注：網(wǎng)絡(luò)動(dòng)能攻擊以信息物理系統(tǒng)為目標(biāo)，僅通過(guò)利用易受攻擊的信息系統(tǒng)和流程造成直接或間接的物理?yè)p害、傷害或死亡或環(huán)境影響。最近此類攻擊主要針對(duì)關(guān)鍵基礎(chǔ)設(shè)施，例如水處理廠、核電站、煉油廠、和醫(yī)療設(shè)施）。

時(shí)間約束:硬實(shí)時(shí)約束和軟實(shí)時(shí)約束是CPS的一個(gè)重要方面。事件與其相應(yīng)響應(yīng)之間的執(zhí)行時(shí)間可以由硬截止日期規(guī)定，如果錯(cuò)過(guò)了硬截止日期，可能會(huì)導(dǎo)致整個(gè)控制流失敗。例如，工業(yè)智能能源監(jiān)測(cè)系統(tǒng)部署斷路器來(lái)估計(jì)欠流/過(guò)流。如果在檢測(cè)電流浪涌時(shí)出現(xiàn)延遲，電網(wǎng)可能會(huì)受到物理?yè)p壞，最終導(dǎo)致整個(gè)系統(tǒng)失效。在智能生產(chǎn)系統(tǒng)中也給出了類似的用例。

社會(huì)技術(shù)模型（Socio-Technical Model）:信息安全只是更大的社會(huì)技術(shù)系統(tǒng)安全的一部分。對(duì)于CPS，特別是工業(yè)系統(tǒng)，不僅要定義訪問(wèn)控制，還要定義安全漏洞的社會(huì)和經(jīng)濟(jì)影響。由于對(duì)物理接口和約束的暴露有限，這個(gè)問(wèn)題在經(jīng)典信息安全范式中較少表現(xiàn)出來(lái)。對(duì)于CPS來(lái)說(shuō)，由于安全漏洞可能導(dǎo)致危及生命的情況，這一點(diǎn)變得尤為重要。這些問(wèn)題的詳細(xì)討論值得獨(dú)立研究。

三、 CPS會(huì)面臨哪些安全風(fēng)險(xiǎn)？

信息物理系統(tǒng)在我們的日常生活中起著至關(guān)重要的作用,CPS中系統(tǒng)和技術(shù)的集成趨于復(fù)雜和多樣化，使其成為一個(gè)兼容和開(kāi)放的系統(tǒng)，到2028年，全球信息物理系統(tǒng)市場(chǎng)的復(fù)合年增長(zhǎng)率(CAGR)將達(dá)到8.7%，到2028年底將達(dá)到1375.66億美元。不幸的是，CPS面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)也日趨嚴(yán)重，對(duì)國(guó)民經(jīng)濟(jì)、民眾生活甚至國(guó)家安全、生命安全都帶來(lái)了巨大挑戰(zhàn)。

1. 首先，讓我們談?wù)務(wù)龑?duì)CPS目標(biāo)攻擊的動(dòng)機(jī)

由于CPS系統(tǒng)滲透到一個(gè)國(guó)家的各行各業(yè)，關(guān)系到千家萬(wàn)戶的生活，甚至生命安全。因此對(duì)具有地緣政治、間諜和知識(shí)產(chǎn)權(quán)滲透動(dòng)機(jī)的民族國(guó)家、可能想要破壞關(guān)鍵基礎(chǔ)設(shè)施的恐怖分子、想要迫使您支付贖金的網(wǎng)絡(luò)犯罪團(tuán)伙、心懷不滿的員工報(bào)復(fù)或欺詐，出于政治原因或社會(huì)不滿的黑客活動(dòng)分子等，都在瞄準(zhǔn)CPS攻擊目標(biāo)。表1列舉近幾年典型的幾起CPS攻擊案例。

表1典型CPS網(wǎng)絡(luò)攻擊事件

下面（圖3）是Gartner列舉的CPS攻擊造成的潛在的嚴(yán)重 圖 3 ：CPS事件的影響

2.從業(yè)務(wù)架構(gòu)角度分析CPS攻擊分類

圖4給出了三類攻擊模型

物理域攻擊:攻擊者可以直接破壞傳感器、執(zhí)行器等物理設(shè)備，稱為物理域攻擊。

信息域攻擊（Cyber domain attack）:主要是針對(duì)通信網(wǎng)絡(luò)的攻擊，如蟲(chóng)洞攻擊、SQL攻擊等，可能導(dǎo)致數(shù)據(jù)泄露和傳輸延遲。

信息物理域攻擊（cyber-physical attack）：攻擊者可以通過(guò)信息域?qū)ξ锢碛?如物理設(shè)備)進(jìn)行破壞，我們稱之為信息物理攻擊。

圖4CPS攻擊分類 3. CPS攻擊的趨勢(shì)

隨著機(jī)器學(xué)習(xí)在CPS中的廣泛應(yīng)用，對(duì)CPS AI的攻擊的研究成為當(dāng)前的熱點(diǎn),圖5簡(jiǎn)要說(shuō)明了AI在CPS中有哪些應(yīng)用，這些應(yīng)用都可能成為未來(lái)潛在AI攻擊的目標(biāo)。

圖5ML在CPS中的應(yīng)用

四、 CPS安全策略如何考慮？

1. CPS主要的安全暴露面有哪些？

圖6 CPS主要的暴露面

2.CPS安全策略（或戰(zhàn)略）需要考慮的技術(shù)維度

從下圖可以看出，CPS要考慮的安全維度要超過(guò)傳統(tǒng)IT和OT系統(tǒng)，除了CIA之外還要考慮隱私、功能安全（Safety）以及可靠性。資產(chǎn)的面也擴(kuò)展到數(shù)據(jù)、網(wǎng)絡(luò)、服務(wù)、人員、互聯(lián)網(wǎng)的萬(wàn)物和基礎(chǔ)設(shè)施等。

圖7 CPS區(qū)別傳統(tǒng)IT的安全維度

3.CPS 安全策略（或戰(zhàn)略）制定的七個(gè)步驟

圖8 CPS安全戰(zhàn)略規(guī)劃過(guò)程

愿景聲明– 重要的是要以業(yè)務(wù)為中心，而不是安全極客的言論。

當(dāng)前狀態(tài)評(píng)估——這意味著走出傳統(tǒng)的舒適區(qū)，接觸運(yùn)營(yíng)、工程、維護(hù)、設(shè)施、供應(yīng)鏈或產(chǎn)品經(jīng)理——與任何可能管理或開(kāi)發(fā) CPS 的人交談。走出您的 IT 辦公室，清楚地了解那里的安全狀況。

差距分析——這是我們最常看到?jīng)_擊記錄的地方。網(wǎng)絡(luò)是扁平的，開(kāi)放端口無(wú)處不在，古老的不受支持的操作系統(tǒng)，輪班人員更換時(shí)共享密碼，OT 設(shè)備供應(yīng)商和承包商進(jìn)行遠(yuǎn)程連接，沒(méi)有熟練的安全人員——凡是你能想到的。這不是一幅美麗的圖畫(huà)。

優(yōu)先順序——你無(wú)法解決所有問(wèn)題。弄清楚您的 CPS 皇冠上的寶石是什么，然后從混合 IT 和 CPS 安全方法開(kāi)始，在不妨礙運(yùn)營(yíng)的情況下增強(qiáng)安全性。

批準(zhǔn)——因?yàn)檫@需要人力和預(yù)算方面的投資。遺留的技術(shù)債務(wù)是巨大的。

報(bào)告——越來(lái)越重要，而且不僅僅是內(nèi)部報(bào)告。我們可以像這次一樣花另一場(chǎng)會(huì)議來(lái)討論迅速出現(xiàn)的新法規(guī)和指令，特別是在關(guān)鍵基礎(chǔ)設(shè)施方面。

持續(xù)監(jiān)控——因?yàn)?CPS 環(huán)境不斷變化。持續(xù)監(jiān)控是指跟蹤戰(zhàn)略（路線圖/項(xiàng)目）的執(zhí)行情況，以及業(yè)務(wù)、技術(shù)和環(huán)境驅(qū)動(dòng)因素的變化，并在需要時(shí)完善/調(diào)整戰(zhàn)略。

4. 降低 CPS 風(fēng)險(xiǎn)需要哪些技術(shù)？ 太多的組織仍然認(rèn)為“默默無(wú)聞的安全”就可以了，或者他們可以簡(jiǎn)單地部署一些防火墻和網(wǎng)絡(luò)分段。雖然網(wǎng)絡(luò)分段是一項(xiàng)重要的控制措施，因?yàn)樗构粽吒y以橫向移動(dòng)，但我們還建議至少采用以下技術(shù)：

資產(chǎn)發(fā)現(xiàn)、資產(chǎn)清單、網(wǎng)絡(luò)拓?fù)溆成?/p>

漏洞管理

某些平臺(tái)還可以進(jìn)行持續(xù)監(jiān)控和異常檢測(cè)

SOC 中的分析、人工智能、自動(dòng)化和編排，與SIEM和XDR等IT安全工具集成。

5. 如何看待這些技術(shù)的發(fā)展？

未來(lái)需要的是 CPS 保護(hù)平臺(tái)，它帶來(lái)以資產(chǎn)為中心的安全視圖并解決以下問(wèn)題：

基線和配置管理

無(wú)論 CPS 使用網(wǎng)絡(luò)、Wi-Fi、GPS、即將推出的 5G，都能確保通信安全。

風(fēng)險(xiǎn)評(píng)分、優(yōu)先級(jí)和建模

權(quán)限訪問(wèn)管理

端口和可移動(dòng)媒體管理

事件響應(yīng)管理和自動(dòng)化手冊(cè)

供應(yīng)商軟件和硬件保證——CPS 中供應(yīng)鏈安全問(wèn)題非常嚴(yán)重

執(zhí)行和監(jiān)管合規(guī)報(bào)告