信息物理系統(tǒng)（CPS）安全洞察分析

Cyber-Physical Systems Security（CPS-Sec），即信息物理系統(tǒng)安全（也有翻譯為信息物理系統(tǒng)安全）,這個概念在行業(yè)炒作的不是太多，筆者認為主要原因是CPS是一個相對抽象的概念，是一類具有共性的系統(tǒng)的統(tǒng)稱，而不是特指某個垂直行業(yè)。但實際上CPS的應用十分普遍，并跟我們的生活息息相關。因此Gartner將CPS安全列為一個單獨的新興的安全技術市場。本文對CPS的概念和安全做一個概述。

一、CPS是什么？

過去，IT 和 OT 被視為截然不同且孤立的業(yè)務領域。IT 僅關注處理數(shù)據(jù)所需的功能，而 OT 僅關注負責監(jiān)控或執(zhí)行物理過程的設備。然而，隨著數(shù)字化轉(zhuǎn)型的加速，將 OT 網(wǎng)絡連接到 IT 系統(tǒng)和互聯(lián)網(wǎng)釋放了巨大的商業(yè)價值，從而提高了運營效率、性能和服務質(zhì)量。物聯(lián)網(wǎng)的興起帶來的互聯(lián)水平——包括更多特定行業(yè)的概念，如工業(yè)物聯(lián)網(wǎng) (IIoT)和醫(yī)療物聯(lián)網(wǎng) (IoMT)，以及整體擴展物聯(lián)網(wǎng) (XIoT)——進一步提升推動了 IT-OT 融合?，F(xiàn)在我們已經(jīng)達到了這樣一個地步：我們的物理世界非常依賴于其數(shù)字組件。

因此，各行各業(yè)的自動化和數(shù)字化的轉(zhuǎn)型，使得越來越多的軟硬件資產(chǎn)相互連接，從而使用了跨信息（cyber）和物理（physical）世界的技術，CPS概念孕育而生。CPS是制造業(yè)的一種新范式，它將物理系統(tǒng)與計算、網(wǎng)絡和軟件技術等集成一體。術語“cyber”是指軟件和網(wǎng)絡組件，而“physical”是指物理形態(tài)的設備。CPS的抽象架構如圖1所示。

圖1：CPS抽象架構

1. 物理系統(tǒng)：由物理處理過程、傳感器和執(zhí)行器組成

傳感器（Sensor）:用于實時數(shù)據(jù)采集。

執(zhí)行器（Actuator）:控制命令由相應的致動器執(zhí)行，實現(xiàn)期望的物理動作

2. 信息系統(tǒng)包括通信網(wǎng)絡、計算和控制中心

計算與控制中心（Computing and control center）:負責接收傳感器測量的數(shù)據(jù)?？刂浦行耐ㄟ^分析接收到的數(shù)據(jù)，做出相應的控制決策，保證物理過程的正確執(zhí)行。

通信網(wǎng)絡（Communication network）:為控制中心和物理系統(tǒng)提供通信平臺。精確地說，傳感器獲得的測量數(shù)據(jù)通過通信網(wǎng)絡傳輸?shù)娇刂浦行?。控?a target="_blank">信號或決策通過通信網(wǎng)絡從控制中心傳送到執(zhí)行機構。

Gartner 將信息物理系統(tǒng)定義為“協(xié)調(diào)傳感、計算、控制、網(wǎng)絡和分析以與物理世界（包括人類）交互的工程系統(tǒng)。Gartner 使用 CPS 一詞并不是為了取代 OT 和 IoT，而是涵蓋整個信息物理系統(tǒng)家譜。

目前CPS被廣泛應用于許多行業(yè)，如電力系統(tǒng)、農(nóng)業(yè)系統(tǒng)、軍事系統(tǒng)、自主系統(tǒng)(無人機和自動駕駛系統(tǒng)等)、醫(yī)療保健，以及其他與我們?nèi)粘Ｉ钪苯酉嚓P的領域（圖2）。

圖2CPS系統(tǒng)在各行各業(yè)中的應用

二、 CPS與傳統(tǒng)IT有何不同？

我們從下面幾個方面簡要說明一下CPS系統(tǒng)的幾個關鍵特征。

物理接口:CPS的傳感器和執(zhí)行器的物理接口暴露了最簡單的攻擊面，這也將其與IT安全區(qū)分開來。攻擊者可以利用物理接口破壞CPS安全性。在傳統(tǒng)的IT安全中，只有當數(shù)據(jù)通過開放網(wǎng)絡傳輸時才會增加這種暴露面的情況。

控制系統(tǒng):CPS在一個或多個底層控制網(wǎng)絡下執(zhí)行，該網(wǎng)絡通常與物理傳感器/執(zhí)行器集成，這與傳統(tǒng)的IT安全觀點明顯不同。典型的例子是植入式醫(yī)療設備，它收集用戶數(shù)據(jù)，并在關鍵參數(shù)異常時觸發(fā)操作。監(jiān)控與數(shù)據(jù)采集(SCADA)系統(tǒng)是現(xiàn)代工業(yè)基礎設施的重要組成部分。這個控制網(wǎng)絡中的漏洞是網(wǎng)絡攻擊的重要目標。由于互聯(lián)網(wǎng)連接的SCADA系統(tǒng)，從而導致網(wǎng)絡攻擊不斷增長。

可用性:CPS中可用性漏洞的重要性比獨立數(shù)字系統(tǒng)嚴重得多。這方面的一個例子是2015年報道的烏克蘭電網(wǎng)攻擊。請注意，對于工業(yè)控制系統(tǒng)，可用性攻擊的經(jīng)濟影響與不可用的持續(xù)時間成正比。另一方面，對于植入式健康設備或自動駕駛汽車來說，它可能會導致動能攻擊（kinetic attack）（注：網(wǎng)絡動能攻擊以信息物理系統(tǒng)為目標，僅通過利用易受攻擊的信息系統(tǒng)和流程造成直接或間接的物理損害、傷害或死亡或環(huán)境影響。最近此類攻擊主要針對關鍵基礎設施，例如水處理廠、核電站、煉油廠、和醫(yī)療設施）。

時間約束:硬實時約束和軟實時約束是CPS的一個重要方面。事件與其相應響應之間的執(zhí)行時間可以由硬截止日期規(guī)定，如果錯過了硬截止日期，可能會導致整個控制流失敗。例如，工業(yè)智能能源監(jiān)測系統(tǒng)部署斷路器來估計欠流/過流。如果在檢測電流浪涌時出現(xiàn)延遲，電網(wǎng)可能會受到物理損壞，最終導致整個系統(tǒng)失效。在智能生產(chǎn)系統(tǒng)中也給出了類似的用例。

社會技術模型（Socio-Technical Model）:信息安全只是更大的社會技術系統(tǒng)安全的一部分。對于CPS，特別是工業(yè)系統(tǒng)，不僅要定義訪問控制，還要定義安全漏洞的社會和經(jīng)濟影響。由于對物理接口和約束的暴露有限，這個問題在經(jīng)典信息安全范式中較少表現(xiàn)出來。對于CPS來說，由于安全漏洞可能導致危及生命的情況，這一點變得尤為重要。這些問題的詳細討論值得獨立研究。

三、 CPS會面臨哪些安全風險？

信息物理系統(tǒng)在我們的日常生活中起著至關重要的作用,CPS中系統(tǒng)和技術的集成趨于復雜和多樣化，使其成為一個兼容和開放的系統(tǒng)，到2028年，全球信息物理系統(tǒng)市場的復合年增長率(CAGR)將達到8.7%，到2028年底將達到1375.66億美元。不幸的是，CPS面臨的網(wǎng)絡風險也日趨嚴重，對國民經(jīng)濟、民眾生活甚至國家安全、生命安全都帶來了巨大挑戰(zhàn)。

1. 首先，讓我們談談正對CPS目標攻擊的動機

由于CPS系統(tǒng)滲透到一個國家的各行各業(yè)，關系到千家萬戶的生活，甚至生命安全。因此對具有地緣政治、間諜和知識產(chǎn)權滲透動機的民族國家、可能想要破壞關鍵基礎設施的恐怖分子、想要迫使您支付贖金的網(wǎng)絡犯罪團伙、心懷不滿的員工報復或欺詐，出于政治原因或社會不滿的黑客活動分子等，都在瞄準CPS攻擊目標。表1列舉近幾年典型的幾起CPS攻擊案例。

表1典型CPS網(wǎng)絡攻擊事件

下面（圖3）是Gartner列舉的CPS攻擊造成的潛在的嚴重 圖 3 ：CPS事件的影響

2.從業(yè)務架構角度分析CPS攻擊分類

圖4給出了三類攻擊模型

物理域攻擊:攻擊者可以直接破壞傳感器、執(zhí)行器等物理設備，稱為物理域攻擊。

信息域攻擊（Cyber domain attack）:主要是針對通信網(wǎng)絡的攻擊，如蟲洞攻擊、SQL攻擊等，可能導致數(shù)據(jù)泄露和傳輸延遲。

信息物理域攻擊（cyber-physical attack）：攻擊者可以通過信息域?qū)ξ锢碛?如物理設備)進行破壞，我們稱之為信息物理攻擊。

圖4CPS攻擊分類 3. CPS攻擊的趨勢

隨著機器學習在CPS中的廣泛應用，對CPS AI的攻擊的研究成為當前的熱點,圖5簡要說明了AI在CPS中有哪些應用，這些應用都可能成為未來潛在AI攻擊的目標。

圖5ML在CPS中的應用

四、 CPS安全策略如何考慮？

1. CPS主要的安全暴露面有哪些？

圖6 CPS主要的暴露面

2.CPS安全策略（或戰(zhàn)略）需要考慮的技術維度

從下圖可以看出，CPS要考慮的安全維度要超過傳統(tǒng)IT和OT系統(tǒng)，除了CIA之外還要考慮隱私、功能安全（Safety）以及可靠性。資產(chǎn)的面也擴展到數(shù)據(jù)、網(wǎng)絡、服務、人員、互聯(lián)網(wǎng)的萬物和基礎設施等。

圖7 CPS區(qū)別傳統(tǒng)IT的安全維度

3.CPS 安全策略（或戰(zhàn)略）制定的七個步驟

圖8 CPS安全戰(zhàn)略規(guī)劃過程

愿景聲明– 重要的是要以業(yè)務為中心，而不是安全極客的言論。

當前狀態(tài)評估——這意味著走出傳統(tǒng)的舒適區(qū)，接觸運營、工程、維護、設施、供應鏈或產(chǎn)品經(jīng)理——與任何可能管理或開發(fā) CPS 的人交談。走出您的 IT 辦公室，清楚地了解那里的安全狀況。

差距分析——這是我們最?？吹?jīng)_擊記錄的地方。網(wǎng)絡是扁平的，開放端口無處不在，古老的不受支持的操作系統(tǒng)，輪班人員更換時共享密碼，OT 設備供應商和承包商進行遠程連接，沒有熟練的安全人員——凡是你能想到的。這不是一幅美麗的圖畫。

優(yōu)先順序——你無法解決所有問題。弄清楚您的 CPS 皇冠上的寶石是什么，然后從混合 IT 和 CPS 安全方法開始，在不妨礙運營的情況下增強安全性。

批準——因為這需要人力和預算方面的投資。遺留的技術債務是巨大的。

報告——越來越重要，而且不僅僅是內(nèi)部報告。我們可以像這次一樣花另一場會議來討論迅速出現(xiàn)的新法規(guī)和指令，特別是在關鍵基礎設施方面。

持續(xù)監(jiān)控——因為 CPS 環(huán)境不斷變化。持續(xù)監(jiān)控是指跟蹤戰(zhàn)略（路線圖/項目）的執(zhí)行情況，以及業(yè)務、技術和環(huán)境驅(qū)動因素的變化，并在需要時完善/調(diào)整戰(zhàn)略。

4. 降低 CPS 風險需要哪些技術？ 太多的組織仍然認為“默默無聞的安全”就可以了，或者他們可以簡單地部署一些防火墻和網(wǎng)絡分段。雖然網(wǎng)絡分段是一項重要的控制措施，因為它使攻擊者更難以橫向移動，但我們還建議至少采用以下技術：

資產(chǎn)發(fā)現(xiàn)、資產(chǎn)清單、網(wǎng)絡拓撲映射

漏洞管理

某些平臺還可以進行持續(xù)監(jiān)控和異常檢測

SOC 中的分析、人工智能、自動化和編排，與SIEM和XDR等IT安全工具集成。

5. 如何看待這些技術的發(fā)展？

未來需要的是 CPS 保護平臺，它帶來以資產(chǎn)為中心的安全視圖并解決以下問題：

基線和配置管理

無論 CPS 使用網(wǎng)絡、Wi-Fi、GPS、即將推出的 5G，都能確保通信安全。

風險評分、優(yōu)先級和建模

權限訪問管理

端口和可移動媒體管理

事件響應管理和自動化手冊

供應商軟件和硬件保證——CPS 中供應鏈安全問題非常嚴重

執(zhí)行和監(jiān)管合規(guī)報告