信息物理系統（CPS）安全洞察分析

Cyber-Physical Systems Security（CPS-Sec），即信息物理系統安全（也有翻譯為信息物理系統安全）,這個概念在行業炒作的不是太多，筆者認為主要原因是CPS是一個相對抽象的概念，是一類具有共性的系統的統稱，而不是特指某個垂直行業。但實際上CPS的應用十分普遍，并跟我們的生活息息相關。因此Gartner將CPS安全列為一個單獨的新興的安全技術市場。本文對CPS的概念和安全做一個概述。

一、CPS是什么？

過去，IT 和 OT 被視為截然不同且孤立的業務領域。IT 僅關注處理數據所需的功能，而 OT 僅關注負責監控或執行物理過程的設備。然而，隨著數字化轉型的加速，將 OT 網絡連接到 IT 系統和互聯網釋放了巨大的商業價值，從而提高了運營效率、性能和服務質量。物聯網的興起帶來的互聯水平——包括更多特定行業的概念，如工業物聯網 (IIoT)和醫療物聯網 (IoMT)，以及整體擴展物聯網 (XIoT)——進一步提升推動了 IT-OT 融合?，F在我們已經達到了這樣一個地步：我們的物理世界非常依賴于其數字組件。

因此，各行各業的自動化和數字化的轉型，使得越來越多的軟硬件資產相互連接，從而使用了跨信息（cyber）和物理（physical）世界的技術，CPS概念孕育而生。CPS是制造業的一種新范式，它將物理系統與計算、網絡和軟件技術等集成一體。術語“cyber”是指軟件和網絡組件，而“physical”是指物理形態的設備。CPS的抽象架構如圖1所示。

圖1：CPS抽象架構

1. 物理系統：由物理處理過程、傳感器和執行器組成

傳感器（Sensor）:用于實時數據采集。

執行器（Actuator）:控制命令由相應的致動器執行，實現期望的物理動作

2. 信息系統包括通信網絡、計算和控制中心

計算與控制中心（Computing and control center）:負責接收傳感器測量的數據?？刂浦行耐ㄟ^分析接收到的數據，做出相應的控制決策，保證物理過程的正確執行。

通信網絡（Communication network）:為控制中心和物理系統提供通信平臺。精確地說，傳感器獲得的測量數據通過通信網絡傳輸到控制中心?？刂?a target="_blank">信號或決策通過通信網絡從控制中心傳送到執行機構。

Gartner 將信息物理系統定義為“協調傳感、計算、控制、網絡和分析以與物理世界（包括人類）交互的工程系統。Gartner 使用 CPS 一詞并不是為了取代 OT 和 IoT，而是涵蓋整個信息物理系統家譜。

目前CPS被廣泛應用于許多行業，如電力系統、農業系統、軍事系統、自主系統(無人機和自動駕駛系統等)、醫療保健，以及其他與我們日常生活直接相關的領域（圖2）。

圖2CPS系統在各行各業中的應用

二、 CPS與傳統IT有何不同？

我們從下面幾個方面簡要說明一下CPS系統的幾個關鍵特征。

物理接口:CPS的傳感器和執行器的物理接口暴露了最簡單的攻擊面，這也將其與IT安全區分開來。攻擊者可以利用物理接口破壞CPS安全性。在傳統的IT安全中，只有當數據通過開放網絡傳輸時才會增加這種暴露面的情況。

控制系統:CPS在一個或多個底層控制網絡下執行，該網絡通常與物理傳感器/執行器集成，這與傳統的IT安全觀點明顯不同。典型的例子是植入式醫療設備，它收集用戶數據，并在關鍵參數異常時觸發操作。監控與數據采集(SCADA)系統是現代工業基礎設施的重要組成部分。這個控制網絡中的漏洞是網絡攻擊的重要目標。由于互聯網連接的SCADA系統，從而導致網絡攻擊不斷增長。

可用性:CPS中可用性漏洞的重要性比獨立數字系統嚴重得多。這方面的一個例子是2015年報道的烏克蘭電網攻擊。請注意，對于工業控制系統，可用性攻擊的經濟影響與不可用的持續時間成正比。另一方面，對于植入式健康設備或自動駕駛汽車來說，它可能會導致動能攻擊（kinetic attack）（注：網絡動能攻擊以信息物理系統為目標，僅通過利用易受攻擊的信息系統和流程造成直接或間接的物理損害、傷害或死亡或環境影響。最近此類攻擊主要針對關鍵基礎設施，例如水處理廠、核電站、煉油廠、和醫療設施）。

時間約束:硬實時約束和軟實時約束是CPS的一個重要方面。事件與其相應響應之間的執行時間可以由硬截止日期規定，如果錯過了硬截止日期，可能會導致整個控制流失敗。例如，工業智能能源監測系統部署斷路器來估計欠流/過流。如果在檢測電流浪涌時出現延遲，電網可能會受到物理損壞，最終導致整個系統失效。在智能生產系統中也給出了類似的用例。

社會技術模型（Socio-Technical Model）:信息安全只是更大的社會技術系統安全的一部分。對于CPS，特別是工業系統，不僅要定義訪問控制，還要定義安全漏洞的社會和經濟影響。由于對物理接口和約束的暴露有限，這個問題在經典信息安全范式中較少表現出來。對于CPS來說，由于安全漏洞可能導致危及生命的情況，這一點變得尤為重要。這些問題的詳細討論值得獨立研究。

三、 CPS會面臨哪些安全風險？

信息物理系統在我們的日常生活中起著至關重要的作用,CPS中系統和技術的集成趨于復雜和多樣化，使其成為一個兼容和開放的系統，到2028年，全球信息物理系統市場的復合年增長率(CAGR)將達到8.7%，到2028年底將達到1375.66億美元。不幸的是，CPS面臨的網絡風險也日趨嚴重，對國民經濟、民眾生活甚至國家安全、生命安全都帶來了巨大挑戰。

1. 首先，讓我們談談正對CPS目標攻擊的動機

由于CPS系統滲透到一個國家的各行各業，關系到千家萬戶的生活，甚至生命安全。因此對具有地緣政治、間諜和知識產權滲透動機的民族國家、可能想要破壞關鍵基礎設施的恐怖分子、想要迫使您支付贖金的網絡犯罪團伙、心懷不滿的員工報復或欺詐，出于政治原因或社會不滿的黑客活動分子等，都在瞄準CPS攻擊目標。表1列舉近幾年典型的幾起CPS攻擊案例。

表1典型CPS網絡攻擊事件

下面（圖3）是Gartner列舉的CPS攻擊造成的潛在的嚴重 圖 3 ：CPS事件的影響

2.從業務架構角度分析CPS攻擊分類

圖4給出了三類攻擊模型

物理域攻擊:攻擊者可以直接破壞傳感器、執行器等物理設備，稱為物理域攻擊。

信息域攻擊（Cyber domain attack）:主要是針對通信網絡的攻擊，如蟲洞攻擊、SQL攻擊等，可能導致數據泄露和傳輸延遲。

信息物理域攻擊（cyber-physical attack）：攻擊者可以通過信息域對物理域(如物理設備)進行破壞，我們稱之為信息物理攻擊。

圖4CPS攻擊分類 3. CPS攻擊的趨勢

隨著機器學習在CPS中的廣泛應用，對CPS AI的攻擊的研究成為當前的熱點,圖5簡要說明了AI在CPS中有哪些應用，這些應用都可能成為未來潛在AI攻擊的目標。

圖5ML在CPS中的應用

四、 CPS安全策略如何考慮？

1. CPS主要的安全暴露面有哪些？

圖6 CPS主要的暴露面

2.CPS安全策略（或戰略）需要考慮的技術維度

從下圖可以看出，CPS要考慮的安全維度要超過傳統IT和OT系統，除了CIA之外還要考慮隱私、功能安全（Safety）以及可靠性。資產的面也擴展到數據、網絡、服務、人員、互聯網的萬物和基礎設施等。

圖7 CPS區別傳統IT的安全維度

3.CPS 安全策略（或戰略）制定的七個步驟

圖8 CPS安全戰略規劃過程

愿景聲明– 重要的是要以業務為中心，而不是安全極客的言論。

當前狀態評估——這意味著走出傳統的舒適區，接觸運營、工程、維護、設施、供應鏈或產品經理——與任何可能管理或開發 CPS 的人交談。走出您的 IT 辦公室，清楚地了解那里的安全狀況。

差距分析——這是我們最?？吹經_擊記錄的地方。網絡是扁平的，開放端口無處不在，古老的不受支持的操作系統，輪班人員更換時共享密碼，OT 設備供應商和承包商進行遠程連接，沒有熟練的安全人員——凡是你能想到的。這不是一幅美麗的圖畫。

優先順序——你無法解決所有問題。弄清楚您的 CPS 皇冠上的寶石是什么，然后從混合 IT 和 CPS 安全方法開始，在不妨礙運營的情況下增強安全性。

批準——因為這需要人力和預算方面的投資。遺留的技術債務是巨大的。

報告——越來越重要，而且不僅僅是內部報告。我們可以像這次一樣花另一場會議來討論迅速出現的新法規和指令，特別是在關鍵基礎設施方面。

持續監控——因為 CPS 環境不斷變化。持續監控是指跟蹤戰略（路線圖/項目）的執行情況，以及業務、技術和環境驅動因素的變化，并在需要時完善/調整戰略。

4. 降低 CPS 風險需要哪些技術？ 太多的組織仍然認為“默默無聞的安全”就可以了，或者他們可以簡單地部署一些防火墻和網絡分段。雖然網絡分段是一項重要的控制措施，因為它使攻擊者更難以橫向移動，但我們還建議至少采用以下技術：

資產發現、資產清單、網絡拓撲映射

漏洞管理

某些平臺還可以進行持續監控和異常檢測

SOC 中的分析、人工智能、自動化和編排，與SIEM和XDR等IT安全工具集成。

5. 如何看待這些技術的發展？

未來需要的是 CPS 保護平臺，它帶來以資產為中心的安全視圖并解決以下問題：

基線和配置管理

無論 CPS 使用網絡、Wi-Fi、GPS、即將推出的 5G，都能確保通信安全。

風險評分、優先級和建模

權限訪問管理

端口和可移動媒體管理

事件響應管理和自動化手冊

供應商軟件和硬件保證——CPS 中供應鏈安全問題非常嚴重

執行和監管合規報告