工業(yè)信息物理系統(tǒng)安全解決方案綜述

劉邦，饒志波，姜雙林

（北京安帝科技有限公司，北京 100125）

0 引言

隨著我國“智能制造2025”以及工業(yè)4.0的不斷深入，越來越多的制造業(yè)企業(yè)在探索中國的制造業(yè)升級，其中最核心的是工業(yè)信息物理系統(tǒng)（ICPS），ICPS通過控制邊緣傳感器網(wǎng)絡(luò)收集的“物理”數(shù)據(jù)來管理關(guān)鍵的基礎(chǔ)設(shè)施。工業(yè)化與信息化的融合發(fā)展，促進了高度互連的系統(tǒng)與ICPS的快速集成，這直接導(dǎo)致ICPS攻擊面的增加，ICPS正面臨多種多樣的威脅。目前已做研究工作涉及ICPS的不同安全方面，包括討論了不同的ICPS 安全目標；提出維護ICPS 安全的方法；提出了ICPS安全挑戰(zhàn)及問題；審查一些安全問題，包括大數(shù)據(jù)安全、物聯(lián)網(wǎng)存儲問題和操作系統(tǒng)漏洞；討論使用加密算法和協(xié)議的幾種安全和隱私解決方案等等。然而，現(xiàn)有的工作都沒有在威脅、漏洞和基于目標域（網(wǎng)絡(luò)、物理或混合）的攻擊方面全面介紹ICPS安全性。因此，本文詳細概述了現(xiàn)有的網(wǎng)絡(luò)攻擊、物理攻擊和混合攻擊，以及它們的安全解決方案，包括加密和非加密解決方案。

1 ICPS的安全挑戰(zhàn)

與大多數(shù)網(wǎng)絡(luò)系統(tǒng)類似，ICPS系統(tǒng)在設(shè)計上并未整合安全服務(wù)，這為攻擊者利用各種漏洞和威脅發(fā)起攻擊敞開了大門。這也是由于ICPS設(shè)備的異構(gòu)性質(zhì)，因為它們在不同的IoT域中運行并使用不同的技術(shù)和協(xié)議進行通信。

1.1 ICPS 安全威脅

ICPS 安全威脅可分為網(wǎng)絡(luò)威脅或物理威脅，如果將它們結(jié)合起來，可能會導(dǎo)致網(wǎng)絡(luò)物理威脅。

（1）網(wǎng)絡(luò)威脅。正如Alguliyev等人所說，出于多種原因，對工業(yè)物聯(lián)網(wǎng)安全的主要關(guān)注高度集中在網(wǎng)絡(luò)威脅而不是物理威脅上[1]。ICPS系統(tǒng)容易出現(xiàn)：無線利用、干擾、偵察、遠程訪問、信息披露、未經(jīng)授權(quán)的訪問、攔截、GPS利用、信息收集等問題。

（2）物理威脅。ICPS系統(tǒng)引入零日高級計量基礎(chǔ)設(shè)施（AMI）和鄰域網(wǎng)（NAN）以及數(shù)據(jù)儀表管理系統(tǒng)，以保持ICPS在工業(yè)領(lǐng)域的穩(wěn)健性[2]。與ICPS系統(tǒng)相關(guān)的一些威脅有：欺騙、破壞、服務(wù)中斷或拒絕、跟蹤等。

1.2 ICPS漏洞

漏洞被識別為可用于工業(yè)間諜目的（偵察或主動攻擊）的安全漏洞。因此，脆弱性評估包括識別和分析可用的ICPS漏洞，同時確定適當?shù)募m正和預(yù)防措施，以減少、減輕甚至消除任何脆弱性[3]。

（1）網(wǎng)絡(luò)漏洞。包括保護性安全措施的漏洞，以及破壞開放的有線/無線通信和連接，包括中間人、竊聽、重放、嗅探、欺騙和通信堆棧（網(wǎng)絡(luò)/傳輸/應(yīng)用層)、后門[4]、DoS/DDoS和數(shù)據(jù)包操縱攻擊[5]。

（2）物理漏洞。由于為這些組件提供的物理安全性不足，ICS組件的物理暴露被歸類為漏洞。因此，使它們?nèi)菀资艿轿锢泶鄹?、更改、修改甚至破壞。ICPS現(xiàn)場設(shè)備（即智能電網(wǎng)、電網(wǎng)、供應(yīng)鏈等）容易出現(xiàn)相同的ICS漏洞，因為大量物理組件在沒有物理安全的情況下暴露出來，使其容易受到物理破壞。

1.3 ICPS攻擊

針對ICPS系統(tǒng)不同方面的不同類型的攻擊，包括網(wǎng)絡(luò)和物理攻擊：

（1）物理攻擊。物理攻擊在過去幾年更為活躍，其中許多攻擊已經(jīng)由Al-Mhiqani等人提出[6]。除此之外，更廣泛的物理攻擊類型還包括：受感染的項目、濫用權(quán)限、斷線/竊聽/撥號、假身份、鑰匙卡劫持、社會工程等。

（2）網(wǎng)絡(luò)攻擊。近年來，針對ICPS和IoCPT的網(wǎng)絡(luò)攻擊率有所上升，造成了非常嚴重的后果。根據(jù)目前進行的研究，ICPS極易受到惡意代碼注入攻擊和代碼重用攻擊，以及虛假數(shù)據(jù)注入攻擊、零控制數(shù)據(jù)攻擊，最后是控制流證明（C-FLAT）攻擊。此類攻擊可能導(dǎo)致針對ICPS設(shè)備和系統(tǒng)的全面停電。

1.4 ICPS故障

ICPS因遭受的不同威脅、攻擊和漏洞會出現(xiàn)各種故障，這些故障可以是輕微的（有限損壞）或嚴重的（嚴重損壞）。主要故障有：內(nèi)容故障、時序故障、傳感器故障、無提示故障、亂碼故障等。

ICPS安全挑戰(zhàn)的四個方面信息匯總見表1。

表1 ICPS 威脅、漏洞、攻擊及故障

2 ICPS安全解決方案分析

由于各種安全挑戰(zhàn)、集成問題等因素地不斷增加，以及包括缺乏安全性、隱私性和準確性在內(nèi)的現(xiàn)有解決方案的局限性，維護安全的ICPS環(huán)境并非易事。盡管如此，還是可以通過不同的方法來緩解這種情況，主要包括加密和非加密解決方案。

2.1 基于加密的解決方案

加密措施主要用于保護信道免受任何未經(jīng)授權(quán)的訪問和攔截的主動或被動攻擊，尤其是在SCADA系統(tǒng)中[7]。實際上，由于功率和大小的限制，基于利用密碼和哈希函數(shù)的傳統(tǒng)加密方法不容易應(yīng)用于包括IoCPT在內(nèi)的ICPS。因此，各種解決方案的主要重點應(yīng)僅限于數(shù)據(jù)安全性，并確保整個系統(tǒng)過程的效率。

Adam等人提出了一個新穎的框架來了解網(wǎng)絡(luò)攻擊和ICPS風(fēng)險[8]。他們的框架提供了一種新穎的方法，可以確保對ICPS攻擊要素進行全面研究，包括攻擊者及其目標，網(wǎng)絡(luò)利用，控制理論和物理系統(tǒng)屬性。Stouffer等人提供了全面的ICS安全指南[11]，該指南包括入侵檢測系統(tǒng)（IDS），訪問控制（AC），防火墻的技術(shù)控制以及培訓(xùn)員工安全意識在內(nèi)的操作控制。

Sharma等人提出了一種新穎的多級網(wǎng)絡(luò)安全評估方案（NSES），它代表了五個不同級別的安全性，提供了關(guān)于NSES是否適用于IoT/ICPS/IoCPT應(yīng)用程序的無線傳感器網(wǎng)絡(luò)（WSN）安全性的整體視圖[9]。NSES在早期設(shè)計階段就為網(wǎng)絡(luò)管理員提供建議，以實現(xiàn)正確的安全需求。因此，本文對這些滿足以下安全目標之一的解決方案進行了分類：

（1）機密性。保護ICPS通信線路安全至關(guān)重要。較早的解決方案是一種基于加密之前使用壓縮技術(shù)的解決方案[10]，這種解決方案減少了開銷并簡化了問題，在此之后，輕量級加密便成為了大家關(guān)注的焦點。Bogdanov等人的超輕量級分組密碼和用于普適計算應(yīng)用的低延遲分組密碼，由于它們的低成本和低延遲性，使其能夠為任何資源受限的、正常的、工業(yè)的甚至是醫(yī)療設(shè)備提供加密塊[11-12]。Jayasekara等人提出了WSO2復(fù)合事件處理器（WSO2-CEP），并用于將不同的挑戰(zhàn)進行分類，使其在安全可靠的ICPS環(huán)境中具有確保機密性，隱私性和可用性的能力[13-14]。

（2）完整性。保持ICPS設(shè)備的完整性需要防止對傳入或傳出的實時數(shù)據(jù)進行任何物理或邏輯修改。Omkar等人等通過介紹其稱為“可信賴的自治接口守護程序體系結(jié)構(gòu)”（TAIGA）的方法，解決了ICS上的軟件重新配置和網(wǎng)絡(luò)攻擊的問題[15]。TAIGA提供了保護措施，可抵御來自監(jiān)控節(jié)點和工廠控制節(jié)點的攻擊，同時還集成了可信賴的安全保護備用控制器。Tiago等人引入了影子安全單元“SSU”作為一種低成本設(shè)備，與PLC或遠程終端單元（RTU）并行使用，以保護SCADA系統(tǒng)[16-17]。

（3）可用性。保護ICPS安全，減輕和克服可用性問題至關(guān)重要。田納西-伊士曼過程控制系統(tǒng)（TEPCS）模型用于測試完整性和DoS攻擊，該模型揭示了DoS攻擊對傳感器網(wǎng)絡(luò)無效[18]。Gao等人通過使用PLC，RTU和DCS控制器與流程交互，設(shè)計并介紹了基于仿真、物理、模擬的網(wǎng)絡(luò)ICS測試床（EPS-ICS測試床），作為公司和SCADA網(wǎng)絡(luò)仿真的控制過程[19]。Thiago等人將開源PLC與基于機器學(xué)習(xí)的IPS設(shè)計相結(jié)合，以保護OpenPLC版本并使其免受各種攻擊[20]。

（4）身份驗證。身份驗證是需要精心構(gòu)建、設(shè)計和維護的第一道防線[21-24]。Halperin等人提出了一種公共密鑰交換身份驗證機制，以防止未授權(quán)方獲得訪問權(quán)限[25]。它們的機制依賴于外部射頻而不是電池作為能源。Ankarali等人提出了一種依賴于預(yù)均衡的物理層身份驗證技術(shù)[26]。Ibrokhimov等人展示了無配件世界中，用戶身份驗證的五個高級功能類別，包括安全性，隱私和可用性方面[27]。

（5）隱私保護。維護用戶大數(shù)據(jù)的隱私并非易事。各種隱私保護技術(shù)被提出用以解決該問題，其中就包括差分隱私和同態(tài)加密。①差分隱私。Keshk等人利用獨立分量分析(ICA)技術(shù)研究了大量ICPS數(shù)據(jù)的特征約簡在隱私保護級別上的發(fā)揮的作用[28]。結(jié)果顯示，ICA在不破壞機密數(shù)據(jù)的情況下更加安全，并提供了更好的隱私保護和數(shù)據(jù)實用程序。使用同態(tài)加密系統(tǒng)可實現(xiàn)用戶的隱私，而使用保留隱私的張量協(xié)議可減輕計算開銷[29]。②同態(tài)加密。為了更好的數(shù)據(jù)保密性和隱私保護，采用了同態(tài)加密技術(shù)。Zhang等人提出了一種基于卡爾曼濾波（SEKF）的安全估計，該算法使用乘法同態(tài)加密方案和改進的解密算法來減少網(wǎng)絡(luò)開銷并增強通信數(shù)據(jù)的機密性[30]。Kim等人使用完全同態(tài)加密（FHE）作為高級加密方案，可直接對加密變量啟用算術(shù)運算而無需解密，還引入了基于樹的順序矩陣乘法計算，以減緩壽命的降低[31]。

2.2 非加密的解決方案

為了減輕和消除任何可能的網(wǎng)絡(luò)攻擊或惡意事件，還提出了許多非加密解決方案。這是通過實施入侵檢測系統(tǒng)（IDS）、防火墻和蜜罐來完成的。

（1）入侵檢測系統(tǒng)。由于不同網(wǎng)絡(luò)配置的可用性，存在各種IDS方法[32]。每種IDS方法在檢測，配置，成本及其在網(wǎng)絡(luò)中的位置方面都有其自身的優(yōu)缺點。Almohri等人指出需要開展各種研究活動以發(fā)現(xiàn)針對ICPS的攻擊[33]，這些攻擊分為兩個主要模型?；谖锢淼哪Ｐ屯ㄟ^異常檢測，在ICPS中定義正常的ICPS操作?；诰W(wǎng)絡(luò)的模型，用于識別Shu等人列出的潛在的攻擊[34-35]。實際上，現(xiàn)有方法主要設(shè)計用于檢測針對特定應(yīng)用程序的特定攻擊，包括無人機（UAV）[36]，工業(yè)控制過程[37]和智能電網(wǎng)[38]。

（2）入侵檢測系統(tǒng)部署。IDS可以部署在任何給定的IoT網(wǎng)絡(luò)的邊界路由器上，一個或多個給定的主機中或每個物理對象中，以確保對攻擊進行必要的檢測。同時，由于IDS頻繁查詢網(wǎng)絡(luò)狀態(tài)的能力，IDS可能能夠在LLN（低功耗有損網(wǎng)絡(luò)）節(jié)點與邊界路由器之間生成通信開銷。①分布式IDS。D-IDS在每個物理LLN對象中使用，同時在每個資源受限的節(jié)點中進行優(yōu)化，由此引出一種輕量級的分布式IDS。Oh等人提出了一種與攻擊特征和數(shù)據(jù)包有效載荷相匹配的輕量級算法，同時建議使用較少匹配號的其他技術(shù)來檢測任何可能的攻擊[39]。Lee等人提出了他們自己的輕量級方法，他們通過分配節(jié)點來查看這些節(jié)點在分布式布局中的鄰居，以此監(jiān)視節(jié)點的能耗，這些節(jié)點被稱為“看門狗”[40]。②集中式IDS。C-IDS主要部署在集中式組件中。這允許LLN跨邊界收集所有數(shù)據(jù)并將其傳輸?shù)絀nternet。因此，集中式IDS可以分析LLN和Internet之間的所有交換流量。事實上，僅檢測涉及LLN內(nèi)節(jié)點的攻擊是不夠的，因為在發(fā)生攻擊時很難監(jiān)控每個節(jié)點[41]。Cho等人提出的解決方案基于分析通過物理域和網(wǎng)絡(luò)域之間的邊界路由器的所有數(shù)據(jù)包，但主要任務(wù)是基于如何克服僵尸網(wǎng)絡(luò)攻擊[42]。Wallgren等人采用了集中式方法，將其放置在邊界路由器中，以檢測針對物理域的攻擊[43]。③混合IDS。H-IDS利用了集中式布局和分布式布局這兩種概念，結(jié)合了它們的優(yōu)點，克服了它們的缺點。最初的方法允許將網(wǎng)絡(luò)組織成集群，每個集群的主節(jié)點能夠承載一個IDS實例，然后才負責(zé)監(jiān)視其他鄰近節(jié)點。因此，混合IDS放置比分布式IDS放置消耗更多的資源。

（3）入侵檢測方法。四種主要的IDS方法是基于簽名，基于異常，基于行為和基于混合，這些測試方法和技術(shù)則根據(jù)其檢測機制分為五個主要類別：①基于簽名。這種檢測技術(shù)非?？焖偾乙子谂渲?。但是，它僅對檢測已知威脅有效，面對未知威脅（主要是多態(tài)惡意軟件和加密服務(wù)）就會暴露出很明顯的弱點。盡管功能有限，但基于簽名的IDS還是非常準確的，并且可以通過一種易于理解的機制來非常有效地檢測已知威脅。然而，由于其匹配的簽名仍然未知，并且不斷更新其簽名補丁，這種方法對已知攻擊的新變種都是無效的[44-45]。②基于行為?；谛袨榭梢詺w類為一組規(guī)則和閾值，這些規(guī)則和閾值用于定義網(wǎng)絡(luò)組件（包括節(jié)點和協(xié)議）的預(yù)期行為。一旦網(wǎng)絡(luò)行為偏離其原始行為，此方法便能夠檢測到任何入侵?；谛袨榈臋z測與基于異常的檢測其行為相同，與基于規(guī)范的系統(tǒng)略有不同。在規(guī)范的系統(tǒng)中，需要專家手動定義每個規(guī)范，因此，提供了比基于異常的檢測更低的假陽性率[46-47]。③基于異常。此類型可將系統(tǒng)的活動立即進行比較，并在發(fā)現(xiàn)異常情況時立即生成警報。然而，這種檢測方法具有較高的假陽性率[48-49]。Cho等人通過計算組成正常行為特征的每三個指標的平均值，提出了一種使用基于異常的僵尸網(wǎng)絡(luò)檢測方案[42]。④基于射頻。Stone等人提出了一種用于關(guān)鍵基礎(chǔ)設(shè)施中的可編程邏輯控制器的基于射頻的異常檢測方法[50-51]。他們的實驗結(jié)果表明，使用單個收集的波形響應(yīng)可提供足夠的可分離性，以區(qū)分異常情況和正常操作情況。但是，在使用多時域波形響應(yīng)的情況下，它們的性能會大大降低。⑤基于混合。它基于使用基于規(guī)范的技術(shù)，基于特征的簽名和基于異常的檢測，以最大化其優(yōu)勢，同時將其弊端最小化。Krimmling等人使用他們提供的IDS評估框架測試了他們的異常和基于簽名的IDS，結(jié)果表明，每種方法都無法單獨檢測某些攻擊，于是作者結(jié)合了這些方法以覆蓋和檢測更廣泛的攻擊范圍[52]。

（4）防火墻。由于IDS和人工智能技術(shù)的進步，防火墻在ICPS領(lǐng)域很少使用機會。在此提出了一些基于防火墻的解決方案。Jiang等人提到在企業(yè)區(qū)域和制造區(qū)域之間使用成對的防火墻來增強服務(wù)器的網(wǎng)絡(luò)安全性，之所以選擇成對的防火墻，是因為其嚴格的安全性和清晰的管理隔離[53]。Nivethan等人提出了一種新穎的方法，該方法將IP用作SCADA系統(tǒng)的有效、強大的開源網(wǎng)絡(luò)級防火墻，該防火墻可以檢查和過濾SCADA協(xié)議消息[54]。

（5）蜜罐與欺騙。欺騙是一種關(guān)鍵的防御安全措施，ICPS依靠它作為誘餌來隱藏和保護他們的系統(tǒng)。這主要可以用蜜罐來完成。另外，還存在其他欺騙性解決方案。Cohen在討論不同范圍的欺騙策略時，介紹了如何使蜜罐欺騙在就業(yè)時更加有效[55]。Antonioli等人提出了一個虛擬的、高交互的、基于服務(wù)器的ICS蜜罐的設(shè)計，以確保捕獲攻擊者活動的真實、經(jīng)濟、可維護的ICS蜜罐，旨在針對基于Ethernet/IP的ICS蜜罐[56]。Litchfield等人提出了HoneyPhy，這是一種用于復(fù)雜ICPS蜜罐的物理感知框架，該框架監(jiān)視ICPS流程和控制ICPS本身設(shè)備的原始行為，HoneyPhy可用于實時模擬這些行為[57]。

2.3 ICPS安全解決方案的局限性

在評估和分析現(xiàn)有安全解決方案的過程中，我們發(fā)現(xiàn)每個解決方案都有獨到之處，在各個方面均為保護ICPS安全帶來了新的構(gòu)想，極大地推動了行業(yè)發(fā)展，但不可否認的是，這些解決方案還存在以下幾種局限性：

（1）非對稱加密。非對稱加密從延遲和資源方面引入開銷。某些加密工作的不對稱性使得ICPS的實時通信容易因加密/解密過程中的延遲而導(dǎo)致網(wǎng)絡(luò)延遲和開銷。

（2）弱設(shè)備/用戶身份驗證方案。由于缺少能夠保護ICPS系統(tǒng)免受未授權(quán)用戶和訪問的多因素身份驗證方案，許多提出的身份驗證技術(shù)不太適合安全設(shè)備。

（3）低效的蜜罐和欺騙系統(tǒng)。盡管Irvene等人最近提出了很多技術(shù)，但沒有合適的蜜罐技術(shù)可以專門用來保護ICPS系統(tǒng)，特別是在工業(yè)4.0時代之后。

（4）缺乏防火墻保護?，F(xiàn)有的防火墻解決方案都不是很適用，也不適用于ICPS域，也無法提供有效的保護。最佳解決方案需要動態(tài)防火墻以及應(yīng)用程序和下一代防火墻類型。

（5）效率低下的入侵檢測系統(tǒng)。盡管有各種IDS類型可用，例如基于異常，基于行為和基于簽名，但這些IDS通常應(yīng)用于基于IoT的域中，并非專門用于保護ICPS系統(tǒng)。

3 展望及建議

面對層出不窮的攻擊手段，未來的研究方向主要包括：多重身份驗證、ICPS取證、風(fēng)險評估以及人工智能安全解決方案等。此外，目前我們可以采取和加強不同的安全措施，以提升對各種威脅和攻擊的保護，降低自身面臨的風(fēng)險，改善安全環(huán)境。

3.1 優(yōu)先級劃分和分類

在評估、管理和分析風(fēng)險之前對關(guān)鍵ICPS組件和資產(chǎn)進行排序，以確保根據(jù)成本與發(fā)生的可能性相比，在正確選擇安全措施（基本、標準或高級）上進行適當?shù)念A(yù)算支出給定的事件及其影響。

3.2 采用輕量級動態(tài)密鑰相關(guān)加密算法

這些解決方案可用于確保多種安全服務(wù)，例如消息機密性、完整性和身份驗證，這些服務(wù)在任何安全ICPS通信期間都是必需的。這些解決方案的優(yōu)勢在于它可以在安全性和性能水平之間達到良好的平衡。新一代的這些加密算法減少了所需的延遲、資源和計算開銷，這有助于ICPS設(shè)備更好地保留其主要功能。

3.3 定義權(quán)限

這應(yīng)該被認為是最合適的訪問控制策略，它在訪問ICPS時根據(jù)用戶的角色/任務(wù)/屬性分配權(quán)限，并在完成任務(wù)或完成后刪除這些訪問權(quán)限。這還包括使用最低權(quán)限策略。

3.4 采用增強型非加密解決方案

需要混合IDS/IPS系統(tǒng)或基于AI的IDS/IPS（使用機器學(xué)習(xí)算法），以及高級防火墻（即應(yīng)用程序和下一代防火墻）和動態(tài)蜜罐以防止任何基于漏洞利用的未來安全漏洞。

4 結(jié)語

ICPS系統(tǒng)是工業(yè)4.0的關(guān)鍵組件，它們通過將物理環(huán)境與網(wǎng)絡(luò)世界集成來改變?nèi)祟惻c物理環(huán)境的交互方式。在物聯(lián)網(wǎng)(IoCPT)內(nèi)部或外部實施ICPS系統(tǒng)的目的是提高產(chǎn)品的質(zhì)量和系統(tǒng)的可用性和可靠性。然而，ICPS系統(tǒng)受到各種安全和隱私問題的困擾，這些問題會降低其可靠性、安全性、效率，并可能阻礙其廣泛部署。在本文中，我們討論和分析了最近可用的ICPS安全解決方案，但這些方案都存在一定的局限性，它們大都指向了一個問題——這些解決方案并非為ICPS量身打造，這也就意味著保護ICPS安全依舊任重道遠。接下來我們的研究重點將放在ICPS專用的解決方案，包括基于加密的解決方案和非加密的解決方案。