工業信息物理系統安全解決方案綜述

劉邦，饒志波，姜雙林

（北京安帝科技有限公司，北京 100125）

0 引言

隨著我國“智能制造2025”以及工業4.0的不斷深入，越來越多的制造業企業在探索中國的制造業升級，其中最核心的是工業信息物理系統（ICPS），ICPS通過控制邊緣傳感器網絡收集的“物理”數據來管理關鍵的基礎設施。工業化與信息化的融合發展，促進了高度互連的系統與ICPS的快速集成，這直接導致ICPS攻擊面的增加，ICPS正面臨多種多樣的威脅。目前已做研究工作涉及ICPS的不同安全方面，包括討論了不同的ICPS 安全目標；提出維護ICPS 安全的方法；提出了ICPS安全挑戰及問題；審查一些安全問題，包括大數據安全、物聯網存儲問題和操作系統漏洞；討論使用加密算法和協議的幾種安全和隱私解決方案等等。然而，現有的工作都沒有在威脅、漏洞和基于目標域（網絡、物理或混合）的攻擊方面全面介紹ICPS安全性。因此，本文詳細概述了現有的網絡攻擊、物理攻擊和混合攻擊，以及它們的安全解決方案，包括加密和非加密解決方案。

1 ICPS的安全挑戰

與大多數網絡系統類似，ICPS系統在設計上并未整合安全服務，這為攻擊者利用各種漏洞和威脅發起攻擊敞開了大門。這也是由于ICPS設備的異構性質，因為它們在不同的IoT域中運行并使用不同的技術和協議進行通信。

1.1 ICPS 安全威脅

ICPS 安全威脅可分為網絡威脅或物理威脅，如果將它們結合起來，可能會導致網絡物理威脅。

（1）網絡威脅。正如Alguliyev等人所說，出于多種原因，對工業物聯網安全的主要關注高度集中在網絡威脅而不是物理威脅上[1]。ICPS系統容易出現：無線利用、干擾、偵察、遠程訪問、信息披露、未經授權的訪問、攔截、GPS利用、信息收集等問題。

（2）物理威脅。ICPS系統引入零日高級計量基礎設施（AMI）和鄰域網（NAN）以及數據儀表管理系統，以保持ICPS在工業領域的穩健性[2]。與ICPS系統相關的一些威脅有：欺騙、破壞、服務中斷或拒絕、跟蹤等。

1.2 ICPS漏洞

漏洞被識別為可用于工業間諜目的（偵察或主動攻擊）的安全漏洞。因此，脆弱性評估包括識別和分析可用的ICPS漏洞，同時確定適當的糾正和預防措施，以減少、減輕甚至消除任何脆弱性[3]。

（1）網絡漏洞。包括保護性安全措施的漏洞，以及破壞開放的有線/無線通信和連接，包括中間人、竊聽、重放、嗅探、欺騙和通信堆棧（網絡/傳輸/應用層)、后門[4]、DoS/DDoS和數據包操縱攻擊[5]。

（2）物理漏洞。由于為這些組件提供的物理安全性不足，ICS組件的物理暴露被歸類為漏洞。因此，使它們容易受到物理篡改、更改、修改甚至破壞。ICPS現場設備（即智能電網、電網、供應鏈等）容易出現相同的ICS漏洞，因為大量物理組件在沒有物理安全的情況下暴露出來，使其容易受到物理破壞。

1.3 ICPS攻擊

針對ICPS系統不同方面的不同類型的攻擊，包括網絡和物理攻擊：

（1）物理攻擊。物理攻擊在過去幾年更為活躍，其中許多攻擊已經由Al-Mhiqani等人提出[6]。除此之外，更廣泛的物理攻擊類型還包括：受感染的項目、濫用權限、斷線/竊聽/撥號、假身份、鑰匙卡劫持、社會工程等。

（2）網絡攻擊。近年來，針對ICPS和IoCPT的網絡攻擊率有所上升，造成了非常嚴重的后果。根據目前進行的研究，ICPS極易受到惡意代碼注入攻擊和代碼重用攻擊，以及虛假數據注入攻擊、零控制數據攻擊，最后是控制流證明（C-FLAT）攻擊。此類攻擊可能導致針對ICPS設備和系統的全面停電。

1.4 ICPS故障

ICPS因遭受的不同威脅、攻擊和漏洞會出現各種故障，這些故障可以是輕微的（有限損壞）或嚴重的（嚴重損壞）。主要故障有：內容故障、時序故障、傳感器故障、無提示故障、亂碼故障等。

ICPS安全挑戰的四個方面信息匯總見表1。

表1 ICPS 威脅、漏洞、攻擊及故障

2 ICPS安全解決方案分析

由于各種安全挑戰、集成問題等因素地不斷增加，以及包括缺乏安全性、隱私性和準確性在內的現有解決方案的局限性，維護安全的ICPS環境并非易事。盡管如此，還是可以通過不同的方法來緩解這種情況，主要包括加密和非加密解決方案。

2.1 基于加密的解決方案

加密措施主要用于保護信道免受任何未經授權的訪問和攔截的主動或被動攻擊，尤其是在SCADA系統中[7]。實際上，由于功率和大小的限制，基于利用密碼和哈希函數的傳統加密方法不容易應用于包括IoCPT在內的ICPS。因此，各種解決方案的主要重點應僅限于數據安全性，并確保整個系統過程的效率。

Adam等人提出了一個新穎的框架來了解網絡攻擊和ICPS風險[8]。他們的框架提供了一種新穎的方法，可以確保對ICPS攻擊要素進行全面研究，包括攻擊者及其目標，網絡利用，控制理論和物理系統屬性。Stouffer等人提供了全面的ICS安全指南[11]，該指南包括入侵檢測系統（IDS），訪問控制（AC），防火墻的技術控制以及培訓員工安全意識在內的操作控制。

Sharma等人提出了一種新穎的多級網絡安全評估方案（NSES），它代表了五個不同級別的安全性，提供了關于NSES是否適用于IoT/ICPS/IoCPT應用程序的無線傳感器網絡（WSN）安全性的整體視圖[9]。NSES在早期設計階段就為網絡管理員提供建議，以實現正確的安全需求。因此，本文對這些滿足以下安全目標之一的解決方案進行了分類：

（1）機密性。保護ICPS通信線路安全至關重要。較早的解決方案是一種基于加密之前使用壓縮技術的解決方案[10]，這種解決方案減少了開銷并簡化了問題，在此之后，輕量級加密便成為了大家關注的焦點。Bogdanov等人的超輕量級分組密碼和用于普適計算應用的低延遲分組密碼，由于它們的低成本和低延遲性，使其能夠為任何資源受限的、正常的、工業的甚至是醫療設備提供加密塊[11-12]。Jayasekara等人提出了WSO2復合事件處理器（WSO2-CEP），并用于將不同的挑戰進行分類，使其在安全可靠的ICPS環境中具有確保機密性，隱私性和可用性的能力[13-14]。

（2）完整性。保持ICPS設備的完整性需要防止對傳入或傳出的實時數據進行任何物理或邏輯修改。Omkar等人等通過介紹其稱為“可信賴的自治接口守護程序體系結構”（TAIGA）的方法，解決了ICS上的軟件重新配置和網絡攻擊的問題[15]。TAIGA提供了保護措施，可抵御來自監控節點和工廠控制節點的攻擊，同時還集成了可信賴的安全保護備用控制器。Tiago等人引入了影子安全單元“SSU”作為一種低成本設備，與PLC或遠程終端單元（RTU）并行使用，以保護SCADA系統[16-17]。

（3）可用性。保護ICPS安全，減輕和克服可用性問題至關重要。田納西-伊士曼過程控制系統（TEPCS）模型用于測試完整性和DoS攻擊，該模型揭示了DoS攻擊對傳感器網絡無效[18]。Gao等人通過使用PLC，RTU和DCS控制器與流程交互，設計并介紹了基于仿真、物理、模擬的網絡ICS測試床（EPS-ICS測試床），作為公司和SCADA網絡仿真的控制過程[19]。Thiago等人將開源PLC與基于機器學習的IPS設計相結合，以保護OpenPLC版本并使其免受各種攻擊[20]。

（4）身份驗證。身份驗證是需要精心構建、設計和維護的第一道防線[21-24]。Halperin等人提出了一種公共密鑰交換身份驗證機制，以防止未授權方獲得訪問權限[25]。它們的機制依賴于外部射頻而不是電池作為能源。Ankarali等人提出了一種依賴于預均衡的物理層身份驗證技術[26]。Ibrokhimov等人展示了無配件世界中，用戶身份驗證的五個高級功能類別，包括安全性，隱私和可用性方面[27]。

（5）隱私保護。維護用戶大數據的隱私并非易事。各種隱私保護技術被提出用以解決該問題，其中就包括差分隱私和同態加密。①差分隱私。Keshk等人利用獨立分量分析(ICA)技術研究了大量ICPS數據的特征約簡在隱私保護級別上的發揮的作用[28]。結果顯示，ICA在不破壞機密數據的情況下更加安全，并提供了更好的隱私保護和數據實用程序。使用同態加密系統可實現用戶的隱私，而使用保留隱私的張量協議可減輕計算開銷[29]。②同態加密。為了更好的數據保密性和隱私保護，采用了同態加密技術。Zhang等人提出了一種基于卡爾曼濾波（SEKF）的安全估計，該算法使用乘法同態加密方案和改進的解密算法來減少網絡開銷并增強通信數據的機密性[30]。Kim等人使用完全同態加密（FHE）作為高級加密方案，可直接對加密變量啟用算術運算而無需解密，還引入了基于樹的順序矩陣乘法計算，以減緩壽命的降低[31]。

2.2 非加密的解決方案

為了減輕和消除任何可能的網絡攻擊或惡意事件，還提出了許多非加密解決方案。這是通過實施入侵檢測系統（IDS）、防火墻和蜜罐來完成的。

（1）入侵檢測系統。由于不同網絡配置的可用性，存在各種IDS方法[32]。每種IDS方法在檢測，配置，成本及其在網絡中的位置方面都有其自身的優缺點。Almohri等人指出需要開展各種研究活動以發現針對ICPS的攻擊[33]，這些攻擊分為兩個主要模型。基于物理的模型通過異常檢測，在ICPS中定義正常的ICPS操作。基于網絡的模型，用于識別Shu等人列出的潛在的攻擊[34-35]。實際上，現有方法主要設計用于檢測針對特定應用程序的特定攻擊，包括無人機（UAV）[36]，工業控制過程[37]和智能電網[38]。

（2）入侵檢測系統部署。IDS可以部署在任何給定的IoT網絡的邊界路由器上，一個或多個給定的主機中或每個物理對象中，以確保對攻擊進行必要的檢測。同時，由于IDS頻繁查詢網絡狀態的能力，IDS可能能夠在LLN（低功耗有損網絡）節點與邊界路由器之間生成通信開銷。①分布式IDS。D-IDS在每個物理LLN對象中使用，同時在每個資源受限的節點中進行優化，由此引出一種輕量級的分布式IDS。Oh等人提出了一種與攻擊特征和數據包有效載荷相匹配的輕量級算法，同時建議使用較少匹配號的其他技術來檢測任何可能的攻擊[39]。Lee等人提出了他們自己的輕量級方法，他們通過分配節點來查看這些節點在分布式布局中的鄰居，以此監視節點的能耗，這些節點被稱為“看門狗”[40]。②集中式IDS。C-IDS主要部署在集中式組件中。這允許LLN跨邊界收集所有數據并將其傳輸到Internet。因此，集中式IDS可以分析LLN和Internet之間的所有交換流量。事實上，僅檢測涉及LLN內節點的攻擊是不夠的，因為在發生攻擊時很難監控每個節點[41]。Cho等人提出的解決方案基于分析通過物理域和網絡域之間的邊界路由器的所有數據包，但主要任務是基于如何克服僵尸網絡攻擊[42]。Wallgren等人采用了集中式方法，將其放置在邊界路由器中，以檢測針對物理域的攻擊[43]。③混合IDS。H-IDS利用了集中式布局和分布式布局這兩種概念，結合了它們的優點，克服了它們的缺點。最初的方法允許將網絡組織成集群，每個集群的主節點能夠承載一個IDS實例，然后才負責監視其他鄰近節點。因此，混合IDS放置比分布式IDS放置消耗更多的資源。

（3）入侵檢測方法。四種主要的IDS方法是基于簽名，基于異常，基于行為和基于混合，這些測試方法和技術則根據其檢測機制分為五個主要類別：①基于簽名。這種檢測技術非常快速且易于配置。但是，它僅對檢測已知威脅有效，面對未知威脅（主要是多態惡意軟件和加密服務）就會暴露出很明顯的弱點。盡管功能有限，但基于簽名的IDS還是非常準確的，并且可以通過一種易于理解的機制來非常有效地檢測已知威脅。然而，由于其匹配的簽名仍然未知，并且不斷更新其簽名補丁，這種方法對已知攻擊的新變種都是無效的[44-45]。②基于行為。基于行為可以歸類為一組規則和閾值，這些規則和閾值用于定義網絡組件（包括節點和協議）的預期行為。一旦網絡行為偏離其原始行為，此方法便能夠檢測到任何入侵。基于行為的檢測與基于異常的檢測其行為相同，與基于規范的系統略有不同。在規范的系統中，需要專家手動定義每個規范，因此，提供了比基于異常的檢測更低的假陽性率[46-47]。③基于異常。此類型可將系統的活動立即進行比較，并在發現異常情況時立即生成警報。然而，這種檢測方法具有較高的假陽性率[48-49]。Cho等人通過計算組成正常行為特征的每三個指標的平均值，提出了一種使用基于異常的僵尸網絡檢測方案[42]。④基于射頻。Stone等人提出了一種用于關鍵基礎設施中的可編程邏輯控制器的基于射頻的異常檢測方法[50-51]。他們的實驗結果表明，使用單個收集的波形響應可提供足夠的可分離性，以區分異常情況和正常操作情況。但是，在使用多時域波形響應的情況下，它們的性能會大大降低。⑤基于混合。它基于使用基于規范的技術，基于特征的簽名和基于異常的檢測，以最大化其優勢，同時將其弊端最小化。Krimmling等人使用他們提供的IDS評估框架測試了他們的異常和基于簽名的IDS，結果表明，每種方法都無法單獨檢測某些攻擊，于是作者結合了這些方法以覆蓋和檢測更廣泛的攻擊范圍[52]。

（4）防火墻。由于IDS和人工智能技術的進步，防火墻在ICPS領域很少使用機會。在此提出了一些基于防火墻的解決方案。Jiang等人提到在企業區域和制造區域之間使用成對的防火墻來增強服務器的網絡安全性，之所以選擇成對的防火墻，是因為其嚴格的安全性和清晰的管理隔離[53]。Nivethan等人提出了一種新穎的方法，該方法將IP用作SCADA系統的有效、強大的開源網絡級防火墻，該防火墻可以檢查和過濾SCADA協議消息[54]。

（5）蜜罐與欺騙。欺騙是一種關鍵的防御安全措施，ICPS依靠它作為誘餌來隱藏和保護他們的系統。這主要可以用蜜罐來完成。另外，還存在其他欺騙性解決方案。Cohen在討論不同范圍的欺騙策略時，介紹了如何使蜜罐欺騙在就業時更加有效[55]。Antonioli等人提出了一個虛擬的、高交互的、基于服務器的ICS蜜罐的設計，以確保捕獲攻擊者活動的真實、經濟、可維護的ICS蜜罐，旨在針對基于Ethernet/IP的ICS蜜罐[56]。Litchfield等人提出了HoneyPhy，這是一種用于復雜ICPS蜜罐的物理感知框架，該框架監視ICPS流程和控制ICPS本身設備的原始行為，HoneyPhy可用于實時模擬這些行為[57]。

2.3 ICPS安全解決方案的局限性

在評估和分析現有安全解決方案的過程中，我們發現每個解決方案都有獨到之處，在各個方面均為保護ICPS安全帶來了新的構想，極大地推動了行業發展，但不可否認的是，這些解決方案還存在以下幾種局限性：

（1）非對稱加密。非對稱加密從延遲和資源方面引入開銷。某些加密工作的不對稱性使得ICPS的實時通信容易因加密/解密過程中的延遲而導致網絡延遲和開銷。

（2）弱設備/用戶身份驗證方案。由于缺少能夠保護ICPS系統免受未授權用戶和訪問的多因素身份驗證方案，許多提出的身份驗證技術不太適合安全設備。

（3）低效的蜜罐和欺騙系統。盡管Irvene等人最近提出了很多技術，但沒有合適的蜜罐技術可以專門用來保護ICPS系統，特別是在工業4.0時代之后。

（4）缺乏防火墻保護。現有的防火墻解決方案都不是很適用，也不適用于ICPS域，也無法提供有效的保護。最佳解決方案需要動態防火墻以及應用程序和下一代防火墻類型。

（5）效率低下的入侵檢測系統。盡管有各種IDS類型可用，例如基于異常，基于行為和基于簽名，但這些IDS通常應用于基于IoT的域中，并非專門用于保護ICPS系統。

3 展望及建議

面對層出不窮的攻擊手段，未來的研究方向主要包括：多重身份驗證、ICPS取證、風險評估以及人工智能安全解決方案等。此外，目前我們可以采取和加強不同的安全措施，以提升對各種威脅和攻擊的保護，降低自身面臨的風險，改善安全環境。

3.1 優先級劃分和分類

在評估、管理和分析風險之前對關鍵ICPS組件和資產進行排序，以確保根據成本與發生的可能性相比，在正確選擇安全措施（基本、標準或高級）上進行適當的預算支出給定的事件及其影響。

3.2 采用輕量級動態密鑰相關加密算法

這些解決方案可用于確保多種安全服務，例如消息機密性、完整性和身份驗證，這些服務在任何安全ICPS通信期間都是必需的。這些解決方案的優勢在于它可以在安全性和性能水平之間達到良好的平衡。新一代的這些加密算法減少了所需的延遲、資源和計算開銷，這有助于ICPS設備更好地保留其主要功能。

3.3 定義權限

這應該被認為是最合適的訪問控制策略，它在訪問ICPS時根據用戶的角色/任務/屬性分配權限，并在完成任務或完成后刪除這些訪問權限。這還包括使用最低權限策略。

3.4 采用增強型非加密解決方案

需要混合IDS/IPS系統或基于AI的IDS/IPS（使用機器學習算法），以及高級防火墻（即應用程序和下一代防火墻）和動態蜜罐以防止任何基于漏洞利用的未來安全漏洞。

4 結語

ICPS系統是工業4.0的關鍵組件，它們通過將物理環境與網絡世界集成來改變人類與物理環境的交互方式。在物聯網(IoCPT)內部或外部實施ICPS系統的目的是提高產品的質量和系統的可用性和可靠性。然而，ICPS系統受到各種安全和隱私問題的困擾，這些問題會降低其可靠性、安全性、效率，并可能阻礙其廣泛部署。在本文中，我們討論和分析了最近可用的ICPS安全解決方案，但這些方案都存在一定的局限性，它們大都指向了一個問題——這些解決方案并非為ICPS量身打造，這也就意味著保護ICPS安全依舊任重道遠。接下來我們的研究重點將放在ICPS專用的解決方案，包括基于加密的解決方案和非加密的解決方案。