今日頭條
官方微信
官方抖音
資訊頻道本文為儀綜所安全一體化技術(shù)分享系列文章第2篇,預(yù)計(jì)共四篇,第1篇見(jiàn)【技術(shù)分享】信息物理生產(chǎn)系統(tǒng)(CPPS)面臨的安全挑戰(zhàn)與解決思路。
摘 要
針對(duì)信息物理生產(chǎn)系統(tǒng)(Cyber-Physical Production System,CPPS)面臨的安全挑戰(zhàn),本文以功能安全理論和工業(yè)信息安全理論為基礎(chǔ),結(jié)合CPPS的架構(gòu)層級(jí)和風(fēng)險(xiǎn)演化規(guī)律,闡述了CPPS安全一體化的概念內(nèi)涵和特征、兩種跨域傳播風(fēng)險(xiǎn)的相同點(diǎn)和不同點(diǎn),并分析了安全一體化技術(shù)框架的要點(diǎn),以期為研究者開(kāi)展安全一體化領(lǐng)域的共性方法、關(guān)鍵技術(shù)研究提供有益參考。
1. CPPS視角的安全一體化概念
根據(jù)文獻(xiàn)[1]可知,安全一體化是貫穿于CPPS全生命周期的一種新技術(shù)體系,其目標(biāo)是系統(tǒng)識(shí)別CPPS面臨的危險(xiǎn),進(jìn)而建立高可信的兩安協(xié)同防護(hù)系統(tǒng),將風(fēng)險(xiǎn)控制在可容忍的范圍之內(nèi)。安全一體化主要關(guān)注以下問(wèn)題:
(1)危險(xiǎn)源或攻擊面是什么樣的?在CPPS的物理空間,辨識(shí)物理設(shè)備的硬件失效、人員誤操作等危險(xiǎn)源;在CPPS的信息空間,分析攻擊面,識(shí)別可能被攻擊的系統(tǒng)組件、通信網(wǎng)絡(luò)和物理設(shè)備,并評(píng)估攻擊者可能利用的入口點(diǎn)和攻擊路徑。
(2)攻擊效應(yīng)是什么樣的?關(guān)注危險(xiǎn)源或攻擊面對(duì)CPPS的實(shí)際效應(yīng),評(píng)估可能導(dǎo)致的服務(wù)中斷、數(shù)據(jù)泄露、系統(tǒng)損壞、物理設(shè)備破壞等后果。
(3)防護(hù)措施該如何設(shè)計(jì)?設(shè)計(jì)和實(shí)施適當(dāng)?shù)陌踩刂坪头雷o(hù)措施,選擇合適的網(wǎng)絡(luò)安全、物理安全、身份認(rèn)證、訪問(wèn)控制、安全儀表功能等措施,以抵御潛在攻擊和減輕攻擊風(fēng)險(xiǎn)。
(4)安全功能如何驗(yàn)證?依據(jù)場(chǎng)景設(shè)計(jì)不同風(fēng)險(xiǎn)路徑的測(cè)試用例,測(cè)試安全功能的及時(shí)性、有效性和協(xié)同性,評(píng)估系統(tǒng)的安全性并提升響應(yīng)能力。
(5)安全狀態(tài)如何監(jiān)測(cè)?安全監(jiān)測(cè)和響應(yīng)是指對(duì)CPPS進(jìn)行實(shí)時(shí)態(tài)勢(shì)感知和應(yīng)急響應(yīng),以識(shí)別和處置潛在的安全威脅和攻擊,控制物理空間運(yùn)行事故的風(fēng)險(xiǎn)蔓延。CPPS通常由物理組件、網(wǎng)絡(luò)和軟件組成,涉及到物理過(guò)程的控制和信息處理,因此其安全監(jiān)測(cè)和響應(yīng)需要綜合考慮物理空間和信息安全兩個(gè)方面,具體包括網(wǎng)絡(luò)安全監(jiān)測(cè)、物理安全監(jiān)測(cè)、安全事件日志和設(shè)計(jì)、威脅情報(bào)和漏洞管理、快速應(yīng)急響應(yīng)和恢復(fù)、應(yīng)急演練等。
2. CPPS視角的安全一體化特征
(1)安全一體化理論強(qiáng)調(diào)將信息空間和物理空間視為一個(gè)整體來(lái)考慮安全問(wèn)題,突出了信息系統(tǒng)和物理系統(tǒng)之間的相互依賴性和交互作用,因此需要綜合考慮CPPS信息空間和物理空間的安全性[2]。
(2)安全一體化理論提倡多層次的安全防御策略,包括生產(chǎn)裝備/工藝、網(wǎng)絡(luò)設(shè)施、數(shù)據(jù)保護(hù)等多個(gè)層次。通過(guò)在不同層次上應(yīng)用適當(dāng)?shù)陌踩胧┖图夹g(shù),形成安全防御的多重屏障。
(3)安全一體化理論強(qiáng)調(diào)風(fēng)險(xiǎn)管理和治理的重要性。鼓勵(lì)制定風(fēng)險(xiǎn)管理計(jì)劃、災(zāi)備與恢復(fù)計(jì)劃、協(xié)同合作與信息共享等,以應(yīng)對(duì)CPPS威脅和風(fēng)險(xiǎn)。
從信息空間到物理空間的攻擊風(fēng)險(xiǎn)分析強(qiáng)調(diào)了信息安全對(duì)功能安全、甚至物理安全的影響關(guān)系。通過(guò)評(píng)估、監(jiān)測(cè)和防范網(wǎng)絡(luò)攻擊對(duì)物理裝置的可能影響,可以提高對(duì)潛在風(fēng)險(xiǎn)的認(rèn)識(shí),并采取相應(yīng)的安全措施來(lái)保護(hù)基礎(chǔ)設(shè)施、系統(tǒng)和人員安全。這需要綜合應(yīng)用信息安全和功能安全、物理安全等領(lǐng)域的知識(shí)和技術(shù),建立跨領(lǐng)域的合作和應(yīng)對(duì)機(jī)制。
3. CPPS視角的風(fēng)險(xiǎn)演化
CPPS視角的風(fēng)險(xiǎn)演化分析進(jìn)一步強(qiáng)調(diào)將信息空間和物理空間視為一個(gè)整體來(lái)考慮風(fēng)險(xiǎn)的發(fā)生、演變和控制,本質(zhì)上是分析跨域風(fēng)險(xiǎn)的傳播規(guī)律與管控策略,為CPPS安全需求分析提供關(guān)鍵信息,而安全需求分析則將這些信息轉(zhuǎn)化為系統(tǒng)設(shè)計(jì)和實(shí)施的具體指導(dǎo)。
根據(jù)文獻(xiàn)[3],風(fēng)險(xiǎn)分析聚焦三種類型的跨域風(fēng)險(xiǎn):①由耦合域演變至物理域(以下表示為“耦合域→物理域”)的傳播風(fēng)險(xiǎn)(稱之為Ⅰ型風(fēng)險(xiǎn));②由信息域演變至耦合域,再演變至物理域(以下表示為“信息域→耦合域→物理域”)的傳播風(fēng)險(xiǎn)(稱之為Ⅱ型風(fēng)險(xiǎn));③由物理域內(nèi)的硬件失效或人員誤操作引起的系統(tǒng)風(fēng)險(xiǎn),該風(fēng)險(xiǎn)可以通過(guò)功能安全評(píng)估技術(shù)實(shí)現(xiàn)合理管控(稱之為Ⅲ型風(fēng)險(xiǎn))[4]。三種類型的風(fēng)險(xiǎn)演化路徑如圖1所示。Ⅲ型風(fēng)險(xiǎn)的評(píng)估與管控技術(shù)已經(jīng)非常成熟,本文不再討論此類風(fēng)險(xiǎn)。Ⅰ型和Ⅱ型風(fēng)險(xiǎn)在一定程度上是相似的,但它們也有明顯的不同點(diǎn)。相同點(diǎn)和不同點(diǎn)描述如下:
圖1 CPPS中三類風(fēng)險(xiǎn)的演化路徑
3.1 Ⅰ型和Ⅱ型風(fēng)險(xiǎn)的相同點(diǎn)
(1)Ⅰ型風(fēng)險(xiǎn)和Ⅱ型風(fēng)險(xiǎn)的傳播途徑最終是以影響物理域內(nèi)工藝、設(shè)備設(shè)施的運(yùn)行風(fēng)險(xiǎn)為落腳點(diǎn),因此,兩者重點(diǎn)關(guān)注物理組件和設(shè)備是如何受到潛在威脅的影響。
(2)無(wú)論Ⅰ型風(fēng)險(xiǎn)還是Ⅱ型風(fēng)險(xiǎn),均是由信息空間的風(fēng)險(xiǎn)誘發(fā)了物理空間的風(fēng)險(xiǎn),因此,兩者均關(guān)注如何識(shí)別和管理跨域風(fēng)險(xiǎn)的傳播途徑,以便在信息技術(shù)和物理系統(tǒng)之間建立協(xié)同的安全措施。
(3)Ⅰ型和Ⅱ型風(fēng)險(xiǎn)波及資產(chǎn)眾多,改變了現(xiàn)有功能安全、信息安全、物理安全強(qiáng)調(diào)局部安全的思路,它們都強(qiáng)調(diào)整個(gè)系統(tǒng)安全以及系統(tǒng)交互的安全性,以確保實(shí)現(xiàn)整體安全。
3.2 Ⅰ型和Ⅱ型風(fēng)險(xiǎn)的不同點(diǎn)
(1)Ⅲ型風(fēng)險(xiǎn)的誘因主要包括物理域的硬件失效或人員誤操作行為,更關(guān)注物理域內(nèi)部的相互依賴和影響,如系統(tǒng)內(nèi)部設(shè)備、組件、控制策略等方面的風(fēng)險(xiǎn);Ⅰ型和Ⅱ型風(fēng)險(xiǎn)的誘因主要涉及信息技術(shù)和通信領(lǐng)域,如軟件漏洞、惡意代碼等。
(2)Ⅰ型和Ⅱ型風(fēng)險(xiǎn)通常具有迅速傳播、難以預(yù)測(cè)和不易檢測(cè)的特點(diǎn);Ⅲ型風(fēng)險(xiǎn)則表現(xiàn)為組件之間的相互作用和以物理為基礎(chǔ)的設(shè)備故障,具有逐步發(fā)展和累積影響的特點(diǎn)。
(3)Ⅰ型和Ⅱ型風(fēng)險(xiǎn)的傳播路徑較長(zhǎng),波及資產(chǎn)眾多,可能同時(shí)在信息空間與物理空間產(chǎn)生多維影響,如大規(guī)模數(shù)據(jù)泄露、系統(tǒng)完整性受損、生產(chǎn)安全事故等;Ⅲ型風(fēng)險(xiǎn)往往會(huì)在物理空間產(chǎn)生影響,如設(shè)備失效、系統(tǒng)性能下降等。
(4)Ⅲ型風(fēng)險(xiǎn)需要關(guān)注基本過(guò)程監(jiān)視和控制系統(tǒng)、操作員監(jiān)視、報(bào)警響應(yīng)、機(jī)械減輕系統(tǒng)、儀表安全控制/減輕系統(tǒng)等方面的預(yù)防性、探測(cè)性或緩解性措施。Ⅰ型和Ⅱ型風(fēng)險(xiǎn)不僅要考慮Ⅲ型風(fēng)險(xiǎn)所涉及到的安全措施,還需要考慮信息安全方面的措施。
CPPS面臨的三種類型風(fēng)險(xiǎn)各有特點(diǎn),因此,安全一體化機(jī)制需要在設(shè)計(jì)、開(kāi)發(fā)、部署、驗(yàn)證、運(yùn)行和維護(hù)階段需要綜合考慮風(fēng)險(xiǎn)來(lái)源、特征、影響及防范策略,統(tǒng)籌安全工程的整體布局,確保CPPS安全可靠運(yùn)行。
3.3 分析要點(diǎn)
(1)針對(duì)Ⅰ型和Ⅱ型風(fēng)險(xiǎn),應(yīng)識(shí)別和分析可能存在的威脅和漏洞;針對(duì)Ⅲ型風(fēng)險(xiǎn),應(yīng)分析物理域內(nèi)的設(shè)備潛在失效或人員誤操作行為。
(2)應(yīng)識(shí)別信息域、耦合域和物理域之間的交互依賴關(guān)系;針對(duì)Ⅰ型和Ⅱ型風(fēng)險(xiǎn),需分析信息域或耦合域內(nèi)網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)傳播至物理域的潛在路徑。針對(duì)Ⅲ型風(fēng)險(xiǎn),需分析硬件失效或人員誤操作引起運(yùn)行事故的潛在路徑。
(3)在風(fēng)險(xiǎn)演化分析中,應(yīng)考慮攻擊漏洞的難易度、制造威脅并最終導(dǎo)致生產(chǎn)事故的技術(shù)難度、危險(xiǎn)源的發(fā)生可能性、后果嚴(yán)重度等指標(biāo),實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)傳播路徑的半定量分析。注意:Ⅰ型、Ⅱ型和Ⅲ型風(fēng)險(xiǎn)的傳播路徑具有不同難易度的可行性,其中Ⅰ型風(fēng)險(xiǎn)的傳播路徑最長(zhǎng),突破的安全措施最多,能夠成功作用于物理域的難度也最大。
(4)根據(jù)評(píng)估結(jié)果,制定風(fēng)險(xiǎn)治理和控制策略,包括信息安全措施、功能安全措施、物理安全措施等。在該階段,應(yīng)注意信息安全措施和功能安全措施的協(xié)同性。
4. 安全一體化的技術(shù)要點(diǎn)
CPPS的安全一體化機(jī)制需要在設(shè)計(jì)、驗(yàn)證、運(yùn)行和維護(hù)的各個(gè)階段中綜合考慮。通過(guò)在設(shè)計(jì)開(kāi)發(fā)階段確定安全一體化需求和制定防御防護(hù)策略,驗(yàn)證階段實(shí)施多類型的安全測(cè)試,運(yùn)行階段實(shí)施信息安全與功能安全的監(jiān)測(cè)和響應(yīng),維護(hù)階段進(jìn)行持續(xù)監(jiān)控與改進(jìn),可以有效提高CPPS安全性,并防止系統(tǒng)受到潛在威脅的侵害,安全一體化的技術(shù)要點(diǎn)如圖2所示。
圖2 安全一體化的技術(shù)框架
在設(shè)計(jì)階段,將Ⅰ型、Ⅱ型和Ⅲ型風(fēng)險(xiǎn)演化路徑納入CPPS安全需求分析的考慮范圍。在CPPS設(shè)計(jì)階段,評(píng)估人員需要對(duì)信息域或耦合域的潛在網(wǎng)絡(luò)攻擊和物理域的物理破防風(fēng)險(xiǎn)進(jìn)行綜合分析,并確定安全一體化設(shè)計(jì)需求,包括信息安全防護(hù)設(shè)計(jì)需求、功能安全系統(tǒng)設(shè)計(jì)需求。如,實(shí)施用戶身份認(rèn)證和授權(quán)機(jī)制,確保只有經(jīng)過(guò)授權(quán)的用戶和設(shè)備能夠訪問(wèn)控制層功能和資源。實(shí)施物理訪問(wèn)控制措施,限制未經(jīng)授權(quán)的人員或設(shè)備對(duì)物理設(shè)備設(shè)施的訪問(wèn)。在進(jìn)行安全一體化風(fēng)險(xiǎn)分析時(shí),可以采用改進(jìn)的危險(xiǎn)與可操作性分析法、保護(hù)層分析法等。此外,當(dāng)信息安全需求與功能安全需求存在沖突關(guān)系時(shí),應(yīng)進(jìn)行權(quán)衡和折中。為了處理兩者之間的潛在沖突,需要利用如故障樹(shù)、事件樹(shù)和故障模式與影響分析等技術(shù),從風(fēng)險(xiǎn)角度評(píng)估功能安全和信息安全的關(guān)聯(lián)影響,進(jìn)而依據(jù)設(shè)計(jì)原則,如最小權(quán)限原則、縱深防御等,以最小化風(fēng)險(xiǎn)進(jìn)而減少設(shè)計(jì)上的沖突,保證兩者的兼容性。
在驗(yàn)證階段,需要評(píng)估CPPS安全性能和防御能力,驗(yàn)證安全一體化機(jī)制是否足夠可靠。在文獻(xiàn)[1]中,作者已經(jīng)闡述了新形勢(shì)下傳統(tǒng)危險(xiǎn)源有關(guān)的安全挑戰(zhàn)以及新技術(shù)和新產(chǎn)品導(dǎo)致的不可接受風(fēng)險(xiǎn)。在此情形下,針對(duì)開(kāi)發(fā)完成或部署完成的安全措施,應(yīng)根據(jù)測(cè)試環(huán)境(包括仿真環(huán)境或現(xiàn)場(chǎng)環(huán)境)和條件,依據(jù)風(fēng)險(xiǎn)特點(diǎn)設(shè)計(jì)相適應(yīng)的測(cè)試用例。從風(fēng)險(xiǎn)特點(diǎn)看,需要設(shè)計(jì)Ⅰ型、Ⅱ型和Ⅲ型風(fēng)險(xiǎn)的測(cè)試用例,進(jìn)而開(kāi)展功能安全測(cè)試、信息安全測(cè)試、功能安全與信息安全系統(tǒng)設(shè)計(jì)測(cè)試。需要注意的是,CPPS涉及到了智能感知、分析、控制和決策等人工智能相關(guān)的新技術(shù)應(yīng)用,這些不確定性因素增加了CPPS安全功能的不確定性(如:安全功能在相近條件下表現(xiàn)出不同的行為和性能),這又增加了測(cè)試用例設(shè)計(jì)的挑戰(zhàn)。因此,需要對(duì)CPPS安全一體化系統(tǒng)在各種可能的情況進(jìn)行全面測(cè)試。測(cè)試用例的設(shè)計(jì)需要考慮到不確定性因素,以覆蓋潛在的風(fēng)險(xiǎn)和故障。從測(cè)試環(huán)境選取看,應(yīng)綜合使用現(xiàn)場(chǎng)環(huán)境測(cè)試和仿真環(huán)境測(cè)試,以充分評(píng)估安全一體化系統(tǒng)在不同測(cè)試用例下的性能和功能。在進(jìn)行現(xiàn)場(chǎng)測(cè)試之前,可以使用仿真環(huán)境測(cè)試來(lái)進(jìn)行先驗(yàn)先測(cè)。仿真環(huán)境測(cè)試可以通過(guò)虛擬模型和仿真工具模擬不同的跨域演化情況,逐步評(píng)估安全一體化系統(tǒng)在多個(gè)不確定性因素下的表現(xiàn)。仿真環(huán)境測(cè)試具有靈活性,可以重復(fù)執(zhí)行和控制測(cè)試條件,以充分覆蓋系統(tǒng)可能面對(duì)的各種情況和風(fēng)險(xiǎn)。
在運(yùn)行階段,需要繼續(xù)監(jiān)控安全一體化系統(tǒng)的性能。在信息空間,建立網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)、入侵檢測(cè)系統(tǒng)、安全事件響應(yīng)等信息安全措施,以及時(shí)識(shí)別和應(yīng)對(duì)潛在的安全事件。在物理空間,實(shí)現(xiàn)智能安全管理,實(shí)現(xiàn)物理裝置安全生產(chǎn)數(shù)據(jù)實(shí)時(shí)采集、安全儀表功能完整性監(jiān)測(cè)、動(dòng)態(tài)風(fēng)險(xiǎn)感知、動(dòng)態(tài)智能保護(hù)層分析等功能。同時(shí),還需要建立應(yīng)急響應(yīng)團(tuán)隊(duì),并制定相應(yīng)的應(yīng)急響應(yīng)計(jì)劃,能夠迅速應(yīng)對(duì)網(wǎng)絡(luò)物理攻擊事件。
在維護(hù)階段,CPPS安全一體化系統(tǒng)需要進(jìn)行持續(xù)監(jiān)控與改進(jìn)。通過(guò)對(duì)CPPS進(jìn)行定期安全評(píng)估,發(fā)現(xiàn)風(fēng)險(xiǎn)點(diǎn)并部署新的安全措施。同時(shí),還需要跟蹤漏洞公告和安全補(bǔ)丁,確保系統(tǒng)始終處于最新的安全狀態(tài)。此外,也需要對(duì)安全儀表功能進(jìn)行定期的功能測(cè)試,發(fā)現(xiàn)組件故障,保證安全儀表功能在需要時(shí)能夠及時(shí)啟動(dòng)。對(duì)于功能安全與信息安全協(xié)同機(jī)制,應(yīng)根據(jù)行業(yè)最佳實(shí)踐或標(biāo)準(zhǔn)規(guī)范,更新協(xié)同設(shè)計(jì)的策略。
5. 結(jié)語(yǔ)
CPPS發(fā)展促進(jìn)了信息空間與物理空間的深度融合,同時(shí)也來(lái)了一種新型風(fēng)險(xiǎn):網(wǎng)絡(luò)物理攻擊風(fēng)險(xiǎn),這對(duì)CPPS安全一體化防護(hù)提出了新要求。已有的功能安全技術(shù)和信息安全技術(shù)是相互割裂的,不能較好地適用于Ⅰ型和Ⅱ型風(fēng)險(xiǎn)的評(píng)估與管控。鑒于此,本文基于信息物理生產(chǎn)系統(tǒng)CPPS面臨的安全挑戰(zhàn)與解決思路,提出了CPPS視角的安全一體化技術(shù)框架,首先闡述了安全一體化的概念和特征,其次重點(diǎn)介紹了安全一體化評(píng)估領(lǐng)域的兩類跨域風(fēng)險(xiǎn),最后從設(shè)計(jì)、驗(yàn)證、運(yùn)行和維護(hù)等階段分析了CPPS安全一體化的技術(shù)要點(diǎn),以期為CPPS綜合安全管理與治理提供參考依據(jù)。
作者:張?chǎng)危钐煊樱瑒帲貅腌?/p>
參考文獻(xiàn)
[1] 劉瑤、張?chǎng)巍⑼貅腌? 信息物理生產(chǎn)系統(tǒng)CPPS面臨的安全挑戰(zhàn)與解決思路[J]. 中國(guó)儀器儀表, 2024(02): 100-105.
[2] Brunner M, Huber M, Sauerwein C, et al. Towards an Integrated Model for Safety and Security Requirements of Cyber-Physical Systems [C]//2017 IEEE International Conference on Software Quality, Reliability and Security Companion (QRS-C). IEEE, 2017. DOI:10.1109/QRS-C.2017.63.
[3] Carreras Guzman N H, Wied M, Kozine I,et al. Conceptualizing the key features of cyber‐physical systems in a multi‐layered representation for safety and security analysis [J]. Systems Engineering, 2020. DOI:info:doi/10.1002/sys.21509.
[4] B, Nelson H. Carreras Guzman A, I. K. A, and M. A. L. C. "An integrated safety and security analysis for cyber-physical harm scenarios." Safety Science 144. DOI:10.1016/j.ssci.2021.105458.
[5] Kriaa S, Pietre-Cambacedes L, Bouissou M, et al. A survey of approaches combining safety and security for industrial control systems[J]. Reliability Engineering & System Safety, 2015, 139: 156-178. DOI:10.1016/j.ress.2015.02.008.
來(lái)源:機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所
北京市公安局海淀分局備案號(hào):11010802023656號(hào)