日本在线www-日本在线播放一区-日本在线不卡免费视频一区-日本在线不卡视频-成人影院久久久久久影院-成人影院一区二区三区

本文為儀綜所安全一體化技術分享系列文章第2篇，預計共四篇，第1篇見【技術分享】信息物理生產系統（CPPS）面臨的安全挑戰與解決思路。

摘  要

針對信息物理生產系統（Cyber-Physical Production System，CPPS）面臨的安全挑戰，本文以功能安全理論和工業信息安全理論為基礎，結合CPPS的架構層級和風險演化規律，闡述了CPPS安全一體化的概念內涵和特征、兩種跨域傳播風險的相同點和不同點，并分析了安全一體化技術框架的要點，以期為研究者開展安全一體化領域的共性方法、關鍵技術研究提供有益參考。

1. CPPS視角的安全一體化概念

根據文獻[1]可知，安全一體化是貫穿于CPPS全生命周期的一種新技術體系，其目標是系統識別CPPS面臨的危險，進而建立高可信的兩安協同防護系統，將風險控制在可容忍的范圍之內。安全一體化主要關注以下問題：

（1）危險源或攻擊面是什么樣的？在CPPS的物理空間，辨識物理設備的硬件失效、人員誤操作等危險源；在CPPS的信息空間，分析攻擊面，識別可能被攻擊的系統組件、通信網絡和物理設備，并評估攻擊者可能利用的入口點和攻擊路徑。

（2）攻擊效應是什么樣的？關注危險源或攻擊面對CPPS的實際效應，評估可能導致的服務中斷、數據泄露、系統損壞、物理設備破壞等后果。

（3）防護措施該如何設計？設計和實施適當的安全控制和防護措施，選擇合適的網絡安全、物理安全、身份認證、訪問控制、安全儀表功能等措施，以抵御潛在攻擊和減輕攻擊風險。

（4）安全功能如何驗證？依據場景設計不同風險路徑的測試用例，測試安全功能的及時性、有效性和協同性，評估系統的安全性并提升響應能力。

（5）安全狀態如何監測？安全監測和響應是指對CPPS進行實時態勢感知和應急響應，以識別和處置潛在的安全威脅和攻擊，控制物理空間運行事故的風險蔓延。CPPS通常由物理組件、網絡和軟件組成，涉及到物理過程的控制和信息處理，因此其安全監測和響應需要綜合考慮物理空間和信息安全兩個方面，具體包括網絡安全監測、物理安全監測、安全事件日志和設計、威脅情報和漏洞管理、快速應急響應和恢復、應急演練等。

2. CPPS視角的安全一體化特征

（1）安全一體化理論強調將信息空間和物理空間視為一個整體來考慮安全問題，突出了信息系統和物理系統之間的相互依賴性和交互作用，因此需要綜合考慮CPPS信息空間和物理空間的安全性[2]。

（2）安全一體化理論提倡多層次的安全防御策略，包括生產裝備/工藝、網絡設施、數據保護等多個層次。通過在不同層次上應用適當的安全措施和技術，形成安全防御的多重屏障。

（3）安全一體化理論強調風險管理和治理的重要性。鼓勵制定風險管理計劃、災備與恢復計劃、協同合作與信息共享等，以應對CPPS威脅和風險。

從信息空間到物理空間的攻擊風險分析強調了信息安全對功能安全、甚至物理安全的影響關系。通過評估、監測和防范網絡攻擊對物理裝置的可能影響，可以提高對潛在風險的認識，并采取相應的安全措施來保護基礎設施、系統和人員安全。這需要綜合應用信息安全和功能安全、物理安全等領域的知識和技術，建立跨領域的合作和應對機制。

3. CPPS視角的風險演化

CPPS視角的風險演化分析進一步強調將信息空間和物理空間視為一個整體來考慮風險的發生、演變和控制，本質上是分析跨域風險的傳播規律與管控策略，為CPPS安全需求分析提供關鍵信息，而安全需求分析則將這些信息轉化為系統設計和實施的具體指導。

根據文獻[3]，風險分析聚焦三種類型的跨域風險：①由耦合域演變至物理域（以下表示為“耦合域→物理域”）的傳播風險（稱之為Ⅰ型風險）；②由信息域演變至耦合域，再演變至物理域（以下表示為“信息域→耦合域→物理域”）的傳播風險（稱之為Ⅱ型風險）；③由物理域內的硬件失效或人員誤操作引起的系統風險，該風險可以通過功能安全評估技術實現合理管控（稱之為Ⅲ型風險）[4]。三種類型的風險演化路徑如圖1所示。Ⅲ型風險的評估與管控技術已經非常成熟，本文不再討論此類風險。Ⅰ型和Ⅱ型風險在一定程度上是相似的，但它們也有明顯的不同點。相同點和不同點描述如下：

圖1 CPPS中三類風險的演化路徑

3.1 Ⅰ型和Ⅱ型風險的相同點

（1）Ⅰ型風險和Ⅱ型風險的傳播途徑最終是以影響物理域內工藝、設備設施的運行風險為落腳點，因此，兩者重點關注物理組件和設備是如何受到潛在威脅的影響。

（2）無論Ⅰ型風險還是Ⅱ型風險，均是由信息空間的風險誘發了物理空間的風險，因此，兩者均關注如何識別和管理跨域風險的傳播途徑，以便在信息技術和物理系統之間建立協同的安全措施。

（3）Ⅰ型和Ⅱ型風險波及資產眾多，改變了現有功能安全、信息安全、物理安全強調局部安全的思路，它們都強調整個系統安全以及系統交互的安全性，以確保實現整體安全。

3.2 Ⅰ型和Ⅱ型風險的不同點

（1）Ⅲ型風險的誘因主要包括物理域的硬件失效或人員誤操作行為，更關注物理域內部的相互依賴和影響，如系統內部設備、組件、控制策略等方面的風險；Ⅰ型和Ⅱ型風險的誘因主要涉及信息技術和通信領域，如軟件漏洞、惡意代碼等。

（2）Ⅰ型和Ⅱ型風險通常具有迅速傳播、難以預測和不易檢測的特點；Ⅲ型風險則表現為組件之間的相互作用和以物理為基礎的設備故障，具有逐步發展和累積影響的特點。

（3）Ⅰ型和Ⅱ型風險的傳播路徑較長，波及資產眾多，可能同時在信息空間與物理空間產生多維影響，如大規模數據泄露、系統完整性受損、生產安全事故等；Ⅲ型風險往往會在物理空間產生影響，如設備失效、系統性能下降等。

（4）Ⅲ型風險需要關注基本過程監視和控制系統、操作員監視、報警響應、機械減輕系統、儀表安全控制/減輕系統等方面的預防性、探測性或緩解性措施。Ⅰ型和Ⅱ型風險不僅要考慮Ⅲ型風險所涉及到的安全措施，還需要考慮信息安全方面的措施。

CPPS面臨的三種類型風險各有特點，因此，安全一體化機制需要在設計、開發、部署、驗證、運行和維護階段需要綜合考慮風險來源、特征、影響及防范策略，統籌安全工程的整體布局，確保CPPS安全可靠運行。

3.3  分析要點

（1）針對Ⅰ型和Ⅱ型風險，應識別和分析可能存在的威脅和漏洞；針對Ⅲ型風險，應分析物理域內的設備潛在失效或人員誤操作行為。

（2）應識別信息域、耦合域和物理域之間的交互依賴關系；針對Ⅰ型和Ⅱ型風險，需分析信息域或耦合域內網絡攻擊風險傳播至物理域的潛在路徑。針對Ⅲ型風險，需分析硬件失效或人員誤操作引起運行事故的潛在路徑。

（3）在風險演化分析中，應考慮攻擊漏洞的難易度、制造威脅并最終導致生產事故的技術難度、危險源的發生可能性、后果嚴重度等指標，實現對風險傳播路徑的半定量分析。注意：Ⅰ型、Ⅱ型和Ⅲ型風險的傳播路徑具有不同難易度的可行性，其中Ⅰ型風險的傳播路徑最長，突破的安全措施最多，能夠成功作用于物理域的難度也最大。

（4）根據評估結果，制定風險治理和控制策略，包括信息安全措施、功能安全措施、物理安全措施等。在該階段，應注意信息安全措施和功能安全措施的協同性。

4. 安全一體化的技術要點

CPPS的安全一體化機制需要在設計、驗證、運行和維護的各個階段中綜合考慮。通過在設計開發階段確定安全一體化需求和制定防御防護策略，驗證階段實施多類型的安全測試，運行階段實施信息安全與功能安全的監測和響應，維護階段進行持續監控與改進，可以有效提高CPPS安全性，并防止系統受到潛在威脅的侵害，安全一體化的技術要點如圖2所示。

圖2  安全一體化的技術框架

在設計階段，將Ⅰ型、Ⅱ型和Ⅲ型風險演化路徑納入CPPS安全需求分析的考慮范圍。在CPPS設計階段，評估人員需要對信息域或耦合域的潛在網絡攻擊和物理域的物理破防風險進行綜合分析，并確定安全一體化設計需求，包括信息安全防護設計需求、功能安全系統設計需求。如，實施用戶身份認證和授權機制，確保只有經過授權的用戶和設備能夠訪問控制層功能和資源。實施物理訪問控制措施，限制未經授權的人員或設備對物理設備設施的訪問。在進行安全一體化風險分析時，可以采用改進的危險與可操作性分析法、保護層分析法等。此外，當信息安全需求與功能安全需求存在沖突關系時，應進行權衡和折中。為了處理兩者之間的潛在沖突，需要利用如故障樹、事件樹和故障模式與影響分析等技術，從風險角度評估功能安全和信息安全的關聯影響，進而依據設計原則，如最小權限原則、縱深防御等，以最小化風險進而減少設計上的沖突，保證兩者的兼容性。

在驗證階段，需要評估CPPS安全性能和防御能力，驗證安全一體化機制是否足夠可靠。在文獻[1]中，作者已經闡述了新形勢下傳統危險源有關的安全挑戰以及新技術和新產品導致的不可接受風險。在此情形下，針對開發完成或部署完成的安全措施，應根據測試環境（包括仿真環境或現場環境）和條件，依據風險特點設計相適應的測試用例。從風險特點看，需要設計Ⅰ型、Ⅱ型和Ⅲ型風險的測試用例，進而開展功能安全測試、信息安全測試、功能安全與信息安全系統設計測試。需要注意的是，CPPS涉及到了智能感知、分析、控制和決策等人工智能相關的新技術應用，這些不確定性因素增加了CPPS安全功能的不確定性（如：安全功能在相近條件下表現出不同的行為和性能），這又增加了測試用例設計的挑戰。因此，需要對CPPS安全一體化系統在各種可能的情況進行全面測試。測試用例的設計需要考慮到不確定性因素，以覆蓋潛在的風險和故障。從測試環境選取看，應綜合使用現場環境測試和仿真環境測試，以充分評估安全一體化系統在不同測試用例下的性能和功能。在進行現場測試之前，可以使用仿真環境測試來進行先驗先測。仿真環境測試可以通過虛擬模型和仿真工具模擬不同的跨域演化情況，逐步評估安全一體化系統在多個不確定性因素下的表現。仿真環境測試具有靈活性，可以重復執行和控制測試條件，以充分覆蓋系統可能面對的各種情況和風險。

在運行階段，需要繼續監控安全一體化系統的性能。在信息空間，建立網絡流量監控系統、入侵檢測系統、安全事件響應等信息安全措施，以及時識別和應對潛在的安全事件。在物理空間，實現智能安全管理，實現物理裝置安全生產數據實時采集、安全儀表功能完整性監測、動態風險感知、動態智能保護層分析等功能。同時，還需要建立應急響應團隊，并制定相應的應急響應計劃，能夠迅速應對網絡物理攻擊事件。

在維護階段，CPPS安全一體化系統需要進行持續監控與改進。通過對CPPS進行定期安全評估，發現風險點并部署新的安全措施。同時，還需要跟蹤漏洞公告和安全補丁，確保系統始終處于最新的安全狀態。此外，也需要對安全儀表功能進行定期的功能測試，發現組件故障，保證安全儀表功能在需要時能夠及時啟動。對于功能安全與信息安全協同機制，應根據行業最佳實踐或標準規范，更新協同設計的策略。

5. 結語

CPPS發展促進了信息空間與物理空間的深度融合，同時也來了一種新型風險：網絡物理攻擊風險，這對CPPS安全一體化防護提出了新要求。已有的功能安全技術和信息安全技術是相互割裂的，不能較好地適用于Ⅰ型和Ⅱ型風險的評估與管控。鑒于此，本文基于信息物理生產系統CPPS面臨的安全挑戰與解決思路，提出了CPPS視角的安全一體化技術框架，首先闡述了安全一體化的概念和特征，其次重點介紹了安全一體化評估領域的兩類跨域風險，最后從設計、驗證、運行和維護等階段分析了CPPS安全一體化的技術要點，以期為CPPS綜合安全管理與治理提供參考依據。

作者：張鑫，李天佑，劉瑤，王麟琨

參考文獻

[1] 劉瑤、張鑫、王麟琨. 信息物理生產系統CPPS面臨的安全挑戰與解決思路[J]. 中國儀器儀表, 2024(02): 100-105.

[2] Brunner M, Huber M, Sauerwein C, et al. Towards an Integrated Model for Safety and Security Requirements of Cyber-Physical Systems [C]//2017 IEEE International Conference on Software Quality, Reliability and Security Companion (QRS-C). IEEE, 2017. DOI:10.1109/QRS-C.2017.63.

[3] Carreras Guzman N H, Wied M, Kozine I,et al. Conceptualizing the key features of cyber‐physical systems in a multi‐layered representation for safety and security analysis [J]. Systems Engineering, 2020. DOI:info:doi/10.1002/sys.21509.

[4] B, Nelson H. Carreras Guzman A, I. K. A, and M. A. L. C. "An integrated safety and security analysis for cyber-physical harm scenarios." Safety Science 144. DOI:10.1016/j.ssci.2021.105458.

[5] Kriaa S, Pietre-Cambacedes L, Bouissou M, et al. A survey of approaches combining safety and security for industrial control systems[J]. Reliability Engineering & System Safety, 2015, 139: 156-178. DOI:10.1016/j.ress.2015.02.008.

來源：機械工業儀器儀表綜合技術經濟研究所