工业信息物理系统安全解决方案综述

刘邦，饶志波，姜双林

（北京安帝科技有限公司，北京 100125）

0 引言

随着我国“智能制造2025”以及工业4.0的不断深入，越来越多的制造业企业在探索中国的制造业升级，其中最核心的是工业信息物理系统（ICPS），ICPS通过控制边缘传感器网络收集的“物理”数据来管理关键的基础设施。工业化与信息化的融合发展，促进了高度互连的系统与ICPS的快速集成，这直接导致ICPS攻击面的增加，ICPS正面临多种多样的威胁。目前已做研究工作涉及ICPS的不同安全方面，包括讨论了不同的ICPS 安全目标；提出维护ICPS 安全的方法；提出了ICPS安全挑战及问题；审查一些安全问题，包括大数据安全、物联网存储问题和操作系统漏洞；讨论使用加密算法和协议的几种安全和隐私解决方案等等。然而，现有的工作都没有在威胁、漏洞和基于目标域（网络、物理或混合）的攻击方面全面介绍ICPS安全性。因此，本文详细概述了现有的网络攻击、物理攻击和混合攻击，以及它们的安全解决方案，包括加密和非加密解决方案。

1 ICPS的安全挑战

与大多数网络系统类似，ICPS系统在设计上并未整合安全服务，这为攻击者利用各种漏洞和威胁发起攻击敞开了大门。这也是由于ICPS设备的异构性质，因为它们在不同的IoT域中运行并使用不同的技术和协议进行通信。

1.1 ICPS 安全威胁

ICPS 安全威胁可分为网络威胁或物理威胁，如果将它们结合起来，可能会导致网络物理威胁。

（1）网络威胁。正如Alguliyev等人所说，出于多种原因，对工业物联网安全的主要关注高度集中在网络威胁而不是物理威胁上[1]。ICPS系统容易出现：无线利用、干扰、侦察、远程访问、信息披露、未经授权的访问、拦截、GPS利用、信息收集等问题。

（2）物理威胁。ICPS系统引入零日高级计量基础设施（AMI）和邻域网（NAN）以及数据仪表管理系统，以保持ICPS在工业领域的稳健性[2]。与ICPS系统相关的一些威胁有：欺骗、破坏、服务中断或拒绝、跟踪等。

1.2 ICPS漏洞

漏洞被识别为可用于工业间谍目的（侦察或主动攻击）的安全漏洞。因此，脆弱性评估包括识别和分析可用的ICPS漏洞，同时确定适当的纠正和预防措施，以减少、减轻甚至消除任何脆弱性[3]。

（1）网络漏洞。包括保护性安全措施的漏洞，以及破坏开放的有线/无线通信和连接，包括中间人、窃听、重放、嗅探、欺骗和通信堆栈（网络/传输/应用层)、后门[4]、DoS/DDoS和数据包操纵攻击[5]。

（2）物理漏洞。由于为这些组件提供的物理安全性不足，ICS组件的物理暴露被归类为漏洞。因此，使它们容易受到物理篡改、更改、修改甚至破坏。ICPS现场设备（即智能电网、电网、供应链等）容易出现相同的ICS漏洞，因为大量物理组件在没有物理安全的情况下暴露出来，使其容易受到物理破坏。

1.3 ICPS攻击

针对ICPS系统不同方面的不同类型的攻击，包括网络和物理攻击：

（1）物理攻击。物理攻击在过去几年更为活跃，其中许多攻击已经由Al-Mhiqani等人提出[6]。除此之外，更广泛的物理攻击类型还包括：受感染的项目、滥用权限、断线/窃听/拨号、假身份、钥匙卡劫持、社会工程等。

（2）网络攻击。近年来，针对ICPS和IoCPT的网络攻击率有所上升，造成了非常严重的后果。根据目前进行的研究，ICPS极易受到恶意代码注入攻击和代码重用攻击，以及虚假数据注入攻击、零控制数据攻击，最后是控制流证明（C-FLAT）攻击。此类攻击可能导致针对ICPS设备和系统的全面停电。

1.4 ICPS故障

ICPS因遭受的不同威胁、攻击和漏洞会出现各种故障，这些故障可以是轻微的（有限损坏）或严重的（严重损坏）。主要故障有：内容故障、时序故障、传感器故障、无提示故障、乱码故障等。

ICPS安全挑战的四个方面信息汇总见表1。

表1 ICPS 威胁、漏洞、攻击及故障

2 ICPS安全解决方案分析

由于各种安全挑战、集成问题等因素地不断增加，以及包括缺乏安全性、隐私性和准确性在内的现有解决方案的局限性，维护安全的ICPS环境并非易事。尽管如此，还是可以通过不同的方法来缓解这种情况，主要包括加密和非加密解决方案。

2.1 基于加密的解决方案

加密措施主要用于保护信道免受任何未经授权的访问和拦截的主动或被动攻击，尤其是在SCADA系统中[7]。实际上，由于功率和大小的限制，基于利用密码和哈希函数的传统加密方法不容易应用于包括IoCPT在内的ICPS。因此，各种解决方案的主要重点应仅限于数据安全性，并确保整个系统过程的效率。

Adam等人提出了一个新颖的框架来了解网络攻击和ICPS风险[8]。他们的框架提供了一种新颖的方法，可以确保对ICPS攻击要素进行全面研究，包括攻击者及其目标，网络利用，控制理论和物理系统属性。Stouffer等人提供了全面的ICS安全指南[11]，该指南包括入侵检测系统（IDS），访问控制（AC），防火墙的技术控制以及培训员工安全意识在内的操作控制。

Sharma等人提出了一种新颖的多级网络安全评估方案（NSES），它代表了五个不同级别的安全性，提供了关于NSES是否适用于IoT/ICPS/IoCPT应用程序的无线传感器网络（WSN）安全性的整体视图[9]。NSES在早期设计阶段就为网络管理员提供建议，以实现正确的安全需求。因此，本文对这些满足以下安全目标之一的解决方案进行了分类：

（1）机密性。保护ICPS通信线路安全至关重要。较早的解决方案是一种基于加密之前使用压缩技术的解决方案[10]，这种解决方案减少了开销并简化了问题，在此之后，轻量级加密便成为了大家关注的焦点。Bogdanov等人的超轻量级分组密码和用于普适计算应用的低延迟分组密码，由于它们的低成本和低延迟性，使其能够为任何资源受限的、正常的、工业的甚至是医疗设备提供加密块[11-12]。Jayasekara等人提出了WSO2复合事件处理器（WSO2-CEP），并用于将不同的挑战进行分类，使其在安全可靠的ICPS环境中具有确保机密性，隐私性和可用性的能力[13-14]。

（2）完整性。保持ICPS设备的完整性需要防止对传入或传出的实时数据进行任何物理或逻辑修改。Omkar等人等通过介绍其称为“可信赖的自治接口守护程序体系结构”（TAIGA）的方法，解决了ICS上的软件重新配置和网络攻击的问题[15]。TAIGA提供了保护措施，可抵御来自监控节点和工厂控制节点的攻击，同时还集成了可信赖的安全保护备用控制器。Tiago等人引入了影子安全单元“SSU”作为一种低成本设备，与PLC或远程终端单元（RTU）并行使用，以保护SCADA系统[16-17]。

（3）可用性。保护ICPS安全，减轻和克服可用性问题至关重要。田纳西-伊士曼过程控制系统（TEPCS）模型用于测试完整性和DoS攻击，该模型揭示了DoS攻击对传感器网络无效[18]。Gao等人通过使用PLC，RTU和DCS控制器与流程交互，设计并介绍了基于仿真、物理、模拟的网络ICS测试床（EPS-ICS测试床），作为公司和SCADA网络仿真的控制过程[19]。Thiago等人将开源PLC与基于机器学习的IPS设计相结合，以保护OpenPLC版本并使其免受各种攻击[20]。

（4）身份验证。身份验证是需要精心构建、设计和维护的第一道防线[21-24]。Halperin等人提出了一种公共密钥交换身份验证机制，以防止未授权方获得访问权限[25]。它们的机制依赖于外部射频而不是电池作为能源。Ankarali等人提出了一种依赖于预均衡的物理层身份验证技术[26]。Ibrokhimov等人展示了无配件世界中，用户身份验证的五个高级功能类别，包括安全性，隐私和可用性方面[27]。

（5）隐私保护。维护用户大数据的隐私并非易事。各种隐私保护技术被提出用以解决该问题，其中就包括差分隐私和同态加密。①差分隐私。Keshk等人利用独立分量分析(ICA)技术研究了大量ICPS数据的特征约简在隐私保护级别上的发挥的作用[28]。结果显示，ICA在不破坏机密数据的情况下更加安全，并提供了更好的隐私保护和数据实用程序。使用同态加密系统可实现用户的隐私，而使用保留隐私的张量协议可减轻计算开销[29]。②同态加密。为了更好的数据保密性和隐私保护，采用了同态加密技术。Zhang等人提出了一种基于卡尔曼滤波（SEKF）的安全估计，该算法使用乘法同态加密方案和改进的解密算法来减少网络开销并增强通信数据的机密性[30]。Kim等人使用完全同态加密（FHE）作为高级加密方案，可直接对加密变量启用算术运算而无需解密，还引入了基于树的顺序矩阵乘法计算，以减缓寿命的降低[31]。

2.2 非加密的解决方案

为了减轻和消除任何可能的网络攻击或恶意事件，还提出了许多非加密解决方案。这是通过实施入侵检测系统（IDS）、防火墙和蜜罐来完成的。

（1）入侵检测系统。由于不同网络配置的可用性，存在各种IDS方法[32]。每种IDS方法在检测，配置，成本及其在网络中的位置方面都有其自身的优缺点。Almohri等人指出需要开展各种研究活动以发现针对ICPS的攻击[33]，这些攻击分为两个主要模型。基于物理的模型通过异常检测，在ICPS中定义正常的ICPS操作。基于网络的模型，用于识别Shu等人列出的潜在的攻击[34-35]。实际上，现有方法主要设计用于检测针对特定应用程序的特定攻击，包括无人机（UAV）[36]，工业控制过程[37]和智能电网[38]。

（2）入侵检测系统部署。IDS可以部署在任何给定的IoT网络的边界路由器上，一个或多个给定的主机中或每个物理对象中，以确保对攻击进行必要的检测。同时，由于IDS频繁查询网络状态的能力，IDS可能能够在LLN（低功耗有损网络）节点与边界路由器之间生成通信开销。①分布式IDS。D-IDS在每个物理LLN对象中使用，同时在每个资源受限的节点中进行优化，由此引出一种轻量级的分布式IDS。Oh等人提出了一种与攻击特征和数据包有效载荷相匹配的轻量级算法，同时建议使用较少匹配号的其他技术来检测任何可能的攻击[39]。Lee等人提出了他们自己的轻量级方法，他们通过分配节点来查看这些节点在分布式布局中的邻居，以此监视节点的能耗，这些节点被称为“看门狗”[40]。②集中式IDS。C-IDS主要部署在集中式组件中。这允许LLN跨边界收集所有数据并将其传输到Internet。因此，集中式IDS可以分析LLN和Internet之间的所有交换流量。事实上，仅检测涉及LLN内节点的攻击是不够的，因为在发生攻击时很难监控每个节点[41]。Cho等人提出的解决方案基于分析通过物理域和网络域之间的边界路由器的所有数据包，但主要任务是基于如何克服僵尸网络攻击[42]。Wallgren等人采用了集中式方法，将其放置在边界路由器中，以检测针对物理域的攻击[43]。③混合IDS。H-IDS利用了集中式布局和分布式布局这两种概念，结合了它们的优点，克服了它们的缺点。最初的方法允许将网络组织成集群，每个集群的主节点能够承载一个IDS实例，然后才负责监视其他邻近节点。因此，混合IDS放置比分布式IDS放置消耗更多的资源。

（3）入侵检测方法。四种主要的IDS方法是基于签名，基于异常，基于行为和基于混合，这些测试方法和技术则根据其检测机制分为五个主要类别：①基于签名。这种检测技术非常快速且易于配置。但是，它仅对检测已知威胁有效，面对未知威胁（主要是多态恶意软件和加密服务）就会暴露出很明显的弱点。尽管功能有限，但基于签名的IDS还是非常准确的，并且可以通过一种易于理解的机制来非常有效地检测已知威胁。然而，由于其匹配的签名仍然未知，并且不断更新其签名补丁，这种方法对已知攻击的新变种都是无效的[44-45]。②基于行为。基于行为可以归类为一组规则和阈值，这些规则和阈值用于定义网络组件（包括节点和协议）的预期行为。一旦网络行为偏离其原始行为，此方法便能够检测到任何入侵。基于行为的检测与基于异常的检测其行为相同，与基于规范的系统略有不同。在规范的系统中，需要专家手动定义每个规范，因此，提供了比基于异常的检测更低的假阳性率[46-47]。③基于异常。此类型可将系统的活动立即进行比较，并在发现异常情况时立即生成警报。然而，这种检测方法具有较高的假阳性率[48-49]。Cho等人通过计算组成正常行为特征的每三个指标的平均值，提出了一种使用基于异常的僵尸网络检测方案[42]。④基于射频。Stone等人提出了一种用于关键基础设施中的可编程逻辑控制器的基于射频的异常检测方法[50-51]。他们的实验结果表明，使用单个收集的波形响应可提供足够的可分离性，以区分异常情况和正常操作情况。但是，在使用多时域波形响应的情况下，它们的性能会大大降低。⑤基于混合。它基于使用基于规范的技术，基于特征的签名和基于异常的检测，以最大化其优势，同时将其弊端最小化。Krimmling等人使用他们提供的IDS评估框架测试了他们的异常和基于签名的IDS，结果表明，每种方法都无法单独检测某些攻击，于是作者结合了这些方法以覆盖和检测更广泛的攻击范围[52]。

（4）防火墙。由于IDS和人工智能技术的进步，防火墙在ICPS领域很少使用机会。在此提出了一些基于防火墙的解决方案。Jiang等人提到在企业区域和制造区域之间使用成对的防火墙来增强服务器的网络安全性，之所以选择成对的防火墙，是因为其严格的安全性和清晰的管理隔离[53]。Nivethan等人提出了一种新颖的方法，该方法将IP用作SCADA系统的有效、强大的开源网络级防火墙，该防火墙可以检查和过滤SCADA协议消息[54]。

（5）蜜罐与欺骗。欺骗是一种关键的防御安全措施，ICPS依靠它作为诱饵来隐藏和保护他们的系统。这主要可以用蜜罐来完成。另外，还存在其他欺骗性解决方案。Cohen在讨论不同范围的欺骗策略时，介绍了如何使蜜罐欺骗在就业时更加有效[55]。Antonioli等人提出了一个虚拟的、高交互的、基于服务器的ICS蜜罐的设计，以确保捕获攻击者活动的真实、经济、可维护的ICS蜜罐，旨在针对基于Ethernet/IP的ICS蜜罐[56]。Litchfield等人提出了HoneyPhy，这是一种用于复杂ICPS蜜罐的物理感知框架，该框架监视ICPS流程和控制ICPS本身设备的原始行为，HoneyPhy可用于实时模拟这些行为[57]。

2.3 ICPS安全解决方案的局限性

在评估和分析现有安全解决方案的过程中，我们发现每个解决方案都有独到之处，在各个方面均为保护ICPS安全带来了新的构想，极大地推动了行业发展，但不可否认的是，这些解决方案还存在以下几种局限性：

（1）非对称加密。非对称加密从延迟和资源方面引入开销。某些加密工作的不对称性使得ICPS的实时通信容易因加密/解密过程中的延迟而导致网络延迟和开销。

（2）弱设备/用户身份验证方案。由于缺少能够保护ICPS系统免受未授权用户和访问的多因素身份验证方案，许多提出的身份验证技术不太适合安全设备。

（3）低效的蜜罐和欺骗系统。尽管Irvene等人最近提出了很多技术，但没有合适的蜜罐技术可以专门用来保护ICPS系统，特别是在工业4.0时代之后。

（4）缺乏防火墙保护。现有的防火墙解决方案都不是很适用，也不适用于ICPS域，也无法提供有效的保护。最佳解决方案需要动态防火墙以及应用程序和下一代防火墙类型。

（5）效率低下的入侵检测系统。尽管有各种IDS类型可用，例如基于异常，基于行为和基于签名，但这些IDS通常应用于基于IoT的域中，并非专门用于保护ICPS系统。

3 展望及建议

面对层出不穷的攻击手段，未来的研究方向主要包括：多重身份验证、ICPS取证、风险评估以及人工智能安全解决方案等。此外，目前我们可以采取和加强不同的安全措施，以提升对各种威胁和攻击的保护，降低自身面临的风险，改善安全环境。

3.1 优先级划分和分类

在评估、管理和分析风险之前对关键ICPS组件和资产进行排序，以确保根据成本与发生的可能性相比，在正确选择安全措施（基本、标准或高级）上进行适当的预算支出给定的事件及其影响。

3.2 采用轻量级动态密钥相关加密算法

这些解决方案可用于确保多种安全服务，例如消息机密性、完整性和身份验证，这些服务在任何安全ICPS通信期间都是必需的。这些解决方案的优势在于它可以在安全性和性能水平之间达到良好的平衡。新一代的这些加密算法减少了所需的延迟、资源和计算开销，这有助于ICPS设备更好地保留其主要功能。

3.3 定义权限

这应该被认为是最合适的访问控制策略，它在访问ICPS时根据用户的角色/任务/属性分配权限，并在完成任务或完成后删除这些访问权限。这还包括使用最低权限策略。

3.4 采用增强型非加密解决方案

需要混合IDS/IPS系统或基于AI的IDS/IPS（使用机器学习算法），以及高级防火墙（即应用程序和下一代防火墙）和动态蜜罐以防止任何基于漏洞利用的未来安全漏洞。

4 结语

ICPS系统是工业4.0的关键组件，它们通过将物理环境与网络世界集成来改变人类与物理环境的交互方式。在物联网(IoCPT)内部或外部实施ICPS系统的目的是提高产品的质量和系统的可用性和可靠性。然而，ICPS系统受到各种安全和隐私问题的困扰，这些问题会降低其可靠性、安全性、效率，并可能阻碍其广泛部署。在本文中，我们讨论和分析了最近可用的ICPS安全解决方案，但这些方案都存在一定的局限性，它们大都指向了一个问题——这些解决方案并非为ICPS量身打造，这也就意味着保护ICPS安全依旧任重道远。接下来我们的研究重点将放在ICPS专用的解决方案，包括基于加密的解决方案和非加密的解决方案。