Cyber-PhysicalSystems(CPSs)即信息物理系統，它是一個綜合計算、網絡和物理環境的多維復雜系統，信息物理系統這個概念與物聯網概念相似，但與物聯網相比，信息物理系統更注重強調控制。

 CPSs這個詞是2006年由美國國家科學基金會（NSF）的海倫·吉爾首次進行詳細的描述，其認為信息物理系統是通過計算核心（嵌入式系統）實現感知、控制、集成的物理、生物和工程系統。信息物理系統的功能由計算和物理過程交互實現。此后得到美國政府和科學界的高度重視，隨后各個國家都提出了相似的技術框架和相應的標準，其中最具代表性的包括“德國工業4.0”和“中國制造2025”。

CPSs存在于眾多嵌入式計算機和通信技術的物理系統的自動化行業，包括航空航天、汽車、化工生產、民用基礎設施、能源、醫療、制造業、新材料和運輸等領域。CPSs主要包括3個部分，這三個部分為感知層、數據傳輸層（網絡層）和應用控制層。

感知層主要是由傳感器、控制器和采集器等設備組成。感知層中的傳感器是作為信息物理系統的末端設備，其主要作用是采集環境中的信息數據，并且定時的發送給服務器，服務器在接收到數據之后作出相應的處理，再返回給物理末端設備作出相應的變化。數據傳輸層主要是連接信息世界與物理世界的橋梁，主要實現的是數據傳輸，為系統提供實時的網絡服務，保證網絡分組實時可靠。應用控制層則是根據認知結果，將物理設備傳回來的數據進行分析，并以可視化的客戶端界面呈現給客戶。

圖1  信息物理系統的總體結構

CPSs的特點主要包括了：嵌入式系統、實時系統、有線或者無線的網絡和控制理論等。

嵌入式系統：

嵌入式系統是CPSs最普遍的特征之一，這些計算機通常直接與物理世界相連接（傳感器、控制器和執行器），且只執行一些特定的操作。這類計算機并不需要傳統計算機那樣的計算能力，因此它們的資源往往是有限的。其中一些嵌入式系統甚至不運行操作系統，而只是在固件上運行一個特定的軟件，以此來提供對設備和硬件的低級控制，像這樣的沒有操作系統的設備也被稱作為裸金屬系統（裸機電腦）。即使嵌入式系統有一個操作系統，它們運行的操作系統通常也僅僅是一個精簡版系統，用以支持平臺所需的最小工具。

實時系統：

對于功能安全來說，為了確保系統的正確性，執行計算的時間是很重要的。實時編程語言可以幫助開發人員為他們的系統指定時間以滿足時間要求，而實時操作系統可以保證接受和完成應用程序任務的時間。

網絡連接：

雖然目前許多關鍵基礎設施（如電力系統）在其SCADA系統中使用了串行通信來監控遠程操作，但越來越多的嵌入式系統通過與IP兼容的網絡進行通信。系統不同部分之間的信息交換在過去的20年開始才從串行通信遷移到IP兼容的網絡。例如：Modicon于1979年發布的串行通信協議Modbus，隨后串行協議在20世紀90年代有了更多功能的IEC 60870-5-101和DNP3。在20世紀90年代末和21世紀初，這些串行協議都采用支持Modbus/TCP和IEC 60870-5-104等標準的IP網絡。雖然大部分的遠距離通信是通過有線網絡進行的，但無線網絡也是CPSs的一個特點，在消費者嵌入式領域，藍牙就是一種流行的無線協議。

控制性：

大多數的CPSs觀察并控制物理世界中的變量。反饋控制系統已經存在了兩個世紀，早在1788年，就有蒸汽調速器這樣的技術。大多數控制理論采用微分方程建立一個物理模型，然后設計一個控制器以滿足一組期望的特性，如穩定性和效率?？刂葡到y最初設計有模擬傳感和模擬控制。隨著計算機網絡的使用，數字控制器遠離了傳感器和執行器（如泵、閥門等），這樣就產生了一種網絡控制系統。目前還在研究的是將傳統的物理系統模型（如微分方程）和計算模型（如有限狀態機）結合起來，封裝在一個混合系統內，稱之為混合系統。

由于CPSs是多種多樣的，包括工業系統、現代車輛、醫療設備等，這些系統都有不同的特點，上述特點為CPSs的一般特點，并不能適用于所有的CPSs中。在討論網絡安全問題之前，需要先描述自動控制系統下運行的物理系統是如何免受事故和自然故障的影響，以及針對非惡意對手的保護措施為何不足以應對惡意攻擊者的。

物理基礎設施的控制設備發生故障，會對人、環境和其他物理基礎設施造成無法彌補的傷害。因此工程師們開發了各種保護措施用于防止事故和自然原因造成的故障，包括了安全機制、保護機制、故障檢測機制和魯棒控制機制。

功能安全機制：

例如針對控制系統的通用安全標準（IEC 61508），其基本原理是獲取需求并從危害和風險分析已知故障的可能性和故障的后果，然后設計系統，在考慮所有故障的原因后滿足安全要求。這個通用安全標準在特定的行業中作為其他許多標準的基礎，例如流程工業（煉油廠、化學系統等）使用IEC 61511標準來設計安全儀表系統（SIS）以防止事故的發生。

保護機制：

與安全相關的另一個概念就是保護，例如電網中的保護系統包括：

·  發電機保護：當系統頻率過低或過高時，發電機會自動與電網斷開，以防止對發電機的永久性破壞。

·  低頻減載（UFLS）：如果電網頻率過低，則啟動受控減載。以一種可控的方式進行部分電力分配系統的斷開，同時避免像醫院、供水等安全關鍵負荷的中斷。UFLS的啟動是為了提高電網的頻率，防止發電機斷開。

·  過流保護：當線路中電流過高時，會觸發保護繼電器，使線路斷開，防止線路兩側設備損壞。

·  過/欠壓保護：如果母線電壓過低或者過高，會觸發電壓繼電器。

可靠性機制：

當安全和保護系統試圖防止事故發生時，仍需要其他的方法保證系統發生故障后能夠持續運行。

故障檢測機制：

通過故障檢測、隔離和重新配置來保證其容錯率。采用基于模型的檢測系統或純數據驅動系統來檢測異常。隔離則是識別異常來源的過程，重新配置是從故障中恢復的過程，通常通過移除故障傳感器來進行重新配置。

魯棒控制機制：

魯棒控制研究的是控制系統在運行中如何面對不確定性問題。這些問題可能來源于自然環境（如飛機運行時的陣風）、傳感器噪聲、未被工程師建模的系統動力學和系統部件隨時間的退化。魯棒控制通常選取最不利運行的條件來設計控制算法，使系統安全運行。

功能安全與網絡安全：

添加新的安全防御可能會帶來安全問題，例如，一個發電廠可能因為電腦在應用補丁后重啟而致發電機組關閉。軟件更新和補丁可能會違反安全認證，阻止未經授權的用戶訪問CPS也可能會在緊急情況下阻止急救人員訪問系統(例如，護理人員可能需要訪問阻止噴口未經授權連接的醫療設備)。在設計和部署新的安全機制時，安全解決方案應考慮CPS的安全問題。

CPSs即便擁有了上述機制，但也不足以保護其安全。隨著CPS安全成為主流領域，對于擁有安全機制、保護機制、容錯機制、和魯棒控制機制的CPSs，已經不能免受網絡攻擊。已經有研究證實，電網中故障檢測（壞數據檢測）算法是如何被繞過的，通過發送與電網合理配置一致的錯誤數據即可進行繞過。攻擊者在傳感器中注入少量虛假數據，從而使故障檢測系統無法將其識別為異常，現在已經有現實世界的攻擊會針對這些用于預防事故的保護措施。

CPSs是醫療保健設備、能源系統、武器系統和運輸管理的核心。特別是工業控制系統，在關鍵的國家基礎設施中有著重大的作用及影響，如果這些設施的中斷，將會造成重大影響，并且會產生巨大的經濟損失。例如，對電網的攻擊會導致停電，停電則會導致其他關鍵基礎設施（如供水系統、醫療系統等）產生級聯影響。攻擊GPS系統會導致司機到達了攻擊者期望的目的地。

一般來說，CPS控制的是一個物理進程，一組傳感器向控制器報告進程的狀態，控制器又向執行器（如閥門）發送控制信號，以維持系統所期望的狀態?？刂破鞒３Ｅc監控設備或其他配置設備（如電網中的SCADA系統或醫療設備編程器）通信，這些設備可以監控系統或更改控制器的配置。

圖2  CPS的總體架構及攻擊點

1.攻擊步驟①表示攻擊者可以通過破壞傳感器（例如數據未經驗證的傳感器或者攻擊者擁有傳感器密鑰），并注入虛假的傳感器信號，導致系統的控制器對惡意數據進行操作。

2.攻擊步驟②表示攻擊者在傳感器和控制器之間的通信線路上進行攻擊，攻擊者可以通過延遲甚至完全阻止傳感器到控制器的信息，使控制器失去對系統的可觀察性，從而導致控制器使用傳感器之前傳來的陳舊數據進行操作。根據攻擊者采用延遲或阻斷數據通信可以分為拒絕服務攻擊和過時數據攻擊。

3.攻擊步驟③表示攻擊者可以直接攻擊控制器，例如通過控制器向執行器發送錯誤的控制信號。

4.攻擊步驟④表示攻擊者可以延遲或阻止任何控制器傳來的控制命令，使執行器無法接受到控制器的任何控制命令或接收到過時的控制命令。這類攻擊也被認為是針對執行器的拒絕服務攻擊。

5.攻擊步驟⑤表示攻擊者可以破壞執行器或使執行器執行與控制器意圖不同的控制動作。這種攻擊不同于直接攻擊控制器，雖然都可以導致執行器執行計劃之外的行為，但從原理和結果還是有些細微的差別。

6.攻擊步驟⑥則是表示攻擊者可以直接對物理系統進行物理攻擊（例如破壞部分的基礎設施），雖然這種攻擊不屬于網絡攻擊，但他可以與網絡攻擊結合起來一起被攻擊者使用，這樣的物理、網絡聯合攻擊可以使攻擊者更容易成功。

7.攻擊步驟⑦表示攻擊者可以延遲或阻止監視控制設備及配置設備與控制器之間的通信，這種攻擊將使控制器無法收到或延遲收到配置設備的命令，或使監視控制設備無法獲取控制器的信息。

8.攻擊步驟⑧則通過破壞或假冒SCADA系統及配置設備進行攻擊，并向控制器發送惡意控制或更改配置信息。這類攻擊類型已經在烏克蘭電網被攻擊事件中得到了證明，攻擊者破壞了SCADA系統控制室的計算機。

網絡安全的本質是信息安全，而信息安全則包括了隱私泄露，CPSs還具有設計者未曾意料到的隱私泄露問題。CPS設備可以以前所未有的粒度收集各種人類活動的物理數據，如電力消耗、位置信息、駕駛習慣和生物傳感器數據等等，并且這種被動的信息收集方式會讓很多人不知道他們的信息正在被收集，正規企業或工廠可以通過他們收集到的信息進行分析，從而制定企業戰略或生產方式等計劃，但這些信息也將成為攻擊者的目標，攻擊者可以通過非法的手段獲取這些信息，造成用戶或企業的隱私泄露。

幾十年來，控制系統一直是關鍵基礎設施、制造業和工業工廠的核心，然而，很少有確認的明確是針對控制系統的網絡攻擊案例(這里關注的是來自惡意對手的攻擊，而不是研究人員出于說明目的而發起的攻擊)。

非針對性攻擊是指因計算機可能遭受的相同攻擊引起的事件，屬于誤傷的攻擊。例如“Slammer”蠕蟲，它不加區別地攻擊Windows服務器，但無意中感染了戴維斯-貝斯核電站，影響了工程師監控系統狀態的能力。另一個非目標攻擊的例子是在水過濾裝置中使用控制器發送垃圾郵件。

針對性的攻擊是指對手知道他們的目標是CPS，因此，根據特定CPS屬性調整攻擊策略。當前特別關注對物理世界有影響的攻擊，而重點不在用于偵察CPSs的攻擊(如Havex或BlackEnergy)。

2000年澳大利亞昆士蘭Maroochy污水處理廠內部工程師多次攻擊SCADA系統，導致三個月時間內有75萬加侖未經處理的污水流入公園、河流等場地，造成海洋生物損失、危及公共安全等后果，并造成了巨大經濟損失。這是有公開報道的第一次CPSs受到攻擊。

2010年針對伊朗Natanz核濃縮項目的Stuxnet蠕蟲病毒，該病毒攔截了可編程邏輯控制器（PLC）上的讀、寫塊的請求。通過攔截這些請求，Stuxnet能夠在PLC操作員不知情的情況下修改發送或返回給PLC的數據。Stuxnet可以將不正確的轉速發送給驅動鈾濃縮的離心機的馬達，導致離心機故障，從而需要更換。結果，離心機設備不得不定期更換，降低了Natanz工廠濃縮鈾的產量。

參考文獻：

1.加州大學圣克魯茲分校Alvaro Cardenas，《Cyber-Physical Systems Security Knowledge Area 》

2.智慧工業，《聊聊信息物理系統（CPS）》

3.《信息安全與通信保密》期刊，《工業控制系統安全事件縱覽》

來源：網絡安全應急技術國家工程實驗室