本文为仪综所安全一体化技术分享系列文章第2篇，预计共四篇，第1篇见【技术分享】信息物理生产系统（CPPS）面临的安全挑战与解决思路。

摘  要

针对信息物理生产系统（Cyber-Physical Production System，CPPS）面临的安全挑战，本文以功能安全理论和工业信息安全理论为基础，结合CPPS的架构层级和风险演化规律，阐述了CPPS安全一体化的概念内涵和特征、两种跨域传播风险的相同点和不同点，并分析了安全一体化技术框架的要点，以期为研究者开展安全一体化领域的共性方法、关键技术研究提供有益参考。

1. CPPS视角的安全一体化概念

根据文献[1]可知，安全一体化是贯穿于CPPS全生命周期的一种新技术体系，其目标是系统识别CPPS面临的危险，进而建立高可信的两安协同防护系统，将风险控制在可容忍的范围之内。安全一体化主要关注以下问题：

（1）危险源或攻击面是什么样的？在CPPS的物理空间，辨识物理设备的硬件失效、人员误操作等危险源；在CPPS的信息空间，分析攻击面，识别可能被攻击的系统组件、通信网络和物理设备，并评估攻击者可能利用的入口点和攻击路径。

（2）攻击效应是什么样的？关注危险源或攻击面对CPPS的实际效应，评估可能导致的服务中断、数据泄露、系统损坏、物理设备破坏等后果。

（3）防护措施该如何设计？设计和实施适当的安全控制和防护措施，选择合适的网络安全、物理安全、身份认证、访问控制、安全仪表功能等措施，以抵御潜在攻击和减轻攻击风险。

（4）安全功能如何验证？依据场景设计不同风险路径的测试用例，测试安全功能的及时性、有效性和协同性，评估系统的安全性并提升响应能力。

（5）安全状态如何监测？安全监测和响应是指对CPPS进行实时态势感知和应急响应，以识别和处置潜在的安全威胁和攻击，控制物理空间运行事故的风险蔓延。CPPS通常由物理组件、网络和软件组成，涉及到物理过程的控制和信息处理，因此其安全监测和响应需要综合考虑物理空间和信息安全两个方面，具体包括网络安全监测、物理安全监测、安全事件日志和设计、威胁情报和漏洞管理、快速应急响应和恢复、应急演练等。

2. CPPS视角的安全一体化特征

（1）安全一体化理论强调将信息空间和物理空间视为一个整体来考虑安全问题，突出了信息系统和物理系统之间的相互依赖性和交互作用，因此需要综合考虑CPPS信息空间和物理空间的安全性[2]。

（2）安全一体化理论提倡多层次的安全防御策略，包括生产装备/工艺、网络设施、数据保护等多个层次。通过在不同层次上应用适当的安全措施和技术，形成安全防御的多重屏障。

（3）安全一体化理论强调风险管理和治理的重要性。鼓励制定风险管理计划、灾备与恢复计划、协同合作与信息共享等，以应对CPPS威胁和风险。

从信息空间到物理空间的攻击风险分析强调了信息安全对功能安全、甚至物理安全的影响关系。通过评估、监测和防范网络攻击对物理装置的可能影响，可以提高对潜在风险的认识，并采取相应的安全措施来保护基础设施、系统和人员安全。这需要综合应用信息安全和功能安全、物理安全等领域的知识和技术，建立跨领域的合作和应对机制。

3. CPPS视角的风险演化

CPPS视角的风险演化分析进一步强调将信息空间和物理空间视为一个整体来考虑风险的发生、演变和控制，本质上是分析跨域风险的传播规律与管控策略，为CPPS安全需求分析提供关键信息，而安全需求分析则将这些信息转化为系统设计和实施的具体指导。

根据文献[3]，风险分析聚焦三种类型的跨域风险：①由耦合域演变至物理域（以下表示为“耦合域→物理域”）的传播风险（称之为Ⅰ型风险）；②由信息域演变至耦合域，再演变至物理域（以下表示为“信息域→耦合域→物理域”）的传播风险（称之为Ⅱ型风险）；③由物理域内的硬件失效或人员误操作引起的系统风险，该风险可以通过功能安全评估技术实现合理管控（称之为Ⅲ型风险）[4]。三种类型的风险演化路径如图1所示。Ⅲ型风险的评估与管控技术已经非常成熟，本文不再讨论此类风险。Ⅰ型和Ⅱ型风险在一定程度上是相似的，但它们也有明显的不同点。相同点和不同点描述如下：

图1 CPPS中三类风险的演化路径

3.1 Ⅰ型和Ⅱ型风险的相同点

（1）Ⅰ型风险和Ⅱ型风险的传播途径最终是以影响物理域内工艺、设备设施的运行风险为落脚点，因此，两者重点关注物理组件和设备是如何受到潜在威胁的影响。

（2）无论Ⅰ型风险还是Ⅱ型风险，均是由信息空间的风险诱发了物理空间的风险，因此，两者均关注如何识别和管理跨域风险的传播途径，以便在信息技术和物理系统之间建立协同的安全措施。

（3）Ⅰ型和Ⅱ型风险波及资产众多，改变了现有功能安全、信息安全、物理安全强调局部安全的思路，它们都强调整个系统安全以及系统交互的安全性，以确保实现整体安全。

3.2 Ⅰ型和Ⅱ型风险的不同点

（1）Ⅲ型风险的诱因主要包括物理域的硬件失效或人员误操作行为，更关注物理域内部的相互依赖和影响，如系统内部设备、组件、控制策略等方面的风险；Ⅰ型和Ⅱ型风险的诱因主要涉及信息技术和通信领域，如软件漏洞、恶意代码等。

（2）Ⅰ型和Ⅱ型风险通常具有迅速传播、难以预测和不易检测的特点；Ⅲ型风险则表现为组件之间的相互作用和以物理为基础的设备故障，具有逐步发展和累积影响的特点。

（3）Ⅰ型和Ⅱ型风险的传播路径较长，波及资产众多，可能同时在信息空间与物理空间产生多维影响，如大规模数据泄露、系统完整性受损、生产安全事故等；Ⅲ型风险往往会在物理空间产生影响，如设备失效、系统性能下降等。

（4）Ⅲ型风险需要关注基本过程监视和控制系统、操作员监视、报警响应、机械减轻系统、仪表安全控制/减轻系统等方面的预防性、探测性或缓解性措施。Ⅰ型和Ⅱ型风险不仅要考虑Ⅲ型风险所涉及到的安全措施，还需要考虑信息安全方面的措施。

CPPS面临的三种类型风险各有特点，因此，安全一体化机制需要在设计、开发、部署、验证、运行和维护阶段需要综合考虑风险来源、特征、影响及防范策略，统筹安全工程的整体布局，确保CPPS安全可靠运行。

3.3  分析要点

（1）针对Ⅰ型和Ⅱ型风险，应识别和分析可能存在的威胁和漏洞；针对Ⅲ型风险，应分析物理域内的设备潜在失效或人员误操作行为。

（2）应识别信息域、耦合域和物理域之间的交互依赖关系；针对Ⅰ型和Ⅱ型风险，需分析信息域或耦合域内网络攻击风险传播至物理域的潜在路径。针对Ⅲ型风险，需分析硬件失效或人员误操作引起运行事故的潜在路径。

（3）在风险演化分析中，应考虑攻击漏洞的难易度、制造威胁并最终导致生产事故的技术难度、危险源的发生可能性、后果严重度等指标，实现对风险传播路径的半定量分析。注意：Ⅰ型、Ⅱ型和Ⅲ型风险的传播路径具有不同难易度的可行性，其中Ⅰ型风险的传播路径最长，突破的安全措施最多，能够成功作用于物理域的难度也最大。

（4）根据评估结果，制定风险治理和控制策略，包括信息安全措施、功能安全措施、物理安全措施等。在该阶段，应注意信息安全措施和功能安全措施的协同性。

4. 安全一体化的技术要点

CPPS的安全一体化机制需要在设计、验证、运行和维护的各个阶段中综合考虑。通过在设计开发阶段确定安全一体化需求和制定防御防护策略，验证阶段实施多类型的安全测试，运行阶段实施信息安全与功能安全的监测和响应，维护阶段进行持续监控与改进，可以有效提高CPPS安全性，并防止系统受到潜在威胁的侵害，安全一体化的技术要点如图2所示。

图2  安全一体化的技术框架

在设计阶段，将Ⅰ型、Ⅱ型和Ⅲ型风险演化路径纳入CPPS安全需求分析的考虑范围。在CPPS设计阶段，评估人员需要对信息域或耦合域的潜在网络攻击和物理域的物理破防风险进行综合分析，并确定安全一体化设计需求，包括信息安全防护设计需求、功能安全系统设计需求。如，实施用户身份认证和授权机制，确保只有经过授权的用户和设备能够访问控制层功能和资源。实施物理访问控制措施，限制未经授权的人员或设备对物理设备设施的访问。在进行安全一体化风险分析时，可以采用改进的危险与可操作性分析法、保护层分析法等。此外，当信息安全需求与功能安全需求存在冲突关系时，应进行权衡和折中。为了处理两者之间的潜在冲突，需要利用如故障树、事件树和故障模式与影响分析等技术，从风险角度评估功能安全和信息安全的关联影响，进而依据设计原则，如最小权限原则、纵深防御等，以最小化风险进而减少设计上的冲突，保证两者的兼容性。

在验证阶段，需要评估CPPS安全性能和防御能力，验证安全一体化机制是否足够可靠。在文献[1]中，作者已经阐述了新形势下传统危险源有关的安全挑战以及新技术和新产品导致的不可接受风险。在此情形下，针对开发完成或部署完成的安全措施，应根据测试环境（包括仿真环境或现场环境）和条件，依据风险特点设计相适应的测试用例。从风险特点看，需要设计Ⅰ型、Ⅱ型和Ⅲ型风险的测试用例，进而开展功能安全测试、信息安全测试、功能安全与信息安全系统设计测试。需要注意的是，CPPS涉及到了智能感知、分析、控制和决策等人工智能相关的新技术应用，这些不确定性因素增加了CPPS安全功能的不确定性（如：安全功能在相近条件下表现出不同的行为和性能），这又增加了测试用例设计的挑战。因此，需要对CPPS安全一体化系统在各种可能的情况进行全面测试。测试用例的设计需要考虑到不确定性因素，以覆盖潜在的风险和故障。从测试环境选取看，应综合使用现场环境测试和仿真环境测试，以充分评估安全一体化系统在不同测试用例下的性能和功能。在进行现场测试之前，可以使用仿真环境测试来进行先验先测。仿真环境测试可以通过虚拟模型和仿真工具模拟不同的跨域演化情况，逐步评估安全一体化系统在多个不确定性因素下的表现。仿真环境测试具有灵活性，可以重复执行和控制测试条件，以充分覆盖系统可能面对的各种情况和风险。

在运行阶段，需要继续监控安全一体化系统的性能。在信息空间，建立网络流量监控系统、入侵检测系统、安全事件响应等信息安全措施，以及时识别和应对潜在的安全事件。在物理空间，实现智能安全管理，实现物理装置安全生产数据实时采集、安全仪表功能完整性监测、动态风险感知、动态智能保护层分析等功能。同时，还需要建立应急响应团队，并制定相应的应急响应计划，能够迅速应对网络物理攻击事件。

在维护阶段，CPPS安全一体化系统需要进行持续监控与改进。通过对CPPS进行定期安全评估，发现风险点并部署新的安全措施。同时，还需要跟踪漏洞公告和安全补丁，确保系统始终处于最新的安全状态。此外，也需要对安全仪表功能进行定期的功能测试，发现组件故障，保证安全仪表功能在需要时能够及时启动。对于功能安全与信息安全协同机制，应根据行业最佳实践或标准规范，更新协同设计的策略。

5. 结语

CPPS发展促进了信息空间与物理空间的深度融合，同时也来了一种新型风险：网络物理攻击风险，这对CPPS安全一体化防护提出了新要求。已有的功能安全技术和信息安全技术是相互割裂的，不能较好地适用于Ⅰ型和Ⅱ型风险的评估与管控。鉴于此，本文基于信息物理生产系统CPPS面临的安全挑战与解决思路，提出了CPPS视角的安全一体化技术框架，首先阐述了安全一体化的概念和特征，其次重点介绍了安全一体化评估领域的两类跨域风险，最后从设计、验证、运行和维护等阶段分析了CPPS安全一体化的技术要点，以期为CPPS综合安全管理与治理提供参考依据。

作者：张鑫，李天佑，刘瑶，王麟琨

参考文献

[1] 刘瑶、张鑫、王麟琨. 信息物理生产系统CPPS面临的安全挑战与解决思路[J]. 中国仪器仪表, 2024(02): 100-105.

[2] Brunner M, Huber M, Sauerwein C, et al. Towards an Integrated Model for Safety and Security Requirements of Cyber-Physical Systems [C]//2017 IEEE International Conference on Software Quality, Reliability and Security Companion (QRS-C). IEEE, 2017. DOI:10.1109/QRS-C.2017.63.

[3] Carreras Guzman N H, Wied M, Kozine I,et al. Conceptualizing the key features of cyber‐physical systems in a multi‐layered representation for safety and security analysis [J]. Systems Engineering, 2020. DOI:info:doi/10.1002/sys.21509.

[4] B, Nelson H. Carreras Guzman A, I. K. A, and M. A. L. C. "An integrated safety and security analysis for cyber-physical harm scenarios." Safety Science 144. DOI:10.1016/j.ssci.2021.105458.

[5] Kriaa S, Pietre-Cambacedes L, Bouissou M, et al. A survey of approaches combining safety and security for industrial control systems[J]. Reliability Engineering & System Safety, 2015, 139: 156-178. DOI:10.1016/j.ress.2015.02.008.

来源：机械工业仪器仪表综合技术经济研究所