网络物理系统安全之​CPS域之工业控制系统

CPS域 

在介绍了保护CPS的一般原则之后，在本节中，我们将讨论CPS的特定域安全问题。我们特别关注工业控制系统、电网、运输系统、车辆、机器人、医疗设备和消费物联网。

3.1 工业控制系统

工业控制系统代表了连接到物理世界的各种网络信息技术系统[157]。根据应用的不同，这些控制系统在化学工业中也称为过程控制系统（PCS），如果用于监督和控制的设备是使用整体架构采购的，则称为分布式控制系统（DCS）。

控制系统通常由一组网络代理组成，由传感器、执行器、控制处理单元（如可编程逻辑控制器（PLC）、远程终端单元（RTU）和通信设备组成。例如，石油和天然气行业使用集成控制系统来管理工厂现场的炼油操作，远程监控天然气管道的压力和流量，并控制天然气输送的流量和路径。自来水公司可以远程监控井位并控制水井的泵;监测储罐中的流量、储罐液位或压力;监测pH值、浊度和氯残留量;并控制向水中添加化学物质。

控制系统具有分层层次结构[1]，可用于网络分段并确保访问控制。图5显示了此层次结构的较低层的图示。

顶层主要使用传统的信息技术：计算机、操作系统和相关软件。他们控制业务物流系统，该系统管理基本的工厂生产计划、材料使用、运输和库存水平，以及工厂绩效，并保留数据历史记录以进行数据驱动的分析（例如，预测性维护）。

监控层是监控和数据采集（SCADA）系统和其他服务器与可编程逻辑控制器（PLC）和远程终端单元（RTU）等远程控制设备通信的地方).控制室中的服务器与这些控制设备之间的通信是通过监督控制网络（SCN）完成的。

监管控制在下层完成，涉及现场仪表，例如传感器（温度计、转速计等）和执行器（泵、阀门等）。虽然传统上这种接口是模拟的（例如，4-20毫安），但传感器和执行器数量的增加以及它们增加的智能和功能，已经产生了新的现场通信网络（FCN），其中PLC和其他类型的控制器与远程输入/输出盒连接，或直接与传感器和执行器连接，使用新的基于以太网的工业协议（如ENIP和PROFINET）以及无线网络（如WirelessHART）。还提出了几种环形拓扑来避免这些网络的单点故障，例如在ENIP上使用设备级环网（DLR）。

SCN和FCN网络代表运营技术（OT）网络，它们具有不同的通信要求和不同的工业网络协议。虽然SCN可以容忍高达几秒钟的延迟，但FCN通常需要一个数量级的较低通信延迟，通常支持周期为400us的设备之间的通信。

入侵检测是保护控制系统的热门研究课题，这包括使用适用于工业协议的网络安全监视器[107，109，158，110，111，159，112]，以及基于物理的异常检测[30，114，116，160，113，161]。我们监控系统物理的层可以对可以检测到的攻击类型产生重大影响[162]。

特别是，攻击者可以从（1）SCADA服务器[163]破坏并发起攻击，(2)控制器/PLC[164]、（3）传感器[29]和（4）执行器[165]，这些攻击中的每一个都可以在系统的不同层观察到。

工业控制系统的网络安全监控工作大部分已在SCN部署了网络入侵检测系统。但是，如果异常检测系统仅部署在监控网络中，则受损的PLC可以将操纵的数据发送到现场网络，同时假装向监督控制网络报告一切正常。在Stuxnet攻击中，攻击者破坏了PLC（西门子315）并发送了操纵控制信号ua（与原始信号不同，u，即ua u）。收到ua后，变频器周期性增加和转子速度降低，远高于和低于其预期运行水平。当变频器y的状态随后被继电器回PLC时，受到损害的PLC向控制中心报告了一个操纵值yay（声称设备是正常运行）。对西门子417控制器[164]进行了类似的攻击，攻击者在PLC上捕获了21秒的有效传感器变量，然后连续重放它们。在攻击期间，确保通过SCN发送到SCADA监视器的数据看起来正常[164]。Giraldo等人对各种ICS攻击（控制器，传感器或执行器攻击）的可检测性进行了系统研究。[162]，最终建议是在现场网络以及监控网络以及控制的不同回路中部署系统监视器系统。

除了攻击检测，防止系统达到不安全状态也是一个活跃的研究领域[39，166，167，168，169]。基本思想是确定控制动作可能导致系统出现问题，因此参考监视器将阻止该控制信号到达物理系统。其他研究领域包括遗留系统中的安全性改造[170，87]和工业控制设备中的恶意软件[171，172]。Krotofil和Gollmann对ICS安全研究进行了简要调查[173]，对ICS安全领域最新实践的回顾包括Knowles等人的工作。[174，78]。

研究工业控制系统的一个问题是平台的多样性，包括设备（不同制造商使用不同技术）和应用（水、化学系统、石油和天然气等）的多样性。因此，该领域的一大挑战是结果的可重复性和工业控制测试台的通用性[175]。