保護(hù)CPS的第一步是識(shí)別這些系統(tǒng)可能存在的風(fēng)險(xiǎn)，然后確定如何通過(guò)深度防御方法解決這些風(fēng)險(xiǎn)的優(yōu)先級(jí)。風(fēng)險(xiǎn)評(píng)估包括識(shí)別CPS中的資產(chǎn)[74]，了解其安全風(fēng)險(xiǎn)，并實(shí)施對(duì)策以將風(fēng)險(xiǎn)降低到可接受的水平[13，75，76，77，78].滲透測(cè)試可能是了解系統(tǒng)風(fēng)險(xiǎn)級(jí)別的最常見(jiàn)方法，可用于設(shè)計(jì)漏洞管理和修補(bǔ)策略。供應(yīng)鏈也是另一個(gè)風(fēng)險(xiǎn)因素，在風(fēng)險(xiǎn)管理與治理CyBOK知識(shí)領(lǐng)域[79]中進(jìn)一步討論。

CPS中的一個(gè)新領(lǐng)域是識(shí)別執(zhí)行器或傳感器，如果它們受到損害，它們?yōu)楣粽咛峁〤PS的最大可控性[80，30，81，82，83]，然后優(yōu)先保護(hù)這些設(shè)備。

識(shí)別風(fēng)險(xiǎn)后，一般的縱深防御方法包括預(yù)防、檢測(cè)和緩解機(jī)制。在本節(jié)中，我們將介紹用于防止、檢測(cè)和緩解攻擊的跨領(lǐng)域安全工作，下一節(jié)將介紹特定的CPS域，例如電網(wǎng)以及智能交通系統(tǒng)。本節(jié)分為三個(gè)部分：（1）防止攻擊（第2.1節(jié)），（2）檢測(cè)攻擊（第2.2節(jié)）和（3）緩解攻擊（第2.3節(jié)）。

2.1 防止攻擊

保護(hù)第一個(gè)基于計(jì)算機(jī)的控制系統(tǒng)的經(jīng)典方法是將它們與互聯(lián)網(wǎng)和資產(chǎn)所有者的公司網(wǎng)絡(luò)隔離。隨著業(yè)務(wù)實(shí)踐的變化，以及效率原因使控制系統(tǒng)與其他信息技術(shù)網(wǎng)絡(luò)之間的互連越來(lái)越多，子網(wǎng)絡(luò)區(qū)域隔離的概念被幾個(gè)CPS行業(yè)采用，尤其是在核能領(lǐng)域。能源部門(mén)。這種網(wǎng)絡(luò)隔離通常是在防火墻和數(shù)據(jù)二極管的幫助下實(shí)現(xiàn)的[84]。

另一方面，有幾種方法可以打破氣隙，包括內(nèi)部攻擊，或通過(guò)移動(dòng)設(shè)備向網(wǎng)絡(luò)添加新連接。因此，為了防止現(xiàn)代CPS中的攻擊，設(shè)計(jì)人員和開(kāi)發(fā)人員必須遵循與傳統(tǒng)IT系統(tǒng)相同的最佳安全實(shí)踐;即，他們需要遵循一個(gè)安全的開(kāi)發(fā)生命周期，以最大限度地減少軟件漏洞，實(shí)施訪問(wèn)控制機(jī)制，并提供強(qiáng)大的加密保護(hù)以及安全密鑰管理系統(tǒng)[85]。

雖然經(jīng)典IT系統(tǒng)的最佳安全實(shí)踐可以為控制系統(tǒng)的安全性提供必要的機(jī)制，但僅靠這些機(jī)制不足以進(jìn)行深入防御。的CPS。在本節(jié)中，我們將討論如何通過(guò)了解CPS系統(tǒng)與物理世界的相互作用，我們應(yīng)該能夠

1. 更好地了解攻擊的后果。

2. 設(shè)計(jì)新穎的攻擊檢測(cè)算法。

3. 設(shè)計(jì)新的攻擊彈性算法和架構(gòu)。

在本小節(jié)的其余部分，我們將重點(diǎn)說(shuō)明在CPS中實(shí)施經(jīng)典IT安全最佳實(shí)踐所面臨的挑戰(zhàn)，包括多個(gè)CPS由遺留系統(tǒng)組成，由嵌入式設(shè)備操作資源有限，并面臨模擬攻擊等新漏洞。

保護(hù)遺留系統(tǒng)：CPS設(shè)備的生命周期可能比常規(guī)計(jì)算服務(wù)器、臺(tái)式機(jī)或移動(dòng)系統(tǒng)大一個(gè)數(shù)量級(jí)。消費(fèi)者希望他們的汽車(chē)比筆記本電腦使用壽命更長(zhǎng)，醫(yī)院希望醫(yī)療設(shè)備可以使用十年以上，大多數(shù)工業(yè)控制系統(tǒng)的資產(chǎn)至少可以使用25年[86]，并且這些設(shè)備中的大多數(shù)在完全折舊之前不會(huì)更換。其中一些設(shè)備的設(shè)計(jì)和部署假設(shè)不再存在的受信任環(huán)境。此外，即使這些設(shè)備當(dāng)時(shí)部署了安全機(jī)制，最終也會(huì)出現(xiàn)新的漏洞，如果制造商不再支持這些設(shè)備，然后它們不會(huì)被修補(bǔ)。例如，在發(fā)現(xiàn)Heartbleed漏洞后，主要制造商推動(dòng)更新以緩解此問(wèn)題;但是大多數(shù)監(jiān)視或控制物理世界的嵌入式設(shè)備不會(huì)被修補(bǔ)（修補(bǔ)一些安全關(guān)鍵系統(tǒng)甚至可能違反其安全認(rèn)證）。因此，即使供應(yīng)商最初使用OpenSSL在CPS設(shè)備之間創(chuàng)建安全通信通道，他們也需要考慮長(zhǎng)期支持該設(shè)備。

因此，為了防止CPS中的攻擊，我們必須處理（1）設(shè)計(jì)可以不斷更新安全性的系統(tǒng)，以及（2）為現(xiàn)有的遺留系統(tǒng)改造安全解決方案[87]。

某些設(shè)備無(wú)法使用這些新的安全標(biāo)準(zhǔn)進(jìn)行更新，因此為傳統(tǒng)網(wǎng)絡(luò)增加安全性的一種流行方法是添加在線碰撞[88]。通常，線路碰撞是一種網(wǎng)絡(luò)設(shè)備，用于為舊設(shè)備之間交換的網(wǎng)絡(luò)數(shù)據(jù)包添加完整性、身份驗(yàn)證和機(jī)密性。因此，傳統(tǒng)設(shè)備發(fā)送未加密和未經(jīng)身份驗(yàn)證的數(shù)據(jù)包，網(wǎng)絡(luò)設(shè)備將通過(guò)安全通道將它們隧道傳輸?shù)酵ㄐ磐ǖ懒硪欢说牧硪粋€(gè)在線碰撞系統(tǒng)，然后刪除安全保護(hù)并將不安全的數(shù)據(jù)包提供給最終目的地。請(qǐng)注意，線路碰撞只能保護(hù)系統(tǒng)免受網(wǎng)絡(luò)上不受信任方的侵害，但如果端點(diǎn)受到損害，則線路碰撞將無(wú)效。

對(duì)于植入式醫(yī)療設(shè)備等無(wú)線設(shè)備，也提出了類(lèi)似的概念。由于其中一些無(wú)線設(shè)備通過(guò)不安全的通道進(jìn)行通信，因此攻擊者可以偵聽(tīng)或注入惡意數(shù)據(jù)包。為了防止這種情況，可以在易受攻擊的設(shè)備附近使用無(wú)線屏蔽[89]。無(wú)線防護(hù)板將干擾與易受攻擊設(shè)備的任何通信嘗試，但來(lái)自防護(hù)板所有者授權(quán)的設(shè)備除外。無(wú)線屏蔽也被用于其他領(lǐng)域，例如保護(hù)使用BLE設(shè)備的消費(fèi)者的隱私[90]。由于其破壞性，目前尚不清楚無(wú)線屏蔽是否會(huì)在消費(fèi)類(lèi)應(yīng)用中找到實(shí)際應(yīng)用。

輕量級(jí)安全性：雖然一些嵌入式設(shè)備支持經(jīng)典加密，但對(duì)于某些設(shè)備，加密算法在能耗或延遲方面的性能可能不被接受[91]。對(duì)于對(duì)稱(chēng)密碼學(xué)，NIST計(jì)劃對(duì)輕量級(jí)加密算法組合進(jìn)行標(biāo)準(zhǔn)化[92]，而當(dāng)前CAESAR對(duì)認(rèn)證加密標(biāo)準(zhǔn)的競(jìng)爭(zhēng)正在評(píng)估其在資源受限設(shè)備中提交的性能[93]。對(duì)于公鑰算法，橢圓曲線加密通常提供性能和安全保證的最佳平衡，但根據(jù)系統(tǒng)的要求，其他輕量級(jí)公鑰算法可能更合適[94]。在漏洞利用緩解方面，解決方案不太清楚。