信息安全攻击的信息物理攻击建模与影响分析.docxVIP

信息安全攻击的信息物理攻击建模与影响分析 信息物理系统（cps）是一个集成信息、通信、感知和控制于物理空间的全面复杂系统。在CPS应用中, 最关注的焦点是它在电力、石油石化、核能、航空、铁路、关键制造等关系国计民生的国家关键基础设施行业中的应用, 即工业控制系统 (ICS) 。为同关键基础设施传统IT系统进行区分, 本文中将这些系统称为关键基础设施信息物理系统 (CI-CPS) 。 震网等事件已经实证了信息安全攻击能对CI-CPS产生严重的物理影响, 甚至危及国家安全。本文将这类通过信息安全攻击手段产生物理影响的新型攻击称为信息物理攻击, 这也是当前信息安全领域研究的重要方向。本文首先通过CI-CPS系统体系结构和概念示意图描述所提出的关键基础设施信息物理系统和信息物理攻击的理解, 并给出信息物理运行双环分析模型, 然后基于该模型给出信息物理攻击的建模和形式化方法。结合CI-CPS信息安全实践需求和实验研究特点, 提出告警停车时长 (ASD) 指标作为信息物理攻击影响的一个重要度量指标, 基于实际化工厂所开发的物理模型———TE (Tennessee-Eastman) 过程模型的仿真系统中进行测试、分析和评价, 以期揭示不同信息物理攻击策略和参数的不同攻击特征和影响。 1 信息攻击视角 1.1 关键基础设施信息物理系统 基于文的讨论图1给出了CI-CPS体系结构和相关概念示意图。 从图1可见, 电力、石油石化、核能、航空、铁路、关键制造等关键基础设施系统传统上分为相对独立IT系统和工业控制系统这2个部分。但随着信息技术的发展和应用, 在关键基础设施的工业控制系统中, 信息、通信、传感和控制嵌入并同物理空间相融合形成信息物理系统, 这就是本文所提出的关键基础设施信息物理系统 (CI-CPS) 。 传统上IT系统主要关注信息安全 (Security) 、工业控制系统主要关注生产安全 (Safety) 。传统信息安全 (Security) 攻击中攻击主体是黑客、有组织犯罪团体等智能主体, 攻击手段采取信息安全攻击手段, 攻击对象在信息空间中, 其影响是对信息产生机密性、完整性和可用性 (CIA) 影响;传统的生产安全 (Safety) 隐患中起因是物理设备的随机硬件故障等, 影响手段是设备老化、电磁干扰等物理空间方式, 影响对象在物理空间中, 影响后果是对造成健康、安全或环境等物理影响。而随着CI-CPS系统的形成和发展, 信息安全攻击和问题也随之嵌入到CI-CPS系统中, 并随着信息空间和物理空间的融合带来了新的影响和变化。 本文所讨论的信息物理攻击是指在CI-CPS环境中, 由黑客、有组织犯罪团体等智能主体采取信息安全攻击手段产生物理影响的攻击。 1.2 信息域和物理运行环 从信息物理攻击的概念和视角来看, 信息物理攻击就是要通过信息攻击的手段来破坏物理生产过程从而达到产生物理影响的目的。因此本文基于美国NIST SP 800-82工业控制系统安全指南中的工业控制系统运行模型提出了信息物理系统运行双环分析模型, 参见图2。 如图2所示, CI-CPS是信息域和物理域的融合系统, 它包括分别位于信息域 (cyber) 和物理域 (physical) 的2个相互关联的环组成。信息域环由运行人员 (操作员和工程师等) 、上位机、网络和控制器组成, 是一个人在环的系统。信息域环中运行人员 (操作员和工程师等) 使用上位机来监测和配置控制器中的设定点、控制算法, 调整并建立参数, 查看过程状态信息和历史数据。本文中将此环定义为信息监控环。物理域环由控制器、网络、执行器、传感器和物理系统组成, 是一个物理系统在环的系统。物理域环中控制器接收传感信号, 根据所设置的控制算法进行运算, 输出控制变量, 从而对物理系统生产过程进行控制。本文将此控制环定义为物理运行环。在这2个环中, 关注的焦点是控制变量、传感变量和控制逻辑, 正是由于这3类要素在整个CI-CPS系统中的传送、运算和实施, 形成了由信息监控环和物理运行环相互交互、相互依赖所组成的从人到物理系统的大环, 因此信息安全攻击的对象和目的也就是破坏这个大环最终产生的物理破坏和影响。从信息安全视角来看, 信息物理攻击的主要目标是通过信息攻击手段直接或间接操纵控制变量、传感变量和控制器传递函数, 从而对所控制的物理系统产生损害, 产生健康、安全或环境等物理影响。也就是说主要开展信息攻击产生物理影响的科学和工程研究。 1.3 控制变量的定义 如图2所示, 本文首先对时间变量、传感变量、控制变量、扰动变量和控制逻辑进行基本形式化, 它代表整个系统在未受外部攻击情况下的期望值。操作员和分析人员用该值建立系统是否正常运行的主观感知和判断。 定义1时间变量。令t表示时间变量。其中过程运行观测时间为从t