張 超

(上海財經(jīng)大學 現(xiàn)代服務科學與技術研究中心，上海 200433； 上海財經(jīng)大學 上海市金融信息技術研究重點實驗室，上海 200433)

電力、交通、燃氣等關鍵基礎設施系統(tǒng)的正常運行，是支撐城市經(jīng)濟運轉、社會安全和居民生活的根本保障?！秶窠?jīng)濟和社會發(fā)展“十四五”規(guī)劃》明確指出要構建安全可靠的現(xiàn)代化基礎設施體系。隨著關鍵基礎設施運行自動化水平的提高和信息技術的廣泛應用，由智能監(jiān)測、通信、計算和控制等設備構成的信息系統(tǒng)對基礎設施運行的支撐作用不斷提升，基礎設施與其信息系統(tǒng)融合程度緊密，共同組成關鍵基礎設施信息物理系統(tǒng)(Cyber physical system, CPS)，如智能電網(wǎng)、智能交通、智能燃氣網(wǎng)絡等。相較于傳統(tǒng)基礎設施系統(tǒng)，關鍵基礎設施CPS信息側元素(監(jiān)測設備，數(shù)據(jù)采集系統(tǒng)、控制系統(tǒng)等)對物理側元素(發(fā)電站、地鐵站、燃氣傳輸管道等)實時監(jiān)測和動態(tài)控制，能有效識別多類風險，提高系統(tǒng)運行效率。然而，關鍵基礎設施CPS信息側安全問題也為物理側運行帶來新的威脅。近年全球多地出現(xiàn)針對關鍵基礎設施CPS的網(wǎng)絡攻擊事件，例如，2021年5月7日，美國最大的精煉油管道系統(tǒng)公司Colonial遭到勒索類網(wǎng)絡攻擊，致使公司暫停了所有的管道作業(yè)網(wǎng)絡，并關閉了一條8800多公里長的主要的燃料傳輸管道，造成美國多地燃料短缺。因事態(tài)緊急，白宮于5月9日宣布17個州和華盛頓特區(qū)進入緊急狀態(tài)，經(jīng)濟社會影響十分嚴重。這些事件中，關鍵基礎設施CPS信息側要素受到網(wǎng)絡攻擊，引發(fā)連鎖反應致使基礎設施服務長時間中斷。可見，防范網(wǎng)絡攻擊對關鍵基礎設施CPS的影響已成為保障其安全運行的關鍵。

CPS即信息物理系統(tǒng)，指深度融合計算、通信、控制能力的網(wǎng)絡化物理設備系統(tǒng)，它通過信息側要素與物理側要素的深度融合和交互影響，以安全、可靠、高效和實時的方式監(jiān)測或者控制一個大型工程系統(tǒng)。電力、交通、燃氣傳輸?shù)然A設施是CPS概念應用的重要領域。2019年至今，《促進智能電網(wǎng)發(fā)展指導意見》、《國家綜合立體交通網(wǎng)規(guī)劃綱要》、《數(shù)字交通發(fā)展規(guī)劃綱要》均提出加快基礎設施數(shù)字化、網(wǎng)絡化、智能化發(fā)展，加強關鍵基礎設施CPS建設已成為國家戰(zhàn)略。

關鍵基礎設施CPS在提升基礎設施系統(tǒng)監(jiān)測和管控效率的同時，但也帶來一些新風險。為達到破壞基礎設施運行、數(shù)據(jù)竊取、外部操控等目的，國內(nèi)外針對關鍵基礎設施CPS的網(wǎng)絡攻擊事件頻發(fā)，該類問題已引起多國政府的關注。我國工信部2017年發(fā)布的《信息物理系統(tǒng)白皮書》和2020年發(fā)布的《信息安全技術關鍵信息基礎設施網(wǎng)絡安全保護基本要求》中，均明確指出防范網(wǎng)絡攻擊是保障CPS可靠運行的關鍵。關鍵基礎設施CPS網(wǎng)絡攻擊是指通過監(jiān)控設備或信息通道，利用基礎設施信息通信網(wǎng)絡存在的漏洞和安全缺陷對系統(tǒng)本身或資源進行攻擊。網(wǎng)絡攻擊易引發(fā)關鍵基礎設施CPS信息側和物理側元素的連鎖反應，造成基礎設施服務中斷等影響，如引發(fā)停電、軌道交通停運等。2021年1月，上海發(fā)布《關于全面推進上海城市數(shù)字化轉型的意見》，指出加快建設數(shù)字和信息基礎設施建設，為電力、交通、燃氣等傳統(tǒng)關鍵基礎設施的診斷、預測、決策和交互等提供技術支撐。在此背景下，上海關鍵基礎設施CPS建設將加速，可能面臨基礎設施信息網(wǎng)絡與公共網(wǎng)絡融合程度加深、監(jiān)測傳感設備增多、信息網(wǎng)絡數(shù)據(jù)交互途徑和接入點增多、傳輸數(shù)據(jù)多元化等新的網(wǎng)絡攻擊風險來源，關鍵基礎設施CPS需防范的網(wǎng)絡攻擊類型和數(shù)量將增加。因此，提升關鍵基礎設施CPS對網(wǎng)絡攻擊的韌性已成為亟待解決的現(xiàn)實問題。

本文結合上海城市數(shù)字化轉型背景，歸納關鍵基礎設施CPS安全問題相關研究，提出關鍵基礎設施CPS安全建設對策，為保障城市關鍵基礎設施CPS安全提供決策依據(jù)。

1 關鍵基礎設施CPS安全問題相關研究

1.1 關鍵基礎設施CPS建模

何積豐院士將CPS定義為在環(huán)境感知的基礎上，深度融合了計算、通信、控制能力的可控、可信、可擴展的網(wǎng)絡化物理設備系統(tǒng)，它通過計算進程和物理進程相互影響的反饋循環(huán)實現(xiàn)深度融合和實時交互，以安全、可靠、高效和實時的方式監(jiān)測或者控制一個物理實體。相較于傳統(tǒng)基礎設施系統(tǒng)，關鍵基礎設施CPS信息側元素對物理側元素實時監(jiān)測和動態(tài)控制，能規(guī)避多種風險并降低系統(tǒng)使用成本，保障基礎設施安全和高效運行。

關鍵基礎設施CPS建模已積累一定成果，相關研究可分為兩類，一是通過數(shù)值仿真，研究基礎設施與其信息系統(tǒng)的交互影響過程；二是通過理論建模機理解析，應用網(wǎng)絡建模等方法，利用拓撲結構等指標分析關鍵基礎設施CPS信息側與物理側的耦合機理及安全穩(wěn)定問題。具體研究方面，董西松等構建城市軌道交通CPS仿真平臺和綜合評估系統(tǒng), 通過仿真實驗，對城市軌道交通在正常情況下的評估優(yōu)化和在突發(fā)事故下的應急管理進行研究。曾倬穎等建立動態(tài)鏈接庫，橋接電力系統(tǒng)物理模型和信息模型，構建電力CPS仿真模型。孫充勃等用網(wǎng)絡表示電力CPS結構，利用節(jié)點映射模型，構建電力CPS仿真平臺。郭慶來等將電力CPS表示為有向拓撲圖，通過矩陣運算表征系統(tǒng)中的信息流和能量流，結合案例對電力CPS進行安全評估。Wang等構建分層網(wǎng)絡表示交通CPS的拓撲結構，利用網(wǎng)絡流表示系統(tǒng)的運行機制。

1.2 關鍵基礎設施CPS網(wǎng)絡攻擊研究

近年關鍵基礎設施CPS網(wǎng)絡攻擊事件頻發(fā)，造成了嚴重的經(jīng)濟社會影響，典型案例包括2010年“震網(wǎng)”病毒、2015年烏克蘭大停電、2018年美國燃氣系統(tǒng)網(wǎng)絡攻擊、2019年古巴大停電、2020年以色列供水、鐵路系統(tǒng)網(wǎng)絡攻擊、2021年美國Colonial公司網(wǎng)絡攻擊勒索事件等。據(jù)統(tǒng)計，2019年10月至2020年9月，美國報道了300多起針對基礎設施CPS的網(wǎng)絡攻擊事件，數(shù)量遠高于前一年同期的250余起，電網(wǎng)、機場、隧道和煉油廠等基礎設施的信息控制系統(tǒng)是這些網(wǎng)絡攻擊的主要威脅對象。2020年，歐盟地區(qū)報道的基礎設施CPS網(wǎng)絡攻擊事件近200起，事件數(shù)量高于上一年的160余起，電力、鐵路的控制系統(tǒng)是主要被攻擊對象。西門子研究所的報告指出，2020年全球超過五成的燃氣傳輸、風能、水能和太陽能基礎設施至少經(jīng)歷了一次網(wǎng)絡攻擊，被攻擊影響的基礎設施或運行數(shù)據(jù)丟失或服務中斷。

關鍵基礎設施CPS信息側遭受網(wǎng)絡攻擊后易引發(fā)連鎖反應，導致物理側故障，致使關鍵基礎設施服務中斷。區(qū)別于傳統(tǒng)針對信息領域的網(wǎng)絡攻擊，關鍵基礎設施CPS網(wǎng)絡攻擊是指以破壞或降低系統(tǒng)功能為目的，通過監(jiān)控設備或信息通道，在未經(jīng)許可情況下對通信系統(tǒng)和控制系統(tǒng)行為進行追蹤，利用基礎設施信息通信網(wǎng)絡存在的漏洞和安全缺陷對系統(tǒng)本身或資源進行攻擊。從信息安全角度，關鍵基礎設施CPS網(wǎng)絡攻擊通過信息攻擊手段直接或間接操縱控制變量、傳感變量和控制器傳遞函數(shù)，從而對所控制的基礎設施系統(tǒng)造成損壞、服務中斷等影響，如引發(fā)停電、軌道交通停運等。

按照網(wǎng)絡安全三要素，關鍵基礎設施CPS網(wǎng)絡攻擊可分為保密性攻擊(如密碼破解、數(shù)據(jù)竊取等)、完整性攻擊(如虛假數(shù)據(jù)注入、拓撲篡改等)、可用性攻擊(如拒絕服務、延時控制等)等三類。依據(jù)攻擊渠道，網(wǎng)絡攻擊可分為監(jiān)控設備攻擊和信息通道攻擊。關鍵基礎設施CPS網(wǎng)絡攻擊建模研究多關注電力CPS，應用復雜網(wǎng)絡、攻擊圖、貝葉斯網(wǎng)絡、Petri網(wǎng)等方法，分析網(wǎng)絡攻擊下系統(tǒng)失效傳播過程。具體研究方面，Yagan等構建復雜網(wǎng)絡模型從連鎖故障規(guī)模的角度研究電力CPS遭受網(wǎng)絡攻擊后的影響，將網(wǎng)絡攻擊作用效果表示為邊斷開或者節(jié)點解列，研究發(fā)現(xiàn)蓄意攻擊電力CPS中心節(jié)點會對系統(tǒng)造成嚴重破壞。陳德成等基于通信拓撲圖構建了流傳遞路徑，利用攻擊圖量化攻擊源信息傳遞，并基于故障下最優(yōu)負荷削減策略對電力系統(tǒng)潛在后果進行定量評估。王電鋼等研究了基于虛假數(shù)據(jù)注入攻擊模型的電力CPS風險傳播機制，從攻擊對系統(tǒng)的影響程度識別系統(tǒng)的風險薄弱節(jié)點和線路。

1.3 關鍵基礎設施CPS網(wǎng)絡攻擊應對策略

關鍵基礎設施CPS網(wǎng)絡攻擊問題已引起多國政府的關注。丁達、湯奕等歸納了關鍵基礎設施CPS網(wǎng)絡攻擊問題的應對策略，分為事前和事中兩類。事前策略側重網(wǎng)絡攻擊預防，相關措施包括：第一，利用網(wǎng)絡攻擊模型，識別關鍵基礎設施CPS中易受到攻擊或受攻擊后可引發(fā)連鎖反應的重要信息要素，通過使用備份、加密、網(wǎng)絡隔離、地址管理等措施，避免這些信息要素在網(wǎng)絡攻擊中受損；第二，基于網(wǎng)絡攻擊特征和攻防博弈過程，構建虛擬信息通信線路，引導和控制攻擊者行動，避免關鍵基礎設施CPS在網(wǎng)絡攻擊中受到嚴重影響。事中策略側重網(wǎng)絡攻擊發(fā)生后的及時應對，措施包括關鍵基礎設施CPS信息側攻擊阻斷、校正控制、及時識別錯誤數(shù)據(jù)，以及物理側的資源動態(tài)調配等，及時消除網(wǎng)絡攻擊對關鍵基礎設施系統(tǒng)CPS的影響。具體研究方面，Derler等針對電力CPS虛假數(shù)據(jù)注入類網(wǎng)絡攻擊，綜合考慮決策者和攻擊者的博弈關系，構建整數(shù)規(guī)劃模型求解預算最小的防御策略。Amin等綜合運用聚類算法和故障隔離技術，研究如何避免網(wǎng)絡攻擊造成關鍵基礎設施CPS信息側和物理側存在時間差。Chorppath等建立貝葉斯博弈理論框架，研究CPS的入侵檢測問題。

2 關鍵基礎設施CPS安全建設對策

城市數(shù)字化轉型背景下，亟需提前謀劃和科學布局以保障關鍵基礎設施系統(tǒng)CPS安全，提升城市整體韌性。結合相關研究，對關鍵基礎設施CPS安全建設提出以下建議：

(1)出臺關鍵基礎設施CPS安全規(guī)劃與政策。立足我國關鍵基礎設施多由政府部門和國企負責運營管理的國情，亟需從政府層面出臺規(guī)劃和政策，明確保障關鍵基礎設施CPS安全的重要性。作為超大型城市，上海在資源、環(huán)境、公共安全等一系列領域必然遭遇超出一般邏輯的社會風險，數(shù)字化轉型過程中多要素交互極易加劇風險的復雜度，上海應率先正視基礎設施CPS安全的重要性，出臺關鍵基礎設施系統(tǒng)CPS安全規(guī)劃和政策，明確CPS安全風險來源、評估目標、關鍵措施、提升方向等，支持建立全面有效的關鍵基礎設施CPS安全保障策略。

(2)明晰新形勢下的網(wǎng)絡攻擊的風險來源及特征。病毒軟件等網(wǎng)絡攻擊入侵關鍵基礎設施CPS的方式包括通過移動存儲介質入侵、通過辦公網(wǎng)和生產(chǎn)網(wǎng)等邊界入侵、通過工控機等為跳板在內(nèi)部網(wǎng)絡傳播等。電力、交通、燃氣等關鍵基礎設施CPS的業(yè)務和運行機制不同，需防范的網(wǎng)絡攻擊風險也存在差異。結合業(yè)務需求和網(wǎng)絡攻擊案例，明晰新形勢下各類關鍵基礎設施CPS需防范的網(wǎng)絡攻擊風險來源及特征，才能采取針對性的邊界防護及終端防護策略。

(3)鼓勵關鍵基礎設施CPS相關安全軟硬件技術研發(fā)創(chuàng)新。區(qū)別于一般信息系統(tǒng)的安全軟件，基礎設施信息控制系統(tǒng)的安全軟件需結合系統(tǒng)特征針對性設計，才能保障關鍵基礎設施CPS對網(wǎng)絡攻擊的安全。目前，關鍵基礎設施信息控制系統(tǒng)和運營技術網(wǎng)絡多使用全球化的商用硬件和軟件技術，部分公開技術易受到各類網(wǎng)絡攻擊。自主研發(fā)的軟件和硬件對保障關鍵基礎設施CPS安全十分重要。政府應鼓勵關鍵基礎設施信息控制系統(tǒng)相關數(shù)據(jù)庫、智能電子設備、監(jiān)測設備、數(shù)據(jù)同步設備、實時優(yōu)化設備等核心技術的國產(chǎn)化創(chuàng)新，從身份認證和密碼認證設計等方面提升設備的安全性，避免較多依賴國外技術而帶來的風險。同時，針對電力、燃氣、交通等基礎設施信息控制系統(tǒng)和運營技術網(wǎng)絡的個性化特征，開發(fā)與各類基礎設施需求相匹配的安全防護軟件。

(4)保障網(wǎng)絡攻擊防護策略的有效性以及日志的可追溯性。為避免網(wǎng)絡攻擊通過辦公網(wǎng)和生產(chǎn)網(wǎng)入侵，關鍵基礎設施CPS中的信息設備防護策略需與現(xiàn)場實際業(yè)務相關聯(lián)，能夠定期對現(xiàn)場網(wǎng)絡安全漏洞、威脅進行一體化篩查以及防護，對相關協(xié)議進行深度解析。加強網(wǎng)絡安全配置提高安全基線，對關鍵基礎設施CPS各業(yè)務點的訪問關系進行細顆粒審計及管控，降低網(wǎng)絡攻擊橫向移動的風險。通過制定黑名單和白名單，實現(xiàn)面向業(yè)務的安全防護可視化和日志的可追溯。

(5)提升管理人員的網(wǎng)絡攻擊防范意識。由案例可見，針對關鍵基礎設施CPS的網(wǎng)絡攻擊多通過管理人員進入核心業(yè)務系統(tǒng)。因此，需從多方面提升管理人員的風險防范意識。結合攻擊入侵來源，防范措施包括：提供單點登錄以及安全態(tài)勢感知的方案，對系統(tǒng)核心區(qū)域以及安全態(tài)勢進行統(tǒng)一運維管理；避免點擊來源不明的郵件，以及從不明網(wǎng)站下載軟件；采用高強度密碼，杜絕弱口令；定期備份重要資料，使用單獨的文件服務器對備份文件進行隔離存儲；關閉系統(tǒng)中不必要的文件共享，禁用對共享文件夾的匿名訪問等。

(6)建立關鍵基礎設施運營部門協(xié)同應對機制。電力、交通、燃氣傳輸?shù)然A設施在多方面存在關聯(lián)依賴、耦合集成。一類基礎設施在某一方面或區(qū)域的失效都可能影響其他類基礎設施的運行，產(chǎn)生級聯(lián)失效而導致多類基礎設施大面積癱瘓。網(wǎng)絡攻擊下，基礎設施關聯(lián)依賴極易擴大事件的影響。例如，2016年網(wǎng)絡攻擊導致的烏克蘭停電事件中，停電致使相關地區(qū)交通癱瘓，燃氣、石油運輸中斷，機場關閉。為避免關鍵基礎設施關聯(lián)關系放大網(wǎng)絡攻擊的影響，不同基礎設施運用部門間需建立高效的信息溝通機制和系統(tǒng)應對程序。技術上，可從數(shù)據(jù)、控制、通信耦合集成的角度，開發(fā)關鍵基礎設施服務互動平臺。當有基礎設施因網(wǎng)絡攻擊而服務輸出中斷時，及時通知其他基礎設施運營部門做好針對性應急處置。