10.19 安全挑战

通过上节对当前复杂网络化系统安全控制研究现状的综述，可以发现大量的工作还处于探索阶段，并不能系统地解决复杂网络化系统安全问题。究其原因，主要有来自复杂网络化系统自身和网络攻击两方面的挑战。

1 . 复杂网络化系统自身特点带来的安全挑战
在深度融合通信与计算技术的背景下，复杂网络化系统既有传统工业系统控制特点，也有计算和通信技术带来的新特点，其安全控制和防御必然面临更多的挑战与困难，主要包括：

• 复杂网络化系统外部边界模糊——向互联网全面开放，3C 各层面、各层次、各环节均可能受到多源攻击。为实现生产效率提高等可持续发展目标，在新一代通信技术支撑下，复杂网络化系统已逐步面向互联网全面开放，对系统的访问不再受有限的几台关键工业路由器和交换机限制。然而，这种开放特性在大大提高系统易操作性的同时，也使系统边界变得十分模糊且难于控制，导致面向复杂网络化系统的攻击多样、多层次且排查困难。传统信息系统中面向边界的安全防御技术（如工业防火墙[82] 、白名单等）很难在复杂网络化系统中得到有效应用，复杂网络化系统中计算、通信和控制设备均有可能直接受到来自网络空间的恶意攻击。此外，由于这些设备的运算能力、能源续航能力、可扩展能力以及对实时性、稳定性、连续性、安全性等各方面的要求都不尽相同，在系统中对所有设备提供足够的设备级安全防护十分困难。这种弱防护特点使得系统在 3C 各层面、全局和局部各层次，以及局部系统内部各环节都有可能受到攻击，是近年来工业安全事件频发[5-6]的主要原因。

• 复杂网络化系统内部结构庞杂、异构——来自 3C 的大量异构设备产生安全隐患的机理不同，使湮没在海量数据中的攻击数据识别困难。在复杂网络化系统中，计算、通信和控制设备由于所执行的任务不同，往往由完全不同的软硬件构成，同时不同设备间的相互协作关系也由于系统的庞大而变得十分复杂，有时还可能动态变化，这导致对系统进行安全隐患分析变得十分困难。传统的信息系统安全技术之所以不能直接用来解决复杂网络化系统安全问题，是因为在其设计时缺乏对控制系统内的控制总线协议、软硬件特点及物理机理的深度把握，同时没有考虑 3C 耦合时相互之间产生的复杂关联关系及对安全隐患在三者之间相互转换与渗透的影响。因此，理清三者各自的安全问题及其相互之间的安全耦合关系是研究复杂网络化系统安全控制所面临的一个重大挑战。特别是，在工业生产过程伴随着海量数据的背景下，工业数据已经成为入侵者最感兴趣的攻击目标之一。这类攻击往往通过控制复杂网络化系统中防御较弱的传感设备和无线设备，将事先构造好的恶意数据注入到系统中，并利用这些数据来达到控制工业生产的目的，从而对系统造成潜在而隐蔽的危害[10] 。在缺乏对 3C 异构设备安全机理深刻理解情况下，恶意数据注入攻击很难从海量工业数据中检测出来，这是当前工业安全领域的研究难点之一，目前尚未得到根本性解决[38] 。

• 复杂网络化系统中攻击危害层次化且易传播——攻击对系统全局和局部两个层次造成的危害不同，攻击危害在 3C 耦合中可相互转化引起连锁反应。复杂网络化系统本质上是一个典型“系统的系统”(System of Systems)，由众多功能独立同时又相互影响的子系统组成，部分子系统遭到破坏并不一定导致全局系统崩溃。因此，既要有全局思想也要立足各个局部子系统，这对复杂网络化系统安全控制的设计提出了更高要求。除此之外，复杂网络化系统在看似松散的网络拓扑结构下，信息层面却高度耦合。任意环节的攻击导致 3C 设备的故障，可相互转化并引起连锁反应，安全危害能迅速在系统中蔓延。2014 年的 Havex 病毒正是利用这一特点[37] ，通过最初感染的几台含有 OPC（过程控制通信标准链接库）缺陷的电力数据采集和监控(SCADA) 设备，迅速在欧洲多个国家的电网系统内部扩散，使电网系统面临全面瘫痪的严重威胁。

2 . 网络攻击建模困难带来的安全挑战
在传统的故障诊断和容错控制中，由于考虑的是系统自身的故障，一般可以假设其符合某种先验分布或统计规律，然后通过概率论的方法（如贝叶斯推理、马尔科夫估计等）进行诊断。而网络攻击往往是由攻击者有针对性的发起，并不存在先验分布和统计规律。更为严重的是，由于攻击者可以有目的地设计其攻击策略来躲避已有的攻击检测与安全评估措施，其攻击手法和造成的危害往往非常隐蔽，很难在安全控制策略的设计初始阶段被发现。因此，针对复杂网络化系统的安全攻击具有很强的难以预测性，对其进行建模非常困难。这一挑战是复杂网络化系统安全控制研究中的一个开放性问题，现阶段极大的阻碍了该领域的研究进展。