张 超

(上海财经大学 现代服务科学与技术研究中心，上海 200433； 上海财经大学 上海市金融信息技术研究重点实验室，上海 200433)

电力、交通、燃气等关键基础设施系统的正常运行，是支撑城市经济运转、社会安全和居民生活的根本保障。《国民经济和社会发展“十四五”规划》明确指出要构建安全可靠的现代化基础设施体系。随着关键基础设施运行自动化水平的提高和信息技术的广泛应用，由智能监测、通信、计算和控制等设备构成的信息系统对基础设施运行的支撑作用不断提升，基础设施与其信息系统融合程度紧密，共同组成关键基础设施信息物理系统(Cyber physical system, CPS)，如智能电网、智能交通、智能燃气网络等。相较于传统基础设施系统，关键基础设施CPS信息侧元素(监测设备，数据采集系统、控制系统等)对物理侧元素(发电站、地铁站、燃气传输管道等)实时监测和动态控制，能有效识别多类风险，提高系统运行效率。然而，关键基础设施CPS信息侧安全问题也为物理侧运行带来新的威胁。近年全球多地出现针对关键基础设施CPS的网络攻击事件，例如，2021年5月7日，美国最大的精炼油管道系统公司Colonial遭到勒索类网络攻击，致使公司暂停了所有的管道作业网络，并关闭了一条8800多公里长的主要的燃料传输管道，造成美国多地燃料短缺。因事态紧急，白宫于5月9日宣布17个州和华盛顿特区进入紧急状态，经济社会影响十分严重。这些事件中，关键基础设施CPS信息侧要素受到网络攻击，引发连锁反应致使基础设施服务长时间中断。可见，防范网络攻击对关键基础设施CPS的影响已成为保障其安全运行的关键。

CPS即信息物理系统，指深度融合计算、通信、控制能力的网络化物理设备系统，它通过信息侧要素与物理侧要素的深度融合和交互影响，以安全、可靠、高效和实时的方式监测或者控制一个大型工程系统。电力、交通、燃气传输等基础设施是CPS概念应用的重要领域。2019年至今，《促进智能电网发展指导意见》、《国家综合立体交通网规划纲要》、《数字交通发展规划纲要》均提出加快基础设施数字化、网络化、智能化发展，加强关键基础设施CPS建设已成为国家战略。

关键基础设施CPS在提升基础设施系统监测和管控效率的同时，但也带来一些新风险。为达到破坏基础设施运行、数据窃取、外部操控等目的，国内外针对关键基础设施CPS的网络攻击事件频发，该类问题已引起多国政府的关注。我国工信部2017年发布的《信息物理系统白皮书》和2020年发布的《信息安全技术关键信息基础设施网络安全保护基本要求》中，均明确指出防范网络攻击是保障CPS可靠运行的关键。关键基础设施CPS网络攻击是指通过监控设备或信息通道，利用基础设施信息通信网络存在的漏洞和安全缺陷对系统本身或资源进行攻击。网络攻击易引发关键基础设施CPS信息侧和物理侧元素的连锁反应，造成基础设施服务中断等影响，如引发停电、轨道交通停运等。2021年1月，上海发布《关于全面推进上海城市数字化转型的意见》，指出加快建设数字和信息基础设施建设，为电力、交通、燃气等传统关键基础设施的诊断、预测、决策和交互等提供技术支撑。在此背景下，上海关键基础设施CPS建设将加速，可能面临基础设施信息网络与公共网络融合程度加深、监测传感设备增多、信息网络数据交互途径和接入点增多、传输数据多元化等新的网络攻击风险来源，关键基础设施CPS需防范的网络攻击类型和数量将增加。因此，提升关键基础设施CPS对网络攻击的韧性已成为亟待解决的现实问题。

本文结合上海城市数字化转型背景，归纳关键基础设施CPS安全问题相关研究，提出关键基础设施CPS安全建设对策，为保障城市关键基础设施CPS安全提供决策依据。

1 关键基础设施CPS安全问题相关研究

1.1 关键基础设施CPS建模

何积丰院士将CPS定义为在环境感知的基础上，深度融合了计算、通信、控制能力的可控、可信、可扩展的网络化物理设备系统，它通过计算进程和物理进程相互影响的反馈循环实现深度融合和实时交互，以安全、可靠、高效和实时的方式监测或者控制一个物理实体。相较于传统基础设施系统，关键基础设施CPS信息侧元素对物理侧元素实时监测和动态控制，能规避多种风险并降低系统使用成本，保障基础设施安全和高效运行。

关键基础设施CPS建模已积累一定成果，相关研究可分为两类，一是通过数值仿真，研究基础设施与其信息系统的交互影响过程；二是通过理论建模机理解析，应用网络建模等方法，利用拓扑结构等指标分析关键基础设施CPS信息侧与物理侧的耦合机理及安全稳定问题。具体研究方面，董西松等构建城市轨道交通CPS仿真平台和综合评估系统, 通过仿真实验，对城市轨道交通在正常情况下的评估优化和在突发事故下的应急管理进行研究。曾倬颖等建立动态链接库，桥接电力系统物理模型和信息模型，构建电力CPS仿真模型。孙充勃等用网络表示电力CPS结构，利用节点映射模型，构建电力CPS仿真平台。郭庆来等将电力CPS表示为有向拓扑图，通过矩阵运算表征系统中的信息流和能量流，结合案例对电力CPS进行安全评估。Wang等构建分层网络表示交通CPS的拓扑结构，利用网络流表示系统的运行机制。

1.2 关键基础设施CPS网络攻击研究

近年关键基础设施CPS网络攻击事件频发，造成了严重的经济社会影响，典型案例包括2010年“震网”病毒、2015年乌克兰大停电、2018年美国燃气系统网络攻击、2019年古巴大停电、2020年以色列供水、铁路系统网络攻击、2021年美国Colonial公司网络攻击勒索事件等。据统计，2019年10月至2020年9月，美国报道了300多起针对基础设施CPS的网络攻击事件，数量远高于前一年同期的250余起，电网、机场、隧道和炼油厂等基础设施的信息控制系统是这些网络攻击的主要威胁对象。2020年，欧盟地区报道的基础设施CPS网络攻击事件近200起，事件数量高于上一年的160余起，电力、铁路的控制系统是主要被攻击对象。西门子研究所的报告指出，2020年全球超过五成的燃气传输、风能、水能和太阳能基础设施至少经历了一次网络攻击，被攻击影响的基础设施或运行数据丢失或服务中断。

关键基础设施CPS信息侧遭受网络攻击后易引发连锁反应，导致物理侧故障，致使关键基础设施服务中断。区别于传统针对信息领域的网络攻击，关键基础设施CPS网络攻击是指以破坏或降低系统功能为目的，通过监控设备或信息通道，在未经许可情况下对通信系统和控制系统行为进行追踪，利用基础设施信息通信网络存在的漏洞和安全缺陷对系统本身或资源进行攻击。从信息安全角度，关键基础设施CPS网络攻击通过信息攻击手段直接或间接操纵控制变量、传感变量和控制器传递函数，从而对所控制的基础设施系统造成损坏、服务中断等影响，如引发停电、轨道交通停运等。

按照网络安全三要素，关键基础设施CPS网络攻击可分为保密性攻击(如密码破解、数据窃取等)、完整性攻击(如虚假数据注入、拓扑篡改等)、可用性攻击(如拒绝服务、延时控制等)等三类。依据攻击渠道，网络攻击可分为监控设备攻击和信息通道攻击。关键基础设施CPS网络攻击建模研究多关注电力CPS，应用复杂网络、攻击图、贝叶斯网络、Petri网等方法，分析网络攻击下系统失效传播过程。具体研究方面，Yagan等构建复杂网络模型从连锁故障规模的角度研究电力CPS遭受网络攻击后的影响，将网络攻击作用效果表示为边断开或者节点解列，研究发现蓄意攻击电力CPS中心节点会对系统造成严重破坏。陈德成等基于通信拓扑图构建了流传递路径，利用攻击图量化攻击源信息传递，并基于故障下最优负荷削减策略对电力系统潜在后果进行定量评估。王电钢等研究了基于虚假数据注入攻击模型的电力CPS风险传播机制，从攻击对系统的影响程度识别系统的风险薄弱节点和线路。

1.3 关键基础设施CPS网络攻击应对策略

关键基础设施CPS网络攻击问题已引起多国政府的关注。丁达、汤奕等归纳了关键基础设施CPS网络攻击问题的应对策略，分为事前和事中两类。事前策略侧重网络攻击预防，相关措施包括：第一，利用网络攻击模型，识别关键基础设施CPS中易受到攻击或受攻击后可引发连锁反应的重要信息要素，通过使用备份、加密、网络隔离、地址管理等措施，避免这些信息要素在网络攻击中受损；第二，基于网络攻击特征和攻防博弈过程，构建虚拟信息通信线路，引导和控制攻击者行动，避免关键基础设施CPS在网络攻击中受到严重影响。事中策略侧重网络攻击发生后的及时应对，措施包括关键基础设施CPS信息侧攻击阻断、校正控制、及时识别错误数据，以及物理侧的资源动态调配等，及时消除网络攻击对关键基础设施系统CPS的影响。具体研究方面，Derler等针对电力CPS虚假数据注入类网络攻击，综合考虑决策者和攻击者的博弈关系，构建整数规划模型求解预算最小的防御策略。Amin等综合运用聚类算法和故障隔离技术，研究如何避免网络攻击造成关键基础设施CPS信息侧和物理侧存在时间差。Chorppath等建立贝叶斯博弈理论框架，研究CPS的入侵检测问题。

2 关键基础设施CPS安全建设对策

城市数字化转型背景下，亟需提前谋划和科学布局以保障关键基础设施系统CPS安全，提升城市整体韧性。结合相关研究，对关键基础设施CPS安全建设提出以下建议：

(1)出台关键基础设施CPS安全规划与政策。立足我国关键基础设施多由政府部门和国企负责运营管理的国情，亟需从政府层面出台规划和政策，明确保障关键基础设施CPS安全的重要性。作为超大型城市，上海在资源、环境、公共安全等一系列领域必然遭遇超出一般逻辑的社会风险，数字化转型过程中多要素交互极易加剧风险的复杂度，上海应率先正视基础设施CPS安全的重要性，出台关键基础设施系统CPS安全规划和政策，明确CPS安全风险来源、评估目标、关键措施、提升方向等，支持建立全面有效的关键基础设施CPS安全保障策略。

(2)明晰新形势下的网络攻击的风险来源及特征。病毒软件等网络攻击入侵关键基础设施CPS的方式包括通过移动存储介质入侵、通过办公网和生产网等边界入侵、通过工控机等为跳板在内部网络传播等。电力、交通、燃气等关键基础设施CPS的业务和运行机制不同，需防范的网络攻击风险也存在差异。结合业务需求和网络攻击案例，明晰新形势下各类关键基础设施CPS需防范的网络攻击风险来源及特征，才能采取针对性的边界防护及终端防护策略。

(3)鼓励关键基础设施CPS相关安全软硬件技术研发创新。区别于一般信息系统的安全软件，基础设施信息控制系统的安全软件需结合系统特征针对性设计，才能保障关键基础设施CPS对网络攻击的安全。目前，关键基础设施信息控制系统和运营技术网络多使用全球化的商用硬件和软件技术，部分公开技术易受到各类网络攻击。自主研发的软件和硬件对保障关键基础设施CPS安全十分重要。政府应鼓励关键基础设施信息控制系统相关数据库、智能电子设备、监测设备、数据同步设备、实时优化设备等核心技术的国产化创新，从身份认证和密码认证设计等方面提升设备的安全性，避免较多依赖国外技术而带来的风险。同时，针对电力、燃气、交通等基础设施信息控制系统和运营技术网络的个性化特征，开发与各类基础设施需求相匹配的安全防护软件。

(4)保障网络攻击防护策略的有效性以及日志的可追溯性。为避免网络攻击通过办公网和生产网入侵，关键基础设施CPS中的信息设备防护策略需与现场实际业务相关联，能够定期对现场网络安全漏洞、威胁进行一体化筛查以及防护，对相关协议进行深度解析。加强网络安全配置提高安全基线，对关键基础设施CPS各业务点的访问关系进行细颗粒审计及管控，降低网络攻击横向移动的风险。通过制定黑名单和白名单，实现面向业务的安全防护可视化和日志的可追溯。

(5)提升管理人员的网络攻击防范意识。由案例可见，针对关键基础设施CPS的网络攻击多通过管理人员进入核心业务系统。因此，需从多方面提升管理人员的风险防范意识。结合攻击入侵来源，防范措施包括：提供单点登录以及安全态势感知的方案，对系统核心区域以及安全态势进行统一运维管理；避免点击来源不明的邮件，以及从不明网站下载软件；采用高强度密码，杜绝弱口令；定期备份重要资料，使用单独的文件服务器对备份文件进行隔离存储；关闭系统中不必要的文件共享，禁用对共享文件夹的匿名访问等。

(6)建立关键基础设施运营部门协同应对机制。电力、交通、燃气传输等基础设施在多方面存在关联依赖、耦合集成。一类基础设施在某一方面或区域的失效都可能影响其他类基础设施的运行，产生级联失效而导致多类基础设施大面积瘫痪。网络攻击下，基础设施关联依赖极易扩大事件的影响。例如，2016年网络攻击导致的乌克兰停电事件中，停电致使相关地区交通瘫痪，燃气、石油运输中断，机场关闭。为避免关键基础设施关联关系放大网络攻击的影响，不同基础设施运用部门间需建立高效的信息沟通机制和系统应对程序。技术上，可从数据、控制、通信耦合集成的角度，开发关键基础设施服务互动平台。当有基础设施因网络攻击而服务输出中断时，及时通知其他基础设施运营部门做好针对性应急处置。