网络物理系统安全之​​防止自然事件和事故

物理基础设施的网络物理控制设备故障会对人员、环境和其他物理基础设施造成无法弥补的系统损害。因此 ，安全工程师们开发了各种针对事故和自然原因的​止自保护 ，包括安全系统、​防保护、然事故障检测和鲁棒性 。事故

安全  ：控制系统通用安全标准（IEC 61508）推荐的网络物理基本原则是从危险和风险分析中获得要求，包括给定的系统可能性故障，以及故障的安全后果 ，源码下载然后设计系统，​止自以便在考虑所有故障原因时满足安全要求
。​防该通用标准已成为特定行业中许多其他标准的然事基础 ，例如，事故过程工业（炼油厂
，网络物理化学系统等）。使用IEC 61511标准设计安全仪表系统（SIS）。SIS的目标是防止事故发生，例如 ，在高压传感器发出警报时关闭燃油阀
。更一般的纵深防御安全分析使用保护层[26] ，其中危险通过一组从（1）基本低开始的建站模板层来减轻向监测站发送优先警报
，以（2）激活SIS系统，（3）缓解保障措施，例如实物保护系统（例如，堤坝）和工厂应急响应/疏散的组织响应协议 。图2说明了这些安全保护层 。 

保护：与安全相关的概念是电网中的保护 。这些保护系统包括：

•发电机保护 ：当系统频率过低或过高时 ，发电机将自动与电网断开，以防止发电机永久损坏 。

•在频率减载（UFLS）下：如果电网的频率太低，源码库将激活受控减载
。配电系统部分的断开以受控方式完成，同时避免医院等安全关键负载的中断。UFLS被激活是为了增加电网的频率，并防止发电机断开  。

•过流保护：如果线路中的电流过高
，将触发保护继电器 ，打开线路，防止损坏线路两侧的设备 。

•过压/欠压保护：如果总线电压过低或过高，高防服务器将触发电压继电器
。

可靠性 
：虽然安全和保护系统试图防止事故发生，但其他方法即使在系统发生故障后也试图保持运行。例如，电气系统的设计和操作满足所谓的N-1安全标准，这意味着系统可能会失去其N个组件中的任何一个（例如一台发电机、变电站或输电线路），并继续运行，产生的瞬变消失以产生令人满意的新稳态运行条件 ，这意味着电力的可靠输送将继续下去。香港云服务器

容错 ：一种类似但数据驱动的检测和预防故障的方法属于故障检测、隔离和重新配置（FDIR）[27]。使用基于模型的检测系统或纯数据驱动的系统检测异常;该过程的这一部分也称为错误数据检测  。隔离是确定哪个设备是异常源的过程
，重新配置是从故障中恢复的过程 ，通常是免费模板通过移除故障传感器（如果系统中有足够的传感器冗余）。

鲁棒控制：另一个相关概念是鲁棒控制[28]。鲁棒控制处理控制系统运行中的不确定性问题。这些未知操作条件的来源可能来自环境（例如 ，飞机运行中的阵风） 、传感器噪声 、工程师未建模的系统动力学或系统组件随时间推移的退化 。鲁棒控制系统通常采用最不利的工作条件
，然后设计控制算法 ，使系统即使在最坏的不确定性情况下也能安全运行。

机制不足以提供安全性
：在CPS安全成为主流领域之前  ，对于安全性 ，保护，容错和强大的控制是否足以保护CPS免受网络攻击存在很多困惑。然而，正如十多年前所争论的那样[5]，这些保护系统通常假设独立的 、非恶意的故障
，而在安全方面 ，不正确的模型假设是对手绕过任何保护的最简单方法。自那时以来，有几个例子表明为什么这些机制不提供安全
。例如刘等人 。[29]展示了电网中的故障检测（不良数据检测）算法如何被发送与合理一致的错误数据的对手绕过。电网配置，但同时从实际值到足以给系统带来问题 。动态系统（具有“时间”组件的系统）的类似示例考虑了隐形攻击[30]。这些攻击会在传感器中注入小的错误数据，以便故障检测系统不会将它们识别为异常，而是在很长一段时间内时间 ，这些攻击可能会将系统推向危险的操作条件。同样，电网中的N-1安全标准假设如果发生故障，所有保护设备将按配置做出反应
 ，但是攻击者可以更改电网中保护设备的配置。在这种情况下，电网N-1故障的结果将是完全出乎意料的，因为设备将以意想不到的方式做出反应。由电网运营商，导致大容量电力系统的潜在级联故障 。最后，在第1.3.1节中 ，我们将描述现实世界的攻击如何开始针对其中一些针对事故的保护;例如 ，Triton恶意软件专门针对过程控制系统中的安全系统 。

安全与安全：添加新的安全防御可能会带来安全问题
，例如 ，发电厂因计算机在补丁后重新启动而关闭[31] 。软件更新和修补可能会违反安全认证，防止未经授权的用户访问CPS也可能阻止急救人员在紧急情况下访问系统（例如，护理人员可能需要访问防止未经授权的连接的医疗设备）。安全解决方案在设计和部署新的安全机制时应考虑这些CPS安全问题。