保護CPS的第一步是識別這些系統(tǒng)可能存在的風險，然后確定如何通過深度防御方法解決這些風險的優(yōu)先級。風險評估包括識別CPS中的資產(chǎn)[74]，了解其安全風險，并實施對策以將風險降低到可接受的水平[13，75，76，77，78].滲透測試可能是了解系統(tǒng)風險級別的最常見方法，可用于設計漏洞管理和修補策略。供應鏈也是另一個風險因素，在風險管理與治理CyBOK知識領域[79]中進一步討論。

CPS中的一個新領域是識別執(zhí)行器或傳感器，如果它們受到損害，它們?yōu)楣粽咛峁〤PS的最大可控性[80，30，81，82，83]，然后優(yōu)先保護這些設備。

識別風險后，一般的縱深防御方法包括預防、檢測和緩解機制。在本節(jié)中，我們將介紹用于防止、檢測和緩解攻擊的跨領域安全工作，下一節(jié)將介紹特定的CPS域，例如電網(wǎng)以及智能交通系統(tǒng)。本節(jié)分為三個部分：（1）防止攻擊（第2.1節(jié)），（2）檢測攻擊（第2.2節(jié)）和（3）緩解攻擊（第2.3節(jié)）。

2.1 防止攻擊

保護第一個基于計算機的控制系統(tǒng)的經(jīng)典方法是將它們與互聯(lián)網(wǎng)和資產(chǎn)所有者的公司網(wǎng)絡隔離。隨著業(yè)務實踐的變化，以及效率原因使控制系統(tǒng)與其他信息技術網(wǎng)絡之間的互連越來越多，子網(wǎng)絡區(qū)域隔離的概念被幾個CPS行業(yè)采用，尤其是在核能領域。能源部門。這種網(wǎng)絡隔離通常是在防火墻和數(shù)據(jù)二極管的幫助下實現(xiàn)的[84]。

另一方面，有幾種方法可以打破氣隙，包括內部攻擊，或通過移動設備向網(wǎng)絡添加新連接。因此，為了防止現(xiàn)代CPS中的攻擊，設計人員和開發(fā)人員必須遵循與傳統(tǒng)IT系統(tǒng)相同的最佳安全實踐;即，他們需要遵循一個安全的開發(fā)生命周期，以最大限度地減少軟件漏洞，實施訪問控制機制，并提供強大的加密保護以及安全密鑰管理系統(tǒng)[85]。

雖然經(jīng)典IT系統(tǒng)的最佳安全實踐可以為控制系統(tǒng)的安全性提供必要的機制，但僅靠這些機制不足以進行深入防御。的CPS。在本節(jié)中，我們將討論如何通過了解CPS系統(tǒng)與物理世界的相互作用，我們應該能夠

1. 更好地了解攻擊的后果。

2. 設計新穎的攻擊檢測算法。

3. 設計新的攻擊彈性算法和架構。

在本小節(jié)的其余部分，我們將重點說明在CPS中實施經(jīng)典IT安全最佳實踐所面臨的挑戰(zhàn)，包括多個CPS由遺留系統(tǒng)組成，由嵌入式設備操作資源有限，并面臨模擬攻擊等新漏洞。

保護遺留系統(tǒng)：CPS設備的生命周期可能比常規(guī)計算服務器、臺式機或移動系統(tǒng)大一個數(shù)量級。消費者希望他們的汽車比筆記本電腦使用壽命更長，醫(yī)院希望醫(yī)療設備可以使用十年以上，大多數(shù)工業(yè)控制系統(tǒng)的資產(chǎn)至少可以使用25年[86]，并且這些設備中的大多數(shù)在完全折舊之前不會更換。其中一些設備的設計和部署假設不再存在的受信任環(huán)境。此外，即使這些設備當時部署了安全機制，最終也會出現(xiàn)新的漏洞，如果制造商不再支持這些設備，然后它們不會被修補。例如，在發(fā)現(xiàn)Heartbleed漏洞后，主要制造商推動更新以緩解此問題;但是大多數(shù)監(jiān)視或控制物理世界的嵌入式設備不會被修補（修補一些安全關鍵系統(tǒng)甚至可能違反其安全認證）。因此，即使供應商最初使用OpenSSL在CPS設備之間創(chuàng)建安全通信通道，他們也需要考慮長期支持該設備。

因此，為了防止CPS中的攻擊，我們必須處理（1）設計可以不斷更新安全性的系統(tǒng)，以及（2）為現(xiàn)有的遺留系統(tǒng)改造安全解決方案[87]。

某些設備無法使用這些新的安全標準進行更新，因此為傳統(tǒng)網(wǎng)絡增加安全性的一種流行方法是添加在線碰撞[88]。通常，線路碰撞是一種網(wǎng)絡設備，用于為舊設備之間交換的網(wǎng)絡數(shù)據(jù)包添加完整性、身份驗證和機密性。因此，傳統(tǒng)設備發(fā)送未加密和未經(jīng)身份驗證的數(shù)據(jù)包，網(wǎng)絡設備將通過安全通道將它們隧道傳輸?shù)酵ㄐ磐ǖ懒硪欢说牧硪粋€在線碰撞系統(tǒng)，然后刪除安全保護并將不安全的數(shù)據(jù)包提供給最終目的地。請注意，線路碰撞只能保護系統(tǒng)免受網(wǎng)絡上不受信任方的侵害，但如果端點受到損害，則線路碰撞將無效。

對于植入式醫(yī)療設備等無線設備，也提出了類似的概念。由于其中一些無線設備通過不安全的通道進行通信，因此攻擊者可以偵聽或注入惡意數(shù)據(jù)包。為了防止這種情況，可以在易受攻擊的設備附近使用無線屏蔽[89]。無線防護板將干擾與易受攻擊設備的任何通信嘗試，但來自防護板所有者授權的設備除外。無線屏蔽也被用于其他領域，例如保護使用BLE設備的消費者的隱私[90]。由于其破壞性，目前尚不清楚無線屏蔽是否會在消費類應用中找到實際應用。

輕量級安全性：雖然一些嵌入式設備支持經(jīng)典加密，但對于某些設備，加密算法在能耗或延遲方面的性能可能不被接受[91]。對于對稱密碼學，NIST計劃對輕量級加密算法組合進行標準化[92]，而當前CAESAR對認證加密標準的競爭正在評估其在資源受限設備中提交的性能[93]。對于公鑰算法，橢圓曲線加密通常提供性能和安全保證的最佳平衡，但根據(jù)系統(tǒng)的要求，其他輕量級公鑰算法可能更合適[94]。在漏洞利用緩解方面，解決方案不太清楚。