保護CPS的第一步是識別這些系統可能存在的風險，然后確定如何通過深度防御方法解決這些風險的優先級。風險評估包括識別CPS中的資產[74]，了解其安全風險，并實施對策以將風險降低到可接受的水平[13，75，76，77，78].滲透測試可能是了解系統風險級別的最常見方法，可用于設計漏洞管理和修補策略。供應鏈也是另一個風險因素，在風險管理與治理CyBOK知識領域[79]中進一步討論。

CPS中的一個新領域是識別執行器或傳感器，如果它們受到損害，它們為攻擊者提供CPS的最大可控性[80，30，81，82，83]，然后優先保護這些設備。

識別風險后，一般的縱深防御方法包括預防、檢測和緩解機制。在本節中，我們將介紹用于防止、檢測和緩解攻擊的跨領域安全工作，下一節將介紹特定的CPS域，例如電網以及智能交通系統。本節分為三個部分：（1）防止攻擊（第2.1節），（2）檢測攻擊（第2.2節）和（3）緩解攻擊（第2.3節）。

2.1 防止攻擊

保護第一個基于計算機的控制系統的經典方法是將它們與互聯網和資產所有者的公司網絡隔離。隨著業務實踐的變化，以及效率原因使控制系統與其他信息技術網絡之間的互連越來越多，子網絡區域隔離的概念被幾個CPS行業采用，尤其是在核能領域。能源部門。這種網絡隔離通常是在防火墻和數據二極管的幫助下實現的[84]。

另一方面，有幾種方法可以打破氣隙，包括內部攻擊，或通過移動設備向網絡添加新連接。因此，為了防止現代CPS中的攻擊，設計人員和開發人員必須遵循與傳統IT系統相同的最佳安全實踐;即，他們需要遵循一個安全的開發生命周期，以最大限度地減少軟件漏洞，實施訪問控制機制，并提供強大的加密保護以及安全密鑰管理系統[85]。

雖然經典IT系統的最佳安全實踐可以為控制系統的安全性提供必要的機制，但僅靠這些機制不足以進行深入防御。的CPS。在本節中，我們將討論如何通過了解CPS系統與物理世界的相互作用，我們應該能夠

1. 更好地了解攻擊的后果。

2. 設計新穎的攻擊檢測算法。

3. 設計新的攻擊彈性算法和架構。

在本小節的其余部分，我們將重點說明在CPS中實施經典IT安全最佳實踐所面臨的挑戰，包括多個CPS由遺留系統組成，由嵌入式設備操作資源有限，并面臨模擬攻擊等新漏洞。

保護遺留系統：CPS設備的生命周期可能比常規計算服務器、臺式機或移動系統大一個數量級。消費者希望他們的汽車比筆記本電腦使用壽命更長，醫院希望醫療設備可以使用十年以上，大多數工業控制系統的資產至少可以使用25年[86]，并且這些設備中的大多數在完全折舊之前不會更換。其中一些設備的設計和部署假設不再存在的受信任環境。此外，即使這些設備當時部署了安全機制，最終也會出現新的漏洞，如果制造商不再支持這些設備，然后它們不會被修補。例如，在發現Heartbleed漏洞后，主要制造商推動更新以緩解此問題;但是大多數監視或控制物理世界的嵌入式設備不會被修補（修補一些安全關鍵系統甚至可能違反其安全認證）。因此，即使供應商最初使用OpenSSL在CPS設備之間創建安全通信通道，他們也需要考慮長期支持該設備。

因此，為了防止CPS中的攻擊，我們必須處理（1）設計可以不斷更新安全性的系統，以及（2）為現有的遺留系統改造安全解決方案[87]。

某些設備無法使用這些新的安全標準進行更新，因此為傳統網絡增加安全性的一種流行方法是添加在線碰撞[88]。通常，線路碰撞是一種網絡設備，用于為舊設備之間交換的網絡數據包添加完整性、身份驗證和機密性。因此，傳統設備發送未加密和未經身份驗證的數據包，網絡設備將通過安全通道將它們隧道傳輸到通信通道另一端的另一個在線碰撞系統，然后刪除安全保護并將不安全的數據包提供給最終目的地。請注意，線路碰撞只能保護系統免受網絡上不受信任方的侵害，但如果端點受到損害，則線路碰撞將無效。

對于植入式醫療設備等無線設備，也提出了類似的概念。由于其中一些無線設備通過不安全的通道進行通信，因此攻擊者可以偵聽或注入惡意數據包。為了防止這種情況，可以在易受攻擊的設備附近使用無線屏蔽[89]。無線防護板將干擾與易受攻擊設備的任何通信嘗試，但來自防護板所有者授權的設備除外。無線屏蔽也被用于其他領域，例如保護使用BLE設備的消費者的隱私[90]。由于其破壞性，目前尚不清楚無線屏蔽是否會在消費類應用中找到實際應用。

輕量級安全性：雖然一些嵌入式設備支持經典加密，但對于某些設備，加密算法在能耗或延遲方面的性能可能不被接受[91]。對于對稱密碼學，NIST計劃對輕量級加密算法組合進行標準化[92]，而當前CAESAR對認證加密標準的競爭正在評估其在資源受限設備中提交的性能[93]。對于公鑰算法，橢圓曲線加密通常提供性能和安全保證的最佳平衡，但根據系統的要求，其他輕量級公鑰算法可能更合適[94]。在漏洞利用緩解方面，解決方案不太清楚。