1　引言

隨著(zhù)計算機和網(wǎng)絡(luò )新技術(shù)（工業(yè)物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、云平臺等）的快速發(fā)展，以及兩化融合和智能制造的不斷推進(jìn)，工業(yè)控制系統廣泛采用了通用開(kāi)放的工業(yè)協(xié)議、通用的硬件平臺技術(shù)和通用軟件組件，并且越來(lái)越多地以各種方式與公共網(wǎng)絡(luò )連接，病毒、木馬等信息安全威脅正從傳統的計算機系統向工業(yè)控制系統延伸。

近年來(lái)，工控系統信息安全事件時(shí)有發(fā)生，針對工業(yè)控制系統的定向攻擊也日益增多，從震網(wǎng)、火焰、毒區病毒到黑色力量，網(wǎng)絡(luò )攻擊更加隱蔽、復雜多樣和規?；W(wǎng)絡(luò )化協(xié)同。面對日益復雜的縱深滲透、動(dòng)態(tài)協(xié)同的規?；?、網(wǎng)絡(luò )化攻擊，僅依靠傳統防火墻和IT信息安全技術(shù)體系已無(wú)法有效應對，亟需設計工業(yè)控制系統自?xún)榷獾木C合性深度防護技術(shù)體系，突破信息物理空間深度融合場(chǎng)景下的工控安全防護難題，從工業(yè)控制系統內在機理上實(shí)現工業(yè)控制系統的深度安全。

針對工控領(lǐng)域的網(wǎng)絡(luò )安全問(wèn)題，國內外專(zhuān)家進(jìn)行了一系列研究工作。美國能源部發(fā)表了提升SCADA網(wǎng)絡(luò )信息安全性的21個(gè)步驟，用于指導SCADA系統的網(wǎng)絡(luò )安全防護^[1]；美國國土安全部整理了工業(yè)領(lǐng)域推薦的旨在防范物理攻擊和網(wǎng)絡(luò )攻擊的控制系統安全程序^[2]；該部門(mén)還提出了面向控制系統網(wǎng)絡(luò )和多層信息架構的縱深防御策略，解決多種網(wǎng)絡(luò )集成所帶來(lái)的安全風(fēng)險^[3]；Kilman等人則建立了SCADA系統的安全策略框架，涵蓋風(fēng)險管理程序、數據安全等諸多層面^[4]。

本文在現有研究的基礎之上，結合工業(yè)控制領(lǐng)域多年的設計應用經(jīng)驗，對網(wǎng)絡(luò )化控制系統當前所面臨的典型安全威脅進(jìn)行了匯總分析，并提出了網(wǎng)絡(luò )化控制系統深度安全體系架構，能夠保障全生命周期的安全性、可靠性和可用性。

2　網(wǎng)絡(luò )化控制系統脆弱性分析

網(wǎng)絡(luò )化控制系統典型模型如圖1所示。被控對象是化工廠(chǎng)或核電站等現場(chǎng)裝備，控制站從變送器采集數據，執行控制程序，并輸出到閥門(mén)對被控對象進(jìn)行控制；工程師站負責組態(tài)、下裝和發(fā)布；操作站負責HMI操控；接口站負責異構系統及MES通信接口。

圖1 網(wǎng)絡(luò )化控制系統典型模型

網(wǎng)絡(luò )化控制系統的關(guān)鍵部件是控制單元（嵌入式平臺）、工業(yè)網(wǎng)絡(luò )（工業(yè)協(xié)議）和監控平臺（組態(tài)/監控軟件），核心功能是控制功能和監視功能。由于流程工業(yè)應用環(huán)境往往高溫、高壓、易燃、易爆，控制和監視功能都要求連續而不可間斷，可用性達到99.999%。誤動(dòng)、拒動(dòng)和不可監視都會(huì )導致嚴重后果，造成非計劃停產(chǎn)、減產(chǎn)或裝置損壞，甚至人身傷亡和環(huán)境破壞。

隨著(zhù)工業(yè)互聯(lián)網(wǎng)、工業(yè)物聯(lián)網(wǎng)、云計算、邊緣智能等新技術(shù)在工業(yè)領(lǐng)域的廣泛應用以及兩化融合、互聯(lián)網(wǎng)+和智能制造的推進(jìn)，網(wǎng)絡(luò )化控制系統呈現開(kāi)放、互聯(lián)和智能發(fā)展趨勢，具體表現為：

·越來(lái)越開(kāi)放的網(wǎng)絡(luò )（兩化融合、智能制造、互聯(lián)網(wǎng)+）；

·開(kāi)放的種類(lèi)繁多的工控協(xié)議（Modbus等）和互聯(lián)網(wǎng)接口（遠程維護、遠程診斷等）；

·通用化的軟硬件架構和平臺技術(shù)（Windows、PC、TCP/IP、OPC）；

·靈活應用的移動(dòng)設備（移動(dòng)監控、移動(dòng)巡檢、人員定位等）；

·上下工藝多裝置多總線(xiàn)的互聯(lián)互通需求（網(wǎng)絡(luò )化控制系統成為工廠(chǎng)的數據中心）。

面對網(wǎng)絡(luò )化、信息化和智能化的新形勢，工業(yè)控制系統傳統物理封閉的安全措施已無(wú)法保證，特別是大量已運行多年的工業(yè)控制系統在網(wǎng)絡(luò )化、信息化改造后，將面臨較大的安全風(fēng)險。網(wǎng)絡(luò )化控制系統脆弱性如表1所示。

表1 網(wǎng)絡(luò )化控制系統脆弱性

3　網(wǎng)絡(luò )化控制系統典型安全威脅

針對網(wǎng)絡(luò )化控制系統的攻擊往往是針對特定目標（特定工藝或特定設備）的特定模式定向攻擊，并且融合網(wǎng)絡(luò )技術(shù)、工控技術(shù)和生產(chǎn)工藝技術(shù)，攻擊模型復雜，技術(shù)綜合。無(wú)論Stuxnet病毒^[5]、Havex病毒^[6]，還是BlackEnergy^[7]，都是蓄謀已久，深入工業(yè)控制系統內在機理，非常隱蔽，綜合傳統網(wǎng)絡(luò )攻擊手段和圍繞工控系統脆弱性進(jìn)行弱點(diǎn)攻擊的方法，采取由外而內、層層滲透的攻擊手段，最終挾持控制了工業(yè)控制系統，使其執行錯誤的動(dòng)作但毫無(wú)察覺(jué)或不可恢復?；驹砣缦拢?/p>

（1）態(tài)勢感知：綜合多種方法和手段，選擇攻擊目標，并收集目標信息，常見(jiàn)方法有：

·針對工業(yè)領(lǐng)域上市公司或特定目標進(jìn)行網(wǎng)絡(luò )掃描，從門(mén)戶(hù)網(wǎng)站或信息系統網(wǎng)絡(luò )入口進(jìn)行滲透；

·采用SHADON、ZOOMEYE等工控系統專(zhuān)項掃描工具，通過(guò)工控系統的特征碼、特定端口或網(wǎng)絡(luò )接口描述從網(wǎng)絡(luò )上搜索查找攻擊目標^[8]；

·采用社會(huì )工程學(xué)或間諜等其他手段搜索目標信息。

（2）網(wǎng)絡(luò )攻擊：利用操作系統和防火墻的漏洞或后面，通過(guò)網(wǎng)絡(luò )滲透（遠程訪(fǎng)問(wèn)接口、OPC通信接口、無(wú)線(xiàn)網(wǎng)絡(luò )接口、企業(yè)門(mén)戶(hù)接口等）、擺渡（U盤(pán)、移動(dòng)設備等）、社交工具（郵件等）等手段，攻擊并控制工業(yè)控制系統的工作站或接口設備。

（3）工控系統定向攻擊：針對工控系統架構的脆弱性，進(jìn)行最后的致命一擊，挾持控制工業(yè)控制系統，執行錯誤的動(dòng)作且不被察覺(jué)。主要攻擊方法有：

·工業(yè)網(wǎng)絡(luò )攻擊方法：堵塞或中斷網(wǎng)絡(luò )、工業(yè)協(xié)議已知漏洞攻擊、工業(yè)協(xié)議fuzzing攻擊、工業(yè)協(xié)議大量數據包攻擊、偽造控制指令攻擊、偽裝實(shí)時(shí)數據攻擊^[9]；

·監控平臺攻擊方法：木馬攻擊、KillDisk攻擊、竊取關(guān)鍵工藝或數據、通信DLL中間人攻擊、篡改組態(tài)等關(guān)鍵數據、挾持組態(tài)/監控軟件攻擊（發(fā)送錯誤指令、顯示錯誤數據等）^[10]；

·控制單位攻擊方法：嵌入式平臺已知漏洞攻擊、超級后門(mén)攻擊、固件升級或配置接口攻擊。

從攻擊鏈分析，網(wǎng)絡(luò )化控制系統典型威脅如表2所示，典型威脅模型如圖2所示。

表2 典型的安全威脅

圖2 典型威脅模型

4　網(wǎng)絡(luò )化控制系統安全防護設計

由于工業(yè)控制系統固有的特性和局限性（確定的功能、強實(shí)時(shí)和連續控制需求、專(zhuān)有的平臺和技術(shù)、受攻擊后嚴重的后果、嵌入式平臺受限的性能等），網(wǎng)絡(luò )化控制系統安全防護設計有別于IT信息安全，采取不同的工作原理和安全策略。網(wǎng)絡(luò )化控制系統安全防護的核心是內建安全，圍繞工業(yè)控制系統的脆弱性，通過(guò)控制內核自主可控、嵌入式平臺可信增強、容錯架構和系統自愈等關(guān)鍵技術(shù)，構建網(wǎng)絡(luò )化控制系統深度安全體系架構，保障全生命周期的安全性、可靠性、可用性。

網(wǎng)絡(luò )化控制系統防護設計核心目標是信息安全、功能安全和操作安全一體化，實(shí)現高可用性、完整性和機密性?；贗EC61508和IEC62443國際標準，以及工業(yè)控制系統典型失效模式，從硬件隨機失效（器件失效、電應力、環(huán)境應力、EMC、軟失效和通信典型故障燈）、系統失效（軟件、嵌入式、硬件和FPGA等部件開(kāi)發(fā)過(guò)程的失效）和網(wǎng)絡(luò )攻擊（病毒、黑客等惡意攻擊）三個(gè)方面進(jìn)行系統性分析，采取FMEA分析、安全開(kāi)發(fā)流程以及安全防護技術(shù)措施等綜合內建安全設計方法和技術(shù)體系，實(shí)現網(wǎng)絡(luò )、主機、應用和數據全方位的安全。

4.1　分層分域安全網(wǎng)絡(luò )架構

針對大型工程項目規?；W(wǎng)絡(luò )、規?；l(fā)實(shí)時(shí)數據的應用需求，依托IEC62443-1-1、IEC62443-3-1和IEC62443-3-3，設計分層分域安全網(wǎng)絡(luò )架構，應用層次化分布式網(wǎng)絡(luò )模型、多路徑優(yōu)化選擇的容錯網(wǎng)絡(luò )技術(shù)、完善的網(wǎng)絡(luò )監控和診斷體系、全面充分的網(wǎng)絡(luò )通訊驗證等關(guān)鍵技術(shù)，實(shí)現操作物理分區和控制物理分區，安全分區之間管道支持安全隔離。并結合大型工程項目實(shí)踐，應用大規模組網(wǎng)技術(shù)，包括 “總分結構”網(wǎng)絡(luò )結構技術(shù)、VLAN安全隔離技術(shù)、全網(wǎng)診斷技術(shù)等，解決大規模網(wǎng)絡(luò )情況下的組網(wǎng)問(wèn)題、安全問(wèn)題以及數據交互瓶頸問(wèn)題，并通過(guò)網(wǎng)絡(luò )設備選型和認證，提升網(wǎng)絡(luò )的可靠性、實(shí)時(shí)性和安全性，達到單域4萬(wàn)點(diǎn)、支持60操作域/60控制域的大規模應用能力，滿(mǎn)足超大規模的工程項目需求。

網(wǎng)絡(luò )化控制系統適用于大規模組網(wǎng)應用的安全網(wǎng)絡(luò )架構核心設計如下所示：

·控制網(wǎng)絡(luò )采用自主可控工業(yè)以太網(wǎng)技術(shù)，保證高可靠性；

·控制網(wǎng)絡(luò )采用扁平式網(wǎng)絡(luò )結構以及1對多的通信方式，保證通信的可靠性；

·采用堅固的系統和網(wǎng)絡(luò )通訊設備，外配產(chǎn)品需經(jīng)過(guò)嚴格的認證測試；

·控制網(wǎng)絡(luò )采用全冗余設計（通訊接口、網(wǎng)絡(luò )設備、網(wǎng)絡(luò )供電），并且網(wǎng)絡(luò )1:1同步冗余，無(wú)切換時(shí)間，A/B控制網(wǎng)絡(luò )隔離；

·控制網(wǎng)絡(luò )采用分層分域設計，支持多路徑容錯通信，保證裝置通訊網(wǎng)絡(luò )的獨立性，又確保裝置間數據的共享以及一體化管理；

·提供統一的網(wǎng)絡(luò )健康視圖，直觀(guān)顯示整體網(wǎng)絡(luò )、網(wǎng)絡(luò )節點(diǎn)狀態(tài)、專(zhuān)家診斷、及時(shí)預警；

·DCS、PLC、SIS支持網(wǎng)絡(luò )一體化，保證統一聯(lián)網(wǎng)和互聯(lián)互通，以及統一的安全策略。

4.2　控制內核自主可信

病毒運行依賴(lài)黑客對于嵌入式操作系統的了解，對控制器也是如此。無(wú)運行環(huán)境、無(wú)進(jìn)入機會(huì )是解決問(wèn)題的關(guān)鍵。不基于通用系統，病毒就無(wú)運行環(huán)境，協(xié)議、接口私有、受限，黑客就無(wú)進(jìn)入機會(huì )。因此，網(wǎng)絡(luò )化控制系統應采用自主研發(fā)協(xié)議棧、控制算法、硬件平臺、BIOS以及確定性微操作系統，保證控制內核的自身安全性。

控制內核自主可控可以杜絕針對通用協(xié)議/操作系統/開(kāi)源代碼的已知漏洞所展開(kāi)的攻擊。同時(shí)采取功能最小的原則，只定義必要的功能，減少開(kāi)發(fā)代碼，減少漏洞存在的可能性。

在自主可控基礎上，采用可信增強技術(shù)，通過(guò)靜態(tài)/動(dòng)態(tài)程序、數據的完整性檢查和監護技術(shù)，以及可信鏈的層層推進(jìn)，保證控制器、組態(tài)軟件、監控平臺的可信增強，提升控制系統核心部件的內在免疫能力。

4.3　通信端口動(dòng)態(tài)防護

網(wǎng)絡(luò )化控制系統采取基于黑通道的安全通信設計和通信端口動(dòng)態(tài)防護，實(shí)現各種通信故障情況下，安全通信不受影響或導向安全，保證實(shí)時(shí)確定性安全通信。

典型通信故障模型如下所示：

·數據損壞；

·報文重復；

·報文錯序；

·報文丟失；

·延遲超時(shí)；

·報文插入；

·報文偽裝；

·錯誤尋址；

·交換機FIFO錯誤；

·報文滯緩。

通信端口采取工業(yè)協(xié)議的深度包檢測技術(shù)、通信和控制功能隔離技術(shù)、基于網(wǎng)絡(luò )行為和控制行為白名單技術(shù)等動(dòng)態(tài)防護技術(shù)，實(shí)現在接收到各種異常數據幀或廣播風(fēng)暴等巨量數據沖擊的情況下控制功能能正常運行、正常操控。

4.4　控制系統入侵容忍與系統自愈

網(wǎng)絡(luò )化控制系統應支持全系統冗余、數據備份與恢復、故障隔離等技術(shù)，實(shí)現全面的診斷與報警、入侵容忍和系統自愈。保證控制系統實(shí)時(shí)診斷與恢復。包括如下核心技術(shù)：

·采取全冗余設計，包括電源、工程師站、服務(wù)器、操作站、控制網(wǎng)、控制器、I/O總線(xiàn)、I/O模塊等，實(shí)現單一故障不影響工業(yè)控制系統正常運行，并通過(guò)實(shí)時(shí)對比診斷，快速檢測并定位安全問(wèn)題；

·組態(tài)、歷史/實(shí)時(shí)數據庫、控制器參數等關(guān)鍵數據備份和動(dòng)態(tài)重構技術(shù)，實(shí)現副本數據與運行數據的實(shí)時(shí)對比校驗和快速恢復。

4.5　數據安全監護和防篡改

覆蓋操作層、網(wǎng)絡(luò )層、控制層、現場(chǎng)總線(xiàn)/無(wú)線(xiàn)層的數據安全監護和防護設計，實(shí)現用戶(hù)組態(tài)工業(yè)加密與防篡改、歷史/實(shí)時(shí)數據庫實(shí)時(shí)工業(yè)加密與防篡改、組態(tài)軟件/監控軟件關(guān)鍵EXE、DLL防篡改、進(jìn)程守護技術(shù)，保證數據的完整性和機密，并基于國密實(shí)現通信加密和關(guān)鍵數據加密，如下所示：

·SM2：非對稱(chēng)加解密算法，用于身份認證、建立可信信道等握手類(lèi)通信；

·SM4：對稱(chēng)加解密算法，用于實(shí)時(shí)數據和操作指令等數據類(lèi)通信；

·SM3：哈希算法，用于組態(tài)等文件類(lèi)通信時(shí)的特征碼計算。

4.6　基于控制模型的控制網(wǎng)絡(luò )實(shí)時(shí)診斷與異常檢測

網(wǎng)絡(luò )化控制系統實(shí)現工控冗余網(wǎng)絡(luò )在線(xiàn)診斷和流量監控，網(wǎng)絡(luò )設備和控制節點(diǎn)實(shí)時(shí)狀態(tài)監控，建立控制網(wǎng)絡(luò )特征模型和操作站、控制站、工程師站、交換機、時(shí)鐘同步設備等特征模型（網(wǎng)絡(luò )流量、負載變化、通信行為）并統一展示，支持網(wǎng)絡(luò )風(fēng)險和入侵行為實(shí)時(shí)監控（基于網(wǎng)絡(luò )攻擊模型）。網(wǎng)絡(luò )化控制系統構建網(wǎng)絡(luò )通信和操作指令可信模型（實(shí)時(shí)通信、操控指令、組態(tài)管理、事件管理等），實(shí)時(shí)監控和審計操控行為，以及異常檢測與報警（非法節點(diǎn)、異常數據包、非法操作指令）。

5　網(wǎng)絡(luò )化控制系統安全認證方法

目前，國際上工業(yè)控制系統縱深防御的方法和技術(shù)體系已逐步成熟，并正在大規模應用。但是工業(yè)控制系統產(chǎn)品自身安全設計、開(kāi)發(fā)和認證體系以及全生命周期管理的研究尚在標準制定階段，正在逐步開(kāi)展?，F有成熟的工業(yè)控制系統產(chǎn)品安全認證體系有： Achilles通信健壯性認證和ISASecure安全認證。

5.1　Achilles通信健壯性認證

Achilles通信健壯性認證是加拿大沃泰網(wǎng)絡(luò )安全公司提供的第三方獨立工業(yè)控制系統通信健壯性認證，已成為工控領(lǐng)域事實(shí)上的通信健壯性評測行業(yè)標準，得到全球主要自動(dòng)化產(chǎn)品供應商和全球工業(yè)企業(yè)巨頭的認可。

Achilles通信健壯性認證的核心內容是：異常數據包攻擊和大流量數據包沖擊下，保證控制功能不受影響（監控DO和AO輸出）。該認證共分為兩個(gè)等級：

·Level1（預備級）：該等級測試和監視了受測設備基于Ethernet、ARP、IP、ICMP、TCP和UDP的數據包的詳細執行過(guò)程，用于驗證是否滿(mǎn)足OSI2－4層定義的可靠性和穩定性等級要求。

·Level2（正式級）：該等級是Level1認證的擴展認證，采用了更多的測試和更多通訊成功/失敗要求。Level2通過(guò)進(jìn)一步產(chǎn)生更多測試值、檢測協(xié)議狀態(tài)、使用更高頻率的Dos攻擊測試每一種通訊協(xié)議。

5.2　ISASecure安全認證

ISASecure安全認證是ISA安全兼容協(xié)會(huì )（ISA Security Compliance Institute, ISCI）推動(dòng)的針對工業(yè)控制系統的專(zhuān)項安全認證，與IEC62443標準呼應。ISCI成立于2007年，致力于為工業(yè)控制系統的網(wǎng)絡(luò )安全提供保障。ISCI推行ISASecure認證項目，旨在幫助工業(yè)控制系統設備供應商和運營(yíng)單位識別網(wǎng)絡(luò )安全產(chǎn)品及實(shí)踐。ISASecure認證規范由工業(yè)控制系統運營(yíng)單位、行業(yè)協(xié)會(huì )、用戶(hù)、學(xué)術(shù)界、政府和監管機構合作共同審核。

ISASecure認證目前已推出EDSA、SDLA、SSA三項，正在籌建ASA認證。其中EDSA認證針對嵌入式設備，SDLA針對工業(yè)控制系統開(kāi)發(fā)流程，ASA認證針對工業(yè)應用軟件，SSA針對工業(yè)控制系統整體。SSA認證之前必須所有部件通過(guò)EDSA認證，并部署了必要的縱深防御措施。具體情況如表3所示。

表3 ISASecure認證類(lèi)別

ISASecure EDSA認證是ISCI組織推出的第一個(gè)安全認證，側重于工業(yè)控制系統嵌入式設備的安全性認證。EDSA認證根據IEC62443-4-1安全開(kāi)發(fā)流程要求和IEC62443-4-2安全技術(shù)措施要求，綜合考慮了工業(yè)控制系統的特性以及信息安全保證的通用方法，提供了統一的工業(yè)控制系統嵌入式組件內建安全的評估和認證方法，解決了工業(yè)控制系統內建安全評估和認證的難題，有助于工控安全認證方法的統一和推廣應用。2016年7月1日EDSA認證升級為2.0.0版本。

EDSA認證提供三個(gè)級別：Level1、Level2和Level3，其中Level3級別最高。認證包括三部分內容：軟件開(kāi)發(fā)安全評估（SDSA）、通信健壯性測試與漏洞檢測、安全功能評估。其中通信健壯性測試無(wú)論認證等級都必須達到Achilles Level2或同等能力。

EDSA認證要求如圖4所示。

圖4 EDSA認證要求

EDSA認證內容主要包括：

（1）軟件開(kāi)發(fā)安全評估

軟件開(kāi)發(fā)安全評估主要認證軟件安全開(kāi)發(fā)流程，覆蓋需求、設計、實(shí)現和測試各個(gè)環(huán)節，與SDLA認證采取相同的標準和認證程序，但認證要求略有不同。

（2）安全測試

基于黑盒的安全測試包括通訊健壯性測試和漏洞檢測測試，綜合了工業(yè)控制系統的特殊要求和IT信息安全認證的通用方法。

（3）安全功能評估

安全功能評估包括訪(fǎng)問(wèn)控制、使用控制等7個(gè)維度，采用設計文檔審查和第三方獨立測試驗證相結合的方式開(kāi)展。由EDSA認證等級確定安全功能的要求。

6　總結與展望

本文分析了網(wǎng)絡(luò )化控制系統的發(fā)展趨勢和脆弱性，并結合目前針對工業(yè)控制系統的典型攻擊模式，建立安全威脅模型。在此基礎上，提出了網(wǎng)絡(luò )化控制系統基于內建安全的安全防護設計方法，包括分層分域安全網(wǎng)絡(luò )架構、控制內核自主可信、入侵容忍和系統自愈、數據安全監護以及網(wǎng)絡(luò )在線(xiàn)監測等，逐步建立內建安全技術(shù)體系，以及安全認證方法，實(shí)現功能安全、信息安全和操作安全一體化目標。

ISASecure EDSA認證是國際上第一個(gè)真正針對工業(yè)控制系統內建安全的綜合性認證體系，具有較強的參考價(jià)值和指導作用。然而，由于EDSA認證必須開(kāi)放設計機制、開(kāi)發(fā)過(guò)程文檔甚至代碼，而且資料會(huì )被備份至認證方國家，存在較大的安全隱患。因此，ISASecure EDSA認證在國內推廣依然是個(gè)難題，必須先解決資料泄漏的后顧之憂(yōu)。

★基金項目：國家重點(diǎn)研發(fā)計劃網(wǎng)絡(luò )空間安全專(zhuān)項經(jīng)費資助（裝備研制與安全測評，課題編號：2016YFB0800205）

參考文獻：

[1] Washington. D.C.: U.S. Department of Energy Office of Energy Assurance. 21 steps to improve cyber security of SCADA networks[EB/OL]. https://energy.gov/sites/prod/files/oeprod/DocumentsandMedia/21_Steps_-_SCADA.pdf, 2002/2017-08-14.

[2] U.S. Department of Homeland Security. Catalog of control systems security: Recommendations for standards developers[Z]. 2011.

[3] M. F. David Kuipers. Control systems cyber security: Defense in depth strategies[J]. U.S. Department of Homeland Security, Tech. Rep, May 2006.

[4] D. Kilman, J. Stamp. Framework for SCADA security policy[EB/OL]. https://www.energy.gov/sites/prod/files/ Framework%20for%20SCADA%20Security%20Policy.pdf, 2005/2017-08-14.

[5] Kushner D. The real story of stuxnet[J]. ieee Spectrum, 2013, 50 ( 3 ) : 48 - 53.

[6] Guo Y, Cheng C, Xin X, et al. OPC Communication Protection Method Based on Access Control and Anomaly Traffic Detection[C]. Internet of Things (iThings) and IEEE Green Computing and Communications (GreenCom) and IEEE Cyber, Physical and Social Computing (CPSCom) and IEEE Smart Data (SmartData), 2016 IEEE International Conference on. IEEE, 2016: 732 - 737.

[7] Khan R, Maynard P, McLaughlin K, et al. Threat Analysis of BlackEnergy Malware for Synchrophasor based Real-time Control and Monitoring in Smart Grid[A]. ICS-CSR, 2016.

[8] Li X, Wang Y, Shi F, et al. Crawler for Nodes in the Internet of Things[J]. ZTE Communications, 2015, 3: 009.

[9] Green B, Frey S A F, Rashid A, et al. Testbed diversity as a fundamental principle for effective ICS security research[J]. SERECIN, 2016.

作者簡(jiǎn)介：

陸衛軍（1977-），男，浙江杭州人，高級工程師，學(xué)士，現就職于浙江中控技術(shù)股份有限公司，研究方向是控制系統新技術(shù)研究。

黃文君（1972-），男，浙江紹興人，研究員，碩士，現就職于浙江中控技術(shù)股份有限公司，研究方向是控制系統及工業(yè)軟件研究。

章　維（1981-），男，浙江寧波人，高級工程師，碩士，現就職于浙江中控技術(shù)股份有限公司，研究方向是工業(yè)通訊及工控安全。

陳銀桃（1984-），女，浙江溫州人，工程師，碩士，現就職于浙江中控技術(shù)股份有限公司，研究方向是工業(yè)通訊。

摘自《自動(dòng)化博覽》2019年2月刊