1　引言

隨著計算機和網(wǎng)絡新技術(shù)（工業(yè)物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、云平臺等）的快速發(fā)展，以及兩化融合和智能制造的不斷推進，工業(yè)控制系統(tǒng)廣泛采用了通用開放的工業(yè)協(xié)議、通用的硬件平臺技術(shù)和通用軟件組件，并且越來越多地以各種方式與公共網(wǎng)絡連接，病毒、木馬等信息安全威脅正從傳統(tǒng)的計算機系統(tǒng)向工業(yè)控制系統(tǒng)延伸。

近年來，工控系統(tǒng)信息安全事件時有發(fā)生，針對工業(yè)控制系統(tǒng)的定向攻擊也日益增多，從震網(wǎng)、火焰、毒區(qū)病毒到黑色力量，網(wǎng)絡攻擊更加隱蔽、復雜多樣和規(guī)模化網(wǎng)絡化協(xié)同。面對日益復雜的縱深滲透、動態(tài)協(xié)同的規(guī)模化、網(wǎng)絡化攻擊，僅依靠傳統(tǒng)防火墻和IT信息安全技術(shù)體系已無法有效應對，亟需設計工業(yè)控制系統(tǒng)自內(nèi)而外的綜合性深度防護技術(shù)體系，突破信息物理空間深度融合場景下的工控安全防護難題，從工業(yè)控制系統(tǒng)內(nèi)在機理上實現(xiàn)工業(yè)控制系統(tǒng)的深度安全。

針對工控領域的網(wǎng)絡安全問題，國內(nèi)外專家進行了一系列研究工作。美國能源部發(fā)表了提升SCADA網(wǎng)絡信息安全性的21個步驟，用于指導SCADA系統(tǒng)的網(wǎng)絡安全防護^[1]；美國國土安全部整理了工業(yè)領域推薦的旨在防范物理攻擊和網(wǎng)絡攻擊的控制系統(tǒng)安全程序^[2]；該部門還提出了面向控制系統(tǒng)網(wǎng)絡和多層信息架構(gòu)的縱深防御策略，解決多種網(wǎng)絡集成所帶來的安全風險^[3]；Kilman等人則建立了SCADA系統(tǒng)的安全策略框架，涵蓋風險管理程序、數(shù)據(jù)安全等諸多層面^[4]。

本文在現(xiàn)有研究的基礎之上，結(jié)合工業(yè)控制領域多年的設計應用經(jīng)驗，對網(wǎng)絡化控制系統(tǒng)當前所面臨的典型安全威脅進行了匯總分析，并提出了網(wǎng)絡化控制系統(tǒng)深度安全體系架構(gòu)，能夠保障全生命周期的安全性、可靠性和可用性。

2　網(wǎng)絡化控制系統(tǒng)脆弱性分析

網(wǎng)絡化控制系統(tǒng)典型模型如圖1所示。被控對象是化工廠或核電站等現(xiàn)場裝備，控制站從變送器采集數(shù)據(jù)，執(zhí)行控制程序，并輸出到閥門對被控對象進行控制；工程師站負責組態(tài)、下裝和發(fā)布；操作站負責HMI操控；接口站負責異構(gòu)系統(tǒng)及MES通信接口。

圖1 網(wǎng)絡化控制系統(tǒng)典型模型

網(wǎng)絡化控制系統(tǒng)的關(guān)鍵部件是控制單元（嵌入式平臺）、工業(yè)網(wǎng)絡（工業(yè)協(xié)議）和監(jiān)控平臺（組態(tài)/監(jiān)控軟件），核心功能是控制功能和監(jiān)視功能。由于流程工業(yè)應用環(huán)境往往高溫、高壓、易燃、易爆，控制和監(jiān)視功能都要求連續(xù)而不可間斷，可用性達到99.999%。誤動、拒動和不可監(jiān)視都會導致嚴重后果，造成非計劃停產(chǎn)、減產(chǎn)或裝置損壞，甚至人身傷亡和環(huán)境破壞。

隨著工業(yè)互聯(lián)網(wǎng)、工業(yè)物聯(lián)網(wǎng)、云計算、邊緣智能等新技術(shù)在工業(yè)領域的廣泛應用以及兩化融合、互聯(lián)網(wǎng)+和智能制造的推進，網(wǎng)絡化控制系統(tǒng)呈現(xiàn)開放、互聯(lián)和智能發(fā)展趨勢，具體表現(xiàn)為：

·越來越開放的網(wǎng)絡（兩化融合、智能制造、互聯(lián)網(wǎng)+）；

·開放的種類繁多的工控協(xié)議（Modbus等）和互聯(lián)網(wǎng)接口（遠程維護、遠程診斷等）；

·通用化的軟硬件架構(gòu)和平臺技術(shù)（Windows、PC、TCP/IP、OPC）；

·靈活應用的移動設備（移動監(jiān)控、移動巡檢、人員定位等）；

·上下工藝多裝置多總線的互聯(lián)互通需求（網(wǎng)絡化控制系統(tǒng)成為工廠的數(shù)據(jù)中心）。

面對網(wǎng)絡化、信息化和智能化的新形勢，工業(yè)控制系統(tǒng)傳統(tǒng)物理封閉的安全措施已無法保證，特別是大量已運行多年的工業(yè)控制系統(tǒng)在網(wǎng)絡化、信息化改造后，將面臨較大的安全風險。網(wǎng)絡化控制系統(tǒng)脆弱性如表1所示。

表1 網(wǎng)絡化控制系統(tǒng)脆弱性

3　網(wǎng)絡化控制系統(tǒng)典型安全威脅

針對網(wǎng)絡化控制系統(tǒng)的攻擊往往是針對特定目標（特定工藝或特定設備）的特定模式定向攻擊，并且融合網(wǎng)絡技術(shù)、工控技術(shù)和生產(chǎn)工藝技術(shù)，攻擊模型復雜，技術(shù)綜合。無論Stuxnet病毒^[5]、Havex病毒^[6]，還是BlackEnergy^[7]，都是蓄謀已久，深入工業(yè)控制系統(tǒng)內(nèi)在機理，非常隱蔽，綜合傳統(tǒng)網(wǎng)絡攻擊手段和圍繞工控系統(tǒng)脆弱性進行弱點攻擊的方法，采取由外而內(nèi)、層層滲透的攻擊手段，最終挾持控制了工業(yè)控制系統(tǒng)，使其執(zhí)行錯誤的動作但毫無察覺或不可恢復。基本原理如下：

（1）態(tài)勢感知：綜合多種方法和手段，選擇攻擊目標，并收集目標信息，常見方法有：

·針對工業(yè)領域上市公司或特定目標進行網(wǎng)絡掃描，從門戶網(wǎng)站或信息系統(tǒng)網(wǎng)絡入口進行滲透；

·采用SHADON、ZOOMEYE等工控系統(tǒng)專項掃描工具，通過工控系統(tǒng)的特征碼、特定端口或網(wǎng)絡接口描述從網(wǎng)絡上搜索查找攻擊目標^[8]；

·采用社會工程學或間諜等其他手段搜索目標信息。

（2）網(wǎng)絡攻擊：利用操作系統(tǒng)和防火墻的漏洞或后面，通過網(wǎng)絡滲透（遠程訪問接口、OPC通信接口、無線網(wǎng)絡接口、企業(yè)門戶接口等）、擺渡（U盤、移動設備等）、社交工具（郵件等）等手段，攻擊并控制工業(yè)控制系統(tǒng)的工作站或接口設備。

（3）工控系統(tǒng)定向攻擊：針對工控系統(tǒng)架構(gòu)的脆弱性，進行最后的致命一擊，挾持控制工業(yè)控制系統(tǒng)，執(zhí)行錯誤的動作且不被察覺。主要攻擊方法有：

·工業(yè)網(wǎng)絡攻擊方法：堵塞或中斷網(wǎng)絡、工業(yè)協(xié)議已知漏洞攻擊、工業(yè)協(xié)議fuzzing攻擊、工業(yè)協(xié)議大量數(shù)據(jù)包攻擊、偽造控制指令攻擊、偽裝實時數(shù)據(jù)攻擊^[9]；

·監(jiān)控平臺攻擊方法：木馬攻擊、KillDisk攻擊、竊取關(guān)鍵工藝或數(shù)據(jù)、通信DLL中間人攻擊、篡改組態(tài)等關(guān)鍵數(shù)據(jù)、挾持組態(tài)/監(jiān)控軟件攻擊（發(fā)送錯誤指令、顯示錯誤數(shù)據(jù)等）^[10]；

·控制單位攻擊方法：嵌入式平臺已知漏洞攻擊、超級后門攻擊、固件升級或配置接口攻擊。

從攻擊鏈分析，網(wǎng)絡化控制系統(tǒng)典型威脅如表2所示，典型威脅模型如圖2所示。

表2 典型的安全威脅

圖2 典型威脅模型

4　網(wǎng)絡化控制系統(tǒng)安全防護設計

由于工業(yè)控制系統(tǒng)固有的特性和局限性（確定的功能、強實時和連續(xù)控制需求、專有的平臺和技術(shù)、受攻擊后嚴重的后果、嵌入式平臺受限的性能等），網(wǎng)絡化控制系統(tǒng)安全防護設計有別于IT信息安全，采取不同的工作原理和安全策略。網(wǎng)絡化控制系統(tǒng)安全防護的核心是內(nèi)建安全，圍繞工業(yè)控制系統(tǒng)的脆弱性，通過控制內(nèi)核自主可控、嵌入式平臺可信增強、容錯架構(gòu)和系統(tǒng)自愈等關(guān)鍵技術(shù)，構(gòu)建網(wǎng)絡化控制系統(tǒng)深度安全體系架構(gòu)，保障全生命周期的安全性、可靠性、可用性。

網(wǎng)絡化控制系統(tǒng)防護設計核心目標是信息安全、功能安全和操作安全一體化，實現(xiàn)高可用性、完整性和機密性。基于IEC61508和IEC62443國際標準，以及工業(yè)控制系統(tǒng)典型失效模式，從硬件隨機失效（器件失效、電應力、環(huán)境應力、EMC、軟失效和通信典型故障燈）、系統(tǒng)失效（軟件、嵌入式、硬件和FPGA等部件開發(fā)過程的失效）和網(wǎng)絡攻擊（病毒、黑客等惡意攻擊）三個方面進行系統(tǒng)性分析，采取FMEA分析、安全開發(fā)流程以及安全防護技術(shù)措施等綜合內(nèi)建安全設計方法和技術(shù)體系，實現(xiàn)網(wǎng)絡、主機、應用和數(shù)據(jù)全方位的安全。

4.1　分層分域安全網(wǎng)絡架構(gòu)

針對大型工程項目規(guī)模化網(wǎng)絡、規(guī)模化并發(fā)實時數(shù)據(jù)的應用需求，依托IEC62443-1-1、IEC62443-3-1和IEC62443-3-3，設計分層分域安全網(wǎng)絡架構(gòu)，應用層次化分布式網(wǎng)絡模型、多路徑優(yōu)化選擇的容錯網(wǎng)絡技術(shù)、完善的網(wǎng)絡監(jiān)控和診斷體系、全面充分的網(wǎng)絡通訊驗證等關(guān)鍵技術(shù)，實現(xiàn)操作物理分區(qū)和控制物理分區(qū)，安全分區(qū)之間管道支持安全隔離。并結(jié)合大型工程項目實踐，應用大規(guī)模組網(wǎng)技術(shù)，包括 “總分結(jié)構(gòu)”網(wǎng)絡結(jié)構(gòu)技術(shù)、VLAN安全隔離技術(shù)、全網(wǎng)診斷技術(shù)等，解決大規(guī)模網(wǎng)絡情況下的組網(wǎng)問題、安全問題以及數(shù)據(jù)交互瓶頸問題，并通過網(wǎng)絡設備選型和認證，提升網(wǎng)絡的可靠性、實時性和安全性，達到單域4萬點、支持60操作域/60控制域的大規(guī)模應用能力，滿足超大規(guī)模的工程項目需求。

網(wǎng)絡化控制系統(tǒng)適用于大規(guī)模組網(wǎng)應用的安全網(wǎng)絡架構(gòu)核心設計如下所示：

·控制網(wǎng)絡采用自主可控工業(yè)以太網(wǎng)技術(shù)，保證高可靠性；

·控制網(wǎng)絡采用扁平式網(wǎng)絡結(jié)構(gòu)以及1對多的通信方式，保證通信的可靠性；

·采用堅固的系統(tǒng)和網(wǎng)絡通訊設備，外配產(chǎn)品需經(jīng)過嚴格的認證測試；

·控制網(wǎng)絡采用全冗余設計（通訊接口、網(wǎng)絡設備、網(wǎng)絡供電），并且網(wǎng)絡1:1同步冗余，無切換時間，A/B控制網(wǎng)絡隔離；

·控制網(wǎng)絡采用分層分域設計，支持多路徑容錯通信，保證裝置通訊網(wǎng)絡的獨立性，又確保裝置間數(shù)據(jù)的共享以及一體化管理；

·提供統(tǒng)一的網(wǎng)絡健康視圖，直觀顯示整體網(wǎng)絡、網(wǎng)絡節(jié)點狀態(tài)、專家診斷、及時預警；

·DCS、PLC、SIS支持網(wǎng)絡一體化，保證統(tǒng)一聯(lián)網(wǎng)和互聯(lián)互通，以及統(tǒng)一的安全策略。

4.2　控制內(nèi)核自主可信

病毒運行依賴黑客對于嵌入式操作系統(tǒng)的了解，對控制器也是如此。無運行環(huán)境、無進入機會是解決問題的關(guān)鍵。不基于通用系統(tǒng)，病毒就無運行環(huán)境，協(xié)議、接口私有、受限，黑客就無進入機會。因此，網(wǎng)絡化控制系統(tǒng)應采用自主研發(fā)協(xié)議棧、控制算法、硬件平臺、BIOS以及確定性微操作系統(tǒng)，保證控制內(nèi)核的自身安全性。

控制內(nèi)核自主可控可以杜絕針對通用協(xié)議/操作系統(tǒng)/開源代碼的已知漏洞所展開的攻擊。同時采取功能最小的原則，只定義必要的功能，減少開發(fā)代碼，減少漏洞存在的可能性。

在自主可控基礎上，采用可信增強技術(shù)，通過靜態(tài)/動態(tài)程序、數(shù)據(jù)的完整性檢查和監(jiān)護技術(shù)，以及可信鏈的層層推進，保證控制器、組態(tài)軟件、監(jiān)控平臺的可信增強，提升控制系統(tǒng)核心部件的內(nèi)在免疫能力。

4.3　通信端口動態(tài)防護

網(wǎng)絡化控制系統(tǒng)采取基于黑通道的安全通信設計和通信端口動態(tài)防護，實現(xiàn)各種通信故障情況下，安全通信不受影響或?qū)虬踩ＷC實時確定性安全通信。

典型通信故障模型如下所示：

·數(shù)據(jù)損壞；

·報文重復；

·報文錯序；

·報文丟失；

·延遲超時；

·報文插入；

·報文偽裝；

·錯誤尋址；

·交換機FIFO錯誤；

·報文滯緩。

通信端口采取工業(yè)協(xié)議的深度包檢測技術(shù)、通信和控制功能隔離技術(shù)、基于網(wǎng)絡行為和控制行為白名單技術(shù)等動態(tài)防護技術(shù)，實現(xiàn)在接收到各種異常數(shù)據(jù)幀或廣播風暴等巨量數(shù)據(jù)沖擊的情況下控制功能能正常運行、正常操控。

4.4　控制系統(tǒng)入侵容忍與系統(tǒng)自愈

網(wǎng)絡化控制系統(tǒng)應支持全系統(tǒng)冗余、數(shù)據(jù)備份與恢復、故障隔離等技術(shù)，實現(xiàn)全面的診斷與報警、入侵容忍和系統(tǒng)自愈。保證控制系統(tǒng)實時診斷與恢復。包括如下核心技術(shù)：

·采取全冗余設計，包括電源、工程師站、服務器、操作站、控制網(wǎng)、控制器、I/O總線、I/O模塊等，實現(xiàn)單一故障不影響工業(yè)控制系統(tǒng)正常運行，并通過實時對比診斷，快速檢測并定位安全問題；

·組態(tài)、歷史/實時數(shù)據(jù)庫、控制器參數(shù)等關(guān)鍵數(shù)據(jù)備份和動態(tài)重構(gòu)技術(shù)，實現(xiàn)副本數(shù)據(jù)與運行數(shù)據(jù)的實時對比校驗和快速恢復。

4.5　數(shù)據(jù)安全監(jiān)護和防篡改

覆蓋操作層、網(wǎng)絡層、控制層、現(xiàn)場總線/無線層的數(shù)據(jù)安全監(jiān)護和防護設計，實現(xiàn)用戶組態(tài)工業(yè)加密與防篡改、歷史/實時數(shù)據(jù)庫實時工業(yè)加密與防篡改、組態(tài)軟件/監(jiān)控軟件關(guān)鍵EXE、DLL防篡改、進程守護技術(shù)，保證數(shù)據(jù)的完整性和機密，并基于國密實現(xiàn)通信加密和關(guān)鍵數(shù)據(jù)加密，如下所示：

·SM2：非對稱加解密算法，用于身份認證、建立可信信道等握手類通信；

·SM4：對稱加解密算法，用于實時數(shù)據(jù)和操作指令等數(shù)據(jù)類通信；

·SM3：哈希算法，用于組態(tài)等文件類通信時的特征碼計算。

4.6　基于控制模型的控制網(wǎng)絡實時診斷與異常檢測

網(wǎng)絡化控制系統(tǒng)實現(xiàn)工控冗余網(wǎng)絡在線診斷和流量監(jiān)控，網(wǎng)絡設備和控制節(jié)點實時狀態(tài)監(jiān)控，建立控制網(wǎng)絡特征模型和操作站、控制站、工程師站、交換機、時鐘同步設備等特征模型（網(wǎng)絡流量、負載變化、通信行為）并統(tǒng)一展示，支持網(wǎng)絡風險和入侵行為實時監(jiān)控（基于網(wǎng)絡攻擊模型）。網(wǎng)絡化控制系統(tǒng)構(gòu)建網(wǎng)絡通信和操作指令可信模型（實時通信、操控指令、組態(tài)管理、事件管理等），實時監(jiān)控和審計操控行為，以及異常檢測與報警（非法節(jié)點、異常數(shù)據(jù)包、非法操作指令）。

5　網(wǎng)絡化控制系統(tǒng)安全認證方法

目前，國際上工業(yè)控制系統(tǒng)縱深防御的方法和技術(shù)體系已逐步成熟，并正在大規(guī)模應用。但是工業(yè)控制系統(tǒng)產(chǎn)品自身安全設計、開發(fā)和認證體系以及全生命周期管理的研究尚在標準制定階段，正在逐步開展。現(xiàn)有成熟的工業(yè)控制系統(tǒng)產(chǎn)品安全認證體系有： Achilles通信健壯性認證和ISASecure安全認證。

5.1　Achilles通信健壯性認證

Achilles通信健壯性認證是加拿大沃泰網(wǎng)絡安全公司提供的第三方獨立工業(yè)控制系統(tǒng)通信健壯性認證，已成為工控領域事實上的通信健壯性評測行業(yè)標準，得到全球主要自動化產(chǎn)品供應商和全球工業(yè)企業(yè)巨頭的認可。

Achilles通信健壯性認證的核心內(nèi)容是：異常數(shù)據(jù)包攻擊和大流量數(shù)據(jù)包沖擊下，保證控制功能不受影響（監(jiān)控DO和AO輸出）。該認證共分為兩個等級：

·Level1（預備級）：該等級測試和監(jiān)視了受測設備基于Ethernet、ARP、IP、ICMP、TCP和UDP的數(shù)據(jù)包的詳細執(zhí)行過程，用于驗證是否滿足OSI2－4層定義的可靠性和穩(wěn)定性等級要求。

·Level2（正式級）：該等級是Level1認證的擴展認證，采用了更多的測試和更多通訊成功/失敗要求。Level2通過進一步產(chǎn)生更多測試值、檢測協(xié)議狀態(tài)、使用更高頻率的Dos攻擊測試每一種通訊協(xié)議。

5.2　ISASecure安全認證

ISASecure安全認證是ISA安全兼容協(xié)會（ISA Security Compliance Institute, ISCI）推動的針對工業(yè)控制系統(tǒng)的專項安全認證，與IEC62443標準呼應。ISCI成立于2007年，致力于為工業(yè)控制系統(tǒng)的網(wǎng)絡安全提供保障。ISCI推行ISASecure認證項目，旨在幫助工業(yè)控制系統(tǒng)設備供應商和運營單位識別網(wǎng)絡安全產(chǎn)品及實踐。ISASecure認證規(guī)范由工業(yè)控制系統(tǒng)運營單位、行業(yè)協(xié)會、用戶、學術(shù)界、政府和監(jiān)管機構(gòu)合作共同審核。

ISASecure認證目前已推出EDSA、SDLA、SSA三項，正在籌建ASA認證。其中EDSA認證針對嵌入式設備，SDLA針對工業(yè)控制系統(tǒng)開發(fā)流程，ASA認證針對工業(yè)應用軟件，SSA針對工業(yè)控制系統(tǒng)整體。SSA認證之前必須所有部件通過EDSA認證，并部署了必要的縱深防御措施。具體情況如表3所示。

表3 ISASecure認證類別

ISASecure EDSA認證是ISCI組織推出的第一個安全認證，側(cè)重于工業(yè)控制系統(tǒng)嵌入式設備的安全性認證。EDSA認證根據(jù)IEC62443-4-1安全開發(fā)流程要求和IEC62443-4-2安全技術(shù)措施要求，綜合考慮了工業(yè)控制系統(tǒng)的特性以及信息安全保證的通用方法，提供了統(tǒng)一的工業(yè)控制系統(tǒng)嵌入式組件內(nèi)建安全的評估和認證方法，解決了工業(yè)控制系統(tǒng)內(nèi)建安全評估和認證的難題，有助于工控安全認證方法的統(tǒng)一和推廣應用。2016年7月1日EDSA認證升級為2.0.0版本。

EDSA認證提供三個級別：Level1、Level2和Level3，其中Level3級別最高。認證包括三部分內(nèi)容：軟件開發(fā)安全評估（SDSA）、通信健壯性測試與漏洞檢測、安全功能評估。其中通信健壯性測試無論認證等級都必須達到Achilles Level2或同等能力。

EDSA認證要求如圖4所示。

圖4 EDSA認證要求

EDSA認證內(nèi)容主要包括：

（1）軟件開發(fā)安全評估

軟件開發(fā)安全評估主要認證軟件安全開發(fā)流程，覆蓋需求、設計、實現(xiàn)和測試各個環(huán)節(jié)，與SDLA認證采取相同的標準和認證程序，但認證要求略有不同。

（2）安全測試

基于黑盒的安全測試包括通訊健壯性測試和漏洞檢測測試，綜合了工業(yè)控制系統(tǒng)的特殊要求和IT信息安全認證的通用方法。

（3）安全功能評估

安全功能評估包括訪問控制、使用控制等7個維度，采用設計文檔審查和第三方獨立測試驗證相結(jié)合的方式開展。由EDSA認證等級確定安全功能的要求。

6　總結(jié)與展望

本文分析了網(wǎng)絡化控制系統(tǒng)的發(fā)展趨勢和脆弱性，并結(jié)合目前針對工業(yè)控制系統(tǒng)的典型攻擊模式，建立安全威脅模型。在此基礎上，提出了網(wǎng)絡化控制系統(tǒng)基于內(nèi)建安全的安全防護設計方法，包括分層分域安全網(wǎng)絡架構(gòu)、控制內(nèi)核自主可信、入侵容忍和系統(tǒng)自愈、數(shù)據(jù)安全監(jiān)護以及網(wǎng)絡在線監(jiān)測等，逐步建立內(nèi)建安全技術(shù)體系，以及安全認證方法，實現(xiàn)功能安全、信息安全和操作安全一體化目標。

ISASecure EDSA認證是國際上第一個真正針對工業(yè)控制系統(tǒng)內(nèi)建安全的綜合性認證體系，具有較強的參考價值和指導作用。然而，由于EDSA認證必須開放設計機制、開發(fā)過程文檔甚至代碼，而且資料會被備份至認證方國家，存在較大的安全隱患。因此，ISASecure EDSA認證在國內(nèi)推廣依然是個難題，必須先解決資料泄漏的后顧之憂。

★基金項目：國家重點研發(fā)計劃網(wǎng)絡空間安全專項經(jīng)費資助（裝備研制與安全測評，課題編號：2016YFB0800205）

參考文獻：

[1] Washington. D.C.: U.S. Department of Energy Office of Energy Assurance. 21 steps to improve cyber security of SCADA networks[EB/OL]. https://energy.gov/sites/prod/files/oeprod/DocumentsandMedia/21_Steps_-_SCADA.pdf, 2002/2017-08-14.

[2] U.S. Department of Homeland Security. Catalog of control systems security: Recommendations for standards developers[Z]. 2011.

[3] M. F. David Kuipers. Control systems cyber security: Defense in depth strategies[J]. U.S. Department of Homeland Security, Tech. Rep, May 2006.

[4] D. Kilman, J. Stamp. Framework for SCADA security policy[EB/OL]. https://www.energy.gov/sites/prod/files/ Framework%20for%20SCADA%20Security%20Policy.pdf, 2005/2017-08-14.

[5] Kushner D. The real story of stuxnet[J]. ieee Spectrum, 2013, 50 ( 3 ) : 48 - 53.

[6] Guo Y, Cheng C, Xin X, et al. OPC Communication Protection Method Based on Access Control and Anomaly Traffic Detection[C]. Internet of Things (iThings) and IEEE Green Computing and Communications (GreenCom) and IEEE Cyber, Physical and Social Computing (CPSCom) and IEEE Smart Data (SmartData), 2016 IEEE International Conference on. IEEE, 2016: 732 - 737.

[7] Khan R, Maynard P, McLaughlin K, et al. Threat Analysis of BlackEnergy Malware for Synchrophasor based Real-time Control and Monitoring in Smart Grid[A]. ICS-CSR, 2016.

[8] Li X, Wang Y, Shi F, et al. Crawler for Nodes in the Internet of Things[J]. ZTE Communications, 2015, 3: 009.

[9] Green B, Frey S A F, Rashid A, et al. Testbed diversity as a fundamental principle for effective ICS security research[J]. SERECIN, 2016.

作者簡介：

陸衛(wèi)軍（1977-），男，浙江杭州人，高級工程師，學士，現(xiàn)就職于浙江中控技術(shù)股份有限公司，研究方向是控制系統(tǒng)新技術(shù)研究。

黃文君（1972-），男，浙江紹興人，研究員，碩士，現(xiàn)就職于浙江中控技術(shù)股份有限公司，研究方向是控制系統(tǒng)及工業(yè)軟件研究。

章　維（1981-），男，浙江寧波人，高級工程師，碩士，現(xiàn)就職于浙江中控技術(shù)股份有限公司，研究方向是工業(yè)通訊及工控安全。

陳銀桃（1984-），女，浙江溫州人，工程師，碩士，現(xiàn)就職于浙江中控技術(shù)股份有限公司，研究方向是工業(yè)通訊。

摘自《自動化博覽》2019年2月刊