劉偉++梁光明++鮑金鵬

摘 要： 深入研究了當(dāng)前工業(yè)控制系統(tǒng)PLC現(xiàn)場可編程的原理，從數(shù)據(jù)的保密性、完整性和身份可認(rèn)證性三個(gè)方面分別建立安全性模型，分析出現(xiàn)場可編程的安全機(jī)制在以上三個(gè)方面缺乏必要的安全防護(hù)。搭建實(shí)驗(yàn)平臺(tái)，通過模擬實(shí)驗(yàn)驗(yàn)證了存在的安全隱患。

關(guān)鍵詞： 工業(yè)控制系統(tǒng)； 現(xiàn)場可編程； 安全隱患； 工業(yè)以太網(wǎng)

中圖分類號(hào)： TN710?34 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2015）17?0153?05

Analysis of hidden trouble existing in field programmable mechanism

in industrial control system

LIU Wei， LIANG Guangming， BAO Jinpeng

（School of Electronic Science and Engineering， National University of Defense Technology， Changsha 410073， China）

Abstract： The principle of current PLC field programmability in industrial control system is studied deeply. The security models are set up respectively from the aspects of data confidentiality， integrity and identity authentication. The security mechanism of field programmability has been analyzed， and the three aspects are lack of necessary safety protection. The experiment platform was established， and the existed hidden trouble were verified by simulation experiment.

Keywords： industrial control system； field programmability； hidden safety threat； industrial Ethernet

0 引 言

隨著工業(yè)化和信息化的融合不斷深入，信息技術(shù)開始更加廣泛地運(yùn)用到工業(yè)控制領(lǐng)域。當(dāng)前，信息化工業(yè)控制系統(tǒng)已經(jīng)廣泛應(yīng)用于能源、電力、化工等工業(yè)領(lǐng)域，工業(yè)控制系統(tǒng)已然成為國家安全戰(zhàn)略的重要組成部分。為了方便工業(yè)控制系統(tǒng)中各個(gè)部件的協(xié)同和信息共享，工業(yè)控制系統(tǒng)正逐漸打破原有的封閉性，向開放化的方向發(fā)展，采用標(biāo)準(zhǔn)、通用的通信協(xié)議和軟硬件系統(tǒng)，將導(dǎo)致工控系統(tǒng)面臨病毒、黑客入侵等安全威脅。

2010年，伊朗布什爾核電站遭到“震網(wǎng)”（Stuxnet）蠕蟲病毒攻擊[1]，“震網(wǎng)”病毒以伊朗核電站使用的數(shù)據(jù)采集與監(jiān)視控制（SCADA）系統(tǒng)作為攻擊目標(biāo)，利用Windows和工業(yè)控制系統(tǒng)PLC的動(dòng)態(tài)鏈接庫（DLL）缺陷進(jìn)行傳播和攻擊，致使伊朗核電計(jì)劃被延緩。在這次事件后，工控系統(tǒng)安全成為工控領(lǐng)域的熱點(diǎn)問題。如何有效的保護(hù)工業(yè)控制系統(tǒng)PLC的安全，防止不法分子和黑客對(duì)工業(yè)控制系統(tǒng)PLC實(shí)施入侵和破壞，具有重大的經(jīng)濟(jì)和戰(zhàn)略意義。

相較以往工業(yè)控制系統(tǒng)的安全報(bào)告和相關(guān)文獻(xiàn)的重點(diǎn)突出在數(shù)據(jù)的實(shí)時(shí)采集與監(jiān)控安全[2]、外網(wǎng)到內(nèi)網(wǎng)的保護(hù)[3]上，本文從工控系統(tǒng)的現(xiàn)場可編程機(jī)制出發(fā)，對(duì)工控系統(tǒng)潛在的安全隱患和面臨的威脅進(jìn)行分析，提出了安全隱患分析方法和模型，并對(duì)存在的安全威脅進(jìn)行了總結(jié)。

1 工業(yè)控制系統(tǒng)現(xiàn)場可編程原理

工業(yè)控制系統(tǒng)的現(xiàn)場可編程，就是在工業(yè)控制系統(tǒng)的運(yùn)行現(xiàn)場，編程上位機(jī)通過現(xiàn)場總線或以太網(wǎng)對(duì)工業(yè)控制器進(jìn)行編程控制（包括用戶程序下載、工程信息修改等），可以即時(shí)改變現(xiàn)場設(shè)備的運(yùn)行狀態(tài)?，F(xiàn)場可編程技術(shù)在工控系統(tǒng)的廣泛應(yīng)用使得工業(yè)生產(chǎn)中工控系統(tǒng)對(duì)現(xiàn)場設(shè)備的實(shí)時(shí)控制達(dá)到了一個(gè)全新的階段。

1.1 工業(yè)控制系統(tǒng)的基本構(gòu)成

工業(yè)控制系統(tǒng)主要由以下幾個(gè)部分組成：SCADA（Supervisory Control And Data Acquisition）系統(tǒng)，即數(shù)據(jù)采集與監(jiān)控系統(tǒng)，分布式過程控制系統(tǒng)DCS（Distributed Control System），可編程邏輯控制器PLC（Programmable Logic Controller），人機(jī)界面HMI（Human Machine Interface）等。其中的工業(yè)控制器即PLC是整個(gè)工業(yè)控制系統(tǒng)的核心部件，直接控制外部設(shè)備和工業(yè)生產(chǎn)。PLC直接受到編程上位機(jī)和監(jiān)控站的控制，圖1為工業(yè)控制系統(tǒng)簡化結(jié)構(gòu)圖。

1.2 現(xiàn)場可編程機(jī)制

現(xiàn)場可編程技術(shù)以其編程簡單、控制靈活、用戶程序?qū)崟r(shí)可控等優(yōu)點(diǎn)，在工業(yè)控制領(lǐng)域得到了廣泛的發(fā)展和應(yīng)用，現(xiàn)階段的現(xiàn)場總線逐步向以太網(wǎng)等常用通信手段擴(kuò)展。以廣泛使用的工業(yè)以太網(wǎng)實(shí)現(xiàn)的現(xiàn)場編程為例，現(xiàn)場編程的實(shí)現(xiàn)流程如圖2所示。

PLC的現(xiàn)場編程包括以下幾個(gè)步驟：

首先在編程上位機(jī)編寫STL/LAD高級(jí)程序，由編程軟件編譯成可執(zhí)行代碼；再將可執(zhí)行二進(jìn)制代碼組合到網(wǎng)絡(luò)數(shù)據(jù)包中，通過以太網(wǎng)接口下載到控制器PLC中，PLC的以太網(wǎng)接口接收到數(shù)據(jù)包后，解析并執(zhí)行這些代碼，這樣就實(shí)現(xiàn)了遠(yuǎn)程上位主機(jī)對(duì)PLC的現(xiàn)場編程。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，PLC的現(xiàn)場編程不僅包括傳統(tǒng)的用戶程序代碼編程，更是延伸到了更底層的固件代碼，例如可以通過以太網(wǎng)接口實(shí)現(xiàn)固件版本更新等高級(jí)操作。

工業(yè)控制系統(tǒng)現(xiàn)場編程的數(shù)據(jù)采用現(xiàn)場總線傳輸，其中使用最廣泛的是工業(yè)以太網(wǎng)連接，圖3是工業(yè)以太網(wǎng)的層次模型[4]。

如圖3所示，工業(yè)以太網(wǎng)協(xié)議基本上是直接在TCP/IP層以上附加應(yīng)用層協(xié)議實(shí)現(xiàn)的，通過直接把應(yīng)用層報(bào)文嵌入到TCP報(bào)文中，組成工業(yè)以太網(wǎng)數(shù)據(jù)幀。所以工業(yè)以太網(wǎng)協(xié)議的低層次數(shù)據(jù)鏈路層、傳輸層、網(wǎng)絡(luò)層采用的是標(biāo)準(zhǔn)協(xié)議，應(yīng)用層則一般采用內(nèi)部非公開協(xié)議。工控系統(tǒng)的安全策略大多都在應(yīng)用層中實(shí)現(xiàn)，具有一定的研究意義。

工控系統(tǒng)應(yīng)用層協(xié)議主要具有以下幾個(gè)特點(diǎn)：

保密性：傳統(tǒng)IT網(wǎng)絡(luò)的應(yīng)用層協(xié)議都已經(jīng)對(duì)外公開，具有統(tǒng)一的標(biāo)準(zhǔn)，所以按照協(xié)議格式，可以輕松分析得到包頭和各數(shù)據(jù)段表示的信息。而工業(yè)控制系統(tǒng)的應(yīng)用層協(xié)議則沒有統(tǒng)一的標(biāo)準(zhǔn)，工業(yè)控制領(lǐng)域的系統(tǒng)開發(fā)公司針對(duì)自己的產(chǎn)品都指定了具有各自特點(diǎn)的應(yīng)用層協(xié)議，且不對(duì)外公開。

實(shí)時(shí)性：工業(yè)控制系統(tǒng)設(shè)計(jì)過程中最重要的指標(biāo)就是實(shí)時(shí)性，從而要求工業(yè)控制系統(tǒng)的應(yīng)用層協(xié)議也必須滿足實(shí)時(shí)性的要求。然而正是由于必須滿足實(shí)時(shí)性的要求，應(yīng)用層協(xié)議在設(shè)計(jì)過程中主要的系統(tǒng)資源消耗在實(shí)時(shí)控制方面，導(dǎo)致無法消耗更多資源在系統(tǒng)安全的保護(hù)上。

可偵測性：工業(yè)控制系統(tǒng)采用的網(wǎng)絡(luò)結(jié)構(gòu)與傳統(tǒng)IT網(wǎng)絡(luò)類似，具有分層結(jié)構(gòu)。如果能侵入工業(yè)控制內(nèi)網(wǎng)，則可以利用傳統(tǒng)IT網(wǎng)絡(luò)的嗅探、偵測技術(shù)對(duì)工業(yè)以太網(wǎng)的數(shù)據(jù)進(jìn)行截獲、竊取等操作，甚至對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行篡改。

2 現(xiàn)場可編程安全隱患分析模型設(shè)計(jì)

工業(yè)控制系統(tǒng)在設(shè)計(jì)過程中注重系統(tǒng)的可用性和實(shí)時(shí)性，而對(duì)系統(tǒng)信息的安全沒有做出應(yīng)有的防護(hù)。尤其在現(xiàn)場可編程機(jī)制中，編程上位機(jī)通過工業(yè)以太網(wǎng)與PLC連接實(shí)現(xiàn)數(shù)據(jù)傳輸，上位機(jī)將PLC應(yīng)用程序下載到PLC，實(shí)際上是將PLC直接連接到了上位機(jī)和監(jiān)控站所在的內(nèi)部網(wǎng)里。僅僅通過在工業(yè)以太網(wǎng)上設(shè)置工業(yè)防火墻，防止內(nèi)部網(wǎng)絡(luò)的非法訪問，不能保證內(nèi)部數(shù)據(jù)的安全。因此，現(xiàn)場可編程機(jī)制存在嚴(yán)重的安全隱患。下面從保密性、完整性、可認(rèn)證性三個(gè)方面對(duì)工控系統(tǒng)現(xiàn)場可編程機(jī)制的安全性進(jìn)行分析建模[5?6]。

2.1 現(xiàn)場編程數(shù)據(jù)的保密性模型

保密性是指網(wǎng)絡(luò)信息不被泄露給非授權(quán)的用戶或?qū)嶓w，信息只為授權(quán)用戶使用的特性。

數(shù)據(jù)信息的保密性主要分為兩個(gè)方面：信息的防偵收和信息加密。

根據(jù)信息數(shù)據(jù)的傳輸和處理，建立基于信息流的現(xiàn)場編程數(shù)據(jù)保密性安全模型，如圖4所示。

在工控系統(tǒng)的現(xiàn)場可編程機(jī)制中，數(shù)據(jù)的保密性主要表現(xiàn)在對(duì)PLC用戶程序指令的可執(zhí)行代碼的加密和解密、PLC的數(shù)據(jù)經(jīng)過工業(yè)以太網(wǎng)時(shí)的防護(hù)（主要通過工業(yè)防火墻）等安全措施。如圖4所示，上排橫向過程表示用戶程序數(shù)據(jù)[A]經(jīng)過加密變換[E]后，組包進(jìn)入工業(yè)以太網(wǎng)傳輸；接收端經(jīng)過解包，得到加密通信數(shù)據(jù)，再經(jīng)過解密變換[D]還原出原始數(shù)據(jù)[A。]其中工業(yè)以太網(wǎng)設(shè)有工業(yè)防火墻，防止非授權(quán)訪問。若是黑客突破了工業(yè)防火墻，竊取了工業(yè)以太網(wǎng)中的通信數(shù)據(jù)，即使破譯了應(yīng)用層的不公開協(xié)議，由于不能獲取數(shù)據(jù)的加密方式和密鑰，只能分析得到加密數(shù)據(jù)，而不能恢復(fù)出原始數(shù)據(jù)[A。]

然而，課題組對(duì)工控系統(tǒng)的現(xiàn)場編程過程的研究結(jié)果卻令人大吃一驚，工業(yè)以太網(wǎng)的二進(jìn)制通信數(shù)據(jù)竟然毫無加密處理，而是以明文的形式傳輸。這就給黑客和不法分子侵入工控系統(tǒng)、竊取核心機(jī)密可乘之機(jī)。由于工控系統(tǒng)缺乏對(duì)數(shù)據(jù)的加密處理，黑客通過網(wǎng)絡(luò)手段獲取通信數(shù)據(jù)，就能直接得到現(xiàn)場編程的重要指令，造成極大的安全威脅。

2.2 現(xiàn)場編程數(shù)據(jù)的完整性

完整性是指在傳輸、存儲(chǔ)信息或數(shù)據(jù)的過程中，確保信息或數(shù)據(jù)不被未授權(quán)的篡改或在篡改后能夠被及時(shí)發(fā)現(xiàn)。圖5為工控系統(tǒng)現(xiàn)場編程數(shù)據(jù)完整性驗(yàn)證模型圖。

圖5 現(xiàn)場編程數(shù)據(jù)完整性模型圖

如圖5所示，通信數(shù)據(jù)[A]在發(fā)送之前，使用雜湊函數(shù)[f（ ）]計(jì)算出信息摘要[f（A）]附在數(shù)據(jù)[A]后，通過工業(yè)以太網(wǎng)傳輸?shù)絇LC，PLC使用函數(shù)[f（ ）]對(duì)接收到的數(shù)據(jù)部分[B]再次計(jì)算，比較[f（A）， f（B），]以此驗(yàn)證數(shù)據(jù)[A]的完整性。假設(shè)通信數(shù)據(jù)被黑客截獲且關(guān)鍵數(shù)據(jù)被篡改，如圖中虛線表示，信息數(shù)據(jù)部分被篡改為[B，]而摘要部分[f（A）]保持不變，通信數(shù)據(jù)到達(dá)接收端后，對(duì)信息數(shù)據(jù)部分[B]再次計(jì)算[f（B），]并與原摘要[f（A）]作比較，以此檢驗(yàn)數(shù)據(jù)完整性是否被破壞。

工控系統(tǒng)的現(xiàn)場可編程機(jī)制，為了更簡單、快捷、實(shí)效地傳輸程序指令，需要盡量減少通信數(shù)據(jù)的冗余，提高傳輸效率。因此，目前主流工控系統(tǒng)的現(xiàn)場可編程機(jī)制沒有設(shè)置對(duì)數(shù)據(jù)的完整性驗(yàn)證，忽略了系統(tǒng)的安全性，也就可能導(dǎo)致通信數(shù)據(jù)程序指令存在被惡意篡改的危險(xiǎn)。

2.3 上位機(jī)身份的可認(rèn)證性

可認(rèn)證性是指對(duì)操作客體對(duì)操作主體的認(rèn)證。在工控系統(tǒng)的現(xiàn)場可編程機(jī)制中，編程上位機(jī)擁有對(duì)下位PLC的直接操作權(quán)限。為了保證系統(tǒng)的安全，PLC需要對(duì)編程上位機(jī)的身份信息進(jìn)行認(rèn)證[7]，上位機(jī)身份認(rèn)證模型如圖6所示。

工控系統(tǒng)的現(xiàn)場編程過程，首先需要編程上位機(jī)與PLC建立以太網(wǎng)通信連接（一般采用TCP 3次握手），然后通過工業(yè)以太網(wǎng)發(fā)送消息相互驗(yàn)證身份信息。

如圖6所示，倘若黑客使用工業(yè)以太網(wǎng)上另一臺(tái)非上位主機(jī)與PLC建立偽上位機(jī)連接，PLC接收端會(huì)對(duì)上位機(jī)的身份進(jìn)行驗(yàn)證，確認(rèn)該上位主機(jī)是否有對(duì)PLC操作的權(quán)限，確認(rèn)身份后，才接收目標(biāo)主機(jī)傳來的信息數(shù)據(jù)，這樣就能保證現(xiàn)場可編程數(shù)據(jù)的安全。通過對(duì)現(xiàn)有工控系統(tǒng)上位機(jī)與PLC通信機(jī)制的研究發(fā)現(xiàn)，為了節(jié)省系統(tǒng)資源，降低通信數(shù)據(jù)冗余，現(xiàn)階段普遍使用的PLC尚未設(shè)置對(duì)上位機(jī)的身份驗(yàn)證環(huán)節(jié)，故不能對(duì)系統(tǒng)安全實(shí)施有效保護(hù)。因此，在上位機(jī)的身份認(rèn)證方面，PLC依舊保持較弱的安全性，存在安全隱患。

綜上所述，可以總結(jié)出工控系統(tǒng)現(xiàn)場可編程安全機(jī)制主要分為三個(gè)方面：現(xiàn)場編程保密性、現(xiàn)場編程完整性和可認(rèn)證性，每個(gè)方面都存在一定的安全隱患，主要有以下幾點(diǎn)：

（1） 工業(yè)以太網(wǎng)中引入了交換機(jī)，似乎提高了安全性，但交換機(jī)本身就存在大量安全漏洞，例如，更改交換機(jī)配置，ARP欺騙攻擊，監(jiān)視端口被利用都可能導(dǎo)致交換機(jī)被黑客攻破，從而獲得直接侵入PLC的機(jī)會(huì)[8]。

（2） 以太網(wǎng)的通用標(biāo)準(zhǔn)早已被人們所熟知，工業(yè)以太網(wǎng)應(yīng)用層以下的協(xié)議都是通用協(xié)議，可以直接解析，所以，不法攻擊者只需掌握或破譯應(yīng)用層協(xié)議格式，就能輕易構(gòu)造合法的數(shù)據(jù)包，模仿編程上位機(jī)對(duì)PLC進(jìn)行實(shí)時(shí)操作。

（3） 工業(yè)以太網(wǎng)的數(shù)據(jù)傳輸大多采用明文，未使用任何加密手段，這又給黑客實(shí)施攻擊提供了方便，黑客一旦破譯了應(yīng)用層協(xié)議格式，就可能得到PLC中運(yùn)行的應(yīng)用程序，這是相當(dāng)危險(xiǎn)的。

（4） PLC對(duì)編程上位機(jī)發(fā)送的網(wǎng)絡(luò)數(shù)據(jù)包不驗(yàn)證來源的可靠性，這些數(shù)據(jù)包中包含重要的程序指令，偽造的數(shù)據(jù)包能輕易對(duì)PLC運(yùn)行狀態(tài)進(jìn)行更改。黑客甚至可能利用內(nèi)網(wǎng)肉機(jī)與PLC建立偽上位機(jī)可編程連接，對(duì)PLC實(shí)施惡意操縱[9]。

3 隱患驗(yàn)證實(shí)驗(yàn)

根據(jù)工控系統(tǒng)現(xiàn)場可編程機(jī)制安全性的三個(gè)方面，進(jìn)行以下3個(gè)小實(shí)驗(yàn)來驗(yàn)證現(xiàn)場可編程機(jī)制存在的安全隱患。

搭建一個(gè)簡單的實(shí)驗(yàn)平臺(tái)，包括實(shí)驗(yàn)編程上位機(jī)、監(jiān)視監(jiān)控主機(jī)、可編程控制器（PLC）、模擬攻擊主機(jī)等，通過交換機(jī)相連構(gòu)成工業(yè)控制局域網(wǎng)系統(tǒng)。假設(shè)通過某種手段，黑客侵入了內(nèi)部局域網(wǎng)的一臺(tái)主機(jī)，利用該主機(jī)對(duì)系統(tǒng)實(shí)施攻擊。

3.1 現(xiàn)場可編程信息破譯實(shí)驗(yàn)

正常運(yùn)行實(shí)驗(yàn)平臺(tái)，使用編程上位機(jī)對(duì)PLC進(jìn)行現(xiàn)場編程（例如發(fā)送刪除DB1數(shù)據(jù)塊的指令），同時(shí)抓取工控系統(tǒng)現(xiàn)場編程過程的網(wǎng)絡(luò)通信數(shù)據(jù)，圖7為利用抓包軟件wireshark獲取的實(shí)時(shí)通信二進(jìn)制數(shù)據(jù)包。

如圖7所示，數(shù)據(jù)包的末尾可以清楚地看到0A00001B._DELE的ASCII碼。顯然，實(shí)驗(yàn)平臺(tái)使用工控系統(tǒng)的網(wǎng)絡(luò)傳輸過程采用的是未加密的明文傳輸，一旦被網(wǎng)絡(luò)黑客獲取網(wǎng)絡(luò)數(shù)據(jù)，就能輕易破譯現(xiàn)場編程的重要指令，存在嚴(yán)重的安全隱患。

3.2 通信數(shù)據(jù)篡改實(shí)驗(yàn)

工控系統(tǒng)正常運(yùn)行，現(xiàn)場編程傳送給PLC一個(gè)包含2 s時(shí)間周期的DB塊。利用網(wǎng)卡混雜模式獲取網(wǎng)絡(luò)數(shù)據(jù)包，找到表示2 s時(shí)間數(shù)據(jù)的二進(jìn)制代碼，修改為1 s，然后按照原DB模塊下載的通信時(shí)序重新下載，觀測實(shí)際通信周期。

從二進(jìn)制通信數(shù)據(jù)中提取核心信息，對(duì)其進(jìn)行篡改并按照相同的時(shí)序重新發(fā)送至PLC，觀測工控系統(tǒng)的相關(guān)指標(biāo)。將表示時(shí)間的二進(jìn)制數(shù)據(jù)0x02改為0x01，并按照相同的時(shí)序重新發(fā)送至PLC，觀測工控系統(tǒng)的實(shí)時(shí)壓力數(shù)值，如圖8所示，顯然對(duì)通信數(shù)據(jù)的篡改已經(jīng)生效，數(shù)據(jù)周期由2 s變?yōu)? s。

3.3 偽上位機(jī)惡意控制實(shí)驗(yàn)

截獲上位機(jī)和PLC通信的網(wǎng)絡(luò)數(shù)據(jù)包之后，使用另一臺(tái)內(nèi)網(wǎng)實(shí)驗(yàn)主機(jī)，利用socket向PLC發(fā)送相同的數(shù)據(jù)內(nèi)容，如圖9所示。

完成相同的通信時(shí)序之后，在PLC上實(shí)現(xiàn)了相同的編程效果。實(shí)驗(yàn)證明，PLC對(duì)上位機(jī)身份沒有驗(yàn)證，倘若黑客利用內(nèi)網(wǎng)肉機(jī)建立了偽裝的上位機(jī)，就能實(shí)現(xiàn)對(duì)PLC的惡意控制。

實(shí)驗(yàn)分析如下：工控系統(tǒng)的現(xiàn)場可編程機(jī)制存在嚴(yán)重的安全隱患，如采用普通網(wǎng)線傳輸數(shù)據(jù)，通信數(shù)據(jù)可能被監(jiān)聽和截獲；不驗(yàn)證上位機(jī)信息就能與PLC建立現(xiàn)場編程連接，可能存在惡意偽上位機(jī)連接；通信數(shù)據(jù)被篡改后仍然能正常下載到PLC并生效，缺乏對(duì)數(shù)據(jù)完整性的驗(yàn)證。

4 結(jié) 語

本文從工控系統(tǒng)的現(xiàn)場可編程機(jī)制入手，研究了工控系統(tǒng)通過工業(yè)以太網(wǎng)實(shí)現(xiàn)現(xiàn)場編程所存在的安全隱患，主要就保密性、完整性、認(rèn)證性等方面對(duì)現(xiàn)場可編程過程進(jìn)行了安全性分析，總結(jié)了系統(tǒng)存在的部分安全威脅。

當(dāng)前工控系統(tǒng)逐漸向開放化、智能化的方向發(fā)展，方便用戶的同時(shí)也會(huì)存在一些安全隱患，如工業(yè)以太網(wǎng)的安全漏洞、PLC對(duì)外來數(shù)據(jù)無驗(yàn)證等。如何在豐富系統(tǒng)功能、簡化操作過程的同時(shí)確保工控系統(tǒng)的安全，是一個(gè)需要深入探索研究的課題[10]。

參考文獻(xiàn)

[1] 華镕.“震網(wǎng)”給工業(yè)控制敲響了警鐘[J].儀器儀表標(biāo)準(zhǔn)化與計(jì)量，2011（2）：30?34.

[2] 朱世順，黃益彬，朱應(yīng)飛，等.工業(yè)控制系統(tǒng)信息安全防護(hù)關(guān)鍵技術(shù)研究[J].電力信息與通信技術(shù)，2013，11（11）：106?109.

[3] 李?yuàn)C林，穆靈.電力工控系統(tǒng)安全面臨的威脅與對(duì)策[J].信息安全與通信保密，2014（6）：62?63.

[4] 李鴻培.下一代安全技術(shù)方向的思考[R].綠盟科技，2012.

[5] 綠盟科技.工業(yè)控制系統(tǒng)及其安全性研究報(bào)告[EB/OL].[2013?07?02].http：//www.2cto.com/ebook/201307/40253.html.

[6] NSTB. Assessment summary report：Common industrial control system cyber security weaknesses [R]. [S.l.]： NSTB， 2010.

[7] KASAI N， MATSUHASHI S， SEKINE K. Accident occurrence model for the risk analysis of industrial facilities [J]. Reliability Engineering & System Safety， 2013， 114（2）： 71?74.

[8] FITZPATRICK C. GLOBAL： research warns of hacker threat to SCADA systems [M]. London： IWA Publishing， 2011.

[9] BRADBURY D. SCADA： a critical vulnerability [J]. Computer Fraud & Security， 2012， 2012（4）： 11?14.

[10] PAUL A， SCHUSTER F， KONIG H. Towards the protection of industrial control systems conclusions of a vulnerability assessment [C]// Proceedings of 2013 10th International Confe?rence on Detection of Intrusions and Malware， and Vulnerability Assessment. [S.l.]： Springer Berlin Heidelberg， 2013： 160?176.