城市污水處理廠控制系統(tǒng)可信安全防護設(shè)計

吳云峰

(中國電子信息產(chǎn)業(yè)集團有限公司第六研究所工業(yè)控制系統(tǒng)信息安全技術(shù)國家工程實驗室，北京 102209)

0　引言

隨著社會和經(jīng)濟的高速發(fā)展，環(huán)境問題日益突出，尤其是城市水環(huán)境的惡化，加劇了水資源的短缺，城市污水處理對解決水資源缺乏，促進社會可持續(xù)發(fā)展有著十分重要的意義。

城市污水處理一般分為三級：一級為物理處理，二級為生物處理，三級為深度處理。整個污水處理過程工藝復(fù)雜、設(shè)備多、操作步驟繁瑣，實現(xiàn)污水處理過程自動化運行是很有必要的，也是保證水質(zhì)安全、提高污水處理效率不可缺少的環(huán)節(jié)。

基于PLC的城市污水處理的自動化控制系統(tǒng)采用計算機技術(shù)、控制技術(shù)、通信技術(shù)，跟蹤經(jīng)常變化的水處理情況，檢測不同時間的水質(zhì)指標數(shù)據(jù)，在計算機上動態(tài)展示，對這些數(shù)據(jù)進行分析處理并記錄下來，以備在需要的時候查閱。通過分析數(shù)據(jù)趨勢走向，隨時調(diào)整個設(shè)備及工藝過程參數(shù)，使其達到優(yōu)化控制狀態(tài)，經(jīng)濟運行，節(jié)省能耗。采用計算機代替人工操作，減少事故，保證安全，降低勞動強度，節(jié)約人力，甚至可以完成許多人工難以完成的任務(wù)，提高運行的可靠性。控制系統(tǒng)作為保障城市污水處理廠連續(xù)正常生產(chǎn)運行以及保證水資源水質(zhì)安全的核心，其安全問題越來越受到關(guān)注。

1　城市污水處理廠控制系統(tǒng)的安全現(xiàn)狀

一直以來，工業(yè)控制系統(tǒng)都被認為相對安全，不易遭受病毒攻擊。然而近些年來，水行業(yè)控制系統(tǒng)典型安全事件頻發(fā)。2000年，一個工程師在應(yīng)聘澳大利亞的一家污水處理廠被多次拒絕后，遠程侵入該廠的污水處理控制系統(tǒng)，惡意造成污水處理泵站的故障，導(dǎo)致超過1 000 m3的污水被直接排入河流，導(dǎo)致了嚴重的環(huán)境災(zāi)難。2001年，澳大利亞的一家污水處理廠由于內(nèi)部工程師的多次網(wǎng)絡(luò)入侵，該廠發(fā)生了46次控制設(shè)備功能異常事件。2005年，美國發(fā)生水電溢壩事件。2006年，黑客從Internet攻破了美國哈里斯堡的一家污水處理廠的安全措施，在其系統(tǒng)內(nèi)植入了能夠影響污水操作的惡意程序。2007年，攻擊者侵入加拿大的一個水利SCADA控制系統(tǒng)，通過安裝惡意軟件破壞了用于控制從Sacrmento河調(diào)水的控制計算機。2011年，黑客通過互聯(lián)網(wǎng)操縱美國伊利諾伊州城市供水系統(tǒng)SCADA，使得其控制的供水泵遭到破壞。上述安全事件表明，惡意網(wǎng)絡(luò)攻擊逐漸向城市水處理領(lǐng)域滲透，把控制系統(tǒng)作為攻擊的目標，為城市污水處理廠控制系統(tǒng)的安全性敲響了警鐘。

目前城市污水處理廠控制系統(tǒng)存在以下安全風(fēng)險：

(1)控制系統(tǒng)聯(lián)網(wǎng)后安全問題愈加突出

在計算機和網(wǎng)絡(luò)技術(shù)高速發(fā)展，特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展的背景下，基于物聯(lián)網(wǎng)、云計算的城市污水處理綜合運營管理平臺為水務(wù)運營企業(yè)提供統(tǒng)一業(yè)務(wù)信息管理平臺(安全管理、生產(chǎn)運行、水質(zhì)化驗、設(shè)備管理、日常辦公等關(guān)鍵業(yè)務(wù))，為企業(yè)規(guī)范管理、節(jié)能降耗、減員增效和精細化管理提供強大的技術(shù)支持，從而形成完善的城市污水處理信息化綜合管理解決方案。因此，傳統(tǒng)封閉控制系統(tǒng)網(wǎng)絡(luò)與基于互聯(lián)網(wǎng)技術(shù)的企業(yè)管理網(wǎng)打通，控制系統(tǒng)面對的是開放、復(fù)雜、不確定的工業(yè)互聯(lián)網(wǎng)環(huán)境，大多數(shù)城市污水處理廠控制系統(tǒng)信息安全防護設(shè)計考慮不足，病毒及黑客威脅隨之而來。

(2)工控安全漏洞逐年遞增

國家信息安全漏洞共享平臺CNVD數(shù)據(jù)顯示，近幾年工控安全漏洞數(shù)量增加，半數(shù)以上為高危漏洞，分布在水處理行業(yè)的工控安全漏洞數(shù)量排在前列，由于污水處理工藝生產(chǎn)過程要求連續(xù)運行不能隨時停機，因此導(dǎo)致工控安全漏洞的修復(fù)進度非常遲緩，這些漏洞極易被攻擊者利用。

(3)國外設(shè)備后門帶入威脅

城市污水處理廠控制系統(tǒng)中超過90%的PLC、操作員站、工程師站、工業(yè)軟件等為國外產(chǎn)品，因考慮現(xiàn)場服務(wù)成本因素，有時需要工控廠商遠程維護，因此，大多工控設(shè)備留有遠程訪問端口，存在很多未知的設(shè)備“后門”，“后門”帶入的威脅包括旁路控制、拒絕服務(wù)(DoS)、信息泄露等。

(4)以PLC為核心的工控系統(tǒng)口令保護弱

在污水處理廠中PLC系統(tǒng)編程和調(diào)試中，工程師為防止忘記密碼，往往對PLC程序的密碼口令設(shè)置都比較簡單，如生日日期、電話號碼、0～9數(shù)字等，或者直接采用出廠默認密碼，對于這種弱口令設(shè)置非常容易被破解。即使工程師設(shè)置了非常復(fù)雜的密碼，但由于目前各廠家PLC加解密大多使用國外公開的密碼算法，或網(wǎng)絡(luò)上公開的簡易源碼，對算法復(fù)雜度、密鑰的安全度沒有統(tǒng)一的頂層設(shè)計，安全性無法得到有效保障。而且大多主流PLC品牌都已有解密的方法，并在網(wǎng)絡(luò)上公開，黑客可結(jié)合工具掃描所有連接在互聯(lián)網(wǎng)上的設(shè)備IP，實現(xiàn)對這些設(shè)備的攻擊，例如直接篡改系統(tǒng)軟件。

上位機監(jiān)控組態(tài)軟件一般采用固定用戶名與口令密碼，在中央控制站每天負責(zé)值班的操作人員往往各自設(shè)置用戶名和密碼，但這種依賴于固定用戶名與密碼的身份鑒別機制，無法保證用戶標識符的唯一性，無法識別病毒的偽裝，一旦密碼破解，即可從操作員站隨意控制現(xiàn)場設(shè)備，獲取或修改參數(shù)，嚴重的會造成重大事故。另一方面，僅依賴于上位機軟件端的身份鑒別機制，使PLC成為被動響應(yīng)的一方，從而攻擊者可以繞過上位機，直接在網(wǎng)絡(luò)中通過重放、偽裝的方式達到攻擊目的。

(5)工控系統(tǒng)中數(shù)據(jù)通信采用明文傳輸

圖2　控制系統(tǒng)可信安全防護設(shè)計方案

城市污水處理廠控制系統(tǒng)通信缺乏完整性校驗，由于PLC控制系統(tǒng)需要保證實時性和可用性，目前PLC與上位監(jiān)控系統(tǒng)之間、PLC與PLC之間、PLC與現(xiàn)場設(shè)備之間均未采用任何密碼方式保護，而是采用明文傳輸，而且往往采用CRC等通用算法，很容易受到黑客攻擊，對數(shù)據(jù)進行篡改和偽造。

綜上，目前城市污水處理廠控制系統(tǒng)面臨非常嚴峻的安全挑戰(zhàn)，因此，在城市污水處理廠設(shè)計時，控制系統(tǒng)的信息安全防護設(shè)計必須作為一個主要的指標考慮。

2　控制系統(tǒng)可信安全防護設(shè)計

2.1　系統(tǒng)總體設(shè)計

城市污水處理廠控制系統(tǒng)的信息安全防護設(shè)計不能是信息安全產(chǎn)品的簡單堆砌，應(yīng)參照《IEC 62443 工業(yè)過程測量、控制和自動化網(wǎng)絡(luò)與系統(tǒng)信息安全》、《工業(yè)控制系統(tǒng)信息安全防護指南》、《工業(yè)自動化和控制系統(tǒng)網(wǎng)絡(luò)安全 可編程控制器(PLC)》、《GB/T 22239-2008信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》等工控安全相關(guān)標準規(guī)范，根據(jù)城市污水處理廠控制系統(tǒng)結(jié)構(gòu)、功能及工藝流程要求，構(gòu)建覆蓋控制系統(tǒng)基礎(chǔ)設(shè)備安全、實時控制行為安全、業(yè)務(wù)流程作業(yè)安全的一體化深度安全防護體系，詳見圖1。

圖1　城市污水處理廠控制系統(tǒng)深度安全防護體系

其中，業(yè)務(wù)安全主要是IT系統(tǒng)信息安全防護技術(shù)在工控系統(tǒng)中的應(yīng)用，控制安全、邊界安全、通信安全采用以密碼為基礎(chǔ)，以自主可控、可信計算為核心安全防護設(shè)計，可提高控制系統(tǒng)的主動免疫防御能力，防止非授權(quán)或意外的訪問、篡改、破壞和損失，確保控制系統(tǒng)能長期安全穩(wěn)定地運行，保障城市污水處理廠出水水質(zhì)安全。以下重點介紹控制系統(tǒng)的可信安全防護設(shè)計方案，如圖2所示。

可信計算是一種運算和防護并存的主動免疫防御體系，通過為計算平臺增加一個具有安全保護的密碼芯片，并通過軟硬件結(jié)合的方式構(gòu)建出一個可信計算環(huán)境。利用可信計算環(huán)境進行逐級認證，建立可信鏈，確保運行程序和依賴數(shù)據(jù)的真實性、機密性和可控性等[6-9]。

城市污水處理廠控制系統(tǒng)基于現(xiàn)代先進控制思想，采用分散控制、集中管理的控制模式。系統(tǒng)由廠級管理系統(tǒng)、中央監(jiān)控系統(tǒng)、PLC控制站、通信網(wǎng)絡(luò)以及現(xiàn)場工藝設(shè)備組成，廠級管理系統(tǒng)實現(xiàn)全廠資源配置、質(zhì)量監(jiān)督等，中央監(jiān)控系統(tǒng)對全廠實行集中監(jiān)控、管理，PLC控制站實現(xiàn)對各工段工藝設(shè)備的分散控制，二者通過高速工業(yè)以太網(wǎng)進行數(shù)據(jù)通信。

(1)管理層：構(gòu)建管理可信計算平臺，確保應(yīng)用軟件運行環(huán)境安全可信。

(2)監(jiān)控層：對數(shù)據(jù)服務(wù)器、操作員站、工程師站進行安全加固，增加可信加密芯片，構(gòu)建上位機可信計算平臺，確保監(jiān)控組態(tài)軟件、邏輯編程軟件運行環(huán)境安全可信；基于國產(chǎn)麒麟操作系統(tǒng)，完成邏輯組態(tài)軟件的安全加固，功能包括軟件的完整性度量、權(quán)限管理、關(guān)鍵操作時的權(quán)限鑒別、組態(tài)工程文件的加密存儲與傳輸防篡改、與Ukey的集成。

(3)控制層：通過對PLC系統(tǒng)進行可信安全加固，增加可信加密芯片，實現(xiàn)嵌入式操作系統(tǒng)與應(yīng)用軟件的完整性度量。

(4)通信：通過實現(xiàn)監(jiān)控層上位機與PLC系統(tǒng)的身份認證，完成關(guān)鍵指令的解密和驗簽，確保上位機接入及操作指令下發(fā)的完整性和保密性。

2.2　中央監(jiān)控系統(tǒng)設(shè)計

中央控制站設(shè)于中控室(CCR)，配置具有非對稱密碼校驗身份識別和對稱密碼加密通信相結(jié)合的安全可信服務(wù)器、工程師站和操作員站，均基于國產(chǎn)飛騰CPU和麒麟操作系統(tǒng)。數(shù)據(jù)服務(wù)器、操作員站、工程師站以及各PLC控制的控制器等關(guān)鍵設(shè)備采用國密算法進行認證接入、建立可信安全環(huán)境。工程師站、操作員站、控制終端設(shè)備的業(yè)務(wù)邏輯更新、控制邏輯更新采用國密算法進行認證授權(quán)、校驗和操作控制，并借助物理介質(zhì)(如Ukey)將工程師和操作員的屬性數(shù)字化，以此為依據(jù)驗證操作者是否具有相應(yīng)的權(quán)限。

(1)安全分區(qū)：中央控制站監(jiān)控系統(tǒng)建立和外部網(wǎng)絡(luò)隔離的安全分區(qū)，安全分區(qū)的門禁等物理隔離設(shè)備、網(wǎng)關(guān)/網(wǎng)閘等網(wǎng)絡(luò)隔離設(shè)備、人員訪問控制設(shè)備全部采用國密算法。

(2)數(shù)據(jù)服務(wù)器：采用國密算法對關(guān)鍵數(shù)據(jù)進行加密保護，保證數(shù)據(jù)的安全性。

(3)工程師站：采用國密算法SM2建立的安全訪問控制機制，可穿越開放網(wǎng)絡(luò)實現(xiàn)對PLC的遠程監(jiān)測和維護。配置具有自身完整性度量防護能力，基于國產(chǎn)密碼摘要算法SM3的PLC邏輯組態(tài)軟件。工程師啟動PLC邏輯組態(tài)開發(fā)軟件時，軟件要求對登錄用戶進行認證，對用戶Key和口令進行驗證，通過身份認證后才允許登錄。

(4)操作員站：配置具有自身完整性度量防護能力，基于國產(chǎn)密碼摘要算法SM3的監(jiān)控組態(tài)軟件。兩臺操作員站在功能上完全相同：與所有現(xiàn)場I/O通信(無限點)，趨勢、報警、報表、數(shù)據(jù)庫連接等，且兩臺操作站之間互為熱備冗余：當(dāng)主站由于故障不能通信時，備站立即接管所有功能，當(dāng)主站恢復(fù)正常時，首先要將故障期間系統(tǒng)需存儲的歷史趨勢數(shù)據(jù)、報警記錄等從備站補回，然后再將所有控制功能自動切換到主站，由主站繼續(xù)控制整個系統(tǒng)，備站重新回到熱備狀態(tài)，并連續(xù)地以主站為數(shù)據(jù)源同步更新所有數(shù)據(jù)。

(5)其他業(yè)務(wù)子系統(tǒng)：其他業(yè)務(wù)相關(guān)子系統(tǒng)，如水務(wù)集團企業(yè)網(wǎng)，和PLC子系統(tǒng)彼此隔離。數(shù)據(jù)訪問需經(jīng)過相應(yīng)的權(quán)限認證和密碼保護。

2.3　PLC控制站系統(tǒng)設(shè)計

系統(tǒng)共設(shè)4個PLC控制站， 1#站設(shè)于提升泵房，負責(zé)物理處理工段；2#站設(shè)于變配電間，負責(zé)生物處理工段；3#站設(shè)于鼓風(fēng)機房，負責(zé)深度處理工段；4#站設(shè)于污泥濃縮脫水機房，負責(zé)污泥處理工段。

PLC控制站由控制器、電源模塊、通信模塊、I/O模塊、功能模塊、控制機柜以及其他電氣元件等組成，是實現(xiàn)整個工藝流程自動化控制的關(guān)鍵，實現(xiàn)對現(xiàn)場壓力、流量、溫度、PH等工藝數(shù)據(jù)以及現(xiàn)場工藝設(shè)備運行狀態(tài)的采集，并通過預(yù)先編制下裝至PLC的邏輯控制程序控制污水處理廠工藝流程自動運行。PLC采集到的工藝數(shù)據(jù)實時上傳至中央控制站監(jiān)控系統(tǒng)，并執(zhí)行來自中央控制站監(jiān)控系統(tǒng)的指令。

控制器：PLC控制站的核心，設(shè)計基于國產(chǎn)密碼安全芯片，采用國產(chǎn)化自主CPU、實時操作系統(tǒng)以及組態(tài)運行支撐環(huán)境。

冗余配置：PLC采用雙機熱備的冗余配置，即支持電源冗余、CPU冗余、以太網(wǎng)冗余、總線冗余以及I/O冗余，熱備無擾切換時間≤50 ms，CPU與遠程I/O之間采用冗余的現(xiàn)場總線。整個系統(tǒng)任何部件的故障或者異常關(guān)斷都能夠自動切換到備用系統(tǒng)。

控制邏輯：PLC中的用戶控制邏輯是實現(xiàn)控制功能的關(guān)鍵部分?？刂七壿嬙诠こ處熣具壿嫿M態(tài)軟件中完成編輯、編譯后生成可執(zhí)行文件，然后下裝至控制器中循環(huán)執(zhí)行。PLC控制邏輯設(shè)計采用可信分發(fā)技術(shù)，整個過程包括：組態(tài)—編譯—簽名—權(quán)限—下裝—認證—接收—驗簽—運行。與傳統(tǒng)PLC相比，邏輯分發(fā)過程要更加安全、可信。

另外，PLC系統(tǒng)及安全防護設(shè)計應(yīng)遵循以下準則：

(1)單一故障不會引起PLC系統(tǒng)的整體故障。

(2)單一故障不會引起其他保護系統(tǒng)的誤動作或拒動作。

(3)控制功能的分組劃分原則：某個區(qū)域的故障只是部分降低整個控制系統(tǒng)的控制功能，此類控制功能的降低可通過運行人員干預(yù)進行處理。

(4)控制系統(tǒng)具有自診斷功能，內(nèi)部故障在對過程造成影響之前可被檢測出來。

(5)每個I/O機架有安裝好的備用I/O點，為實際使用量的20%。

(6)每個I/O機架應(yīng)有實際使用量30%的備用插卡空間。

(7)支持目前主流通信協(xié)議，如MODBUS TCP、MODBUS RTU、CAN、自由口協(xié)議等。

(8)PLC邏輯編程軟件符合IEC61131-3國際標準，支持夠提供包括梯形圖(LD)、功能圖塊(FDB)、結(jié)構(gòu)化文本(ST)編程語言，用戶可在同一項目中選擇不同的編程語言編輯子程序、功能模塊等。

2.4　通信網(wǎng)絡(luò)

整個系統(tǒng)采用三級網(wǎng)絡(luò)結(jié)構(gòu)，即生產(chǎn)管理網(wǎng)、生產(chǎn)監(jiān)控網(wǎng)和生產(chǎn)控制網(wǎng)，將過程實時數(shù)據(jù)、運行操作監(jiān)視數(shù)據(jù)信息同非實時信息及共享資源信息分開，分別使用不同的網(wǎng)絡(luò)，有效地提高了通信效率，降低了通信負荷。配置邊界防護設(shè)備，通過對進入和流出計算環(huán)境的信息流進行可信度量和安全檢查，確保不會有違背系統(tǒng)安全策略的信息流經(jīng)過邊界。

(1)生產(chǎn)管理網(wǎng)，即廠級信息管理系統(tǒng)網(wǎng)絡(luò)，配置安全工業(yè)以太網(wǎng)交換機，并通過工業(yè)防火墻連接互聯(lián)網(wǎng)。

(2)生產(chǎn)監(jiān)控網(wǎng)，即中央控制站與各PLC控制站之間的數(shù)據(jù)通信采用高速、實時的工業(yè)以太網(wǎng)，網(wǎng)絡(luò)結(jié)構(gòu)為環(huán)形，通信速率為100 Mb/s，傳輸介質(zhì)為光纖。配置安全工業(yè)以太網(wǎng)交換機，并通過工業(yè)防火墻連接生產(chǎn)管理網(wǎng)。

(3)生產(chǎn)控制網(wǎng)，即PLC控制與I/O之間采用現(xiàn)場總線，傳輸介質(zhì)為屏蔽雙絞線或光纖。

3　控制系統(tǒng)功能

(1)安全可信授權(quán)系統(tǒng)：工程師、操作員進入系統(tǒng)需使用物理介質(zhì)(如Ukey)進行認證授權(quán)、校驗和操作控制，安全密碼驗證基于國密算法，以此為依據(jù)驗證操作者是否具有相應(yīng)的權(quán)限，避免控制系統(tǒng)遭到非授權(quán)或意外的訪問、篡改、破壞和損失。系統(tǒng)提供分級的用戶進入密碼系統(tǒng)，所以低級操作員只能進入基本操作功能界面，同時較高級別的操作人員，按照不同的密碼，可進入不同的系統(tǒng)組態(tài)功能界面。操作者對非自己管理區(qū)域的設(shè)備不能進行誤操作，無權(quán)限人員無法通過該計算機控制PLC系統(tǒng)，同時也可防止病毒偽裝成操作員發(fā)送控制指令。

(2)流程顯示功能：顯示工程設(shè)備的運行狀態(tài)、工藝流程的動態(tài)參數(shù)、相關(guān)參數(shù)的趨勢、歷史數(shù)據(jù)及歷史記錄、各類報表。

(3)編程組態(tài)功能：工程師可在中央控制站實現(xiàn)編程、組態(tài)和修改等，監(jiān)控計算機裝有功能強大的監(jiān)控組態(tài)軟件，以便能方便、直觀地組態(tài)和編程。

(4)診斷調(diào)試：系統(tǒng)有在線和離線修改功能，并帶有自診斷功能，系統(tǒng)的任何一個部件的故障可以在運行中自動診斷出，并且在監(jiān)控軟件中及時、準確地反映出故障狀態(tài)、故障時間、故障地點及相關(guān)信息。在系統(tǒng)或工藝設(shè)備發(fā)生故障后，I/O狀態(tài)將返回到工藝要求預(yù)設(shè)置的安全狀態(tài)上。

(5)系統(tǒng)穩(wěn)定性：不因誤操作和通信問題死機，重要技術(shù)參數(shù)修改有軟鎖。

(6)趨勢功能：能根據(jù)實時數(shù)據(jù)，觀看在擴展期內(nèi)的發(fā)展趨勢，同時能顯示出8個趨勢且每10 s掃描一次，圖形顯示和歷史數(shù)據(jù)顯示是一樣的，哪一個模擬量要顯示趨勢，由操作員根據(jù)標志或鍵盤輸入確定。

(7)報警功能：完成報警記錄及顯示報警總匯，可根據(jù)收到的次序顯示，所有報警都標有日期、時間，有8個報警優(yōu)先級，并且可以總體報警或一個接一個報警。

(8)打印功能：打印過程回路控制的參數(shù)給定值、報警記錄、報表、趨勢圖等。

4　結(jié)論

目前互聯(lián)網(wǎng)技術(shù)得到了的快速發(fā)展，以高級持續(xù)性威脅(APT)為代表的攻擊使得工業(yè)控制系統(tǒng)面臨前所未有的安全挑戰(zhàn)，傳統(tǒng)的被動防御安全策略(如防火墻、殺毒軟件、網(wǎng)閘)已無法抵擋日益復(fù)雜多變的黑客攻擊。可信計算技術(shù)在城市污水處理廠控制系統(tǒng)設(shè)計中的應(yīng)用，使得控制系統(tǒng)中邏輯控制不被篡改和破壞，實現(xiàn)主動免疫防御，具備對未知病毒木馬以及系統(tǒng)漏洞的防御能力，從而從根本上保證了城市污水處理廠生產(chǎn)的安全運行，確保水質(zhì)安全。

[1] 王昱鑌，陳思，程楠.工業(yè)控制系統(tǒng)信息安全防護研究[J].信息網(wǎng)絡(luò)安全,2016(9):35-39.

[2] 彭勇，江常青，謝豐，等．工業(yè)控制系統(tǒng)信息安全研究進展[J].清華大學(xué)學(xué)報(自然科學(xué)版)，2012(10):1396-1408.

[3] 曾瑜，郭金全.工業(yè)控制系統(tǒng)信息安全現(xiàn)狀分析[J].信息網(wǎng)絡(luò)安全，2016(9)：169-172．

[4] 李鴻培.2014 工業(yè)控制系統(tǒng)的安全研究與實踐[J].計算機安全，2014(5)：36-59.

[5] 宋國江，肖榮華，晏培．工業(yè)控制系統(tǒng)中PLC面臨的網(wǎng)絡(luò)空間安全威脅[J]．信息網(wǎng)絡(luò)安全，2016(9)：228-233.

[6] 沈昌祥，張煥國，王懷民，等.可信計算的研究與發(fā)展[J]. 中國科學(xué)：信息科學(xué)，2010，40(2)：139-166.

[7] 沈昌祥，陳興蜀.基于可信計算構(gòu)建縱深防御的信息安全保障體系[J].四川大學(xué)學(xué)報(工程科學(xué)版)，2014，46(1)：1-7.

[8] 馮登國.可信計算理論與實踐[M].北京：清華大學(xué)出版 社，2013.

[9] 吳歡.工業(yè)控制環(huán)境計算節(jié)點安全防護技術(shù)研究[D].北京：北京工業(yè)大學(xué)，2016.

[10] 張向宏，耿貴寧.基于可信計算的工業(yè)控制安全體系架構(gòu)研究[J].保密科學(xué)技術(shù)，2014(8):4-13.

[11] 鐘梁高．基于可信計算的工業(yè)控制系統(tǒng)信息安全解決方案研究[D]．大連：大連理工大學(xué)，2015．

[12] 魏可承，李斌，易偉文，等．工業(yè)控制系統(tǒng)信息安全防護體系規(guī)劃研究[J].自動化儀表，2015,36(2):49-50.

[13] 施光源，張建標．可信計算領(lǐng)域中可信證明的研究與進展[J].計算機應(yīng)用與研究，2012，28(12): 4414-4419.