李 科，黃 雙，周 浩，秦元慶，周純杰

（華中科技大學(xué) 控制科學(xué)與工程系，湖北 武漢430074）

0 引 言

工業(yè)人機(jī)界面 （human machine interface，HMI）是應(yīng)用在工業(yè)控制領(lǐng)域的人機(jī)交互工具，處于管控一體化現(xiàn)場(chǎng)的核心位置，負(fù)責(zé)將現(xiàn)場(chǎng)數(shù)據(jù)匯總后上傳到中心管理層，在工業(yè)控制系統(tǒng)中具有重要作用。而隨著工業(yè)人機(jī)界面越來越網(wǎng)絡(luò)化和開放化，其信息安全問題也日益突出。

目前在IT領(lǐng)域的信息安全問題得到了國(guó)內(nèi)外學(xué)者的高度重視［1－3］。在工業(yè)控制系統(tǒng)中也存在信息安全問題，如系統(tǒng)安全防御機(jī)制缺失等［4］，但工業(yè)控制系統(tǒng)對(duì)實(shí)時(shí)性要求高［5］，大多基于嵌入式平臺(tái)，資源受限，使得IT領(lǐng)域中的信息安全解決方案不能很好地解決其信息安全問題，因而人們提出了一些其他的解決方案，如實(shí)施強(qiáng)訪問控制策略［6］、設(shè)置工業(yè)防火墻［7］等，此外IEC制定了IEC62443國(guó)際標(biāo)準(zhǔn)［8］來保障其信息安全。但是關(guān)于HMI的信息安全策略設(shè)計(jì)與實(shí)現(xiàn)的技術(shù)研究還比較少，針對(duì)HMI的信息安全策略研究極少有人涉足。

為了保障HMI的信息安全，結(jié)合其資源受限、實(shí)時(shí)性要求高、分階段運(yùn)行等特點(diǎn)，本文在基于LPC3250－Linux的觸摸屏人機(jī)界面平臺(tái)上探討了其信息安全問題，從入侵過濾、入侵檢測(cè)、入侵響應(yīng)3個(gè)階段設(shè)計(jì)并實(shí)現(xiàn)了其信息安全策略，同時(shí)進(jìn)行了相應(yīng)的驗(yàn)證。

1 工業(yè)人機(jī)界面信息安全現(xiàn)狀分析

1.1 工業(yè)人機(jī)界面的典型應(yīng)用結(jié)構(gòu)

工業(yè)控制系統(tǒng)可分為4個(gè)層次：現(xiàn)場(chǎng)采集層、現(xiàn)場(chǎng)控制層、本地操作層、中心管理層，各層之間通過網(wǎng)絡(luò)連接，其結(jié)構(gòu)如圖1所示。

圖1 工業(yè)自動(dòng)化控制系統(tǒng)層次結(jié)構(gòu)

HMI在工業(yè)自動(dòng)化控制系統(tǒng)中處于本地操作層，負(fù)責(zé)現(xiàn)場(chǎng)數(shù)據(jù)的轉(zhuǎn)發(fā)，對(duì)現(xiàn)場(chǎng)數(shù)據(jù)信息的傳遞起到了承上啟下的作用。同時(shí)，HMI還同本地操作層的PC機(jī)、移動(dòng)存儲(chǔ)介質(zhì)交互信息，并同其他HMI通信，控制其他HMI管理下的設(shè)備［9］，因而 HMI在本地操作層也是重要的交互工具。

1.2 工業(yè)人機(jī)界面面臨的信息安全問題

HMI的平臺(tái)為嵌入式結(jié)構(gòu)，其信息安全問題與IT信息安全問題有所不同，面臨的攻擊類型也不一樣［10］，存在的信息安全問題有：①采用不充分的訪問控制，給予HMI訪問者過多或過少的訪問權(quán)限，造成用戶權(quán)限的竊?。虎贖MI中的數(shù)據(jù)傳輸和存儲(chǔ)未加密，HMI數(shù)據(jù)未受保護(hù)地存儲(chǔ)在移動(dòng)設(shè)備中，數(shù)據(jù)容錯(cuò)能力差，未使用數(shù)據(jù)驗(yàn)證機(jī)制；③HMI容易遭受到網(wǎng)絡(luò)上存在的各種攻擊；④缺乏備份電源，產(chǎn)生安全隱患，降低了系統(tǒng)的可用性。因此需要專門針對(duì)HMI的信息安全問題設(shè)計(jì)相應(yīng)的解決方案。

2 工業(yè)人機(jī)界面信息安全策略設(shè)計(jì)

由于HMI系統(tǒng)中可用資源受限，沒有內(nèi)在的信息安全保障能力，且系統(tǒng)實(shí)時(shí)性、可用性要求高，單純移植IT領(lǐng)域的信息安全解決方案并不能解決HMI的信息安全問題，因此本文針對(duì)HMI的特點(diǎn)提出了一種適合HMI的入侵檢測(cè)處理策略。

該策略框架包括入侵過濾、入侵檢測(cè)和入侵處理3個(gè)階段，策略框架示意圖如圖2所示。入侵過濾階段采用“白名單”機(jī)制，包括身份認(rèn)證、IP地址白名單、幀校驗(yàn)，可過濾掉簡(jiǎn)單的入侵行為。入侵檢測(cè)階段采用基于性能模型的異常檢測(cè)機(jī)制，選取反映系統(tǒng)運(yùn)行狀態(tài)的性能指標(biāo)建立性能模型，并對(duì)這些指標(biāo)進(jìn)行實(shí)時(shí)監(jiān)測(cè)；同時(shí)對(duì)于資源豐富的HMI可在入侵檢測(cè)部分添加內(nèi)環(huán)特征檢測(cè)機(jī)制，以加強(qiáng)檢測(cè)力度。入侵處理階段主要通過報(bào)警、加密和斷開網(wǎng)絡(luò)連接來處理入侵行為。

圖2 HMI信息安全策略框架

系統(tǒng)信息安全策略框架包括：①性能指標(biāo)監(jiān)測(cè)，對(duì)選定的性能指標(biāo)進(jìn)行監(jiān)測(cè)，如HMI的任務(wù)執(zhí)行情況、CPU利用率、網(wǎng)口流量等；②性能模型，根據(jù)選定的系統(tǒng)性能指標(biāo)建立相應(yīng)的性能模型，性能模型作為對(duì)性能指標(biāo)監(jiān)視的參考；③安全決策，包括時(shí)機(jī)決策和措施決策，時(shí)機(jī)決策在HMI發(fā)現(xiàn)入侵后選擇合適的時(shí)機(jī)來響應(yīng)；措施決策指HMI需要執(zhí)行的措施，如報(bào)警、記錄攻擊數(shù)據(jù)、阻斷攻擊等；④數(shù)據(jù)參數(shù)化，對(duì)HMI接收的數(shù)據(jù)進(jìn)行識(shí)別，提取特定信息；⑤特征匹配，參數(shù)化后的數(shù)據(jù)與特征信息采用算法進(jìn)行匹配；⑥安全策略，HMI針對(duì)不同的檢測(cè)結(jié)果選擇不同的處理方案，如報(bào)警、斷開網(wǎng)絡(luò)連接等；⑦入侵處理，執(zhí)行安全策略。

對(duì)于入侵檢測(cè)部分，特征匹配檢測(cè)和性能異常檢測(cè)各有其特點(diǎn)：特征匹配能夠快速地檢測(cè)到已知的入侵行為，但由于需要建立特征庫(kù)，占用資源比較多；性能異常檢測(cè)則不需要占用太多資源，且系統(tǒng)監(jiān)視性能指標(biāo)比較方便，在Linux下通過讀取相應(yīng)文件內(nèi)容就可以實(shí)現(xiàn)。因此針對(duì)HMI的信息安全策略設(shè)計(jì)需要考慮HMI中的資源情況，對(duì)于中低檔產(chǎn)品采用性能異常檢測(cè)機(jī)制，而對(duì)于高檔產(chǎn)品可添加內(nèi)環(huán)特征檢測(cè)機(jī)制。

3 工業(yè)人機(jī)界面信息安全策略實(shí)現(xiàn)

3.1 工業(yè)人機(jī)界面的系統(tǒng)結(jié)構(gòu)

HMI的硬件框架包括CPU、存儲(chǔ)器、電源、通信接口、移動(dòng)存儲(chǔ)接口、LCD接口等模塊，CPU采用NXP的工業(yè)級(jí)芯片LPC3250。對(duì)于電源系統(tǒng)，為了保證HMI的可用性，采用了備份電源。

HMI軟件部分基于嵌入式Linux設(shè)計(jì)，在Linux上開發(fā)應(yīng)用程序，設(shè)計(jì)多個(gè)任務(wù)模塊，在考慮信息安全的模塊中添加安全保障措施。人機(jī)界面的軟件結(jié)構(gòu)如圖3所示。

其中在用戶應(yīng)用層設(shè)計(jì)了信息安全策略：首先在系統(tǒng)中建立性能模型，然后對(duì)觸摸輸入模塊、設(shè)備通信模塊等的性能指標(biāo)進(jìn)行監(jiān)測(cè)，監(jiān)測(cè)結(jié)果與性能模型比較并進(jìn)行安全決策，最后在數(shù)據(jù)存取模塊和下載上傳模塊部分執(zhí)行決策方案。

圖3 工業(yè)人機(jī)界面軟件結(jié)構(gòu)

系統(tǒng)中采用 “白名單”機(jī)制對(duì)入侵進(jìn)行過濾處理，其中安全下載上傳模塊采用IP白名單、幀校驗(yàn)，安全觸摸輸入模塊采用身份認(rèn)證；采用基于模型的入侵檢測(cè)機(jī)制對(duì)入侵行為進(jìn)行檢測(cè)，利用反映系統(tǒng)運(yùn)行狀態(tài)的性能指標(biāo)建立模型，對(duì)運(yùn)行中的性能指標(biāo)監(jiān)測(cè)并得出檢測(cè)結(jié)果；采用報(bào)警、加密、斷開網(wǎng)絡(luò)連接對(duì)檢測(cè)結(jié)果進(jìn)行響應(yīng)處理。

3.2 基于 “白名單”的入侵過濾處理

入侵過濾模塊使用 “白名單”機(jī)制來加強(qiáng)對(duì)HMI的訪問控制和通信，應(yīng)用的 “白名單”機(jī)制包括身份認(rèn)證、IP地址白名單和幀校驗(yàn)。

身份認(rèn)證的方式為采用身份證號(hào)／工號(hào)、密碼進(jìn)行認(rèn)證，身份證號(hào)或工號(hào)作為用戶名，密碼組成包括當(dāng)前登錄的時(shí)間戳 （精確到分鐘）＋用戶自行設(shè)定的密碼，只有符合認(rèn)證方式的用戶才能操作HMI，從而形成身份認(rèn)證白名單。

IP地址白名單是指只有 “白名單”中規(guī)定的IP地址才可訪問HMI，其根據(jù)HMI操作分時(shí)段的特點(diǎn)來設(shè)置，IP地址白名單示例如表1所示。數(shù)據(jù)下載在白天有10個(gè)合法地址，晚上不允許下載；數(shù)據(jù)批量上傳用于將白天的運(yùn)行數(shù)據(jù)保存，在晚上時(shí)段進(jìn)行，有4個(gè)合法地址；上位機(jī)監(jiān)控可24小時(shí)進(jìn)行，有兩個(gè)網(wǎng)段，每個(gè)網(wǎng)段有10個(gè)合法地址。

表1 IP地址白名單示例

幀校驗(yàn)是通過在組態(tài)數(shù)據(jù)下載幀中添加安全冗余信息而對(duì)其進(jìn)行安全校驗(yàn)，對(duì)于不符合校驗(yàn)規(guī)則的幀進(jìn)行過濾處理。對(duì)下載幀添加校驗(yàn)碼標(biāo)識(shí)，圖4所示為組態(tài)工程文件數(shù)據(jù)幀格式，在其幀首部的系統(tǒng)參數(shù)中添加安全校驗(yàn)碼（包含兩部分），該校驗(yàn)碼通過算法計(jì)算得出，與幀內(nèi)部分?jǐn)?shù)據(jù)相關(guān)。

圖4 添加安全校驗(yàn)碼的下載幀格式

3.3 基于性能模型的入侵檢測(cè)策略

本文針對(duì)中低檔的HMI，采用基于性能模型的異常檢測(cè)策略，其思路是首先選取能反映系統(tǒng)運(yùn)行狀態(tài)的性能監(jiān)測(cè)指標(biāo)，然后針對(duì)不同運(yùn)行階段分別建立性能模型，如果在實(shí)際運(yùn)行中發(fā)現(xiàn)選取的監(jiān)測(cè)指標(biāo)之一出現(xiàn)異常，則判斷有入侵行為，其流程如圖5所示。

圖5 入侵檢測(cè)策略流程

對(duì)于HMI系統(tǒng)，任務(wù)、CPU利用率、網(wǎng)口流量是體現(xiàn)系統(tǒng)運(yùn)行狀態(tài)的主要特征量，因此選取它們作為監(jiān)測(cè)指標(biāo)比較合適。任務(wù)有周期性的和非周期性的，其執(zhí)行時(shí)間可通過系統(tǒng)函數(shù)gettimeofday（）獲取；在Linux中通過讀?。痯roc／stat文件來計(jì)算CPU的利用率；在Linux中通過讀?。痯roc／net／dev文件來計(jì)算網(wǎng)口通信流量。

HMI系統(tǒng)運(yùn)行狀態(tài)分為組態(tài)配置階段和運(yùn)行監(jiān)控階段。在組態(tài)配置階段，利用PC機(jī)上的組態(tài)軟件設(shè)置相關(guān)參數(shù)，保存為特定格式的文件，該文件通過10M以太網(wǎng)下載到HMI的存儲(chǔ)空間；在運(yùn)行監(jiān)控階段，HMI利用組態(tài)配置階段下載的參數(shù)配置系統(tǒng)中的變量，在觸摸屏上再現(xiàn)PC機(jī)上的組態(tài)內(nèi)容，同時(shí)通過觸摸屏的觸摸功能實(shí)現(xiàn)人機(jī)交互，并通過串口與PLC等設(shè)備進(jìn)行通信，另外PC機(jī)可通過網(wǎng)口來監(jiān)視HMI中獲取的資源信息。由于不同階段的監(jiān)測(cè)指標(biāo)狀態(tài)有所不同，需要分別針對(duì)兩個(gè)階段來建立性能模型。

兩個(gè)階段的任務(wù)列表及其詳細(xì)信息如表2，其中包括各任務(wù)的執(zhí)行時(shí)間估計(jì)值、CPU占用率平均值。對(duì)于表中的任務(wù)，有些執(zhí)行時(shí)間較為固定，如下載進(jìn)度條顯示任務(wù)，而有些執(zhí)行時(shí)間是根據(jù)組態(tài)配置決定的，如圖形顯示任務(wù)，其執(zhí)行時(shí)間取決于組態(tài)畫面的復(fù)雜程度；任務(wù)的CPU占用率取決于其被調(diào)用頻率，在組態(tài)配置階段主要是通過網(wǎng)口通信，相關(guān)任務(wù)的CPU占用率比較大，而在運(yùn)行監(jiān)控階段，圖形顯示和串口通信是主要的，其CPU占用率相對(duì)比較大。同時(shí)系統(tǒng)在一定時(shí)期的活躍任務(wù)數(shù)是確定的，因此任務(wù)模型根據(jù)任務(wù)的執(zhí)行時(shí)間、任務(wù)對(duì)CPU的占用情況和一定時(shí)期的活躍任務(wù)數(shù)來確定。

表2 任務(wù)列表及詳細(xì)信息

通過對(duì)任務(wù)執(zhí)行情況的統(tǒng)計(jì)可估計(jì)出HMI在不同階段的CPU利用率：在組態(tài)配置和運(yùn)行監(jiān)控階段，CPU利用率正常值分別為28%和40%，組態(tài)配置階段的任務(wù)數(shù)量不多，CPU利用率較低，運(yùn)行監(jiān)控階段的任務(wù)數(shù)量較多，CPU利用率較高。為建立CPU利用率模型，將兩個(gè)階段的CPU利用率安全極限值分別設(shè)置為40%和55%。

由于HMI的網(wǎng)絡(luò)流量在各個(gè)運(yùn)行階段是基本固定的，因此可統(tǒng)計(jì)出在不同階段的以太網(wǎng)通信流量，如表3所示。在組態(tài)配置階段，接收流量指單位時(shí)間內(nèi)HMI接收到上位機(jī)發(fā)送的組態(tài)數(shù)據(jù)量，發(fā)送流量指在HMI接收到一幀數(shù)據(jù)后單位時(shí)間內(nèi)發(fā)送給上位機(jī)的回應(yīng)數(shù)據(jù)量，該階段的流量比較大；在運(yùn)行監(jiān)控階段，接收流量指單位時(shí)間內(nèi)上位機(jī)發(fā)送的監(jiān)控指令和數(shù)據(jù)量，發(fā)送流量指單位時(shí)間內(nèi)HMI返回的監(jiān)控?cái)?shù)據(jù)量，該階段的流量不大。

表3 以太網(wǎng)通信流量統(tǒng)計(jì)

在HMI系統(tǒng)運(yùn)行過程中，不斷對(duì)系統(tǒng)性能指標(biāo)進(jìn)行監(jiān)測(cè)，當(dāng)發(fā)現(xiàn)性能指標(biāo)偏離上述模型之一時(shí)，可判斷有入侵行為，需要采取入侵處理措施。

3.4 入侵響應(yīng)處理

響應(yīng)包括主動(dòng)響應(yīng)和被動(dòng)響應(yīng)，主動(dòng)響應(yīng)阻斷入侵并采取措施防止入侵產(chǎn)生的不良后果，被動(dòng)響應(yīng)則進(jìn)行報(bào)警和記錄所檢測(cè)到的入侵信息。HMI采用被動(dòng)和主動(dòng)相結(jié)合的方式進(jìn)行響應(yīng)，被動(dòng)響應(yīng)采用報(bào)警進(jìn)行處理：當(dāng)檢測(cè)到系統(tǒng)異?；蛴腥肭中袨闀r(shí)，在報(bào)警列表中添加報(bào)警事件并將報(bào)警信號(hào)上傳，同時(shí)鳴響人機(jī)界面中的蜂鳴器；主動(dòng)響應(yīng)通過Linux系統(tǒng)中的加密和斷開網(wǎng)絡(luò)連接來實(shí)現(xiàn)：當(dāng)發(fā)現(xiàn)有數(shù)據(jù)竊取行為時(shí)，通過調(diào)用數(shù)據(jù)加密任務(wù)，對(duì)存儲(chǔ)和傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理，如果入侵影響到系統(tǒng)的實(shí)時(shí)性，則需要斷開與外部的連接，關(guān)閉與網(wǎng)口、USB口等的通信任務(wù)，并阻塞可疑的任務(wù)調(diào)用。為保證與設(shè)備通信的可靠性，需要在任務(wù)中設(shè)置重傳機(jī)制，同時(shí)為保障與設(shè)備通信的安全性，對(duì)于未完成的通信予以撤銷。

4 入侵檢測(cè)處理驗(yàn)證實(shí)驗(yàn)

4.1 實(shí)驗(yàn)平臺(tái)與測(cè)試方案

測(cè)試平臺(tái)如圖6所示，由PC機(jī)、HMI、U盤及PLC組成，PC機(jī)使用RJ45交叉線與HMI相連，HMI使用串口線與PLC相連，U盤插在HMI的USB接口上。

本文通過PC機(jī)上的模擬入侵軟件向HMI發(fā)送入侵?jǐn)?shù)據(jù)，入侵過濾檢測(cè)的結(jié)果保存到連接在HMI上的U盤中。測(cè)試內(nèi)容包括人機(jī)交互安全測(cè)試和網(wǎng)絡(luò)通信安全測(cè)試。

人機(jī)交互安全測(cè)試包括：身份認(rèn)證測(cè)試；通過sniffer軟件組包對(duì)IP白名單測(cè)試；修改組態(tài)軟件中的數(shù)據(jù)幀格式對(duì)通信幀白名單測(cè)試。

圖6 測(cè)試平臺(tái)

網(wǎng)絡(luò)通信安全測(cè)試采用KDD CUP99數(shù)據(jù)集［11］來評(píng)價(jià)，數(shù)據(jù) 集 樣 本 分為 四 類：Probe、DoS （Denial－of－Service）、R2L （Remote－to－Local）、U2R （User－to－Root）。測(cè) 試 數(shù)據(jù)集由正常數(shù)據(jù)與上述一種或幾種類型中的攻擊混合組成，選取5組測(cè)試數(shù)據(jù)集，每組包含900個(gè)正常數(shù)據(jù)和100個(gè)攻擊數(shù)據(jù)，其中4組分別包含一種類型的攻擊，另外1組包含四種類型的攻擊。測(cè)試時(shí)每分鐘發(fā)送20個(gè)數(shù)據(jù)，并對(duì)正常實(shí)例和入侵實(shí)例計(jì)數(shù)。

為測(cè)試HMI與PLC的通信實(shí)時(shí)性，選取一組數(shù)據(jù)集，其中包含N個(gè)包含四種類型的攻擊數(shù)據(jù)和1000－N個(gè)正常數(shù)據(jù)，攻擊數(shù)據(jù)個(gè)數(shù)依次遞增，在串口通信任務(wù)中設(shè)定定時(shí)器記錄通信延遲時(shí)間。

4.2 實(shí)驗(yàn)結(jié)果及分析

（1）人機(jī)交互安全測(cè)試

多次登錄未成功時(shí)產(chǎn)生報(bào)警，并禁止再次登錄，需要等待一段時(shí)間后才能登錄；sniffer軟件發(fā)送IP錯(cuò)誤數(shù)據(jù)包時(shí)HMI不回應(yīng)，而組態(tài)軟件下載安全校驗(yàn)碼不正確的數(shù)據(jù)包時(shí)HMI顯示無法下載。

（2）網(wǎng)絡(luò)通信安全測(cè)試

入侵檢測(cè)性能通過檢出率和誤檢率兩個(gè)指標(biāo)來評(píng)價(jià)，檢出率指檢測(cè)到的入侵?jǐn)?shù)目與總的入侵?jǐn)?shù)目之比，誤檢率指被誤判為入侵的正常數(shù)目與總的正常數(shù)目之比，實(shí)驗(yàn)結(jié)果如圖7所示。

圖7 入侵檢測(cè)實(shí)驗(yàn)結(jié)果

由圖7可看出，Probe和DoS類型攻擊的檢出率達(dá)到85%以上，主要是因?yàn)檫@兩類的大部分攻擊比較常見，容易引起系統(tǒng)異常，而且一些攻擊被 “白名單”過濾掉了，兩類的誤檢率低于20%；對(duì)于U2R和R2L類型攻擊的檢出率不高，只有60%左右，這是由于很多攻擊難以很快引起系統(tǒng)異常，而當(dāng)系統(tǒng)異常又將正常數(shù)據(jù)誤檢，導(dǎo)致誤檢率比較高。

HMI與PLC的通信實(shí)時(shí)性測(cè)試結(jié)果如圖8所示。

圖8 HMI與PLC通信實(shí)時(shí)性測(cè)試結(jié)果

由圖8可知攻擊數(shù)量對(duì)于通信實(shí)時(shí)性有影響，攻擊數(shù)量越多，通信延遲時(shí)間越長(zhǎng)，當(dāng)入侵對(duì)實(shí)時(shí)性造成較大影響時(shí) （延時(shí)達(dá)到2s），HMI會(huì)關(guān)閉與上位機(jī)的通信接口，以保證與PLC的正常通信，此時(shí)延遲時(shí)間為正常的通信延時(shí)。

5 結(jié)束語

本文分析HMI系統(tǒng)的信息安全問題，結(jié)合其資源有限、實(shí)時(shí)性要求高、分階段運(yùn)行等特點(diǎn)，設(shè)計(jì)了相應(yīng)的信息安全策略。該策略采用白名單機(jī)制實(shí)現(xiàn)入侵過濾，基于HMI系統(tǒng)性能模型進(jìn)行入侵檢測(cè)，主被動(dòng)響應(yīng)相結(jié)合完成入侵處理。結(jié)果表明，該安全策略能夠有效地檢測(cè)入侵行為并保持較低誤檢率，同時(shí)保證系統(tǒng)實(shí)時(shí)性要求得到滿足。所設(shè)計(jì)安全策略對(duì)于保障其他工業(yè)控制系統(tǒng)的信息安全同樣具有一定的參考價(jià)值。

［1］SHEN Changxiang，ZHANG Huanguo，F(xiàn)ENG Dengguo，et al.Summary of information safety［J］.Science in China，2007，37（2）：129－150 （in Chinese）.［沈昌祥，張煥國(guó)，馮登國(guó)，等.信息安全綜述 ［J］.中國(guó)科學(xué)，2007，37 （2）：129－150.］

［2］CHENG Jianhua.Research on information security risk management，evaluation and control［D］.Changchun：Jilin University，2008：28－60 （in Chinese）.［程建華.信息安全風(fēng)險(xiǎn)管理、評(píng)估與控制研究 ［D］.長(zhǎng)春：吉林大學(xué)，2008：28－60.］

［3］Wolfgang Boehmer.Toward a target function of an information security management system ［C］／／Bradford：Proceedings of the 10th IEEE International Conference on CIT，2010：809－816.

［4］TANG Wen.The information security research of industrial automation control system ［J］.Network and Computer Security，2012，12 （4）：2－7 （in Chinese）.［唐文.工業(yè)自動(dòng)化控制系統(tǒng)信息安全研究 ［J］.計(jì)算機(jī)安全，2012，12 （4）：2－7.］

［5］WANG Yumin，DING Lu.Industry control system （ICS）overview and comparison with the IT system ［J］.China Instrumen－tation，2012，32 （2）：37－43 （in Chinese）.［王玉敏，丁露.工業(yè)控制系統(tǒng) （ICS）概述和與IT系統(tǒng)的比較 ［J］.中國(guó)儀器儀表，2012，32 （2）：37－43.］

［6］HU Yangyang，ZHANG Hongguang，ZHANG Yong.The design of role－based and PMI－based database access control strategy ［C］／／Guangzhou：Proceedings of IEEE International Conference on ICIS，2011.

［7］CHEN Junhua，CAI Wen，ZHANG Lingling，et al.Analysis for information security in industrial control systems triggered by stuxnet［C］／／Proceedings of IEEE，2011.

［8］IEC62443，Guide to industrial control systems security［S］.

［9］FANG Xu.Research on human－computer interface design for virtual assembly system ［D］.Wuhan：Huazhong University of Science and Technology，2009：17－20 （in Chinese）.［方旭.面向虛擬裝配的人機(jī)界面設(shè)計(jì)技術(shù)研究 ［D］.武漢：華中科技大學(xué)，2009：17－20.］

［10］WANG Yumin.The general attacks and how to protect the ICS ［J］.China Instrumentation，2012，32 （3）：60－65 （in Chinese）.［王玉敏.工業(yè)控制系統(tǒng)的常見攻擊 ［J］.中國(guó)儀器儀表，2012，32 （3）：60－65.］

［11］ZHANG Xinyou，ZENG Huashen，JIA Lei.Research of intrusion detection system dataset－KDD CUP99［J］.Computer Engineering and Design，2010，31 （22）：4809－4812 （in Chinese）.［張新有，曾華燊，賈磊.入侵檢測(cè)數(shù)據(jù)集 KDD CUP99研究 ［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2010，31 （22）：4809－4812.］