羅銘，張日新，李祥，步兵

（1.交控科技股份有限公司，北京 100070；2.城市軌道交通列車通信與運(yùn)行控制國(guó)家工程實(shí)驗(yàn)室，北京 100070；3.北京交通大學(xué) 軌道交通控制與安全國(guó)家重點(diǎn)實(shí)驗(yàn)室，北京 100044）

1 滲透測(cè)試研究現(xiàn)狀

滲透測(cè)試（Penetration Test）是測(cè)試人員從攻擊者的角度出發(fā)以成功滲入系統(tǒng)為目的，模擬攻擊者的行為模式，利用攻擊者的漏洞發(fā)現(xiàn)技術(shù)和攻擊手段對(duì)被測(cè)系統(tǒng)進(jìn)行深入的探測(cè)，以暴露系統(tǒng)信息安全薄弱環(huán)節(jié)，并針對(duì)測(cè)試結(jié)果給出信息安全解決方案或建議的過程[1]。

滲透測(cè)試領(lǐng)域研究主要集中在滲透測(cè)試技術(shù)研究、滲透測(cè)試模型研究和自動(dòng)化滲透測(cè)試工具研究，Web滲透測(cè)試是目前滲透測(cè)試的熱門方向[2]。工業(yè)控制系統(tǒng)滲透測(cè)試是另一個(gè)重要領(lǐng)域，包括電力、化工、冶金等在內(nèi)的大量工業(yè)控制系統(tǒng)正越來越重視自身系統(tǒng)的信息安全性。根據(jù)測(cè)試人員對(duì)被測(cè)系統(tǒng)的了解程度，滲透測(cè)試可分為白盒、灰盒和黑盒測(cè)試[3]。白盒測(cè)試是指測(cè)試人員具有系統(tǒng)的全部信息，可以從源代碼層次對(duì)系統(tǒng)進(jìn)行測(cè)試和分析；灰盒測(cè)試和黑盒測(cè)試指測(cè)試人員不具備系統(tǒng)所有信息，測(cè)試難度更大。

復(fù)雜的滲透測(cè)試需要合理的指導(dǎo)框架。目前滲透測(cè)試領(lǐng)域的指南、框架、規(guī)范大部分來自歐美發(fā)達(dá)國(guó)家，如美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）發(fā)布的滲透測(cè)試流程標(biāo)準(zhǔn)，其測(cè)試流程見圖1。該測(cè)試規(guī)范雖然劃分出宏觀階段，但缺乏實(shí)際指導(dǎo)，難以真正指導(dǎo)滲透測(cè)試。

圖1 NIST滲透測(cè)試流程

開放信息系統(tǒng)安全小組（OISSG）發(fā)布了信息系統(tǒng)安全評(píng)估框架（ISSAF），其測(cè)試流程見圖2。該測(cè)試方法較詳細(xì)，利于測(cè)試實(shí)施，缺點(diǎn)是不具有普遍性。對(duì)于列控系統(tǒng)的滲透測(cè)試，不能或者沒有必要進(jìn)行全部9個(gè)步驟。

圖2 ISSAF滲透測(cè)試流程

在城市軌道交通領(lǐng)域，針對(duì)常用的CBTC系統(tǒng)，普遍的做法是雇傭第三方信息安全從業(yè)機(jī)構(gòu)，為系統(tǒng)配備簡(jiǎn)單、通用的信息安全防護(hù)軟硬件，在運(yùn)營(yíng)之前進(jìn)行安全部署，由于缺少真實(shí)系統(tǒng)或模擬系統(tǒng)的滲透測(cè)試，因此對(duì)系統(tǒng)在遭受信息安全攻擊時(shí)的表現(xiàn)沒有合理、準(zhǔn)確的認(rèn)識(shí)和估計(jì)。

綜合以上信息安全滲透測(cè)試流程，并考慮列控系統(tǒng)業(yè)務(wù)特點(diǎn)，提出精簡(jiǎn)、優(yōu)化的列控系統(tǒng)滲透測(cè)試流程。

2 列控系統(tǒng)滲透測(cè)試概述

分析研究以上滲透測(cè)試規(guī)范和指南，將列控系統(tǒng)滲透測(cè)試流程確定為4個(gè)階段（見圖3）。

圖3 列控系統(tǒng)滲透測(cè)試流程

（1）信息收集和準(zhǔn)備階段。從書籍、文獻(xiàn)中了解列控系統(tǒng)公開的信息，如系統(tǒng)功能模塊、網(wǎng)絡(luò)架構(gòu)、操作系統(tǒng)、通信制式、系統(tǒng)特點(diǎn)和安全防護(hù)手段等；根據(jù)了解到的信息制定滲透測(cè)試計(jì)劃，確定重點(diǎn)關(guān)注對(duì)象；準(zhǔn)備測(cè)試所需的軟件和硬件。

（2）掃描階段。從有線或無線的方式接入系統(tǒng)，通過監(jiān)聽獲取網(wǎng)絡(luò)相關(guān)信息；進(jìn)一步對(duì)所在網(wǎng)絡(luò)進(jìn)行掃描，確認(rèn)存活主機(jī)及其操作系統(tǒng)；選取個(gè)別主機(jī)進(jìn)行更加詳細(xì)的掃描，收集主機(jī)開放端口、運(yùn)行服務(wù)等信息；利用商用漏洞掃描工具對(duì)系統(tǒng)所有漏洞進(jìn)行掃描；確定重點(diǎn)關(guān)注主機(jī)或系統(tǒng)。

（3）滲透攻擊階段。根據(jù)掃描階段得到的信息分析主機(jī)存在的隱患和漏洞，分析攻擊手段和漏洞利用的可行性；選取可行的攻擊手段和可利用的漏洞對(duì)重點(diǎn)關(guān)注對(duì)象進(jìn)行攻擊和漏洞利用，分析攻擊結(jié)果。

（4）總結(jié)階段。循環(huán)進(jìn)行第2和第3步，直到?jīng)]有新的信息發(fā)現(xiàn)；總結(jié)滲透測(cè)試的整個(gè)過程，分析入侵系統(tǒng)的難易程度，對(duì)系統(tǒng)在攻擊下的表現(xiàn)進(jìn)行評(píng)價(jià)，提出改善措施。

3 信息收集和準(zhǔn)備階段

列控系統(tǒng)滲透測(cè)試不同于傳統(tǒng)IT行業(yè)和其他工控領(lǐng)域的滲透測(cè)試，需要充分考慮列控系統(tǒng)結(jié)構(gòu)和功能特點(diǎn)，分析列控系統(tǒng)的薄弱環(huán)節(jié)。

3.1 列控系統(tǒng)接入方式分析

列控系統(tǒng)網(wǎng)絡(luò)包括骨干網(wǎng)和接入網(wǎng)，分別對(duì)應(yīng)有線接入和無線接入（見圖4）。

圖4 列控系統(tǒng)接入方式

（1）有線接入。列控系統(tǒng)采用專用網(wǎng)絡(luò)，網(wǎng)絡(luò)設(shè)備一般處于較為嚴(yán)密的物理防護(hù)下，但依舊存在因?yàn)楣芾聿煌晟茖?dǎo)致暴露物理網(wǎng)絡(luò)接口的可能性；攻擊者可能存在于系統(tǒng)內(nèi)部，可直接接觸到網(wǎng)絡(luò)設(shè)備，或使用1臺(tái)列控系統(tǒng)的功能主機(jī)作為攻擊主機(jī)，從內(nèi)部發(fā)起攻擊。

（2）無線接入。列控系統(tǒng)無線制式包括WLAN和LTE兩種[4-5]。WLAN的認(rèn)證加密方式并不完善，近期WPA2曝出安全漏洞，使中間人監(jiān)聽、篡改成為可能。LTE的安全機(jī)制更為完善，密鑰事先協(xié)商，存儲(chǔ)在USIM卡中，采用的加密方式更加復(fù)雜，安全性很高[6]。列控系統(tǒng)無線信號(hào)沿軌道分布，乘客可在列車或站臺(tái)上搜索到無線信號(hào)，鑒權(quán)與加密是網(wǎng)絡(luò)的主要防護(hù)手段，若密鑰泄露，系統(tǒng)容易接入。攻擊者可能通過非法渠道購(gòu)買密鑰信息，或利用社工類手段獲得密鑰。

（3）其他服務(wù)系統(tǒng)接入。乘客信息系統(tǒng)（PIS）和視頻監(jiān)控系統(tǒng)（CCTV）等其他城軌系統(tǒng)與通信前置機(jī)存在網(wǎng)絡(luò)連接，這意味著列控系統(tǒng)網(wǎng)絡(luò)邊界的進(jìn)一步擴(kuò)展[7]。

（4）移動(dòng)存儲(chǔ)設(shè)備。限于管理制度和信息安全意識(shí)的普及程度，目前移動(dòng)存儲(chǔ)設(shè)備（尤其是維護(hù)和檢修人員持有）的接入訪問沒有嚴(yán)格控制，移動(dòng)存儲(chǔ)設(shè)備很有可能成為病毒、木馬等進(jìn)入列控系統(tǒng)的途徑[8-9]。

3.2 列控系統(tǒng)軟件平臺(tái)安全分析

（1）操作系統(tǒng)。城軌交通列控系統(tǒng)主要使用Windows、Linux和VxWorks操作系統(tǒng)，Windows操作系統(tǒng)主要位于列車自動(dòng)監(jiān)督（ATS）子系統(tǒng)和維護(hù)網(wǎng)絡(luò)中，用于各種工作站；Linux操作系統(tǒng)主要用于服務(wù)器和部分體量較小的嵌入式系統(tǒng)；VxWorks是實(shí)時(shí)操作系統(tǒng)，可裁剪性強(qiáng)，多用于進(jìn)行原始數(shù)據(jù)計(jì)算的處理單元。

Windows系統(tǒng)漏洞種類繁雜、數(shù)量眾多，主要存在于開放的各類服務(wù)中。Windows系統(tǒng)主要使用在列控系統(tǒng)的非安全設(shè)備中，對(duì)其進(jìn)行滲透和攻擊可能不會(huì)對(duì)列車安全運(yùn)行產(chǎn)生顯著影響，但對(duì)它們的滲透可為后續(xù)攻擊提供大量的信息和便利。

VxWorks系統(tǒng)高度可裁剪化，大大降低了系統(tǒng)存在漏洞的可能性，可提高系統(tǒng)的工作效率和穩(wěn)定性。雖然VxWorks系統(tǒng)安全性較高，但在低版本的系統(tǒng)中仍存在危害性很高的漏洞[10]，鑒于VxWorks在列控系統(tǒng)中擔(dān)任核心計(jì)算任務(wù)，對(duì)該系統(tǒng)的攻擊可能導(dǎo)致列控系統(tǒng)功能受到嚴(yán)重影響。

（2）通信協(xié)議。城軌交通列控系統(tǒng)使用UDP協(xié)議進(jìn)行列控信息傳輸，在應(yīng)用層使用鐵路信號(hào)安全通信協(xié)議（RSSP）以及信號(hào)設(shè)備廠家私有協(xié)議。針對(duì)UDP協(xié)議存在一些成熟的拒絕服務(wù)（DoS）攻擊，同樣適用于列控系統(tǒng)；應(yīng)用層協(xié)議明文傳輸數(shù)據(jù)存在數(shù)據(jù)監(jiān)聽的可能；應(yīng)用層協(xié)議防護(hù)機(jī)制存在漏洞，被攻擊者利用可實(shí)現(xiàn)中間人攻擊。

3.3 列控系統(tǒng)功能安全防護(hù)機(jī)制分析

列控系統(tǒng)是安全苛求系統(tǒng)，采取了大量的安全機(jī)制和策略，這些安全機(jī)制增強(qiáng)了系統(tǒng)可靠性和可用性，但未從信息安全的角度考慮。列控系統(tǒng)的安全機(jī)制主要有以下2種：

（1）雙網(wǎng)冗余。列控系統(tǒng)信號(hào)安全網(wǎng)絡(luò)、ATS網(wǎng)絡(luò)、區(qū)域控制器（ZC）、計(jì)算機(jī)聯(lián)鎖（CI）等設(shè)備的內(nèi)部網(wǎng)絡(luò)等都采用雙網(wǎng)冗余，當(dāng)一張網(wǎng)故障通信中斷后，系統(tǒng)會(huì)使用另一張網(wǎng)的數(shù)據(jù)，保證功能不受影響。該手段增強(qiáng)了系統(tǒng)的耐受性，對(duì)一些泛洪DoS攻擊有很好的防護(hù)效果，然而網(wǎng)絡(luò)數(shù)量的增加也增大了被入侵的可能；部分系統(tǒng)對(duì)冗余網(wǎng)絡(luò)上的數(shù)據(jù)具有新鮮程度的判斷，缺少正確性的判斷，若存在數(shù)據(jù)篡改，系統(tǒng)從雙網(wǎng)中選擇最早到達(dá)數(shù)據(jù)，仍有一定概率使用被篡改的數(shù)據(jù)。

（2）二乘二取二安全計(jì)算機(jī)平臺(tái)。ZC、CI等至關(guān)重要的設(shè)備使用二乘二取二、三取二和雙機(jī)熱備等結(jié)構(gòu)實(shí)現(xiàn)其功能，常用的二乘二取二架構(gòu)以2系主機(jī)保證設(shè)備的可用性，以每系中的2臺(tái)主機(jī)保證計(jì)算的正確性，平臺(tái)的計(jì)算、通信都具有嚴(yán)格的微周期限制，導(dǎo)致系統(tǒng)在遭受攻擊時(shí)可能更易被攻破。

4 掃描階段

掃描階段在列控系統(tǒng)半實(shí)物仿真平臺(tái)中進(jìn)行，平臺(tái)使用部分地鐵線路真實(shí)設(shè)備（包括ZC、車載控制器（VOBC）等）和仿真軟件搭建而成。

4.1 測(cè)試工具

測(cè)試工具主要包括掃描工具和攻擊工具（見表1）。

表1 測(cè)試工具

4.2 掃描結(jié)果分析及攻擊方法確定

掃描階段的工作內(nèi)容和部分結(jié)果如下：

（1）監(jiān)聽數(shù)據(jù)通信。使用wireshark進(jìn)行抓包，在未知網(wǎng)絡(luò)條件的情況下監(jiān)聽廣播數(shù)據(jù)包（ARP數(shù)據(jù)包、NBNS數(shù)據(jù)包等），分析活躍的IP，確定子網(wǎng)掩碼和網(wǎng)段。

（2）通信關(guān)系確立。使用omnipeek對(duì)數(shù)據(jù)包的IP和MAC地址進(jìn)行分析分類，繪制設(shè)備間的通信關(guān)系圖。

（3）端口掃描。對(duì)重點(diǎn)關(guān)注對(duì)象進(jìn)行端口掃描，獲取主機(jī)端口開放狀態(tài)和服務(wù)開放狀態(tài)，重點(diǎn)關(guān)注常用服務(wù)和端口，如遠(yuǎn)程桌面服務(wù)、445端口等。對(duì)真實(shí)ZC進(jìn)行掃描，ZC主機(jī)端口開放情況見表2。

（4）漏洞掃描。利用漏洞掃描工具nessus對(duì)網(wǎng)絡(luò)中存活的主機(jī)進(jìn)行掃描，獲得主機(jī)漏洞情況，分析漏洞的可利用性，為下一步實(shí)踐攻擊做準(zhǔn)備。ATS網(wǎng)絡(luò)主機(jī)漏洞掃描部分結(jié)果見表3。

表2 ZC主機(jī)端口開放情況

表3 ATS網(wǎng)絡(luò)主機(jī)漏洞掃描部分結(jié)果 個(gè)

5 滲透攻擊階段

滲透攻擊階段分別進(jìn)行一般網(wǎng)絡(luò)攻擊和高危漏洞利用。

5.1 Windows系統(tǒng)漏洞利用

（1）漏洞介紹：Windows系列操作系統(tǒng)中存在大量已知漏洞，系統(tǒng)部分服務(wù)，如SMB服務(wù)更是漏洞的高發(fā)區(qū)。利用這些漏洞可達(dá)到拒絕服務(wù)、遠(yuǎn)程代碼執(zhí)行等效果。

（2）漏洞利用：從ATS網(wǎng)絡(luò)有線接入，以網(wǎng)關(guān)計(jì)算機(jī)為測(cè)試目標(biāo)進(jìn)行滲透。使用metasploit，對(duì)網(wǎng)關(guān)計(jì)算機(jī)進(jìn)行攻擊。攻擊方式是緩沖區(qū)溢出，Windows系統(tǒng)漏洞利用流程見圖5。

圖5 Windows系統(tǒng)漏洞利用流程

（3）攻擊效果分析：攻擊成功獲取被攻擊主機(jī)管理員權(quán)限。被攻擊主機(jī)向攻擊者反彈會(huì)話連接，攻擊者可執(zhí)行任意命令。該攻擊收效巨大，基本完全控制網(wǎng)關(guān)計(jì)算機(jī)。

攻擊網(wǎng)關(guān)計(jì)算機(jī)可以中斷信號(hào)安全網(wǎng)絡(luò)與ATS網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)。ATS網(wǎng)絡(luò)與信號(hào)安全網(wǎng)絡(luò)通信中斷將導(dǎo)致列車位置信息不能及時(shí)上報(bào)，ATS失去對(duì)列車的實(shí)時(shí)追蹤；在遙控模式（中心控制）下，中心ATS通信中斷，無法下發(fā)計(jì)劃，CI無法排列進(jìn)路，ZC計(jì)算的移動(dòng)授權(quán)MA不能向前更新，列車不能進(jìn)入無MA的區(qū)段，進(jìn)而影響列車運(yùn)行效率。

網(wǎng)關(guān)計(jì)算機(jī)是列控系統(tǒng)信號(hào)安全網(wǎng)絡(luò)與ATS網(wǎng)絡(luò)的連接樞紐，能夠以該主機(jī)為跳板實(shí)現(xiàn)不同網(wǎng)絡(luò)間的自由訪問。

5.2 洪水攻擊

（1）攻擊原理：向被攻擊者快速發(fā)送大量數(shù)據(jù)包或鏈接請(qǐng)求，占用大量的網(wǎng)絡(luò)帶寬資源或CPU資源，導(dǎo)致主機(jī)網(wǎng)絡(luò)中斷或因?yàn)橘Y源占盡而產(chǎn)生卡頓甚至宕機(jī)。洪水攻擊包括ICMP、UDP、SYN、TCP等多種方式，在此使用UDP洪水。

（2）攻擊過程：從信號(hào)安全網(wǎng)絡(luò)有線接入，使用組包工具h(yuǎn)ping3以盡可能快的速度向ZC發(fā)送UDP數(shù)據(jù)包，查看ZC和VOBC的表現(xiàn)。

（3）攻擊效果分析：大量數(shù)據(jù)占用了VxWorks系統(tǒng)計(jì)算能力，導(dǎo)致微周期被打破，觸發(fā)ZC的安全保障機(jī)制，通信控制器被ZC主動(dòng)關(guān)停，需要人工按壓恢復(fù)按鈕。因?yàn)殡p網(wǎng)冗余，系統(tǒng)運(yùn)行不受影響，與前期分析結(jié)果一致。

同時(shí)在2張安全信號(hào)網(wǎng)絡(luò)中對(duì)ZC進(jìn)行攻擊，2個(gè)通信控制均被關(guān)閉，ZC失效，此時(shí)運(yùn)行在ZC管轄范圍內(nèi)的列車緊急制動(dòng)并且進(jìn)入人工模式，嚴(yán)重影響行車效率和旅客乘坐的舒適性。

5.3 VxWorks系統(tǒng)漏洞利用

（1）漏洞介紹：部分低版本VxWorks系統(tǒng)默認(rèn)開啟17185調(diào)試端口，且無端口訪問權(quán)限控制。

（2）漏洞利用：從ZC內(nèi)網(wǎng)接入，使用metasploit中的VxWorks攻擊腳本，按照特定格式發(fā)送VxWorks調(diào)試命令，攻擊ZC內(nèi)部處理單元或通信控制器。

（3）攻擊效果分析：攻擊單一主機(jī)，被攻擊主機(jī)立即關(guān)機(jī)或重啟，ZC自動(dòng)切換工作系，功能不受影響；連續(xù)攻擊ZC中2系設(shè)備，最終造成ZC整體失效。

該攻擊條件要求較高，需要ZC等設(shè)備內(nèi)網(wǎng)的接入權(quán)限，但攻擊效果明顯。ZC一旦拒絕服務(wù)，在該ZC管轄范圍內(nèi)的列車會(huì)進(jìn)行緊急制動(dòng)后請(qǐng)求進(jìn)入人工模式，在人工模式下以較慢的速度行駛，后續(xù)車輛也會(huì)因此受到影響，都降級(jí)到人工模式，最后造成整條線路列車的積壓，嚴(yán)重影響列車運(yùn)行效率。

6 總結(jié)階段

6.1 影響分析

通過列控系統(tǒng)滲透測(cè)試，發(fā)現(xiàn)以下問題：

（1）網(wǎng)關(guān)計(jì)算機(jī)疏于防護(hù)：網(wǎng)關(guān)計(jì)算機(jī)是信號(hào)安全網(wǎng)絡(luò)與ATS網(wǎng)絡(luò)信息交換的樞紐，地位重要。一旦網(wǎng)關(guān)計(jì)算機(jī)被攻擊而拒絕服務(wù)，雖不會(huì)造成列車安全事故，但會(huì)造成命令無法下發(fā)、列車位置無法上報(bào)等后果，嚴(yán)重影響運(yùn)營(yíng)；若網(wǎng)關(guān)計(jì)算機(jī)被攻擊者控制，攻擊者就能從ATS網(wǎng)絡(luò)接入信號(hào)安全網(wǎng)絡(luò)，造成更嚴(yán)重的后果。

（2）功能安全防護(hù)機(jī)制導(dǎo)致系統(tǒng)信息安全攻擊耐受性下降：列控系統(tǒng)中為提高可靠性而使用的二乘二取二安全計(jì)算機(jī)平臺(tái)在泛洪類網(wǎng)絡(luò)攻擊下耐受性下降，攻擊更易起效。

（3）Windows操作系統(tǒng)引入大量漏洞：Windows操作系統(tǒng)向列控系統(tǒng)引入了諸多高危漏洞，利用這些漏洞輕則導(dǎo)致拒絕服務(wù)、信息泄露，重則導(dǎo)致攻擊者能夠控制系統(tǒng)、潛伏隱藏，危害巨大。

（4）系統(tǒng)軟件陳舊：列控系統(tǒng)中使用的操作系統(tǒng)較為陳舊，因與外網(wǎng)隔離也難以及時(shí)安裝安全補(bǔ)丁，這導(dǎo)致大量存在很長(zhǎng)時(shí)間的漏洞依舊能夠被利用。

6.2 防護(hù)建議

目前城軌交通系統(tǒng)中已設(shè)置了一些信息安全防護(hù)手段，例如在系統(tǒng)關(guān)鍵位置放置防火墻，防止從系統(tǒng)外部發(fā)起的攻擊；在功能主機(jī)上安裝應(yīng)用程序白名單，僅允許少量應(yīng)用和進(jìn)程運(yùn)行，降低系統(tǒng)被植入木馬和后門的風(fēng)險(xiǎn)。但是為了防止防護(hù)措施的誤報(bào)、誤殺對(duì)功能軟件產(chǎn)生影響而進(jìn)一步影響行車，已經(jīng)應(yīng)用的防火墻和白名單存在未激活或過濾條件過于寬松的情況。

城軌交通列控系統(tǒng)應(yīng)滿足三級(jí)等級(jí)保護(hù)的要求[11]。整體的安全保障體系包括安全技術(shù)和安全管理兩大部分，安全技術(shù)又分物理、網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)、應(yīng)用5個(gè)方面。在此主要針對(duì)后4個(gè)方面給出建議[12]。

（1）網(wǎng)絡(luò)安全：做好網(wǎng)絡(luò)隔離、端口禁用、端口綁定等工作能防范有線方式接入網(wǎng)絡(luò)，也能防御部分DoS攻擊；增加防火墻，列控系統(tǒng)應(yīng)當(dāng)在接入交換機(jī)、網(wǎng)關(guān)計(jì)算機(jī)、通信前置機(jī)等系統(tǒng)邊界處安裝防火墻，阻止攻擊者的滲透。

（2）主機(jī)安全：列控系統(tǒng)應(yīng)當(dāng)定期以集中發(fā)放的方式安裝補(bǔ)丁，能夠防范大部分已知的漏洞利用攻擊；增加入侵檢測(cè)系統(tǒng)，在列控系統(tǒng)中安裝入侵檢測(cè)和異常檢測(cè)系統(tǒng)，實(shí)時(shí)檢測(cè)系統(tǒng)狀態(tài)，向系統(tǒng)決策者發(fā)出預(yù)警。

（3）數(shù)據(jù)安全：嚴(yán)格遵守安全等級(jí)保護(hù)體系中對(duì)數(shù)據(jù)存儲(chǔ)、備份、銷毀等階段的各項(xiàng)要求；開發(fā)加密式通信協(xié)議，防止數(shù)據(jù)傳輸過程中可能發(fā)生的竊聽和篡改。

（4）應(yīng)用安全：應(yīng)增加主機(jī)衛(wèi)士或類似安全設(shè)備，使用白名單的方式對(duì)應(yīng)用進(jìn)行保護(hù)，防止惡意應(yīng)用對(duì)關(guān)鍵文件的操作；增加堡壘機(jī)或類似安全設(shè)備，進(jìn)一步加強(qiáng)身份認(rèn)證。

7 結(jié)束語(yǔ)

結(jié)合列控系統(tǒng)工作原理和網(wǎng)絡(luò)架構(gòu)，分析系統(tǒng)存在的信息安全隱患和風(fēng)險(xiǎn)。綜合各類滲透測(cè)試方案和指南，分析其優(yōu)劣，結(jié)合列控系統(tǒng)特點(diǎn)，提出列控系統(tǒng)的滲透測(cè)試流程。以列控系統(tǒng)半實(shí)物仿真平臺(tái)為測(cè)試對(duì)象，提出滲透測(cè)試方案，并驗(yàn)證列控系統(tǒng)真實(shí)存在的隱患，進(jìn)而提出改善建議。