基于可編程控制器的鍋爐控制系統(tǒng)網(wǎng)絡(luò)攻擊實(shí)現(xiàn)

楊泓彬++于浩

【摘 要】 為使工業(yè)從業(yè)人員提高工控系統(tǒng)信息安全防范意識，加強(qiáng)工控設(shè)備信息安全防護(hù)措施，本文將針對一套鍋爐控制系統(tǒng)中的可編程控制器西門子S7-300進(jìn)行相關(guān)網(wǎng)絡(luò)攻擊測試，通過利用了S7-300 PLC與上位機(jī)編程軟件STEP7間通信過程中身份認(rèn)證機(jī)制不完善的脆弱點(diǎn)，以重放攻擊的形式人為控制PLC開關(guān)機(jī)。通過實(shí)例證明，網(wǎng)絡(luò)攻擊可以在工控系統(tǒng)中輕松實(shí)現(xiàn)，借此希望引起相關(guān)從業(yè)人員人員的重視。

【關(guān)鍵詞】 鍋爐 可編程控制器 重放攻擊 脆弱性

鍋爐作為一種重要的工業(yè)生產(chǎn)設(shè)備，在化工、發(fā)電以及人們的日常生活中起著至關(guān)重要的作用。近幾年，隨著對工業(yè)生產(chǎn)要求的不斷提高，鍋爐作為工業(yè)過程中重要的上游動力設(shè)備，也正向著大容量、多參數(shù)、高效率的方向快速進(jìn)步。因此，保證鍋爐的運(yùn)行安全，意義重大。

但隨著計(jì)算機(jī)技術(shù)、通信技術(shù)和控制技術(shù)的發(fā)展，傳統(tǒng)的控制領(lǐng)域已向網(wǎng)絡(luò)化方向高速發(fā)展。尤其以“震網(wǎng)”病毒為首的幾起工控信息安全事件的發(fā)生，使得工控系統(tǒng)安全得到了國家有關(guān)部門的高度重視。為引起相關(guān)從業(yè)人員對工控信息安全的重視，本文通過對基于西門子S7-300可編程邏輯控制器（Programmable Logic Controller，PLC）的鍋爐控制系統(tǒng)進(jìn)行針對性的模擬網(wǎng)絡(luò)攻擊，來分析PLC這一常見的控制器的安全隱患，并模擬工控系統(tǒng)信息安全脆弱性可能帶來的危害。

1 鍋爐控制系統(tǒng)（如圖1）

1.1 鍋爐控制系統(tǒng)介紹

鍋爐系統(tǒng)（包括爐膛、油箱和水箱）作為被控對象，由西門子S7-300PLC等現(xiàn)場工業(yè)控制器采集鍋爐系統(tǒng)的所有數(shù)字量、模擬量信號，完成對鍋爐系統(tǒng)的閉環(huán)控制。同時(shí)，在該控制系統(tǒng)中，工業(yè)監(jiān)控服務(wù)器通過工業(yè)以太網(wǎng)與現(xiàn)場控制器通訊，監(jiān)控鍋爐的運(yùn)行狀態(tài)和修改運(yùn)行參數(shù)。

本系統(tǒng)的控制器主要由西門子S7-300 PLC、ABB AC-500 PLC及北京安控Super32-L RTU組成。其中，S7-300 PLC將對鍋爐主體完成全部的控制功能，包括對鍋爐進(jìn)水量、進(jìn)油量、汽包水位和壓力等的控制；安控Super32-L RTU完成對水箱的控制功能，通過讀取水箱內(nèi)部實(shí)時(shí)水位作出補(bǔ)水、告警等功能；ABB AC-500 PLC完成對油箱的控制功能，通過對其油箱內(nèi)部實(shí)時(shí)油位作出進(jìn)油、告警等功能。

鍋爐控制系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)圖如圖2所示。

1.2 控制系統(tǒng)軟件設(shè)計(jì)（如圖3）

在本文介紹的控制系統(tǒng)中，西門子S7-300 PLC負(fù)責(zé)了對鍋爐燃燒狀態(tài)的控制，我們將對其進(jìn)行基于網(wǎng)絡(luò)的信息安全攻擊測試，因此，S7-300 PLC是我們研究的重點(diǎn)。

S7-300是德國西門子公司生產(chǎn)的可編程控制器（PLC）系列產(chǎn)品之一，在國內(nèi)外各工業(yè)領(lǐng)域都有廣泛的應(yīng)用。其中，在我國的水利、煉化等領(lǐng)域的關(guān)鍵控制系統(tǒng)中更是起到了核心控制器的作用。S7-300系列PLC采用了模塊化結(jié)構(gòu)設(shè)計(jì)，各種單獨(dú)模塊之間可進(jìn)行廣泛組合和擴(kuò)展，包括導(dǎo)軌、電源模塊、CPU模塊、接口模塊、信號模塊、功能模塊等，在提升其技術(shù)開放性的同時(shí)也帶來了一定的安全隱患。現(xiàn)在，越來越多的控制方案會選擇將PLC與從設(shè)備或現(xiàn)場儀表的通信通過現(xiàn)場總線、與上位機(jī)系統(tǒng)的通信通過工業(yè)以太網(wǎng)進(jìn)行，這便使得通過以太網(wǎng)對PLC等工業(yè)控制設(shè)備進(jìn)行攻擊成為可能。

在本系統(tǒng)中，S7-300 PLC主要負(fù)責(zé)鍋爐本體控制方案的實(shí)現(xiàn)。其對鍋爐本體的控制可分為：（1）對汽包水位的PID控制；（2）對汽包壓力的PID控制；（3）對緊急停車及復(fù)位的控制；（4）對鍋爐燃燒、停爐的時(shí)序控制，所有控制的狀態(tài)由S7-300 PLC通過工業(yè)以太網(wǎng)傳送到上位機(jī)的WINCC監(jiān)控界面中。

控制方案的軟件實(shí)現(xiàn)由西門子編程軟件STEP7完成，西門子STEP7是用于SIMATIC S7系列PLC創(chuàng)建可編程邏輯控制程序的標(biāo)準(zhǔn)軟件。用戶程序由用戶在STEP7中生成，然后將其下載到PLC中，用戶程序可包含處理用戶特定的自動化任務(wù)所需要的所有功能。

2 網(wǎng)絡(luò)攻擊

2.1 攻擊原理

本節(jié)將介紹鍋爐控制系統(tǒng)中對西門S7-300 PLC的模擬網(wǎng)絡(luò)攻擊，筆者將通過對完全面向市場開放的工控軟硬件進(jìn)行試驗(yàn)分析，獲取可被利用的通信數(shù)據(jù)，從而在鍋爐控制系統(tǒng)中進(jìn)行重放攻擊，使之造成一定的惡意破壞效果。

重放攻擊（Replay Attacks）是指攻擊者發(fā)送一個(gè)目的主機(jī)已接收過的包，來達(dá)到欺騙系統(tǒng)的目的。這種攻擊會不斷惡意或欺詐性地重復(fù)一個(gè)有效的數(shù)據(jù)傳輸，重放攻擊可以由發(fā)起者，也可以由攔截并重發(fā)該數(shù)據(jù)的敵方進(jìn)行。在本實(shí)驗(yàn)中，攻擊者利用網(wǎng)絡(luò)監(jiān)聽或者模擬環(huán)境重現(xiàn)獲取相應(yīng)的認(rèn)證憑據(jù)，之后再把它重新發(fā)給通信雙方，即使兩者通信中關(guān)鍵數(shù)據(jù)進(jìn)行了加密，但是仍防止不了重放攻擊發(fā)生。

2.2 攻擊環(huán)境

本文中，鍋爐控制系統(tǒng)的核心控制器S7-300 PLC的IP地址為192.168.0.9，其余設(shè)備IP地址分配如表1所示。對于攻擊者而言，IP地址可以通過入侵到工廠網(wǎng)絡(luò)后進(jìn)行嗅探發(fā)現(xiàn)，亦可通過社會工程學(xué)手段間接獲取。實(shí)際環(huán)境中，攻擊者甚至可以無需知曉IP地址，在發(fā)起網(wǎng)絡(luò)攻擊時(shí)對所有可能是控制設(shè)備的IP地址進(jìn)行無差別的試探攻擊來達(dá)到目的。本文在介紹攻擊過程前設(shè)定一個(gè)攻擊者已掌握目標(biāo)控制系統(tǒng)所處網(wǎng)絡(luò)環(huán)境的前提，即筆者事先已掌握了鍋爐控制系統(tǒng)內(nèi)各設(shè)備的網(wǎng)絡(luò)參數(shù)。

2.3 攻擊過程

2.3.1 復(fù)現(xiàn)攻擊場景

S7-300 PLC及STEP7編程軟件為市面上可輕易獲得的工控軟硬件，筆者預(yù)先在實(shí)驗(yàn)室對PLC與上位機(jī)軟件通信的環(huán)境進(jìn)行模擬，抓取影響關(guān)鍵操作、可重放的網(wǎng)絡(luò)數(shù)據(jù)流。筆者發(fā)現(xiàn)STEP7在為S7-300 PLC下裝組態(tài)時(shí)會強(qiáng)制令PLC的CPU進(jìn)入停止?fàn)顟B(tài)，即狀態(tài)由RUN MODE切換至STOP MODE。筆者多次試驗(yàn)上述操作，確認(rèn)這段TCP會話數(shù)據(jù)流沒有采用身份認(rèn)證措施。因此，若能夠偽裝成控制系統(tǒng)內(nèi)的上位機(jī)重放這段會話，就有可能產(chǎn)生將PLC“關(guān)機(jī)”的效果。endprint

2.3.2 攻擊準(zhǔn)備

攻擊者編寫用于重放該段網(wǎng)絡(luò)數(shù)據(jù)流的腳本工具，于實(shí)驗(yàn)室環(huán)境中對PLC進(jìn)行重放攻擊，成功實(shí)現(xiàn)了“遠(yuǎn)程關(guān)閉PLC”這一行為。如圖4所示，TCP協(xié)議所承載的應(yīng)用層數(shù)據(jù)未采用相應(yīng)的認(rèn)證措施，任何與PLC進(jìn)行這段TCP會話的設(shè)備均可使PLC停止工作。

2.3.3 攻擊實(shí)施

實(shí)際情況中，攻擊者需要將所編寫的“惡意代碼”帶入到工控系統(tǒng)的網(wǎng)絡(luò)中。筆者制作含有所編寫的攻擊腳本的小型便攜式設(shè)備，從物理上接近控制系統(tǒng)直接通過接入以太網(wǎng)將惡意代碼植入到網(wǎng)絡(luò)中。惡意代碼開始運(yùn)作后，第一步要獲取與S7-300 PLC的“通信權(quán)”，如果該P(yáng)LC在組態(tài)編程時(shí)設(shè)定了訪問控制列表，則可以對整個(gè)工控網(wǎng)絡(luò)進(jìn)行ARP欺騙，將自己偽裝成處于該訪問控制列表中的主機(jī)。與PLC可建立TCP連接后，直接重放實(shí)驗(yàn)室中獲得的TCP數(shù)據(jù)流。

2.3.4 攻擊后果

與實(shí)驗(yàn)室試驗(yàn)的結(jié)果相同，鍋爐控制系統(tǒng)中的S7-300 PLC受到網(wǎng)絡(luò)攻擊后，其運(yùn)行狀態(tài)從RUN MODE切換至STOP MODE，上位機(jī)WINCC監(jiān)控畫面丟失了所有S7-300 PLC的監(jiān)控?cái)?shù)據(jù)響應(yīng)，S7-300 PLC對于爐膛內(nèi)部的閉環(huán)控制也瞬間停止，爐膛內(nèi)部水位、溫度等參數(shù)處于不可控的狀態(tài)。

由于本次模擬攻擊是在受控環(huán)境中實(shí)施的，攻擊發(fā)生后及時(shí)為PLC重啟，未產(chǎn)生任何物理破壞與財(cái)產(chǎn)損失。在實(shí)際工況中，即使發(fā)生了針對鍋爐控制系統(tǒng)的網(wǎng)絡(luò)攻擊，由于聯(lián)鎖保護(hù)裝置的存在，產(chǎn)生極其嚴(yán)重的破壞的可能性較低，但因?yàn)橥９た赡軙斐梢欢ǔ潭壬系呢?cái)產(chǎn)損失。

2.4 結(jié)論分析

本文所進(jìn)行的模擬攻擊利用了S7-300 PLC與上位機(jī)編程軟件STEP7間通信過程中身份認(rèn)證機(jī)制不完善的脆弱點(diǎn)，以重放攻擊的形式令PLC工作停止。使用同樣的手段，筆者也能使PLC從“停止”模式切換至“運(yùn)行”模式或“清除”模式，致使PLC工作異常。

經(jīng)筆者驗(yàn)證，除了西門子S7系列PLC有此類問題存在，對于其他廠商的控制器也能通過這種手段經(jīng)由網(wǎng)絡(luò)進(jìn)行攻擊。產(chǎn)生此類問題的根源是設(shè)備廠商在研制承載于以太網(wǎng)的設(shè)備間通訊協(xié)議時(shí)，沒有很完整地考慮協(xié)議的安全性。因此，其脆弱性可以說是由設(shè)備自身帶來的。一個(gè)有效地防范此類脆弱性帶來的危害的辦法是：不影響工控系統(tǒng)可用性的前提下，在系統(tǒng)網(wǎng)絡(luò)上采取針對網(wǎng)絡(luò)數(shù)據(jù)流量的審計(jì)、監(jiān)控措施，在攻擊的初期階段即及時(shí)發(fā)現(xiàn)異常嗅探、ARP欺騙等行為的發(fā)生，在攻擊發(fā)生時(shí)采用“白名單”策略過濾異常工控協(xié)議數(shù)據(jù)，保證整個(gè)控制系統(tǒng)穩(wěn)定運(yùn)行。

3 結(jié)語

本文對基于西門子S7-300 PLC鍋爐控制系統(tǒng)進(jìn)行了分析，提出了一種針對PLC的網(wǎng)絡(luò)攻擊手段，并詳述了攻擊過程以及產(chǎn)生的后果。此類網(wǎng)絡(luò)攻擊可以對多種關(guān)鍵基礎(chǔ)設(shè)施中的各類PLC產(chǎn)生效果，對實(shí)際工況造成一定的影響。因此，本文的研究工作為工業(yè)控制系統(tǒng)的信息安全研究提供了一種思路和方法，同時(shí)也旨在引起相應(yīng)業(yè)內(nèi)人士的重視和思考。

參考文獻(xiàn)：

[1]王亞迪.基于Matlab/RTW的鍋爐控制系統(tǒng)硬件在環(huán)設(shè)計(jì)[D].上海：華東理工大學(xué)，2013.

[2]廖常初.S7-300/400 PLC應(yīng)用技術(shù)[M].北京：機(jī)械工業(yè)出版社，2005：8.

[3]溫彥文，吳春生.可編程控制器（PLC）在鍋爐自動控制系統(tǒng)中的應(yīng)用與實(shí)踐[J].北京：中國科技縱橫，2010

[4]周強(qiáng)泰.鍋爐原理[M].北京：中國電力出版社，2009：9.endprint

2.3.2 攻擊準(zhǔn)備

攻擊者編寫用于重放該段網(wǎng)絡(luò)數(shù)據(jù)流的腳本工具，于實(shí)驗(yàn)室環(huán)境中對PLC進(jìn)行重放攻擊，成功實(shí)現(xiàn)了“遠(yuǎn)程關(guān)閉PLC”這一行為。如圖4所示，TCP協(xié)議所承載的應(yīng)用層數(shù)據(jù)未采用相應(yīng)的認(rèn)證措施，任何與PLC進(jìn)行這段TCP會話的設(shè)備均可使PLC停止工作。

2.3.3 攻擊實(shí)施

實(shí)際情況中，攻擊者需要將所編寫的“惡意代碼”帶入到工控系統(tǒng)的網(wǎng)絡(luò)中。筆者制作含有所編寫的攻擊腳本的小型便攜式設(shè)備，從物理上接近控制系統(tǒng)直接通過接入以太網(wǎng)將惡意代碼植入到網(wǎng)絡(luò)中。惡意代碼開始運(yùn)作后，第一步要獲取與S7-300 PLC的“通信權(quán)”，如果該P(yáng)LC在組態(tài)編程時(shí)設(shè)定了訪問控制列表，則可以對整個(gè)工控網(wǎng)絡(luò)進(jìn)行ARP欺騙，將自己偽裝成處于該訪問控制列表中的主機(jī)。與PLC可建立TCP連接后，直接重放實(shí)驗(yàn)室中獲得的TCP數(shù)據(jù)流。

2.3.4 攻擊后果

與實(shí)驗(yàn)室試驗(yàn)的結(jié)果相同，鍋爐控制系統(tǒng)中的S7-300 PLC受到網(wǎng)絡(luò)攻擊后，其運(yùn)行狀態(tài)從RUN MODE切換至STOP MODE，上位機(jī)WINCC監(jiān)控畫面丟失了所有S7-300 PLC的監(jiān)控?cái)?shù)據(jù)響應(yīng)，S7-300 PLC對于爐膛內(nèi)部的閉環(huán)控制也瞬間停止，爐膛內(nèi)部水位、溫度等參數(shù)處于不可控的狀態(tài)。

由于本次模擬攻擊是在受控環(huán)境中實(shí)施的，攻擊發(fā)生后及時(shí)為PLC重啟，未產(chǎn)生任何物理破壞與財(cái)產(chǎn)損失。在實(shí)際工況中，即使發(fā)生了針對鍋爐控制系統(tǒng)的網(wǎng)絡(luò)攻擊，由于聯(lián)鎖保護(hù)裝置的存在，產(chǎn)生極其嚴(yán)重的破壞的可能性較低，但因?yàn)橥９た赡軙斐梢欢ǔ潭壬系呢?cái)產(chǎn)損失。

2.4 結(jié)論分析

本文所進(jìn)行的模擬攻擊利用了S7-300 PLC與上位機(jī)編程軟件STEP7間通信過程中身份認(rèn)證機(jī)制不完善的脆弱點(diǎn)，以重放攻擊的形式令PLC工作停止。使用同樣的手段，筆者也能使PLC從“停止”模式切換至“運(yùn)行”模式或“清除”模式，致使PLC工作異常。

經(jīng)筆者驗(yàn)證，除了西門子S7系列PLC有此類問題存在，對于其他廠商的控制器也能通過這種手段經(jīng)由網(wǎng)絡(luò)進(jìn)行攻擊。產(chǎn)生此類問題的根源是設(shè)備廠商在研制承載于以太網(wǎng)的設(shè)備間通訊協(xié)議時(shí)，沒有很完整地考慮協(xié)議的安全性。因此，其脆弱性可以說是由設(shè)備自身帶來的。一個(gè)有效地防范此類脆弱性帶來的危害的辦法是：不影響工控系統(tǒng)可用性的前提下，在系統(tǒng)網(wǎng)絡(luò)上采取針對網(wǎng)絡(luò)數(shù)據(jù)流量的審計(jì)、監(jiān)控措施，在攻擊的初期階段即及時(shí)發(fā)現(xiàn)異常嗅探、ARP欺騙等行為的發(fā)生，在攻擊發(fā)生時(shí)采用“白名單”策略過濾異常工控協(xié)議數(shù)據(jù)，保證整個(gè)控制系統(tǒng)穩(wěn)定運(yùn)行。

3 結(jié)語

本文對基于西門子S7-300 PLC鍋爐控制系統(tǒng)進(jìn)行了分析，提出了一種針對PLC的網(wǎng)絡(luò)攻擊手段，并詳述了攻擊過程以及產(chǎn)生的后果。此類網(wǎng)絡(luò)攻擊可以對多種關(guān)鍵基礎(chǔ)設(shè)施中的各類PLC產(chǎn)生效果，對實(shí)際工況造成一定的影響。因此，本文的研究工作為工業(yè)控制系統(tǒng)的信息安全研究提供了一種思路和方法，同時(shí)也旨在引起相應(yīng)業(yè)內(nèi)人士的重視和思考。

參考文獻(xiàn)：

[1]王亞迪.基于Matlab/RTW的鍋爐控制系統(tǒng)硬件在環(huán)設(shè)計(jì)[D].上海：華東理工大學(xué)，2013.

[2]廖常初.S7-300/400 PLC應(yīng)用技術(shù)[M].北京：機(jī)械工業(yè)出版社，2005：8.

[3]溫彥文，吳春生.可編程控制器（PLC）在鍋爐自動控制系統(tǒng)中的應(yīng)用與實(shí)踐[J].北京：中國科技縱橫，2010

[4]周強(qiáng)泰.鍋爐原理[M].北京：中國電力出版社，2009：9.endprint

2.3.2 攻擊準(zhǔn)備

攻擊者編寫用于重放該段網(wǎng)絡(luò)數(shù)據(jù)流的腳本工具，于實(shí)驗(yàn)室環(huán)境中對PLC進(jìn)行重放攻擊，成功實(shí)現(xiàn)了“遠(yuǎn)程關(guān)閉PLC”這一行為。如圖4所示，TCP協(xié)議所承載的應(yīng)用層數(shù)據(jù)未采用相應(yīng)的認(rèn)證措施，任何與PLC進(jìn)行這段TCP會話的設(shè)備均可使PLC停止工作。

2.3.3 攻擊實(shí)施

實(shí)際情況中，攻擊者需要將所編寫的“惡意代碼”帶入到工控系統(tǒng)的網(wǎng)絡(luò)中。筆者制作含有所編寫的攻擊腳本的小型便攜式設(shè)備，從物理上接近控制系統(tǒng)直接通過接入以太網(wǎng)將惡意代碼植入到網(wǎng)絡(luò)中。惡意代碼開始運(yùn)作后，第一步要獲取與S7-300 PLC的“通信權(quán)”，如果該P(yáng)LC在組態(tài)編程時(shí)設(shè)定了訪問控制列表，則可以對整個(gè)工控網(wǎng)絡(luò)進(jìn)行ARP欺騙，將自己偽裝成處于該訪問控制列表中的主機(jī)。與PLC可建立TCP連接后，直接重放實(shí)驗(yàn)室中獲得的TCP數(shù)據(jù)流。

2.3.4 攻擊后果

與實(shí)驗(yàn)室試驗(yàn)的結(jié)果相同，鍋爐控制系統(tǒng)中的S7-300 PLC受到網(wǎng)絡(luò)攻擊后，其運(yùn)行狀態(tài)從RUN MODE切換至STOP MODE，上位機(jī)WINCC監(jiān)控畫面丟失了所有S7-300 PLC的監(jiān)控?cái)?shù)據(jù)響應(yīng)，S7-300 PLC對于爐膛內(nèi)部的閉環(huán)控制也瞬間停止，爐膛內(nèi)部水位、溫度等參數(shù)處于不可控的狀態(tài)。

由于本次模擬攻擊是在受控環(huán)境中實(shí)施的，攻擊發(fā)生后及時(shí)為PLC重啟，未產(chǎn)生任何物理破壞與財(cái)產(chǎn)損失。在實(shí)際工況中，即使發(fā)生了針對鍋爐控制系統(tǒng)的網(wǎng)絡(luò)攻擊，由于聯(lián)鎖保護(hù)裝置的存在，產(chǎn)生極其嚴(yán)重的破壞的可能性較低，但因?yàn)橥９た赡軙斐梢欢ǔ潭壬系呢?cái)產(chǎn)損失。

2.4 結(jié)論分析

本文所進(jìn)行的模擬攻擊利用了S7-300 PLC與上位機(jī)編程軟件STEP7間通信過程中身份認(rèn)證機(jī)制不完善的脆弱點(diǎn)，以重放攻擊的形式令PLC工作停止。使用同樣的手段，筆者也能使PLC從“停止”模式切換至“運(yùn)行”模式或“清除”模式，致使PLC工作異常。

經(jīng)筆者驗(yàn)證，除了西門子S7系列PLC有此類問題存在，對于其他廠商的控制器也能通過這種手段經(jīng)由網(wǎng)絡(luò)進(jìn)行攻擊。產(chǎn)生此類問題的根源是設(shè)備廠商在研制承載于以太網(wǎng)的設(shè)備間通訊協(xié)議時(shí)，沒有很完整地考慮協(xié)議的安全性。因此，其脆弱性可以說是由設(shè)備自身帶來的。一個(gè)有效地防范此類脆弱性帶來的危害的辦法是：不影響工控系統(tǒng)可用性的前提下，在系統(tǒng)網(wǎng)絡(luò)上采取針對網(wǎng)絡(luò)數(shù)據(jù)流量的審計(jì)、監(jiān)控措施，在攻擊的初期階段即及時(shí)發(fā)現(xiàn)異常嗅探、ARP欺騙等行為的發(fā)生，在攻擊發(fā)生時(shí)采用“白名單”策略過濾異常工控協(xié)議數(shù)據(jù)，保證整個(gè)控制系統(tǒng)穩(wěn)定運(yùn)行。

3 結(jié)語

本文對基于西門子S7-300 PLC鍋爐控制系統(tǒng)進(jìn)行了分析，提出了一種針對PLC的網(wǎng)絡(luò)攻擊手段，并詳述了攻擊過程以及產(chǎn)生的后果。此類網(wǎng)絡(luò)攻擊可以對多種關(guān)鍵基礎(chǔ)設(shè)施中的各類PLC產(chǎn)生效果，對實(shí)際工況造成一定的影響。因此，本文的研究工作為工業(yè)控制系統(tǒng)的信息安全研究提供了一種思路和方法，同時(shí)也旨在引起相應(yīng)業(yè)內(nèi)人士的重視和思考。

參考文獻(xiàn)：

[1]王亞迪.基于Matlab/RTW的鍋爐控制系統(tǒng)硬件在環(huán)設(shè)計(jì)[D].上海：華東理工大學(xué)，2013.

[2]廖常初.S7-300/400 PLC應(yīng)用技術(shù)[M].北京：機(jī)械工業(yè)出版社，2005：8.

[3]溫彥文，吳春生.可編程控制器（PLC）在鍋爐自動控制系統(tǒng)中的應(yīng)用與實(shí)踐[J].北京：中國科技縱橫，2010

[4]周強(qiáng)泰.鍋爐原理[M].北京：中國電力出版社，2009：9.endprint