随着工业控制系统的发展与进步,工业控制系统已经广泛应用于包括电力、石油石化、铁路、水处理等关系民生安全行业在内的国家关键基础设施中。航油自控系统是民航业中工业控制系统的典型代表。该系统是一套用以实现机场供油自动化的航空油料运输系统。随着信息化技术的不断发展,航油自控系统的智能化、信息化程度也越来越高。但网络化程度的提升在提高生产效率的同时,也给生产的安全带来了巨大的隐患。因此为了提高航油自控系统的安全程度,对系统进行网络安全风险评估是必要的。本文使用基于攻击树的形式化分析方法对航油自控系统进行安全风险评估;同时搭建了一个模拟航油运输的测试床形成一个可以进行渗透测试的环境,并对测试床进行测试验证系统的动态响应能力。并基于该测试床给出了进行网络安全分析的策略建议。该测试床可以在形式化分析的基础上对系统的网络安全进行更加精准、具体的分析。本文首先对航油自控系统的主要业务模块、组成部分、网络架构及其面临的安全威胁进行分析从而确定攻击树的叶节点、中间节点及根节点,完成典型航油自控系统攻击树模型的搭建。通过专家打分法及CVSS中ESS值和ISS值算法对各个叶节点脆弱性的影响因素进行赋值并利用层次分析法（AHP）与熵权法结合的组合赋权法对各影响因素进行权值分配。然后依据多效应理论按照叶节点脆弱性计算、攻击序列脆弱性计算、根节点脆弱性计算的顺序计算出系统的脆弱性指数,获取攻击树中脆弱性最高的攻击节点及攻击路径从而完成对典型航油自控系统的安全评估。并根据安全评估结果给出了对航油自控系统布置防御措施的建议。其次,本文在充分调研真实航油系统运行的基础上结合对测试床功能需求和非功能需求的分析搭建了一个包含采集执行层设备、现场控制层设备、集中监控层设备在内的航油自控系统仿真测试床。该测试床通过搭建真实的工控网络,连接了传感器、可编程逻辑控制器（PLC）、人机交互界面（HMI）等组件实现了三个层级间的通信和可视化界面的显示,完成了测试床的搭建。最后,在测试床上进行了功能验证测试。通过ARP欺骗攻击、DOS攻击、Modbus协议漏洞攻击等方式对测试床进行攻击,验证了该测试床各模块的动态响应能力。为后续在形式化分析这种相对更宏观、整体的评估方式的基础上进行攻防测试从而提供更加精准、具体的分析打下基础。