以“震网”病毒为代表的高级网络攻击将目标指向涉及国计民生的重大基础设施,使得工业自动化控制系统的安全问题上升为国家安全问题。控制系统的网络安全问题与IT信息系统有着本质的区别,其核心在于控制系统与物理系统紧密联系在一起,是信息物理融合的系统。目前,对于控制系统安全问题的研究,学术界基本沿用IT系统的相关理论与方法,无法为类似“震网”病毒的安全问题提供数学描述、入侵检测方法及安全风险评估技术。因此,应对控制系统安全的挑战,需要建立一种信息系统与物理系统融合的全新技术体系。论文以网络控制系统(NCS)为研究对象,重点研究信道层安全协议、设备层入侵检测、系统层信任管理及安全资源分配等科学问题,运用信息物理融合的方法构建网络控制系统安全技术体系。首先对网络控制系统安全问题进行了数学描述。从控制理论角度出发,引入信息安全概念,分析NCS信息安全问题的本质特点。分析黑客对NCS通信信道的攻击行为,建立统一的信道攻击模型,实现对篡改、窃听、封锁、重播等典型报文攻击方式的数学描述。分析黑客对NCS控制过程的攻击行为,引入黑客攻击函数,对控制系统状态方程进行扩展,建立欺骗、Do S等典型攻击手段的数学模型,并对浪涌、偏差、几何等典型攻击策略进行数学描述。提出基于安全状态集合与失效概率的NCS安全目标,为后续NCS安全技术研究提供了基本理论框架。为解决网络控制系统现场总线安全状态同步问题,采用流密码技术对现场总线协议进行安全改造,提出一种基于安全状态同步的通信机制(S3M),并证明了其安全性。S3M将流密码动态地切分成加密因子、认证因子、同步因子,利用这三个因子对现场总线上传输的报文进行加密、认证及状态同步,可以在基本不增加协议通信负载的条件下,实现现场总线报文的机密性、完整性与安全同步。以Modbus现场总线为例,具体说明了S3M的流密码机选择、码流切分方法以及MAC算子构造的过程。将S3M与KSSM、AES加密等已有的现场总线安全技术进行了对比分析,结果表明,S3M具有更优的防御能力和可实现性。对于获得网络控制权的黑客发起的协议合法但内容非法的网络攻击,IT系统的网络入侵检测算法完全失效。针对该问题,对传统的非参数CUSUM算法进行改进,提出一种基于工业控制模型的NCS入侵检测算法。改进后的CUSUM算法无需知道黑客攻击的分布概率,可以有效应对来自理性黑客的内部攻击。以热风炉拱顶温度控制系统为目标对象,仿真验证了该算法的有效性。在改进CUSUM算法基础上,应用贝叶斯条件概率理论对连续检测结果作关联计算,可以有效降低入侵检测的误报率。在NCS系统存在恶意节点的情形下,如何隔离或限制恶意节点,以保证系统的安全运行,是工业控制系统安全在系统层面需要解决的重要课题。针对这种情况,提出一种基于簇信誉的安全任务分配方法,将需要执行的任务最大限度地分配给安全节点。为了合理地描述NCS,将NCS抽象为分簇系统,利用多Agent模型描述分簇系统的运行策略,并给出了节点、簇的信誉概念和信誉值量化计算方法。将各单元、控制器的功能安全度、网络安全度进行量化,并把功能安全值、网络安全值作为信誉计算的基础,建立基于信誉的安全任务管理机制。仿真结果表明,该机制能够对信誉度低的节点进行有效隔离。论文从信息物理融合的角度分析网络控制系统安全问题的本质,建立了包括黑客行为描述、安全目标定义、信道安全协议、入侵检测理论、系统信任管理的技术体系,可以为这一领域的技术研究和产品研发提供理论基础和方法指导。