工业控制系统(Industrial Control System,ICS)是广泛应用于电力、石油石化、水利设施、交通设施和核设施等关键基础设施领域的神经中枢。现代工控系统的本质是感知、计算、通信和控制功能深度融合的信息物理系统(Cyber-Physical System,CPS)。随着工控系统同互联网、物联网等网络的集成融合,信息空间和物理空间的边界日益交叠,全球互联、信息和物理融合的新信息空间已初步形成。与此同时,网络安全威胁也从信息空间渗透到物理空间,震网事件等实证了网络攻击能对关键基础设施信息物理系统产生重大物理破坏后果,甚至影响国家安全。本文围绕如何建模、评估和抵御网络攻击对关键基础设施信息物理系统产生物理后果这一核心问题,针对什么是工控系统信息物理跨域攻击以及如何为工控系统开展风险评估和安全分析这两个问题开展研究。本论文的主要贡献如下:1)针对什么是工控系统信息物理跨域攻击这一问题,本文提出了关键基础设施信息物理系统(Critical Infrastructure-Cyber-Physical Systems,CI-CPS)体系结构模型、CI-CPS运行分析模型以及信息物理攻击形式化描述和建模,从而构建了普适于关键基础设施领域的工控系统信息物理跨域攻击分析框架。该框架能指导并应用于以工控系统信息物理跨域攻击为特点的工控系统风险评估、工控软件安全、工控系统实验平台和分析应用领域。2)在工控系统风险评估领域中,提出了一种基于安全域划分和攻击模式优化的工控系统信息物理跨域攻击图分析方法,该方法降低了复杂度,提高了风险评估的可操作性;提出了一种结合Dempster/Shafer证据理论(D-S证据理论)和层次分析法的定量工业控制系统信息安全风险评估方法,为国家标准“GB/T 37980-2019信息安全技术工业控制系统安全检查指南”的实施提供了支持。3)在工控软件安全领域中,提出了一种以工控软件配置文件为污染源的基于动态污点分析的模糊测试(Fuzz测试)方法,改进了模糊测试方法,探索了工控系统应用软件安全黑盒测试的新方向;提出一种基于控制流混淆的安卓工业应用软件的代码保护方法,增强了混淆强度,降低了混淆成本,增加了代码保护强度。4)在工控系统实验平台方面和分析应用方面,提出并建设了虚实结合的工控系统综合实验平台,该平台能支持所提出的工控系统信息跨域攻击分析框架和相关研究;提出了特征化工业控制协议交互行为特征的工控系统场景指纹,该指纹具有广谱的工控系统网络攻击和异常发现能力,可进一步应用在工控系统网络威胁发现和异常检测等工作中。