烟草工控系统网络安全风险评估的研究与应用

随着计算机和网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，网络威胁正在向工业控制系统扩散，工业控制系统信息安全问题日益突出， 对工业生产运行和国家经济安全造成重大隐患。 利用AHP方法从资产、威胁点和脆弱性等角度对某烟草企业进行风险评估与分析，结合采用工控安全工具对其进行检测得出该系统存在较高的网络信息安全风险，建议采取相应措施。 

安全可靠的信息安全评估的重要性

2014年，Havex病毒对工业控制系统形成威胁，变种多达80余种。 Havex背后的攻击者通过对ICS/SCADA软件安装包中植入木马，甚至能够入侵到关键基础设施。 2014年Digital Bond的研究人员HILT S开发出一款可隐藏在可编程逻辑控制器(PLC)中的工控系统黑客工具原型PLCpwn。 PLCpwn可以绕过企业的安全边界，进而威胁整个工控网，而且可以通过小型化的软、硬件进行更加隐蔽的攻击。 

2009年，国内某烟草企业控制网络被“灰鸽子”病毒感染，该病毒在控制网络上发送大量的ARP广播报文，形成对PLC等工控设备的DoS攻击，最终导致企业停产。 

2010年某烟厂制烟车间Wincc服务器感染病毒,导致各终端与Wincc服务器之间连接通信中断,整个车间生产受阻。 专家发现由于网络中感染了未知病毒,该病毒向c:\\windows\\system\\下释放dllcache.exe文件并隐藏执行。 

这类蠕虫式病毒的爆发导致起关键性指挥作用的Wincc服务器遭受到拒绝式服务攻击,致使整个网络瘫痪。 国外主要的自动化厂商与传统信息安全厂商均有自身的工控信息安全解决方案，以侧重保护自身的控制系统为主。 它们针对工控安全市场需要推出了工控安全产品或技术,如NexDefense公司开发出工控异常监测系统、Tenablet公司推出工业漏扫产品，Checkpoint和Palo Alto在传统的防火墙上增加了对工业协议的支持。 

目前国内工控信息安全产品厂商众多，产品种类已基本覆盖工控网络安全检测、安全防护、管理平台三大领域，包括工业防火墙、工业网闸、工控入侵异常监测系统、工控运维审计系统、工控漏洞扫描系统、工控信息安全管理系统平台等。 但是，我国工业控制系统信息安全管理工作中仍存在不少问题，主要是对工业控制系统信息安全问题重视不够，管理制度不健全，相关标准规范缺失，技术防护措施不到位，安全防护能力和应急处置能力不够等，威胁着工业生产安全和社会正常运转。 工业控制系统缺少相对应防护措施，导致系统易受攻击。 所以，合理、完善的信息安全评估对工业控制而言显得格外重要。

烟草行业国内外工业安全状况

烟草行业工控系统主要由SCADA和PLC组成，制丝工控系统主要工作是对烟叶原料加工，在整个系统中分为多个工艺段按照流程进行。 主要业务流程是由MES系统下发生产任务，监控IO服务器从数据库服务器中读取生产任务数据，转化为具体操作指令下发到底层控制设备。 各操作员站由监控IO服务器读取数据实时对底层控制设备进行监控。 

烟草生产工控系统典型特征包括现场控制层网络由工业交换机组成工业环网，整个制丝集控系统依照流程进行一定顺序操作。 现场控制层控制设备分别接入工业交换机，IO服务器与操作站组成集中监控网络。 厂级管理网通过接入交换机与数据库服务器、OPC数采服务器、Web服务器进行数据交换，如图1所示。

卡巴斯基发布的《2016下半年工业控制系统威胁情况》报告指出，2016年下半年曝出的工控安全漏洞有75个。截至2017年3月，卡巴斯基发现的75个漏洞中仅有30个被工业软件供应商修复，未修复率高达60%，其中高危漏洞占比近50%，中危漏洞占比为40%。 目前世界上大多数工控系统存在的漏洞分为三类，拒绝服务占比为29%、远程代码执行占比为21%、缓冲区溢出占比为20%，其中高危漏洞与中危漏洞占比很大。 工控行业厂商漏洞数量分布见图2(数据来源于国家信息安全漏洞共享平台(CNVD))。

据统计中国境内遭受到攻击的工控系统数量占比高达53.31%，排名工控系统遭受攻击比例最高的15个国家的第9位，攻击数几乎是美国的3倍。 根据2015年烟草行业对生产企业工业控制系统网络安全的调研统计，几乎90%的企业对工控网络安全没有完整的认识和防控意识。 

目前国内的烟草行业工控系统网络安全主要情况如下： 

(1)行业工控系统中外国的PLC产品应用占90%以上，而这些控制器被发现存在大量安全漏洞， 其公开漏洞中主要漏洞分为四类，可引起业务中断的拒绝服务类、缓冲区溢出类、信息泄露类、远程控制类占比分别为33%、20%、16%、8%。 危害主要集中在服务器系统和工控数据。

 (2)多数工控系统需要与MES相联，而MES部署在管理网，管理网又直接或间接与互联网相连。 2016年底，中国境内在互联网的工控系统设备暴露数高达1143个，漏洞总数已累计超过900个。

 (3)有别于传统信息安全，工控系统仅有一部分操作员站部署了防病毒软件，存在弱口令、投产后无补丁更新、无软件白名单管理等问题。 行业内工程师站、操作员站安装防病毒软件情况统计如表1所示。

(4)生产人员及工控安全管理人员意识到工控系统安全重要性，但急需相关技术、标准的指导。 行业中尚未针对工控系统信息安全设置负责管理工作的职能部门，明确安全管理体系各个部门和岗位的职责、分工和技能要求等。

网络安全评估

烟草行业单位目前在工控安全技术和管理方面普遍存在较大风险，亟需进行工控安全建设。某烟草工控系统已运行9年，自动化系统、网络、主机安全等方面都存在着一定的安全隐患，为烟草工控系统做一次风险评估“体检”工作对指导下一步的工控安全体系建设具有重要的指导意义。 

风险评估模型与计算 依据对风险评估对象实体构造一种满足系统应用特点的评估体系，对相应的实体模型进行目标层、规范层、指标层的划分。 根据AHP方法(层次分析法)，构建 成对比较矩阵， 按表2所示标度进行赋值。 

RI称为平均随机一致性指标，它只与矩阵阶数n有关，可查表3。 

风险评估针对烟草行业的特点，从资产、威胁点和脆弱性进行风险评估与分析。 

用户资产分析： 根据前期调研后根据评估的资产在业务和应用流程中的重要程度获悉信息系统的整体情况，对信息化资产进行列举、分类，通过对资产的推算评估使得资产重要类别更加清晰，更好地确定详细的评估目标。 资产分析层次结构图如图3所示。 

用AHP方法根据目标层、规范层、指标层的划分利用公式得出资产价值权重。 资产价值依据资产在可用性、完整性和保密性上的赋值等级，经过综合评定得出。 综合评定方法是根据资产可用性、完整性和保密性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。 

安全威胁点： 根据烟草行业工控系统中对设备查阅安全设备日志和以往的安全事件记录，分析本系统在物理环境、网络、人员、设备故障、恶意代码及病毒等方面可能出现的情况，对威胁来源(内部/外部； 主观/不可抗力等)、威胁方式、发生的可能性、威胁主体的能力水平等进行列表分析、威胁结构层次划分，如图4所示。 威胁作用形式可以是对信息系统直接或间接的攻击，在保密性、完整性和可用性等方面造成损害，也可能是偶发的、或蓄意的事件。

威胁点属性较难度量，它依赖于具体的资产、弱点。 根据威胁点分析层次结构图利用公式得出威胁点对应的威胁因子。 

信息系统脆弱性： 脆弱性是指资产或资产组中能被威胁所利用的弱点，它包括物理环境、组织机构、业务流程、人员、管理、硬件、软件及通信设施等各个方面，这些都可能被各种安全威胁利用来侵害组织内的工控系统资产，造成资产损失。 根据前期调研，获悉信息系统的整体情况，构造信息系统脆弱性评估层次结构，如图5所示。 

脆弱性严重程度越突出，受保护对象威胁吸引力就越大，受到攻击和破坏的可能性就越大。 根据信息系统资产脆弱点暴露程度分为脆弱性因子层、外在威胁层、真实存在的脆弱点层。 根据脆弱性分析层次结构图利用公式得出脆弱点对应的脆弱因子。 风险计算 根据烟草行业信息安全系统的应用特点，按照资产、威胁点和脆弱性进行层次结构图分析，可发现它们之间有一定的关联性。 

将威胁发生的可能性及脆弱性的严重程度赋值。 通过对资产的风险进行评估和分析，可以得到评估目标的整体风险。 信息系统定级 根据客户的实际情况，结合风险计算保证核心资产的安全风险总体数据信息以及核心资产安全风险重要程度排序。 

将风险级别分成五级(x标识风险参数)，如表4所示，保护等级矩阵表如表5所示。 信息系统的安全保护等级是根据信息系统在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定的。 信息系统的安全保护等级分为五级，从第一级到第五级逐级增高。

系统测试验证

根据资产分类标准，将某卷烟厂某车间系统资产分成硬件、软件、数据等资产，并根据信息资产赋值标准对信息资产进行赋值，如表6所示。

在威胁调研中主要采用调查问卷的方式实现，将得到该系统所面临威胁的描述依据经验和通用威胁参考标准进行赋值和等级划分，最终得到某卷烟厂所面临的威胁值。 威胁可能性分析就是综合了威胁来源和种类后得到的威胁列表，并对列表中的威胁发生可能性的进行赋值分析。 表7列举出一部分威胁点。 

在项目实施过程中，采用了工具检测、人工核查、文档查阅、漏洞扫描、渗透性测试等方法，从技术和管理两个方面进行了脆弱性识别，技术脆弱性涉及物理、网络、系统、应用等各个层面的安全弱点。管理脆弱性主要涉及信息组织结构、人员、制度、审批流程等方面。表8列举了一部分脆弱性。 

通过在风险分析过程中结合资产价值、威胁发生的可能性、安全弱点的严重性，利用矩阵法根据威胁发生频率值和脆弱性严重程度值在安全事件可能性矩阵中进行对照，获取安全事件发生可能性。 对各资产的风险等级进行统计，某烟厂不同等级风险的分布情况如表9所示。 

本次风险评估使用了工控专用漏洞扫描工具、工控专用审计设备、工控专用防火墙、IDS 4种工具进行检测，分别对主机漏洞、PLC漏洞、网络异常流量及入侵检测行为进行检查。通过漏洞扫描，获取到运行设备中存在的漏洞368个，其中120个高危险占约33%，192个中度危险占约52%。 

该制丝车间集控系统存在高危险，其主要风险有经漏洞扫描工具扫描，工控软件存在自身漏洞，易被攻击者利用； 服务器、工程师站没有审核策略、系统开启远程访问、系统有未重命名的超级管理员账户； PLC控制器存在工控系统中的高危漏洞，存在易被利用的风险； 交换机未启用人员安全配置、网络安全策略等，已被入侵。 应该依据行业网络安全“分级分域、整体保护、积极预防、动态管理”的总体策略。 通过对工控系统进行全面风险评估，掌握目前工控系统风险现状； 通过管理网和生产网隔离确保生产网不会引入来自管理网风险，保证生产网边界安全； 在工控系统进行一定手段的监测、防护，保证车间内部安全； 最后对整个工控系统进行统一安全呈现，将各个防护点组成一个全面的防护体系，保障其整个工业控制系统安全稳定运行。 

此外，还需对应用软件开展安全运行巡检工作； 增加安全管理制度，进一步补充、完善和细化管理制度； 同时在系统运维方面未定期开展漏洞检测、跟踪和修补； 对应急恢复流程、应急恢复操作规范和工作分工仍需细化。

结论

根据烟草行业工业控制系统网络安全的应用需要，用AHP方法从资产、威胁点和脆弱性进行风险评估与分析从而对信息安全风险定级，确定系统的保护目标，根据实际集控系统中各资产、威胁点和脆弱性中的风险计算，结合使用了工控专用工具进行检测，增加网络边界防护、网络审计等设备，以保证系统处于安全得运行状态下。 

采用基线核查、漏洞扫描以及渗透测试等手段对工控系统进行全面风险评估，包括： 工控设备、工控软件、各类操作站以及工控网络安全性评估。 通过评估发现工控系统中底层控制设备PLC、操作站、工程师站以及组态软件所存在的漏洞，根据漏洞情况对其被利用的可能性和严重性进行深入分析； 在工控网络层面，通过对网络结构、网络协议、各节点网络流量、网络规范性等多个方面进行深入分析，寻找网络层面可能存在的风险。 

依据《烟草工业企业生产网与管理网网络互联安全规范》行业标准，构建基于烟草行业网络安全特征以及关键信息基础设施的安全保护策略，通过梳理各类系统信息资产，识别关键信息基础设施，设计安全防护体系等，进一步提高工业控制系统安全防护水平。 

内容节选自《信息技术与网络安全》2019年第七期《基于烟草工控系统网络安全风险评估的研究与应用》一文，作者陈兴毕，李源，殷耀华，胥强，高进舟，杨勇）

声明：本文来自信息技术与网络安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。