基于烟草工控系统网络安全风险评估的研究与应用

陈兴毕，李 源，殷耀华，胥 强，高进舟，杨 勇

(云南昆船设计研究院有限公司，云南 昆明 650051)

0 引言

2010年10月，一款名为Worm.Win32.Stuxnet的蠕虫病毒席卷全球工业界，在短时间内威胁到了众多企业的正常运行。Stuxnet病毒被多国安全专家形容为全球首个“超级工厂病毒”，截至目前，该病毒已经感染了全球超过45 000个网络，该病毒已经造成伊朗布什尔核电站推迟发电[1]。

2014年，Havex病毒开始对工业控制系统感兴趣，变种多达80余种。Havex背后的攻击者采用了一种巧妙的方法来进行工业间谍活动，通过对ICS/SCADA软件安装包中植入木马，甚至能够入侵到关键基础设施[2]。

2014年Digital Bond的研究人员HILT S开发出一款可隐藏在可编程逻辑控制器(PLC)中的工控系统黑客工具原型PLCpwn。PLCpwn的可怕之处在于，它可以绕过企业的安全边界，通过一条短信就可以搞垮整个工控网，而且高水平黑客完全可以开发出更小型化的硬件和软件，进行更加隐蔽的攻击[3]。

2009年，国内某烟草企业控制网络被“灰鸽子”病毒感染，该病毒在控制网络上发送大量的ARP广播报文，形成对PLC等工控设备的DoS攻击，最终导致企业停产[4]。

2010年某烟厂制烟车间Wincc服务器感染病毒,导致各终端与Wincc服务器之间连接通信中断,整个车间生产受阻。专家发现由于网络中感染了未知病毒,该病毒向c:windowssystem下释放dllcache.exe文件并隐藏执行。这类蠕虫式病毒的爆发导致起关键性指挥作用的Wincc服务器遭受到拒绝式服务攻击,致使整个网络瘫痪[5]。

国外主要的自动化厂商与传统信息安全厂商均有自身的工控信息安全解决方案，以侧重保护自身的控制系统为主。它们针对工控安全市场需要推出了工控安全产品或技术,如NexDefense公司开发出工控异常监测系统、Tenablet公司推出工业漏扫产品，Checkpoint和Palo Alto在传统的防火墙上增加了对工业协议的支持[6]。

目前国内工控信息安全产品厂商众多，产品种类已基本覆盖工控网络安全检测、安全防护、管理平台三大领域，包括工业防火墙、工业网闸、工控入侵异常监测系统、工控运维审计系统、工控漏洞扫描系统、工控信息安全管理系统平台等。

但是，我国工业控制系统信息安全管理工作中仍存在不少问题，主要是对工业控制系统信息安全问题重视不够，管理制度不健全，相关标准规范缺失，技术防护措施不到位，安全防护能力和应急处置能力不够等，威胁着工业生产安全和社会正常运转[7]。工业控制系统缺少相对应防护措施，导致系统易受攻击。所以，一个合理、完善的信息安全评估对工业控制而言显得格外重要。

1 烟草行业国内外工业安全状况

烟草行业工控系统主要由SCADA和PLC组成，制丝工控系统主要工作是对烟叶原料加工，在整个系统中分为多个工艺段按照流程进行。主要业务流程是由MES系统下发生产任务，监控IO服务器从数据库服务器中读取生产任务数据，转化为具体操作指令下发到底层控制设备。各操作员站由监控IO服务器读取数据实时对底层控制设备进行监控。

烟草生产工控系统典型特征包括现场控制层网络由工业交换机组成工业环网，整个制丝集控系统依照流程进行一定顺序操作。现场控制层控制设备分别接入工业交换机，IO服务器与操作站组成集中监控网络。厂级管理网通过接入交换机与数据库服务器、OPC数采服务器、Web服务器进行数据交换，如图1所示。

图1 烟草行业工业控制系统示意图

卡巴斯基发布的《2016下半年工业控制系统威胁情况》报告指出，2016年下半年曝出的工控安全漏洞有75个。截至2017年3月，卡巴斯基发现的75个漏洞中仅有30个被工业软件供应商修复，未修复率高达60%，其中高危漏洞占比近50%，中危漏洞占比为40%[8]。

目前世界上大多数工控系统存在的漏洞分为三类，拒绝服务占比为29%、远程代码执行占比为21%、缓冲区溢出占比为20%，其中高危漏洞与中危漏洞占比很大。工控行业厂商漏洞数量分布见图2(数据来源于国家信息安全漏洞共享平台(CNVD))。

图2 工控行业厂商漏洞数量

据统计中国境内遭受到攻击的工控系统数量占比高达53.31%，排名工控系统遭受攻击比例最高的15个国家的第9，攻击数几乎是美国的3倍[8]。

根据2015年烟草行业对生产企业工业控制系统网络安全的调研统计，几乎90%的企业对工控网络安全没有完整的认识和防控意识[9]。

目前国内的烟草行业工控系统网络安全主要情况如下：

(1)行业工控系统中Siemens和Rockwell、GE的PLC占90%以上，而这些控制器被发现存在大量安全漏洞。目前在工控系统存在公开漏洞的厂商中，Siemens较其他厂商多，Siemens、Rockwell和GE占比分别为28%、5%、7%，已超过安全漏洞总数的40%。其公开漏洞中主要漏洞分为四类，可引起业务中断的拒绝服务类、缓冲区溢出类、信息泄露类、远程控制类占比分别为33%、20%、16%、8%[10]。危害主要集中在服务器系统和工控数据[8]。

(2)多数工控系统需要与MES相联，而MES部署在管理网，管理网又直接与互联网相连。PLC是接入互联网数量最多的设备，到2016年底，中国境内在互联网的工控系统设备暴露数高达1 143个，漏洞总数已累计超过900个。在工控系统中，遭受恶意链接和钓鱼网站威胁的数量超过20%的原因是因为连接互联网。

(3)有别于传统信息安全，工控系统仅有一部分操作员站部署了防病毒软件，存在弱口令、投产后无补丁更新、无软件白名单管理等问题。行业内工程师站、操作员站安装防病毒软件情况统计如表1所示。

表1 安装防病毒软件情况统计(%)

(4)生产人员及工控安全管理人员意识到工控系统安全重要，但不知如何建设，急需相关标准的指导。行业中尚未针对工控系统信息安全设置相关管理工作的职能部门，以及明确安全管理机构各个部门和岗位的职责、分工和技能要求等，但已意识到其重要性。

2 网络安全评估

烟草行业单位目前在工控安全技术和管理方面存在较大风险，亟需进行工控安全建设。某烟草工控系统已运行9年，自动化系统、网络、主机安全等方面都存在着一定的安全隐患，作为烟草行业的重要企业并根据国家法律法规的要求，为烟草工控系统做一次风险评估“体检”工作对指导下一步的工控安全体系建设具有重要的指导意义。

2.1 风险评估模型与计算

依据对风险评估对象实体构造一种满足系统应用特点的评估体系，对相应的实体模型进行目标层、规范层、指标层的划分。根据AHP方法(层次分析法)比较第i个元素与第j个元素相对上一层某个因素的重要性时，用量化的相对权重aij来描述。假设共有n个元素参与比较，则A=(aij)(n×n)称为成对比较矩阵[11-13]。

成对比较矩阵中aij的取值参考SATTY T L的提议，按表2所示标度进行赋值。aij在1～9及其倒数中间取值。

如果A是完全一致的成对比较矩阵，应有aij=aik,1≤i,j,k≤n，但在构造成对比较矩阵时要求满足上述众多等式是不可能的。可以允许成对比较矩阵存在一定程度的不一致性。

表2 aij标度的取值表

在实际应用中用式(1)、式(2)来计算(aij)n×n的最大特征值λmax(A)和相应特征向量的近似值Uk。

(1)

(2)

计算衡量一个成对比较矩阵A(n>1阶方阵)不一致程度的指标CI：

(3)

对于固定的n随机构造成对比较阵A，其中aij是从1，2，…，9，1/2，1/3，…，1/9中随机抽取的。这样的A是不一致的，取充分大的子样得到A的最大特征值的平均值，RI称为平均随机一致性指标，它只与矩阵阶数n有关，可查表3。

表3 n≤16的RI的取值

(4)

当CR<0.1时，判定成对比较阵A具有满意的一致性，或其不一致程度是可以接受的。

2.2 风险评估

针对烟草行业的特点，从资产、威胁点和脆弱性进行风险评估与分析。

用户资产分析：根据前期调研后根据评估的资产在业务和应用流程中的重要程度获悉信息系统的整体情况，对信息化资产进行列举、分类，通过对资产的推算评估使得资产重要类别更加清晰，更好地确定详细的评估目标。资产分析层次结构图如图3所示。

图3 资产分析层次结构图

用AHP方法根据目标层、规范层、指标层的划分利用公式(1)～(4)得出资产价值权重。资产价值依据资产在可用性、完整性和保密性上的赋值等级，经过综合评定得出。综合评定方法是根据资产可用性、完整性和保密性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。

安全威胁点：根据烟草行业工控系统中对设备查阅安全设备日志和以往的安全事件记录，分析本系统在物理环境、网络、人员、设备故障、恶意代码及病毒等方面可能出现的情况，对威胁来源(内部/外部；主观/不可抗力等)、威胁方式、发生的可能性、威胁主体的能力水平等进行列表分析、威胁结构层次划分，如图4所示。威胁作用形式可以是对信息系统直接或间接的攻击，在保密性、完整性和可用性等方面造成损害，也可能是偶发的、或蓄意的事件。

图4 威胁点分析层次结构图

威胁点属性较难度量，它依赖于具体的资产、弱点。根据威胁点分析层次结构图利用公式(1)～(4)得出威胁点对应的威胁因子。

信息系统脆弱性：脆弱性是指资产或资产组中能被威胁所利用的弱点，它包括物理环境、组织机构、业务流程、人员、管理、硬件、软件及通信设施等各个方面，这些都可能被各种安全威胁利用来侵害组织内的工控系统资产，造成资产损失。根据前期调研，获悉信息系统的整体情况，构造信息系统脆弱性评估层次结构，如图5所示。

图5 脆弱性分析层次结构图

脆弱性严重程度越突出，受保护对象威胁吸引力就越大，受到攻击和破坏的可能性就越大。根据信息系统资产脆弱点暴露程度分为脆弱性因子层、外在威胁层、真实存在的脆弱点层。根据脆弱性分析层次结构图利用公式(1)～(4)得出脆弱点对应的脆弱因子。

2.3 风险计算

根据烟草行业信息安全系统的应用特点，按照资产、威胁点和脆弱性进行层次结构图分析，可发现它们之间有一定的关联性。将威胁发生的可能性及脆弱性的严重程度赋值。通过对资产的风险进行评估和分析，可以得到评估目标的整体风险。

信息安全风险计算如式(5)、(6)所示

(5)

(6)

其中，Vk表示核心资产A被安全威胁强制利用的系统脆弱点；Ri表示核心资产i上的全部安全威胁集合[14]。

公式(5)能够获取安全威胁j强制利用系统脆弱点k对核心资产i产生的安全风险参数值，选取其中最大数值作为核心资产i的安全风险，由安全威胁j造成。

公式(6)能够获取核心资产i上全部安全威胁造成的整体安全风险集合。

2.4 信息系统定级

根据客户的实际情况，结合风险计算保证核心资产的安全风险总体数据信息以及核心资产安全风险重要程度排序。将风险级别分成五级(x标识风险参数)，如表4所示，保护等级矩阵表如表5所示。信息系统的安全保护等级是根据信息系统在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定的。信息系统的安全保护等级分为五级，从第一级到第五级逐级增高。

表4 风险等级列表

表5 保护等级矩阵表

结合明确的定级对象、定级对象被破坏后所侵害的客体，以及对客体的侵害程度，分别确定业务信息安全保护等级和信息安全服务保护等级，从而最终确定定级对象的安全保护等级。

3 系统测试验证

根据资产分类标准，将某卷烟厂某车间系统资产分成硬件、软件、数据等资产，并根据信息资产赋值标准对信息资产进行赋值，如表6所示。

表6 某车间系统资产赋值情况表

在威胁调研中主要采用调查问卷的方式实现，将得到该系统所面临威胁的描述依据经验和通用威胁参考标准进行赋值和等级划分，最终得到某卷烟厂所面临的威胁值。威胁可能性分析就是综合了威胁来源和种类后得到的威胁列表，并对列表中的威胁发生可能性的进行赋值分析。表7列举出一部分威胁点。

表7 威胁点赋值情况表

在项目实施过程中，采用了工具检测、人工核查、文档查阅、漏洞扫描、渗透性测试等方法，从技术和管理两个方面进行了脆弱性识别，技术脆弱性涉及物理、网络、系统、应用等各个层面的安全弱点。管理脆弱性主要涉及信息组织结构、人员、制度、审批流程等方面。表8列举了一部分脆弱性。

通过在风险分析过程中结合资产价值、威胁发生的可能性、安全弱点的严重性，利用矩阵法根据威胁发生频率值和脆弱性严重程度值在安全事件可能性矩阵中进行对照，获取安全事件发生可能性。对各资产的风险等级进行统计，某烟厂不同等级风险的分布情况如表9所示。

表8 脆弱性赋值情况表

表9 脆弱性赋值情况表

本次风险评估使用了工控专用漏洞扫描工具、工控专用审计设备、工控专用防火墙、IDS 4种工具进行检测，分别对主机漏洞、PLC漏洞、网络异常流量及入侵检测行为进行检查。通过漏洞扫描，获取到运行设备中存在的漏洞368个，其中120个高危险占约33%，192个中度危险占约52%。图6为某烟厂具体高危漏洞扫描前10的情况。

由图6可见，该制丝车间集控系统存在高危险，其主要风险有经漏洞扫描工具扫描，工控软件存在自身漏洞，易被攻击者利用；服务器、工程师站没有审核策略、系统开启远程访问、系统有未重命名的超级管理员账户；PLC控制器存在工控系统中的高危漏洞，存在易被利用的风险；交换机未启用人员安全配置、网络安全策略等，已被入侵。

应该依据行业网络安全“分级分域、整体保护、积极预防、动态管理”的总体策略。通过对工控系统进行全面风险评估，掌握目前工控系统风险现状；通过管理网和生产网隔离确保生产网不会引入来自管理网风险，保证生产网边界安全；在工控系统进行一定手段的监测、防护，保证车间内部安全；最后对整个工控系统进行统一安全呈现，将各个防护点组成一个全面的防护体系，保障其整个工业控制系统安全稳定运行。

此外，还需对应用软件开展安全运行巡检工作；增加安全管理制度，进一步补充、完善和细化管理制度；同时在系统运维方面未定期开展漏洞检测、跟踪和修补；对应急恢复流程、应急恢复操作规范和工作分工仍需细化。

4 结束语

本文根据烟草行业工业控制系统网络安全的应用需要，用AHP方法从资产、威胁点和脆弱性进行风险评估与分析从而对信息安全风险定级，与保护等级相结合确定系统的保护目标，根据实际集控系统中各资产、威胁点和脆弱性中的风险计算，结合使用了工控专用工具进行检测，得出了检测的该信息系统正处于高风险运行状态下。应增加网络边界防护、网络审计等设备，以保证系统处于安全得运行状态下。

图6 高危漏洞扫描情况

采用基线核查、漏洞扫描以及渗透测试等手段对工控系统进行全面风险评估，包括：工控设备、工控软件、各类操作站以及工控网络安全性评估。通过这几方面内容的评估，发现工控系统中底层控制设备PLC、操作站、工程师站以及组态软件所存在的漏洞，根据漏洞情况对其被利用的可能性和严重性进行深入分析；在工控网络层面，通过对网络结构、网络协议、各节点网络流量、网络规范性等多个方面进行深入分析，寻找网络层面可能存在的风险。

通过对烟草行业工控系统进行全面风险评估，寻找面临存在的风险，依据《烟草工业企业生产网与管理网网络互联安全规范》行业标准，构建基于烟草行业网络安全特征以及关键信息基础设施的安全保护策略，通过梳理各类系统信息资产，识别关键信息基础设施，设计关键信息基础设施防护体系等，为其他行业构建关键信息基础设施安全防护体系做出相应的参考依据，进一步提高工业控制系统安全防护水平。