基于煙草商業物流工控系統安全風險評估研究

李偉

（湖南省煙草公司衡陽市公司，湖南 衡陽 421001）

工業控制系統（以下簡稱工控系統）是由SCADA、DCS、PCS、PLC等幾種不同類型的控制系統組成。隨著煙草商業信息化和工業化“深度融合”的加快，各地市煙草公司開始大規模建設全自動卷煙倉儲、分揀系統，在為物流分揀帶來極大推動作用的同時，煙草商業系統面臨的網絡安全風險由傳統的網絡安全風險擴展到工控系統安全。對工控系統進行定期的安全評估，可及時發現系統中存在各種風險及脆弱性，提高系統抵御外來攻擊的能力。

1 煙草商業工控系統架構

煙草物流網絡結構是物流工控網與業務網互通互聯，服務器、工作站均在一個內部網絡里。生產網與互聯網進行了物理上的隔離，并劃分不同VLAN進行管理。生產網與工控網的互聯互通帶來了較大的網絡安全風險。具體結構如圖1。

圖1 工控系統結構圖

目前，煙草商業物流的工控系統的PLC主要以國外品牌為主，主要包括Siemens、Rockwell、Honeywell等品牌。其中Siemens和Rockwell占據了煙草行業90%以上的市場。煙草物流工控系統中使用的網絡設備主要為工業交換機和普通交換機兩種。在核心層網絡設備中使用的普通交換機以CISCO為主。在現場控制層使用的工業交換機，以SIEMENS的工業交換機為主。在各企業所使用的組態軟件中，主要以國外廠商為主。主要是Siemens公司的WinCC，其余占比較少的組態軟件廠商也基本是國際上自動化領域的廠商。

2 風險評估模型

通常工業領域的安全可分為兩類，即功能安全和信息安全。功能安全是為了實現設備和車間安全功能，受保護設備必須能夠安全準確執行指令。當失效或故障發生時，設備或系統必須仍能進入安全狀態或保護安全狀態。根據相關國際標準（ASNZS 4360：1999；BS7799/ISO 17799；ISO/IEC 13335等）建立工控系統安全風險關系模型。主要以風險為中心形象描述了工控系統所面臨的風險、漏洞、威脅及其相應的資產價值、安全需求、安全控制、安全影響等動態循環的復雜關系，如圖2所示。

圖2 安全風險關系模型圖

3 評估方法

風險評估主要用到的評估方法有：資產識別與賦值、漏洞掃描、控制臺審計、網絡架構分析、數據流分析、技術訪談。資產評估是進行技術風險評估工作的基礎。通過資產識別與賦值，可以了解整個工控系統資產的使用情況，確定評估范圍，明確資產重要程度。通過對資產清單中確定的評估對象進行漏洞掃描和控制臺審計，可以獲得操作系統、數據庫、安全設備、網絡設備的弱點信息及相關安全配置。網絡架構分析及數據流分析用于對網絡架構的安全性進行評估。技術訪談可以在評估的各個階段進行，通過訪談可獲得更全面、更準確的信息，提高評估工作的效率和評估結果的準確性。

4 評估內容

按照等級保護和工業控制系統信息安全防護指南解讀的具體要求，煙草物流配送中心的等級保護定級大多數應該在二級，少部分在三級，因此需要評估的內容主要包含以下幾個方面。

（1）安全物理環境：設備位置選擇、機房訪問控制、標簽、安全接地、消防系統、防水和防潮、防靜電、溫濕度控制、電力供應、線纜鋪設等。

（2）安全通訊網絡：包括網絡安全分域、數據傳輸穩定性、安全區域邊界、網絡入侵監測、流量審計。

（3）主機安全：包括身份鑒別、遠程訪問、審計管理、可信驗證、病毒防范、系統管理等。

（4）應用安全：身份識別、三權分立、可信驗證,安全審計等。

（5）數據安全：信息保護,數據備份和恢復等。

（6）安全管理制度：安全策略，管理制度的制定與發布、評審和修訂等。

（7）安全管理機構：專人專崗、嚴格授權、內部溝通與外部合作、日常檢查等，安全人員管理，教育培訓，外部人員管理等。

5 數據分析

評估人員通過對現場評估中得到的各類數據進行綜合分析，最終確定工控安全系統存在的問題，并在此基礎上確定工控安全的風險級別，為下一步工作提供依據。數據分析的內容如下。

（1）資產賦值的結果。

（2）漏洞掃描數據：包括工控設備、主機、數據庫、安全設備及網絡設備的掃描結果。

（3）控制臺審計數據：包括操作系統、數據庫、應用軟件的配置信息、網絡設備的配置、安全設備配置等。

（4）網絡架構數據：包括網絡拓撲圖、物理連接圖、業務流程圖、IP地址規劃、VLAN 規劃等信息。

（5）技術訪談數據。

6 識別風險

通過對比、分析漏洞掃描及控制臺審計的得到的數據，并綜合考慮工控網絡的目前現狀，通過技術及管理手段對工控系統存在的弱點進行綜合評價，評估弱點被攻擊的可能性及被攻擊后對系統造成的影響，最終確定工控系統的風險級別。識別風險的各個步驟如下：

（1）弱點分析。分析操作系統、組態軟件、數據庫、網絡設備、PLC的配置信息，結合漏洞掃描的設備漏洞清單，制作工控系統的弱點情況表。

（2）威脅分析。通過梳理現有的業務網、互聯網、智能網、無線網等，分析工控系統與各種網絡的連接情況，識別工控網絡可能遭受來自內部人員的無意或有意的攻擊；認真分析外部連接情況，外部人員可以通過何種手段攻擊工控網絡。

（3）已有控制措施分析。目前主要的安全防護手段是傳統安全防護，因此需要認真分析現有的手段能夠防范何種攻擊，是否能夠采取有效的技術或者管理手段減少被攻擊的可能性。

（4）可能性及影響分析。結合現有控制措施，組織人員進行風險的影響和可能性分析，鑒別各工控系統對組織的相對重要性，分析各工控系統發生安全事件可能對組織的影響，并確定各工控系統所需的防護級別。在進行分析時，現有技術或管理手段的有效性、資產賦值的結果也是需要考慮的重要因素。

（5）風險識別。通過各種技術分析，最終確定工控系統的安全風險級別。

7 結語

隨著煙草行業自動化的迅速發展，工控網絡自身的脆弱性導致安全風險日益增多，安全防護要求日漸迫切。識別安全風險是構建工控安全防御的首要條件。本文分析了煙草商業系統常見的工控架構，從建立評估模型，制定評估方法、評估內容，數據風險及識別風險5個方面實現對工控系統的安全技術狀態及安全管理狀況的風險評估，為后續工作提供參考依據。