基于煙草商業(yè)物流工控系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估研究

李偉

（湖南省煙草公司衡陽(yáng)市公司，湖南 衡陽(yáng) 421001）

工業(yè)控制系統(tǒng)（以下簡(jiǎn)稱工控系統(tǒng)）是由SCADA、DCS、PCS、PLC等幾種不同類型的控制系統(tǒng)組成。隨著煙草商業(yè)信息化和工業(yè)化“深度融合”的加快，各地市煙草公司開始大規(guī)模建設(shè)全自動(dòng)卷煙倉(cāng)儲(chǔ)、分揀系統(tǒng)，在為物流分揀帶來(lái)極大推動(dòng)作用的同時(shí)，煙草商業(yè)系統(tǒng)面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)由傳統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)擴(kuò)展到工控系統(tǒng)安全。對(duì)工控系統(tǒng)進(jìn)行定期的安全評(píng)估，可及時(shí)發(fā)現(xiàn)系統(tǒng)中存在各種風(fēng)險(xiǎn)及脆弱性，提高系統(tǒng)抵御外來(lái)攻擊的能力。

1 煙草商業(yè)工控系統(tǒng)架構(gòu)

煙草物流網(wǎng)絡(luò)結(jié)構(gòu)是物流工控網(wǎng)與業(yè)務(wù)網(wǎng)互通互聯(lián)，服務(wù)器、工作站均在一個(gè)內(nèi)部網(wǎng)絡(luò)里。生產(chǎn)網(wǎng)與互聯(lián)網(wǎng)進(jìn)行了物理上的隔離，并劃分不同VLAN進(jìn)行管理。生產(chǎn)網(wǎng)與工控網(wǎng)的互聯(lián)互通帶來(lái)了較大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。具體結(jié)構(gòu)如圖1。

圖1 工控系統(tǒng)結(jié)構(gòu)圖

目前，煙草商業(yè)物流的工控系統(tǒng)的PLC主要以國(guó)外品牌為主，主要包括Siemens、Rockwell、Honeywell等品牌。其中Siemens和Rockwell占據(jù)了煙草行業(yè)90%以上的市場(chǎng)。煙草物流工控系統(tǒng)中使用的網(wǎng)絡(luò)設(shè)備主要為工業(yè)交換機(jī)和普通交換機(jī)兩種。在核心層網(wǎng)絡(luò)設(shè)備中使用的普通交換機(jī)以CISCO為主。在現(xiàn)場(chǎng)控制層使用的工業(yè)交換機(jī)，以SIEMENS的工業(yè)交換機(jī)為主。在各企業(yè)所使用的組態(tài)軟件中，主要以國(guó)外廠商為主。主要是Siemens公司的WinCC，其余占比較少的組態(tài)軟件廠商也基本是國(guó)際上自動(dòng)化領(lǐng)域的廠商。

2 風(fēng)險(xiǎn)評(píng)估模型

通常工業(yè)領(lǐng)域的安全可分為兩類，即功能安全和信息安全。功能安全是為了實(shí)現(xiàn)設(shè)備和車間安全功能，受保護(hù)設(shè)備必須能夠安全準(zhǔn)確執(zhí)行指令。當(dāng)失效或故障發(fā)生時(shí)，設(shè)備或系統(tǒng)必須仍能進(jìn)入安全狀態(tài)或保護(hù)安全狀態(tài)。根據(jù)相關(guān)國(guó)際標(biāo)準(zhǔn)（ASNZS 4360：1999；BS7799/ISO 17799；ISO/IEC 13335等）建立工控系統(tǒng)安全風(fēng)險(xiǎn)關(guān)系模型。主要以風(fēng)險(xiǎn)為中心形象描述了工控系統(tǒng)所面臨的風(fēng)險(xiǎn)、漏洞、威脅及其相應(yīng)的資產(chǎn)價(jià)值、安全需求、安全控制、安全影響等動(dòng)態(tài)循環(huán)的復(fù)雜關(guān)系，如圖2所示。

圖2 安全風(fēng)險(xiǎn)關(guān)系模型圖

3 評(píng)估方法

風(fēng)險(xiǎn)評(píng)估主要用到的評(píng)估方法有：資產(chǎn)識(shí)別與賦值、漏洞掃描、控制臺(tái)審計(jì)、網(wǎng)絡(luò)架構(gòu)分析、數(shù)據(jù)流分析、技術(shù)訪談。資產(chǎn)評(píng)估是進(jìn)行技術(shù)風(fēng)險(xiǎn)評(píng)估工作的基礎(chǔ)。通過資產(chǎn)識(shí)別與賦值，可以了解整個(gè)工控系統(tǒng)資產(chǎn)的使用情況，確定評(píng)估范圍，明確資產(chǎn)重要程度。通過對(duì)資產(chǎn)清單中確定的評(píng)估對(duì)象進(jìn)行漏洞掃描和控制臺(tái)審計(jì)，可以獲得操作系統(tǒng)、數(shù)據(jù)庫(kù)、安全設(shè)備、網(wǎng)絡(luò)設(shè)備的弱點(diǎn)信息及相關(guān)安全配置。網(wǎng)絡(luò)架構(gòu)分析及數(shù)據(jù)流分析用于對(duì)網(wǎng)絡(luò)架構(gòu)的安全性進(jìn)行評(píng)估。技術(shù)訪談可以在評(píng)估的各個(gè)階段進(jìn)行，通過訪談可獲得更全面、更準(zhǔn)確的信息，提高評(píng)估工作的效率和評(píng)估結(jié)果的準(zhǔn)確性。

4 評(píng)估內(nèi)容

按照等級(jí)保護(hù)和工業(yè)控制系統(tǒng)信息安全防護(hù)指南解讀的具體要求，煙草物流配送中心的等級(jí)保護(hù)定級(jí)大多數(shù)應(yīng)該在二級(jí)，少部分在三級(jí)，因此需要評(píng)估的內(nèi)容主要包含以下幾個(gè)方面。

（1）安全物理環(huán)境：設(shè)備位置選擇、機(jī)房訪問控制、標(biāo)簽、安全接地、消防系統(tǒng)、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、線纜鋪設(shè)等。

（2）安全通訊網(wǎng)絡(luò)：包括網(wǎng)絡(luò)安全分域、數(shù)據(jù)傳輸穩(wěn)定性、安全區(qū)域邊界、網(wǎng)絡(luò)入侵監(jiān)測(cè)、流量審計(jì)。

（3）主機(jī)安全：包括身份鑒別、遠(yuǎn)程訪問、審計(jì)管理、可信驗(yàn)證、病毒防范、系統(tǒng)管理等。

（4）應(yīng)用安全：身份識(shí)別、三權(quán)分立、可信驗(yàn)證,安全審計(jì)等。

（5）數(shù)據(jù)安全：信息保護(hù),數(shù)據(jù)備份和恢復(fù)等。

（6）安全管理制度：安全策略，管理制度的制定與發(fā)布、評(píng)審和修訂等。

（7）安全管理機(jī)構(gòu)：專人專崗、嚴(yán)格授權(quán)、內(nèi)部溝通與外部合作、日常檢查等，安全人員管理，教育培訓(xùn)，外部人員管理等。

5 數(shù)據(jù)分析

評(píng)估人員通過對(duì)現(xiàn)場(chǎng)評(píng)估中得到的各類數(shù)據(jù)進(jìn)行綜合分析，最終確定工控安全系統(tǒng)存在的問題，并在此基礎(chǔ)上確定工控安全的風(fēng)險(xiǎn)級(jí)別，為下一步工作提供依據(jù)。數(shù)據(jù)分析的內(nèi)容如下。

（1）資產(chǎn)賦值的結(jié)果。

（2）漏洞掃描數(shù)據(jù)：包括工控設(shè)備、主機(jī)、數(shù)據(jù)庫(kù)、安全設(shè)備及網(wǎng)絡(luò)設(shè)備的掃描結(jié)果。

（3）控制臺(tái)審計(jì)數(shù)據(jù)：包括操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用軟件的配置信息、網(wǎng)絡(luò)設(shè)備的配置、安全設(shè)備配置等。

（4）網(wǎng)絡(luò)架構(gòu)數(shù)據(jù)：包括網(wǎng)絡(luò)拓?fù)鋱D、物理連接圖、業(yè)務(wù)流程圖、IP地址規(guī)劃、VLAN 規(guī)劃等信息。

（5）技術(shù)訪談數(shù)據(jù)。

6 識(shí)別風(fēng)險(xiǎn)

通過對(duì)比、分析漏洞掃描及控制臺(tái)審計(jì)的得到的數(shù)據(jù)，并綜合考慮工控網(wǎng)絡(luò)的目前現(xiàn)狀，通過技術(shù)及管理手段對(duì)工控系統(tǒng)存在的弱點(diǎn)進(jìn)行綜合評(píng)價(jià)，評(píng)估弱點(diǎn)被攻擊的可能性及被攻擊后對(duì)系統(tǒng)造成的影響，最終確定工控系統(tǒng)的風(fēng)險(xiǎn)級(jí)別。識(shí)別風(fēng)險(xiǎn)的各個(gè)步驟如下：

（1）弱點(diǎn)分析。分析操作系統(tǒng)、組態(tài)軟件、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、PLC的配置信息，結(jié)合漏洞掃描的設(shè)備漏洞清單，制作工控系統(tǒng)的弱點(diǎn)情況表。

（2）威脅分析。通過梳理現(xiàn)有的業(yè)務(wù)網(wǎng)、互聯(lián)網(wǎng)、智能網(wǎng)、無(wú)線網(wǎng)等，分析工控系統(tǒng)與各種網(wǎng)絡(luò)的連接情況，識(shí)別工控網(wǎng)絡(luò)可能遭受來(lái)自內(nèi)部人員的無(wú)意或有意的攻擊；認(rèn)真分析外部連接情況，外部人員可以通過何種手段攻擊工控網(wǎng)絡(luò)。

（3）已有控制措施分析。目前主要的安全防護(hù)手段是傳統(tǒng)安全防護(hù)，因此需要認(rèn)真分析現(xiàn)有的手段能夠防范何種攻擊，是否能夠采取有效的技術(shù)或者管理手段減少被攻擊的可能性。

（4）可能性及影響分析。結(jié)合現(xiàn)有控制措施，組織人員進(jìn)行風(fēng)險(xiǎn)的影響和可能性分析，鑒別各工控系統(tǒng)對(duì)組織的相對(duì)重要性，分析各工控系統(tǒng)發(fā)生安全事件可能對(duì)組織的影響，并確定各工控系統(tǒng)所需的防護(hù)級(jí)別。在進(jìn)行分析時(shí)，現(xiàn)有技術(shù)或管理手段的有效性、資產(chǎn)賦值的結(jié)果也是需要考慮的重要因素。

（5）風(fēng)險(xiǎn)識(shí)別。通過各種技術(shù)分析，最終確定工控系統(tǒng)的安全風(fēng)險(xiǎn)級(jí)別。

7 結(jié)語(yǔ)

隨著煙草行業(yè)自動(dòng)化的迅速發(fā)展，工控網(wǎng)絡(luò)自身的脆弱性導(dǎo)致安全風(fēng)險(xiǎn)日益增多，安全防護(hù)要求日漸迫切。識(shí)別安全風(fēng)險(xiǎn)是構(gòu)建工控安全防御的首要條件。本文分析了煙草商業(yè)系統(tǒng)常見的工控架構(gòu)，從建立評(píng)估模型，制定評(píng)估方法、評(píng)估內(nèi)容，數(shù)據(jù)風(fēng)險(xiǎn)及識(shí)別風(fēng)險(xiǎn)5個(gè)方面實(shí)現(xiàn)對(duì)工控系統(tǒng)的安全技術(shù)狀態(tài)及安全管理狀況的風(fēng)險(xiǎn)評(píng)估，為后續(xù)工作提供參考依據(jù)。