基于煙草工控系統網絡安全風險評估的研究與應用

陳興畢，李 源，殷耀華，胥 強，高進舟，楊 勇

(云南昆船設計研究院有限公司，云南 昆明 650051)

0 引言

2010年10月，一款名為Worm.Win32.Stuxnet的蠕蟲病毒席卷全球工業界，在短時間內威脅到了眾多企業的正常運行。Stuxnet病毒被多國安全專家形容為全球首個“超級工廠病毒”，截至目前，該病毒已經感染了全球超過45 000個網絡，該病毒已經造成伊朗布什爾核電站推遲發電[1]。

2014年，Havex病毒開始對工業控制系統感興趣，變種多達80余種。Havex背后的攻擊者采用了一種巧妙的方法來進行工業間諜活動，通過對ICS/SCADA軟件安裝包中植入木馬，甚至能夠入侵到關鍵基礎設施[2]。

2014年Digital Bond的研究人員HILT S開發出一款可隱藏在可編程邏輯控制器(PLC)中的工控系統黑客工具原型PLCpwn。PLCpwn的可怕之處在于，它可以繞過企業的安全邊界，通過一條短信就可以搞垮整個工控網，而且高水平黑客完全可以開發出更小型化的硬件和軟件，進行更加隱蔽的攻擊[3]。

2009年，國內某煙草企業控制網絡被“灰鴿子”病毒感染，該病毒在控制網絡上發送大量的ARP廣播報文，形成對PLC等工控設備的DoS攻擊，最終導致企業停產[4]。

2010年某煙廠制煙車間Wincc服務器感染病毒,導致各終端與Wincc服務器之間連接通信中斷,整個車間生產受阻。專家發現由于網絡中感染了未知病毒,該病毒向c:windowssystem下釋放dllcache.exe文件并隱藏執行。這類蠕蟲式病毒的爆發導致起關鍵性指揮作用的Wincc服務器遭受到拒絕式服務攻擊,致使整個網絡癱瘓[5]。

國外主要的自動化廠商與傳統信息安全廠商均有自身的工控信息安全解決方案，以側重保護自身的控制系統為主。它們針對工控安全市場需要推出了工控安全產品或技術,如NexDefense公司開發出工控異常監測系統、Tenablet公司推出工業漏掃產品，Checkpoint和Palo Alto在傳統的防火墻上增加了對工業協議的支持[6]。

目前國內工控信息安全產品廠商眾多，產品種類已基本覆蓋工控網絡安全檢測、安全防護、管理平臺三大領域，包括工業防火墻、工業網閘、工控入侵異常監測系統、工控運維審計系統、工控漏洞掃描系統、工控信息安全管理系統平臺等。

但是，我國工業控制系統信息安全管理工作中仍存在不少問題，主要是對工業控制系統信息安全問題重視不夠，管理制度不健全，相關標準規范缺失，技術防護措施不到位，安全防護能力和應急處置能力不夠等，威脅著工業生產安全和社會正常運轉[7]。工業控制系統缺少相對應防護措施，導致系統易受攻擊。所以，一個合理、完善的信息安全評估對工業控制而言顯得格外重要。

1 煙草行業國內外工業安全狀況

煙草行業工控系統主要由SCADA和PLC組成，制絲工控系統主要工作是對煙葉原料加工，在整個系統中分為多個工藝段按照流程進行。主要業務流程是由MES系統下發生產任務，監控IO服務器從數據庫服務器中讀取生產任務數據，轉化為具體操作指令下發到底層控制設備。各操作員站由監控IO服務器讀取數據實時對底層控制設備進行監控。

煙草生產工控系統典型特征包括現場控制層網絡由工業交換機組成工業環網，整個制絲集控系統依照流程進行一定順序操作。現場控制層控制設備分別接入工業交換機，IO服務器與操作站組成集中監控網絡。廠級管理網通過接入交換機與數據庫服務器、OPC數采服務器、Web服務器進行數據交換，如圖1所示。

圖1 煙草行業工業控制系統示意圖

卡巴斯基發布的《2016下半年工業控制系統威脅情況》報告指出，2016年下半年曝出的工控安全漏洞有75個。截至2017年3月，卡巴斯基發現的75個漏洞中僅有30個被工業軟件供應商修復，未修復率高達60%，其中高危漏洞占比近50%，中危漏洞占比為40%[8]。

目前世界上大多數工控系統存在的漏洞分為三類，拒絕服務占比為29%、遠程代碼執行占比為21%、緩沖區溢出占比為20%，其中高危漏洞與中危漏洞占比很大。工控行業廠商漏洞數量分布見圖2(數據來源于國家信息安全漏洞共享平臺(CNVD))。

圖2 工控行業廠商漏洞數量

據統計中國境內遭受到攻擊的工控系統數量占比高達53.31%，排名工控系統遭受攻擊比例最高的15個國家的第9，攻擊數幾乎是美國的3倍[8]。

根據2015年煙草行業對生產企業工業控制系統網絡安全的調研統計，幾乎90%的企業對工控網絡安全沒有完整的認識和防控意識[9]。

目前國內的煙草行業工控系統網絡安全主要情況如下：

(1)行業工控系統中Siemens和Rockwell、GE的PLC占90%以上，而這些控制器被發現存在大量安全漏洞。目前在工控系統存在公開漏洞的廠商中，Siemens較其他廠商多，Siemens、Rockwell和GE占比分別為28%、5%、7%，已超過安全漏洞總數的40%。其公開漏洞中主要漏洞分為四類，可引起業務中斷的拒絕服務類、緩沖區溢出類、信息泄露類、遠程控制類占比分別為33%、20%、16%、8%[10]。危害主要集中在服務器系統和工控數據[8]。

(2)多數工控系統需要與MES相聯，而MES部署在管理網，管理網又直接與互聯網相連。PLC是接入互聯網數量最多的設備，到2016年底，中國境內在互聯網的工控系統設備暴露數高達1 143個，漏洞總數已累計超過900個。在工控系統中，遭受惡意鏈接和釣魚網站威脅的數量超過20%的原因是因為連接互聯網。

(3)有別于傳統信息安全，工控系統僅有一部分操作員站部署了防病毒軟件，存在弱口令、投產后無補丁更新、無軟件白名單管理等問題。行業內工程師站、操作員站安裝防病毒軟件情況統計如表1所示。

表1 安裝防病毒軟件情況統計(%)

(4)生產人員及工控安全管理人員意識到工控系統安全重要，但不知如何建設，急需相關標準的指導。行業中尚未針對工控系統信息安全設置相關管理工作的職能部門，以及明確安全管理機構各個部門和崗位的職責、分工和技能要求等，但已意識到其重要性。

2 網絡安全評估

煙草行業單位目前在工控安全技術和管理方面存在較大風險，亟需進行工控安全建設。某煙草工控系統已運行9年，自動化系統、網絡、主機安全等方面都存在著一定的安全隱患，作為煙草行業的重要企業并根據國家法律法規的要求，為煙草工控系統做一次風險評估“體檢”工作對指導下一步的工控安全體系建設具有重要的指導意義。

2.1 風險評估模型與計算

依據對風險評估對象實體構造一種滿足系統應用特點的評估體系，對相應的實體模型進行目標層、規范層、指標層的劃分。根據AHP方法(層次分析法)比較第i個元素與第j個元素相對上一層某個因素的重要性時，用量化的相對權重aij來描述。假設共有n個元素參與比較，則A=(aij)(n×n)稱為成對比較矩陣[11-13]。

成對比較矩陣中aij的取值參考SATTY T L的提議，按表2所示標度進行賦值。aij在1～9及其倒數中間取值。

如果A是完全一致的成對比較矩陣，應有aij=aik,1≤i,j,k≤n，但在構造成對比較矩陣時要求滿足上述眾多等式是不可能的。可以允許成對比較矩陣存在一定程度的不一致性。

表2 aij標度的取值表

在實際應用中用式(1)、式(2)來計算(aij)n×n的最大特征值λmax(A)和相應特征向量的近似值Uk。

(1)

(2)

計算衡量一個成對比較矩陣A(n>1階方陣)不一致程度的指標CI：

(3)

對于固定的n隨機構造成對比較陣A，其中aij是從1，2，…，9，1/2，1/3，…，1/9中隨機抽取的。這樣的A是不一致的，取充分大的子樣得到A的最大特征值的平均值，RI稱為平均隨機一致性指標，它只與矩陣階數n有關，可查表3。

表3 n≤16的RI的取值

(4)

當CR<0.1時，判定成對比較陣A具有滿意的一致性，或其不一致程度是可以接受的。

2.2 風險評估

針對煙草行業的特點，從資產、威脅點和脆弱性進行風險評估與分析。

用戶資產分析：根據前期調研后根據評估的資產在業務和應用流程中的重要程度獲悉信息系統的整體情況，對信息化資產進行列舉、分類，通過對資產的推算評估使得資產重要類別更加清晰，更好地確定詳細的評估目標。資產分析層次結構圖如圖3所示。

圖3 資產分析層次結構圖

用AHP方法根據目標層、規范層、指標層的劃分利用公式(1)～(4)得出資產價值權重。資產價值依據資產在可用性、完整性和保密性上的賦值等級，經過綜合評定得出。綜合評定方法是根據資產可用性、完整性和保密性的不同等級對其賦值進行加權計算得到資產的最終賦值結果。

安全威脅點：根據煙草行業工控系統中對設備查閱安全設備日志和以往的安全事件記錄，分析本系統在物理環境、網絡、人員、設備故障、惡意代碼及病毒等方面可能出現的情況，對威脅來源(內部/外部；主觀/不可抗力等)、威脅方式、發生的可能性、威脅主體的能力水平等進行列表分析、威脅結構層次劃分，如圖4所示。威脅作用形式可以是對信息系統直接或間接的攻擊，在保密性、完整性和可用性等方面造成損害，也可能是偶發的、或蓄意的事件。

圖4 威脅點分析層次結構圖

威脅點屬性較難度量，它依賴于具體的資產、弱點。根據威脅點分析層次結構圖利用公式(1)～(4)得出威脅點對應的威脅因子。

信息系統脆弱性：脆弱性是指資產或資產組中能被威脅所利用的弱點，它包括物理環境、組織機構、業務流程、人員、管理、硬件、軟件及通信設施等各個方面，這些都可能被各種安全威脅利用來侵害組織內的工控系統資產，造成資產損失。根據前期調研，獲悉信息系統的整體情況，構造信息系統脆弱性評估層次結構，如圖5所示。

圖5 脆弱性分析層次結構圖

脆弱性嚴重程度越突出，受保護對象威脅吸引力就越大，受到攻擊和破壞的可能性就越大。根據信息系統資產脆弱點暴露程度分為脆弱性因子層、外在威脅層、真實存在的脆弱點層。根據脆弱性分析層次結構圖利用公式(1)～(4)得出脆弱點對應的脆弱因子。

2.3 風險計算

根據煙草行業信息安全系統的應用特點，按照資產、威脅點和脆弱性進行層次結構圖分析，可發現它們之間有一定的關聯性。將威脅發生的可能性及脆弱性的嚴重程度賦值。通過對資產的風險進行評估和分析，可以得到評估目標的整體風險。

信息安全風險計算如式(5)、(6)所示

(5)

(6)

其中，Vk表示核心資產A被安全威脅強制利用的系統脆弱點；Ri表示核心資產i上的全部安全威脅集合[14]。

公式(5)能夠獲取安全威脅j強制利用系統脆弱點k對核心資產i產生的安全風險參數值，選取其中最大數值作為核心資產i的安全風險，由安全威脅j造成。

公式(6)能夠獲取核心資產i上全部安全威脅造成的整體安全風險集合。

2.4 信息系統定級

根據客戶的實際情況，結合風險計算保證核心資產的安全風險總體數據信息以及核心資產安全風險重要程度排序。將風險級別分成五級(x標識風險參數)，如表4所示，保護等級矩陣表如表5所示。信息系統的安全保護等級是根據信息系統在國家安全、經濟建設、社會生活中的重要程度，遭到破壞后對國家安全、社會秩序公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定的。信息系統的安全保護等級分為五級，從第一級到第五級逐級增高。

表4 風險等級列表

表5 保護等級矩陣表

結合明確的定級對象、定級對象被破壞后所侵害的客體，以及對客體的侵害程度，分別確定業務信息安全保護等級和信息安全服務保護等級，從而最終確定定級對象的安全保護等級。

3 系統測試驗證

根據資產分類標準，將某卷煙廠某車間系統資產分成硬件、軟件、數據等資產，并根據信息資產賦值標準對信息資產進行賦值，如表6所示。

表6 某車間系統資產賦值情況表

在威脅調研中主要采用調查問卷的方式實現，將得到該系統所面臨威脅的描述依據經驗和通用威脅參考標準進行賦值和等級劃分，最終得到某卷煙廠所面臨的威脅值。威脅可能性分析就是綜合了威脅來源和種類后得到的威脅列表，并對列表中的威脅發生可能性的進行賦值分析。表7列舉出一部分威脅點。

表7 威脅點賦值情況表

在項目實施過程中，采用了工具檢測、人工核查、文檔查閱、漏洞掃描、滲透性測試等方法，從技術和管理兩個方面進行了脆弱性識別，技術脆弱性涉及物理、網絡、系統、應用等各個層面的安全弱點。管理脆弱性主要涉及信息組織結構、人員、制度、審批流程等方面。表8列舉了一部分脆弱性。

通過在風險分析過程中結合資產價值、威脅發生的可能性、安全弱點的嚴重性，利用矩陣法根據威脅發生頻率值和脆弱性嚴重程度值在安全事件可能性矩陣中進行對照，獲取安全事件發生可能性。對各資產的風險等級進行統計，某煙廠不同等級風險的分布情況如表9所示。

表8 脆弱性賦值情況表

表9 脆弱性賦值情況表

本次風險評估使用了工控專用漏洞掃描工具、工控專用審計設備、工控專用防火墻、IDS 4種工具進行檢測，分別對主機漏洞、PLC漏洞、網絡異常流量及入侵檢測行為進行檢查。通過漏洞掃描，獲取到運行設備中存在的漏洞368個，其中120個高危險占約33%，192個中度危險占約52%。圖6為某煙廠具體高危漏洞掃描前10的情況。

由圖6可見，該制絲車間集控系統存在高危險，其主要風險有經漏洞掃描工具掃描，工控軟件存在自身漏洞，易被攻擊者利用；服務器、工程師站沒有審核策略、系統開啟遠程訪問、系統有未重命名的超級管理員賬戶；PLC控制器存在工控系統中的高危漏洞，存在易被利用的風險；交換機未啟用人員安全配置、網絡安全策略等，已被入侵。

應該依據行業網絡安全“分級分域、整體保護、積極預防、動態管理”的總體策略。通過對工控系統進行全面風險評估，掌握目前工控系統風險現狀；通過管理網和生產網隔離確保生產網不會引入來自管理網風險，保證生產網邊界安全；在工控系統進行一定手段的監測、防護，保證車間內部安全；最后對整個工控系統進行統一安全呈現，將各個防護點組成一個全面的防護體系，保障其整個工業控制系統安全穩定運行。

此外，還需對應用軟件開展安全運行巡檢工作；增加安全管理制度，進一步補充、完善和細化管理制度；同時在系統運維方面未定期開展漏洞檢測、跟蹤和修補；對應急恢復流程、應急恢復操作規范和工作分工仍需細化。

4 結束語

本文根據煙草行業工業控制系統網絡安全的應用需要，用AHP方法從資產、威脅點和脆弱性進行風險評估與分析從而對信息安全風險定級，與保護等級相結合確定系統的保護目標，根據實際集控系統中各資產、威脅點和脆弱性中的風險計算，結合使用了工控專用工具進行檢測，得出了檢測的該信息系統正處于高風險運行狀態下。應增加網絡邊界防護、網絡審計等設備，以保證系統處于安全得運行狀態下。

圖6 高危漏洞掃描情況

采用基線核查、漏洞掃描以及滲透測試等手段對工控系統進行全面風險評估，包括：工控設備、工控軟件、各類操作站以及工控網絡安全性評估。通過這幾方面內容的評估，發現工控系統中底層控制設備PLC、操作站、工程師站以及組態軟件所存在的漏洞，根據漏洞情況對其被利用的可能性和嚴重性進行深入分析；在工控網絡層面，通過對網絡結構、網絡協議、各節點網絡流量、網絡規范性等多個方面進行深入分析，尋找網絡層面可能存在的風險。

通過對煙草行業工控系統進行全面風險評估，尋找面臨存在的風險，依據《煙草工業企業生產網與管理網網絡互聯安全規范》行業標準，構建基于煙草行業網絡安全特征以及關鍵信息基礎設施的安全保護策略，通過梳理各類系統信息資產，識別關鍵信息基礎設施，設計關鍵信息基礎設施防護體系等，為其他行業構建關鍵信息基礎設施安全防護體系做出相應的參考依據，進一步提高工業控制系統安全防護水平。