李伟

（湖南省烟草公司衡阳市公司，湖南 衡阳 421001）

工业控制系统（以下简称工控系统）是由SCADA、DCS、PCS、PLC等几种不同类型的控制系统组成。随着烟草商业信息化和工业化“深度融合”的加快，各地市烟草公司开始大规模建设全自动卷烟仓储、分拣系统，在为物流分拣带来极大推动作用的同时，烟草商业系统面临的网络安全风险由传统的网络安全风险扩展到工控系统安全。对工控系统进行定期的安全评估，可及时发现系统中存在各种风险及脆弱性，提高系统抵御外来攻击的能力。

1 烟草商业工控系统架构

烟草物流网络结构是物流工控网与业务网互通互联，服务器、工作站均在一个内部网络里。生产网与互联网进行了物理上的隔离，并划分不同VLAN进行管理。生产网与工控网的互联互通带来了较大的网络安全风险。具体结构如图1。

图1 工控系统结构图

目前，烟草商业物流的工控系统的PLC主要以国外品牌为主，主要包括Siemens、Rockwell、Honeywell等品牌。其中Siemens和Rockwell占据了烟草行业90%以上的市场。烟草物流工控系统中使用的网络设备主要为工业交换机和普通交换机两种。在核心层网络设备中使用的普通交换机以CISCO为主。在现场控制层使用的工业交换机，以SIEMENS的工业交换机为主。在各企业所使用的组态软件中，主要以国外厂商为主。主要是Siemens公司的WinCC，其余占比较少的组态软件厂商也基本是国际上自动化领域的厂商。

2 风险评估模型

通常工业领域的安全可分为两类，即功能安全和信息安全。功能安全是为了实现设备和车间安全功能，受保护设备必须能够安全准确执行指令。当失效或故障发生时，设备或系统必须仍能进入安全状态或保护安全状态。根据相关国际标准（ASNZS 4360：1999；BS7799/ISO 17799；ISO/IEC 13335等）建立工控系统安全风险关系模型。主要以风险为中心形象描述了工控系统所面临的风险、漏洞、威胁及其相应的资产价值、安全需求、安全控制、安全影响等动态循环的复杂关系，如图2所示。

图2 安全风险关系模型图

3 评估方法

风险评估主要用到的评估方法有：资产识别与赋值、漏洞扫描、控制台审计、网络架构分析、数据流分析、技术访谈。资产评估是进行技术风险评估工作的基础。通过资产识别与赋值，可以了解整个工控系统资产的使用情况，确定评估范围，明确资产重要程度。通过对资产清单中确定的评估对象进行漏洞扫描和控制台审计，可以获得操作系统、数据库、安全设备、网络设备的弱点信息及相关安全配置。网络架构分析及数据流分析用于对网络架构的安全性进行评估。技术访谈可以在评估的各个阶段进行，通过访谈可获得更全面、更准确的信息，提高评估工作的效率和评估结果的准确性。

4 评估内容

按照等级保护和工业控制系统信息安全防护指南解读的具体要求，烟草物流配送中心的等级保护定级大多数应该在二级，少部分在三级，因此需要评估的内容主要包含以下几个方面。

（1）安全物理环境：设备位置选择、机房访问控制、标签、安全接地、消防系统、防水和防潮、防静电、温湿度控制、电力供应、线缆铺设等。

（2）安全通讯网络：包括网络安全分域、数据传输稳定性、安全区域边界、网络入侵监测、流量审计。

（3）主机安全：包括身份鉴别、远程访问、审计管理、可信验证、病毒防范、系统管理等。

（4）应用安全：身份识别、三权分立、可信验证,安全审计等。

（5）数据安全：信息保护,数据备份和恢复等。

（6）安全管理制度：安全策略，管理制度的制定与发布、评审和修订等。

（7）安全管理机构：专人专岗、严格授权、内部沟通与外部合作、日常检查等，安全人员管理，教育培训，外部人员管理等。

5 数据分析

评估人员通过对现场评估中得到的各类数据进行综合分析，最终确定工控安全系统存在的问题，并在此基础上确定工控安全的风险级别，为下一步工作提供依据。数据分析的内容如下。

（1）资产赋值的结果。

（2）漏洞扫描数据：包括工控设备、主机、数据库、安全设备及网络设备的扫描结果。

（3）控制台审计数据：包括操作系统、数据库、应用软件的配置信息、网络设备的配置、安全设备配置等。

（4）网络架构数据：包括网络拓扑图、物理连接图、业务流程图、IP地址规划、VLAN 规划等信息。

（5）技术访谈数据。

6 识别风险

通过对比、分析漏洞扫描及控制台审计的得到的数据，并综合考虑工控网络的目前现状，通过技术及管理手段对工控系统存在的弱点进行综合评价，评估弱点被攻击的可能性及被攻击后对系统造成的影响，最终确定工控系统的风险级别。识别风险的各个步骤如下：

（1）弱点分析。分析操作系统、组态软件、数据库、网络设备、PLC的配置信息，结合漏洞扫描的设备漏洞清单，制作工控系统的弱点情况表。

（2）威胁分析。通过梳理现有的业务网、互联网、智能网、无线网等，分析工控系统与各种网络的连接情况，识别工控网络可能遭受来自内部人员的无意或有意的攻击；认真分析外部连接情况，外部人员可以通过何种手段攻击工控网络。

（3）已有控制措施分析。目前主要的安全防护手段是传统安全防护，因此需要认真分析现有的手段能够防范何种攻击，是否能够采取有效的技术或者管理手段减少被攻击的可能性。

（4）可能性及影响分析。结合现有控制措施，组织人员进行风险的影响和可能性分析，鉴别各工控系统对组织的相对重要性，分析各工控系统发生安全事件可能对组织的影响，并确定各工控系统所需的防护级别。在进行分析时，现有技术或管理手段的有效性、资产赋值的结果也是需要考虑的重要因素。

（5）风险识别。通过各种技术分析，最终确定工控系统的安全风险级别。

7 结语

随着烟草行业自动化的迅速发展，工控网络自身的脆弱性导致安全风险日益增多，安全防护要求日渐迫切。识别安全风险是构建工控安全防御的首要条件。本文分析了烟草商业系统常见的工控架构，从建立评估模型，制定评估方法、评估内容，数据风险及识别风险5个方面实现对工控系统的安全技术状态及安全管理状况的风险评估，为后续工作提供参考依据。