基于模拟系统和脆弱性测试的风险评估在工控系统中的应用

工作打下基础，烟草工业控制系统需要进行信息安全风险评估。论文以制丝线控制系统为目标，提出了基于模拟系统和脆弱性测试的工控系统风险评估方法，采用资产识别、威胁评估、以模拟系统为基础的脆弱性测试、综合评估等步骤，并实际应用在某卷烟厂的制丝集控系统中，取得了一定的成果。

【 关键词 】 烟草；工业控制系统；信息安全；风险评估；脆弱性测试

1 引言

随着工业化和信息化进程的加快，越来越多的计算机技术以及网络通信技术应用到烟草自动化生产过程中。在这些技术提高了企业管理水平和生产效率的同时，也带来了病毒和恶意代码、信息泄露和篡改等网络信息安全问题。当前，烟草企业所建成的综合自动化系统基本可以分为三层结构：上层为企业资源计划（ERP）系统；中间层为制造执行系统（MES）；底层为工业控制系统。对于以ERP为核心的企业管理系统，信息安全防护相对已经成熟，烟草企业普遍采用了防火墙、网闸、防病毒、防入侵等防护措施。而随着MES技术在烟草企业的广泛实施，越来越多企业开始考虑在底层的工业控制系统进行信息安全防护工作。近年来，全球工业控制系统经历了“震网”、“Duqu”、“火焰”等病毒的攻击，这些安全事件表明，一直以来被认为相对封闭、专业和安全的工业控制系统已经成为了黑客或不法组织的攻击目标。对于烟草企业的工业控制系统，同样也面临着信息安全问题。

与传统IT系统一样，在工业控制系统的信息安全问题研究中，风险评估是其重要基础。在工业控制系统信息安全风险评估方面，国外起步较早，已经建立了ISA/IEC 62443、NIST800-82等一系列国际标准和指南；而国内也相继发布了推荐性标准GB/T 26333-2010：工业控制网络安全风险评估规范和GB/T30976.1～.2-2014：工业控制系统信息安全（2个部分）等。当前，相关学者也在这方面进行了一系列研究，但国内外还没有一套公认的针对工业控制系统信息安全风险评估方法，而且在烟草行业的应用实例也很少。

本文基于相关标准，以制丝线控制系统为对象进行了信息安全风险评估方法研究，并实际应用在某卷烟厂制丝集控系统中，为后续的安全防护工作打下了基础，也为烟草工业控制系统风险评估工作提供了借鉴。

2 烟草工业控制系统

烟草工业企业生产网中的工控系统大致分成四种类型：制丝集控、卷包数采、高架物流、动力能源，这四个流程，虽工艺不同，相对独立，但它们的基本原理大体一致，采用的工具和方法大致相同。制丝集控系统在行业内是一种典型的工业控制系统，它的信息安全情况在一定程度上体现了行业内工业控制系统的信息安全状态。

制丝集控系统主要分为三层：设备控制层、集中监控层和生产管理层。设备控制层有工业以太网连接控制主站以及现场I/O站。集中监控层网络采用光纤环形拓扑结构，将工艺控制段的可编程控制器（PLC）以及其他相关设备控制段的PLC接入主干网络中，其中工艺控制段包括叶片处理段、叶丝处理段、梗处理段、掺配加香段等，然后与监控计算器、I/O服务器、工程师站和实时数据库服务器等共同组成了集中监控层。生产管理层网络连接了生产现场的交换机，与管理计算机、管理服务器等共同组成了生产管理层。

制丝车间的生产采用两班倒的方式运行，对生产运行的实时性、稳定性要求非常严格；如直接针对实际系统进行在线的扫描等风险评估工作，会对制丝生产造成一定的影响，存在影响生产的风险。而以模拟仿真平台为基础的系统脆弱性验证和自主可控的测评是当前制丝线控制系统信息安全评估的一种必然趋势。

3 工控系统风险评估方法

在风险评估方法中，主要包括了资产识别、威胁评估、脆弱性评估、综合评估四个部分，其中脆弱性测试主要以模拟仿真平台为基础进行自主可控的测评。

风险是指特定的威胁利用资产的一种或一组脆弱性，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。风险评估模型主要包含信息资产、脆弱性、威胁和风险四个要素。每个要素有各自的属性，信息资产的属性是资产价值，脆弱性的属性是脆弱性被威胁利用后对资产带来的影响的严重程度，威胁的属性是威胁发生的可能性，风险的属性是风险发生的后果。

3.1 资产识别

首先进行的是对实际生产环境中的信息资产进行识别，主要包括服务器、工作站、下位机、工业交换设备、工控系统软件和工业协议的基本信息。其中，对于服务器和工作站，详细调查其操作系统以及所运行的工控软件；对于下位机，查明PLC主站和从站的详细型号；对于交换设备，仔细查看其配置以及连接情况；对于工控系统软件，详细调查其品牌以及实际安装位置；对于工业协议，则详细列举其通信两端的对象。

3.2 威胁评估

威胁评估的第一步是进行威胁识别，主要的任务是是识别可能的威胁主体（威胁源）、威胁途径和威胁方式。

威胁主体：分为人为因素和环境因素。根据威胁的动机，人为因素又可分为恶意和非恶意两种。环境因素包括自然灾害和设施故障。

威胁途径：分为间接接触和直接接触，间接接触主要有网络访问、指令下置等形式；直接接触指威胁主体可以直接物理接触到信息资产。

威胁方式：主要有传播计算机病毒、异常数据、扫描监听、网络攻击（后门、漏洞、口令、拒绝服务等）、越权或滥用、行为抵赖、滥用网络资源、人为灾害（水、火等）、人为基础设施故障（电力、网络等）、窃取、破坏硬件、软件和数据等。

威胁识别工作完成之后，对资产所对应的威胁进行评估，将威胁的权值分为1-5 五个级别，等级越高威胁发生的可能性越大。威胁的权值主要是根据多年的经验积累或类似行业客户的历史数据来确定。等级5标识为很高，表示该威胁出现的频率很高（或≥1 次/周），或在大多数情况下几乎不可避免，或可以证实经常发生过。等级1标识为很低，表示该威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生。

3.3 脆弱性测试

脆弱性评估需从管理和技术两方面脆弱性来进行。管理脆弱性评估方面主要是按照等级保护的安全管理要求对现有的安全管理制度的制定和执行情况进行检查，发现了其中的管理漏洞和不足。技术方面包括物理环境、网络环境、主机系统、中间件系统和应用系统五个层次，主要是通过远程和本地两种方式进行手工检查、工具扫描等方式进行评估，以保证脆弱性评估的全面性和有效性。

传统IT 系统的技术脆弱性评测可以直接并入到生产系统中进行扫描检测，同时通过交换机的监听口采集数据，进行分析。而对工控系统的脆弱性验证和测评服务，则以实际车间工控系统为蓝本，搭建一套模拟工控系统，模拟系统采用与真实系统相同或者相近的配置，最大程序反映实际工控系统的真实情况。评估出的模拟系统工控系统安全情况，经过分析与演算，可以得出真实工控系统安全现状。

对于工控系统主要采用的技术性测试方法。

（1）模拟和数字控制逻辑测试方法。该方法针对模拟系统中的控制器系统进行测试。采用如图1的拓扑形式，通过组态配置PLC输出方波数字信号和阶梯模拟信号，通过监测控制信号的逻辑以判别控制系统的工作状态。

（2）抓包测试方法。该方法可以对模拟系统中的各种设备进行测试。采用图2的拓扑形式，通过抓包方式，获取车间现场运行的正常网络数据包；将该数据进行模糊算法变异，产生新的测试用例，将新数据发送到测试设备上进行漏洞挖掘。该测试方法既不影响工作现场，又使得模拟系统的测试数据流与工作现场相同。

（3）桥接测试方法。该方法针对模拟系统中的工业通信协议进行测试。测试平台接收到正常的数据包后，对该数据包进行模糊算法变异，按照特定的协议格式，由测试平台向被测设备发送修改后的数据，进行漏洞挖掘测试。采用的拓扑形式就是图2中去除了虚线框中的内容后的形式。

（4）点对点测试方法。该方法针对通信协议进行测试。采用与图1相同拓扑形式，按照所面对的协议的格式，由测试平台向被测设备发送测试用例，进行健壮性的测试。

（5）系统测试方法。该方法对装有工控软件的被测设备进行测试。该方法采用如图3的拓扑形式，综合了前几种方式，在系统的多个控制点同时进行，模糊测试数据在不同控制点之间同时传输，对整个工业控制环境进行系统级的漏洞挖掘。

3.4 综合分析

在完成资产、威胁和脆弱性的评估后，进入安全风险的评估阶段。在这个过程中，得到综合风险评估分析结果和建议。根据已得到的资产、威胁和脆弱性分析结果，可以得到风险以及相应的等级，等级越高，风险越高。

4 应用实例

本文以某卷烟厂制丝车间的制丝集控系统为例进行风险评估研究。

4.1 资产识别

首先对该制丝集控系统进行了资产的识别，得到的各类资产的基本信息。资产的简单概述：服务器包括GR 服务器、监控实时服务器、AOS 服务器、文件服务器、管理应用服务器、管理数据库服务器和管理实时服务器等；工作站包括工程师站、监控计算机和管理计算机；下位机包括西门子PLC S7-300、PLC S7-400 和ET200S；网络交换设备主要以西门子交换机和思科交换机为主；工控系统软件主要有Wonderware 系列软件、西门子STEP7、KEPServerEnterprise等。

4.2 威胁评估

依据威胁主体、威胁途径和威胁方式对制丝集控系统进行了威胁的识别，随后对卷烟厂制丝集控系统的威胁分析表示，面临的威胁来自于人员威胁和环境威胁，威胁方式主要有计算机病毒、入侵等。其中等级较高的威胁（等级≥3）其主体主要是互联网/办公网以及内部办公人员威胁。

4.3 脆弱性评估

搭建的模拟系统与真实网络层次结构相同，拓扑图如图4所示。

基于工控模拟环境，对设备控制层、工控协议、工控软件、集中监控设备进行评估。

对设备控制层的控制设备通讯流程分为五条路径进行归类分析，即图4中的路径1到5，通信协议均为西门子S7协议。一方面采用模拟和数字控制逻辑测试方法以及抓包测试方法对控制器进行测试，另一方面采用桥接测试方法对S7协议进行漏洞挖掘，结果表明结果未发现重大设备硬

件漏洞。

除了S7 协议外，图4中所标的剩余通信路径中，路径6为OPC协议，路径7为ProfiNet协议，路径8为ProfiBus协议，路径9为Modbus TCP协议。对于这些工控协议，采用点对点测试方法进行健壮性测试，结果发现了协议采用明文传输、未对OPC端口进行安全防范等问题。

采用系统测试方法，对装有工控软件的以及集中设备进行测试，发现了工控软件未对MAC 地址加固，无法防止中间人攻击，账号密码不更新，未进行认证等数据校验诸多问题。

然后对制丝集控系统进行的脆弱性分析发现了两个方面的问题非常值得重视。一是工控层工作站可通过代理服务器连通Internet，未进行任何隔离防范，有可能带来入侵或病毒威胁；攻击者可直接通过工作站攻击内网的所有服务器，这带来的风险极大。二是工控协议存在一定威胁，后期需要采取防护措施。

4.4 综合评估

此次对制丝集控系统的分析中，发现了一个高等级的风险：网络中存在可以连接Internet的代理服务器，未对该服务器做安全防护。还有多个中等级的风险，包括网络分域分区的策略未细化、关键网络设备和业务服务器安全配置不足、设备存在紧急风险漏洞、工控协议存在安全隐患、PLC 应用固件缺乏较完善的认证校验机制等。

4.5 防护建议

根据制丝集控系统所发现的风险和不足，可以采取几项防护措施：对于可连到Internet的代理服务器，采用如堡垒机模式等安全防护措施，加强分区分域管理；对主机设备和网络交换机加强安全策略，提高安全等级；对存在紧急风险漏洞的设备，及时打补丁；对于工控协议存在的安全隐患，控制器缺乏验证校验机制等风险，采用工业安全防护设备对其检测审计与防护阻断。

5 结束语

随着信息化的不断加强，烟草企业对于工业控制系统信息安全越来越重视，而风险评估可以说是信息安全工作的重要基础。本文提出基于模拟系统和脆弱性测试的风险评估方法，采用资产识别、威胁评估、以模拟系统评测为主的脆弱性评估、综合评估等步骤，对烟草制丝线控制系统进行信息安全风险评估。而在脆弱性测试中采用了模拟和数字控制逻辑测试、抓包测试、系统测试等多种方法，对工业控制系统技术上的脆弱性进行测试。这些步骤和方法在某卷烟厂的制丝集控系统应用中取得了良好的成果：发现了工控系统中存在的一些信息安全问题及隐患，并以此设计了工业安全防护方案，将工控网络风险控制到可接受范围内。

本次所做的烟草工业控制系统信息安全风险评估工作，可以为同类的烟草企业工控信息安全防护建设提供一定的借鉴。但同时，也要看到，本次的风险评估工作中对于风险等内容的定级对于经验的依赖程度较高，不易判断，这也是以后研究的方向之一。

参考文献

[1] 李燕翔，胡明淮.烟草制造企业工业控制网络安全浅析[J].中国科技博览，2011，（34）： 531-2.

[2] 李鸿培， 忽朝俭，王晓鹏. 2014工业控制系统的安全研究与实践[J]. 计算机安全，2014，（05）： 36-59，62.

[3] IEC 62443—2011， Industrial control network &system security standardization[S].

[4] SP 800-82—2008， Guide to industrial control systems（ICS） security[S].

[5] GB/T 26333—2011， 工业控制网络安全风险评估规范[S].

[6] GB/T 30976.1—2011， 工业控制系统信息安全 第1部分：评估规范[S].

[7] GB/T 30976.2—2011， 工业控制系统信息安全 第2部分：验收规范[S].

[8] 卢慧康， 陈冬青， 彭勇，王华忠.工业控制系统信息安全风险评估量化研究[J].自动化仪表， 2014 （10）： 21-5.

[9] 彭杰，刘力.工业控制系统信息安全性分析[J].自动化仪表， 2012， 33（12）： 36-9.

作者简介：

李威（1984-），男，河南焦作人，西安交通大学，硕士，浙江中烟工业有限责任公司，工程师；主要研究方向和关注领域：信息安全与网络管理。

汤尧平（1974-），男，浙江诸暨人，浙江中烟工业有限责任公司，工程师；主要研究方向和关注领域：烟草生产工业控制。

李钰靓（1983-），男，浙江杭州人，浙江工业大学，硕士，浙江中烟工业有限责任公司，工程师；主要研究方向和关注领域：工业控制系统管理。

杜旋（1987-），男，河北邢台人，杭州师范大学，硕士，浙江中烟工业有限责任公司，助理工程师；主要研究方向和关注领域：IT运维。

推荐访问:工控 风险评估 模拟 测试 系统中的应用