基于针对烟草行业的安全风险评估模型
伴随着工业互联网时代的来临,越来越多的网络安全隐患被带入了工业控制领域,安全威胁风险不断加剧。对工业控制网络和工业控制系统的攻击,破坏企业重要装置和正常工艺流程,由此引发灾难性后果。信息安全风险评估,作为一种监测工业控制系统风险的重要手段,也越来越被广泛运用。根据工业控制系统的网络结构特征,本文主要针对风险评估在工业控制系统中的运用进行探讨,为其提供一种多维度的风险评估模型。
关键词:工业互联网;网络安全;工业控制系统;风险评估
工业控制系统(以下简称工控系统)是指由计算机与工业过程控制部件组成的自动控制系统。工业过程控制部件对实时数据进行采集、监测,在计算机的调配下,实现设备自动化运行以及对业务流程的管理与监控。其特点主要表现在数据传送的实时性、数据的事件驱动及数据源主动推送等。工控系统已经广泛运用于核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、军工、城市供水供气供热以及其他与国计民生紧密相关的领域。
近年来,国家烟草专卖局根据行业信息安全建设实际情况和需要,一方面通过发布信息安全相关行业标准规范为行业单位信息安全建设提供指导和统一要求,另一方面通过每年度一次全面信息安全检查和专项信息安全检查,面向全行业“以查促建、以查促管、以查促改、以查促防”推动行业整体信息安全建设水平的提高。
在“两化”融合的行业发展需求下,现代工业控制系统的技术进步主要表现在两大方面:信息化与工业化的深度融合,为了烟草行业生产高效运行、提高生产管理效率,行业大力推进信息系统的集成化、集中化管理,工控网络与办公网、互联网的互联互通成为重要前提。
1 烟草行业工控系统安全防护现状
工业互联网打破传统工业相对封闭的制造环境,基于互联网的传统信息安全威胁已经逐渐向工业领域融合渗透,工业企业的外部安全威胁及内生的安全风险并存,安全形势严峻。
1.1 烟草行业控制系统网络结构复杂
在烟草行业中控制系统主要包括数据采集与监视控制系统(Supervisory Control and Data Acquisition,SCADA)、可编程逻辑控制器(Programmable LogicController,PLC)等各类操作系统和服务器。烟草行业典型的工业控制系统结构如图1所示,主要有现场仪表层、现场操作层、监控层、DMZ层、企业信息管理层。
图1 典型工业企业网络结构
( 1 ) 现场仪表层位于工业控制现场最低层,是系统控制运算的核心。
( 2 ) 现场操作层是连接上下两层网络的桥梁和纽带,主要由工程师站、操作员站等构成。
( 3 ) 监控层主要是监控上层生产指令控制和调配生产设备,同时对工业现场的生产情况进行实时检测和数据分析。
( 4 ) DMZ层是一个非安全系统与安全系统之间的缓冲区,主要包含了Web服务器,安全服务器等。
( 5 ) 企业信息管理层主要是为企业提供企业管理信息系统,用来执行邮件收发、网站查询等功能。
整体行业网络环境相对封闭,各个层级具有关联关系,并不适用于传统的风险评估模型。
1.2 烟草行业工控系统威胁分析
通过对烟草行业安全事件的分析,发现安全事件主要由三方面引起,安全漏洞方面、安全配置方面以及异常事件方面。以安全配置方面为例,它通常是由于人为的疏忽造成,涉及账号、口令、授权、日志、IP通信等方面,反映了系统自身的安全脆弱性。安全配置不足可能带来众多安全隐患,因此对安全配置进行有效的检查和加固成为整体安全体系建设中的重要一环。
烟草行业工控系统由于长期缺乏安全需求的推动,现有的工业自动化控制系统在设计、研发、部署、运维中没有充分考虑安全问题,一旦被无意或恶意利用就会造成各种信息安全事件。整体工控系统安全趋势不容乐观,工控安全建设迫在眉睫。
1.3 政策制度的需求分析
近几年烟草总局根据行业特点陆续制订发布了《烟草行业等级保护基本要求》、《烟草行业移动应用安全规范》、《烟草行业网络安全基线管理技术规范》、《烟草行业网络与信息安全检查自查指南》、《烟草工业企业生产网与管理网网络互联安全规范》和《烟草行业工业控制系统网络安全基线技术规范》等,为行业的信息安全规划、建设提供依据与标准。
国家烟草局制定的《烟草行业信息安全基线管理技术规范》已成为烟草行业各单位信息安全保障体系建设和管理工作的基线要求。
2 烟草行业风险评估模型建立
烟草行业中的风险评估主要包括资产、现行流量、无线AP等方面,结合法律法规来进行安全评估。
2.1 资产评估
工控系统中资产厂商构成复杂,设备种类繁多,特别是高端数控机床、高端发动机、发电控制系统,以及高端PLC器件等底层控制设备严重依赖国外,导致工业核心硬件的内部机理及通信过程缺乏透明度,再加上自身可能存在设计漏洞和被植入后门等问题,容易造成重要工业资产和装备制造业务信息被非法窃取等现象,甚至可被远程控制和破坏。种种此类因素导致了现场资产不易收集和追踪管理。
资产评估首先通过无损探测技术对工业现场资产进行一键拓扑,形成立体形象的资产拓扑图,帮助客户了解网络资产分布情况。同时根据设备的品牌信息、型号详情,通过无损漏洞匹配技术进行漏洞信息的探测,定位目标设备是否存在高危漏洞、高危端口开放等风险点,从而提供对应漏洞解决方案等。
其次对现场的主机进行配置核查和恶意代码检测,可发现主机设备配置是否存在不合理性,是否存在恶意代码等安全风险隐患。
2.2 流量评估
在工控系统现场适用工业网络协议数量众多,种类繁杂,主流的有Modbus、OPC、DNP3.0、PROFINET、EtherNet/IP等。其中大量工业通信协议为厂商私有,不对外公开。因此流量评估需要对各种私有的工业通信协议进行深度解析。流量接入如图2所示。
图2 流量接入示意图
而工控系统的实时性要求高,所以通过旁路接入核心的交换机方式,截取当前工业控制系统流量数据包,并对数据包进行深度分析,快速发现当下网络流量中现行的安全问题、工控网络病毒和网络异常行为,并对诊断数据、数据包大小、流量速率和工控协议等进行统计。从而为工控系统网络进行安全评估,为网络安全提供建议以及参考标准。
2.3 无线评估
对工业现场的无线AP进行探测,发现参与无线通信的设备并对其进行安全评估,包括无线AP的SSID以及对应的MAC地址信息,探测隐藏的无线AP,获取其所连接设备的相关信息,进行弱密码评估,可以帮助用户清晰了解无线网络的安全状况。
2.4 合规性评估
对法律法规及标准进行深度解读,形成专业的问卷,对烟草行业工控现场进行管理和技术双重评估,并对评估过程进行取证记录。为不符合指标项提供专业的风险提要和整改建议。
2.5 四维合一的风险评估报告
在风险评估过程中,利用四维的风险评估模型,不仅对工控系统进行安全基线静态评估,也可对网络流量等进行动态评估。而四维的评估结果形成专业的评估报告直观展示整体风险点,可以帮助工业企业用户高效发现存在的安全问题,有效解决安全隐患,防止重要的安全事件发生,降低人员以及财产损失风险。
3 主要技术
3.1 合规性检查评分模型
基于国家行业标准进行建模,构建工业现场的管理与技术流程制度的评分模型,设置覆盖整个工业控制系统的评估选项,并对不同评估选项进行权重设计以匹配工业控制领域。
合规性检查建模的难点是对于国家行业标准的理解,设计基于标准的权重分配体系。
3.2 资产安全检查评分模型
基于资产及网络进行建模,构建工控系统资产及网络结构评分模型,通过漏洞、设备、区域拓扑、网络结构进行综合性评分算法设计。
资产评分基于不同维度信息进行统计,如漏洞评分采用通用CVSS体系,为了最终能合理地归一到百分制来呈现,同时又能合理地将评分量化评分到高、中、低的等级中。评分算法将采用反正切函数,优势是开始阶段导数较大,函数曲线上升明显;x轴无限大时,函数曲线趋近极限,单个设备理论上可以有无限个漏洞,其设备评分可以无限大。图3为合理的评分建模曲线图,x轴为设备细节威胁得分值,y轴为设备最终风险评分。
图3 评分建模曲线图
3.3 流量分析评分模型
基于网络通信数据进行建模,构建工控系统网络通信流量模型,通过工控异常流量、工控网络病毒和工控异常诊断进行综合性评分。
在当前工业安全评估系统中,异常行为检查评分以工控异常流量、工控网络病毒和工控异常诊断为评分数据源,由于此三类问题最终体现的效果不同,需考虑依据工控系统网络中的重要程度来进行权重计算。
flow_analysis_score = V×X% + D×Y% +F×Z%
式中字母注释如表1所示。
表1 流量分析评分模型字母含义
4 结语
本文浅析了烟草行业中工控系统行业现状,并对行业风险评估的疑难点进行探讨,为烟草行业提供了一种风险评估模型。帮助提升烟草行业网络安全风险意识,规避一些安全事故的发生,促进工控体系安全健康发展,可为国家“新基建”战略的落实奠定安全基础。
参考文献
[1] 安克万, 赵首花. 信息安全风险评估对两化融合的保障[J]. 西安邮电大学学报, 2010, 15 (6) : 62 - 63.
[2] 司应硕. 信息安全风险评估技术的研究[D]. 贵州: 贵州大学, 2008.
[3] 彭勇, 江常青, 谢丰, 等. 工业控制系统信息安全研究进展[J]. 清华大学学报 (自然科学版),2012, 52 (10) : 1396 – 1408.
[4] 卢光明. 我国工控安全现状及面临的挑战[J]. 网络空间安全, 2018, (3) : 1 - 7, 10
原文来源:工业安全产业联盟
