罐区自动化系统介绍及安全隐患分析

2021年4月，日本正式决定：福岛核废水将排向大海，日本福岛核废水处理问题引发了世界范围内的广泛关注和讨论，地质处置核废水多次“意外泄露”问题，将罐区的安全隐患问题带回到我们眼前。在流体工业中，储罐一般按用途或压力等级进行相应的集中布置，该储罐集中的区域被称为罐区。储罐储存的通常都是易燃、易爆、有毒介质，因此确保罐区的安全生产应放在第一位。

一、罐区的分类及储运安全

工业储罐多为钢制储罐。根据储存介质特性及储存温度、压力等参数的不同要求，储罐的材质多选用碳钢、低温钢、不锈钢等材料。根据不同的分类标准，罐区分类也不同。一般地，在各罐区内，还会根据储罐的类型、介质的物性及压力等级、防爆、防火要求等进一步划分，将罐区分成不同的罐组。

传统意义上的罐区及储运安全主要是考虑罐区的防火、防爆、防溢、防抽空等方面的防护措施，例如对可燃介质、有毒介质应按规范要求设置检测器；按防火规范进行罐区布局；现场仪表、线缆应根据规范采取合适的防静电、防火、防雷措施等。

为了满足罐区安全稳定运行，优化管理，降低生产成本和利润最大化等多方面需求，企业会建设罐区自动化系统对罐区物料的接收、储存、周转、发送等整个生产过程进行监控和管理。罐区系统应用涉及到业务范围包括：原油、成品油、液化天然气、石油气、化工罐区等，以及相关的贸易类罐区。

随着自动化系统及智能设备的应用，将IT层面的安全风险引入到OT网络中，给罐区自动化系统的安全带来严峻挑战。罐区自动化系统设计需要兼顾应用场景与控制管理等多方面需求，要求优先确保系统的高可用性和业务连续性，因此在工业安全防御及数据通信保密措施问题上具有通病。系统自身的脆弱性给了外部威胁可乘之机，一旦发生网络安全攻击事件，外部攻击很可能渗透到工业控制系统层面，轻则造成生产设备损坏、业务停滞，重则造成大型安全事故，造成人员伤亡。

二、罐区自动化系统简述

企业通过罐区控制系统实现对罐区工艺生产过程变量的数据采集、控制和管理，并负责向控制中心传输数据和接受，执行控制中心下达的命令。罐区工作人员经过授权即可通过控制中心对罐区全线进行监视、控制、调度和管理。罐区自动化系统主要功能如下：

n 数据采集：对工艺、设备状态参数、消防、电气参数等相关数据进行采集、集中显示、记录和报警。

n 自动控制：对执行器（阀门/泵)进行实时控制。

n 编程组态：控制系统的编程组态及数据修改。

n 通讯：计量系统、自动控制系统及其他子系统之间的通讯。

n 授权管理、报表管理等其他功能。

罐区自动化系统架构图

三、罐区自动化系统安全隐患

罐区智能设备的互相连接，打破了工业控制系统传统“数据孤岛”的同时，也打破了以往工业控制系统和其他OT设备独立部署带来的“自闭式”安全。罐区自动化系统面临的安全问题如下：

1. 下位机安全问题

下位机是直接控制设备和获取设备状况的计算机，一般是PLC、单片机、智能仪表、智能模块等。下位机暴露在互联网中会带来许多安全隐患。为了便于用户管理，越来越多下位机配置了Web人机用户接口，便捷的同时带来了众多的Web安全漏洞。如：命令注入、代码注入、任意文件上传、越权访问、跨站脚本等。有些下位机设备硬编码系统中存在隐蔽账号的特殊访问命令，通过隐蔽的后门，设计者可以以最高权限的角色进行设备访问或操作。

2. 上位机安全问题

上位机漏洞包括通用平台的系统漏洞、采用的中间件漏洞、工控系统驱动漏洞、组态开发软件漏洞、Activex控件和文件格式等。由于上位机系统的功能比较复杂，大都需要在系统上安装很多服务，因此服务提权类漏洞比较普遍。服务提权类漏洞可以理解为访问控制缺陷。攻击者利用工业控制系统软件的访问控制缺陷可以进行服务权限提升，进行未授权的恶意操作。

3. 主机安全问题

主机的安全风险主要包括病毒、木马和蠕虫的攻击，以及通过移动外设引入的威胁。在大部分的用户场景中已使用杀毒软件进行安全防护。但是杀毒软件主要还是针对已知的病毒和威胁进行防御，对于精心设计的攻击病毒或木马无法有效进行防御。部分用户为了传递资料方便，开启了工控网络的工程师站电脑的 USB 接口，导致移动存储介质混用，从其他网络引入威胁到工控网络，导致攻击事件发生。行业缺乏安全运维意识 ，主机配置不合理如高危端口未封禁 ，带来安全风险。

4. 通讯安全问题

工控网络协议最初设计的时候，为了兼顾工控系统通信的实时性，很多都忽略了协议通信的机密性、可认证性等在当时看起来不必要的附加功能。传统观念认为工业内网与互联网物理隔离，所以现场总线协议一般是明码通信，虽然明码通信方便设备之间交换数据，快速便捷，但是带来的安全问题也很多。随着工控系统和信息系统的联系日益密切，工控协议的漏洞容易被攻击者利用。

随着工业控制系统广泛互联，逐步同生产管理、ERP系统、电子商务系统等相连，直接暴露在网络空间的工控设备增多，带来的风险不断加大。

四、罐区自动化系统安全防护措施

针对上述安全问题，提出保障罐区自动化系统安全防护措施如下：

1. 安全域划分及边界防护：

工控网络划分为工控业务服务器区、工控安全服务器区和工控设备区；使用工业防火墙对工业控制网络中的不同安全域之间进行隔离防护，并设置双向最小授权策略限制不同安全域之间的访问。

木链工控防火墙产品支持多种工控协议的识别与检测，对ModbusTCP、IEC104、DNP3等协议均可实现深度解析；支持自定义协议防护，通过协议数据匹配模组和字段分析匹配引擎，实现对私有协议的数据控制；支持灵活地部署模式，支持传统的路由模式、桥接模式、防护和测试模式，区分测试部署和正常工作模式，减少对业务系统的影响。

2. 访问控制及入侵检测

通过在防火墙或交换机中设置访问控制策略限制已授权的用户、程序、进程或计算机网络中的其他系统访问系统资源。旁路部署入侵检测系统，对工控网中的数据流量进行镜像抓包监测，一旦发现网络威胁攻击，立即告警并提醒工作人员采取相关处理措施消除风险。

木链工控审计平台通过对控制网数据的采集、解析、鉴别，实时动态监测通信内容，发现 并捕获异常指令和数据，实时告警响应；对工控网信息的风险审计和对安全事件的准确回溯定位。通过内置黑名单漏洞数据，覆盖工控网络中各类攻击方式或恶意指令，能够第一时间识别并进行告警。

3. 漏洞扫描及主机加固

部署漏洞扫描系统，结合防火墙、入侵检测系统实现系统安全性能检测，实现系统的常规系统安全漏洞扫描。针对工控设备和工控协议进行探查，抓取设备及协议信息，采用低风险轻量级漏洞指纹探测方法，准确获取目标漏洞信息。

在工控网络中重要服务器、操作员站、工程师站部署主机卫士、主机加固产品，保障工控网络内设备的主机安全和数据安全；并逐步开展试点单位设备漏洞发掘工作；

4. 整体规划安全体系建设

从企业整体信息安全体系规划设计角度出发，建立和完善与企业信息化发展相适应的信息安全保障体系，满足企业业务发展的安全性要求，保证企业信息系统安全、持续、稳健运行，有效防范、控制和化解信息技术风险，增强信息系统安全预警、应急处置和灾难恢复能力，保障信息资产安全，提高业务持续运行保障水平。

构建“三位一体安全体系”，以安全技术体系为基础，大幅提升安全检测审计与动态防御能力，实现协同防御；以安全管理体系为支撑，加强安全运维管理与安全保障能力，满足安全运维要求；以安全服务体系为保障，提高企业风险管控与应急响应能力，实现网络威胁可控。

随着企业信息化建设不断完善，IT和OT的不断融合，传感器和控制器成为工业互联网的端点，以往隔离设备的安全边界已然被打破，这导致网络威胁的攻击面急剧增加。在网络安全态势日益严峻的当今，高度自动化的罐区系统信息安全建设显得尤为必要。建成一套动态调整、自主可控的安全防护体系是必然选择。让我们着眼于当下，布局于未来，为罐区系统应用行业的安全生产与运行保驾护航！