綠盟智慧礦山安全解決方案，助力智慧開採更安全

一、背景

隨著工業4.0、工業網際網路、中國製造2025等數字化轉型戰略的相繼提出，加之物聯網、大資料、雲端計算、5G等新一代資訊科技的快速發展，推動我國礦山開採向智慧化方向發展。從能源結構上看，我國富煤、少氣、貧油，凸顯了煤炭的重要性。國家為了推動智慧化技術與煤礦生產融合發展，2020年3月由國家發展改革委、能源局、煤監局等8部委聯合印發了《關於加快煤礦智慧化發展的指導意見》，意見指出“到2035年，各類煤礦基本實現智慧化，建成能夠智慧感知、智慧決策、自動執行的安全、高效、綠色煤礦”。

煤礦在數字化轉型過程中，智慧化帶來便利，也面臨著新的挑戰。各種勒索軟體、挖礦病毒、工業間諜、駭客甚至敵對勢力等威脅，開始對智慧礦山進行破壞攻擊，導致生產安全與網路安全交織在一起，給我國能源帶來了巨大的安全隱患。

二、安全風險

01

網路架構方面

按照國家安監總局要求，煤礦安全監控資料（如人員定位、瓦斯監測、工業電視、產量等）應上傳至屬地煤礦主管部門或煤礦上級公司。基於政策的強要求進入到生產控制網的通訊鏈路越來越多，無統一對外提供資料的視窗，網路邊界模糊，安全管理難度大。

02

邊界防護方面

通常只有生產管理網、辦公網與上級單位、網際網路的網路出口部署防火牆，但生產控制網內部缺少邊界防護措施，如井下環網、地面環網、排程中心、無線網路等無任何邊界防護以及訪問控制手段。

03

安全檢測方面

多數煤炭生產綜合監控系統缺少威脅入侵檢測以及異常行為、網路執行狀態監測手段。對生產網路中存在的威脅行為、漏洞利用行為、誤操作、違規操作以及關鍵動作，不能實時感知。

04

主機方面

在掘進、綜採、運輸、提升、洗選、供電、排水、通風等系統中，大多數工程師站、操作員站、HMI、SCADA實時伺服器、歷史伺服器等工業主機以及人員定位、安全監測、廣播、工業電視、產量等非工業主機，普遍惡意程式碼防範能力弱。存在作業系統版本老、漏洞多、基線弱、病毒庫舊等問題以及儲存介質亂插現象。

05

安全運維方面

煤礦地處偏僻、交通不便，遠端運維盛行。通常透過向日葵、VNC、Teamviewer等網際網路工具進行運維，但運維過程無任何管控措施，出現問題不能定位追責。

06

資料庫安全方面

由於缺少相關資料審計措施，對使用者的惡意操作、資源濫用和敏感資料洩露等違規行為無法審計、定位、溯源。

07

安全管理方面

煤礦生產環境惡劣、複雜，相關人員只有生產安全意識，無網路安全意識，網路安全組織、崗位、人員、職責、制度等普遍缺失或不成體系。

三、解決方案

在國家法律法規、政策、標準的框架體系下，依據《國家能源集團煤炭生產企業生產系統網路安全防護建設規範》和《資訊保安技術 網路安全等級保護基本要求》（GB/T 22239-2019）的要求，從安全技術體系和安全管理體系構建縱深防禦體系。再結合管理手段、技術手段、安全策略等，提供多維度、全方位的網路安全防護能力，從而達到有效防護、全面監測、及時響應的智慧煤礦安全防禦體系。

整體安全技術架構設計如下：

圖1智慧礦山（井工礦）整體安全技術架構

注：新增網路安全產品，以紅色字型標註；所有部署的安全硬體產品，都部署在井上。

01

架構設計

新建DMZ區和安全管理區。DMZ區作為生產控制網統一對外提供資料的出口，將資料緩衝伺服器、APP應用伺服器及Web伺服器等對外發布資料的伺服器從地面排程中心區遷移到DMZ區；同時針對如人員定位系統、安全監測系統、壓風系統、礦壓監測系統、工業電視等系統無資料緩衝伺服器的生產綜合監控系統，新建映象伺服器，部署在DMZ區。

02

安全服務設計

透過安全評估服務，並藉助漏掃和配置核查工具，對掘進、綜採、運輸、提升、洗選、供電、排水、通風以及安全監測、人員定位、廣播、工業影片等業務子系統，進行資產識別、脆弱性識別和威脅識別。全面建立資產清單、威脅清單和脆弱性清單，形成整改建設依據。定期進行健康檢查，包括漏洞、安全配置等，及時瞭解煤炭生產綜合監控系統的薄弱環節，針對性預防與加固。

03

邊界防護設計

在生產管理層與生產控制層之間部署2臺工業網閘，雙機熱備，對工業協議報文拆包、內容剝離、安全過濾、單向傳輸、協議重組等，保障只有生產資料從生產控制網傳輸到生產管理網，禁止管理網違規訪問生產網，實現兩網之間的大邊界安全防護。

在生產管理層部署2臺工業防火牆，實現對DMZ、安全管理區與生產管理區之間的邊界防護。在地面生產業務區、安全監控專網區、井下生產業務區以及工業無線的網路出口部署工業防火牆，實現各安全區以及工業無線之間的邊界防護。

在DMZ區網路出口部署WAF裝置，實現對DMZ的應用伺服器的防護。

04

入侵檢測設計

在生產控制網核心以及DMZ區旁路部署工業入侵檢測（IDS），對煤礦生產綜合監控系統網路中存在的異常威脅、漏洞利用行為、惡意攻擊進行實時檢測。

05

監測審計設計

在地面排程中心區旁路部署工控安全審計裝置，對流經生產綜合監控系統的網路流量進行審計。對上位機與下位機之間的工業協議識別，並進行深度解析，對違規操作、誤操作以及關鍵操作（如下載、上傳、組態變更以及CPU啟停）等進行監測，實時瞭解生產網路的安全狀態，為事後追溯、定位提供證據。

06

主機防護設計

在安全管理區部署主機衛士系統服務端，在掘進、綜採、運輸、提升、洗選、供電、排水、通風等業務子系統的工業主機部署主機衛士系統客戶端，實現對工業主機的安全防護，增強未知威脅防範能力。

在安全管理區部署病毒伺服器，在DMZ區、地面排程中心區中的非工業主機，如人員定位、安全監測、廣播、工業電視等，部署防毒軟體客戶端，實現對非工業主機的防護。

07

資料審計設計

在DMZ區旁路部署資料庫審計裝置，建立資料庫操作的風險特徵與審計行為的對映規則，對SIMATIC-IT-Historian、PHD、HiRIS、KingRDB、pSpace等工業實時資料庫以及Oracle、MySQL、SQLServer等關聯式資料庫進行審計。

08

安全運維設計

在安全管理區部署1臺運維堡壘機，設定ACL訪問策略，保障運維資料流經過堡壘機到達運維資源。對運維過程進行錄屏、鍵盤記錄，並進行審計，保障遠端運維安全。

09

態勢感知設計

在安全管理區部署1套廠級工業預警感知平臺（注：預留介面，與上級單位態勢感知聯動），對部署的安全、網路以及關鍵業務系統進行操作日誌、執行日誌以及告警日誌集中採集、泛化、關聯分析，並從整體視角進行實時感知、事件分析、研判等，提升煤礦整體安全防護預警水平。

10

安全管理設計

首先，進行組織治理。明確網路安全負責人和管理組織，企業主要負責人是網路安全第一責任人，明確關鍵崗位和職責，關鍵崗位人員簽署網路安全責任書等。其次，進行管理制度建設。主要從四個層面進行建設，包括一級檔案的網路安全方針、戰略；二級檔案的管理規定、辦法；三級檔案的操作流程、規範、作業指導書、模板等；四級檔案的各類表單、記錄日誌、報告等。最後，將制度檔案進行評審、修訂、釋出、執行等管理。

四、客戶價值

1、全面提升智慧礦山的合規性，符合國家主管部門、行業監管部門以及上級單位的安全要求；

2、全面提升掘進、綜採、運輸、提升、洗選、供電、排水、通風以及安全監測、人員定位、廣播、工業影片等系統的安全防護與監測預警能力，助力智慧煤礦安全、高效、清潔、綠色開採；

3、全面提升煤礦相關業務人員的安全意識、安全技術水平和安全管理水平。