一、背景
隨著工業4.0、工業網際網路、中國製造2025等數字化轉型戰略的相繼提出,加之物聯網、大資料、雲端計算、5G等新一代資訊科技的快速發展,推動我國礦山開採向智慧化方向發展。從能源結構上看,我國富煤、少氣、貧油,凸顯了煤炭的重要性。國家為了推動智慧化技術與煤礦生產融合發展,2020年3月由國家發展改革委、能源局、煤監局等8部委聯合印發了《關於加快煤礦智慧化發展的指導意見》,意見指出“到2035年,各類煤礦基本實現智慧化,建成能夠智慧感知、智慧決策、自動執行的安全、高效、綠色煤礦”。
煤礦在數字化轉型過程中,智慧化帶來便利,也面臨著新的挑戰。各種勒索軟體、挖礦病毒、工業間諜、駭客甚至敵對勢力等威脅,開始對智慧礦山進行破壞攻擊,導致生產安全與網路安全交織在一起,給我國能源帶來了巨大的安全隱患。
二、安全風險
01
網路架構方面
按照國家安監總局要求,煤礦安全監控資料(如人員定位、瓦斯監測、工業電視、產量等)應上傳至屬地煤礦主管部門或煤礦上級公司。基於政策的強要求進入到生產控制網的通訊鏈路越來越多,無統一對外提供資料的視窗,網路邊界模糊,安全管理難度大。
02
邊界防護方面
通常只有生產管理網、辦公網與上級單位、網際網路的網路出口部署防火牆,但生產控制網內部缺少邊界防護措施,如井下環網、地面環網、排程中心、無線網路等無任何邊界防護以及訪問控制手段。
03
安全檢測方面
多數煤炭生產綜合監控系統缺少威脅入侵檢測以及異常行為、網路執行狀態監測手段。對生產網路中存在的威脅行為、漏洞利用行為、誤操作、違規操作以及關鍵動作,不能實時感知。
04
主機方面
在掘進、綜採、運輸、提升、洗選、供電、排水、通風等系統中,大多數工程師站、操作員站、HMI、SCADA實時伺服器、歷史伺服器等工業主機以及人員定位、安全監測、廣播、工業電視、產量等非工業主機,普遍惡意程式碼防範能力弱。存在作業系統版本老、漏洞多、基線弱、病毒庫舊等問題以及儲存介質亂插現象。
05
安全運維方面
煤礦地處偏僻、交通不便,遠端運維盛行。通常透過向日葵、VNC、Teamviewer等網際網路工具進行運維,但運維過程無任何管控措施,出現問題不能定位追責。
06
資料庫安全方面
由於缺少相關資料審計措施,對使用者的惡意操作、資源濫用和敏感資料洩露等違規行為無法審計、定位、溯源。
07
安全管理方面
煤礦生產環境惡劣、複雜,相關人員只有生產安全意識,無網路安全意識,網路安全組織、崗位、人員、職責、制度等普遍缺失或不成體系。
三、解決方案
在國家法律法規、政策、標準的框架體系下,依據《國家能源集團煤炭生產企業生產系統網路安全防護建設規範》和《資訊保安技術 網路安全等級保護基本要求》(GB/T 22239-2019)的要求,從安全技術體系和安全管理體系構建縱深防禦體系。再結合管理手段、技術手段、安全策略等,提供多維度、全方位的網路安全防護能力,從而達到有效防護、全面監測、及時響應的智慧煤礦安全防禦體系。
整體安全技術架構設計如下:
圖1智慧礦山(井工礦)整體安全技術架構
注:新增網路安全產品,以紅色字型標註;所有部署的安全硬體產品,都部署在井上。
01
架構設計
新建DMZ區和安全管理區。DMZ區作為生產控制網統一對外提供資料的出口,將資料緩衝伺服器、APP應用伺服器及Web伺服器等對外發布資料的伺服器從地面排程中心區遷移到DMZ區;同時針對如人員定位系統、安全監測系統、壓風系統、礦壓監測系統、工業電視等系統無資料緩衝伺服器的生產綜合監控系統,新建映象伺服器,部署在DMZ區。
02
安全服務設計
透過安全評估服務,並藉助漏掃和配置核查工具,對掘進、綜採、運輸、提升、洗選、供電、排水、通風以及安全監測、人員定位、廣播、工業影片等業務子系統,進行資產識別、脆弱性識別和威脅識別。全面建立資產清單、威脅清單和脆弱性清單,形成整改建設依據。定期進行健康檢查,包括漏洞、安全配置等,及時瞭解煤炭生產綜合監控系統的薄弱環節,針對性預防與加固。
03
邊界防護設計
在生產管理層與生產控制層之間部署2臺工業網閘,雙機熱備,對工業協議報文拆包、內容剝離、安全過濾、單向傳輸、協議重組等,保障只有生產資料從生產控制網傳輸到生產管理網,禁止管理網違規訪問生產網,實現兩網之間的大邊界安全防護。
在生產管理層部署2臺工業防火牆,實現對DMZ、安全管理區與生產管理區之間的邊界防護。在地面生產業務區、安全監控專網區、井下生產業務區以及工業無線的網路出口部署工業防火牆,實現各安全區以及工業無線之間的邊界防護。
在DMZ區網路出口部署WAF裝置,實現對DMZ的應用伺服器的防護。
04
入侵檢測設計
在生產控制網核心以及DMZ區旁路部署工業入侵檢測(IDS),對煤礦生產綜合監控系統網路中存在的異常威脅、漏洞利用行為、惡意攻擊進行實時檢測。
05
監測審計設計
在地面排程中心區旁路部署工控安全審計裝置,對流經生產綜合監控系統的網路流量進行審計。對上位機與下位機之間的工業協議識別,並進行深度解析,對違規操作、誤操作以及關鍵操作(如下載、上傳、組態變更以及CPU啟停)等進行監測,實時瞭解生產網路的安全狀態,為事後追溯、定位提供證據。
06
主機防護設計
在安全管理區部署主機衛士系統服務端,在掘進、綜採、運輸、提升、洗選、供電、排水、通風等業務子系統的工業主機部署主機衛士系統客戶端,實現對工業主機的安全防護,增強未知威脅防範能力。
在安全管理區部署病毒伺服器,在DMZ區、地面排程中心區中的非工業主機,如人員定位、安全監測、廣播、工業電視等,部署防毒軟體客戶端,實現對非工業主機的防護。
07
資料審計設計
在DMZ區旁路部署資料庫審計裝置,建立資料庫操作的風險特徵與審計行為的對映規則,對SIMATIC-IT-Historian、PHD、HiRIS、KingRDB、pSpace等工業實時資料庫以及Oracle、MySQL、SQLServer等關聯式資料庫進行審計。
08
安全運維設計
在安全管理區部署1臺運維堡壘機,設定ACL訪問策略,保障運維資料流經過堡壘機到達運維資源。對運維過程進行錄屏、鍵盤記錄,並進行審計,保障遠端運維安全。
09
態勢感知設計
在安全管理區部署1套廠級工業預警感知平臺(注:預留介面,與上級單位態勢感知聯動),對部署的安全、網路以及關鍵業務系統進行操作日誌、執行日誌以及告警日誌集中採集、泛化、關聯分析,並從整體視角進行實時感知、事件分析、研判等,提升煤礦整體安全防護預警水平。
10
安全管理設計
首先,進行組織治理。明確網路安全負責人和管理組織,企業主要負責人是網路安全第一責任人,明確關鍵崗位和職責,關鍵崗位人員簽署網路安全責任書等。其次,進行管理制度建設。主要從四個層面進行建設,包括一級檔案的網路安全方針、戰略;二級檔案的管理規定、辦法;三級檔案的操作流程、規範、作業指導書、模板等;四級檔案的各類表單、記錄日誌、報告等。最後,將制度檔案進行評審、修訂、釋出、執行等管理。
四、客戶價值
1、全面提升智慧礦山的合規性,符合國家主管部門、行業監管部門以及上級單位的安全要求;
2、全面提升掘進、綜採、運輸、提升、洗選、供電、排水、通風以及安全監測、人員定位、廣播、工業影片等系統的安全防護與監測預警能力,助力智慧煤礦安全、高效、清潔、綠色開採;
3、全面提升煤礦相關業務人員的安全意識、安全技術水平和安全管理水平。