綠盟智慧礦山安全解決方案,助力智能開采更安全
一、背景
隨著工業4.0、工業互聯網、中國制造2025等數字化轉型戰略的相繼提出,加之物聯網、大數據、云計算、5G等新一代信息技術的快速發展,推動我國礦山開采向智能化方向發展。從能源結構上看,我國富煤、少氣、貧油,凸顯了煤炭的重要性。國家為了推動智能化技術與煤礦生產融合發展,2020年3月由國家發展改革委、能源局、煤監局等8部委聯合印發了《關于加快煤礦智能化發展的指導意見》,意見指出“到2035年,各類煤礦基本實現智能化,建成能夠智慧感知、智能決策、自動執行的安全、高效、綠色煤礦”。
數字化轉型過程中,煤礦智能化帶來便利,也面臨著新的挑戰。各種勒索軟件、挖礦病毒、工業間諜、黑客甚至敵對勢力等威脅,開始對智慧礦山進行破壞攻擊,導致生產安全與網絡安全交織在一起,給我國能源帶來了巨大的安全隱患。
二、安全風險
01 網絡架構方面
按照國家安監總局要求,煤礦安全監控數據(如人員定位、瓦斯監測、工業電視、產量等)應上傳至屬地煤礦主管部門或煤礦上級公司,導致進入到生產控制網的通信鏈路越來越多,無統一對外提供數據的窗口,網絡邊界模糊,安全管理難度大。
02 邊界防護方面
通常只有生產管理網、辦公網與上級單位、互聯網的網絡出口部署防火墻,但生產控制網內部缺少邊界防護措施,如井下環網、地面環網、調度中心、無線網絡等無任何邊界防護以及訪問控制手段。
03 安全檢測方面
多數煤炭生產綜合監控系統缺少威脅入侵檢測以及異常行為、網絡運行狀態監測手段。對生產網絡中存在的威脅行為、漏洞利用行為、誤操作、違規操作以及關鍵動作,不能實時感知。
04 主機方面
在掘進、綜采、運輸、提升、洗選、供電、排水、通風等系統中,大多數工程師站、操作員站、HMI、SCADA實時服務器、歷史服務器等工業主機以及人員定位、安全監測、廣播、工業電視、產量等非工業主機,普遍惡意代碼防范能力弱。存在操作系統版本老、漏洞多、基線弱、病毒庫舊等問題以及存儲介質亂插現象。
05 安全運維方面
煤礦地處偏僻、交通不便,遠程運維盛行。通常通過向日葵、VNC、Teamviewer等互聯網工具進行運維,但運維過程無任何管控措施,出現問題不能定位追責。
06 數據庫安全方面
由于缺少相關數據審計措施,對用戶的惡意操作、資源濫用和敏感數據泄露等違規行為無法審計、定位、溯源。
07 安全管理方面
煤礦生產環境惡劣、復雜,相關人員只有生產安全意識,無網絡安全意識,網絡安全組織、崗位、人員、職責、制度等普遍缺失或不成體系。
三、解決方案
在國家法律法規、政策、標準的框架體系下,依據《國家能源集團煤炭生產企業生產系統網絡安全防護建設規范》和《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)的要求,從安全技術體系和安全管理體系構建縱深防御體系,再結合管理手段、技術手段、安全策略等,提供多維度、全方位的網絡安全防護能力,從而達到有效防護、全面監測、及時響應的智慧煤礦安全防御體系。
整體安全技術架構設計如下:
智慧礦山(井工礦)整體安全技術架構
注:新增網絡安全產品,以紅色字體標注;所有部署的安全硬件產品,都部署在井上。
01 架構設計
新建DMZ區和安全管理區。DMZ區作為生產控制網統一對外提供數據的出口,將數據緩沖服務器、APP應用服務器及Web服務器等對外發布數據的服務器從地面調度中心區遷移到DMZ區;同時針對如人員定位系統、安全監測系統、壓風系統、礦壓監測系統、工業電視等系統無數據緩沖服務器的生產綜合監控系統,新建鏡像服務器,部署在DMZ區。
02 安全服務設計
通過安全評估服務,并借助漏掃和配置核查工具,對掘進、綜采、運輸、提升、洗選、供電、排水、通風以及安全監測、人員定位、廣播、工業視頻等業務子系統,進行資產識別、脆弱性識別和威脅識別。全面建立資產清單、威脅清單和脆弱性清單,形成整改建設依據。定期進行健康檢查,包括漏洞、安全配置等,及時了解煤炭生產綜合監控系統的薄弱環節,針對性預防與加固。
03 邊界防護設計
在生產管理層與生產控制層之間部署工業網閘,雙機熱備,對工業協議報文拆包、內容剝離、安全過濾、單向傳輸、協議重組等,保障只有生產數據從生產控制網傳輸到生產管理網,禁止管理網違規訪問生產網,實現兩網之間的大邊界安全防護。
在生產管理層部署工業防火墻,實現對DMZ、安全管理區與生產管理區之間的邊界防護。在地面生產業務區、安全監控專網區、井下生產業務區以及工業無線的網絡出口部署工業防火墻,實現各安全區以及工業無線之間的邊界防護。
在DMZ區網絡出口部署WAF設備,實現對DMZ的應用服務器的防護。
04 入侵檢測設計
在生產控制網核心以及DMZ區旁路部署工業入侵檢測(IDS),對煤礦生產綜合監控系統網絡中存在的異常威脅、漏洞利用行為、惡意攻擊進行實時檢測。
05 監測審計設計
在地面調度中心區旁路部署工控安全審計設備,對流經生產綜合監控系統的網絡流量進行審計。對上位機與下位機之間的工業協議識別,并進行深度解析,對違規操作、誤操作以及關鍵操作(如下載、上傳、組態變更以及CPU啟停)等進行監測,實時了解生產網絡的安全狀態,為事后追溯、定位提供證據。
06 主機防護設計
在安全管理區部署主機衛士系統服務端,在掘進、綜采、運輸、提升、洗選、供電、排水、通風等業務子系統的工業主機部署主機衛士系統客戶端,實現對工業主機的安全防護,增強未知威脅防范能力。
在安全管理區部署病毒服務器,在DMZ區、地面調度中心區中的非工業主機,如人員定位、安全監測、廣播、工業電視等,部署殺毒軟件客戶端,實現對非工業主機的防護。
07 數據審計設計
在DMZ區旁路部署數據庫審計設備,建立數據庫操作的風險特征與審計行為的映射規則,對SIMATIC-IT-Historian、PHD、HiRIS、KingRDB、pSpace等工業實時數據庫以及Oracle、MySQL、SQLServer等關系數據庫進行審計。
08 安全運維設計
在安全管理區部署運維堡壘機,設置ACL訪問策略,保障運維數據流經過堡壘機到達運維資源。對運維過程進行錄屏、鍵盤記錄,并進行審計,保障遠程運維安全。
09 態勢感知設計
在安全管理區部署廠級工業預警感知平臺(注:預留接口,與上級單位態勢感知聯動),對部署的安全、網絡以及關鍵業務系統進行操作日志、運行日志以及告警日志集中采集、泛化、關聯分析,并從整體視角進行實時感知、事件分析、研判等,提升煤礦整體安全防護預警水平。
10 安全管理設計
首先,進行組織治理。明確網絡安全負責人和管理組織,企業主要負責人是網絡安全第一責任人,明確關鍵崗位和職責,關鍵崗位人員簽署網絡安全責任書等。其次,進行管理制度建設。主要從四個層面進行建設,包括一級文件的網絡安全方針、戰略;二級文件的管理規定、辦法;三級文件的操作流程、規范、作業指導書、模板等;四級文件的各類表單、記錄日志、報告等。最后,將制度文件進行評審、修訂、發布、執行等管理。
四、客戶價值
1、全面提升智慧礦山的合規性,符合國家主管部門、行業監管部門以及上級單位的安全要求;
2、全面提升掘進、綜采、運輸、提升、洗選、供電、排水、通風以及安全監測、人員定位、廣播、工業視頻等系統的安全防護與監測預警能力,助力智慧煤礦安全、高效、清潔、綠色開采;
3、全面提升煤礦相關業務人員的安全意識、安全技術水平和安全管理水平。
