您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
助力智慧礦山,淺談工控安全建設思路
近年來,數(shù)字礦山、智能礦山等煤礦信息化建設有力地促進了我國煤礦現(xiàn)代化、生產自動化和管理信息化水平的提升,使我國煤炭開采裝備核心技術居于國際先進水平。
金瀚信息自開始工控安全研究以來,在能源行業(yè),尤其是煤炭行業(yè)積累了大量成功案例,本文聚焦煤炭行業(yè)的井工煤礦,詳細介紹如何提升煤礦工控系統(tǒng)網絡安全防護能力。
煤礦工控系統(tǒng)網絡結構
井工開采是指通過挖掘巷道到達工作面開采煤炭的開采方式,其與露天開采在開采工藝上存在較大差別,這也導致了井工煤礦的工控系統(tǒng)較露天礦復雜。典型的井工煤礦工控系統(tǒng)網絡結構如下圖所示:
由上圖可以看出,井工煤礦的網絡結構為典型雙環(huán)網結構,井下和地面各一個環(huán)網,承載所有井工煤礦工控系統(tǒng)的網絡通信工作,各工控系統(tǒng)之間無法劃分物理邊界。
根據(jù)等保2.0附錄G.2工業(yè)控制系統(tǒng)層次模型,可將井工煤礦工控系統(tǒng)劃分為5個層次:
1 現(xiàn)場設備層
本層主要包括與井工煤炭開采相關的防爆電氣設備、本安氣體傳感器、本安攝像機、應急擴播音響等。本層設備與現(xiàn)場控制層大多采用硬接線方式同現(xiàn)場控制層控制器相連,但隨著數(shù)字式監(jiān)測監(jiān)控系統(tǒng)升級和智能化礦井建設,越來越多的現(xiàn)場設備層設備采用總線通信協(xié)議與現(xiàn)場控制層通信。
2 現(xiàn)場控制層
本層主要包括井下、地面PLC控制器、電力綜保、通信分站等,本層設備全部通過以太網接入井下地面兩張環(huán)網。
3 過程監(jiān)控層
井工煤礦一般在地面設置調度指揮中心,調度指揮中心設置操作員站,工程師站統(tǒng)一對各工控系統(tǒng)進行遠程控制,同時通過設置綜合自動化平臺,打通信息孤島,對工控系統(tǒng)實時生產數(shù)據(jù)進行統(tǒng)一收集、存儲、分析。與此相關的操作員站、工程師站、實時/歷史數(shù)據(jù)庫服務器等都部署在過程監(jiān)控層。
4 生產管理層
井工煤礦的生產管理層主要包括兩部分系統(tǒng)和設備:一是與數(shù)字礦山相關的生產執(zhí)行系統(tǒng)、調度管理系統(tǒng)、生產安全綜合管理系統(tǒng)等;二是與煤監(jiān)等上級監(jiān)管部門通信的安全監(jiān)控系統(tǒng)、人員車輛定位系統(tǒng)數(shù)據(jù)上傳服務器等。
一般認為,過程監(jiān)控層與生產管理層的網絡邊界即為煤礦生產網與其他網絡的邊界,此處的邊界防護應遵循等保2.0等國家相關規(guī)范的要求。
5 企業(yè)資源層
本層主要包括與井工煤礦生產經營相關的ERP、OA、CRM等辦公系統(tǒng)和煤炭運銷系統(tǒng)等業(yè)務支撐系統(tǒng)。
煤礦工控系統(tǒng)網絡安全建設
政策法規(guī)
SP800-82《工業(yè)控制系統(tǒng)(ICS)安全指南》
IEC62443《工業(yè)過程測量、控制和自動化 網絡與系統(tǒng)信息安全》
GB/T 22239《信息安全技術 網絡安全等級保護基本要求》
GB/T 51272-2018《煤炭工業(yè)智能化礦井設計標準 》
工信部信軟〔2016〕338號《工業(yè)控制系統(tǒng)信息安全防護指南》
建設方案
典型的煤礦工控系統(tǒng)網絡安全建設如下圖所示:
建設縱深安全防御體系
● 根據(jù)煤礦行業(yè)雙環(huán)網網絡結構和業(yè)務特點,可將煤礦工控網絡劃分為生產控制區(qū)(對應現(xiàn)場設備層、現(xiàn)場控制層、生產監(jiān)控層)和生產執(zhí)行區(qū)(對應生產管理層);
● 在生產執(zhí)行區(qū)與辦公網絡之間部署工控網閘,生產控制區(qū)與生產執(zhí)行區(qū)之間部署工業(yè)防火墻(冗余),在主機和服務器上部署基于白名單機制的工控主機衛(wèi)士,構建生產網邊界、地面井下邊界、主機終端的三重縱深安全防護體系。
構建可信任網絡環(huán)境
● 在生產控制區(qū)邊界部署工控入侵檢測系統(tǒng),通過智能協(xié)議識別和攻擊特征庫自動形成功能,實現(xiàn)針對煤礦工控系統(tǒng)的深度攻擊發(fā)現(xiàn)和高級威脅檢測;
● 在核心交換機和兩張環(huán)網的重要節(jié)點交換機處部署工控安全審計系統(tǒng),通過深度協(xié)議包解析技術和機器自學習技術,形成深度融合煤礦工控系統(tǒng)的業(yè)務行為基線,構建異常行為模型,發(fā)現(xiàn)工控內網操作風險;
● 通過上述兩項工作,在煤礦工控網絡邊界和內部對攻擊行為和操作行為進行有效檢測,發(fā)現(xiàn)潛在的異常行為,構建煤礦工控系統(tǒng)的可信任網絡環(huán)境,從事前告警、事中防護、事后取證三個維度,保證煤礦工控網絡環(huán)境的純凈。
實現(xiàn)全生命周期網絡安全管理能力
● 煤礦工控系統(tǒng)上線前,對工控設備進行漏洞檢測和配置審計,并及時采取補丁升級等安全補償措施,降低工控系統(tǒng)的脆弱性;
● 煤礦工控系統(tǒng)運行期間,在部署安全設備進行防護的同時,需做好運維管理工作。對于有遠程第三方運維需求的煤礦,在生產執(zhí)行區(qū)部署VPN設備和堡壘機,對遠程接入煤礦工控系統(tǒng)的設備進行認證,并對數(shù)據(jù)庫和操作系統(tǒng)的賬號進行統(tǒng)一管理。
煤礦行業(yè)兩化融合和數(shù)字礦山建設催生了大量的工控網絡安全需求。金瀚信息依托自身的研發(fā)能力和多年的行業(yè)積累,為煤礦客戶構建外部威脅可控、內部風險可知的縱深安全防御體系,切實提高煤礦關鍵信息基礎設施的網絡安全防御能力。(資料以最新更新為準)