您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
助力智慧礦山,淺談工控安全建設(shè)思路
近年來,數(shù)字礦山、智能礦山等煤礦信息化建設(shè)有力地促進了我國煤礦現(xiàn)代化、生產(chǎn)自動化和管理信息化水平的提升,使我國煤炭開采裝備核心技術(shù)居于國際先進水平。
金瀚信息自開始工控安全研究以來,在能源行業(yè),尤其是煤炭行業(yè)積累了大量成功案例,本文聚焦煤炭行業(yè)的井工煤礦,詳細介紹如何提升煤礦工控系統(tǒng)網(wǎng)絡(luò)安全防護能力。
煤礦工控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)
井工開采是指通過挖掘巷道到達工作面開采煤炭的開采方式,其與露天開采在開采工藝上存在較大差別,這也導(dǎo)致了井工煤礦的工控系統(tǒng)較露天礦復(fù)雜。典型的井工煤礦工控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示:
由上圖可以看出,井工煤礦的網(wǎng)絡(luò)結(jié)構(gòu)為典型雙環(huán)網(wǎng)結(jié)構(gòu),井下和地面各一個環(huán)網(wǎng),承載所有井工煤礦工控系統(tǒng)的網(wǎng)絡(luò)通信工作,各工控系統(tǒng)之間無法劃分物理邊界。
根據(jù)等保2.0附錄G.2工業(yè)控制系統(tǒng)層次模型,可將井工煤礦工控系統(tǒng)劃分為5個層次:
1 現(xiàn)場設(shè)備層
本層主要包括與井工煤炭開采相關(guān)的防爆電氣設(shè)備、本安氣體傳感器、本安攝像機、應(yīng)急擴播音響等。本層設(shè)備與現(xiàn)場控制層大多采用硬接線方式同現(xiàn)場控制層控制器相連,但隨著數(shù)字式監(jiān)測監(jiān)控系統(tǒng)升級和智能化礦井建設(shè),越來越多的現(xiàn)場設(shè)備層設(shè)備采用總線通信協(xié)議與現(xiàn)場控制層通信。
2 現(xiàn)場控制層
本層主要包括井下、地面PLC控制器、電力綜保、通信分站等,本層設(shè)備全部通過以太網(wǎng)接入井下地面兩張環(huán)網(wǎng)。
3 過程監(jiān)控層
井工煤礦一般在地面設(shè)置調(diào)度指揮中心,調(diào)度指揮中心設(shè)置操作員站,工程師站統(tǒng)一對各工控系統(tǒng)進行遠程控制,同時通過設(shè)置綜合自動化平臺,打通信息孤島,對工控系統(tǒng)實時生產(chǎn)數(shù)據(jù)進行統(tǒng)一收集、存儲、分析。與此相關(guān)的操作員站、工程師站、實時/歷史數(shù)據(jù)庫服務(wù)器等都部署在過程監(jiān)控層。
4 生產(chǎn)管理層
井工煤礦的生產(chǎn)管理層主要包括兩部分系統(tǒng)和設(shè)備:一是與數(shù)字礦山相關(guān)的生產(chǎn)執(zhí)行系統(tǒng)、調(diào)度管理系統(tǒng)、生產(chǎn)安全綜合管理系統(tǒng)等;二是與煤監(jiān)等上級監(jiān)管部門通信的安全監(jiān)控系統(tǒng)、人員車輛定位系統(tǒng)數(shù)據(jù)上傳服務(wù)器等。
一般認為,過程監(jiān)控層與生產(chǎn)管理層的網(wǎng)絡(luò)邊界即為煤礦生產(chǎn)網(wǎng)與其他網(wǎng)絡(luò)的邊界,此處的邊界防護應(yīng)遵循等保2.0等國家相關(guān)規(guī)范的要求。
5 企業(yè)資源層
本層主要包括與井工煤礦生產(chǎn)經(jīng)營相關(guān)的ERP、OA、CRM等辦公系統(tǒng)和煤炭運銷系統(tǒng)等業(yè)務(wù)支撐系統(tǒng)。
煤礦工控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)
政策法規(guī)
SP800-82《工業(yè)控制系統(tǒng)(ICS)安全指南》
IEC62443《工業(yè)過程測量、控制和自動化 網(wǎng)絡(luò)與系統(tǒng)信息安全》
GB/T 22239《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》
GB/T 51272-2018《煤炭工業(yè)智能化礦井設(shè)計標準 》
工信部信軟〔2016〕338號《工業(yè)控制系統(tǒng)信息安全防護指南》
建設(shè)方案
典型的煤礦工控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)如下圖所示:
建設(shè)縱深安全防御體系
● 根據(jù)煤礦行業(yè)雙環(huán)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)特點,可將煤礦工控網(wǎng)絡(luò)劃分為生產(chǎn)控制區(qū)(對應(yīng)現(xiàn)場設(shè)備層、現(xiàn)場控制層、生產(chǎn)監(jiān)控層)和生產(chǎn)執(zhí)行區(qū)(對應(yīng)生產(chǎn)管理層);
● 在生產(chǎn)執(zhí)行區(qū)與辦公網(wǎng)絡(luò)之間部署工控網(wǎng)閘,生產(chǎn)控制區(qū)與生產(chǎn)執(zhí)行區(qū)之間部署工業(yè)防火墻(冗余),在主機和服務(wù)器上部署基于白名單機制的工控主機衛(wèi)士,構(gòu)建生產(chǎn)網(wǎng)邊界、地面井下邊界、主機終端的三重縱深安全防護體系。
構(gòu)建可信任網(wǎng)絡(luò)環(huán)境
● 在生產(chǎn)控制區(qū)邊界部署工控入侵檢測系統(tǒng),通過智能協(xié)議識別和攻擊特征庫自動形成功能,實現(xiàn)針對煤礦工控系統(tǒng)的深度攻擊發(fā)現(xiàn)和高級威脅檢測;
● 在核心交換機和兩張環(huán)網(wǎng)的重要節(jié)點交換機處部署工控安全審計系統(tǒng),通過深度協(xié)議包解析技術(shù)和機器自學習技術(shù),形成深度融合煤礦工控系統(tǒng)的業(yè)務(wù)行為基線,構(gòu)建異常行為模型,發(fā)現(xiàn)工控內(nèi)網(wǎng)操作風險;
● 通過上述兩項工作,在煤礦工控網(wǎng)絡(luò)邊界和內(nèi)部對攻擊行為和操作行為進行有效檢測,發(fā)現(xiàn)潛在的異常行為,構(gòu)建煤礦工控系統(tǒng)的可信任網(wǎng)絡(luò)環(huán)境,從事前告警、事中防護、事后取證三個維度,保證煤礦工控網(wǎng)絡(luò)環(huán)境的純凈。
實現(xiàn)全生命周期網(wǎng)絡(luò)安全管理能力
● 煤礦工控系統(tǒng)上線前,對工控設(shè)備進行漏洞檢測和配置審計,并及時采取補丁升級等安全補償措施,降低工控系統(tǒng)的脆弱性;
● 煤礦工控系統(tǒng)運行期間,在部署安全設(shè)備進行防護的同時,需做好運維管理工作。對于有遠程第三方運維需求的煤礦,在生產(chǎn)執(zhí)行區(qū)部署VPN設(shè)備和堡壘機,對遠程接入煤礦工控系統(tǒng)的設(shè)備進行認證,并對數(shù)據(jù)庫和操作系統(tǒng)的賬號進行統(tǒng)一管理。
煤礦行業(yè)兩化融合和數(shù)字礦山建設(shè)催生了大量的工控網(wǎng)絡(luò)安全需求。金瀚信息依托自身的研發(fā)能力和多年的行業(yè)積累,為煤礦客戶構(gòu)建外部威脅可控、內(nèi)部風險可知的縱深安全防御體系,切實提高煤礦關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全防御能力。(資料以最新更新為準)