您所在的位置: 首頁(yè) >
新聞資訊 >
行業(yè)資訊 >
助力智慧礦山,淺談工控安全建設(shè)思路
近年來(lái),數(shù)字礦山、智能礦山等煤礦信息化建設(shè)有力地促進(jìn)了我國(guó)煤礦現(xiàn)代化、生產(chǎn)自動(dòng)化和管理信息化水平的提升,使我國(guó)煤炭開(kāi)采裝備核心技術(shù)居于國(guó)際先進(jìn)水平。
金瀚信息自開(kāi)始工控安全研究以來(lái),在能源行業(yè),尤其是煤炭行業(yè)積累了大量成功案例,本文聚焦煤炭行業(yè)的井工煤礦,詳細(xì)介紹如何提升煤礦工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)能力。
煤礦工控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)
井工開(kāi)采是指通過(guò)挖掘巷道到達(dá)工作面開(kāi)采煤炭的開(kāi)采方式,其與露天開(kāi)采在開(kāi)采工藝上存在較大差別,這也導(dǎo)致了井工煤礦的工控系統(tǒng)較露天礦復(fù)雜。典型的井工煤礦工控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示:
由上圖可以看出,井工煤礦的網(wǎng)絡(luò)結(jié)構(gòu)為典型雙環(huán)網(wǎng)結(jié)構(gòu),井下和地面各一個(gè)環(huán)網(wǎng),承載所有井工煤礦工控系統(tǒng)的網(wǎng)絡(luò)通信工作,各工控系統(tǒng)之間無(wú)法劃分物理邊界。
根據(jù)等保2.0附錄G.2工業(yè)控制系統(tǒng)層次模型,可將井工煤礦工控系統(tǒng)劃分為5個(gè)層次:
1 現(xiàn)場(chǎng)設(shè)備層
本層主要包括與井工煤炭開(kāi)采相關(guān)的防爆電氣設(shè)備、本安氣體傳感器、本安攝像機(jī)、應(yīng)急擴(kuò)播音響等。本層設(shè)備與現(xiàn)場(chǎng)控制層大多采用硬接線方式同現(xiàn)場(chǎng)控制層控制器相連,但隨著數(shù)字式監(jiān)測(cè)監(jiān)控系統(tǒng)升級(jí)和智能化礦井建設(shè),越來(lái)越多的現(xiàn)場(chǎng)設(shè)備層設(shè)備采用總線通信協(xié)議與現(xiàn)場(chǎng)控制層通信。
2 現(xiàn)場(chǎng)控制層
本層主要包括井下、地面PLC控制器、電力綜保、通信分站等,本層設(shè)備全部通過(guò)以太網(wǎng)接入井下地面兩張環(huán)網(wǎng)。
3 過(guò)程監(jiān)控層
井工煤礦一般在地面設(shè)置調(diào)度指揮中心,調(diào)度指揮中心設(shè)置操作員站,工程師站統(tǒng)一對(duì)各工控系統(tǒng)進(jìn)行遠(yuǎn)程控制,同時(shí)通過(guò)設(shè)置綜合自動(dòng)化平臺(tái),打通信息孤島,對(duì)工控系統(tǒng)實(shí)時(shí)生產(chǎn)數(shù)據(jù)進(jìn)行統(tǒng)一收集、存儲(chǔ)、分析。與此相關(guān)的操作員站、工程師站、實(shí)時(shí)/歷史數(shù)據(jù)庫(kù)服務(wù)器等都部署在過(guò)程監(jiān)控層。
4 生產(chǎn)管理層
井工煤礦的生產(chǎn)管理層主要包括兩部分系統(tǒng)和設(shè)備:一是與數(shù)字礦山相關(guān)的生產(chǎn)執(zhí)行系統(tǒng)、調(diào)度管理系統(tǒng)、生產(chǎn)安全綜合管理系統(tǒng)等;二是與煤監(jiān)等上級(jí)監(jiān)管部門通信的安全監(jiān)控系統(tǒng)、人員車輛定位系統(tǒng)數(shù)據(jù)上傳服務(wù)器等。
一般認(rèn)為,過(guò)程監(jiān)控層與生產(chǎn)管理層的網(wǎng)絡(luò)邊界即為煤礦生產(chǎn)網(wǎng)與其他網(wǎng)絡(luò)的邊界,此處的邊界防護(hù)應(yīng)遵循等保2.0等國(guó)家相關(guān)規(guī)范的要求。
5 企業(yè)資源層
本層主要包括與井工煤礦生產(chǎn)經(jīng)營(yíng)相關(guān)的ERP、OA、CRM等辦公系統(tǒng)和煤炭運(yùn)銷系統(tǒng)等業(yè)務(wù)支撐系統(tǒng)。
煤礦工控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)
政策法規(guī)
SP800-82《工業(yè)控制系統(tǒng)(ICS)安全指南》
IEC62443《工業(yè)過(guò)程測(cè)量、控制和自動(dòng)化 網(wǎng)絡(luò)與系統(tǒng)信息安全》
GB/T 22239《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》
GB/T 51272-2018《煤炭工業(yè)智能化礦井設(shè)計(jì)標(biāo)準(zhǔn) 》
工信部信軟〔2016〕338號(hào)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》
建設(shè)方案
典型的煤礦工控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)如下圖所示:
建設(shè)縱深安全防御體系
● 根據(jù)煤礦行業(yè)雙環(huán)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)特點(diǎn),可將煤礦工控網(wǎng)絡(luò)劃分為生產(chǎn)控制區(qū)(對(duì)應(yīng)現(xiàn)場(chǎng)設(shè)備層、現(xiàn)場(chǎng)控制層、生產(chǎn)監(jiān)控層)和生產(chǎn)執(zhí)行區(qū)(對(duì)應(yīng)生產(chǎn)管理層);
● 在生產(chǎn)執(zhí)行區(qū)與辦公網(wǎng)絡(luò)之間部署工控網(wǎng)閘,生產(chǎn)控制區(qū)與生產(chǎn)執(zhí)行區(qū)之間部署工業(yè)防火墻(冗余),在主機(jī)和服務(wù)器上部署基于白名單機(jī)制的工控主機(jī)衛(wèi)士,構(gòu)建生產(chǎn)網(wǎng)邊界、地面井下邊界、主機(jī)終端的三重縱深安全防護(hù)體系。
構(gòu)建可信任網(wǎng)絡(luò)環(huán)境
● 在生產(chǎn)控制區(qū)邊界部署工控入侵檢測(cè)系統(tǒng),通過(guò)智能協(xié)議識(shí)別和攻擊特征庫(kù)自動(dòng)形成功能,實(shí)現(xiàn)針對(duì)煤礦工控系統(tǒng)的深度攻擊發(fā)現(xiàn)和高級(jí)威脅檢測(cè);
● 在核心交換機(jī)和兩張環(huán)網(wǎng)的重要節(jié)點(diǎn)交換機(jī)處部署工控安全審計(jì)系統(tǒng),通過(guò)深度協(xié)議包解析技術(shù)和機(jī)器自學(xué)習(xí)技術(shù),形成深度融合煤礦工控系統(tǒng)的業(yè)務(wù)行為基線,構(gòu)建異常行為模型,發(fā)現(xiàn)工控內(nèi)網(wǎng)操作風(fēng)險(xiǎn);
● 通過(guò)上述兩項(xiàng)工作,在煤礦工控網(wǎng)絡(luò)邊界和內(nèi)部對(duì)攻擊行為和操作行為進(jìn)行有效檢測(cè),發(fā)現(xiàn)潛在的異常行為,構(gòu)建煤礦工控系統(tǒng)的可信任網(wǎng)絡(luò)環(huán)境,從事前告警、事中防護(hù)、事后取證三個(gè)維度,保證煤礦工控網(wǎng)絡(luò)環(huán)境的純凈。
實(shí)現(xiàn)全生命周期網(wǎng)絡(luò)安全管理能力
● 煤礦工控系統(tǒng)上線前,對(duì)工控設(shè)備進(jìn)行漏洞檢測(cè)和配置審計(jì),并及時(shí)采取補(bǔ)丁升級(jí)等安全補(bǔ)償措施,降低工控系統(tǒng)的脆弱性;
● 煤礦工控系統(tǒng)運(yùn)行期間,在部署安全設(shè)備進(jìn)行防護(hù)的同時(shí),需做好運(yùn)維管理工作。對(duì)于有遠(yuǎn)程第三方運(yùn)維需求的煤礦,在生產(chǎn)執(zhí)行區(qū)部署VPN設(shè)備和堡壘機(jī),對(duì)遠(yuǎn)程接入煤礦工控系統(tǒng)的設(shè)備進(jìn)行認(rèn)證,并對(duì)數(shù)據(jù)庫(kù)和操作系統(tǒng)的賬號(hào)進(jìn)行統(tǒng)一管理。
煤礦行業(yè)兩化融合和數(shù)字礦山建設(shè)催生了大量的工控網(wǎng)絡(luò)安全需求。金瀚信息依托自身的研發(fā)能力和多年的行業(yè)積累,為煤礦客戶構(gòu)建外部威脅可控、內(nèi)部風(fēng)險(xiǎn)可知的縱深安全防御體系,切實(shí)提高煤礦關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全防御能力。(資料以最新更新為準(zhǔn))