項目背景：

近年來，煤(mei)炭行業與工業互聯網(wang)的(de)(de)(de)融合(he)發(fa)展已勢(shi)不可擋，數(shu)(shu)字礦(kuang)山、智(zhi)慧礦(kuang)山是現(xian)階(jie)段礦(kuang)山建(jian)(jian)設(she)(she)的(de)(de)(de)重要(yao)規劃，國家發(fa)改委(wei)、能(neng)源局、應急(ji)部(bu)、工信部(bu)、國家礦(kuang)山安監(jian)(jian)(jian)局等部(bu)門近三(san)年陸續發(fa)出(chu)多個煤(mei)礦(kuang)智(zhi)能(neng)化(hua)建(jian)(jian)設(she)(she)的(de)(de)(de)行業相關政策(ce)。同(tong)(tong)時，內(nei)蒙、山西、陜西也發(fa)布了煤(mei)礦(kuang)智(zhi)能(neng)化(hua)建(jian)(jian)設(she)(she)的(de)(de)(de)地方(fang)政策(ce)要(yao)求(qiu)(qiu)，加(jia)快推進礦(kuang)山的(de)(de)(de)智(zhi)能(neng)化(hua)建(jian)(jian)設(she)(she)，實現(xian)監(jian)(jian)(jian)控、生(sheng)(sheng)產(chan)、維護(hu)(hu)、安全(quan)等多環節少人化(hua)或無(wu)人化(hua)建(jian)(jian)設(she)(she)。按照國家信息安全(quan)等保(bao)防(fang)護(hu)(hu)要(yao)求(qiu)(qiu)，煤(mei)礦(kuang)的(de)(de)(de)礦(kuang)用有線調度通(tong)信系(xi)(xi)統、井下(xia)應急(ji)廣播系(xi)(xi)統、煤(mei)礦(kuang)安全(quan)監(jian)(jian)(jian)控系(xi)(xi)統、煤(mei)礦(kuang)井下(xia)作業人員管理系(xi)(xi)統、煤(mei)礦(kuang)圖像監(jian)(jian)(jian)視系(xi)(xi)統、煤(mei)礦(kuang)產(chan)量監(jian)(jian)(jian)控系(xi)(xi)統等六大系(xi)(xi)統和(he)工作面工業控制系(xi)(xi)統需(xu)滿足等保(bao)三(san)級要(yao)求(qiu)(qiu)。礦(kuang)山的(de)(de)(de)數(shu)(shu)字化(hua)轉型建(jian)(jian)設(she)(she)，需(xu)要(yao)在(zai)實現(xian)數(shu)(shu)字平(ping)臺(tai)的(de)(de)(de)同(tong)(tong)時，確(que)保(bao)煤(mei)礦(kuang)的(de)(de)(de)生(sheng)(sheng)產(chan)網(wang)絡滿足等級保(bao)護(hu)(hu)的(de)(de)(de)相關要(yao)求(qiu)(qiu)，全(quan)方(fang)面為(wei)煤(mei)礦(kuang)的(de)(de)(de)業務系(xi)(xi)統提供立體(ti)、縱深的(de)(de)(de)安全(quan)保(bao)障防(fang)御(yu)體(ti)系(xi)(xi)，為(wei)數(shu)(shu)字化(hua)轉型落地保(bao)駕護(hu)(hu)航(hang)。

參考依據：

《中華人民共和國網絡安全法》


《信息安全技術-網絡安全等級保護基本要求》

（GB/T 22239-2019）


《信息安全技術-關鍵信息基礎設施安全保護要求》

（GB/T39204 2022）


《煤礦智能化建設指南（2022年版）》


《煤炭企業工業控制系統網(wang)絡安全(quan)建設規范(fan)》

客戶需求：

我國煤炭行業信息化發展滯后，缺乏整體信息安全規劃。煤炭開采屬于關鍵信息基礎設施，生產現場防護能力薄弱，運行在礦山控制系統中的數據及操作指令隨時可能遭受來自敵對勢力、商業間諜、網絡犯罪團伙的破壞。IT通用化加劇了系統的安全隱患，IT技術將傳統安全的困擾引入到工業控制系統中，危及控制系統安全。通過分析發現，煤炭行業工業控制系統常見的安全威脅，主要來自以下幾個方面。

縱深防御體系建設需求

01
邊界隔離措施缺失

煤炭企業的生產網和辦公網邊界普遍已具備安全隔離措施，但是生產網絡內部的不同區域之間普遍都是“敞開的”。例如井上、井下生產網絡及數據緩沖區域邊界缺乏有效的隔離，尤其缺乏針對生產控制網絡中OPC、ModBus等工控協議通訊的有效檢測防護。

智慧礦山的智能化控制系統通過工控協議對遠端的PLC進行控制，常規的IT防火墻無法解析工控協議，因此很難保障其安全性。一旦這些控制權被不良意圖黑客所掌握，后果將不堪設想。
02
終端系統問題嚴重

礦山的上位機/操作站主要是Windows和Linux系統。由于擔心影響礦山控制軟件的正常運行，現場很少對操作系統進行安全補丁升級、基線策略加固，也未全面安裝并及時更新防病毒軟件，惡意代碼如何防護成為現場的痛點問題。
03
移動存儲介質濫用

U盤是井上調度中心、服務器區域數據擺渡的重要方式，由于缺乏安全意識，導致病毒木馬借助U盤在礦山的內外網之間傳播，并以感染的終端為跳板擴散至整個生產系統，造成嚴重的安全隱患。
04
安全威脅監測預警能力不足

近年行業內的安全事件顯示，APT攻擊已經成為工控系統安全的最大殺手。如何在礦山生產網中提高有效的監測預警能力，及時發現威脅事件，是礦山安全監測預警體系建設中的迫切需求。
05
人員管理內控措施不足

煤炭企業生產網絡的運維普遍采取外包方式，第三方運維時僅通過礦方簡單授權即可對關鍵工控設備進行操作，缺乏對違規操作、越權訪問等行為的審計措施。
06
事件關聯分析能力不足

目前礦山基于策略的被動防護，即便出現了異常事件，亦被湮沒在海量的告警當中，或者多臺設備發現了入侵事件的跡象，但是缺乏橫向關聯和深度挖掘能力，導致安全事件在初始階段無法被及時處理。礦山的安全建設，亟需提高安全事件的關聯分析能力，實現網絡態勢的預判預警，為管理者決策提供強有力的數據支撐。

網絡安全集中管控需求

煤炭集團的網絡及安全設備普遍由多廠商設備組成，部署位置分散，日常運維管理很難做到及時、快捷，因此需要加強網絡安全集中管控建設，對網絡中不同地理位置、不同廠商、不同類型的安全設備進行集中式監管。

工控網絡安全態勢感知需求

國家及行業要求構建關鍵信息基礎設施安全保障體系，實現對工控網絡的可視化管理，對網絡漏洞情況、安全事件、網絡威脅等風險監測預警，提供網絡安全態勢展示、關聯分析和應急處置能力。

總體方案設計

建設目標：按照國家及行業要求，結合礦山工業控制系統網絡安全現狀，構建工業網絡安全防護體系，提升礦山系統工控網絡的安全監管水平和防御能力。

01
實時監測

對礦山系統關鍵信息基礎設施的網絡運行狀態，流量及惡意代碼攻擊行為進行全面實時監測。
02
動態感知

基于大數據技術展開動態實時的網絡安全態勢感知，對管轄范圍內的網絡安全態勢進行持續監測和準確感知，實現網絡安全從被動防御到主動預警的突破。
03
集中管控

在礦山關鍵信息基礎設施的安全設備進行集中式管控，制定統一的安全策略，實現全網的統一監控和管理。

設計思路：建立礦山集團的全網安全監測與態勢感知系統，依托大數據、人工智能等技術提高安全態勢感知和監測預警能力，掌握全網安全態勢，事件預判，及時調整安全防護策略，提高關鍵信息基礎設施的安全防御能力。安全體系建設分為兩個部分：


第一部分的工作是基礎安全體系能力建設。包括各節點的安全區域邊界防護、監測預警、主機加固、安全審計、溯源取證和集中管控等基礎性的縱深防御能力建設。


第二部分的工作是安全能力的提高優化，態勢研判，包括綜合審計、風險預報、情報共享。

1)形成融合多種業務的安全監測體系，安全產品策略進一步優化。

2)搭建態勢感知預警平臺，采用大數據技術對基礎數據進行關聯分析，加強工控系統潛在安全威脅的深度挖掘，建立統一高效的網絡安全風險預警能力。



▲ 整體安全防護示意圖


01
安全邊界隔離控制

通過部署工業防火墻、工業網閘產品實現內部數據傳輸的訪問控制、流量過濾，對工控協議的深度解析，運用“白名單+智能學習”技術建立工控網絡安全通信模型，有效防止外部網絡的攻擊及內部區域之間的非法訪問等行為。
02
網絡入侵監測預警

通過部署工控入侵檢測系統，實時監測控制網絡流量，及時發現網絡入侵威脅，為工控網絡提供風險預警功能。
03
主機安全加固防護

主機安全防護采用兩種方式進行加固；

工控主機安全衛士：在操作員站、工程師站及服務器上安裝工控主機安全衛士，實現終端非法程序的執行控制，基線加固和外設管控，禁止便攜硬盤、CD 刻錄機、打印機或其它 USB 設備連接到系統。

USB安全防護系統：通過部署安全防護系統，切斷病毒入侵途徑，解決外部病毒、木馬等威脅源通過USB存儲介質進入工控網絡的風險隱患，提供USB存儲介質全生命周期的安全管控。
04
工業異常監測預警

通過部署工控安全監測與審計系統，實現工控資產識別和漏洞無損發現，基于工業流量的深度分析，行為基線，實現生產網中各種流量行為、工藝操作指令內容的異常檢測，風險告警。
05
統一安全管理中心

通過部署工控安全管理平臺，針對工控網絡中新增的各種安全設備（工業防火墻、工控安全監測與審計系統、主機衛士）進行統一管理、配置、授權和響應；針對原有安全產品進行狀態監測，安全事件管理，把各分支節點的告警數據通過標準化接口對接至工控態勢感知平臺，以可視化的方式呈現關鍵業務資產的安全事件和潛在威脅。


通過部署堡壘機、日志審計系統、數據庫審計系統、漏洞掃描系統等產品，從系統自身脆弱性、人員行為管控審計、溯源取證等方面為安全管理提供數據支撐。
06
工業態勢感知平臺

工控網絡安全態勢感知平臺屬于礦山集團關鍵信息基礎設施安全體系的核心平臺。該平臺在安全設施運行狀態采集、網絡安全威脅信息采集、大數據存儲與分析平臺等的支撐下，可對管轄范圍內的工控網絡安全態勢進行持續監測和準確感知，及時發現重大網絡安全威脅，提供全方位、全天候的網絡安全態勢感知能力。
圖片

客戶價值
圣博潤工(gong)業(ye)(ye)互聯(lian)網(wang)安(an)(an)(an)全(quan)防(fang)(fang)(fang)護(hu)解決方(fang)(fang)(fang)案(an)(an)提供礦山從集(ji)團(tuan)到分(fen)支的(de)整體安(an)(an)(an)全(quan)規劃建設(she)，構(gou)建以工(gong)業(ye)(ye)互聯(lian)網(wang)安(an)(an)(an)全(quan)為核(he)心的(de)“精準化(hua)(hua)防(fang)(fang)(fang)控、數字化(hua)(hua)協同、產業(ye)(ye)化(hua)(hua)發(fa)展” 場景(jing)化(hua)(hua)安(an)(an)(an)全(quan)解決方(fang)(fang)(fang)案(an)(an)，針對(dui)礦山關(guan)鍵(jian)信(xin)(xin)息(xi)基礎設(she)施(shi)(shi)的(de)潛在漏洞和后門(men)攻擊風(feng)險，構(gou)建安(an)(an)(an)全(quan)防(fang)(fang)(fang)護(hu)、監測預警、溯源管(guan)控相(xiang)結合的(de) “全(quan)場景(jing)、可(ke)信(xin)(xin)任、實戰化(hua)(hua)”的(de)關(guan)鍵(jian)信(xin)(xin)息(xi)基礎設(she)施(shi)(shi)安(an)(an)(an)全(quan)防(fang)(fang)(fang)護(hu)體系，最終實現關(guan)鍵(jian)信(xin)(xin)息(xi)基礎設(she)施(shi)(shi)“全(quan)面(mian)防(fang)(fang)(fang)護(hu)，智能分(fen)析，自(zi)動響應”的(de)防(fang)(fang)(fang)護(hu)效果(guo)，此方(fang)(fang)(fang)案(an)(an)滿足國家(jia)及行業(ye)(ye)監管(guan)要(yao)求，可(ke)為相(xiang)關(guan)企業(ye)(ye)數字化(hua)(hua)轉型保駕護(hu)航(hang)！