煤炭行业工业网络安全建设方案
行业现状
随着信息技术、网络技术、自动化技术、视频技术、传感器技术等一系列先进技术的快速发展和融合,煤矿企业信息网络建设也取得了丰硕成果。目前国内大、中型煤矿企业基本上都已经构建和装备了企业互联网、工业以太网、监测监控、人员定位、工业控制等信息系统,这些信息系统已经深入到煤矿安全生产的各个方面,而且许多工业系统自动化程度非常高,例如提升系统、选煤系统等已经实现了无人操作,远程开停、故障闭锁等,操作人员只需要对运行的参数进行观测和记录,大大提高了人员工作效率、增强了企业的核心竞争力。
伴随着煤矿企业从传统的密集型、重体力生产模式向“采掘机械化、生产自动化、管理信息化”模式转变,有力提升煤矿行业管理效率,加速煤矿企业转型升级的同时,煤矿企业在工业网络中隐藏的安全风险也逐渐浮现。因此为保障企业的安全生产,将网络风险降至最低,做好煤矿行业工业网络安全就显得尤为重要。
安全隐患
目前国内煤矿企业的网络建设普遍采用以太网的环冗余技术。通过调度中心与两个环网进行数据联通。对现今大部分煤炭企业的工控系统网络设计情况进行分析,发现其中存在许多问题:
遵循标准
政策性文件:
•《国务院关于大力推进信息化发展和切实保障网络安全的若干意见》(国发【2012】23号)
•《关于加强工业控制系统网络安全管理的通知》(工信部【2011】451号)
•《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号)
•《信息化和工业化融合发展规划(2016-2020年)》
•《工业控制系统信息安全防护指南》
•《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)
•《2016新版煤矿安全规程》
标准规范类:
•GB/T51272-2018 《煤炭工业智能化矿井设计标准》
•GB/T30976.1-2014 《工业控制系统网络安全第1部分:评估规范》
•GB/T30976.2-2014 《工业控制系统网络安全第2部分:验收规范》
•GB/T32919-2016 《信息安全技术 工业控制系统安全应用指南》
•GB/T33007-2016 《工业通信网络 网络和系统安全 建立工业自动化和控制系统安全程序》
GB/T 25070-2019 《信息安全技术 网络安全等级保护安全设计技术要求》
GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》
解决方案
•物理隔离生产网与外部网络(办公网与互联网),避免外部网络将病毒传入生产网。
•逻辑隔离工业电视系统、安全监测系统、调度中心、机房与井上井下环网,划分生产网的内部网络区域,避免病毒的大范围连续感染,可将病毒攻击控制在单个系统区域之内。
•逻辑隔离调度中心与井上井下的关键重要的厂房、工艺段的网络,更细致划分网络安全域,进一步将病毒感染范围缩小,降低损失。
•对核心交换机的镜像流量进行审计监测,洞悉调度中心与环网之间的数据传输与流量变化,实时记录网络安全事件,并记录日志便于事后追溯。
•通过白名单技术对工控机与服务器进行安全防护,摆脱杀毒软件更新病毒库与误杀误报的弊端,合理根治工控机或者服务器感染病毒而出现频繁蓝屏死机的问题。
•通过工业安全运维审计系统,实现远程管理或者第三方运维的单点登录,从而进行身份认证与权限管理,并对操作过程进行记录。实现安全管理以及事后根据日志追溯的目的,从而使整个管理或者运维过程安全透明。
•在核心交换机部署工业安全管理平台,可以统一管理配置各处安全产品。统一下发安全策略以及更新系统。减少繁琐工作量的同时,能够将各个网络区域的安全态势联动,更清晰看清整个网络中的安全状态。