护航煤矿工控网络安全,国基华电在行动
一、背景
煤矿工控网络安全是煤矿生产过程中不可忽视的重要环节。随着物联网、大数据、云计算、5G等新一代信息技术的快速发展,工控网络在煤矿生产中的应用越来越广泛,但同时也带来了新的安全隐患。为了保障煤矿生产的正常进行,确保工作人员的生命安全和财产安全,本方案旨在提供一套完善的煤矿工控网络安全防护方案,确保煤矿工控网络的安全可靠。
二、工控网络安全的风险分析
目前煤矿生产系统逐步实现数字化矿山的改造和建设,但是工控网络安全建设依旧没有跟上信息化建设的步伐。现场工业网络目前可以实现正常的通讯,满足基本生产运行,但工控安全防护能力薄弱,一旦出现网络安全问题,会严重影响生产。煤矿工控网络存在风险如下:
三、方案设计
1、设计思路
针对煤矿工控系统安全现状,国基华电提出如下设计思路:
Ø 网络专用 建设信息安全系统时,应独立组网,与工业控制系统网络分离,实现专网专用。 | Ø 安全分区 根据工业控制系统业务的重要性、功能等因素划分不同安全区,在各安全区之间采取相应的隔离措施; |
Ø “白名单”基线 应从工控系统设备准入、通讯链路、主机进程等方面构建白名单安全基线。 | Ø 纵深防御体系 应构建多方面、多层次、多手段的技术安全防护体系。 |
Ø 综合审计 建立多方面综合立体审计体系,包括设备接入审计、网络审计、操作审计、数据库审计及安全运维审计等。 | |
2、安全架构设计
3、技术防护方案
(1)架构设计
新建DMZ安全管理区,作为生产控制网统一对外提供数据的出口,将对外发布数据的服务器从地面调度中心区迁移到DMZ区再由数据上传服务器上传;同时针对如人员定位系统、安全监测系统、压风系统、矿压监测系统、工业电视等系统无数据缓冲服务器的生产综合监控系统,部署在数据中心。
(2)边界防护设计
在互联网边界、集团内网专线本地边界、办公网与生产网边界处,地面生产业务区边界、安全监控专网边界、井下生产业务区边界以及工业无线的网络边界部署边界防火墙,双机热备,设置严格的访问控制策略实现区域边界隔离,杜绝非法访问,隔离网络攻击和病毒的跨区域的串扰,保护生产工业环网的安全运行。
在生产管理层与生产控制层之间部署工业网闸,双机热备,对工业协议报文拆包、安全过滤、单向传输、协议重组等,实现两网之间的大边界安全防护。
(3)威胁检测设计
在生产控制网核心以及DMZ区旁路部署工业入侵检测(IDS),对煤矿生产综合监控系统网络中存在的异常威胁、漏洞利用行为、恶意攻击进行实时检测。
在信息管理大区旁路部署综合漏扫,通过扫描评估发现目标网站是否存在漏洞,进而促进漏洞修补工作,这是从根本上解决安全问题。
在生产管理区核心交换机部署APT高级威胁检测,可以针对异常流量精准过滤,防止0day攻击,提高业务的可用性,减少APT攻击带来的业务和名誉损失。
(4)综合审计设计
在地面调度中心区旁路部署工控安全审计设备,对流经生产综合监控系统的网络流量进行审计。实现工控资产识别和漏洞无损发现,并进行深度解析,对违规操作、误操作以及关键操作(如下载、上传、组态变更以及CPU启停)等进行监测,实时了解生产网络的安全状态,为事后追溯、定位提供证据。
在DMZ区旁路部署数据库审计设备,建立数据库操作的风险特征与审计行为的映射规则,对SIMATIC-IT-Historian、PHD、HiRIS、KingRDB、pSpace等工业实时数据库以及Oracle、MySQL、SQLServer等关系数据库进行审计。
在安全管理中心部署日志审计中心,对生产网中所有资产的日志包含网络设备、服务、控制系统、安全设备等的日志,对日志进行关联分析,根据模型建立对异常日志及流量进行告警。
(5)终端安全防护设计
在生产网各工控系统中的操作员站、工程师站以及服务器等工业主机上安装部署主机加固软件。实现终端安全加固、进程白名单管控和USB移动介质管控;有效抵御未知病毒、木马、恶意程序、非法人侵等针对终端的攻击,实现工业主机安全防护与加固,增强未知威胁防范能力。
在安全管理区部署终端安全服务系统,在DMZ区、地面调度中心区中的非工业主机,如人员定位、安全监测、广播、工业电视等,部署杀毒软件客户端,实现对非工业主机的防护。
在安全管理区核心交换机旁路部署网络准入控制系统,实现对非法设备的接人管理与非法外联,解决对生产控制系统在日常运营和维护中私自接人网络设备(如笔记本、手机、网络打印机等)问题,从而解决因外接终端设备引起的网络安全问题,避免安全事件,消除安全隐患。
(6)安全运维设计
在安全管理区部署运维堡垒机,设置ACL访问策略,保障运维数据流经过堡垒机到达运维资源。对运维过程进行录屏、键盘记录,并进行审计,保障远程运维安全。
(7)安全管理中心设计
在生产管理区部署安全管理平台,实现对工业防火墙、工控安全监测审计管理系统等安全产品以及交换机统一管理与监控,包括数据监测、日志收集、关联分析以及报警展示,通过使用安全管理平台大大降低运维管理的工作难度和工作量,提升煤炭企业安全防护整体水平。
(8)态势感知设计
在安全管理区部署厂级工业态势感知平台(注:预留接口,与上级单位态势感知联动),对部署的安全、网络以及关键业务系统进行操作日志、运行日志以及告警日志集中采集、泛化、关联分析,并从整体视角进行实时感知、事件分析、研判等,提升煤矿整体安全防护预警水平。
(9)安全管理设计
建立信息安全方针、安全策略、安全管理制度、安全技术规范流程的一套信息安全管理制度体系。
同时定期组织网络安全培训,提高员工的安全意识,教育员工遵守安全规范和操作流程;建立安全报告机制:鼓励员工发现安全问题主动上报,并及时奖励和解决问题;组建专门的应急响应团队,负责处理网络安全事件,迅速应对和恢复;制定详细的应急预案,明确安全事件的处理流程和责任分工,确保能够迅速有效地应对安全事件;
四、方案价值
五、结语
煤矿网络安全整体防护体系建设是“以安全生产为业务核心,将企业管理与工程技术相结合,全方位解决煤矿安全生产问题”,“以数矿中心为技术核心,结合丰富的信息展现、传输手段,随时随地掌控全矿安全生产情况”,全面实现生产自动化、管理信息化、办公网络化、矿山数字化、分析智能化,将煤矿打造成一流的“五化融合”智慧矿山。
国基华电将持续深耕行业需求,提供符合客户需求的解决方案,构建关键信息基础设施的安全防护体系,为智慧矿山数字化转型保驾护航!