工控安全建设为煤矿智能化安全生产护航

一、项目背景

随着物联网、移动互联网、大数据技术的发展，煤炭工业“两化”融合将向系统高度集成、综合应用、自动控制等方面延伸，基于信息技术涵盖到生产、安全与经营各个层面，以信息化带动工业化、以工业化促进信息化，走新型工业化道路，形成针对煤矿安全、生产、管理、营销等方面的决策支持系统，以大数据平台承担推升煤矿管理效能的作用，逐步实现软硬件资源的高可用性，最终使矿井达到高度信息化、自动化、高安全、高可靠、高效率及高效益的目的，实现以信息技术为核心的“数字矿山”。

某煤矿隶属于河南能源化工集团有限公司，煤矿东西走向4.5公里，南北跨度2.8公里，可采储量15204.4万吨。所生产的优质长焰煤，具有低硫、高挥发、不粘结等特点，是良好的工业和化工用煤。生产系统主要使用西门子S7系列PLC等自动化设备，工控主机安装WindowsXP、Windows 7 32/64位、WindowsServer 2008 R2 X64等多种操作系统。

煤矿智能化建设的快速发展提高了生产效率，然而信息安全发展的速度却远远落后于信息化建设速度。煤矿的工控安全防护措施存在短板，一旦出现问题很可能会影响生产，如何进行煤矿工控网络安全建设迫在眉睫。

二、客户需求

为了加快煤矿智能化建设，提高煤矿安全生产水平，推动煤矿智能化建设进入新常态、取得新进展，河南省工业和信息化厅下发了《河南省煤矿智能化建设评估办法和河南省煤矿智能化建设标准的通知》（以下简称：《煤矿智能化建设标准》），对煤矿智能化建设提出了指导性的建议。其中文件的《工业控制安全》部分，从安全软件、配置和补丁管理、边界安全防护、身份认证、远程访问安全、安全监测和应急、资产安全、数据安全、供应链管理、管理制度等方面提出了关于工业控制系统信息安全防护要求。例如安全软件要求提出了在工业主机上采用应用程序白名单软件；边界安全防护要求通过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行防护，通过工业防火墙、网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护；在工业控制网络部署网络安全监测设备、重要的工业控制设备前端要部署具备工业协议深度包检测功能的防护设备等。

图1 煤矿智能化建设标准中工控安全要求截图（部分）

根据国家标准要求，结合该煤矿实际情况，经过调研分析，煤矿生产网络工业控制系统当前存在的风险及需求如下：

1、工控主机身份认证方式单一，仅通过口令+密码的方式，工控主机也未部署对已知和未知病毒的防护措施，工控主机环境存在被非法人员攻击，病毒木马感染等风险； 需要对工控主机进行主机加固，防病毒、双因子认证等建设。

2、生产网与办公网之间有数据传输，内外网络的互联互通就可能让生产网受到来自办公网络的病毒传播和网络攻击，出现导致影响煤矿安全生产的风险；需要将生产网和办公网进行安全隔离。

3、在目前的生产网络中，如果出现恶意攻击、网络异常等情况，管理人员无法及时知道，也不能对攻击源IP、攻击类型、攻击目标、攻击时间等进行审计记录，存在网络异常通信而生产管理不知道，最终导致安全生产事故的风险。需要进行安全监测预警体系建设。

4、缺乏符合智能化煤矿配套的工控安全管理制度，未明确建立安全管理机构、人员安全管理、系统安全运维等方面的管理制度，制度不完善将导致安全方案无法有效实施；需要进行工控安全制度建设。

5、要满足《中华人民共和国网络安全法》、GB/T22239-2019《信息安全技术 网络安全等级保护基本要求》、《煤矿智能化建设标准》等政策标准的技术要求。

三、工控安全建设方案

图2 工控安全建设网络拓扑示意图

根据该煤矿工业控制系统的现状，同时结合网络安全等级保护2.0和《煤矿智能化建设标准》中“工业控制安全建设标准”的技术要求，基于工控系统运行环境相对稳定，系统更新频率较低的特点，为客户提供基于“白名单”机制的工业控制系统网络安全纵深防御体系解决方案，确保只有可信任的设备，才能接入工控网络；只有可信任的消息，才能在工控网络 上传输；只有可信任的软件，才允许被执行。

具体建设方案如下：

1、重点解决生产网与办公网边界隔离问题，规避利用办公网为跳板进入生产系统

在生产网和办公网边界部署工控安全隔离与信息交换系统，实现生产网络跟其他网络物理隔离，建立安全访问策略，例如视频类只允许海康威视的工业生产视频可以通过网闸，保护生产网络避免受到外部的安全威胁，又不影响生产数据的交互。

图3 工控安全隔离与信息交换系统——应用效果

图4 工控安全隔离与信息交换系统——视频策略配置

2、井上、井下核心生产系统内部边界上的安全防护，强化关键生产系统的边界防护

煤矿的生产网络主要为井上生产系统和井下生产系统两部分，组网方式为工业环网，环网中包含多个生产子系统，生产数据通过环网汇聚到核心交换机，传输到调度中心和生产管理系统中，为了保护生产安全，对网络边界进行访问控制和恶意代码防范，在工业环网的边界部署工业防火墙，通过对工控协议深度包解析技术不仅对链路层、网络层协议进行解析，更进一步对OPC、Modbus TCP、SiemensS7等工控协议进行深度分析，配置工业网络边界“白环境”防护策略；

图5 工业防火墙白名单——OPC配置

图6 工业防火墙白名单——S7协议配置

在出现安全风险时，可以提供安全事件详细分析日志，包含工业协议的深度内容检查信息，为管理人员判断决策提供依据；

图7 工业防火墙——安全防护效果

工业防火墙内置的包含工业安全事件的入侵规则特征库，提供实时地终止入侵行为功能，保护工控系统免受侵害。

图8 工业防火墙——内置工业防护特征库效果

3、建立通信安全基线，网络通信异常早知道

井上和井下工业环网的数据通过核心交换机传输到生产服务器，生产调度中心的控制指令也通过核心交换机下发到生产一线。为了及时了解生产网络的运行情况，本次项目建设在核心交换机旁路部署工控安全监测与审计系统，基于对工业控制协议Modbus TCP、 OPC、SiemensS7等通信报文进行深度解析，实时检测针对工业协议的网络攻击、用户误操作、用户违规操作等风险，实现对工业控制网络的安全风险监测分析、重要操作审计记录；

图9 工控安全监测与审计系统白名单——S7协议配置

图10 工控安全监测与审计系统白名单——违反规约告警效果

配置异常流量检测规则，对工业网络中的异常报文、Flood攻击等进行实时监控，及时发现预警。

图11 工控安全监测与审计系统——异常流量检测配置

4、主机计算环境病毒及漏洞防护、系统安全加固，降低运维管理的难度

生产系统工业主机采用Windows操作系统，存在很多固有漏洞，无病毒防护能力，为解决传统防病毒软件的“黑名单”无法在工业环境实现安全防护的问题，本次项目在工业控制系统工程师站、操作员站部署工控主机卫士，采用与其相反的轻量级“白名单”机制，通过设置文件白名单、外设管控、漏洞防护和安全基线等策略，可以有效阻止包括震网病毒、BlackEnergy、勒索病毒、挖矿病毒等在内的恶意程序或代码在工控主机上的感染、执行和扩散，建立工控主机的业务安全运行最小化环境；

图12 工控主机卫士——应用程序白名单管理

图13 工控主机卫士——应用程序白名单效果

同时对于生产业务需要使用的外部设备，如U盘等，必须经过杀毒检测后才能使用，工控主机卫士验证杀毒标志，无杀毒标志可禁止读写；

图14 工控主机卫士——验证U盘杀毒标志效果

而对于流行病毒利用的常见漏洞，提供一键防护配置，包括震网病毒利用漏洞MS08-067（CVE-2008-4250）、永恒之蓝利用漏洞MS17-010（CVE-2017-0143）、永恒之黑利用漏洞CVE-2020-0796的防护；

图15 工控主机卫士——漏洞防护配置

图16 工控主机卫士——漏洞防护效果

还针对工业生产使用人员运维能力不足，无法及时了解工业主机是否存在安全隐患的情况，在工控主机卫士中提供一键检测功能，可检测操作系统安全基线、服务、程序、进程、用户列表等信息，并可导出报表。

图17 工控主机卫士——一键检测实施效果

5、构建安全管理+日志中心，实现网络安全可视化

通过本次项目建立工业安全运营中心，在生产调度中心区部署统一安全管理平台、安全运维管理系统和日志审计与分析系统，对工业网络访问权限精细管理、重要操作审计留存，同时进行安全事件、系统日志等安全数据的采集范化，智能的事件关联分析，极大提高了该煤矿工业环境的安全运维效率。

图18 日志审计与分析系统——范化配置

图19 日志审计与分析系统——日志分析效果

图20 日志审计与分析系统——告警信息展示效果

图21 统一安全管理平台——工控主机安全事件分析效果

图22 统一安全管理平台——工业资产脆弱性态势分析效果

6、完善工控安全制度，辅助技术措施有效落地

配合客户完善工业控制系统相关管理制度建设，建立工业控制系统信息安全管理和协调机制，保障安全建设稳定运行。

图23 完善安全管理制度效果

四、价值体现

• 此次项目中通过对该煤矿工业网络资产梳理和环境分析，发现煤矿工业生产环境中面临的安全风险，有针对性的建立“白名单”为核心的纵深安全防护体系，实现了生产网络边界访问安全可控，生产网络中的流量异常及时排查处理，使病毒木马无法在生产网内恶意破坏传播，让管理维护人员对生产网络内的安全状态一目了然，减轻了运维的负担，提高了工作效率，通过建设保护生产安全稳定运行。

• 在建设安全技术体系的同时进行安全管理制度建设，把技术措施和管理措施结合起来，依靠安全管理制度促进安全技术手段的正确落实，通过标准化的安全管理制度提高人员的安全意识，养成正确的安全操作习惯。同时也满足了网络安全等级保护标准及《煤矿智能化建设标准》中的网络安全防护要求。