智能化煤矿工业控制系统网络安全分析及防护实践_闫光杰.pdf

1、SOFTWARE软 件2023第 44 卷 第 1 期2023 年Vol.44,No.1作者简介：闫光杰（1975）,男,河北临漳人,本科,高级工程师,研究方向：计算机网络、网络信息安全、智能协作。智能化煤矿工业控制系统网络安全分析及防护实践闫光杰（冀中能源集团有限责任公司，河北邢台 054000）摘要：随着煤矿智能化建设工作推进,原来“封闭”的工业控制系统打破壁垒迈向融合,工业控制系统与管理系统协作、工业系统之间集成联动、工业数据外联,延伸了工控系统网络接入范围,增加了工控系统来自外联网、互联网的安全威胁,针对安全问题及新需求,在煤矿智能化建设过程中,同步开展工控系统网络安全建设,基于“等级

2、保护 2.0”要求,提出了智能煤矿工控网络安全防护体系框架,建立了以计算环境安全为基础,以区域边界安全、通信网络安全为保障,以安全管理中心为核心的信息安全整体保障体系,确保了煤矿工业控制系统的安全,为煤矿开展工控系统网络安全防护工作提供经验和借鉴。关键词：工控系统；网络安全；工控安全；等级保护中图分类号：TP393 文献标识码：A DOI：10.3969/j.issn.1003-6970.2023.01.039本文著录格式：闫光杰.智能化煤矿工业控制系统网络安全分析及防护实践J.软件,2023,44(01):144-146Network Security Analysis and Protec

3、tion Practice of Intelligent Coal Mine Industrial Control SystemYAN Guangjie(Jizhong Energy Group Co.,Ltd.,Xingtai Hebei 054000)【Abstract】：With the advancement of the intelligent construction of coal mines,the original Closed industrial control system breaks the barriers and moves towards integratio

4、n.The industrial control system cooperates with the management system,integrates linkage between industrial systems,and industrial data outreach,extending the industrial control system network.The scope of access increases the security threats of the industrial control system from the extranet and t

5、he Internet.In response to security issues and new demands,in the process of intelligent construction of coal mines,the network security construction of the industrial control system is simultaneously carried out.Based on the requirements of Level Protection 2.0,the intelligent coal mine industrial

6、control network security protection system framework has established an overall information security security system based on computing environment security,with regional border security and communication network security as the guarantee,and the security management center as the core,ensuring the s

7、afety of the coal mine industrial control system and provide experience and reference for coal mines to carry out industrial control system network security protection work.【Key words】：industrial control system;network security;industrial control security;level protection设计研究与应用0 引言在疫情防控期间,企业数字化转型、两

8、化深度融合全面提速,企业网络安全环境日益严峻。针对工控系统进行攻击的技术和手段层出不穷,数据泄露的规模、攻击的破坏效果都呈现扩大趋势；攻击方式多样,从搭载恶意软件的钓鱼邮件到 DDoS 攻击等不一而足,从SolarWinds 攻击到 Apache Log4j 漏洞,攻击者在寻找渗透企业网络的新方法方面变得极具创新性,针对工控系统的攻击呈现出影响范围广、攻击水平高、攻击规模逐年上升的趋势。1 煤矿工控系统网络安全风险分析2021 年 5 月,河北省下发了关于进一步明确全省煤矿智能化建设任务有关事项的通知（冀发改能源2021682 号）,冀中能源东庞矿、梧桐庄矿等 4 处煤矿为河北省首批推进的智能

9、化建设示范煤矿,本文以冀中能源集团 XX 矿为例进行分析研究。1.1 煤矿工业控制网络及系统应用情况煤矿的开采、运输需要多个工业控制系统的支撑,145闫光杰：智能化煤矿工业控制系统网络安全分析及防护实践XX 矿已经在线使用的工业控制系统主要包括：综采工作面自动化系统、综合调度指挥系统、井下主运皮带集控系统、安全监测监控、人员定位系统、主副井提升系统、原煤线集控系统等 20 余套。网络系统作为智能化矿山的基础,为数据传输提供链路基础。目前,XX 矿建有地面工业环风 1 套、井下工业环网 3 套,由于业务监管要求及上线历史背景的原因,人员定位系统和安全监测监控系统分别使用专用工业环网,第三套环网由

10、于覆盖区域局限、网络带宽和接口容量不足,以及部分工业上线投入时间过早等因素,目前仅接入井下应急广播、视频监控及排水监控等 7 套系统,其他工业系统仍游离在环网之外,采用总线等其他方式进行联网,多数工业控制系统仍不能互通,数据信息整合、企业资源共享、系统之间联动无法实现。1.2 煤矿工控系统网络安全风险分析随着“两化融合”的持续推进和煤矿智能化建设工作的快速开展,工控网络边界外延进一步扩大,工控系统之间、工控系统与管理系统数据交互成为必需,而工控系统在网络安全建设明显滞后,同时工控网络安全涉及到工业控制流程、生产设备等多学科和专业知识,网络安全形式严峻。煤矿工控系统网络安全风险主要涉及 4 个方

11、面：（1）工控系统建设松散,网络安全缺乏整体规划,没有形成统一的安全防护能力,主要表现为：由于各工业控制系统建设时间及背景不同,系统部署分散,基础环境参差不齐,安全等级及潜在风险各不相同,存在网络安全建设割裂、脆弱面无法控制、资产无法集中管理、设备安全状态无法全网感知、安全联动困难等问题,缺乏统一高效的安全运营平台,分散式的管理、“救火”式的运维,造成整体安全运维效率低下,安全防护能力有限。（2）工业控制系统自身安全问题,主要表现在：国内工业控制系统相关技术、标准、管理体系不成熟1,现有信息安全产品无法直接应用在工业系统中,使得安全风险存在于工业控制系统的设计、开发、部署、运维等各环节；工控系

12、统网络的通信协议种类繁多、系统软件难以及时升级、设备使用周期长以及系统补丁兼容性差、发布周期长和过渡依赖等现实问题造成工控系统的补丁管理困难,系统中威胁严重的漏洞难以得到及时处理。（3）新技术、新应用及新要求、新需求带来的安全风险：新技术新应用迭代发展,网络攻击手段不断演进,新技术本身存在的漏洞易被黑客利用,如 APT 组合多种攻击技术、采用最新 0-day 漏洞进行持久性攻击,现有安全防护手段无能为力。“两化”融合的持续推进、煤矿智能化建设及行业数据监管的要求,使得原来“封闭”的工业控制系统打破壁垒迈向融合,工业系统网络中大量采用 TCP/IP 技术,工业系统与管理系统协作、工业数据上云、工

13、业数据外联1,延伸了工控系统网络接入范围,增加了工控系统来自外联网、互联网的安全威胁,仅仅依靠基于工控协议的策略管理与控制已无法满足当下工控系统安全运行的要求。（4）对标信息安全技术-网络安全等级保护基本要求（GB/T 22239-2019）、工业控制系统信息安全防护指南等法律法规,合规合法体系建设差距明显,主要表现在：“重业务轻安全”,网络安全建设与业务系统建设不同步,涉及工业控制系统设计场景与管理控制等工作时,通常优先确保业务的连续性和可用性,而对认证、加密、授权等方面缺乏足够措施；追求业务可用性而忽视安全,安全管理策略和流程制定不完善、执行不到位,因为管理策略或操作的失误,给工控系统埋下

14、安全隐患,如移动设备的使用和不严格的访问权限、未经严格测试验证的升级补丁等。重建设轻运维,工业网络内部署了一些安全设备,但没有遵循权限最小化原则,存在安全策略制定不精准、调整不及时等现象,安全设备没有充分发挥作用。2 网络安全防护实践2.1 安全防护核心思想依据信息安全技术-网络安全等级保护基本要求（GB/T 22239-2019）、工业控制系统信息安全防护指南、智能化示范煤矿验收管理办法（试行）等法律、法规、标准,借签煤矿办公网安全体系建设建设经验,制定工业控制系统网络安全建设方案,提出了“一个中心,三重防护”的防护理念和分类结构,补强被动防御,重点提高主动防御和态势感知能力,构建纵深防御和

15、精细防御体系,有效提升煤矿工业控制系统安全防护水平。XX 矿工业控制网络架构示意图如图 1 所示。2.2 网络安全防护功能实现（1）以安全管理中心作为整个安全的中枢,构建集中管理和安全运维的能力2。1）部署网络管理系统,实现对工业网内网络设备、链路进行统一的管理、监控,故障自诊断、定位、报警,同时通过网络管理系统满足对设备进行日常管理、流量统计、故障分析等。2）部署运维堡垒机,对工业环网内服务器、网络设备、安全设备、数据库等进行集中运维操作,通过集中管控安全策略进行集中账号管理、登录认证、授权管理和操作审计,做到运维工作事前防御、事中控制、事后审计,为事后追溯提供依据。3）部署工控安全态势感知

16、平台,整合所有安全设146软 件第 44 卷 第 1 期SOFTWARE备的安全告警和日志,通过智能关联分析可以获得工控网络全局的安全风险和态势,动态掌控工控网络的安全状态与安全风险,满足工控安全态势感知的需求。4）通过互联网区的 SSL VPN 系统,使用加密会话机制登陆堡垒机,解决工业网络内设备远程运维的问题。（2）以矿井万兆环网为纽带,优化基础网络架构、分区分域,从而收缩网络攻击面。1）完善基础设施,部署井下万兆工业环网,确保基础链路可行,确立分层分域的安全管理思路,划分互联网区、办公网区及工业控制网络区,同时在工业控制网络区内根据安全等级要求设立不同的安全域,确保网络应用架构与数据传输

17、安全可靠。2）制定环网资源利用规划和工业控制系统接入规范,现有工业系统迁移到万兆环网中,并为后续工业系统接入预留资源。（3）以安全区域边界2为依托,以访问控制为基础,通过技术手段来强化纵深防御。1）工业控制网络与办公网络边界采用工控隔离网闸进行物理隔离防护,阻断非法流量,实现物理安全隔离及数据交换摆渡3。2）调度控制中心安全域内部署工控系统服务器、数据库、工程师操作站等,在其前端部署工业防火墙,对工业控制系统之间进行隔离,防止工业系统之间横向的渗透和非授权接入,同时对防火墙上下发的“读写”操作策略进行严格管控,防止通过调度控制中心对工业控制系统进行误操作以及非授权操作造成安全事故。3）工控系统

18、运维区域内部署堡垒机、工业漏洞扫描系统等系统,区域前端部署工业防火墙,防止运维区域发生非法访问和越权访问事件。（4）以安全计算环境为重心,改进业务风险管控,加强计算环境层面的动态防御能力。1）在服务器、工程师操作站等主机上部署工控主机卫士,采用零信任安全理念,通过应用白名单机制,阻止恶意程序或代码执行和加载,从根本上解决传统杀毒软件带来的误杀、漏杀、占用系统资源、需要联网升级病毒库等问题。2）通过工业主机卫士对主机或服务器的各类外设及USB 设备进行安全管理2,防范非授权设备接入,同时通过设置移动存储设备读写及禁止权限,防范外设滥用及数据泄露。3）利用主机卫士集中管理平台,实现工控主机的集中安

19、全策略管理,并汇总审计安全日志,提供便捷、全面的工控主机安全防护能力。4）部署工控系统漏洞管理平台,在安装新软件、启动新服务后进行扫描检测,避免新软件、新服务存在漏洞,同时定期对工控网络进行安全自测评估,尽早发现安全漏洞并进行修补,消除主机安全隐患。3 结论 在智能化煤矿建设过程中,针对工业系统技术特点及煤矿管理自身要求,同步开展网络安全规划建设项目,构建了纵深安全防御体系,提升了煤矿工控系统网络安全管控能力和防护能力,满足了网络安全监管及煤矿智能化管理的要求。（1）煤矿企业工控系统网络安全工作,应结合业务管控要求和新技术的应用,不断改进安全架构、优化技术支撑体系,持续加强网络安全风险管理。（

20、2）工控系统网络安全架构建设时应该聚焦于架构安全,补强被动防御,重点发展积极防御,以有效提高企业工控系统网络安全的防护能力。（3）工控系统网络安全架构在冀中能源集团内部已形成示范,为煤矿开展工控系统网络安全防护工作提供了经验和借鉴4。参考文献1 陈晓晶,何敏.智慧矿山架构体系及其关键技术J.煤炭科学技术,2018,46(2):208-212+236.2 张伦.西湾露天煤矿智能矿山工控安全建设探索J.工矿自动化,2021(8):100-102.3 闫光杰,田志永.“棱镜门”之鉴:关于加强公司网络信息安全的思考J.计算机安全,2013(10):58-60.4 于新乐.钢铁企业工控系统网络安全风险分析及解决措施J.中国治金,2021(11):39-43.图 1 工业控制系统网络架构示意图Fig.1 Schematic diagram of the network architecture of the industrial control system调度控制中心互联网区办公网络区工业控制网络区井上工业万兆以太环网井下工业万兆以太环网工控系统运维区工业漏扫系统安全管理平台运维堡垒机主机白名单工业防火墙A工业网核心交换机工业网闸A工业防火墙B工业网闸B办公网核心交换机2X10G2X10G2X10G工控系统服务器工控系统数据库工 控系统操作机