智能化露天煤矿工控安全解决方案案例分析
- 关键词:煤矿,互联网安全,5G
- 摘要:面对当下工业互联网、智能5G煤矿等新兴业务模式的转型升级,煤矿企业网络安全防护能力也要不断提升!
近年来某能源集团深入贯彻落实 “四个革命、一个合作”能源安全新战略,坚持新发展理念,加快新一代信息技术与煤炭产业深度融合,推进集团煤炭产业高端化、智能化、绿色化转型升级,实现煤炭开采利用方式的变革,提升煤矿智能化和安全水平,促进煤炭行业高质量发展。其下属的某露天矿是全国单坑生产能力最大的露天煤矿之一,也是蒙东地区重要煤炭生产基地,生产现场属于极寒型复杂气候环境(零下40摄氏度以下)。作为集团的重要组成部分,其安全生产与经济发展、社会稳定紧紧联系在一起。
需求分析
在煤矿数字化、网络化、智能化发展的同时,网络安全隐患和风险陡然加剧,众多信息系统从彼此孤立向数据互通、系统互联的全联通方向发展,给煤矿智能化带来的新安全挑战与风险。
(一)标准合规性需求
露天煤矿要加快完成工控安全防护体系的建设工作,使之符合《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术信息系统密码应用基本要求》(GB/T 39786-2021)、《工业控制系统信息安全防护指南》及露天煤矿智能化工控安全相关要求。
(二)业务安全性需求
从该露天煤矿工控网络与架构、工控系统现场控制与过程监控层及工控协议安全三个层面进行需求分析。
工控网络与架构:此露天煤矿的自动化系统种类较多,且煤矿工业控制网、调度网、视频监控网、DMZ区等,形成互联互通、多网互联的关系。通过现场勘查,隔离措施和隔离强度有待提高,否则容易引发各网络跨网交换非授权访问风险以及子域间病毒横向传播风险。工控系统现场控制与过程监控层:本露天煤矿工控系统服务器身份鉴别措施需要加强,远程维护管理和有效审计运维操作能力有待提升,其中需完善重要数据库有效的安全审计措施;矿内的设备(包括网络设备、服务器等)类型众多,产生的大量分散的安全日志信息,急需有效的技术措施对分散、海量的日志进行统一采集、关联分析及态势分析。
工控协议安全需求:当前在煤矿工控网络中,各类安全威胁不断涌入控制系统,煤矿企业内部需完善对工业流量监测审计的手段,针对工控系统协议层面存在的恶意攻击、异常流量进行审计,并对工控指令攻击和控制参数篡改进行实时监测和告警,避免网络入侵轻易成功,导致安全生产事故的发生。
(三)新技术安全需求
移动互联网、物联网接入等新技术大量应用在露天煤矿,新技术的应用对智能化煤矿提出新的安全要求。该露天煤矿已完成矿区4G专网、5G SA独立组网、极寒气候五车编组连续运行、全天候不间断作业、车内无安全员作业等建设环节。
(四)工程快速交付需求
用户对于项目快速交付有着强烈的需求,而此露天煤矿位于内蒙古呼伦贝尔草原中部,每年矿区都会出现零下四五十摄氏度的极寒天气,限制着矿区的生产作业,对于本次工控安全实施交付也是一大挑战。
工控安全防护解决方案
安盟信息克服极寒型复杂环境,通过实地调研总结智能化露天矿网络安全现状,对工控网络与架构、现场控制与过程监控层、工控协议安全、4G/5G专网防护进行安全防护设计,结合公司工程交付服务能力,构建稳定、可靠、先进、高效的工控网络安全防护体系,为智能化露天煤矿安全生产提供保障。
某露天矿工控安全防护拓扑示意图
(一)工控网络及架构安全设计
针对智能化露天煤矿的网络架构特点及相关标准规范要求,进行分层、分区、划域,各层次、区域之间采用合理的安全防护措施。
(二)现场控制层及过程监控层安全设计
部署工业安全隔离装置实现过程监控层与煤矿信息化层的高安全隔离和可控数据交换。
过程监控层安全管理中心部署堡垒机,监控和记录第三方运维人员对工控网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便发现异常及时报警、及时处理及审计定责。
过程监控层调度中心旁路部署数据库审计系统,对数据库访问行为、数据库流量与状态监控,帮助管理员深入了解数据库系统的应用与访问情况,保障数据库的正常运行和核心数据资产的安全。
过程监控层安全管理中心旁路部署日志审计对各类设备、服务器、终端主机等的日志进行统一收集与存储,满足网络安全法相关要求。
过程监控层安全管理中心建设安全态势感知,露天煤矿企业的网络态势进行分析、预警及准入控制,并对异常报警行为形成工单分配给人工进行干预处理,同时与相应防护设备进行协同防御。
(三)4G/5G专网防护设计
在4G专网边界、5G专网边界部署防火墙,实现对边界进行细颗粒度(基于源、目的IP、源、目的端口、应用、服务等)的访问控制,同时开启入侵防御功能,基于模式匹配、异常检测、统计分析等入侵检测和协议分析技术,阻挡各种入侵攻击。
(四)工控协议安全设计
生产网核心交换机旁路部署工业应用审计系统对工控网络中的流量通信、操作行为等进行审计及预警;
生产网核心交换机旁路部署入侵检测系统实时监测工控网络异常流量,对异常的、入侵行为的数据进行检测和告警。
(五)工程交付服务保障
安盟信息工程服务团队交付过多个煤炭行业项目,具备丰富的同类项目实施经验。在项目交付阶段,迅速成立工程项目组。在极寒型复杂环境的露天矿现场建立以工程项目组为核心的服务机构,依托公司高效高质的安全服务体系,保证高质量、短工期完成本项目的交付,满足用户对于项目快速交付的需求。
后续安盟信息将持续为用户提供高质高效的售后服务,确保系统稳定运行,协助用户构建露天煤矿工控安全运营体系。
方案价值
满足标准合规性要求
符合《信息安全技术网络安全等级保护基本要求》 (GBT22239-2019)、《信息安全技术信息系统密码应用基本要求》(GB/T 39786-2021)、《工业控制系统信息安全防护指南》及露天煤矿工控安全相关政策、标准及监管要求。
构建露天煤矿体系化安全
通过强化露天煤矿区域内网络、服务器运维及数据的安全防护,大大增强了现场控制层、过程监控层的整体安全防护能力,确保露天煤矿安全生产可持续运营,构建以贴合露天煤矿生产业务的纵深防护安全体系。
提升露天煤矿生产安全性
解决方案深度融合露天煤矿工控系统,降低露天煤矿企业的安全运营风险,提高安全运维效率,为露天煤矿智能化、智慧化建设提供可靠的安全保障。
促进露天煤矿智能化发展
通过建设露天煤矿工控安全防护体系,可解决露天煤矿智能化建设过程中带来的信息安全风险,保障露天煤矿工控系统、智能化系统安全及设备可靠运转,同时促进露天煤矿少人、无人智能化业务的目标。
落实集团网络安全重要战略举措
本项目安全建设促进了集团煤炭板块网络安全相关规范与制度的落实及完善,而且从技术上以边界防护为重点、数据库审计、日志审计、运维审计、工控协议分析、态势分析为抓手,提升露天煤矿的工控安全防护能力。
面对当下工业互联网、智能5G煤矿等新兴业务模式的转型升级,煤矿企业网络安全防护能力也要不断提升!安盟信息将结合在能源行业的安全建设经验进一步提升煤矿行业的安全防护建设能力,在满足防护合规的基础上,深度结合煤矿业务场景,构建煤矿企业的网络安全防护新屏障!