案例背景

某矿业公司是国内乃至亚洲规模最大的露天铁矿山，体量大、设备大、工艺复杂，其全红矿焙烧、采空区全国独有，管控难度也是不言而喻。近年来，该公司为响应集团智慧制造要求，大力推动数字化、网络化、智能化技术与矿山开采过程的深度融合，有效提高了生产效率、安全性和环境保护水平。但同时也给该矿业公司带来了新的网络安全风险和挑战，如信息孤岛、数据泄露、系统攻击、恶意篡改等，可能会导致生产中断、数据泄露等问题。

另外，依据最新的《验收办法》，在如三类煤矿等信息基础设施评分指标中，针对通信网络和数据中心与服务有明确的要求，要求系统需具备一定的网络安全防护能力，并满足等级保护二级建设标准。

本文在总结了某铁矿工控安全防护体系建设工作的设计和实践后，提出了既能满足网络安全等级保护要求又能契合智慧矿山自身业务需要的工控网络安全防护体系框架。助力铁矿行业及石油、煤炭、金属矿、非金属矿等自然资源开采和加工行业形成满足国家、集团以及自身安全防护需求的工控网络安全整体解决方案。

案例需求

矿山企业的信息化机房在早期设计中以保证生产为第一要务，在网络安全方面缺乏长远规划，该企业在实现“工业互联网安全”过程中面临的挑战及风险存在以下几个方面的问题：

（1）网络边界防护措施缺乏

智慧矿山自动化系统种类较多，且矿山工业控制网、调度网、视频监控网、DMZ区等，形成互联互通、多网互联的关系。通过现场勘查，隔离措施和隔离强度有待提高，否则容易引发各网络跨网交换非授权访问风险以及子域间病毒横向传播风险。

（2）工控网络安全监测能力有限

当前在矿山工控网络中，各类安全威胁不断涌入控制系统，矿业企业内部需完善对工业流量监测审计的手段，针对工控系统协议层面存在的恶意攻击、异常流量进行审计，并对工控指令攻击和控制参数篡改进行实时监测和告警，避免网络入侵轻易成功，导致安全生产事故的发生。

（3）终端易遭受勒索病毒等网络攻击

传统杀毒软件在矿山生产系统中应用情况不理想，需要部署适合工控终端业务环境的手段能够有效防范恶意代码的攻击，尤其是未知的、新型的恶意代码的攻击。移动存储介质滥用是主要的病毒摆渡途径，目前终端缺乏移动介质的管控，存在不安全的移动介质接入到业务系统中。

解决方案

通过对矿山企业的工控网络进行全面规划，在不同安全区域部署相应的工控安全设备，形成满足国家、集团以及企业自身安全防护需求的工控网络安全整体解决方案。企业工控网络拓扑图如下所示：

“边界防护”

在工业网络边界或井下工业环网边界部署工控防火墙，能够对工控网络边界流量进行安全检测，基于工控协议深度解析、网络流量实时监测、安全策略智能优化等技术手段能够检测并阻断攻击者的非法访问、病毒传播和恶意攻击等行为，对矿山工控网络中的DCS、PLC、RTU等工业控制系统和终端设备进行有效的安全防护。

“区域隔离” 

在工业网络与企业网络之间、工业网络不同网络层级（L0-L4级）之间部署工控安全隔离网闸，能够对通过的工业网络数据进行过滤、检测、审计等一系列操作，以“摆渡”的方式进行跨网数据交互，在保障安全隔离的前提下，实现数据安全交换，有效防止外部网络的攻击及内部区域之间的非法访问等行为。

“入侵防御”

在工业网络边界部署工控入侵检测系统，基于系统内置的攻击特征库和工控规则库，对工控网络流量进行实时监测，能够实时检测出网络入侵攻击行为、违反安全策略的异常行为，及时进行告警或直接阻断，并生成日志，实现对工控网络安全威胁事件的事前预警、事中响应、事后取证。

“终端安全”

在工业主机上（操作员站、工程师站等）进行部署，对主机登录信息、操作信息、运行状态、移动存储设备接入、网络外联等信息的监测。系统采用了白名单机制，拦截一切未知程序和脚本的执行，既可有效抵御已知和未知的恶意代码，又规避了传统杀毒软件病毒库更新不及时的问题，从根本上保障主机运行环境的安全。

“网络审计”

在工业核心交换机及工业环网交换机部署工控安全审计系统，通过镜像的方式获取工控网络中流量数据，对工控协议（如ModbusTCP、OPC、DNP3、IEC104、S7等）的通信报文进行深度解析，能够实时检测出针对PLC、DCS、上位机等重要工控系统/设备的网络攻击、误常操作、非法设备接入以及蠕虫、病毒等恶意软件的传播等异常行为，实现对工控网络异常流量的检测与实时告警。

“蜜罐诱捕”

在矿山工控网络部署与真实资产相似的工业网络蜜罐系统，当攻击者通过外部安全防御系统的缺陷渗透进入到内部网络时，通常需要搜索网络内部的资产，以此找到对攻击者而言有价值的目标，诱铺节点自身的伪装性能够欺骗攻击者，当攻击者将诱铺节点作为攻击目标时，蜜罐节点能够第一时间感知并汇报安全事件，具体包括：蜜罐节点会记录攻击者的所有行为，系统也会产生告警，通知安全响应团队。蜜罐节点会诱骗攻击者将其他蜜罐节点作为后续的攻击目标，所有蜜罐节点将组成“陷阱”网络，延缓了攻击时间，使得蜜罐系统能够记录更多的攻击信息，同时可以给安全响应团队更多的应急响应时间。

“漏洞扫描”

在矿山工控网络的安全管理区部署工控漏洞扫描系统，系统能够针对工控网络进行脆弱性分析和评估。不仅支持对传统IT设备/系统，比如操作系统、交换机、路由器、弱口令、FTP服务器、Web服务器等，进行漏洞风险评估，同时还支持对工控系统中所特有的设备/系统，比如SCADA、DCS、PLC等进行已知漏洞的识别和检测，及时发现安全漏洞，客观评估工控网络风险等级。

“日志审计”

在矿山工控网络的安全管理区部署日志审计系统，能够对矿山企业网络设备、安全设备、主机和应用系统日志进行全面的标准化处理，基于关联分析引擎的 能力，及时发现各种安全威胁、异常行为事件，并在可视化图上直观的呈现出来，协助矿山企业全面监测、审计工控网络整体安全状况。

“运维管理”

在矿山工控网络的安全管理区部署工控安全运维管理系统，能够对运维进行账号统一管理，资源和权限进行统一分配，操作过程全程审计。采用协议代理的方式，建立基于唯一身份标识的全局实名制账号管理，配置集中访问控制和细粒度的命令级授权策略，实现集中有序的运维安全管理，对用户从登录到退出的全程操作行为进行审计，加强工业控制系统及设备远程维护的安全管理，降低人为安全风险，保障企业效益。

“安全管理”

当工控网络中部署了众多的工控安全产品后，安全产品的日常运维工作对于运维人员来说是不小的工作量，工业安全管理平台能够对所有工控安全设备进行统一安全管理，提升运维效率。

在矿山工控网络的安全管理区部署工业安全管理平台，能够实现对工控防火墙、工控安全隔离网闸、工控入侵检测系统、工控安全审计系统、工控主机卫士等工控安全产品及第三方设备的统一监控、日志采集、安全分析、策略下发，为工控网络安全运营提供决策支持，加强安全事件响应速度与安全运维能力，提升工控网络整体信息安全水平。

效益评估

（1）满足标准合规性要求符合

符合《全国矿产资源规划（2021—2025年）》《“十四五”矿山安全生产规划》等为矿山行业网络安全提出了战略目标和发展方向。符合《信息安全技术网络安全等级保护基本要求》 (GBT22239-2019)、《信息安全技术信息系统密码应用基本要求》（GB/T 39786-2021）、《工业控制系统信息安全防护指南》及《有色金属行业智能矿山建设指南》等矿山工控安全相关政策、标准及监管要求。

（2）提升矿山企业工控网络安全防护能力

基于等保2.0中工业控制系统扩展要求，结合矿山企业实际网络情况，在不同区域部署相应的工控安全设备，构建矿山工控网络安全主动防护体系，提升矿山工控网络的安全监管水平和防御能力。

联系方式：400-100-0298转1