案例背景

某礦業公司是國內乃至亞洲規模最大的露天鐵礦山，體量大、設備大、工藝復雜，其全紅礦焙燒、采空區全國獨有，管控難度也是不言而喻。近年來，該公司為響應集團智慧制造要求，大力推動數字化、網絡化、智能化技術與礦山開采過程的深度融合，有效提高了生產效率、安全性和環境保護水平。但同時也給該礦業公司帶來了新的網絡安全風險和挑戰，如信息孤島、數據泄露、系統攻擊、惡意篡改等，可能會導致生產中斷、數據泄露等問題。

另外，依據最新的《驗收辦法》，在如三類煤礦等信息基礎設施評分指標中，針對通信網絡和數據中心與服務有明確的要求，要求系統需具備一定的網絡安全防護能力，并滿足等級保護二級建設標準。

本文在總結了某鐵礦工控安全防護體系建設工作的設計和實踐后，提出了既能滿足網絡安全等級保護要求又能契合智慧礦山自身業務需要的工控網絡安全防護體系框架。助力鐵礦行業及石油、煤炭、金屬礦、非金屬礦等自然資源開采和加工行業形成滿足國家、集團以及自身安全防護需求的工控網絡安全整體解決方案。

案例需求

礦山企業的信息化機房在早期設計中以保證生產為第一要務，在網絡安全方面缺乏長遠規劃，該企業在實現“工業互聯網安全”過程中面臨的挑戰及風險存在以下幾個方面的問題：

（1）網絡邊界防護措施缺乏

智慧礦山自動化系統種類較多，且礦山工業控制網、調度網、視頻監控網、DMZ區等，形成互聯互通、多網互聯的關系。通過現場勘查，隔離措施和隔離強度有待提高，否則容易引發各網絡跨網交換非授權訪問風險以及子域間病毒橫向傳播風險。

（2）工控網絡安全監測能力有限

當前在礦山工控網絡中，各類安全威脅不斷涌入控制系統，礦業企業內部需完善對工業流量監測審計的手段，針對工控系統協議層面存在的惡意攻擊、異常流量進行審計，并對工控指令攻擊和控制參數篡改進行實時監測和告警，避免網絡入侵輕易成功，導致安全生產事故的發生。

（3）終端易遭受勒索病毒等網絡攻擊

傳統殺毒軟件在礦山生產系統中應用情況不理想，需要部署適合工控終端業務環境的手段能夠有效防范惡意代碼的攻擊，尤其是未知的、新型的惡意代碼的攻擊。移動存儲介質濫用是主要的病毒擺渡途徑，目前終端缺乏移動介質的管控，存在不安全的移動介質接入到業務系統中。

解決方案

通過對礦山企業的工控網絡進行全面規劃，在不同安全區域部署相應的工控安全設備，形成滿足國家、集團以及企業自身安全防護需求的工控網絡安全整體解決方案。企業工控網絡拓撲圖如下所示：

“邊界防護”

在工業網絡邊界或井下工業環網邊界部署工控防火墻，能夠對工控網絡邊界流量進行安全檢測，基于工控協議深度解析、網絡流量實時監測、安全策略智能優化等技術手段能夠檢測并阻斷攻擊者的非法訪問、病毒傳播和惡意攻擊等行為，對礦山工控網絡中的DCS、PLC、RTU等工業控制系統和終端設備進行有效的安全防護。

“區域隔離” 

在工業網絡與企業網絡之間、工業網絡不同網絡層級（L0-L4級）之間部署工控安全隔離網閘，能夠對通過的工業網絡數據進行過濾、檢測、審計等一系列操作，以“擺渡”的方式進行跨網數據交互，在保障安全隔離的前提下，實現數據安全交換，有效防止外部網絡的攻擊及內部區域之間的非法訪問等行為。

“入侵防御”

在工業網絡邊界部署工控入侵檢測系統，基于系統內置的攻擊特征庫和工控規則庫，對工控網絡流量進行實時監測，能夠實時檢測出網絡入侵攻擊行為、違反安全策略的異常行為，及時進行告警或直接阻斷，并生成日志，實現對工控網絡安全威脅事件的事前預警、事中響應、事后取證。

“終端安全”

在工業主機上（操作員站、工程師站等）進行部署，對主機登錄信息、操作信息、運行狀態、移動存儲設備接入、網絡外聯等信息的監測。系統采用了白名單機制，攔截一切未知程序和腳本的執行，既可有效抵御已知和未知的惡意代碼，又規避了傳統殺毒軟件病毒庫更新不及時的問題，從根本上保障主機運行環境的安全。

“網絡審計”

在工業核心交換機及工業環網交換機部署工控安全審計系統，通過鏡像的方式獲取工控網絡中流量數據，對工控協議（如ModbusTCP、OPC、DNP3、IEC104、S7等）的通信報文進行深度解析，能夠實時檢測出針對PLC、DCS、上位機等重要工控系統/設備的網絡攻擊、誤常操作、非法設備接入以及蠕蟲、病毒等惡意軟件的傳播等異常行為，實現對工控網絡異常流量的檢測與實時告警。

“蜜罐誘捕”

在礦山工控網絡部署與真實資產相似的工業網絡蜜罐系統，當攻擊者通過外部安全防御系統的缺陷滲透進入到內部網絡時，通常需要搜索網絡內部的資產，以此找到對攻擊者而言有價值的目標，誘鋪節點自身的偽裝性能夠欺騙攻擊者，當攻擊者將誘鋪節點作為攻擊目標時，蜜罐節點能夠第一時間感知并匯報安全事件，具體包括：蜜罐節點會記錄攻擊者的所有行為，系統也會產生告警，通知安全響應團隊。蜜罐節點會誘騙攻擊者將其他蜜罐節點作為后續的攻擊目標，所有蜜罐節點將組成“陷阱”網絡，延緩了攻擊時間，使得蜜罐系統能夠記錄更多的攻擊信息，同時可以給安全響應團隊更多的應急響應時間。

“漏洞掃描”

在礦山工控網絡的安全管理區部署工控漏洞掃描系統，系統能夠針對工控網絡進行脆弱性分析和評估。不僅支持對傳統IT設備/系統，比如操作系統、交換機、路由器、弱口令、FTP服務器、Web服務器等，進行漏洞風險評估，同時還支持對工控系統中所特有的設備/系統，比如SCADA、DCS、PLC等進行已知漏洞的識別和檢測，及時發現安全漏洞，客觀評估工控網絡風險等級。

“日志審計”

在礦山工控網絡的安全管理區部署日志審計系統，能夠對礦山企業網絡設備、安全設備、主機和應用系統日志進行全面的標準化處理，基于關聯分析引擎的 能力，及時發現各種安全威脅、異常行為事件，并在可視化圖上直觀的呈現出來，協助礦山企業全面監測、審計工控網絡整體安全狀況。

“運維管理”

在礦山工控網絡的安全管理區部署工控安全運維管理系統，能夠對運維進行賬號統一管理，資源和權限進行統一分配，操作過程全程審計。采用協議代理的方式，建立基于唯一身份標識的全局實名制賬號管理，配置集中訪問控制和細粒度的命令級授權策略，實現集中有序的運維安全管理，對用戶從登錄到退出的全程操作行為進行審計，加強工業控制系統及設備遠程維護的安全管理，降低人為安全風險，保障企業效益。

“安全管理”

當工控網絡中部署了眾多的工控安全產品后，安全產品的日常運維工作對于運維人員來說是不小的工作量，工業安全管理平臺能夠對所有工控安全設備進行統一安全管理，提升運維效率。

在礦山工控網絡的安全管理區部署工業安全管理平臺，能夠實現對工控防火墻、工控安全隔離網閘、工控入侵檢測系統、工控安全審計系統、工控主機衛士等工控安全產品及第三方設備的統一監控、日志采集、安全分析、策略下發，為工控網絡安全運營提供決策支持，加強安全事件響應速度與安全運維能力，提升工控網絡整體信息安全水平。

效益評估

（1）滿足標準合規性要求符合

符合《全國礦產資源規劃（2021—2025年）》《“十四五”礦山安全生產規劃》等為礦山行業網絡安全提出了戰略目標和發展方向。符合《信息安全技術網絡安全等級保護基本要求》 (GBT22239-2019)、《信息安全技術信息系統密碼應用基本要求》（GB/T 39786-2021）、《工業控制系統信息安全防護指南》及《有色金屬行業智能礦山建設指南》等礦山工控安全相關政策、標準及監管要求。

（2）提升礦山企業工控網絡安全防護能力

基于等保2.0中工業控制系統擴展要求，結合礦山企業實際網絡情況，在不同區域部署相應的工控安全設備，構建礦山工控網絡安全主動防護體系，提升礦山工控網絡的安全監管水平和防御能力。

聯系方式：400-100-0298轉1