二
构建夯实的网络安全基础设施，确保网络安全可控

基于智慧煤矿业务安全的网络安全建设，最为基础的目的是在提升智慧矿山安全合规性建设的同时，符合国家主管部门、行业监管部门以及上级单位的安全要求，同时借助基于网络安全态势感知与业务运维的深度融合，全面提升掘进、综采、运输、提升、洗选、供电、排水、通风以及安全监测、人员定位、广播、工业视频等系统的安全防护与监测预警能力，助力智慧煤矿安全、高效、清洁、绿色开采。

智慧煤矿需要监测大量的生产运行数据、环境地质监测数据以及设备状态监控数据等，同时还存在政府外联系统接入的需要。在矿井生产控制网络不同区域之间部署隔离设备，核心区域部署主机防护、威胁监测审计等系统，为进一步提高智慧煤矿生产系统的安全防护能力，还需根据业务需求，在不同的关键节点部署中高交互的密网系统和威胁分析一体化设备TAR。安全措施参考如下。

图1 智慧煤矿数据监测全景图

(1) 互联与经营网的网络安全防护

a）在办公区建立DMZ区和办公网安全管理区，煤矿安全监控的数据从办公网安全管理区通过工业网闸上传到应急厅、煤监局等监管单位。并在办公区网络的安全管理区部署无线接入控制器、视频安全防护系统、网络准入、态势感知、日志审计、堡垒机、漏洞扫描、流量监测系统等网络安全设备，实现对企业整个IT网络的安全管理、审计和运营；

b）在互联网的出口处部署负载均衡、抗拒绝服务器、防火墙、VPN、蜜罐等设备从边界隔离、远程访问、主动防御等方面实现对互联网核心区进行防护；

c）通过WEB应用防火墙对WEB服务器进行防护；

d）通过防火墙对数据中心的边界进行防护，并通过数据库审计对数据库服务器进行数据安全的防护，从而实现煤炭企业IT网络的安全防护。

(2) 调度中心网络安全防护

a）在煤炭企业调度中心到办公网之间的边界处部署工业网闸，实现办公网到生产网之间的物理隔离，实现两网之间的大边界安全防护；

b）在调度中心的核心交换机上部署工业蜜罐，通过蜜罐诱捕的方式，实现对调度中心中出现的攻击进行诱捕追溯；

c）建设调度中心安全管理区，在调度中心安全管理区部署工业漏扫、工业堡垒机、工业态势感知、日志审计、工业流量监测系统等设备，对整个生产网络的日志、运维、资产、流量等态势进行安全管理。

(3) 矿井生产网络安全防护

矿井生产环境有大量的智能传感器、监测仪器、工业物联网设备、智能远端控制设备，潜在的风险巨大，是智慧煤矿重点防护的区域。

a）在各矿井的核心交换机上部署工业蜜罐，对各矿井中出现的攻击行为进行诱捕，从而实现各矿井的网络安全防护；

b）在各矿井的井上环网、井下环网、安全监控专网以及井下基站的边界处部署工业防火墙，防止网络中出现的安全问题在各个矿井中横向传播；

c）在矿井中各个区域的核心交换机上部署工业流量监测探针，通过与调度中心的工业流量监测系统联动，实现对各矿井中流量的监测和审计。

(4) 全网主机防护

工业主机极易受到病毒的感染，也是非法外联、非法介质滥用的主要载体，也是重点监测与防护的对象。在企业IT网络中的各个主机、服务器上安全主机防护软件，实现IT网络的主机安全防护；在调度中心和各个矿井的操作员站、工程师站、服务器等终端设备上部署工业主机防护软件，实现对工业主机终端的安全防护，增强未知威胁防范能力。

(5) 5G应用及其安全

随着5G、工业物联网等在智慧煤矿的场景深入应用，网络切片技术的在一定程度上加快了互联网与煤矿行业的融合，同时也改变了传统的网络架构，要做好5G业务需求下的网络安全管控工作，可采用超融合检测探针CS-PLUS-5G。

“三方技术、七分管理”，需要从顶层对智慧煤矿的安全防护做好顶层规划，形成智慧煤矿企业整体范围内的网络安全基础设施防御体系和管理体系，进一步强化网络安全防护能力。

三深度融合“业务和安全”运维，落实“工业互联网+安全生产”的安全体系建设

智慧煤矿融合了5G、工业互联网、人工智能、大数据等新型信息技术，对于当前的网络安全形势，以前的安全防护体系已力有不逮。数字经济的蓬勃发展和“云大物智”等新兴技术驱动下，网络安全产业推动了网络安全理念的升级，煤矿行业网络安全防护与运营亟需变革以适应智慧煤矿的发展，必须将业务运维和安全运维的交叉融合进行一体化运维，才能保证煤矿安全生产管理措施有效执行。运维最重要的是分析网络安全设备监测到的各类数据和事件，有针对性地制定业务和网络安全预警机制和处置方式，确保整个网络在良好的安全状态下运转，以此降低运维工作中的安全风险。只有基于业务和网络安全运维背后的双重含义正符合当下智慧煤矿安全生产形势的要求。

人在智慧煤矿的业务与运维的作用至关重要，将“人-物-业务-威胁”采用基于“零信任”架构，通过人员组织与技术平台的协同，实现“实战化”安全运营，将业务运维人员和安全运维人员不仅限人员的融合，更需要理念与技术等融合，才能更好构建以煤矿生产安全为目标，融合“安全准入、网络规划、资产管理、风险感知、智能运维”于一体，通过大数据、物联网、人工智能等新型信息技术，建立全生命周期的安全运维服务管理流程，实现对智慧煤矿各层面多维时空信息的全面感知、高效管理和深度应用，落实智慧煤矿“工业互联网+安全生产”的安全体系建设与实践。

四搭建基于数字孪生的仿真平台，加强网络安全和信息化人才队伍建设

智慧煤矿的网络安全不是仅靠采购网络安全软硬件设备堆积便可以万无一失的，而需要建立一支高效、网络与业务协同的安全技术团队来支撑其生产安全的运营，并建立“业务+安全”协同人员安全技术培训长效机制，以考评激励的方式提高业内网络安全人员的业务知识和防护技能，为智慧煤矿的网络安全和信息化工作健康发展提供有力人才支撑，全面提升煤矿相关业务人员的安全意识、安全技术水平和安全管理水平。

基于数字孪生技术的实战化实训平台以智慧煤矿的通用和业务软件安全测试结果为基础，以平行仿真系统能力为核心，实现煤矿综合业务风险场景的模拟和预测，结合业务仿真实训业务风险的效能评估，依托智慧煤矿的靶场平台中强大的测试验证功能，实现：

1）建立智慧煤矿大小系统上线前测试验证要求；

2）通过靶场基地及其开发延伸的技术和产品，将实际环境的安全问题进行验证，在测试过程中发现问题和场景，逐步梳理出智慧煤矿各环节安全建设的标准，推动智慧煤矿的安全生产与良性发展。

3）构建特定场景化的基于数字孪生技术的仿真靶场场景，模拟实战背景，进行战术演练，检验作战计划，辅助查找和发现计划中的缺陷，进而对战术进行修改和完善，整体提升组织攻防中战术有效部署和运用的能力以及信息安全应急能力。

4）建设实战化实训平台，更为重要的目的是将在应用中积累的经验最终沉淀到培训体系，形成良性循环，构筑培训、选拔、实践三维一体的螺旋式上升人才体系。

5）平台可高度仿真目标业务和环境，帮助行业特定机构的科研人员验证新研制出的网络武器装备，检验该装备的功能和性能，装备到智慧煤矿的密网系统中，从而切实地保护目标系统。

五小结

智慧煤矿的生产安全不仅仅是部署监测、安全设备等简单堆砌能够满足其安全生产要求，而是需要通过从业务安全、数据安全、IT/OT关键基础设施安全等多个维度建立较为完备的安全防护体系和辅以基于业务安全的攻防实验室的场景和策略等研究，为智慧煤矿提供全面的网络安全态势感知与预警通报，使其具备全局资产安全管控、多来源数据汇聚、全要素采集、威胁深度分析、威胁准确聚焦、安全事件综合研判、设备协同联动等能力，打造智慧煤矿一体化联动安全分析体系。

工业互联网安全

太白安全实验室，公众号：太白安全实验室工业互联网安全 | 基于智慧煤矿业务的网络安全解决方案（上）

原文始发于微信公众号（太白安全实验室）：工业互联网安全 | 基于智慧煤矿业务的网络安全解决方案（下）