案例精选丨煤炭企业“5G+智慧矿山”工控系统等保建设项目

2022年4月20日08:36:03评论72 views字数 3081阅读10分16秒阅读模式

煤炭开采经历了爆破开采、机械化开采，目前已经向智能化开采演进与发展。随着科技的进步，物联网、大数据、云计算、5G、人工智能等已经成为新一轮科技革命及产业升级的重要着力点，采用新一代智能化技术改造传统煤矿生产方式，改善煤矿生产环境条件，减少井下作业人员，构建安全、高效、绿色的无人或少人化智能矿山，已经成为煤炭企业转型升级发展的重要举措。山东某煤矿积极响应集团“5G+智慧矿山”建设号召，全面建成和推广煤炭行业智能化开采3.0的模式。

为保障企业安全稳定生产，实现网络安全建设跟上信息化建设的步伐，煤矿生产系统正在逐步实现智能化矿山的改造和建设，因此在本次工业环网改造过程中同步规划、实施、运行工控网络安全防护系统。

项目需求分析

1、某煤矿智能化生产建设的推进，对内、对外服务不断增多，特别是万兆工业环网、监测监控环网、视频网、电力环网、运销网、无线WiFi、5G等系统的建设，工控系统网络不断扩展并日趋复杂，控制系统不再以一个独立的网络运行，与企业管理网络等功能系统互联互通的同时，病毒等外部风险入侵的隐患不断增高。一旦受到病毒等恶意侵害，轻则导致控制系统通讯拥塞，重则导致生产事故，直接带来无法估量的损失。因此需实现工业环网与办公网、视频网的隔离访问，保障正常的工业控制系统数据传输，避免未知的威胁影响工业控制系统；

2、煤矿生产部分信息系统依赖厂家远程维护，运维过程采用向日葵及TeamViewer等远程运维软件远程运维的方式，将企业工控服务器直接暴露到互联网，极易遭受黑客的入侵与破坏，同时无法对运维人员的操作行为进行审计。因此需实现企业生产系统安全运维，避免运维过程中给企业生产网络引入风险；

3、为实现煤矿智能化、无人化生产，生产信息化系统在煤矿生产中占据重要地位，一旦日益庞大复杂的生产信息化系统运行环境感染计算机病毒等恶意代码，造成系统无法正常运行，将给煤矿企业生产带来无法估量的损失。因此需提高工业主机抵御恶意代码攻击、外设管控等相关能力，避免生产控制、安全监测、人员定位等重要信息化系统的工业主机感染勒索软件等计算机病毒，造成生产系统瘫痪，危及矿井工人的生命安全；

4、目前企业工业控制系统网络信息安全人才紧缺，无相关专业安全设备，无法及时发现工业网络中存在的安全隐患，发生网络安全事件时不能够及时定位，快速解决问题。因此需提高工控安全管理水平，定期开展煤矿生产工控系统的测评、检查、工业设备漏洞的检测，及时发现并修复工控系统网络安全存在的漏洞，降低风险，避免工控安全事件发生；

5、满足GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》二级合规性要求。

解决方案

某煤矿智慧矿山的工控系统网络安全建设项目从客户实际业务需求出发，参考等保2.0二级相关要求进行规划设计。建设完成后，能够全面提升企业智慧矿山的工控系统整体安全性，确保设备、系统、网络的可靠性、稳定性，减少安全运维人员的工作量，提高安全生产管理水平、工作效率和管理效率。

案例精选丨煤炭企业“5G+智慧矿山”工控系统等保建设项目

图1 本项目工控安全防护示意图

区域边界访问控制

现场网络架构采用双网冗余设计，工业互联防火墙采用双机+HA的配置保证网络的高可用性；通过在生产工业环网核心交换机、办公网核心交换机和视频核心交换机之间增加工业互联防火墙，建立DMZ区，通过配置白名单策略，并开启IPS、AV病毒检测模块，有效保障企业生产正常的工业控制系统数据传输，避免未知的威胁影响工业控制系统；

案例精选丨煤炭企业“5G+智慧矿山”工控系统等保建设项目

图2 工业控制系统边界访问控制

案例精选丨煤炭企业“5G+智慧矿山”工控系统等保建设项目

图3 工业控制系统边界病毒检测

案例精选丨煤炭企业“5G+智慧矿山”工控系统等保建设项目

图4 工业控制系统边界入侵防御

案例精选丨煤炭企业“5G+智慧矿山”工控系统等保建设项目

图5 安全设备双机HA热备

工业流量分析

在工业环网核心交换机旁路镜像部署工控安全监测与审计系统，实时采集矿区工业环境中的网络流量数据进行安全审计，通过配置工业控制协议白名单监测策略，对控制网络中的工业协议数据、关键的控制操作、异常行为进行实时监测与异常告警，及时发现工业网络中违规操作、黑客攻击等恶意行为；

案例精选丨煤炭企业“5G+智慧矿山”工控系统等保建设项目

图6 工控流量事件分析

案例精选丨煤炭企业“5G+智慧矿山”工控系统等保建设项目

图7 工控协议深指令级审计

工控主机安全防护与加固

在企业生产、安全监测系统服务器与工控机部署工控主机卫士，进行恶意代码的防护、U盘等外设管控、强化基线加固等技术措施，保证计算环境安全；有效阻止包括震网病毒、BlackEnergy、勒索病毒、挖矿病毒等在内的恶意程序或代码在工控主机上的感染、执行和扩散；

案例精选丨煤炭企业“5G+智慧矿山”工控系统等保建设项目

图8 工业主机防护统一管理

案例精选丨煤炭企业“5G+智慧矿山”工控系统等保建设项目

图9 工业主机虚拟漏洞防护

案例精选丨煤炭企业“5G+智慧矿山”工控系统等保建设项目

图10 工业主机外设设备管控

生产系统安全运维

在生产工业环网核心交换机上部署安全运维管理系统，实现对运维账户的精细化管控；提高系统运维管理水平，跟踪服务器上用户的操作行为，防止黑客的入侵和破坏，提供控制和审计依据，降低运维成本；

案例精选丨煤炭企业“5G+智慧矿山”工控系统等保建设项目

图11 工业网络资产运维权限控制

工控日志统一收集审计

在生产工业环网核心交换机上部署日志审计与分析系统，采集并存储工控系统内主机、网络设备和安全设备的日志，对日志进行关联分析，及时发现工控系统当中的安全问题并及时响应，通过安全事件分析功能模块进行审计和取证分析、支持内部调查、建立基线，以及安全运行趋势预测，为安全建设决策提供依据；

案例精选丨煤炭企业“5G+智慧矿山”工控系统等保建设项目

图12 工控网络设备日志采集

工控系统风险自评估

在生产工业环网络核心交换机上离线部署工控等保检查工具箱，定期对工业控制系统进行漏洞扫描，实现对工控漏洞的掌控及管理；提升对工控系统的漏洞检测能力，并提供有效的安全风险修复建议和预防措施，降低因漏洞影响带来的经济风险；

案例精选丨煤炭企业“5G+智慧矿山”工控系统等保建设项目

图13 工控网络风险评估数据分析

案例精选丨煤炭企业“5G+智慧矿山”工控系统等保建设项目

图14 工控网络合规评估

统一安全管控

在生产工业环网络核心交换机上部署统一安全管理平台，对工业网络的工控安全设备进行统一安全运维，及时掌握现有安全态势，辅助完善安全防护体系，降低运维成本，提升运维效率。

案例精选丨煤炭企业“5G+智慧矿山”工控系统等保建设项目

图15 安全设备日志统一收集分析

客户价值

1、工控网络安全层面，构建企业工控网络安全“白环境”，有效地保障工控网中系统、通信、应用和数据等各层面安全，提高工控网络安全防护能力和水平，全面掌握工业控制系统安全保护状况，建立企业工控系统常态化检测评估机制，不断优化和完善安全防护体系，保障生产业务稳定运行；

2、安全建设合规性层面，满足GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》“一个中心、三重防护”相关技术要求，解决等级保护高风险项，顺利通过等保二级的测评；

3、项目推广层面，本项目是某矿业集团“5G+智慧矿山” 智能化开采3.0新模式生产下工控网络安全试点示范，为今后集团其他厂煤矿智能化生产建设的推广提供了宝贵经验。

威努特简介

北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者，是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。

威努特依托率先独创的工业网络“白环境”核心技术理念，以自主研发的全系列工控安全产品为基础，为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务，迄今已为国内及“一带一路”沿线国家的4000多家行业客户实现了业务安全合规运行。

作为中国工控安全国家队，威努特积极推动产业集群建设构建生态圈发展，牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作，始终以保护我国关鍵信息基础设施网络空间安全为己任，致力成为建设网络强国的中坚力量!

案例精选丨煤炭企业“5G+智慧矿山”工控系统等保建设项目

渠道合作咨询田先生 17326800322

稿件合作微信:shushu12121

原文始发于微信公众号（威努特工控安全）：案例精选丨煤炭企业“5G+智慧矿山”工控系统等保建设项目

左青龙
微信扫一扫

右白虎
微信扫一扫

案例精选丨煤炭企业“5G+智慧矿山”工控系统等保建设项目

网络安全等级保护：限制空会话访问

评估云迁移安全风险的三个步骤

网络安全等级保护：账户锁定政策

引领云原生安全亚信安全深度参与撰写《金融行业云原生安全体系研究报告》

人脸识别合规要点全梳理

零信任网络安全技术雷达图3.0正式发布！

零信任案例分享——持安科技超大型互联网科技企业应用实践

网络安全等级保护：设置Windows安全策略

GB/T42981人脸识别系统测试方法

10个专业的网络安全防护指南

发表评论

在线咨询

微信