今日頭條
官方微信
官方抖音
資訊頻道煤炭工業控制系統是整個煤炭企業安全生產監控系統信息的集成,它需要一個快速、安全、可靠的網絡平臺為大量的信息流動提供支撐,同時要有一個功能全面的安全生產信息應用系統為礦井安全生產提供科學調度、決策的依據。做好煤炭企業工控安全建設是實現生產安全的必要保障。
一、概述
煤炭行業是指以開采煤炭資源為主的一個產業,它是國家能源的主要來源之一,也是國家經濟的重要支柱之一。
一般能源行業包括煤炭、石油石化、電力等,而國家《網絡安全法》第三十一條要求:國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。所以煤炭的開采和加工屬于能源行業是國家關鍵基礎設施,應依照國家標準加強網絡安全防護。
中國煤炭資源豐富,主要分布于黑龍江、內蒙古、山西、山東、江蘇、河北、陜西、寧夏、河南、貴州、新疆等省份。開采方式采用煤炭掘進機、皮帶以及其他技術將煤炭從地下運出,然后將原煤輸送到選煤廠,利用煤炭和矸石物理、化學性質差異,將煤和雜質分離出來,加工成商品煤,最終輸送到電廠、化工廠、鋼廠等進行有效的應用。
二、煤炭生產系統架構
2.1. 業務架構
煤炭生產業務架構圖
煤炭生產系統主要分為五層,分別為設備層、控制層、生產執行層、經營管理層和決策支持層。具體包括:
l 設備層包括傳感器、儀器儀表、閥門、射頻識別、攝像頭、皮帶、機械和裝置等,是煤礦進行生產活動的物質技術基礎;
l 控制層包括輸煤皮帶系統、選煤廠集控系統、安全監控系統、電力監控系統、通風系統、供水系統等控制系統,這些控制系統通過各自的PLC對底層設備進行控制;
l 生產執行層包括生產管理、調度管理、安全管理、機電管理等系統,用來對整個生產系統進行集中控制和統一管理;
l 經營管理層包括ERP系統、項目管理系統和辦公系統等,通過分析生產數據來達到經營管理的目的;
l 決策支持層主要通過經營管理層提供的數據來對整體發展方向做決策。
2.2. 網絡架構
煤炭生產網絡架構圖
l 煤炭生產網絡主要由工業以太網構成,分地面工業以太環網和井下工業以太環網、調度中心網絡。
l 以上三個網絡由兩臺核心交換機將井下和地面系統連接起來,同地面的調度中心進行數據通訊。
l 調度中心負責各個系統的數據采集和分析、監視,以及部分輔助子系統的控制工作。
l 煤炭生產控制主要控制工作在現場各個子系統的控制室完成。
l 煤炭生產控制系統主要控制器品牌:AB和西門子,浙江中控和和利時等。
l 系統主要通訊協議:OPC、MODBUS、profinet等。
三、風險分析
目前煤礦生產系統逐步實現數字化礦山的改造和建設,但是網絡安全建設依舊沒有跟上信息化建設的步伐。現場工業網絡目前可以實現正常的通訊,滿足基本生產運行,但工控安全防護設備較少,一旦出現問題,可能會影響生產運行,后果不堪設想。筆者總結煤炭企業存在風險如下:
l 缺乏整體信息安全規劃;
l 缺乏工控安全管理制度、應急預案、培訓與意識培養;
l 調度人員有時通過連通互聯網的手機在調度室主機U口上充電,導致生產網絡通過手機被打通,造成邊界模糊。
l 主機操作系統老舊,從不升級,極易出現安全漏洞和缺陷;新建系統主機雖然會安裝殺毒軟件,但是為保障生產運行,殺毒軟件一般處于關閉狀態,這些都存在安全隱患,無法防御“0-DAY”病毒和勒索病毒。
l 調度人員或運維人員使用帶有病毒的U盤插入主機中,造成整個網絡感染病毒。
l 煤炭生產現場PLC多為西門子或AB的產品,而PLC本身存在漏洞,西門子和AB近些年被曝出存在高危漏洞, 攻擊者可以利用漏洞控制現場設備,執行錯誤命令,嚴重影響安全生產。
l 黑客也可通過技術手段潛入生產網絡,獲取關鍵生產數據,牟取利益。
四、方案設計
4.1. 設計規劃
煤炭企業工控網絡總體信息安全建設,主要從兩大體系進行規劃:信息安全技術防護體系,信息安全管理體系,結合《工業控制系統信息安全防護指南》和《GB/T 22239-2008 信息系統安全等級保護基本要求》進行統一規劃建設。
4.2. 參考標準及法規
l 《工業控制系統信息安全防護指南》(工信軟函〔2016〕338號)
l 《GB/T 22239-2008 信息系統安全等級保護基本要求》
l 《網絡安全法》
4.3. 技術設計方案
煤炭生產系統整體防護部署示意圖
l 部署工業防火墻:控制層與生產執行層間無安全防護,煤礦現場控制層可能受到非法的網絡訪問和惡意代碼的入侵,影響控制器的正常工作。在煤礦控制層與生產執行層間部署能夠識別工控協議的工業防火墻產品,將煤礦控制層與生產執行層進行邏輯隔離,并設置嚴格的訪問控制策略,通基于IP、端口、協議等的訪問控制設置,杜絕控制系統的非法訪問,隔離網絡攻擊和病毒(包含工業病毒)的跨區域的串擾,保護工業環網的安全運行。
l 部署工控IDS:外部網絡流量需要由執行層進入控制層,進入控制層后沒有流量檢測裝置,無法判斷外部流量生產控制層的是否存在異常網絡攻擊、惡意代碼等。在控制層和生產執行層邊界交換機旁路部署工控IDS,對進行控制系統的流量進行收集、分析和檢測,實時監測外部流入的流量是否存在可能導致控制系統異常的攻擊行為和惡意代碼,若發現網絡安全威脅可第一時間產品告警,提示運維管理人員采取處置措施。
l 部署主機防護軟件:為保證主機設備的正常運行,煤礦控制系統的操作員站和工程師站基本不安裝殺毒軟件,導致主機設備可能存在未被發現的惡意代碼程序且無法抵御病毒、木馬等惡意代碼的入侵。在煤礦控制系統的工程師站和操作員站安裝主機防護軟件,使用“白名單”技術固化工程師站和操作員站所能夠運行的應用軟件,惡意代碼軟件、違規軟件無法在工程師站和操作員站運行,保護工程師站和操作員站不受惡意代碼的破壞,能夠安全穩定運行。通過對主機接口的管理,防止外設在主機上隨意使用。
l 部署工控安管平臺:煤礦控制系統在做好信息安全的相關建設或整改后,增加了網絡安全性,但是也增加了一定的管理難度。在控制層部署安全管理平臺,對所使用的安全產品進行統一管理,主要包括數據監測、日志收集和報警展示,通過使用統一管理平臺可以大大降低運維管理的工作難度和工作量、同時可采集煤礦控制系統的主機設備、網絡設備、安全、業務軟件的日志進行統一留存和管理,運維管理人員可通過統一管理平臺監控全網的報警信息,發生安全事件后,可第一時間采取處置措施。
4.4. 管理設計方案
煤炭企業在進行工控安全技術建設的同時,也不能忽視工控安全管理建設,我們在企業安全建設始終強調“三分技術,七分管理”。
安全管理體系方面,通過制定和完善工控網絡安全管理制度,形成由安全策略、管理制度、操作規程等構成的全面的信息安全管理制度保障體系,做到有章可循、有法可依、人人有責的工控網絡和系統安全建設格局。
安全制度管理結合煤炭企業網絡安全管理工作現狀,筆者建議制定以下文件:《工控安全管理辦法》、《工控安全部門、崗位職責文件》、《工業控制系統介質管理程序》、《工業控制系統外部人員訪問管理制度》、《工業控制系統PLC管理制度》、《工控安全事件管理辦法》等工控安全管理制度。
同時通過協助企業制定《工控安全應急預案》、《工控安全服務辦法》,定期組織工業控制系統信息安全培訓,定期進行風險評估等,全面實現企業整體信息安全防護。
五、小結
方案依據PPDR(安全策略、保護、檢測和響應)安全保障模型設計,形成“事前防護-事中監測-事后響應”的整體安全防護策略。簡化運維管理,不需要頻繁升級特征庫,簡化運維管理工作量,同時能夠防護未知惡意代碼或黑客的攻擊。
該方案符合《信息安全技術 網絡安全等級保護基本要求》的規定,安全建設內容滿足等保及檢查要求。
六、致謝
本文在撰寫過程中,得到中煤集團管理專家楊峰老師、神華集團煤炭安全專家秦偉老師、啟明星辰工控安全專家孟雅輝老師的悉心指導,謹此鳴謝。
來源:FreeBuf
北京市公安局海淀分局備案號:11010802023656號