今日頭條
官方微信
官方抖音
資訊頻道煤炭工業(yè)控制系統(tǒng)是整個(gè)煤炭企業(yè)安全生產(chǎn)監(jiān)控系統(tǒng)信息的集成,它需要一個(gè)快速、安全、可靠的網(wǎng)絡(luò)平臺(tái)為大量的信息流動(dòng)提供支撐,同時(shí)要有一個(gè)功能全面的安全生產(chǎn)信息應(yīng)用系統(tǒng)為礦井安全生產(chǎn)提供科學(xué)調(diào)度、決策的依據(jù)。做好煤炭企業(yè)工控安全建設(shè)是實(shí)現(xiàn)生產(chǎn)安全的必要保障。
一、概述
煤炭行業(yè)是指以開(kāi)采煤炭資源為主的一個(gè)產(chǎn)業(yè),它是國(guó)家能源的主要來(lái)源之一,也是國(guó)家經(jīng)濟(jì)的重要支柱之一。
一般能源行業(yè)包括煤炭、石油石化、電力等,而國(guó)家《網(wǎng)絡(luò)安全法》第三十一條要求:國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)。所以煤炭的開(kāi)采和加工屬于能源行業(yè)是國(guó)家關(guān)鍵基礎(chǔ)設(shè)施,應(yīng)依照國(guó)家標(biāo)準(zhǔn)加強(qiáng)網(wǎng)絡(luò)安全防護(hù)。
中國(guó)煤炭資源豐富,主要分布于黑龍江、內(nèi)蒙古、山西、山東、江蘇、河北、陜西、寧夏、河南、貴州、新疆等省份。開(kāi)采方式采用煤炭掘進(jìn)機(jī)、皮帶以及其他技術(shù)將煤炭從地下運(yùn)出,然后將原煤輸送到選煤廠,利用煤炭和矸石物理、化學(xué)性質(zhì)差異,將煤和雜質(zhì)分離出來(lái),加工成商品煤,最終輸送到電廠、化工廠、鋼廠等進(jìn)行有效的應(yīng)用。
二、煤炭生產(chǎn)系統(tǒng)架構(gòu)
2.1. 業(yè)務(wù)架構(gòu)
煤炭生產(chǎn)業(yè)務(wù)架構(gòu)圖
煤炭生產(chǎn)系統(tǒng)主要分為五層,分別為設(shè)備層、控制層、生產(chǎn)執(zhí)行層、經(jīng)營(yíng)管理層和決策支持層。具體包括:
l 設(shè)備層包括傳感器、儀器儀表、閥門、射頻識(shí)別、攝像頭、皮帶、機(jī)械和裝置等,是煤礦進(jìn)行生產(chǎn)活動(dòng)的物質(zhì)技術(shù)基礎(chǔ);
l 控制層包括輸煤皮帶系統(tǒng)、選煤廠集控系統(tǒng)、安全監(jiān)控系統(tǒng)、電力監(jiān)控系統(tǒng)、通風(fēng)系統(tǒng)、供水系統(tǒng)等控制系統(tǒng),這些控制系統(tǒng)通過(guò)各自的PLC對(duì)底層設(shè)備進(jìn)行控制;
l 生產(chǎn)執(zhí)行層包括生產(chǎn)管理、調(diào)度管理、安全管理、機(jī)電管理等系統(tǒng),用來(lái)對(duì)整個(gè)生產(chǎn)系統(tǒng)進(jìn)行集中控制和統(tǒng)一管理;
l 經(jīng)營(yíng)管理層包括ERP系統(tǒng)、項(xiàng)目管理系統(tǒng)和辦公系統(tǒng)等,通過(guò)分析生產(chǎn)數(shù)據(jù)來(lái)達(dá)到經(jīng)營(yíng)管理的目的;
l 決策支持層主要通過(guò)經(jīng)營(yíng)管理層提供的數(shù)據(jù)來(lái)對(duì)整體發(fā)展方向做決策。
2.2. 網(wǎng)絡(luò)架構(gòu)
煤炭生產(chǎn)網(wǎng)絡(luò)架構(gòu)圖
l 煤炭生產(chǎn)網(wǎng)絡(luò)主要由工業(yè)以太網(wǎng)構(gòu)成,分地面工業(yè)以太環(huán)網(wǎng)和井下工業(yè)以太環(huán)網(wǎng)、調(diào)度中心網(wǎng)絡(luò)。
l 以上三個(gè)網(wǎng)絡(luò)由兩臺(tái)核心交換機(jī)將井下和地面系統(tǒng)連接起來(lái),同地面的調(diào)度中心進(jìn)行數(shù)據(jù)通訊。
l 調(diào)度中心負(fù)責(zé)各個(gè)系統(tǒng)的數(shù)據(jù)采集和分析、監(jiān)視,以及部分輔助子系統(tǒng)的控制工作。
l 煤炭生產(chǎn)控制主要控制工作在現(xiàn)場(chǎng)各個(gè)子系統(tǒng)的控制室完成。
l 煤炭生產(chǎn)控制系統(tǒng)主要控制器品牌:AB和西門子,浙江中控和和利時(shí)等。
l 系統(tǒng)主要通訊協(xié)議:OPC、MODBUS、profinet等。
三、風(fēng)險(xiǎn)分析
目前煤礦生產(chǎn)系統(tǒng)逐步實(shí)現(xiàn)數(shù)字化礦山的改造和建設(shè),但是網(wǎng)絡(luò)安全建設(shè)依舊沒(méi)有跟上信息化建設(shè)的步伐。現(xiàn)場(chǎng)工業(yè)網(wǎng)絡(luò)目前可以實(shí)現(xiàn)正常的通訊,滿足基本生產(chǎn)運(yùn)行,但工控安全防護(hù)設(shè)備較少,一旦出現(xiàn)問(wèn)題,可能會(huì)影響生產(chǎn)運(yùn)行,后果不堪設(shè)想。筆者總結(jié)煤炭企業(yè)存在風(fēng)險(xiǎn)如下:
l 缺乏整體信息安全規(guī)劃;
l 缺乏工控安全管理制度、應(yīng)急預(yù)案、培訓(xùn)與意識(shí)培養(yǎng);
l 調(diào)度人員有時(shí)通過(guò)連通互聯(lián)網(wǎng)的手機(jī)在調(diào)度室主機(jī)U口上充電,導(dǎo)致生產(chǎn)網(wǎng)絡(luò)通過(guò)手機(jī)被打通,造成邊界模糊。
l 主機(jī)操作系統(tǒng)老舊,從不升級(jí),極易出現(xiàn)安全漏洞和缺陷;新建系統(tǒng)主機(jī)雖然會(huì)安裝殺毒軟件,但是為保障生產(chǎn)運(yùn)行,殺毒軟件一般處于關(guān)閉狀態(tài),這些都存在安全隱患,無(wú)法防御“0-DAY”病毒和勒索病毒。
l 調(diào)度人員或運(yùn)維人員使用帶有病毒的U盤(pán)插入主機(jī)中,造成整個(gè)網(wǎng)絡(luò)感染病毒。
l 煤炭生產(chǎn)現(xiàn)場(chǎng)PLC多為西門子或AB的產(chǎn)品,而PLC本身存在漏洞,西門子和AB近些年被曝出存在高危漏洞, 攻擊者可以利用漏洞控制現(xiàn)場(chǎng)設(shè)備,執(zhí)行錯(cuò)誤命令,嚴(yán)重影響安全生產(chǎn)。
l 黑客也可通過(guò)技術(shù)手段潛入生產(chǎn)網(wǎng)絡(luò),獲取關(guān)鍵生產(chǎn)數(shù)據(jù),牟取利益。
四、方案設(shè)計(jì)
4.1. 設(shè)計(jì)規(guī)劃
煤炭企業(yè)工控網(wǎng)絡(luò)總體信息安全建設(shè),主要從兩大體系進(jìn)行規(guī)劃:信息安全技術(shù)防護(hù)體系,信息安全管理體系,結(jié)合《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》和《GB/T 22239-2008 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》進(jìn)行統(tǒng)一規(guī)劃建設(shè)。
4.2. 參考標(biāo)準(zhǔn)及法規(guī)
l 《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》(工信軟函〔2016〕338號(hào))
l 《GB/T 22239-2008 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》
l 《網(wǎng)絡(luò)安全法》
4.3. 技術(shù)設(shè)計(jì)方案
煤炭生產(chǎn)系統(tǒng)整體防護(hù)部署示意圖
l 部署工業(yè)防火墻:控制層與生產(chǎn)執(zhí)行層間無(wú)安全防護(hù),煤礦現(xiàn)場(chǎng)控制層可能受到非法的網(wǎng)絡(luò)訪問(wèn)和惡意代碼的入侵,影響控制器的正常工作。在煤礦控制層與生產(chǎn)執(zhí)行層間部署能夠識(shí)別工控協(xié)議的工業(yè)防火墻產(chǎn)品,將煤礦控制層與生產(chǎn)執(zhí)行層進(jìn)行邏輯隔離,并設(shè)置嚴(yán)格的訪問(wèn)控制策略,通基于IP、端口、協(xié)議等的訪問(wèn)控制設(shè)置,杜絕控制系統(tǒng)的非法訪問(wèn),隔離網(wǎng)絡(luò)攻擊和病毒(包含工業(yè)病毒)的跨區(qū)域的串?dāng)_,保護(hù)工業(yè)環(huán)網(wǎng)的安全運(yùn)行。
l 部署工控IDS:外部網(wǎng)絡(luò)流量需要由執(zhí)行層進(jìn)入控制層,進(jìn)入控制層后沒(méi)有流量檢測(cè)裝置,無(wú)法判斷外部流量生產(chǎn)控制層的是否存在異常網(wǎng)絡(luò)攻擊、惡意代碼等。在控制層和生產(chǎn)執(zhí)行層邊界交換機(jī)旁路部署工控IDS,對(duì)進(jìn)行控制系統(tǒng)的流量進(jìn)行收集、分析和檢測(cè),實(shí)時(shí)監(jiān)測(cè)外部流入的流量是否存在可能導(dǎo)致控制系統(tǒng)異常的攻擊行為和惡意代碼,若發(fā)現(xiàn)網(wǎng)絡(luò)安全威脅可第一時(shí)間產(chǎn)品告警,提示運(yùn)維管理人員采取處置措施。
l 部署主機(jī)防護(hù)軟件:為保證主機(jī)設(shè)備的正常運(yùn)行,煤礦控制系統(tǒng)的操作員站和工程師站基本不安裝殺毒軟件,導(dǎo)致主機(jī)設(shè)備可能存在未被發(fā)現(xiàn)的惡意代碼程序且無(wú)法抵御病毒、木馬等惡意代碼的入侵。在煤礦控制系統(tǒng)的工程師站和操作員站安裝主機(jī)防護(hù)軟件,使用“白名單”技術(shù)固化工程師站和操作員站所能夠運(yùn)行的應(yīng)用軟件,惡意代碼軟件、違規(guī)軟件無(wú)法在工程師站和操作員站運(yùn)行,保護(hù)工程師站和操作員站不受惡意代碼的破壞,能夠安全穩(wěn)定運(yùn)行。通過(guò)對(duì)主機(jī)接口的管理,防止外設(shè)在主機(jī)上隨意使用。
l 部署工控安管平臺(tái):煤礦控制系統(tǒng)在做好信息安全的相關(guān)建設(shè)或整改后,增加了網(wǎng)絡(luò)安全性,但是也增加了一定的管理難度。在控制層部署安全管理平臺(tái),對(duì)所使用的安全產(chǎn)品進(jìn)行統(tǒng)一管理,主要包括數(shù)據(jù)監(jiān)測(cè)、日志收集和報(bào)警展示,通過(guò)使用統(tǒng)一管理平臺(tái)可以大大降低運(yùn)維管理的工作難度和工作量、同時(shí)可采集煤礦控制系統(tǒng)的主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、安全、業(yè)務(wù)軟件的日志進(jìn)行統(tǒng)一留存和管理,運(yùn)維管理人員可通過(guò)統(tǒng)一管理平臺(tái)監(jiān)控全網(wǎng)的報(bào)警信息,發(fā)生安全事件后,可第一時(shí)間采取處置措施。
4.4. 管理設(shè)計(jì)方案
煤炭企業(yè)在進(jìn)行工控安全技術(shù)建設(shè)的同時(shí),也不能忽視工控安全管理建設(shè),我們?cè)谄髽I(yè)安全建設(shè)始終強(qiáng)調(diào)“三分技術(shù),七分管理”。
安全管理體系方面,通過(guò)制定和完善工控網(wǎng)絡(luò)安全管理制度,形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度保障體系,做到有章可循、有法可依、人人有責(zé)的工控網(wǎng)絡(luò)和系統(tǒng)安全建設(shè)格局。
安全制度管理結(jié)合煤炭企業(yè)網(wǎng)絡(luò)安全管理工作現(xiàn)狀,筆者建議制定以下文件:《工控安全管理辦法》、《工控安全部門、崗位職責(zé)文件》、《工業(yè)控制系統(tǒng)介質(zhì)管理程序》、《工業(yè)控制系統(tǒng)外部人員訪問(wèn)管理制度》、《工業(yè)控制系統(tǒng)PLC管理制度》、《工控安全事件管理辦法》等工控安全管理制度。
同時(shí)通過(guò)協(xié)助企業(yè)制定《工控安全應(yīng)急預(yù)案》、《工控安全服務(wù)辦法》,定期組織工業(yè)控制系統(tǒng)信息安全培訓(xùn),定期進(jìn)行風(fēng)險(xiǎn)評(píng)估等,全面實(shí)現(xiàn)企業(yè)整體信息安全防護(hù)。
五、小結(jié)
方案依據(jù)PPDR(安全策略、保護(hù)、檢測(cè)和響應(yīng))安全保障模型設(shè)計(jì),形成“事前防護(hù)-事中監(jiān)測(cè)-事后響應(yīng)”的整體安全防護(hù)策略。簡(jiǎn)化運(yùn)維管理,不需要頻繁升級(jí)特征庫(kù),簡(jiǎn)化運(yùn)維管理工作量,同時(shí)能夠防護(hù)未知惡意代碼或黑客的攻擊。
該方案符合《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》的規(guī)定,安全建設(shè)內(nèi)容滿足等保及檢查要求。
六、致謝
本文在撰寫(xiě)過(guò)程中,得到中煤集團(tuán)管理專家楊峰老師、神華集團(tuán)煤炭安全專家秦偉老師、啟明星辰工控安全專家孟雅輝老師的悉心指導(dǎo),謹(jǐn)此鳴謝。
來(lái)源:FreeBuf
北京市公安局海淀分局備案號(hào):11010802023656號(hào)