项目背景：

近年来，煤炭行业与工业互联网的融合发展已势不可挡，数字矿山、智慧矿山是现阶段矿山建设的重要规划，国家发改委、能源局、应急部、工信部、国家矿山安监局等部门近三年陆续发出多个煤矿智能化建设的行业相关政策。同时，内蒙、山西、陕西也发布了煤矿智能化建设的地方政策要求，加快推进矿山的智能化建设，实现监控、生产、维护、安全等多环节少人化或无人化建设。按照国家信息安全等保防护要求，煤矿的矿用有线调度通信系统、井下应急广播系统、煤矿安全监控系统、煤矿井下作业人员管理系统、煤矿图像监视系统、煤矿产量监控系统等六大系统和工作面工业控制系统需满足等保三级要求。矿山的数字化转型建设，需要在实现数字平台的同时，确保煤矿的生产网络满足等级保护的相关要求，全方面为煤矿的业务系统提供立体、纵深的安全保障防御体系，为数字化转型落地保驾护航。

参考依据：

《中华人民共和国网络安全法》


《信息安全技术-网络安全等级保护基本要求》

（GB/T 22239-2019）


《信息安全技术-关键信息基础设施安全保护要求》

（GB/T39204 2022）


《煤矿智能化建设指南（2022年版）》


《煤炭企业工业控制系统网络安全建设规范》

客户需求：

我国煤炭行业信息化发展滞后，缺乏整体信息安全规划。煤炭开采属于关键信息基础设施，生产现场防护能力薄弱，运行在矿山控制系统中的数据及操作指令随时可能遭受来自敌对势力、商业间谍、网络犯罪团伙的破坏。IT通用化加剧了系统的安全隐患，IT技术将传统安全的困扰引入到工业控制系统中，危及控制系统安全。通过分析发现，煤炭行业工业控制系统常见的安全威胁，主要来自以下几个方面。

纵深防御体系建设需求

01
边界隔离措施缺失

煤炭企业的生产网和办公网边界普遍已具备安全隔离措施，但是生产网络内部的不同区域之间普遍都是“敞开的”。例如井上、井下生产网络及数据缓冲区域边界缺乏有效的隔离，尤其缺乏针对生产控制网络中OPC、ModBus等工控协议通讯的有效检测防护。

智慧矿山的智能化控制系统通过工控协议对远端的PLC进行控制，常规的IT防火墙无法解析工控协议，因此很难保障其安全性。一旦这些控制权被不良意图黑客所掌握，后果将不堪设想。
02
终端系统问题严重

矿山的上位机/操作站主要是Windows和Linux系统。由于担心影响矿山控制软件的正常运行，现场很少对操作系统进行安全补丁升级、基线策略加固，也未全面安装并及时更新防病毒软件，恶意代码如何防护成为现场的痛点问题。
03
移动存储介质滥用

U盘是井上调度中心、服务器区域数据摆渡的重要方式，由于缺乏安全意识，导致病毒木马借助U盘在矿山的内外网之间传播，并以感染的终端为跳板扩散至整个生产系统，造成严重的安全隐患。
04
安全威胁监测预警能力不足

近年行业内的安全事件显示，APT攻击已经成为工控系统安全的最大杀手。如何在矿山生产网中提高有效的监测预警能力，及时发现威胁事件，是矿山安全监测预警体系建设中的迫切需求。
05
人员管理内控措施不足

煤炭企业生产网络的运维普遍采取外包方式，第三方运维时仅通过矿方简单授权即可对关键工控设备进行操作，缺乏对违规操作、越权访问等行为的审计措施。
06
事件关联分析能力不足

目前矿山基于策略的被动防护，即便出现了异常事件，亦被湮没在海量的告警当中，或者多台设备发现了入侵事件的迹象，但是缺乏横向关联和深度挖掘能力，导致安全事件在初始阶段无法被及时处理。矿山的安全建设，亟需提高安全事件的关联分析能力，实现网络态势的预判预警，为管理者决策提供强有力的数据支撑。

网络安全集中管控需求

煤炭集团的网络及安全设备普遍由多厂商设备组成，部署位置分散，日常运维管理很难做到及时、快捷，因此需要加强网络安全集中管控建设，对网络中不同地理位置、不同厂商、不同类型的安全设备进行集中式监管。

工控网络安全态势感知需求

国家及行业要求构建关键信息基础设施安全保障体系，实现对工控网络的可视化管理，对网络漏洞情况、安全事件、网络威胁等风险监测预警，提供网络安全态势展示、关联分析和应急处置能力。

总体方案设计

建设目标：按照国家及行业要求，结合矿山工业控制系统网络安全现状，构建工业网络安全防护体系，提升矿山系统工控网络的安全监管水平和防御能力。

01
实时监测

对矿山系统关键信息基础设施的网络运行状态，流量及恶意代码攻击行为进行全面实时监测。
02
动态感知

基于大数据技术展开动态实时的网络安全态势感知，对管辖范围内的网络安全态势进行持续监测和准确感知，实现网络安全从被动防御到主动预警的突破。
03
集中管控

在矿山关键信息基础设施的安全设备进行集中式管控，制定统一的安全策略，实现全网的统一监控和管理。

设计思路：建立矿山集团的全网安全监测与态势感知系统，依托大数据、人工智能等技术提高安全态势感知和监测预警能力，掌握全网安全态势，事件预判，及时调整安全防护策略，提高关键信息基础设施的安全防御能力。安全体系建设分为两个部分：


第一部分的工作是基础安全体系能力建设。包括各节点的安全区域边界防护、监测预警、主机加固、安全审计、溯源取证和集中管控等基础性的纵深防御能力建设。


第二部分的工作是安全能力的提高优化，态势研判，包括综合审计、风险预报、情报共享。

1)形成融合多种业务的安全监测体系，安全产品策略进一步优化。

2)搭建态势感知预警平台，采用大数据技术对基础数据进行关联分析，加强工控系统潜在安全威胁的深度挖掘，建立统一高效的网络安全风险预警能力。



▲ 整体安全防护示意图


01
安全边界隔离控制

通过部署工业防火墙、工业网闸产品实现内部数据传输的访问控制、流量过滤，对工控协议的深度解析，运用“白名单+智能学习”技术建立工控网络安全通信模型，有效防止外部网络的攻击及内部区域之间的非法访问等行为。
02
网络入侵监测预警

通过部署工控入侵检测系统，实时监测控制网络流量，及时发现网络入侵威胁，为工控网络提供风险预警功能。
03
主机安全加固防护

主机安全防护采用两种方式进行加固；

工控主机安全卫士：在操作员站、工程师站及服务器上安装工控主机安全卫士，实现终端非法程序的执行控制，基线加固和外设管控，禁止便携硬盘、CD 刻录机、打印机或其它 USB 设备连接到系统。

USB安全防护系统：通过部署安全防护系统，切断病毒入侵途径，解决外部病毒、木马等威胁源通过USB存储介质进入工控网络的风险隐患，提供USB存储介质全生命周期的安全管控。
04
工业异常监测预警

通过部署工控安全监测与审计系统，实现工控资产识别和漏洞无损发现，基于工业流量的深度分析，行为基线，实现生产网中各种流量行为、工艺操作指令内容的异常检测，风险告警。
05
统一安全管理中心

通过部署工控安全管理平台，针对工控网络中新增的各种安全设备（工业防火墙、工控安全监测与审计系统、主机卫士）进行统一管理、配置、授权和响应；针对原有安全产品进行状态监测，安全事件管理，把各分支节点的告警数据通过标准化接口对接至工控态势感知平台，以可视化的方式呈现关键业务资产的安全事件和潜在威胁。


通过部署堡垒机、日志审计系统、数据库审计系统、漏洞扫描系统等产品，从系统自身脆弱性、人员行为管控审计、溯源取证等方面为安全管理提供数据支撑。
06
工业态势感知平台

工控网络安全态势感知平台属于矿山集团关键信息基础设施安全体系的核心平台。该平台在安全设施运行状态采集、网络安全威胁信息采集、大数据存储与分析平台等的支撑下，可对管辖范围内的工控网络安全态势进行持续监测和准确感知，及时发现重大网络安全威胁，提供全方位、全天候的网络安全态势感知能力。
图片

客户价值
beat365手机版官方网站工业互联网安全防护解决方案提供矿山从集团到分支的整体安全规划建设，构建以工业互联网安全为核心的“精准化防控、数字化协同、产业化发展” 场景化安全解决方案，针对矿山关键信息基础设施的潜在漏洞和后门攻击风险，构建安全防护、监测预警、溯源管控相结合的 “全场景、可信任、实战化”的关键信息基础设施安全防护体系，最终实现关键信息基础设施“全面防护，智能分析，自动响应”的防护效果，此方案满足国家及行业监管要求，可为相关企业数字化转型保驾护航！