黄陵矿业集团有限责任公司（以下简称“黄陵矿业”）是陕西煤业化工集团所属大型现代化核心企业，位于陕西省延安市黄陵县店头镇，是国家“八五”重点建设项目，20项兴陕工程之一。为了紧随国家战略，黄陵矿业进行自动化、智能化建设。随着建设的逐步开展，工业生产网络从封闭逐步走向开放，生产网、管理网、互联网越来越多地相互联通，网络的互通互联造成了生产网络规模越来越复杂，网络威胁和安全风险也在不断增加，发生网络安全事故造成的损失也越来越大。

奇安信集团依托自身强大的工业安全研发能力和多年的煤炭行业经验积累，帮助黄陵矿业构建外部威胁可控、内部风险可知的纵深安全防御体系，切实提高煤矿关键信息基础设施的网络安全^[2]防御能力。

建设黄陵矿业工业控制系统安全运营中心，建成以一号煤矿、煤矸石电厂为试点的煤炭工控安全体系化、细粒度的集煤炭生产工控安全监控、安全管理、安全运营为一体的工业网络安全中心，全面感知黄陵矿业煤炭生产网络中工业安全风险、工控资产、网络漏洞、安全威胁、异常行为等安全状况，从网络安全风险管理的角度出发，将煤炭生产控制网络中的信息资产、网络设备、安全事件、威胁监控、应急响应等环节打通，形成了以“综合安全态势、工业安全态势、网络资产态势、资产漏洞态势、工业威胁态势、异常行为态势、网络监控态势”等7大态势模块实时安全监控和底层多类安全设备协同防御的纵深防御的网络安全体系。该项目目标符合工业互联网创新发展行动计划（2021-2023年）第42条要求：强化网络安全技术保障能力，强化企业自身防护，鼓励支持重点企业建设集中化安全态势感知和综合防护系统，提升网络和数据安全技术能力。

但是由于黄陵矿业网络互联互通、网络规模大、复杂程度高，它所面临的安全威胁是多层面、复杂多样的，主要安全威胁如下：

1、 控制系统边界不清晰：生产控制系统类型较多，生产控制网络边界不清晰，缺乏边界隔离。

2、 工业主机缺乏安全防护：重要工业主机系统陈旧，无法抵御病毒木马攻击。

3、 移动介质缺乏有效管理：工业主机运维过程易出现移动介质病毒感染，缺乏有效管控工具和措施。

4、 工控系统关键设备缺乏审计：缺乏针对工控系统违规操作、越权行为等审计能力。

根据黄陵矿业工业控制系统现阶段的安全现状，结合整体安全整改的必要性，设计智慧矿山工业互联网安全解决方案，实现边界防护、主机安全、监测审计、统一管理的目标。

通过前期调研了解到，应对黄陵矿业进行边界防护、主机安全、监测审计、统一管理的安全防护，通过奇安信工业安全监测系统（ISD）、工业安全主机防护系统（IEP）、工业防火墙（ISG）、工业网闸（ISS）、工业安全态势感知平台（IMAS）等软、硬件组合方式，可以及时发现内部、外部、恶意代码、ATP等攻击，将安全风险降低到可控范围内，减少网络安全事件的发生，保护煤矿企业工控系统高效、稳定运行。

1、 项目总体架构

划分工控网络安全域，隔绝企业资源层、生产管理层、生产监控层的网络攻击；充分考虑网络审计和入侵检测技术对工控网络的重要性，实时监测工控网络内的异常流量及异常行为；对工业主机进行必要的安全防护工作，防止病毒和恶意攻击引起工业主机蓝屏宕机。具体方案如下：

（1）物理隔离：在黄陵矿业的生产网与办公网之间通过工业网闸实现物理隔离，采用“2+1”双主机+专用隔离模块的标准网闸结构以及工业应用协议隔离技术实现企业网络和工业网络两个安全域之间访问控制、协议转换、内容过滤和信息交换；

（2）主机防护+白名单：针对煤炭控制系统主机，采用兼容工业应用软件的工业主机安全防护系统，利用白名单技术阻止控制系统遭到病毒木马和恶意攻击的威胁，确认无误后再接入控制网络。通过工业主机防护控制中心对工业主机终端进行集中策略配置、安全风险管控、终端版本推送、授权管理、以及终端单点维护和功能定制化；

（3）安全隔离：对井工煤矿工控系统的不同区域的边界采用工业防火墙进行安全隔离。通过深度解析多种工控协议，运用“白名单+智能学习”技术建立煤矿工控网络安全通信模型，阻断一切非法访问，仅允许可信的流量在网络上传输，达到对重要控制系统的安全保护目的；

（4）安全监控与审计：对工业环境的资产、异常行为、非法访问等通过工业安全监测系统进行集中监控和安全审计，实现区域内控制网络安全状况实时反馈，对外部入侵的行为进行告警，同时生成当前生产网络的行为日志和运行日志，便于安全事件的追溯和分析。

（5）可视化呈现：将工业环境的网络安全状态通过工业安全态势感知与管理平台进行“可视化”的呈现，全面提高该煤炭企业的工业安全防护的整体水平。

该防御体系的建立是采用工业网络安全领域的先进大数据分析技术、可视化技术、人工智能分析技术、态势感知技术等国内领先的技术和手段，深入煤炭生产的实际业务场景，结合“智慧矿山”的技术发展路线进行业务安全场景的研究与应用，依靠现有的装备和技术升级促进煤炭生产方式根本性变革，为快速推进煤炭开采智能化、现场作业自动化、固定设施无人化、运营管理信息化提供重要的工业信息安全保障，为陕煤集团推进“智慧矿山”的最佳实践及国家工业互联网“新基建”建设提供重要的实践经验。

2、 核心功能和技术指标

本项目在智慧矿山行业背景下实现以下安全功能和技术指标：

（1）一体化防护能力。“关卡式”病毒拦截：可从入口进行外设管控、病毒防护、“永恒之蓝”漏洞防御，在运行时进行白名单管控和主机加固，病毒扩散时进行网络防护，从而进行一体化全方面安全防护。

（2）资产分析管理能力。“自助式”资产登记：进行硬件自动识别和编号、用户信息等资产自助登记，构建基于组织架构的资产风险管控体系，进行全局资产分析和安全管理。

（3）集中运维管理能力。“集中式” 运维管理：配置策略集中管理和日志、风险集中展示和分析，可以进行单机版、网络版、级联部署灵活部署，针对每个客户端可进行灵活的模块配置、权限配置、页面配置、扫描时间配置，满足工业主机现场定制化安全策略需求。

（4）工业协议深度识别。支持对OPC、S7、Modbus、IEC104、DNP3、FINS、BACNet等多种工业协议报文深度达值域级解析，支持100种工业协议识别，支持工业协议合规性和畸形包检查。

（5）白名单防护机制。四重白名单防护体系，构建安全白环境；三段式运行模式，稳妥渐进实现安全防护；安全防护白名单自动生成、自动校验；白名单告警一键追加。

（6）IT+OT一体化防护更适应工业互联网。具备IT防火墙网络层防护和应用层防护能力，具备完整的AV、IPS防护能力，且支持HA、VPN功能。

（7）自动资产发现。基于被动流量发现资产，支持多种厂商型号控制器，包括西门子，施耐德，罗克韦尔等。通过自动学习建立工控通信模型，形成资产白名单，监测非法设备接入。支持资产管理，可管理厂商名称、设备类型、设备型号、IP地址、MAC地址、使用协议、重要性等。

（8）无损漏洞识别。对识别后的资产进行脆弱性检查，包括资产所对应的漏洞信息、开放的端口和不安全的协议。其中漏洞识别支持3大漏洞库CVE，CNVD，CNNVD，覆盖220+厂商，3300+条漏洞。由于是被动的流量识别，相对于主动漏洞扫描的方式安全无损。

（9）网络威胁检测。系统内嵌IDS入侵检测引擎和AV反病毒引擎，实时检测工控系统网络中的威胁行为。IDS引擎支持缓冲区溢出、跨站脚本、拒绝服务、恶意扫描、SQL注入、WEB攻击等。AV引擎支持对传统IT协议中传输的文本、附件内容进行解析提取。对提取后的数据进行病毒扫描，支持的协议包括HTTP、FTP、SMTP、POP3、IMAP、SMB等。

（10）动态大屏展示。为用户提供了大屏展示模块和仪表盘功能，提供全面实时的信息展示。从资产、协议流量、网络威胁等多个视角，结合实时曲线、动态占比、动态排行等显示模块，对工控系统网络安全状况进行直观展示。

先进性及创新点

（1）工业资产风险分析，提高运维效率。工业主机安全防护系统能够基于工业资产进行全面梳理和安全防护，对生产网中主机进行安全风险分析和配置策略下发和集中管理，提升工业生产网安全运维便捷性，保证管理员对于工业主机安全风险第一时间进行处置和响应。

（2）IT、OT一体化防护。针对工控网络中IT、OT流量进行全方位安全防护，通过应用识别、深度数据包解析以及一体化安全策略进行安全过滤，结合白名单、入侵防御、病毒检测等技术进行安全威胁检测和防护，保障工控网络安全。

（3）以资产为中心。工业安全监测系统通过资产自动识别、资产管理、资产网络关系图绘制，提供了以资产为中心的安全管理视角。工业生产流程比较固定，相较于以告警事件为中心的威胁分析方案，以资产为中心的漏洞发现与风险分析更符合工业环境管理习惯。级联无损部署方式，不影响生产。

（4）多功能合一。工业安全监测系统集流量审计、AV检测、IDS检测、白名单监测、工控关键操作监测引擎于一体，全面检测工业网络的病毒传播、入侵行为。兼备传统IT网络与工控网络安全检测能力，适合IT/OT混合网络环境。同时满足合规要求和安全监测的要求。

通过基于工业主机防护、工业边界防护、工业安全监测、安全管理等安全机制，建立该矿业公司井工矿工业网络安全管理及态势感知的整体安全体系，能够有效监控该矿业公司工业系统的运行状态，实时监测和发现工业网络环境中的安全威胁，从而降低该企业工业安全风险。

该纵深防御解决方案基于典型的工业控制系统普渡模型进行设计，适用于工业互联网生产网企业内的安全建设，可形成智慧矿山场景的整体解决方案，符合工业互联网创新发展行动计划（2021-2023年）第34条要求：培育领先企业。大力培育工业互联网技术创新企业，带动工业互联网关键技术和前沿创新能力整体提升。培育一批工业互联网系统解决方案供应商，面向重点行业与典型场景打造整体解决方案和集成技术产品。