智慧礦山工業互聯網安全縱深防禦體系建設檢視原始碼討論檢視歷史

來自 搜狐網 的圖片

智慧礦山工業互聯網安全縱深防禦體系建設近年來，隨着「數字礦山」、「智慧礦山」等先進生產技術和生產模式的發展，煤炭行業與工業互聯網^[1]的融合及促進已勢不可擋。國家高度重視智慧礦山發展工作，2020年3月，國家發展改革委，國家能源局等八部門聯合印發《關於加快煤礦智能化發展的指導意見》，促進煤炭產業轉型升級。

一、案例簡介

黃陵礦業集團有限責任公司（以下簡稱「黃陵礦業」）是陝西煤業化工集團所屬大型現代化核心企業，位於陝西省延安市黃陵縣店頭鎮，是國家「八五」重點建設項目，20項興陝工程之一。為了緊隨國家戰略，黃陵礦業進行自動化、智能化建設。隨着建設的逐步開展，工業生產網絡從封閉逐步走向開放，生產網、管理網、互聯網越來越多地相互聯通，網絡的互通互聯造成了生產網絡規模越來越複雜，網絡威脅和安全風險也在不斷增加，發生網絡安全事故造成的損失也越來越大。

奇安信集團依託自身強大的工業安全研發能力和多年的煤炭行業經驗積累，幫助黃陵礦業構建外部威脅可控、內部風險可知的縱深安全防禦體系，切實提高煤礦關鍵信息基礎設施的網絡安全^[2]防禦能力。

二、案例背景介紹

建設黃陵礦業工業控制系統安全運營中心，建成以一號煤礦、煤矸石電廠為試點的煤炭工控安全體系化、細粒度的集煤炭生產工控安全監控、安全管理、安全運營為一體的工業網絡安全中心，全面感知黃陵礦業煤炭生產網絡中工業安全風險、工控資產、網絡漏洞、安全威脅、異常行為等安全狀況，從網絡安全風險管理的角度出發，將煤炭生產控制網絡中的信息資產、網絡設備、安全事件、威脅監控、應急響應等環節打通，形成了以「綜合安全態勢、工業安全態勢、網絡資產態勢、資產漏洞態勢、工業威脅態勢、異常行為態勢、網絡監控態勢」等7大態勢模塊實時安全監控和底層多類安全設備協同防禦的縱深防禦的網絡安全體系。該項目目標符合工業互聯網創新發展行動計劃（2021-2023年）第42條要求：強化網絡安全技術保障能力，強化企業自身防護，鼓勵支持重點企業建設集中化安全態勢感知和綜合防護系統，提升網絡和數據安全技術能力。

但是由於黃陵礦業網絡互聯互通、網絡規模大、複雜程度高，它所面臨的安全威脅是多層面、複雜多樣的，主要安全威脅如下：

1、 控制系統邊界不清晰：生產控制系統類型較多，生產控制網絡邊界不清晰，缺乏邊界隔離。

2、 工業主機缺乏安全防護：重要工業主機系統陳舊，無法抵禦病毒木馬攻擊。

3、 移動介質缺乏有效管理：工業主機運維過程易出現移動介質病毒感染，缺乏有效管控工具和措施。

4、 工控系統關鍵設備缺乏審計：缺乏針對工控系統違規操作、越權行為等審計能力。

根據黃陵礦業工業控制系統現階段的安全現狀，結合整體安全整改的必要性，設計智慧礦山工業互聯網安全解決方案，實現邊界防護、主機安全、監測審計、統一管理的目標。

三、案例應用詳情

通過前期調研了解到，應對黃陵礦業進行邊界防護、主機安全、監測審計、統一管理的安全防護，通過奇安信工業安全監測系統（ISD）、工業安全主機防護系統（IEP）、工業防火牆（ISG）、工業網閘（ISS）、工業安全態勢感知平台（IMAS）等軟、硬件組合方式，可以及時發現內部、外部、惡意代碼、ATP等攻擊，將安全風險降低到可控範圍內，減少網絡安全事件的發生，保護煤礦企業工控系統高效、穩定運行。

1、 項目總體架構

劃分工控網絡安全域，隔絕企業資源層、生產管理層、生產監控層的網絡攻擊；充分考慮網絡審計和入侵檢測技術對工控網絡的重要性，實時監測工控網絡內的異常流量及異常行為；對工業主機進行必要的安全防護工作，防止病毒和惡意攻擊引起工業主機藍屏宕機。具體方案如下：

（1）物理隔離：在黃陵礦業的生產網與辦公網之間通過工業網閘實現物理隔離，採用「2+1」雙主機+專用隔離模塊的標準網閘結構以及工業應用協議隔離技術實現企業網絡和工業網絡兩個安全域之間訪問控制、協議轉換、內容過濾和信息交換；

（2）主機防護+白名單：針對煤炭控制系統主機，採用兼容工業應用軟件的工業主機安全防護系統，利用白名單技術阻止控制系統遭到病毒木馬和惡意攻擊的威脅，確認無誤後再接入控制網絡。通過工業主機防護控制中心對工業主機終端進行集中策略配置、安全風險管控、終端版本推送、授權管理、以及終端單點維護和功能定製化；

（3）安全隔離：對井工煤礦工控系統的不同區域的邊界採用工業防火牆進行安全隔離。通過深度解析多種工控協議，運用「白名單+智能學習」技術建立煤礦工控網絡安全通信模型，阻斷一切非法訪問，僅允許可信的流量在網絡上傳輸，達到對重要控制系統的安全保護目的；

（4）安全監控與審計：對工業環境的資產、異常行為、非法訪問等通過工業安全監測系統進行集中監控和安全審計，實現區域內控制網絡安全狀況實時反饋，對外部入侵的行為進行告警，同時生成當前生產網絡的行為日誌和運行日誌，便於安全事件的追溯和分析。

（5）可視化呈現：將工業環境的網絡安全狀態通過工業安全態勢感知與管理平台進行「可視化」的呈現，全面提高該煤炭企業的工業安全防護的整體水平。

該防禦體系的建立是採用工業網絡安全領域的先進大數據分析技術、可視化技術、人工智能分析技術、態勢感知技術等國內領先的技術和手段，深入煤炭生產的實際業務場景，結合「智慧礦山」的技術發展路線進行業務安全場景的研究與應用，依靠現有的裝備和技術升級促進煤炭生產方式根本性變革，為快速推進煤炭開採智能化、現場作業自動化、固定設施無人化、運營管理信息化提供重要的工業信息安全保障，為陝煤集團推進「智慧礦山」的最佳實踐及國家工業互聯網「新基建」建設提供重要的實踐經驗。

2、 核心功能和技術指標

本項目在智慧礦山行業背景下實現以下安全功能和技術指標：

（1）一體化防護能力。「關卡式」病毒攔截：可從入口進行外設管控、病毒防護、「永恆之藍」漏洞防禦，在運行時進行白名單管控和主機加固，病毒擴散時進行網絡防護，從而進行一體化全方面安全防護。

（2）資產分析管理能力。「自助式」資產登記：進行硬件自動識別和編號、用戶信息等資產自助登記，構建基於組織架構的資產風險管控體系，進行全局資產分析和安全管理。

（3）集中運維管理能力。「集中式」 運維管理：配置策略集中管理和日誌、風險集中展示和分析，可以進行單機版、網絡版、級聯部署靈活部署，針對每個客戶端可進行靈活的模塊配置、權限配置、頁面配置、掃描時間配置，滿足工業主機現場定製化安全策略需求。

（4）工業協議深度識別。支持對OPC、S7、Modbus、IEC104、DNP3、FINS、BACNet等多種工業協議報文深度達值域級解析，支持100種工業協議識別，支持工業協議合規性和畸形包檢查。

（5）白名單防護機制。四重白名單防護體系，構建安全白環境；三段式運行模式，穩妥漸進實現安全防護；安全防護白名單自動生成、自動校驗；白名單告警一鍵追加。

（6）IT+OT一體化防護更適應工業互聯網。具備IT防火牆網絡層防護和應用層防護能力，具備完整的AV、IPS防護能力，且支持HA、VPN功能。

（7）自動資產發現。基於被動流量發現資產，支持多種廠商型號控制器，包括西門子，施耐德，羅克韋爾等。通過自動學習建立工控通信模型，形成資產白名單，監測非法設備接入。支持資產管理，可管理廠商名稱、設備類型、設備型號、IP地址、MAC地址、使用協議、重要性等。

（8）無損漏洞識別。對識別後的資產進行脆弱性檢查，包括資產所對應的漏洞信息、開放的端口和不安全的協議。其中漏洞識別支持3大漏洞庫CVE，CNVD，CNNVD，覆蓋220+廠商，3300+條漏洞。由於是被動的流量識別，相對於主動漏洞掃描的方式安全無損。

（9）網絡威脅檢測。系統內嵌IDS入侵檢測引擎和AV反病毒引擎，實時檢測工控系統網絡中的威脅行為。IDS引擎支持緩衝區溢出、跨站腳本、拒絕服務、惡意掃描、SQL注入、WEB攻擊等。AV引擎支持對傳統IT協議中傳輸的文本、附件內容進行解析提取。對提取後的數據進行病毒掃描，支持的協議包括HTTP、FTP、SMTP、POP3、IMAP、SMB等。

（10）動態大屏展示。為用戶提供了大屏展示模塊和儀錶盤功能，提供全面實時的信息展示。從資產、協議流量、網絡威脅等多個視角，結合實時曲線、動態占比、動態排行等顯示模塊，對工控系統網絡安全狀況進行直觀展示。

四、成果創新性與優勢

先進性及創新點

（1）工業資產風險分析，提高運維效率。工業主機安全防護系統能夠基於工業資產進行全面梳理和安全防護，對生產網中主機進行安全風險分析和配置策略下發和集中管理，提升工業生產網安全運維便捷性，保證管理員對於工業主機安全風險第一時間進行處置和響應。

（2）IT、OT一體化防護。針對工控網絡中IT、OT流量進行全方位安全防護，通過應用識別、深度數據包解析以及一體化安全策略進行安全過濾，結合白名單、入侵防禦、病毒檢測等技術進行安全威脅檢測和防護，保障工控網絡安全。

（3）以資產為中心。工業安全監測系統通過資產自動識別、資產管理、資產網絡關係圖繪製，提供了以資產為中心的安全管理視角。工業生產流程比較固定，相較於以告警事件為中心的威脅分析方案，以資產為中心的漏洞發現與風險分析更符合工業環境管理習慣。級聯無損部署方式，不影響生產。

（4）多功能合一。工業安全監測系統集流量審計、AV檢測、IDS檢測、白名單監測、工控關鍵操作監測引擎於一體，全面檢測工業網絡的病毒傳播、入侵行為。兼備傳統IT網絡與工控網絡安全檢測能力，適合IT/OT混合網絡環境。同時滿足合規要求和安全監測的要求。

通過基於工業主機防護、工業邊界防護、工業安全監測、安全管理等安全機制，建立該礦業公司井工礦工業網絡安全管理及態勢感知的整體安全體系，能夠有效監控該礦業公司工業系統的運行狀態，實時監測和發現工業網絡環境中的安全威脅，從而降低該企業工業安全風險。

該縱深防禦解決方案基於典型的工業控制系統普渡模型進行設計，適用於工業互聯網生產網企業內的安全建設，可形成智慧礦山場景的整體解決方案，符合工業互聯網創新發展行動計劃（2021-2023年）第34條要求：培育領先企業。大力培育工業互聯網技術創新企業，帶動工業互聯網關鍵技術和前沿創新能力整體提升。培育一批工業互聯網系統解決方案供應商，面向重點行業與典型場景打造整體解決方案和集成技術產品。

參考文獻