紫金山金铜矿工业互联网安全防护体系建设项目查看源代码讨论查看历史

来自 搜狐网 的图片

紫金山金铜矿工业互联网安全防护体系建设项目2021年2月，紫金矿业集团股份有限公司紫金山金铜矿（以下简称“紫金山金铜矿”）被指定为工信部工业互联网企业网络安全分类分级管理试点，且经福建省工信厅、信通院组织现场评审，紫金山金铜矿工业互联网网络安全^[1]防护等级确定为三级，依据工信部《工业互联网企业网络安全分类分级防护系列规范（试行）》中的“增强级防护要求”组织开展网络安全防护工作。

紫金山金铜矿工业互联网网络安全保障机制建设分为技术、管理和运营三大层面，保障防护能力的提升要通过强化安全技术水平、建设安全管理体系和推动安全运营等手段来综合实现。技术是支撑、管理是保障、运营是能力输出，三位一体协调联动，从多个层面有机协调部署稳步推进，共同构筑工业信息安全保障体系。

在项目建设完成后，将直接在紫金矿业集团全球范围内的28个矿业投资项目中推广本次项目的实施经验，将为国内矿业行业的工业互联网安全体系建设提供借鉴。

需求分析

1. 客户背景

紫金矿业集团股份有限公司是一家以金铜等金属矿产资源^[2]勘查和开发为主的大型跨国矿业集团。公司资产规模、营业收入和累计利税均超过1300 亿元，是中国矿业行业效益最好、控制金属矿产资源最多、最具竞争力的大型矿业公司之一。

紫金山金铜矿是紫金矿业集团股份有限公司的唯一直属生产单位。近年来，随着信息化建设的推进，多套工业信息化系统被用于紫金山金铜矿的生产、管理领域，业务流程的自动化水平、效率都有显著提升。但信息化为企业生产带来便利的同时，也为产生新的网络安全风险，因此，有必要为IT、OT环境所面临的网络和数据安全风险进行识别、分析、处置、持续评估等活动。

2021年2月，紫金山金铜矿被指定为工信部工业互联网企业网络安全分类分级管理试点；2021年5月，经省工信厅、信通院组织现场评审，紫金山金铜矿工业互联网网络安全防护等级确定为三级，将依据工信部《工业互联网企业网络安全分类分级防护系列规范（试行）》中的“增强级防护要求”组织开展网络安全防护工作。

2021年5月-10月，紫金山金铜矿根据相关整改建议持续开展整改加固工作，并于8月份将整改计划反馈省工信厅。同时，申请项目资金，用于工业互联网网络安全基础设施的增补及完善，目前已完成招标商务工作，项目实施处于收尾阶段。

2. 实施目标

本项目以紫金山金铜矿的业务场景为工业互联网网络安全需求来源，以控制紫金山金铜矿的企业网络安全风险为最终目标。解决方案需为紫金山金铜矿的工业互联网网络安全建设提供技术、管理、运营的整体安全架构。

本项目以《工业互联网企业网络安全分类分级管理指南》、《工业互联网企业网络安全分类分级防护系列规范》等文件为主要合规依据，以行业内其他工业互联网企业的IT/OT网络安全最佳实践为参考，结合紫金山金铜矿的业务运营特点，为同业的网络安全建设提供示范参考。

3. 面临挑战

目前，工业互联网已经应用到紫金山金铜矿矿石开采、运输、破碎、浮选及安全环保的每一个环节，显著提升了生产经营效率，可是面临着典型安全问题及痛点难点。具体如下：

（1）安全技术痛点

1）病毒感染。现场组态软件客户端操作系统补丁未升级，未安装杀毒软件，外部U盘或局域网拷贝时可能造成蠕虫病毒爆发，对矿区工控系统运行造成影响。

2）设备故障。DCS系统、网络基础设施运行过程中出现故障，可能导致现场控制网络瘫痪。

3）入侵风险。现场工业互联网允许远程运维，但未采取VPN等安全技术手段，远程端口直接开发至互联网，存在外部入侵风险。

4）违规操作。对于工业互联网及工业控制系统运维操作，缺乏安全管控及操作审计措施，一旦发生违规操作，将直接影响生产安全。

5）网络攻击。网络边界缺乏入侵防御设施，如发生网络攻击，则无法进行有效拦截，可能直接对生产造成威胁。

6）安全设备零散分布，需实现对安全事件的集中管理，需支持安全事件基于规则的聚合，实现安全事件的闭环管理。

（2）安全管理痛点

1）组织结构人员职责不完善，专业人员缺乏。

针对工控系统信息安全设置相关管理工作的职能部门，以及明确安全管理机构各个部门和岗位的职责、分工和技能要求。未详细划分各个方面的负责人岗位和职责；同时普遍缺乏信息安全人才。

2）人员信息安全培训不足，技术和管理能力以及人员安全意识有待提高。

针对工控系统的业务培训，面向全员的信息安全意识宣传，信息安全技术和管理培训均比较缺乏，需加强信息安全体系化宣传和培训。

解决方案

本次项目方案结合紫金山金铜矿工业互联网安全防护要求，从网络安全管理、设备安全防护、控制安全防护、网络安全防护、数据安全防护、工业APP安全防护、物理和环境安全防护七个维度出发，开展工业互联网安全建设工作。

参考文献