煤矿工业控制系统信息安全解决方案：煤矿工业控制系统信息安全解决方案

煤矿工业控制系统信息安全解决方案：煤矿工业控制系统信息安全解决方案序号网络设备-交换机矿井综合自动化系统主要包括（按照功能区域划分）：地上系统-安全监测系统、压风制氮系统、锅炉控制系统、洗煤厂控制系统、主通风系统、35KV变配电控制系统、水泵房控制系统、主井提升系统、副井提升系统、网络机房、调度中心等。井下系统-输煤机控制系统、 850、 650水泵房控制系统、采区控制系统等。控制系统以PLC为主，各种类型厂家的均会采用，主要以西门子400、300、200系列、AB小型PLC SLC 5/04 CPU、ComPact L35E，施耐德Premiu PLC等为主。图1 煤炭控制网络架构图煤矿工业控制系统设备资源情况：

摘要：矿井综合自动化系统是整个矿井安全生产监控系统信息的集成，它需要一个快速、安全、可靠的网络平台为大量的信息流动提供支撑，同时要有一个功能全面的安全生产信息应用系统为矿井安全生产提供科学调度、决策的依据。

关键词：煤炭 自动化 网络安全

一、概述

矿井综合自动化系统是指在工业生产、管理、经营过程中，通过信息基础设施，在集成平台上，实现信息的采集、信息的传输、信息的处理以及信息的综合利用等。将先进和自动控制、通讯、信息技术和现化管理技术结合，将企业的生产过程控制、运行与管理作为一个整体进行控制与管理，提供整体解决方案，以实现企业的优化运行、控制和管理。

矿井综合自动化系统主要包括（按照功能区域划分）：地上系统-安全监测系统、压风制氮系统、锅炉控制系统、洗煤厂控制系统、主通风系统、35KV变配电控制系统、水泵房控制系统、主井提升系统、副井提升系统、网络机房、调度中心等。井下系统-输煤机控制系统、 850、 650水泵房控制系统、采区控制系统等。控制系统以PLC为主，各种类型厂家的均会采用，主要以西门子400、300、200系列、AB小型PLC SLC 5/04 CPU、ComPact L35E，施耐德Premiu PLC等为主。

图1 煤炭控制网络架构图

煤矿工业控制系统设备资源情况：

• 网络设备-交换机

序号	设备类型/名称	规格型号	物理位置	主要用途	品牌
1	交换机/普通	EDS-208	主通风系统控制室	将主通风系统设备链接	摩莎
2	交换机/环网	MS-4128-L3P	主通风系统控制室	将主通风系统链接至环网	赫斯曼
3	交换机/普通	TL-SF1008	调度中心机房	将调度中心设备链接至核心交换机	TP-Link
4	交换机/环网	M4-AIR	101网络机房	工业环网核心交换机	赫斯曼
5	交换机/环网	M4-AIR	101网络机房	工业环网核心交换机	赫斯曼
6	交换机/普通	TL-SF1008	锅炉系统控制机房	将锅炉系统设备链接	TP-Link
7	交换机/环网	MS-4128-L3P	锅炉系统控制机房	将锅炉系统链接至环网	赫斯曼
8	交换机/环网	MS-4128-L3P		将洗煤厂链接至环网	赫斯曼
9	交换机/普通	H3CS5120Series	洗煤厂设备机房	洗煤厂设备链接	华三
10	交换机/普通	DGS-10160	洗煤厂监控中心	洗煤厂设备链接	D-Link
11	交换机/环网	MS-4128-L3P	副井提升控制室	将副井提升系统链接至环网	赫斯曼
12	交换机/环网	MS-4128-L3P	850变电所（井下）	将 850水泵房设备至环网	赫斯曼
13	交换机/环网	MS-4128-L3P	650变电所（井下）	将 650水泵房设备 850变电所交换机	赫斯曼
14	交换机/环网	MS-MS30	采区上部车场（井下）	将采区运输下山皮带控制系统设备链接至 650变电所交换机	赫斯曼
15	交换机/环网	MS-MS30	主井n#洞室（井下）	将输煤系统设备链接至环网	赫斯曼
16	交换机/环网	MS-4128-L3P	主井提升控制机房	将主井提升系统设备链接至环网	赫斯曼
17	交换机/环网	MS-4128-L3P	生活水泵房控制室	将生活水泵房设备链接至环网	赫斯曼
18	交换机/环网	MS-4128-L3P	35KV变电所监控室	将35KV变电所设备链接至环网	赫斯曼
19	交换机/环网	MS-4128-L3P	通风楼机房	将安全监测系统设备链接至环网	赫斯曼
20	交换机/普通	H3CS5120Series	通风楼机房	安全监测系统设备链接	华三
21	交换机/普通	TL-SF1008	制氮机房	制氮系统设备链接	TP-Link
22	交换机/普通	EKI-2528	制氮机房	制氮系统设备链接	研华
23	交换机/环网	MS-4128-L3P	污水处理站		赫斯曼
24	交换机/环网	MS-4128-L3P	矿井水处理机房		赫斯曼

• 主机设备

序号	设备类型/名称	规格型号	物理位置	主要用途	品牌	操作系统及补丁
1	工控机/操作员站	IPC-610L	调度中心	运行SCADA系统客户端1	研华	WindowsServer2008R264BIT标准版补丁未更新
2	服务器	IBMSystemx3650M3	网络机房	综合自动化数采服务器	IBM	WindowsServer2008标准版SP232BIT补丁未更新
3	服务器	IBMSystemx3650M3	网络机房	综合自动化WEB服务器	IBM	WindowsServer2008标准版SP232BIT补丁未更新
4	服务器	联想Systemx3850x6	网络机房	综合自动化主运行服务器	联想	WindowsServer2008r2标准版SP164BIT补丁未更新
5	工控机/操作员站/工程师站	IPC-610H	锅炉控制室	运行，维护锅炉SCADA监控系统	研华	WindowsXP专业版SP3补丁未更新
6	工控机/操作员站	IPC-610L	副井提升控制室	运行副井提升SCADA监视系统	研华	WindowsXP专业版SP3补丁未更新
7	工控机/操作员站	IPC-610L	主井提升控制机房	运行主井提升SCADA监控系统	研华	WindowsServer2003SP2标准版补丁未更新
8	工控机/操作员站	IPC-610H	主井提升控制机房	运行井下人员定位发布系统	研华	WindowsXP专业版SP3补丁未更新
9	工控机/操作员站	IPC-610MB-L	35KV变电所监控室	运行电力监控系统软件	研华	WindowsXP专业版SP3补丁未更新
10	工控机/操作员站	OPTIPLEX3020	35KV变电所监控室	运行五防系统软件	DELL	WindowsXP专业版SP3补丁未更新
11	工控机/操作员站	IPC-610H	主通风机房	运行主通风SCADA软件	研华	WindowsXP专业版SP3补丁未更新
12	工控机/操作员站	IPC-810E	压风机房	运行压风系统SCADA软件	研华	WindowsXP专业版SP2补丁未更新
13	工控机/操作员站/工程师站	IPC-610H	制氮机房	运行，维护制氮系统，SCADA软件系统	研华	WindowsXP专业版SP3补丁未更新
14	工控机/操作员站	IPC-610L	安全检测室	运行井下安全监测系统	研华	WindowsXP专业版SP3补丁未更新

• 控制设备

序号	设备类型/名称	规格型号	物理位置	主要用途	品牌
1	PLC	ComPactlogxL3E通讯模块COMADAOTERPROSOFT	主通风机房	主通风机系统控制	罗克韦尔
2	PLC	SLC5/04CPU	主井提升控制机房	主井提升系统控制	罗克韦尔
3	PLC	昆腾系列CPU67160通讯模块NOE77101	洗煤厂监控中心	洗煤厂设备控制	施耐德
4	PLC	昆腾系列CPU67160通讯模块NOE77101	洗煤厂监控中心	洗煤厂设备控制	施耐德
5	PLC	PremiuCPU434通讯模块NOE77101	洗煤厂机房	洗煤厂设备控制	施耐德
6	PLC	S7-300CPU315-2DP通讯模块CP343-1	生活水泵房	生活水泵控制	西门子
7	PLC	S7-300CPU314通讯模块CP343-1	井下	给煤机控制	西门子
8	PLC	S7-300CPU314通讯模块CP343-1	井下	给煤机控制	西门子
9	PLC	S7-300CPU314通讯模块CP343-1	井下	给煤机控制	西门子
10	PLC	S7-300CPU313-2DP通讯模块CP343-1	850水泵房	850水泵控制	西门子
11	PLC	S7-300CPU313-2DP通讯模块CP343-1	650水泵房	650水泵控制	西门子
12	PLC	S7-200通讯模块CP243-1	采区	采区运输下山皮带控制	西门子
13	PLC	S7-300CPU315-2DP	副井提升机房	副井提升系统控制	西门子
14	PLC	S7-300CPU312通讯模块CP343-1	锅炉控制室	锅炉控制	西门子
15	PLC	S7-300CPU312通讯模块CP343-1	锅炉控制室	锅炉控制	西门子
16	PLC	S7-300CPU312通讯模块CP343-1	锅炉控制室	锅炉控制	西门子
17	PLC	S7-300CPU315-2DP通讯模块CP343-1	压风机房	压风机控制	西门子
18	PLC	S7-200CPU226通讯模块CP-243-1	制氮机房	1号制氮机控制	西门子
19	PLC	S7-200CPU226通讯模块CP243-1	制氮机房	1号空压机控制	西门子
20	PLC	S7-200CPU226通讯模块CP243-1	制氮机房	2号空压机控制	西门子
21	PLC	S7-200224XP通讯模块CP243-1	制氮机房	2号制氮机控制	西门子
22	PLC	S7-200224CN通讯模块CP243-1	制氮机房	水冷系统控制	西门子
23	电力监控通讯机	KLD8002	35KV变电所监控室	电力监控设备控制	石家庄科林

• 应用软件

序号	设备类型/名称	规格型号	物理位置	主要用途	品牌
1	SCADA软件	WinccV7.0SP2	综合自动化数采服务器	数据采集	西门子
2	SCADA软件	WinccV7.0SP2	综合自动化WEB服务器	数据采集WEB发布	西门子
3	PLC编程软件	STEP7V5.5	综合自动化WEB服务器	PLC编程	西门子
4	SCADA软件	WinccV7.0SP3	综合自动化主服务器	数据采集	西门子
5	PLC编程软件	STEP7V5.5	综合自动化主服务器	PLC编程	西门子
6	SCADA软件	WinccV7.0SP3	综合自动化备服务器	数据采集	西门子
7	PLC编程软件	STEP7V5.5	综合自动化备服务器	PLC编程	西门子
8	SCADA软件	Wincc7.0SP2	调度中心操作员站	综合自动化监控	西门子
9	SCADA软件	Wincc6.2SP3	锅炉监控室操作员站	锅炉系统运行监控	西门子
10	PLC编程软件	STEP7V5.4SP3	锅炉监控室操作员站	锅炉系统PLC编程	西门子
11	SCADA软件	WINCC6.0	副井提升操作员站	副井提升系统监控	西门子
12	PLC编程软件	STEP75.4SP3	副井提升操作员站	副井提升PLC编程	西门子
13	SCADA软件	组态王6.52	主井提升操作员站1	主井提升系统监控	亚控
14	SCADA软件	SYSCONKLD-2000	35KV电力监控操作员站	电力监控	石家庄科林
15	SCADA软件	CONTRLV1.1.9.30805	35KV电力监控五防主机	防误动
16	SCADA软件	力控6.1	主通风系统操作员站	主通风系统监控	力控
17	SCADA软件	WiccV7.0SP1	压风系统操作员站	压风系统监控	西门子
18	SCADA软件	组态王6.52	制氮系统操作员站	制氮系统监控	亚控
19	PLC编程软件	STEP7MicroWINv4.0SP9	制氮系统操作员站	制氮系统PLC编程	西门子
20	SCADA软件	IFIXV4.5	洗煤厂工程师站	洗煤厂SCADA系统	GE
21	PLC编程软件	UNITYPROXLV5.0	洗煤厂工程师站	洗煤厂PLC系统维护	施耐德
22	PLC编程软件	ConceptV2.6XLSR2	洗煤厂工程师站	洗煤厂PLC系统维护	施耐德
23	SCADA软件	IFIXV4.5	洗煤厂操作员站	洗煤厂SCADA系统	GE

三、工控安全防护方案设计

3.1、安全建设目标：

1)提高工业网络抗攻击能力

通过工业控制网络的安全防护的建设，使工业网络可以有效防护内部、外部、恶意代码、ATP等攻击，安全风险降低到可控范围内，减少安全事件的发生，保护生产网络能够高效、稳定运行，减少因为系统停机带来的生产损失。

2)提高工业网络的管理力度

通过工业网络安全体系的建设，可以对工业网络的网络流量、网络连接、工控协议识别和解析、工程师站组态变更、操作指令变更、PLC下装等进行审计和记录，网络管理人员可以直观了解网络运行状态及存在的安全隐患。

3)保护重要信息财产安全

通过工业网络安全体系的建设，可以对工业网络内重要信息的流转进行管理，禁止未授权的存储介质的接入和使用，保护重要信息、文件、图纸不会被随意的拷贝和流转，降低工业网络的泄密风险。

3.2、政策标准

国务院关于大力推进信息化发展和切实保障信息安全的若干意见，国发〔2012〕23号《意见》6-3明确，保障工业控制系统安全。加强核设施、航空航天、先进制造、石油石化、煤炭生产、电力系统、交通运输、水利枢纽、城市设施等重要领域工业控制系统，以及物联网应用、数字城市建设中的安全防护和管理。

工信部下发451号文件《关于加强工业控制系统信息安全管理的通知》，明确规定加强重点领域工控信息系统安全管理措施。

国家发改委办公厅关于组织实施2012、2013年国家信息安全专项有关事项的通知。

政策性文件

1）《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国发【2012】23号）

2）《关于加强工业控制系统信息安全管理的通知》（工信部【2011】451号）

标准规范类

GB/T30976.1-2014《工业控制系统信息安全第1部分：评估规范》

GB/T30976.2-2014《工业控制系统信息安全第2部分：验收规范》

GB/T32919-2016《信息安全技术工业控制系统安全应用指南》

GB/T33007-2016《工业通信网络网络和系统安全建立工业自动化和控制系统安全程序》

GB/T33008.1-2016《工业自动化和控制系统网络安全可编程序控制器(PLC)》

工业和信息化部关于印发《工业控制系统信息安全防护指南》中第一大项第一小项“安全软件选择与管理”中明确指出在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件，只允许经过工业企业自身授权和安全评估的软件运行。

第七大项第一、二小项中明确指出：

1.在工业控制网络部署网络安全监测设备，及时发现、报告并处理网络攻击或异常行为。

2.在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备，限制违法操作。

《中华人民共和国网络安全法》

第三章运行安全，第二节关键信息基础设施的运行安全，第三十一条规定，国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

第六章法律责任，第五十九条规定，关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

3.3、设计思想

根据煤矿生产网络安全现状，结合生产系统运行环境相对稳定的情况来分析，煤矿生产网络系统更新频率较低，工业和信息化部印发的《工业控制系统信息安全防护指南》关于工控主机安全软件的选择与管理中的要求，提出基于“白名单”机制的工业控制系统信息安全“白环境”解决方案，通过对工控网络流量、工控主机状态等进行监控，收集并分析工控网络数据及软件运行状态，建立工控系统正常工作环境下的安全状态基线和模型，进而构筑工控安全“白环境”，确保

• 只有可信任的设备，才能接入工控网络；

• 只有可信任的消息，才能在工控网络上传输；

• 只有可信任的软件，才允许被执行；

安全防护体系架构

依据煤矿综合动化工业环网的实际情况，对安全防护体系架构进行如下规范：

• 规范层次：生产管理层，过程控制层，生产控制层，现场设备层；

• 规范边界：内、外联网边界，生产控制网边界；

• 规范服务区域：生产管理区域，生产过程区域，生产控制区域；

• 规范三个网络：企业管理网、井上环网、井下环网；

通过上述规范，规划安全防护体系如下：

• 边界单向隔离：煤矿综合自动化工业环网的边界安全防护，一方面需要构建完整的工业控制系统安全防护体系架构，另一个方面需要重点建立边界安全访问防护策略。为了能有效的避免互联网的来攻击行为，实现煤矿综合自动化工业环网的单向访问控制，就需要在煤矿综合自动化工业环网与互联网连通的节点上，部署单向隔离网关，确保跨网数据传输安全可控，阻断非授权以及未被允许的访问行为，确保煤矿综合自动化工业环网的安全。

• 边界入侵检测：对煤矿综合自动化工业环网的网络入侵行为进行检测，确保第一时间发现入侵及恶意行为，保障煤矿综合自动化工业环网的安全。入侵检测系统，在煤矿综合自动化工业环网于办公网连接的入口处，部署入侵监测系统。

• 区域边界防护：通过明确服务区域，针对服务区域内的设备（关键控制器、主机等）进行内部加固，将区域内部的网络问题直接汇聚在本区域内，通过建立区域白名单策略，规范区域内的网络规则。有效保护安全区域内网络信息安全，以避免信息泄漏及病毒“串染”，有效保护各安全区域间网络信息安全。工业防火墙，以串联方式与过程控制系统、安全系统、生产管理层交接及连接。

• 主机加固：对生产工业控制网络内的主机做安全加固，主要是针对调控中心、生产过程区域内的主机做安全加固，通过主机白名单机制，防护主机由于操作系统漏洞、应用软件漏洞而引起的攻击、阻止未授权程序在这些主机上的操作运行，控制非管理人员对这些主机的访问等。工控主机卫士，在重点设备上部署主机加固软件工控主机卫士。

• 系统监测：对煤矿综合自动化工业环网中可能存在的攻击行为、数据流量、重要操作等进行监测审计，用于事后回溯和网络分析。工控监测与审计系统，通过交换机端口镜像功能，以网络旁路的方式部署。

• 运维审计：对煤矿综合自动化工业环网的运维进行统一的管理、授权，确保所有的运维、管理操作均满足等级保护身份鉴别、访问控制、操作审计的要求。运维管理平台：在煤矿综合自动化工业环网上，有外部接入风险的网络节点部署运维管理平台。

安全产品统一管理：对煤矿综合自动化工业环网中的相关安全产品进行统一的管理及运维，信息安全管理人员可以通过统一安全管理平台对整个工业控制网内信息安全情况进行统一实时的监控，在第一时间内发现网络安全问题，实现工控风险的动态监测。统一安全管理平台，用于网络内工控监测与审计系统、工业防火墙、工控主机卫士进行统一管理及维护。

工控安全总体架构图:

图2 工控安全架构图

2、解决问题

• 阻止来自外部系统攻击行为；阻止来自不同区域之间的越权访问；阻止病毒、恶意软件扩散和入侵攻击，保护控制系统安全运行；阻止非授权设备的接入；保证仅是该子系统支持的协议通过防火墙。

• 实时监测工控网络中的恶意攻击、误操作、违规操作、非法设备接入，帮助客户及时采取应对措施，避免发生安全事件；详实记录一切网络通信流量，包括网络连接、网络协议、网络会话、工控协议指令等，为安全事故调查取证提供技术支撑。

• 实时检测来自外部互联网恶意行为，以及蠕虫、病毒等恶意软件的的入侵，帮助客户及时采取应对措施，避免发生安全事件；通过网络入侵检测分析，并形成图形化的日志报表，帮助安全管理员实时展现工控网络中潜在的安全威胁。

• 阻止非授权软件或进程的安装和运行，防止恶意代码攻击“0-day” 漏洞的利用；避免升级病毒库，变被动为主动；防止移动介质在使用过程中将病毒带入工控网络并扩散；杜绝信息非法窃取、数据和系统遭受非法破坏的行为发生。

• 阻止非授权用户访问网络、安全设备；阻止非授权的用户远程维护服务器、工作站、网络设备、安全设备等；对远程运维操作行为进行监测、审计，阻止误操作、恶意操作；全程记录运维操作行为，为安全事件的追踪溯源提供证据。

四、总结:

煤矿综合自动化工业环网安全防护建设完成后，能够全面提升煤矿综合自动化工业环网的整体安全性，确保设备、系统、网络的可靠性、稳定性，减少人员的工作量，提高安全生产管理水平、工作效率和管理效率。

安全防护建设整体符合国家相关政策和标准要求，实现了管理区和生产区的逻辑隔离和边界防护，有效避免了来自信息网络的安全隐患对生产控制网络的威胁；实现了生产区域内各业务系统之间的逻辑隔离和安全防护，阻止来自区域之间的越权访问，入侵攻击和非法访问；实现了对上位机、工程师站、各系统服务器系统的安全加固，通过白名单机制构建安全基线，防止病毒木马、恶意软件对系统的破坏；实现了对整体网络的入侵检测及审计，及时发现网络或系统中是否存在违反安全策略的行为和被攻击的迹象；实现了对现有工业设

备的漏洞扫描，及时发现存在的安全漏洞并给出解决方法；实现了对所有工控安全防护设备及系统的统一管理，降低运维管理成本。

工业控制系统信息安全建设分阶段实施，可将因安全建设所带来的对企业生产所造成的影响降至最低。可为企业安全建设节约一次性投入成本。

工业控制系统信息安全建设分阶段实施，首要解决当前急迫且重要的问题-边界防护：办公网与生产网物理隔离，数据单向访问，入侵检测，区域边界网络流量监控，访问控制策略，既解了客户的燃眉之急，又为后续安全建设提供了建设实施经验，有了一定安全经验积累。

五、公司简介

威努特是唯一 一家涉及工控安全全生命周期产品的厂家，我们提供工控安全风险评估服务，产品涉及工控漏洞扫描、工控漏洞挖掘、安全基线核查、工控安全风险分析系统等产品；提供咨询服务，帮助企业制定工控安全顶层规划。推出制度建设服务，威努特多次参加国家级、省级、行业级标准的制定，可以为客户提供定制版工控安全管理制度。提供整体工控安全解决方案，和实施建设服务，安全防护产品涉及事前、事中、事后全过程，提供工控态势感知、工控威胁检测、工控网络安全防护、工控主机安全防护、工控网络安全审计、工控安全管理等产品。并依据工控生产特点，顺应两化融合趋势，陆续推出工控单向隔离网关、工控安全运维、工控主机加固等产品；

契合时代发展，抢占工控安全制高点，不断推陈出新，开发出适用于工业特点的-工业雷达，为科研机构、安全主管部门提供技术分析工具。

生产安全集中监测平台-帮助大型企业、集团公司，全面提升工业控制网络的建设与维护能力；全面的需求分析能力；态势感知能力；安全分析与检查能力；安全监控能力；安全上线能力。

注：因后台自动压缩图片，造成文中配图不清晰，获取高清原图及原文请在本文留言。