權(quán)曉鵬

(潞安化工集團(tuán) 科技研發(fā)中心，山西 長(zhǎng)治 047100)

山西高河能源有限公司作為國(guó)家首批智能礦井，建設(shè)了全面感知、實(shí)時(shí)互聯(lián)、分析決策、自主學(xué)習(xí)、動(dòng)態(tài)預(yù)測(cè)、協(xié)同控制的智能化系統(tǒng)，以實(shí)現(xiàn)開拓、采掘、運(yùn)輸、通風(fēng)、安全保障、運(yùn)營(yíng)維護(hù)、經(jīng)營(yíng)管理等智能化運(yùn)行。礦井工業(yè)控制系統(tǒng)是智能礦井安全生產(chǎn)的核心部分，隨著礦井工控網(wǎng)絡(luò)、工控系統(tǒng)、工控軟件與安全生產(chǎn)管理數(shù)據(jù)的深度融合，網(wǎng)絡(luò)病毒威脅正在向工控網(wǎng)絡(luò)系統(tǒng)擴(kuò)散，工控安全問(wèn)題日益突出。一旦發(fā)生重大的工控網(wǎng)絡(luò)病毒攻擊事件，會(huì)嚴(yán)重危害礦井安全生產(chǎn)，構(gòu)建智能礦井工業(yè)控制網(wǎng)絡(luò)安全防護(hù)系統(tǒng)勢(shì)在必行。

1 高河能源工控網(wǎng)絡(luò)安全現(xiàn)狀

高河能源工控網(wǎng)絡(luò)主要由生產(chǎn)內(nèi)網(wǎng)、辦公網(wǎng)組成。工業(yè)內(nèi)網(wǎng)網(wǎng)段為172.16.0.0/16，辦公網(wǎng)網(wǎng)段為192.168.0.0/16。生產(chǎn)內(nèi)網(wǎng)和辦公網(wǎng)之間部署思科防火墻隔離。

1.1 工控網(wǎng)絡(luò)管理問(wèn)題

工控終端設(shè)備和服務(wù)器之間病毒防護(hù)薄弱，通過(guò)網(wǎng)絡(luò)流量管理工具對(duì)安全生產(chǎn)工控服務(wù)器、工控網(wǎng)絡(luò)交換機(jī)、終端傳感器等設(shè)備間的流量數(shù)據(jù)進(jìn)行掃描分析，發(fā)現(xiàn)工控網(wǎng)絡(luò)存在安全隱患，掃描結(jié)果如圖1所示。

圖1 工控網(wǎng)絡(luò)設(shè)備間流量分布

通過(guò)分析，172.16.20.135(膠帶集控服務(wù)器)與192.168.30.145(工業(yè)視頻服務(wù)器)之間存在大量異常數(shù)據(jù)流量，通過(guò)與網(wǎng)絡(luò)病毒數(shù)據(jù)庫(kù)比對(duì)分析，這兩個(gè)工控系統(tǒng)感染了“永恒之藍(lán)”、“木馬”病毒。如果不及時(shí)查殺，病毒會(huì)迅速感染生產(chǎn)內(nèi)網(wǎng)系統(tǒng)，造成工控系統(tǒng)癱瘓，影響礦井的安全生產(chǎn)。

1.2 網(wǎng)絡(luò)設(shè)備管理問(wèn)題

礦井網(wǎng)絡(luò)安全運(yùn)維技術(shù)人員不能及時(shí)掌握工控系統(tǒng)設(shè)備運(yùn)行狀態(tài)、生產(chǎn)網(wǎng)絡(luò)流量、病毒數(shù)據(jù)等網(wǎng)絡(luò)安全管理信息。

1.3 工控網(wǎng)絡(luò)架構(gòu)問(wèn)題

工控系統(tǒng)500多臺(tái)設(shè)備部署在同一個(gè)二層網(wǎng)絡(luò)廣播域內(nèi)，同一鏈路中存在大量無(wú)效廣播流量，網(wǎng)絡(luò)帶寬利用率大大降低。更為嚴(yán)重的是，部分工控系統(tǒng)服務(wù)器通過(guò)雙網(wǎng)卡同時(shí)接入了生產(chǎn)內(nèi)網(wǎng)與辦公網(wǎng)，繞過(guò)了防火墻設(shè)備，導(dǎo)致內(nèi)、外網(wǎng)的數(shù)據(jù)直接聯(lián)通，存在重大網(wǎng)絡(luò)安全隱患。

2 工控網(wǎng)絡(luò)安全解決方案

智能礦井工控網(wǎng)絡(luò)安全系統(tǒng)按照《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T22239-2019)，要求建設(shè)一體化安全管理系統(tǒng)，部署工控網(wǎng)絡(luò)終端殺毒系統(tǒng)，實(shí)現(xiàn)整個(gè)工控系統(tǒng)審計(jì)、病毒防護(hù)及整體網(wǎng)絡(luò)安全監(jiān)測(cè)。

1) 工業(yè)控制系統(tǒng)終端(PC和服務(wù)器)部署工業(yè)級(jí)殺毒系統(tǒng)，實(shí)現(xiàn)防御病毒、工控軟件監(jiān)控和系統(tǒng)漏洞自動(dòng)修復(fù)等功能，最大限度杜絕病毒的侵襲，提升工控系統(tǒng)架構(gòu)安全。

2) 部署工控網(wǎng)絡(luò)安全網(wǎng)關(guān)，對(duì)全網(wǎng)流量監(jiān)測(cè)，綜合分析不同時(shí)段、不同應(yīng)用、不同IP段的流量可視化監(jiān)控，分析工控?cái)?shù)據(jù)傳輸瓶頸，為工控網(wǎng)絡(luò)故障定位、網(wǎng)絡(luò)流量控制優(yōu)化、制定帶寬使用策略提供高效的技術(shù)支持，工控網(wǎng)絡(luò)安全網(wǎng)關(guān)安裝位置如圖2所示。

圖2 工控網(wǎng)絡(luò)安全網(wǎng)關(guān)部署示意

3) 啟動(dòng)工控網(wǎng)絡(luò)內(nèi)置防火墻，阻止內(nèi)網(wǎng)病毒對(duì)工控系統(tǒng)的探測(cè)和攻擊。優(yōu)化生產(chǎn)內(nèi)網(wǎng)配置，以工控業(yè)務(wù)安全等級(jí)需求設(shè)置4個(gè)廣播域，降低廣播風(fēng)暴對(duì)整個(gè)工控網(wǎng)絡(luò)的影響。

3 實(shí)施效果

3.1 病毒防御

高河能源74臺(tái)工控系統(tǒng)主機(jī)和服務(wù)器部署了工控殺毒系統(tǒng)，從實(shí)施以來(lái)共抵御病毒和網(wǎng)絡(luò)攻擊4 577次，發(fā)現(xiàn)并查殺病毒8 925個(gè)，對(duì)工控系統(tǒng)網(wǎng)絡(luò)安全性能實(shí)行監(jiān)視控制。鮑村通風(fēng)機(jī)服務(wù)器病毒防護(hù)效果如表1所示。

表1 工控鮑村風(fēng)機(jī)服務(wù)器病毒防護(hù)

3.2 工控網(wǎng)絡(luò)流量監(jiān)控

部署工控網(wǎng)絡(luò)安全網(wǎng)關(guān)，運(yùn)維人員可以直觀地分析工控生產(chǎn)內(nèi)網(wǎng)系統(tǒng)流量分布、趨勢(shì)和主機(jī)的連接情況，實(shí)現(xiàn)工控網(wǎng)絡(luò)流量可視化管理，工控網(wǎng)絡(luò)流量分布如圖3所示。

圖3 工控網(wǎng)絡(luò)應(yīng)用業(yè)務(wù)流量分布

工控網(wǎng)絡(luò)重要設(shè)備流量管理如表2所示。

表2 工控網(wǎng)絡(luò)重要設(shè)備流量管理

通過(guò)防病毒控制中心，運(yùn)維人員可實(shí)時(shí)了解整個(gè)工控網(wǎng)絡(luò)病毒防御狀態(tài)，制定針對(duì)性的工控網(wǎng)絡(luò)安全策略。

工控系統(tǒng)運(yùn)管技術(shù)人員通過(guò)工控網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)，真正做到了全面掌握網(wǎng)絡(luò)流量分布，對(duì)網(wǎng)絡(luò)優(yōu)化提供了有力的數(shù)據(jù)支撐，并根據(jù)工控業(yè)務(wù)實(shí)際情況對(duì)流量進(jìn)行控制，及時(shí)掌握重要工控設(shè)備的運(yùn)行狀況，提升智能礦井工控系統(tǒng)的安全運(yùn)維管理水平。

4 結(jié) 語(yǔ)

高河能源工控網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，實(shí)現(xiàn)了工業(yè)控制網(wǎng)絡(luò)系統(tǒng)故障診斷、異常告警、病毒防御等安全防護(hù)措施，提升了對(duì)工控網(wǎng)安全威脅的識(shí)別、響應(yīng)處置能力，構(gòu)建了智能礦井“免疫系統(tǒng)”，最大限度地保障了智能礦井工業(yè)控制系統(tǒng)穩(wěn)定、高效、安全的運(yùn)行。