摘 要：大型煤炭企業(yè)在智能化、數(shù)字化和網(wǎng)絡(luò)化建設(shè)過(guò)程中，采用有效的方法手段來(lái)保障企業(yè)網(wǎng)絡(luò)安全會(huì)給企業(yè)帶來(lái)很大的益處。本文分析了大型煤炭企業(yè)的網(wǎng)絡(luò)系統(tǒng)特點(diǎn)，網(wǎng)絡(luò)安全狀況，探討網(wǎng)絡(luò)安全在煤炭企業(yè)智能化、數(shù)字化和網(wǎng)絡(luò)化建設(shè)過(guò)程中的重要性，并介紹了一種有效保護(hù)數(shù)據(jù)和網(wǎng)絡(luò)資產(chǎn)的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，用以降低網(wǎng)絡(luò)平臺(tái)使用風(fēng)險(xiǎn)同時(shí)促進(jìn)企業(yè)更高效發(fā)展。

關(guān)鍵詞：大型煤炭企業(yè);網(wǎng)絡(luò)安全;網(wǎng)絡(luò)安全措施

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A DOI：10.3969/j.issn.1003-6970.2021.02.035

本文著錄格式：李小龍.大型煤炭企業(yè)網(wǎng)絡(luò)安全防護(hù)措施研究[J].軟件，2021，42（02）：115-117+120

Research on Network Security Protection Measures of Large Coal Enterprises

LI Xiaolong

（Shendong Coal Group Information Management Center， Yulin? Shaanxi? 719000）

【Abstract】：Large coal enterprises in the process of intelligent， digital and network construction， the use of effective methods and means to protect the enterprise network security will bring great benefits to the enterprise. This paper analyzes the characteristics and the importance of the large-scale coal enterprise network system， network security， network security in the coal enterprise intelligence， digital and network construction process， and introduces an effective protection of data and network assets network security protection system， to reduce the network platform using the risk at the same time， promote the development of enterprises more efficient.

【Key words】：large coal enterprises;network security;network security measures

0引言

近年來(lái)，各煤炭企業(yè)深化建設(shè)生產(chǎn)過(guò)程中的智能化、數(shù)字化和網(wǎng)絡(luò)化建設(shè)。為實(shí)現(xiàn)各個(gè)生產(chǎn)環(huán)節(jié)的無(wú)縫銜接，各個(gè)生產(chǎn)部門(mén)的數(shù)據(jù)共享，以及進(jìn)一步保證生產(chǎn)安全，搭建集成企業(yè)內(nèi)部各個(gè)部門(mén)，整合全部生產(chǎn)數(shù)據(jù)，統(tǒng)一調(diào)度生產(chǎn)與人力資源的高效網(wǎng)絡(luò)生產(chǎn)辦公平臺(tái)是各個(gè)煤炭企業(yè)所追求的。同時(shí)在企業(yè)數(shù)字化的過(guò)程中，數(shù)據(jù)安全性已成為大規(guī)模煤炭企業(yè)的核心關(guān)注點(diǎn)。隨著網(wǎng)絡(luò)攻擊發(fā)生的頻率越來(lái)越高，攻擊復(fù)雜度越來(lái)越高，企業(yè)必須采取越來(lái)越積極的姿態(tài)來(lái)保護(hù)自己的網(wǎng)絡(luò)和資產(chǎn)免遭未經(jīng)授權(quán)的訪(fǎng)問(wèn)[1]。煤炭企業(yè)在使用網(wǎng)絡(luò)系統(tǒng)給企業(yè)的生產(chǎn)帶來(lái)便捷的同時(shí)，隨著企業(yè)網(wǎng)絡(luò)規(guī)模的不斷發(fā)展，也要更加重視網(wǎng)絡(luò)安全建設(shè)，以保證發(fā)揮網(wǎng)絡(luò)平臺(tái)的最大功效，從而更有效的促進(jìn)企業(yè)的發(fā)展。

1大型煤炭企業(yè)的網(wǎng)絡(luò)系統(tǒng)特點(diǎn)

大型煤炭企業(yè)網(wǎng)絡(luò)覆蓋面積較廣且包含數(shù)量龐大、較為分散的節(jié)點(diǎn)。對(duì)于大型煤炭企業(yè)， 整個(gè)企業(yè)的礦區(qū)網(wǎng)絡(luò)通常由各個(gè)礦區(qū)單獨(dú)的大型局域網(wǎng)共同構(gòu)成，因此其組成的整個(gè)集團(tuán)網(wǎng)絡(luò)有時(shí)比城域網(wǎng)更大。為保證企業(yè)各個(gè)方面的流暢運(yùn)行，大型煤炭企業(yè)一般包含集團(tuán)信息層，礦井管理層和生產(chǎn)信息層三層結(jié)構(gòu)[2]：連接企業(yè)全部礦區(qū)主干網(wǎng)絡(luò)的集團(tuán)信息層，該層通過(guò)部署不同的服務(wù)器以及核心交換機(jī)來(lái)提供企業(yè)所需要的全部應(yīng)用服務(wù)和基礎(chǔ)性設(shè)施;各個(gè)礦區(qū)內(nèi)的局域網(wǎng)共同組成的礦井管理層;位于各個(gè)礦井中的工業(yè)以太網(wǎng)和井下以太網(wǎng)組成的生產(chǎn)信息層。

由于煤炭企業(yè)的生產(chǎn)往往需要的包含與開(kāi)采、運(yùn)輸、調(diào)度等有關(guān)的多個(gè)環(huán)節(jié)，因此煤炭生產(chǎn)往往具有生產(chǎn)系統(tǒng)繁多，生產(chǎn)過(guò)程繁瑣以及在生產(chǎn)中生產(chǎn)信息的來(lái)源、形態(tài)和相互關(guān)系多種多樣的特點(diǎn)，企業(yè)在生產(chǎn)過(guò)程中對(duì)于信息化設(shè)備運(yùn)行的安全可靠性有著極高的要求。

2網(wǎng)絡(luò)安全對(duì)于大型煤炭企業(yè)的重要意義

2.1大型煤礦企業(yè)的潛在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

由于大型煤炭企業(yè)生產(chǎn)過(guò)程復(fù)雜，企業(yè)網(wǎng)絡(luò)體系龐大的原因，企業(yè)的網(wǎng)絡(luò)更容易受到來(lái)自外部惡意攻擊或內(nèi)部由于操作失誤等所引起的損害，大量的損失和成本可能因此加重并損害企業(yè)的正常運(yùn)營(yíng)。這其中的風(fēng)險(xiǎn)可能包括：

2.1.1關(guān)鍵數(shù)據(jù)丟失

沒(méi)有可靠的網(wǎng)絡(luò)安全措施，與生產(chǎn)相關(guān)的關(guān)鍵數(shù)據(jù)的丟失風(fēng)險(xiǎn)就會(huì)加大。企業(yè)網(wǎng)絡(luò)遭受損壞或惡意攻擊可能導(dǎo)致大量數(shù)據(jù)丟失[3]。這些關(guān)鍵數(shù)據(jù)如果永遠(yuǎn)丟失就會(huì)影響如煤礦的開(kāi)采等生產(chǎn)過(guò)程并難以迅速恢復(fù)。

2.1.2 造成經(jīng)濟(jì)損失

如果現(xiàn)有網(wǎng)絡(luò)設(shè)備由于惡意攻擊或內(nèi)部不當(dāng)操作而損壞，則企業(yè)還必須花費(fèi)大量資金用于新的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

事實(shí)上，當(dāng)今組織所面臨的威脅比以往任何時(shí)候都更加先進(jìn)、普遍和持久。美國(guó)經(jīng)濟(jì)顧問(wèn)委員會(huì)（Council of Economic Advisors）最近的一份報(bào)告強(qiáng)調(diào)了這一點(diǎn)，該報(bào)告發(fā)現(xiàn)，2016年美國(guó)網(wǎng)絡(luò)攻擊的經(jīng)濟(jì)影響在570億至1090億美元之間。

2.1.3 其他風(fēng)險(xiǎn)

另外，在一些煤炭企業(yè)中，員工在使用網(wǎng)絡(luò)時(shí)下載過(guò)多非辦公軟件或者視頻等，消耗了很大部分的網(wǎng)絡(luò)資源，致使網(wǎng)絡(luò)擁擠，而導(dǎo)致其他員工無(wú)法正常使用郵件、瀏覽器等辦公軟件進(jìn)行辦公[4]。或者因?yàn)椴划?dāng)?shù)南螺d操作導(dǎo)致網(wǎng)絡(luò)病毒在企業(yè)網(wǎng)絡(luò)中出現(xiàn)，而導(dǎo)致辦公網(wǎng)絡(luò)癱瘓，如果影響到礦井內(nèi)的安全監(jiān)控網(wǎng)絡(luò)，很容易引起生產(chǎn)安全事故，從而造成嚴(yán)重后果。

在煤炭企業(yè)數(shù)字化建設(shè)過(guò)程中，企業(yè)很容易忽略當(dāng)前網(wǎng)絡(luò)安全所面臨的風(fēng)險(xiǎn)等級(jí)或者對(duì)網(wǎng)絡(luò)威脅做出較實(shí)際情況更低的評(píng)估，這可能會(huì)影響企業(yè)對(duì)于為什么要關(guān)心網(wǎng)絡(luò)安全，以及需要什么樣的適合煤炭企業(yè)的網(wǎng)絡(luò)安全防護(hù)措施等問(wèn)題的決定。然而毫不夸張地說(shuō)，現(xiàn)如今影響世界各地企業(yè)和政府正常運(yùn)行的大規(guī)模數(shù)據(jù)泄露事件發(fā)生地越來(lái)越頻繁。很有可能企業(yè)的有關(guān)生產(chǎn)等的重要數(shù)據(jù)在過(guò)去已經(jīng)受到了某些泄露的影響。然而，盡管最近的網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)癱瘓等事件頻發(fā)，但許多企業(yè)仍然依賴(lài)于一個(gè)相對(duì)薄弱的網(wǎng)絡(luò)安全實(shí)施，這讓它們?nèi)菀资艿铰┒吹墓簟?/p>

這些潛在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)告誡我們，在生產(chǎn)實(shí)踐中加強(qiáng)企業(yè)網(wǎng)絡(luò)安全措施建設(shè)，以預(yù)防來(lái)自于外部和內(nèi)部的網(wǎng)絡(luò)安全威脅，從而提高網(wǎng)絡(luò)的運(yùn)行效率是煤炭企業(yè)在深化工業(yè)互聯(lián)網(wǎng)建設(shè)中必不可少的一部分。

2.2有效的網(wǎng)絡(luò)安全措施對(duì)企業(yè)的好處

企業(yè)網(wǎng)絡(luò)安全管理集中于識(shí)別關(guān)鍵領(lǐng)域的風(fēng)險(xiǎn)，并最高程度地將風(fēng)險(xiǎn)降低。這些網(wǎng)絡(luò)安全措施以多種方式有效地解決網(wǎng)絡(luò)問(wèn)題，從部署提高安全性的網(wǎng)絡(luò)架構(gòu)，到為員工提供持續(xù)安全意識(shí)培訓(xùn)，以保持對(duì)當(dāng)前和緊急安全威脅的了解和警惕。企業(yè)網(wǎng)絡(luò)安全措施是綜合而全面的，可以解決企業(yè)網(wǎng)絡(luò)平臺(tái)在生產(chǎn)過(guò)程中不同級(jí)別上的缺點(diǎn)或漏洞[5]。

通過(guò)采用企業(yè)網(wǎng)絡(luò)安全措施，企業(yè)能夠更好地定位，主動(dòng)應(yīng)對(duì)新出現(xiàn)的和緊急的網(wǎng)絡(luò)安全威脅。當(dāng)今的企業(yè)經(jīng)常面臨著先進(jìn)且持續(xù)網(wǎng)絡(luò)威脅，為應(yīng)對(duì)這種潛在的安全威脅，企業(yè)需要尋求積極主動(dòng)、持續(xù)處于高度戒備狀態(tài)的網(wǎng)絡(luò)安全措施。美國(guó)經(jīng)濟(jì)顧問(wèn)委員會(huì)的報(bào)告強(qiáng)調(diào)了一個(gè)非常重要卻很容易被忽略的事實(shí)，即大型企業(yè)中的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)往往是由企業(yè)中的許多部門(mén)共同承擔(dān)的。對(duì)于生產(chǎn)環(huán)節(jié)復(fù)雜的煤炭企業(yè)來(lái)說(shuō)，一個(gè)部門(mén)的弱點(diǎn)可能轉(zhuǎn)化為另一個(gè)部門(mén)被攻擊的漏洞。因此通過(guò)強(qiáng)有力的網(wǎng)絡(luò)安全實(shí)施，煤炭企業(yè)不僅降低了各部門(mén)在生產(chǎn)過(guò)程中自身的風(fēng)險(xiǎn)，也降低了其他部門(mén)出現(xiàn)網(wǎng)絡(luò)安全問(wèn)題的風(fēng)險(xiǎn)。

使用企業(yè)網(wǎng)絡(luò)安全措施帶來(lái)的最大好處之一是增強(qiáng)了識(shí)別漏洞的能力。在某些情況下，企業(yè)安全措施將完全消除漏洞領(lǐng)域，例如通過(guò)開(kāi)發(fā)和實(shí)現(xiàn)更安全的網(wǎng)絡(luò)體系結(jié)構(gòu)來(lái)減少潛在被攻擊點(diǎn)。同時(shí)，企業(yè)安全解決方案和管理的安全服務(wù)提供了更強(qiáng)的漏洞檢測(cè)。例如，通過(guò)持續(xù)的網(wǎng)絡(luò)監(jiān)控和定期的滲透測(cè)試，網(wǎng)絡(luò)安全系統(tǒng)安可以識(shí)別出關(guān)鍵的漏洞，在它們對(duì)企業(yè)造成實(shí)質(zhì)性的損失之前解決它們。

通過(guò)快速識(shí)別和解決企業(yè)網(wǎng)絡(luò)系統(tǒng)的漏洞，企業(yè)通常會(huì)抵御原本可能造成攻擊的的網(wǎng)絡(luò)安全威脅。在大型煤炭企業(yè)的網(wǎng)絡(luò)生產(chǎn)和辦公平臺(tái)中過(guò)時(shí)的軟件或未打的補(bǔ)丁是最為常見(jiàn)的系統(tǒng)漏洞。這些潛在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可以在網(wǎng)絡(luò)安全措施的漏洞評(píng)估中被突出顯示，并且可以在網(wǎng)絡(luò)攻擊發(fā)生之前更新系統(tǒng)的軟件和系統(tǒng)。同時(shí)，可以通過(guò)補(bǔ)丁管理系統(tǒng)，定期部署軟件補(bǔ)丁。

企業(yè)網(wǎng)絡(luò)安全解決方案不僅有助于在漏洞被利用之前識(shí)別并增強(qiáng)漏洞，而且還具有主動(dòng)威脅情報(bào)監(jiān)視功能，可幫助組織在面對(duì)緊急威脅時(shí)變得更有彈性。通過(guò)威脅情報(bào)監(jiān)控，企業(yè)能夠?qū)⒕o急網(wǎng)絡(luò)威脅的相關(guān)信息納入其網(wǎng)絡(luò)安全實(shí)施中，以減少了他們之后可能攻擊的成功率。

企業(yè)網(wǎng)絡(luò)安全措施不只是簡(jiǎn)單地利用某些工具或硬件來(lái)將潛在的網(wǎng)絡(luò)安全問(wèn)題最小化。在企業(yè)網(wǎng)絡(luò)安全措施中，安全策略（圖1）的創(chuàng)建使企業(yè)對(duì)于應(yīng)對(duì)網(wǎng)絡(luò)安全問(wèn)題變得更有彈性。

3針對(duì)大型煤炭企業(yè)的網(wǎng)絡(luò)安全措施

3.1部署綜合企業(yè)網(wǎng)絡(luò)安全系統(tǒng)（IENSS）

圖2顯示了分布式IENSS體系結(jié)構(gòu)如何工作的示例。如圖中所示，節(jié)點(diǎn)1、節(jié)點(diǎn)2和節(jié)點(diǎn)3是在企業(yè)網(wǎng)絡(luò)內(nèi)部三種不同的受感染設(shè)備。如果節(jié)點(diǎn)2通過(guò)位于企業(yè)網(wǎng)絡(luò)之外的C&C服務(wù)器通過(guò)企業(yè)網(wǎng)絡(luò)的正常進(jìn)出路線(xiàn)定期聯(lián)系，則防火墻很可能有機(jī)會(huì)查看節(jié)點(diǎn)2與C&C服務(wù)器之間的通信特性。只有當(dāng)防火墻配備了先進(jìn)的僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)來(lái)分析所捕獲的流量時(shí)，這種情況也會(huì)發(fā)生。只有在這種情況下，防火墻才會(huì)報(bào)告點(diǎn)2節(jié)點(diǎn)為惡意節(jié)點(diǎn)，并采取措施減輕它。然而，假設(shè)還有兩個(gè)P2P節(jié)點(diǎn)，即節(jié)點(diǎn)1和節(jié)點(diǎn)3，它們?cè)噲D保持被動(dòng)且不被注意。在一定時(shí)間后，其中一個(gè)被動(dòng)節(jié)點(diǎn)可能會(huì)變得主動(dòng)，并執(zhí)行先前由節(jié)點(diǎn)2執(zhí)行的指令。由于P2P節(jié)點(diǎn)之間的通信不通過(guò)集中的安全設(shè)備，傳統(tǒng)的防病毒和防火墻無(wú)法檢測(cè)無(wú)源P2P節(jié)點(diǎn)，如節(jié)點(diǎn)1和節(jié)點(diǎn)3。此外，從圖1中還可以注意到，可能存在某些未經(jīng)授權(quán)的不安全鏈接，可以直接連接到互聯(lián)網(wǎng)，而不需要集中控制器或現(xiàn)有的集中安全設(shè)備，如防病毒和防火墻的干預(yù)。為了解決這些問(wèn)題，Thanudas等研究了一種新的IENSS架構(gòu)，該架構(gòu)集成了分布式網(wǎng)絡(luò)安全系統(tǒng)和幾個(gè)代理，這些代理直接連接到集中控制器，以識(shí)別和中和企業(yè)網(wǎng)絡(luò)中的各種安全威脅。

3.2 IENSS系統(tǒng)的三個(gè)關(guān)鍵要素

3.2.1 IENSS控制器

IENSS控制器有授權(quán)訪(fǎng)問(wèn)企業(yè)數(shù)據(jù)庫(kù)、DNS服務(wù)器和防火墻?？刂破鬟€維護(hù)一個(gè)數(shù)據(jù)庫(kù)，存儲(chǔ)從不同的代理接收的必要的報(bào)告、數(shù)據(jù)和摘要。但是，控制器沒(méi)有權(quán)限，除非通過(guò)防火墻和IDS等現(xiàn)有設(shè)備來(lái)阻止惡意用戶(hù)設(shè)置規(guī)則。要執(zhí)行上述任務(wù)，控制器必須從網(wǎng)絡(luò)管理員處獲取確認(rèn)指令。相比之下，網(wǎng)絡(luò)管理員會(huì)分析控制器發(fā)送的報(bào)告日志，然后向控制器發(fā)出采取相關(guān)操作所需的指令。

3.2.2 IENSS代理

IENSS代理是在計(jì)算機(jī)或路由器節(jié)點(diǎn)上執(zhí)行的程序。代理使用從控制器收到的指令進(jìn)行操作。代理程序還通過(guò)對(duì)捕獲的流量應(yīng)用檢測(cè)技術(shù)來(lái)執(zhí)行一定程度的智能功能，以檢測(cè)非法網(wǎng)絡(luò)活動(dòng)。如果代理懷疑任何惡意活動(dòng)，則將捕獲的數(shù)據(jù)包通信給控制器，以便進(jìn)一步處理和調(diào)查?？刂破鬟\(yùn)行在網(wǎng)絡(luò)管理員計(jì)算機(jī)上，并連續(xù)處理從網(wǎng)絡(luò)中不同代理接收的所有信息和數(shù)據(jù)包。注意，控制器不直接捕獲任何網(wǎng)絡(luò)流量，而是只處理從代理和其他網(wǎng)絡(luò)安全設(shè)備接收到的信息和文件。我們還假設(shè)代理不在網(wǎng)絡(luò)中相互通信，它們只與IENSS控制器保持聯(lián)系。

代理還通過(guò)根據(jù)控制器的指令操作來(lái)補(bǔ)充IENSS控制器的功能。多個(gè)代理的存在有助于收集網(wǎng)絡(luò)流量相關(guān)信息以及來(lái)自網(wǎng)絡(luò)所有重要部分的其他信息。代理程序可以在嵌入式電子設(shè)備或普通計(jì)算機(jī)中執(zhí)行，連接到其中一個(gè)網(wǎng)段。

3.2.3 IENSS控制器-代理通信協(xié)議

控制器與代理器之間的IENSS控制器-代理通信協(xié)議用于傳遞各種類(lèi)型的消息，如回聲消息、錯(cuò)誤消息、特征消息、狀態(tài)相關(guān)消息和數(shù)據(jù)包相關(guān)消息，以跟蹤控制器與代理之間的對(duì)話(huà)。

4結(jié)語(yǔ)

隨著網(wǎng)絡(luò)安全的重要性更加深入的了解以及現(xiàn)今各領(lǐng)域因網(wǎng)絡(luò)安全事件造成的經(jīng)濟(jì)損失持續(xù)增加，大型煤炭企業(yè)從上到下創(chuàng)建以安全為中心的文化的需求也應(yīng)增長(zhǎng)。當(dāng)今的企業(yè)必須認(rèn)識(shí)到網(wǎng)絡(luò)安全威脅可能?chē)?yán)重影響企業(yè)的正常生產(chǎn)和長(zhǎng)遠(yuǎn)發(fā)展。鑒于此，企業(yè)必須從網(wǎng)絡(luò)安全的眼光來(lái)進(jìn)行數(shù)字化建設(shè)。

參考文獻(xiàn)

[1] 趙大友，王敏，徐剛.網(wǎng)絡(luò)信息資源在煤礦機(jī)電管理中的應(yīng)用[J].山東煤炭科技，2010（6）：89.

[2] 張龍旗.大型煤炭企業(yè)網(wǎng)絡(luò)安全分析及對(duì)策[J].山東煤炭科技，2007（4）：49-50.

[3] 劉小春，李剛.網(wǎng)絡(luò)信息資源在煤礦機(jī)電管理中的應(yīng)用探析[J].科技與創(chuàng)新，2015（14）：42.

[4] 孫方，楊躍軍，馬琳，等.綜采工作面信息化系統(tǒng)的應(yīng)用[J].中國(guó)設(shè)備工程，2012（2）：39-41.

[5] 張逸群.網(wǎng)絡(luò)信息資源在煤礦安全管理中的應(yīng)用[J].當(dāng)代化工研究，2020（7）：116-117.

[6] 沈立君.企業(yè)級(jí)網(wǎng)絡(luò)安全防護(hù)體系應(yīng)用研究[J].信息安全與技術(shù)，2014（7）：74.

[7] Thanudas，B.，Sreelal，S.，Raj，V.C.，Sairam，A.P.，Gajmoti， V.and Joshi，P.A novel architecture for an integrated enterprise network security system[J].Security and Networks，2019（1）：47.