王丹識(shí)，韓鵬軍，王榮博，楊 歐，董 凱，田 欣，許秀莉

(1.中國(guó)煤炭工業(yè)協(xié)會(huì)，北京市朝陽(yáng)區(qū)，100013；2.國(guó)能信息技術(shù)有限公司，北京市東城區(qū)，100120；3.華為技術(shù)有限公司，廣東省深圳市，518129；4.新華三技術(shù)有限公司電力能源事業(yè)部，北京市海淀區(qū)，100083；5.深信服科技股份有限公司能源事業(yè)部，北京市海淀區(qū)，100089；6.中興通訊股份有限公司產(chǎn)業(yè)數(shù)字化方案部，廣東省深圳市，518000)

0 引言

黨中央、國(guó)務(wù)院高度重視網(wǎng)絡(luò)安全工作，習(xí)近平總書(shū)記強(qiáng)調(diào)“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”。2021年3月發(fā)布的《中華人民共和國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》中，有14處提及“網(wǎng)絡(luò)安全”，涉及數(shù)字經(jīng)濟(jì)、數(shù)字生態(tài)、國(guó)家安全、能源資源安全等多個(gè)領(lǐng)域[1]。同年，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》頒布施行。

國(guó)家大力完善網(wǎng)絡(luò)安全政策體系的同時(shí)，能源行業(yè)成為重點(diǎn)領(lǐng)域之一。2020年2月，國(guó)家發(fā)展改革委、國(guó)家能源局等八部委共同印發(fā)的《關(guān)于加快煤礦智能化發(fā)展的指導(dǎo)意見(jiàn)》中強(qiáng)調(diào)，同步推進(jìn)網(wǎng)絡(luò)安全和煤礦智能化發(fā)展[2]；2021年6月，國(guó)家能源局、國(guó)家礦山安監(jiān)局印發(fā)《煤礦智能化建設(shè)指南(2021年版)》中強(qiáng)調(diào)，逐步推進(jìn)核心裝備控制系統(tǒng)國(guó)產(chǎn)化安全可信、自主可控[3]；同時(shí)要求，智能化煤礦應(yīng)開(kāi)展網(wǎng)絡(luò)、信息和系統(tǒng)等安全建設(shè)；2021年12月，國(guó)務(wù)院印發(fā)的《“十四五”數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》中強(qiáng)調(diào)指出，加快能源領(lǐng)域數(shù)字化轉(zhuǎn)型，支持開(kāi)展常態(tài)化安全風(fēng)險(xiǎn)評(píng)估，加強(qiáng)網(wǎng)絡(luò)安全等級(jí)保護(hù)和密碼應(yīng)用安全性評(píng)估[4]；2022年1月，國(guó)家發(fā)展改革委、國(guó)家能源局印發(fā)《“十四五”現(xiàn)代能源體系規(guī)劃》中明確指出，加強(qiáng)網(wǎng)絡(luò)安全關(guān)鍵技術(shù)研究，推動(dòng)建立能源行業(yè)、企業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知和監(jiān)測(cè)預(yù)警平臺(tái)，提高風(fēng)險(xiǎn)分析研判和預(yù)警能力[5]。

煤炭作為我國(guó)的主要能源，肩負(fù)著保障國(guó)家能源安全的重要使命。隨著煤炭工業(yè)兩化融合水平不斷深入以及煤炭企業(yè)數(shù)字化轉(zhuǎn)型加速推進(jìn)，網(wǎng)絡(luò)安全問(wèn)題已成為影響煤炭行業(yè)轉(zhuǎn)型發(fā)展的重要問(wèn)題之一[6]?；诖?，中國(guó)煤炭工業(yè)協(xié)會(huì)信息化分會(huì)對(duì)部分重點(diǎn)煤炭集團(tuán)總部網(wǎng)絡(luò)安全情況進(jìn)行了專項(xiàng)調(diào)查，對(duì)當(dāng)前煤炭企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀及問(wèn)題進(jìn)行了歸納和分析，并對(duì)煤炭企業(yè)網(wǎng)絡(luò)安全建設(shè)提出了對(duì)策和建議。

1 我國(guó)煤炭行業(yè)網(wǎng)絡(luò)安全的特點(diǎn)

1.1 行業(yè)影響大

2020年，化石能源在我國(guó)一次能源消費(fèi)占比仍接近85%，其中煤炭消費(fèi)占比為56.8%?；谖覈?guó)富煤、貧油、少氣的能源資源稟賦，在相當(dāng)長(zhǎng)的時(shí)期內(nèi)，煤炭仍將是我國(guó)的主要能源，煤炭的安全穩(wěn)定供應(yīng)事關(guān)國(guó)家能源安全。經(jīng)過(guò)多年的發(fā)展，我國(guó)煤礦智能化建設(shè)已取得長(zhǎng)足進(jìn)步，一些大型骨干礦井和煤層賦存條件較優(yōu)越的礦區(qū)已初步實(shí)現(xiàn)了智能化、少人化開(kāi)采[7-8]。但與此同時(shí)，我國(guó)煤礦網(wǎng)絡(luò)安全事件頻出，2019-2021年，發(fā)生了多起煤礦網(wǎng)絡(luò)安全事件，影響了煤礦正常的生產(chǎn)秩序，給煤礦生產(chǎn)安全帶來(lái)了新的威脅。

1.2 防護(hù)要求高

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》明確，面向公眾提供網(wǎng)絡(luò)信息服務(wù)或支撐能源、通信、金融、交通、公共事業(yè)等重要行業(yè)運(yùn)行的信息系統(tǒng)或工業(yè)控制系統(tǒng)屬于關(guān)鍵信息基礎(chǔ)設(shè)施[9]。根據(jù)《煤礦安全規(guī)程》《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，煤礦企業(yè)須將礦用有線調(diào)度通信系統(tǒng)、井下應(yīng)急廣播系統(tǒng)、煤礦安全監(jiān)控系統(tǒng)、煤礦井下作業(yè)人員管理系統(tǒng)、煤礦圖像監(jiān)視系統(tǒng)、煤礦產(chǎn)量監(jiān)控系統(tǒng)和列入 2021年智能綜采(掘)工作面建設(shè)的智能化工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全等級(jí)定為第二級(jí)及以上[10]；各煤礦企業(yè)和上級(jí)集團(tuán)公司或分公司間跨地級(jí)市、省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的數(shù)據(jù)匯聚平臺(tái)，其網(wǎng)絡(luò)安全保護(hù)等級(jí)不低于第三級(jí)[11]。

1.3 基礎(chǔ)底子薄

煤炭行業(yè)網(wǎng)絡(luò)安全基礎(chǔ)相對(duì)薄弱。在2020年八部委出臺(tái)《關(guān)于加快推進(jìn)煤礦智能化建設(shè)的指導(dǎo)意見(jiàn)》以前，煤炭行業(yè)信息化、智能化建設(shè)長(zhǎng)期處于企業(yè)各自為戰(zhàn)的狀態(tài)。煤炭行業(yè)經(jīng)歷了化解過(guò)剩產(chǎn)能的困難時(shí)期，信息化整體基礎(chǔ)薄弱，水平能力差距巨大[12]，導(dǎo)致網(wǎng)絡(luò)安全意識(shí)淡薄，網(wǎng)絡(luò)安全管理制度和標(biāo)準(zhǔn)體系不健全，網(wǎng)絡(luò)安全人才和技術(shù)力量薄弱，整體缺乏組織和引導(dǎo)，宣傳培訓(xùn)教育工作不到位。

1.4 特色限制多

煤炭行業(yè)產(chǎn)業(yè)鏈長(zhǎng)、中間環(huán)節(jié)多，煤炭企業(yè)管理層級(jí)多、產(chǎn)業(yè)板塊多、煤礦分布散，附屬單位形式多樣；同時(shí)，煤礦井下的特殊性、復(fù)雜性以及對(duì)安全生產(chǎn)的絕對(duì)性要求，都使其網(wǎng)絡(luò)安全特色性要求更多、更復(fù)雜，網(wǎng)絡(luò)安全防護(hù)難度更大。

1.5 轉(zhuǎn)型難度大

隨著煤炭行業(yè)兩化融合深度發(fā)展，煤礦智能化建設(shè)、煤炭工業(yè)互聯(lián)網(wǎng)平臺(tái)的建設(shè)使煤礦設(shè)備連接數(shù)量和數(shù)據(jù)采集數(shù)量成倍甚至幾何倍數(shù)的增長(zhǎng)，對(duì)網(wǎng)絡(luò)安全的要求越來(lái)越高。煤礦企業(yè)應(yīng)用面臨規(guī)模“上云”的趨勢(shì)，多個(gè)終端接入一張網(wǎng)絡(luò)，網(wǎng)絡(luò)受攻擊影響面增大，敏感數(shù)據(jù)面臨更大的外泄風(fēng)險(xiǎn)。同時(shí)，國(guó)內(nèi)煤礦自動(dòng)化、半自動(dòng)化設(shè)備逐步升級(jí)為基于ICT技術(shù)的智能遠(yuǎn)控系統(tǒng)，生產(chǎn)安全面臨的網(wǎng)絡(luò)威脅逐步增強(qiáng)[13]。

2 我國(guó)煤炭企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀

2.1 網(wǎng)絡(luò)安全投入保持增長(zhǎng)

在被調(diào)研的20家大型煤炭集團(tuán)總部(以下均為該口徑)信息化投入整體呈現(xiàn)增長(zhǎng)態(tài)勢(shì)。2021年，16家投入增長(zhǎng)，占比80%。其中，1家投入超10億元，3家超1億元；6家投入增幅超過(guò)20%。2021年，20家煤炭集團(tuán)網(wǎng)絡(luò)安全經(jīng)費(fèi)投入同比增長(zhǎng)的為18家，占比90%。其中，4家網(wǎng)絡(luò)安全投入占整體信息化投入的比重超過(guò)30%；8家投入超過(guò)了1 000萬(wàn)元。

2.2 網(wǎng)絡(luò)安全防護(hù)壓力增加

煤炭企業(yè)兩化融合加速發(fā)展，給網(wǎng)絡(luò)安全工作帶了更大的挑戰(zhàn)。一方面人、機(jī)、物、數(shù)據(jù)互聯(lián)互通使信息網(wǎng)絡(luò)和控制系統(tǒng)深入到企業(yè)生產(chǎn)經(jīng)營(yíng)的各個(gè)方面，為煤礦生產(chǎn)經(jīng)營(yíng)、科學(xué)決策、安全管理、智能控制、即時(shí)通訊、預(yù)報(bào)預(yù)警、應(yīng)急響應(yīng)等提供有力的支撐；另一方面也使得網(wǎng)絡(luò)安全風(fēng)險(xiǎn)由辦公延伸到生產(chǎn)、由局部延伸到整體，企業(yè)網(wǎng)絡(luò)安全工作壓力大增。2021年，20家煤炭集團(tuán)總部被各類網(wǎng)絡(luò)攻擊次數(shù)較2020年上升的有18家，占比90%。其中，7家被攻擊次數(shù)超過(guò)10萬(wàn)次/a，最高的超過(guò)300萬(wàn)次/a，年被攻擊次數(shù)增幅最高的達(dá)到490%。

2.3 網(wǎng)絡(luò)安全重視程度增強(qiáng)

政府合規(guī)要求提升、各類安全事件頻發(fā)等使得煤炭企業(yè)對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)和重視程度有所提升。僅2021年，20家煤炭集團(tuán)總部出臺(tái)的各類網(wǎng)絡(luò)安全相關(guān)制度多達(dá)30項(xiàng)。目前，80%的煤炭集團(tuán)總部對(duì)所屬單位信息系統(tǒng)有明確的等級(jí)保護(hù)要求，20家煤炭集團(tuán)總部信息系統(tǒng)等級(jí)保護(hù)備案數(shù)量為187個(gè)。其中，符合等級(jí)保護(hù)二級(jí)認(rèn)證標(biāo)準(zhǔn)的系統(tǒng)141個(gè)，符合等級(jí)保護(hù)三級(jí)認(rèn)證標(biāo)準(zhǔn)的系統(tǒng)41個(gè)。

2.4 網(wǎng)絡(luò)核心設(shè)備和網(wǎng)絡(luò)安全軟件基本實(shí)現(xiàn)國(guó)產(chǎn)化

信創(chuàng)產(chǎn)業(yè)的快速發(fā)展極大地提升了煤炭企業(yè)在網(wǎng)絡(luò)安全方面的自主可控能力，主要軟硬件國(guó)產(chǎn)化率大幅提升。2021年，20家煤炭集團(tuán)總部網(wǎng)絡(luò)核心設(shè)備國(guó)產(chǎn)化率平均達(dá)到92%，其中15家為100%；20家煤炭集團(tuán)總部網(wǎng)絡(luò)安全軟件使用國(guó)產(chǎn)化率平均達(dá)到97%，其中17家為100%。

2.5 信息系統(tǒng)“上云”水平整體提升

隨著煤炭行業(yè)大力發(fā)展“新基建”，各大煤炭企業(yè)加大信息化基礎(chǔ)設(shè)施建設(shè)投入，企業(yè)“上云”水平整體提升，但差異較大。2021年，20家煤炭集團(tuán)總部主要管理信息系統(tǒng)“上云”比例平均達(dá)到64.4%。其中，8家“上云”比例達(dá)到100%，占比40%；5家“上云”比例超過(guò)70%，占比25%。但另有5家低于10%，其中3家“上云”比例為0。

2.6 網(wǎng)絡(luò)安全管理制度逐步完善

20家煤炭集團(tuán)總部中，出臺(tái)網(wǎng)絡(luò)安全相關(guān)制度的達(dá)到18家，占比90%。其中，11家已出臺(tái)網(wǎng)絡(luò)安全管理辦法(規(guī)定)，占比55%。同時(shí)，企業(yè)網(wǎng)絡(luò)安全相關(guān)制度不斷深化細(xì)化，除基礎(chǔ)的網(wǎng)絡(luò)安全管理辦法外，還包括工控系統(tǒng)、等級(jí)保護(hù)、崗位職責(zé)、漏洞檢測(cè)、突發(fā)事件應(yīng)急響應(yīng)、教育與培訓(xùn)、信息通報(bào)等各類具體內(nèi)容。

3 我國(guó)煤炭企業(yè)網(wǎng)絡(luò)安全存在的主要問(wèn)題

3.1 網(wǎng)絡(luò)安全防護(hù)意識(shí)整體薄弱

煤炭企業(yè)網(wǎng)絡(luò)安全防護(hù)意識(shí)雖有所提升，但對(duì)網(wǎng)絡(luò)安全危害仍整體認(rèn)知不足。煤炭企業(yè)更加注重對(duì)系統(tǒng)建設(shè)方面的投資，而對(duì)不能直接見(jiàn)效的網(wǎng)絡(luò)安全支持力度明顯不足。對(duì)網(wǎng)絡(luò)安全工作投入不能滿足安全防護(hù)的要求，導(dǎo)致網(wǎng)絡(luò)安全管理的各環(huán)節(jié)存在問(wèn)題。

3.2 網(wǎng)絡(luò)安全基礎(chǔ)保障能力不足

煤炭企業(yè)網(wǎng)絡(luò)安全資金投入整體不足，除幾家大型煤炭集團(tuán)總部網(wǎng)絡(luò)安全資金投入相對(duì)較高外，多數(shù)企業(yè)投入仍然偏低。煤炭企業(yè)整體防控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的工作體系、制度、協(xié)調(diào)機(jī)制尚未完善，機(jī)構(gòu)設(shè)置和人員配備不足。20家煤炭集團(tuán)總部除央企均設(shè)有網(wǎng)絡(luò)安全處或其他專門機(jī)構(gòu)外，其他企業(yè)相關(guān)職能設(shè)置在信息化部門下，專職工作人員數(shù)量平均不足3人。

3.3 網(wǎng)絡(luò)安全建設(shè)以被動(dòng)合規(guī)為主導(dǎo)

合規(guī)需求是過(guò)去幾年推動(dòng)我國(guó)煤炭企業(yè)網(wǎng)絡(luò)安全建設(shè)和產(chǎn)業(yè)發(fā)展的主要?jiǎng)右?。但在政策合?guī)驅(qū)動(dòng)下，煤炭企業(yè)用戶的安全投入以單點(diǎn)、分散式采購(gòu)為主，缺少體系化的安全規(guī)劃和布局。隨著各類實(shí)戰(zhàn)化網(wǎng)絡(luò)攻防演習(xí)行動(dòng)的逐年增多，單純依靠合規(guī)驅(qū)動(dòng)的工業(yè)企業(yè)用戶往往需要采取臨時(shí)協(xié)調(diào)、突擊建設(shè)等方式來(lái)應(yīng)對(duì)，安全投入不足、主體責(zé)任落實(shí)不到位等問(wèn)題仍然突出，產(chǎn)業(yè)內(nèi)生需求有待進(jìn)一步培育壯大。

3.4 網(wǎng)絡(luò)安全體系效能不能充分發(fā)揮

煤炭企業(yè)網(wǎng)絡(luò)安全不僅是投入問(wèn)題、技術(shù)問(wèn)題，同時(shí)更是管理問(wèn)題。提升網(wǎng)絡(luò)安全體系效能是網(wǎng)絡(luò)安全工作的關(guān)鍵所在。但是由于人員不足、手段缺失、流程不清晰等多方面條件限制，造成很多煤炭企業(yè)網(wǎng)絡(luò)安全體系效能發(fā)揮受限，如隱藏的安全問(wèn)題發(fā)現(xiàn)不了、發(fā)現(xiàn)問(wèn)題解決不了等，最終造成所建設(shè)的安全體系不能充分應(yīng)對(duì)實(shí)際安全問(wèn)題。

3.5 煤礦工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)高

國(guó)內(nèi)煤礦網(wǎng)絡(luò)建設(shè)普遍采用以太網(wǎng)的環(huán)冗余技術(shù)，通過(guò)調(diào)度中心與2個(gè)環(huán)網(wǎng)進(jìn)行數(shù)據(jù)聯(lián)通，由于系統(tǒng)本身的脆弱性，結(jié)合內(nèi)外部導(dǎo)入的威脅所帶來(lái)的安全風(fēng)險(xiǎn)，控制網(wǎng)絡(luò)內(nèi)缺少入侵檢測(cè)技術(shù)手段，無(wú)法及時(shí)對(duì)黑客入侵、病毒攻擊等行為進(jìn)行報(bào)警，攻擊行為發(fā)生后也無(wú)法定位?？刂凭W(wǎng)絡(luò)中缺少工控檢測(cè)與審計(jì)技術(shù)手段，無(wú)法對(duì)工業(yè)流量進(jìn)行分析。生產(chǎn)網(wǎng)與辦公網(wǎng)之間缺少有效的隔離，無(wú)法阻止來(lái)自辦公網(wǎng)的工控網(wǎng)絡(luò)攻擊。

3.6 對(duì)安全技術(shù)廠商依賴程度高

我國(guó)煤炭企業(yè)網(wǎng)絡(luò)安全建設(shè)目前以技術(shù)應(yīng)用和產(chǎn)品部署為主，在安全策略、制度、流程等方面普遍考慮不足。由于缺少與安全技術(shù)相匹配的人員、流程和管理手段，煤炭企業(yè)用戶往往無(wú)法實(shí)現(xiàn)對(duì)安全產(chǎn)品效能和服務(wù)質(zhì)量的有效評(píng)估，只能依賴市場(chǎng)上各類資質(zhì)不一、能力參差不齊的安全技術(shù)廠商，煤炭企業(yè)自身的安全建設(shè)水平和保障能力亟待提升。

3.7 終端操作系統(tǒng)和數(shù)據(jù)庫(kù)國(guó)產(chǎn)化使用率低

20家煤炭集團(tuán)總部辦公終端操作系統(tǒng)平均國(guó)產(chǎn)化使用率不足1%。其中最高的接近20%，65%的集團(tuán)國(guó)產(chǎn)化使用率為0。Windows操作系統(tǒng)占據(jù)絕對(duì)主導(dǎo)，平均使用率為98.3%，其中尚有2%的電腦終端還在使用Windows XP系統(tǒng)。20家煤炭集團(tuán)總部中，僅6家使用了國(guó)產(chǎn)品牌數(shù)據(jù)庫(kù)，且使用數(shù)量偏低。

3.8 網(wǎng)絡(luò)安全產(chǎn)品難以滿足行業(yè)特色需求

技術(shù)廠商提供的部分防護(hù)類產(chǎn)品和管理類產(chǎn)品與煤礦業(yè)務(wù)場(chǎng)景結(jié)合程度不高，使得煤炭企業(yè)對(duì)廠商的安全技術(shù)認(rèn)可度不高。但涉足煤炭行業(yè)網(wǎng)絡(luò)安全業(yè)務(wù)的廠商數(shù)量激增，供給市場(chǎng)呈分散化趨勢(shì)，產(chǎn)業(yè)集聚效應(yīng)不明顯，行業(yè)規(guī)模效應(yīng)難以實(shí)現(xiàn)。

4 關(guān)于煤炭企業(yè)網(wǎng)絡(luò)安全建設(shè)的對(duì)策與建議

網(wǎng)絡(luò)安全工作是一項(xiàng)系統(tǒng)性的工作，具有基礎(chǔ)性、動(dòng)態(tài)性、實(shí)戰(zhàn)性等特點(diǎn)，并不是簡(jiǎn)單的投入一定資金、購(gòu)置安全產(chǎn)品或培養(yǎng)專業(yè)人才就能夠解決的。煤炭企業(yè)要做好網(wǎng)絡(luò)安全工作，應(yīng)落實(shí)“三化六化”總要求，摒棄以往“重技術(shù)輕管理”的固有認(rèn)識(shí)，通過(guò)建立健全網(wǎng)絡(luò)安全治理體系、合理應(yīng)用網(wǎng)絡(luò)安全防護(hù)技術(shù)、加強(qiáng)網(wǎng)絡(luò)安全運(yùn)營(yíng)管理等全方位措施才能得以實(shí)現(xiàn)。

4.1 完善企業(yè)網(wǎng)絡(luò)安全治理體系

(1)完善網(wǎng)絡(luò)安全組織管理體系。煤炭企業(yè)主要負(fù)責(zé)人應(yīng)是本單位網(wǎng)絡(luò)安全工作的第一責(zé)任人，應(yīng)按照“誰(shuí)建設(shè)誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)，誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則，逐級(jí)落實(shí)網(wǎng)絡(luò)安全責(zé)任制。企業(yè)應(yīng)成立網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，負(fù)責(zé)網(wǎng)絡(luò)安全管理重大事項(xiàng)決策和協(xié)調(diào)工作；明確其他成員單位和部門需承擔(dān)的安全管理責(zé)任，同時(shí)建立健全從上至下的網(wǎng)絡(luò)安全工作隊(duì)伍。

(2)完善網(wǎng)絡(luò)安全制度管理體系。完善的管理制度是確保網(wǎng)絡(luò)安全的基礎(chǔ)保障，煤炭企業(yè)網(wǎng)絡(luò)安全管理制度應(yīng)由安全策略、管理制度和操作規(guī)程等構(gòu)成。安全策略是企業(yè)網(wǎng)絡(luò)安全工作的總體方針和基礎(chǔ)要求；管理制度是網(wǎng)絡(luò)安全不同領(lǐng)域細(xì)化的制度，包括如網(wǎng)絡(luò)安全、設(shè)備安全、系統(tǒng)安全、教育培訓(xùn)、事故處置、應(yīng)急響應(yīng)等一系列專項(xiàng)管理制度；操作規(guī)程實(shí)際上是標(biāo)準(zhǔn)，從實(shí)操層面將企業(yè)網(wǎng)絡(luò)安全工作流程、制度要求進(jìn)行標(biāo)準(zhǔn)化規(guī)范。

(3)完善網(wǎng)絡(luò)安全人員管理體系。維護(hù)網(wǎng)絡(luò)安全關(guān)鍵在人，糾正“網(wǎng)絡(luò)安全是技術(shù)部門和技術(shù)人員的事”思想。煤炭企業(yè)網(wǎng)絡(luò)安全不僅涉及的是本專業(yè)的管理和技術(shù)人員，還包括企業(yè)全體員工，從企業(yè)最高管理層、中層管理者、重點(diǎn)及敏感崗位人員、網(wǎng)絡(luò)安全管理(技術(shù))人員乃至最基層的普通礦工，任何一環(huán)操作或使用不當(dāng)，都有可能引發(fā)網(wǎng)絡(luò)安全問(wèn)題。應(yīng)建立從上至下、覆蓋完善的網(wǎng)絡(luò)安全隊(duì)伍體系和教育培訓(xùn)考核體系，面向全員，常態(tài)化開(kāi)展不同層次的網(wǎng)絡(luò)安全培訓(xùn)和教育。

(4)完善網(wǎng)絡(luò)安全建設(shè)管理體系。網(wǎng)絡(luò)安全建設(shè)管理是煤炭企業(yè)網(wǎng)絡(luò)安全工作的核心內(nèi)容。要從規(guī)劃建設(shè)、系統(tǒng)建設(shè)、系統(tǒng)管理、系統(tǒng)運(yùn)維、審計(jì)管理、安全管理、集中管控、應(yīng)急管理、檢查評(píng)估、責(zé)任追究等全流程加以管控，系統(tǒng)化實(shí)施推進(jìn)。煤炭企業(yè)網(wǎng)絡(luò)安全管理工作應(yīng)堅(jiān)持“同步規(guī)劃、同步建設(shè)、同步運(yùn)行、同步合規(guī)”的原則，確保網(wǎng)絡(luò)安全設(shè)施與信息系統(tǒng)建設(shè)項(xiàng)目同步投入使用，并符合安全等級(jí)保護(hù)等合規(guī)性要求。同時(shí)還要做好供應(yīng)鏈安全管理，加強(qiáng)自主研發(fā)能力，加快國(guó)產(chǎn)化替代進(jìn)程，優(yōu)先部署國(guó)產(chǎn)產(chǎn)品。

4.2 合理應(yīng)用網(wǎng)絡(luò)安全防護(hù)技術(shù)

4.2.1 加強(qiáng)煤礦設(shè)備安全防護(hù)

煤礦設(shè)備可按照設(shè)備類型和新舊設(shè)備有針對(duì)性地進(jìn)行防護(hù)，無(wú)法升級(jí)設(shè)備系統(tǒng)軟件增強(qiáng)安全的老舊設(shè)備，可通過(guò)例行資產(chǎn)和暴露面盤點(diǎn)及時(shí)關(guān)閉高危賬戶和網(wǎng)絡(luò)端口，減少對(duì)外暴露的設(shè)備系統(tǒng)接口和被攻擊的幾率。新設(shè)備按照富資源設(shè)備(如控制器和上位機(jī))和資源受限設(shè)備(如傳感類設(shè)備)分別進(jìn)行技術(shù)防護(hù)。富資源設(shè)備應(yīng)支持SL2級(jí)系統(tǒng)安全要求，通過(guò)軟件防火墻對(duì)控制器類設(shè)備上的進(jìn)程和文件白名單管理。資源受限設(shè)備應(yīng)支持SL1級(jí)系統(tǒng)安全要求。

4.2.2 加強(qiáng)煤礦工控系統(tǒng)安全防護(hù)

(1)安全分區(qū)。煤礦生產(chǎn)單位可按照辦公和生產(chǎn)分別劃分安全區(qū)；井工礦可按照井下控制區(qū)和井上控制區(qū)劃分分區(qū)；針對(duì)每個(gè)生產(chǎn)單位接入相關(guān)政府部門系統(tǒng)時(shí)，劃分外聯(lián)區(qū)。

(2)邊界隔離[14]。辦公分區(qū)與生產(chǎn)分區(qū)間，根據(jù)實(shí)際情況按需設(shè)置防火墻或者網(wǎng)閘，白名單機(jī)制管控互訪連接。生產(chǎn)分區(qū)內(nèi)，控制區(qū)與其他分區(qū)采用防火墻隔離防護(hù)。涉及政府部門的外聯(lián)邊界，應(yīng)建設(shè)外聯(lián)安全接入?yún)^(qū)。

(3)網(wǎng)絡(luò)架構(gòu)。生產(chǎn)網(wǎng)整體宜采用分層環(huán)形組網(wǎng)方式，分為骨干環(huán)網(wǎng)和接入環(huán)網(wǎng)，部分主干網(wǎng)絡(luò)建議雙節(jié)點(diǎn)組網(wǎng)，增強(qiáng)可靠性，網(wǎng)關(guān)下沉到接入交換機(jī)，減少網(wǎng)絡(luò)風(fēng)暴。無(wú)互聯(lián)要求的控制和監(jiān)控系統(tǒng)通過(guò)VLAN或者VPN隔離。

(4)終端防護(hù)。終端可安裝安全沙箱，對(duì)訪問(wèn)生產(chǎn)系統(tǒng)的客戶端軟件和訪問(wèn)互聯(lián)網(wǎng)的客戶端進(jìn)行隔離。

(5)協(xié)同防護(hù)。安全設(shè)施和網(wǎng)絡(luò)設(shè)備通過(guò)工控安全態(tài)勢(shì)感知協(xié)同，收集部署在安全區(qū)域內(nèi)的工業(yè)入侵檢測(cè)系統(tǒng)、工業(yè)網(wǎng)絡(luò)審計(jì)類設(shè)備、終端安全、日志審計(jì)系統(tǒng)產(chǎn)生的日志和流量信息，確保煤炭企業(yè)關(guān)鍵工控系統(tǒng)的持續(xù)運(yùn)轉(zhuǎn)。

4.2.3 加強(qiáng)煤炭企業(yè)網(wǎng)絡(luò)安全防護(hù)

(1)優(yōu)化網(wǎng)絡(luò)架構(gòu)，按照單位或園區(qū)的密集度，設(shè)置獨(dú)立的具有冗余結(jié)構(gòu)的網(wǎng)關(guān)設(shè)備。

(2)收縮互聯(lián)網(wǎng)出口，煤炭企業(yè)下屬多個(gè)生產(chǎn)單位時(shí)，建議取消生產(chǎn)單位互聯(lián)網(wǎng)出口，將互聯(lián)網(wǎng)出口集中在集團(tuán)總部或者集團(tuán)所屬二級(jí)子公司。

(3)網(wǎng)絡(luò)集中管理，部署網(wǎng)絡(luò)管理系統(tǒng)對(duì)所有單位的網(wǎng)絡(luò)設(shè)備進(jìn)行集中管理和監(jiān)控，集中配置網(wǎng)絡(luò)設(shè)備。

(4)網(wǎng)絡(luò)安全域分區(qū)，管理網(wǎng)絡(luò)和生產(chǎn)網(wǎng)絡(luò)設(shè)置安全域，部署防火墻，原則上安全域策略出方向不限制，入方向按需放通。

(5)統(tǒng)一網(wǎng)絡(luò)準(zhǔn)入，部署自動(dòng)化程度高的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，對(duì)所有單位的網(wǎng)絡(luò)設(shè)備和終端設(shè)備進(jìn)行準(zhǔn)入管控。

(6)盤點(diǎn)網(wǎng)絡(luò)資產(chǎn)，部署網(wǎng)絡(luò)資產(chǎn)盤點(diǎn)系統(tǒng)，對(duì)所有的資產(chǎn)和互聯(lián)關(guān)系進(jìn)行確認(rèn)入賬。

(7)盡量采購(gòu)?fù)瑥S安全設(shè)施，形成協(xié)同防護(hù)體系。

4.2.4 加強(qiáng)煤炭企業(yè)云安全防護(hù)

(1)云平臺(tái)安全。加強(qiáng)云平臺(tái)網(wǎng)絡(luò)邊界，平臺(tái)運(yùn)維安全防護(hù)，加強(qiáng)管理員賬號(hào)管理。

(2)租戶網(wǎng)絡(luò)安全。按照應(yīng)用通信和安全等級(jí)劃分應(yīng)用安全組，一個(gè)應(yīng)用安全組對(duì)應(yīng)一個(gè)VPC。應(yīng)用安全組內(nèi)通過(guò)安全組策略保障應(yīng)用部件間通信安全，應(yīng)用安全組間通過(guò)虛擬防火墻保障跨組通信安全。

(3)租戶主機(jī)安全。通過(guò)安裝軟件防火墻和服務(wù)器EDR軟件加強(qiáng)主機(jī)安全防護(hù)。

(4)云資源池安全。建立物理機(jī)房位置分開(kāi)的主備容災(zāi)機(jī)制的云資源池。

4.2.5 加強(qiáng)煤炭企業(yè)數(shù)據(jù)安全防護(hù)

(1)對(duì)數(shù)據(jù)進(jìn)行分級(jí)分類，明確核心數(shù)據(jù)、重要數(shù)據(jù)及一般數(shù)據(jù)，并對(duì)不同等級(jí)數(shù)據(jù)確立不同權(quán)限訪問(wèn)及保密性要求。

(2)加強(qiáng)數(shù)據(jù)安全防護(hù)，按照數(shù)據(jù)采集、傳輸、存儲(chǔ)、使用的全流程實(shí)施數(shù)據(jù)安全防護(hù)。加強(qiáng)數(shù)據(jù)采集源的可信驗(yàn)證和數(shù)據(jù)質(zhì)量監(jiān)測(cè)；加強(qiáng)數(shù)據(jù)傳輸和存儲(chǔ)的保密性防護(hù)，防范非法監(jiān)聽(tīng)或惡意篡改；加強(qiáng)用戶身份認(rèn)證,遵循權(quán)限最小環(huán)原則；加強(qiáng)數(shù)據(jù)防泄露機(jī)制，涉及企業(yè)和個(gè)人隱私的數(shù)據(jù)要求脫敏處理。

(3)加強(qiáng)數(shù)據(jù)安全監(jiān)測(cè)與審計(jì)，定期檢查和分析數(shù)據(jù)庫(kù)安全漏洞、SQL語(yǔ)句風(fēng)險(xiǎn)、用戶訪問(wèn)風(fēng)險(xiǎn)，消除數(shù)據(jù)安全隱患。

4.2.6 加強(qiáng)煤炭企業(yè)應(yīng)用系統(tǒng)安全防護(hù)

(1)應(yīng)用系統(tǒng)訪問(wèn)控制應(yīng)實(shí)施多因子認(rèn)證，提升口令復(fù)雜度，增強(qiáng)賬號(hào)破解難度。

(2)應(yīng)建立多應(yīng)用系統(tǒng)統(tǒng)一登錄認(rèn)證機(jī)制，降低用戶保存多賬號(hào)和口令的難度，減少賬號(hào)丟失濫用幾率。

(3)應(yīng)部署應(yīng)用訪問(wèn)代理隱藏應(yīng)用系統(tǒng)，同時(shí)設(shè)置精細(xì)化用戶權(quán)限管控，梳理不同用戶的訪問(wèn)需求，建立應(yīng)用權(quán)限管理矩陣。

(4)應(yīng)部署Web防火墻和數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，加強(qiáng)Web惡意攻擊防御能力。

(5)應(yīng)按照重要性分類實(shí)施部署隔離，避免一個(gè)應(yīng)用被攻破后作為跳板攻擊其他應(yīng)用。

(6)應(yīng)加強(qiáng)終端側(cè)安全防護(hù)和監(jiān)測(cè)，通過(guò)終端安全預(yù)警機(jī)制及時(shí)發(fā)現(xiàn)終端側(cè)的安全風(fēng)險(xiǎn)。

4.2.7 加強(qiáng)物理環(huán)境安全防護(hù)

物理環(huán)境安全應(yīng)按照國(guó)家及煤炭行業(yè)有關(guān)標(biāo)準(zhǔn)設(shè)計(jì)實(shí)施，應(yīng)具備消防報(bào)警、安全照明、不間斷供電、溫濕度控制和防盜防破壞報(bào)警，從而以保護(hù)系統(tǒng)免受水、火、電、有害氣體、雷擊、地震等各種不利因素的危害。涉及的安全防護(hù)技術(shù)可從機(jī)房部署、井下信息化設(shè)備、室外控制設(shè)備3個(gè)方面來(lái)考慮。因?yàn)槊旱V井下具有區(qū)域相對(duì)狹小、照明條件較差、溫度高、潮濕、粉塵濃度高等特點(diǎn)，且部分礦井具有瓦斯?jié)舛雀?、腐蝕性有害氣體濃度高等特點(diǎn)，因此應(yīng)根據(jù)不同情況采取相應(yīng)的物理安全防護(hù)措施。

4.3 加強(qiáng)網(wǎng)絡(luò)安全運(yùn)營(yíng)管理

煤炭企業(yè)網(wǎng)絡(luò)安全運(yùn)營(yíng)能力建設(shè)應(yīng)堅(jiān)持“事先防范、事中控制、事后處置”的理念，以安全治理為核心、風(fēng)險(xiǎn)態(tài)勢(shì)為導(dǎo)向、安全合規(guī)為基礎(chǔ)，結(jié)合組織基礎(chǔ)安全能力，在人、技術(shù)、過(guò)程層面不斷完善組織網(wǎng)絡(luò)安全體系，滿足安全運(yùn)營(yíng)的系統(tǒng)性、動(dòng)態(tài)性和實(shí)戰(zhàn)性需求，建立健全網(wǎng)絡(luò)安全運(yùn)行監(jiān)控機(jī)制，形成一體化的網(wǎng)絡(luò)安全防御、監(jiān)測(cè)預(yù)警和應(yīng)急處置體系。

(1)堅(jiān)持統(tǒng)籌謀劃，整體推進(jìn)。統(tǒng)籌煤炭企業(yè)生產(chǎn)區(qū)、辦公區(qū)、生活區(qū)安全監(jiān)控重點(diǎn)，統(tǒng)籌資源配置和關(guān)鍵技術(shù)管理，構(gòu)建網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警能力，推進(jìn)各項(xiàng)任務(wù)的有序開(kāi)展。

(2)堅(jiān)持協(xié)同配合，分級(jí)管控。整合煤炭企業(yè)內(nèi)部資源，堅(jiān)持網(wǎng)絡(luò)安全一盤棋；分層組建網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控隊(duì)伍，明確工作界限，形成分級(jí)協(xié)同的安全運(yùn)行監(jiān)控體系。

(3)堅(jiān)持面向?qū)崙?zhàn)，安全運(yùn)營(yíng)。重點(diǎn)突出網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控體系的實(shí)戰(zhàn)能力與保障能力，以安全事件發(fā)現(xiàn)、分析研判、通告預(yù)警、響應(yīng)處置、追蹤調(diào)查為核心，構(gòu)建面向?qū)崙?zhàn)的安全運(yùn)營(yíng)體系；將技術(shù)、管理、流程進(jìn)行有機(jī)整合支撐業(yè)務(wù)實(shí)戰(zhàn)，形成保障業(yè)務(wù)、促進(jìn)業(yè)務(wù)的閉環(huán)安全運(yùn)營(yíng)。

(4)堅(jiān)持及時(shí)響應(yīng)，降低影響。建立網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)測(cè)值班機(jī)制，確保及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全事件，形成網(wǎng)絡(luò)安全與系統(tǒng)運(yùn)行協(xié)同的一體化監(jiān)控、應(yīng)急防護(hù)體系，統(tǒng)籌協(xié)調(diào)事件處置，全力降低安全事件影響范圍。

5 結(jié)語(yǔ)

從黨中央、國(guó)務(wù)院及相關(guān)部門對(duì)網(wǎng)絡(luò)安全的重視程度，到煤炭行業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化發(fā)展所面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)形勢(shì)，都對(duì)煤炭企業(yè)網(wǎng)絡(luò)安全工作提出了新的更高要求。煤炭企業(yè)近年來(lái)在該領(lǐng)域雖然取得了一定進(jìn)步，但整體仍存在較大差距。

網(wǎng)絡(luò)安全是一項(xiàng)系統(tǒng)性工作，不能簡(jiǎn)單地認(rèn)為投入一定資金、采取一些防護(hù)手段或招聘一些專業(yè)人員就能夠解決，必須落實(shí)“三化六防”總要求，通過(guò)建立健全網(wǎng)絡(luò)安全治理體系、合理應(yīng)用網(wǎng)絡(luò)安全防護(hù)技術(shù)、加強(qiáng)網(wǎng)絡(luò)安全運(yùn)營(yíng)管理等全方位措施才能得以實(shí)現(xiàn)。