一、背景

随着工业4.0、工业互联网、中国制造2025等数字化转型战略的相继提出，加之物联网、大数据、云计算、5G等新一代信息技术的快速发展，推动我国矿山开采向智能化方向发展。从能源结构上看，我国富煤、少气、贫油，凸显了煤炭的重要性。国家为了推动智能化技术与煤矿生产融合发展，2020年3月由国家发展改革委、能源局、煤监局等8部委联合印发了《关于加快煤矿智能化发展的指导意见》，意见指出“到2035年，各类煤矿基本实现智能化，建成能够智慧感知、智能决策、自动执行的安全、高效、绿色煤矿”。

煤矿在数字化转型过程中，智能化带来便利，也面临着新的挑战。各种勒索软件、挖矿病毒、工业间谍、黑客甚至敌对势力等威胁，开始对智慧矿山进行破坏攻击，导致生产安全与网络安全交织在一起，给我国能源带来了巨大的安全隐患。

二、安全风险

01

网络架构方面

按照国家安监总局要求，煤矿安全监控数据（如人员定位、瓦斯监测、工业电视、产量等）应上传至属地煤矿主管部门或煤矿上级公司。基于政策的强要求进入到生产控制网的通信链路越来越多，无统一对外提供数据的窗口，网络边界模糊，安全管理难度大。

02

边界防护方面

通常只有生产管理网、办公网与上级单位、互联网的网络出口部署防火墙，但生产控制网内部缺少边界防护措施，如井下环网、地面环网、调度中心、无线网络等无任何边界防护以及访问控制手段。

03

安全检测方面

多数煤炭生产综合监控系统缺少威胁入侵检测以及异常行为、网络运行状态监测手段。对生产网络中存在的威胁行为、漏洞利用行为、误操作、违规操作以及关键动作，不能实时感知。

04

主机方面

在掘进、综采、运输、提升、洗选、供电、排水、通风等系统中，大多数工程师站、操作员站、HMI、SCADA实时服务器、历史服务器等工业主机以及人员定位、安全监测、广播、工业电视、产量等非工业主机，普遍恶意代码防范能力弱。存在操作系统版本老、漏洞多、基线弱、病毒库旧等问题以及存储介质乱插现象。

05

安全运维方面

煤矿地处偏僻、交通不便，远程运维盛行。通常通过向日葵、VNC、Teamviewer等互联网工具进行运维，但运维过程无任何管控措施，出现问题不能定位追责。

06

数据库安全方面

由于缺少相关数据审计措施，对用户的恶意操作、资源滥用和敏感数据泄露等违规行为无法审计、定位、溯源。

07

安全管理方面

煤矿生产环境恶劣、复杂，相关人员只有生产安全意识，无网络安全意识，网络安全组织、岗位、人员、职责、制度等普遍缺失或不成体系。

三、解决方案

在国家法律法规、政策、标准的框架体系下，依据《国家能源集团煤炭生产企业生产系统网络安全防护建设规范》和《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）的要求，从安全技术体系和安全管理体系构建纵深防御体系。再结合管理手段、技术手段、安全策略等，提供多维度、全方位的网络安全防护能力，从而达到有效防护、全面监测、及时响应的智慧煤矿安全防御体系。

整体安全技术架构设计如下：

图1智慧矿山（井工矿）整体安全技术架构

注：新增网络安全产品，以红色字体标注；所有部署的安全硬件产品，都部署在井上。

01

架构设计

新建DMZ区和安全管理区。DMZ区作为生产控制网统一对外提供数据的出口，将数据缓冲服务器、APP应用服务器及Web服务器等对外发布数据的服务器从地面调度中心区迁移到DMZ区；同时针对如人员定位系统、安全监测系统、压风系统、矿压监测系统、工业电视等系统无数据缓冲服务器的生产综合监控系统，新建镜像服务器，部署在DMZ区。

02

安全服务设计

通过安全评估服务，并借助漏扫和配置核查工具，对掘进、综采、运输、提升、洗选、供电、排水、通风以及安全监测、人员定位、广播、工业视频等业务子系统，进行资产识别、脆弱性识别和威胁识别。全面建立资产清单、威胁清单和脆弱性清单，形成整改建设依据。定期进行健康检查，包括漏洞、安全配置等，及时了解煤炭生产综合监控系统的薄弱环节，针对性预防与加固。

03

边界防护设计

在生产管理层与生产控制层之间部署2台工业网闸，双机热备，对工业协议报文拆包、内容剥离、安全过滤、单向传输、协议重组等，保障只有生产数据从生产控制网传输到生产管理网，禁止管理网违规访问生产网，实现两网之间的大边界安全防护。

在生产管理层部署2台工业防火墙，实现对DMZ、安全管理区与生产管理区之间的边界防护。在地面生产业务区、安全监控专网区、井下生产业务区以及工业无线的网络出口部署工业防火墙，实现各安全区以及工业无线之间的边界防护。

在DMZ区网络出口部署WAF设备，实现对DMZ的应用服务器的防护。

04

入侵检测设计

在生产控制网核心以及DMZ区旁路部署工业入侵检测（IDS），对煤矿生产综合监控系统网络中存在的异常威胁、漏洞利用行为、恶意攻击进行实时检测。

05

监测审计设计

在地面调度中心区旁路部署工控安全审计设备，对流经生产综合监控系统的网络流量进行审计。对上位机与下位机之间的工业协议识别，并进行深度解析，对违规操作、误操作以及关键操作（如下载、上传、组态变更以及CPU启停）等进行监测，实时了解生产网络的安全状态，为事后追溯、定位提供证据。

06

主机防护设计

在安全管理区部署主机卫士系统服务端，在掘进、综采、运输、提升、洗选、供电、排水、通风等业务子系统的工业主机部署主机卫士系统客户端，实现对工业主机的安全防护，增强未知威胁防范能力。

在安全管理区部署病毒服务器，在DMZ区、地面调度中心区中的非工业主机，如人员定位、安全监测、广播、工业电视等，部署杀毒软件客户端，实现对非工业主机的防护。

07

数据审计设计

在DMZ区旁路部署数据库审计设备，建立数据库操作的风险特征与审计行为的映射规则，对SIMATIC-IT-Historian、PHD、HiRIS、KingRDB、pSpace等工业实时数据库以及Oracle、MySQL、SQLServer等关系数据库进行审计。

08

安全运维设计

在安全管理区部署1台运维堡垒机，设置ACL访问策略，保障运维数据流经过堡垒机到达运维资源。对运维过程进行录屏、键盘记录，并进行审计，保障远程运维安全。

09

态势感知设计

在安全管理区部署1套厂级工业预警感知平台（注：预留接口，与上级单位态势感知联动），对部署的安全、网络以及关键业务系统进行操作日志、运行日志以及告警日志集中采集、泛化、关联分析，并从整体视角进行实时感知、事件分析、研判等，提升煤矿整体安全防护预警水平。

10

安全管理设计

首先，进行组织治理。明确网络安全负责人和管理组织，企业主要负责人是网络安全第一责任人，明确关键岗位和职责，关键岗位人员签署网络安全责任书等。其次，进行管理制度建设。主要从四个层面进行建设，包括一级文件的网络安全方针、战略；二级文件的管理规定、办法；三级文件的操作流程、规范、作业指导书、模板等；四级文件的各类表单、记录日志、报告等。最后，将制度文件进行评审、修订、发布、执行等管理。

四、客户价值

1、全面提升智慧矿山的合规性，符合国家主管部门、行业监管部门以及上级单位的安全要求；

2、全面提升掘进、综采、运输、提升、洗选、供电、排水、通风以及安全监测、人员定位、广播、工业视频等系统的安全防护与监测预警能力，助力智慧煤矿安全、高效、清洁、绿色开采；

3、全面提升煤矿相关业务人员的安全意识、安全技术水平和安全管理水平。