快捷搜索:  网络  CVE  渗透  后门  扫描  木马  黑客  as

浅析煤炭企业怎么样进行工控安全建设

*

摘要:

煤炭工业控制体系是全部煤炭企业安全生产监控体系信息的集成,它需要一个快速、安全、可靠的收集平台为大批的信息流动提供支撑,同时要有一个功能周全的安全生产信息应用体系为矿井安全生产提供科学调度、决策的依据。做好煤炭企业工控安全建设是完成生产安全的必要保证。

症结字:煤炭  工控安全  工控体系

一 概述

煤炭行业是指以开采煤炭资源为主的一个产业,它是国家能源的首要来源之一,也是国家经济的重要支柱之一。

一般能源行业包括煤炭、石油石化、电力等,而国家《收集安全法》第三十一条请求:国家对公共通讯以及信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业以及领域,和其他一旦遭到损坏、损失功能或者数据泄露,可能严重风险国家安全、国计民生、公共利益的症结信息基础举措措施,在收集安全等级维护制度的基础上,实行重点维护。所以煤炭的开采以及加工属于能源行业是国家症结基础举措措施,应遵照国家标准加强收集安全防护。

中国煤炭资源丰富,首要分布于黑龙江、内蒙古、山西、山东、江苏、河北、陕西、宁夏、河南、贵州、新疆等省份。开采方式采用煤炭掘进机、皮带和其他手艺将煤炭从公开运出,然后将原煤输送到选煤厂,行使煤炭以及矸石物理、化学性质悬殊,将煤以及杂质星散出来,加工成商品煤,终极输送到电厂、化工厂、钢厂等进行有用的应用。

二 煤炭生产体系架构

2.1. 营业架构

浅析煤炭企业如何进行工控安全建设

煤炭生产营业架构图

煤炭生产体系首要分为五层,分别为设备层、控制层、生产执行层、经营治理层以及决策支持层。详细包括:

l 设备层包括传感器、仪器仪表、阀门、射频识别、摄像头、皮带、机械以及安装等,是煤矿进行生产活动的物质手艺基础;

l 控制层包括输煤皮带体系、选煤厂集控体系、安全监控体系、电力监控体系、通风体系、供水体系等控制体系,这些控制体系通过各自的PLC对底层设备进行控制;

l 生产执行层包括生产治理、调度治理、安全治理、机电治理等体系,用来对全部生产体系进行集中控制以及统一治理;

l 经营治理层包括ERP体系、项目治理体系以及办公体系等,通过阐发生产数据来达到经营治理的目的;

l 决策支持层首要通过经营治理层提供的数据来对总体发铺方向做决策。

2.2. 收集架构

浅析煤炭企业如何进行工控安全建设

煤炭生产收集架构图

l 煤炭生产收集首要由工业以太网构成,分地面工业以太环网以及井下工业以太环网、调度中心收集。

l 以上三个收集由两台核心交换机将井下以及地面体系连接起来,同地面的调度中心进行数据通信。

l 调度中心负责各个体系的数据采集以及阐发、监视,和部分辅助子体系的控制工作。

l 煤炭生产控制首要控制工作在现场各个子体系的控制室实现。

l 煤炭生产控制体系首要控制器品牌:AB以及西门子,浙江中控以及以及利时等。

l 体系首要通信协定:OPC、MODBUS、profinet等。

3. 危害阐发

目前煤矿生产体系逐步完成数字化矿山的改造以及建设,然则收集安全建设依旧没有跟上信息化建设的步伐。现场工业收集目前可以完成正常的通信,餍足基本生产运行,但工控安全防护设备较少,一旦出现问题,可能会影响生产运行,后果不堪假想。笔者总结煤炭企业存在危害以下:

l 缺乏总体信息安全规划;

l 缺乏工控安全治理制度、应急预案、培训与意识培育;

l 调度人员无意通过连通互联网的手机在调度室主机U口上充电,导致生产收集通过手机被打通,造成边界模胡。

l 主机操作体系老旧,从不升级,工控黑客 ,极易出现安全漏洞以及缺点;新建体系主机虽然会装置杀毒软件,然则为保证生产运行,杀毒软件一般处于关闭状态,这些都存在安全隐患,没法防御“0-DAY”病毒以及勒索病毒

l 调度人员或运维人员使用带有病毒的U盘插入主机中,造成全部收集感抱病毒。

l 煤炭生产现场PLC多为西门子或AB的产品,而PLC本身存在漏洞,西门子以及AB近些年被曝出存在高危漏洞, 攻击者可以行使漏洞控制现场设备,执行错误命令,严重影响安全生产。

黑客也可通过手艺手段潜入生产收集,获取症结生产数据,攫取利益。

四 方案设计

4.1. 设计规划

煤炭企业工控收集团体信息安全建设,首要从两大系统进行规划:信息安全手艺防护系统,信息安全治理系统,结合《工业控制体系信息安全防护指南》以及《GB/T 22239-2008 信息体系安全等级维护基本请求》进行统一规划建设。

4.2. 参考标准及律例

l 《工业控制体系信息安全防护指南》(工信软函〔2016〕338号)

l 《GB/T 22239-2008 信息体系安全等级维护基本请求》

l 《收集安全法》

4.3. 手艺设计方案

浅析煤炭企业如何进行工控安全建设

煤炭生产体系总体防护部署示意图

l 部署工业防火墙:控制层与生产执行层间无安全防护,煤矿现场控制层可能受到非法的收集走访以及恶意代码的入侵,影响控制器的正常工作。在煤矿控制层与生产执行层间部署能够识别工控协定的工业防火墙产品,将煤矿控制层与生产执行层进行逻辑隔离,并配置严格的走访控制策略,通基于IP、端口、协定等的走访控制配置,杜尽控制体系的非法走访,隔离收集攻击以及病毒(包含工业病毒)的跨地区的串扰,维护工业环网的安全运行。

l 部署工控IDS:外部收集流量需要由执行层进入控制层,进入控制层后没有流量检测安装,没法判定外部流量生产控制层的是否存在异常收集攻击、恶意代码等。在控制层以及生产执行层边界交换机旁路部署工控IDS,对进行控制体系的流量进行网络、阐发以及检测,实时监测外部流入的流量是否存在可能导致控制体系异常的攻击举动以及恶意代码,若发现收集安全威胁可第一时间产品告警,提示运维治理人员采取处置措施。

l 部署主机防护软件:为保障主机设备的正常运行,煤矿控制体系的操作员站以及工程师站基本不装置杀毒软件,导致主机设备可能存在未被发现的恶意代码程序且没法抵御病毒、木马等恶意代码的入侵。在煤矿控制体系的工程师站以及操作员站装置主机防护软件,使用“白名单”手艺固化工程师站以及操作员站所能够运行的应用软件,恶意代码软件、背规软件没法在工程师站以及操作员站运行,维护工程师站以及操作员站不受恶意代码的损坏,能够安全稳定运行。通过对主机接口的治理,防止外设在主机上随便使用。

l 部署工控安管平台:煤矿控制体系在做好信息安全的相干建设或整改后,增添了收集安全性,然则也增添了一定的治理难度。在控制层部署安全治理平台,对所使用的安全产品进行统一治理,首要包括数据监测、日记网络以及报警铺示,通过使用统一治理平台可以大大降低运维治理的工作难度以及工作量、同时可采集煤矿控制体系的主机设备、收集设备、安全、营业软件的日记进行统一以及治理,运维治理人员可通过统一治理平台监控全网的报警信息,发生安全事故后,可第一时间采取处置措施。

4.4. 治理设计方案

煤炭企业在进行工控安全手艺建设的同时,也不能忽视工控安全治理建设,我们在企业安全建设一直夸大“三分手艺,七分治理”。

安全治理系统方面,通过订定以及完美工控收集安全治理制度,形成由安全策略、治理制度、操作规程等构成的周全的信息安全治理制度保证系统,做到有章可循、有法可依、大家有责的工控收集以及体系安全建设格局。

安全制度治理结合煤炭企业收集安全治理工作现状,笔者建议订定下列文件:《工控安全治理办法》、《工控安整个门、岗位职责文件》、《工业控制体系介质治理程序》、《工业控制体系外部人员走访治理制度》、《工业控制体系PLC治理制度》、《工控安全事故治理办法》等工控安全治理制度。

同时通过协助企业订定《工控安全应急预案》、《工控安全服务办法》,定期构造工业控制体系信息安全培训,定期进行危害评估等,周全完成企业总体信息安全防护。

五 小结

方案依据PPDR(安全策略、维护、检测以及响应)安全保证模型设计,形成“事先防护-事中监测-事后响应”的总体安全防护策略。简化运维治理,不需要频仍升级特征库,简化运维治理工作量,同时能够防护未知恶意代码或黑客的攻击。

该方案相符《信息安全手艺 收集安全等级维护基本请求》的规定,安全建设内容餍足等保及检查请求。

六 致谢

本文在撰写过程中,得到中煤集团治理专家杨峰老师、神华集团煤炭安全专家秦伟老师、启明星斗工控安全专家孟雅辉老师的悉心指导,谨此叫谢。 

*

您可能还会对下面的文章感兴趣: