新闻中心
NEWS CENTER
原创|等保2.0下金矿企业如何进行工控安全建设
金矿作为极其宝贵的资源,是国家经济的重要支柱之一,同时也是国家经济安全的重要保障。
我国金矿资源丰富,主要黄金产区有四处,即胶东半岛、小秦岭地区、滇黔桂金三角及西北地区几省(新疆、青海、四川等省),其中,山东地区的金矿产量占居我国黄金生产的大部分。除了以上几个主要黄金产区,按产量大小我国主要产金的省区排位大致为:山东、河南、陕西、贵州、新疆、云南、广东、广西、湖南、黑龙江、内蒙等。
金矿开采国内主要采用地下开采的方式,地下开采按窿道的开口角度可以分为平窿、斜窿和竖井三种。以竖井为例,我国金矿的井深常见的最深度在600-1000米左右,一般井深在300-800米之间,最大井深在1000米以上。井下开采的原矿石通过提升运输系统运输至地面,再将原矿石输送到选矿厂,利用浮选法将金与杂质分离出来,形成精金矿。
在早期的金矿企业工业生产系统网络设计过程中,更多的关注功能安全而非网络信息安全,主要通过网络物理隔离和边界防火墙实现最基本的防护以应对网络攻击威胁。随着采区、工作面的扩大,工业环网的范围也在逐渐增大,接入了数以千计的PLC、工业计算机等,金矿工业网的安全风险不断加大。
另一方面,随着金矿企业在大力推进智慧矿山、绿色矿山建设以及两化融合进程中,对工控网络的安全也提出了更高的要求。
金矿主要自动化系统介绍
图:金矿主要自动化系统架构
1、通风系统
图:金矿主要自动化系统
2、排水系统
排水系统承担着将矿井水排到地面的功能,能够实现在调度中心控制泵、阀门启停,实现整个流程的自动控制,并可进行故障报警、故障停车;可实现无人值守功能。
图:矿井排水系统网络拓扑图
3、供配电系统
供配电自动化系统可以实现供电设备的远程操作,无人值守;通过对电气设备的实时监测,及时发现故障隐患及时维护,保证供电系统的高可靠性;同时通过对设备单位用电量的计量,实现高效能的能源管理,节约电能。
图:电力自动化系统网络拓扑图
4、充填系统
5、地压监测系统
地压监测系统为矿区、提供宏观灾害的预防、减灾与避灾提供科学依据,保障生产设施、人员的安全和减少经济损失,通过在开采移动监测范围内采用全球定位系统GPS建立了监测网,采集矿山地表的变形信息,分析岩体已经发生的和即将发生的移动范围、移动量、移动速度及发展趋势,判定地表建、构筑物的安全性。
建立井下的微震监测系统,进行数值模拟和监测结果综合分析,进而达到地压活动的预报,为安全生产提供依据,减小对矿山生产的影响。
图:地压监测系统拓扑图
6、人员定位系统
图:金矿主要自动化系统
7、提升运输系统
矿井提升机,是一种大型提升机械设备。是采矿中联系井下与地面的主要运输设备。矿井提升机是安装在地面,借助于钢丝绳带动提升容器沿井筒或斜坡道运行的提升机械。它用于竖井和斜井提升矿石、矸石以及升降人员、下放材料、工具和设备等。
图:提升运输系统拓扑图
8、选矿自动化
选矿厂由粗碎站、筛分厂房、中细碎厂房、皮带廊及转运站、粉矿仓、磨矿浮选厂房、精矿浓缩、过滤厂房、石灰粉添加系统、尾矿输送厂房等组成。在选矿生产中采用仪表、自动装置、电子计算机等技术和设备,对选矿生产设备状态和选矿生产流程状况实行监测、模拟、控制,并对生产进行管理的技术。
另外,电机车无人驾驶、远程破碎等系统均独立组网通过调度中心直接进行控制。
金矿安全问题
通过对以上金矿主要自动化系统进行梳理,目前金矿生产系统逐步实现数字化矿山的改造和建设,但是工控安全建设依旧没有跟上信息化建设的步伐。
现场工业网络目前可以实现正常的通讯,满足基本生产运行,但工控安全防护设备较少,一旦出现问题,可能会影响生产运行,后果不堪设想。目前金矿企业工业网络中普遍存在以下问题:
· 各生产相关的自动化系统建设标准不统一,网络较为复杂。
· 各系统/网络区域边界之间缺少防护。
· 生产现场人员随意使用U盘插入主机中,造成整个网络有感染病毒的风险。
· PLC多为国外品牌(西门子或GE的产品),国外PLC产品近些年被曝出存在高危漏洞,攻击者可以利用漏洞控制现场设备,执行错误命令,严重影响安全生产。
· 部分系统主机及系统服务器自安装后均未更新过系统补丁,存在操作系统漏洞被攻击者恶意利用的可能。
· 未对工控系统关键设备进行信息安全审计,未对工控系统帐户进行定期审计,且缺乏对违规操作、越权访问行为审计的能力。
· 没有第三方设备维护管理规定及操作行为审计,仅通过矿方简单授权即可对关键工控设备进行操作。
安全加固方案
金矿企业生产网的安全建设,主要结合《GB/T22239-2019 信息系统安全等级保护基本要求》和工信部338号《工业控制系统信息安全防护指南》进行统一规划建设。
1、架构拓扑图
金矿企业生产网络主要分为五层,分别为现场控制、车间环网层、骨干环网层、调度执行层以及管理办公网。
生产相关主要控制器品牌:施耐德、通用电气和西门子。
主要工业通讯协议:OPC、EGD、MODBUS、IEC103等。
图:金矿企业工控安全建设示意图
2、边界防护
1)工业网与办公网边界防护
金矿工业网络与矿区办公网络随着业务的发展需要会存在以TCP协议形式的访问或请求,导致工业网的封闭性被打破。由于办公网可以访问互联网,所以办公网受到来自互联网的攻击和威胁的概率会大大增加,如木马病毒、僵尸主机、网络层面渗透攻击等。这些攻击行为一旦突破了边界到达工业网络中,自动化控制系统可能会受到网络访问和恶意代码的入侵,影响控制器的正常工作,最终影响生产。
· 措施
在金矿工业网与办公网的边界处部署隔离网闸。在保证工业网络和办公网络有效隔离的基础上,实现两网之间安全、受控的数据交换。
在金矿工业网与办公网的边界处部署入侵防御系统。可以有效过滤办公网到工业网的网络入侵行为。通过检测发现网络入侵后,能自动丢弃入侵报文或者阻断攻击源,从而从根本上避免攻击行为。
· 可解决的问题
实现工业网与办公网之间的的高强度隔离,解决工业网与办公网之间的违规访问与边界防护的问题。
2)工业网内部边界防护
· 措施
在矿区网络、选厂网络边界部署工控防火墙;在调度执行层网络边界部署工控防火墙
· 可解决问题
通过在以上位置部署防火墙进行逻辑隔离,并设置严格的访问控制策略,通过基于 IP、端口、协议等进行控制设置,杜绝控制系统的非法访问,隔离网络攻击和病毒(包含工业病毒)的跨区域串扰,保护工业环网的安全运行。实现不同安全区域间的逻辑隔离。
3、监测审计
· 措施
在各分矿网络、选厂网络以及调度执行区的工业交换机上分别部署监测审计探针。
监测审计探针对工控流量进行监测分析,识别出工控协议,并对工控协议深度解析,同时将违规操作、非法操作和程序下载、IP变更、组态变更、PLC启停等关键事件以及病毒、木马、黑客等攻击行为数据传送到部署在安全管理中心的工控安全监测审计平台中。管理系统对工控安全监测审计管理系统进行统一监控与管理,将监测审计探针传送过来的异常数据进行统计分析,并告警显示,同时依据通讯流量生成节点网络拓扑动态;工控资产识别,实现对工控网络的监测与审计,为事后提供追溯分析依据。
· 可解决的问题
解决了生产网各工控系统中对病毒、木马等攻击行为缺少有效检测手段的问题以及违规操作、误操作行为无法监测问题。
4、终端安全
为保证主机设备的正常运行,金矿工业网中各自动化系统的操作员站和工程师站基本不安装杀毒软件,导致主机设备可能存在未被发现的恶意代码程序且无法抵御病毒、木马等恶意代码的入侵。
· 措施
本方案在生产网各工控系统中的操作员站、工程师站以及服务器等工业主机上安装部署工控终端防护系统,在安全管理中心部署终端安全管理系统。管理系统对工控终端防护系统进行统一管理与监控、策略下发、异常报警等。实现对工业主机的进程白名单管理,对USB等外设管控,有效抵御未知病毒、木马、恶意程序、非法入侵等针对终端的攻击,实现工业主机安全防护与加固。
· 可解决的问题
解决多数工业主机操作系统为Win XP、Win7系统,系统进行打补丁不现实,部署杀毒软件与工业应用软件兼容性较差、冲突、病毒库不更新等恶意代码防范问题。
5、安全运维
· 措施
在工业网的安全管理中心部署运维堡垒机,进行集中账号管理、集中登录认证、集中用户授权和集中操作审计。实现对运维人员的操作行为审计,对违规操作、非法访问等行为的有效监督,为事后追溯提供依据。
· 可解决的问题
解决远程运维行为无法监控问题以及在访问系统资源,操作记录无法做到安全审计、事后可追溯的问题。
6、安全管理平台
金矿工业网在做好工控安全的相关建设或整改后,提高了整体的安全性,但是也增加了一定的管理难度。
· 措施
因此,在工业网的调度执行层建设安全管理中心,并部署安全管理平台,实现对工控防火墙、工控安全监测审计管理系统、终端安全管理系统、堡垒机等安全产品的统一管理与监控。主要包括策略统一下发、数据监测、日志收集和报警展示,通过使用安全管理平台大大降低运维管理的工作难度和工作量、同时可采集金矿控制系统的主机设备、网络设备、安全设备、业务软件的日志并进行统一留存和管理。
· 可解决的问题
安全管理平台对整体金矿工业网安全态势集中展现、分析和安全事件的预警、管控,提升工业网安全防护整体水平。安全运维人员可通过安全管理平台监控全网的报警信息,发生安全事件后,可第一时间采取处置措施。
方案效果&价值
在某金矿企业自2020年4月试运行期间,疑似入侵攻击行为陆续被监测发现,并进行了及时处理。
相关新闻
版权所有 © 2021 杭州中电安科现代科技有限公司