煤炭工業(yè)控制系統是整個(gè)煤炭企業(yè)安全生產(chǎn)監控系統信息的集成，它需要一個(gè)快速、安全、可靠的網(wǎng)絡(luò )平臺為大量的信息流動(dòng)提供支撐，同時(shí)要有一個(gè)功能全面的安全生產(chǎn)信息應用系統為礦井安全生產(chǎn)提供科學(xué)調度、決策的依據。做好煤炭企業(yè)工控安全建設是實(shí)現生產(chǎn)安全的必要保障。

一、概述

煤炭行業(yè)是指以開(kāi)采煤炭資源為主的一個(gè)產(chǎn)業(yè)，它是國家能源的主要來(lái)源之一，也是國家經(jīng)濟的重要支柱之一。

一般能源行業(yè)包括煤炭、石油石化、電力等，而國家《網(wǎng)絡(luò )安全法》第三十一條要求：國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能?chē)乐匚：野踩?、國計民生、公共利益的關(guān)鍵信息基礎設施，在網(wǎng)絡(luò )安全等級保護制度的基礎上，實(shí)行重點(diǎn)保護。所以煤炭的開(kāi)采和加工屬于能源行業(yè)是國家關(guān)鍵基礎設施，應依照國家標準加強網(wǎng)絡(luò )安全防護。

中國煤炭資源豐富，主要分布于黑龍江、內蒙古、山西、山東、江蘇、河北、陜西、寧夏、河南、貴州、新疆等省份。開(kāi)采方式采用煤炭掘進(jìn)機、皮帶以及其他技術(shù)將煤炭從地下運出，然后將原煤輸送到選煤廠(chǎng)，利用煤炭和矸石物理、化學(xué)性質(zhì)差異，將煤和雜質(zhì)分離出來(lái)，加工成商品煤，最終輸送到電廠(chǎng)、化工廠(chǎng)、鋼廠(chǎng)等進(jìn)行有效的應用。

二、煤炭生產(chǎn)系統架構

2.1. 業(yè)務(wù)架構

煤炭生產(chǎn)業(yè)務(wù)架構圖

煤炭生產(chǎn)系統主要分為五層，分別為設備層、控制層、生產(chǎn)執行層、經(jīng)營(yíng)管理層和決策支持層。具體包括：

l 設備層包括傳感器、儀器儀表、閥門(mén)、射頻識別、攝像頭、皮帶、機械和裝置等，是煤礦進(jìn)行生產(chǎn)活動(dòng)的物質(zhì)技術(shù)基礎；

l 控制層包括輸煤皮帶系統、選煤廠(chǎng)集控系統、安全監控系統、電力監控系統、通風(fēng)系統、供水系統等控制系統，這些控制系統通過(guò)各自的PLC對底層設備進(jìn)行控制；

l 生產(chǎn)執行層包括生產(chǎn)管理、調度管理、安全管理、機電管理等系統，用來(lái)對整個(gè)生產(chǎn)系統進(jìn)行集中控制和統一管理；

l 經(jīng)營(yíng)管理層包括ERP系統、項目管理系統和辦公系統等，通過(guò)分析生產(chǎn)數據來(lái)達到經(jīng)營(yíng)管理的目的；

l 決策支持層主要通過(guò)經(jīng)營(yíng)管理層提供的數據來(lái)對整體發(fā)展方向做決策。

2.2. 網(wǎng)絡(luò )架構

煤炭生產(chǎn)網(wǎng)絡(luò )架構圖

l 煤炭生產(chǎn)網(wǎng)絡(luò )主要由工業(yè)以太網(wǎng)構成，分地面工業(yè)以太環(huán)網(wǎng)和井下工業(yè)以太環(huán)網(wǎng)、調度中心網(wǎng)絡(luò )。

l 以上三個(gè)網(wǎng)絡(luò )由兩臺核心交換機將井下和地面系統連接起來(lái)，同地面的調度中心進(jìn)行數據通訊。

l 調度中心負責各個(gè)系統的數據采集和分析、監視，以及部分輔助子系統的控制工作。

l 煤炭生產(chǎn)控制主要控制工作在現場(chǎng)各個(gè)子系統的控制室完成。

l 煤炭生產(chǎn)控制系統主要控制器品牌：AB和西門(mén)子，浙江中控和和利時(shí)等。

l 系統主要通訊協(xié)議：OPC、MODBUS、profinet等。

三、風(fēng)險分析

目前煤礦生產(chǎn)系統逐步實(shí)現數字化礦山的改造和建設，但是網(wǎng)絡(luò )安全建設依舊沒(méi)有跟上信息化建設的步伐?，F場(chǎng)工業(yè)網(wǎng)絡(luò )目前可以實(shí)現正常的通訊，滿(mǎn)足基本生產(chǎn)運行，但工控安全防護設備較少，一旦出現問(wèn)題，可能會(huì )影響生產(chǎn)運行，后果不堪設想。筆者總結煤炭企業(yè)存在風(fēng)險如下：

l 缺乏整體信息安全規劃；

l 缺乏工控安全管理制度、應急預案、培訓與意識培養；

l 調度人員有時(shí)通過(guò)連通互聯(lián)網(wǎng)的手機在調度室主機U口上充電，導致生產(chǎn)網(wǎng)絡(luò )通過(guò)手機被打通，造成邊界模糊。

l 主機操作系統老舊，從不升級，極易出現安全漏洞和缺陷；新建系統主機雖然會(huì )安裝殺毒軟件，但是為保障生產(chǎn)運行，殺毒軟件一般處于關(guān)閉狀態(tài)，這些都存在安全隱患，無(wú)法防御“0-DAY”病毒和勒索病毒。

l 調度人員或運維人員使用帶有病毒的U盤(pán)插入主機中，造成整個(gè)網(wǎng)絡(luò )感染病毒。

l 煤炭生產(chǎn)現場(chǎng)PLC多為西門(mén)子或AB的產(chǎn)品，而PLC本身存在漏洞，西門(mén)子和AB近些年被曝出存在高危漏洞， 攻擊者可以利用漏洞控制現場(chǎng)設備，執行錯誤命令，嚴重影響安全生產(chǎn)。

l 黑客也可通過(guò)技術(shù)手段潛入生產(chǎn)網(wǎng)絡(luò )，獲取關(guān)鍵生產(chǎn)數據，牟取利益。

四、方案設計

4.1. 設計規劃

煤炭企業(yè)工控網(wǎng)絡(luò )總體信息安全建設，主要從兩大體系進(jìn)行規劃：信息安全技術(shù)防護體系，信息安全管理體系，結合《工業(yè)控制系統信息安全防護指南》和《GB/T 22239-2008 信息系統安全等級保護基本要求》進(jìn)行統一規劃建設。

4.2. 參考標準及法規

l 《工業(yè)控制系統信息安全防護指南》（工信軟函〔2016〕338號）

l 《GB/T 22239-2008 信息系統安全等級保護基本要求》

l 《網(wǎng)絡(luò )安全法》

4.3. 技術(shù)設計方案

煤炭生產(chǎn)系統整體防護部署示意圖

l 部署工業(yè)防火墻：控制層與生產(chǎn)執行層間無(wú)安全防護，煤礦現場(chǎng)控制層可能受到非法的網(wǎng)絡(luò )訪(fǎng)問(wèn)和惡意代碼的入侵，影響控制器的正常工作。在煤礦控制層與生產(chǎn)執行層間部署能夠識別工控協(xié)議的工業(yè)防火墻產(chǎn)品，將煤礦控制層與生產(chǎn)執行層進(jìn)行邏輯隔離，并設置嚴格的訪(fǎng)問(wèn)控制策略，通基于IP、端口、協(xié)議等的訪(fǎng)問(wèn)控制設置，杜絕控制系統的非法訪(fǎng)問(wèn)，隔離網(wǎng)絡(luò )攻擊和病毒（包含工業(yè)病毒）的跨區域的串擾，保護工業(yè)環(huán)網(wǎng)的安全運行。

l 部署工控IDS：外部網(wǎng)絡(luò )流量需要由執行層進(jìn)入控制層，進(jìn)入控制層后沒(méi)有流量檢測裝置，無(wú)法判斷外部流量生產(chǎn)控制層的是否存在異常網(wǎng)絡(luò )攻擊、惡意代碼等。在控制層和生產(chǎn)執行層邊界交換機旁路部署工控IDS，對進(jìn)行控制系統的流量進(jìn)行收集、分析和檢測，實(shí)時(shí)監測外部流入的流量是否存在可能導致控制系統異常的攻擊行為和惡意代碼，若發(fā)現網(wǎng)絡(luò )安全威脅可第一時(shí)間產(chǎn)品告警，提示運維管理人員采取處置措施。

l 部署主機防護軟件：為保證主機設備的正常運行，煤礦控制系統的操作員站和工程師站基本不安裝殺毒軟件，導致主機設備可能存在未被發(fā)現的惡意代碼程序且無(wú)法抵御病毒、木馬等惡意代碼的入侵。在煤礦控制系統的工程師站和操作員站安裝主機防護軟件，使用“白名單”技術(shù)固化工程師站和操作員站所能夠運行的應用軟件，惡意代碼軟件、違規軟件無(wú)法在工程師站和操作員站運行，保護工程師站和操作員站不受惡意代碼的破壞，能夠安全穩定運行。通過(guò)對主機接口的管理，防止外設在主機上隨意使用。

l 部署工控安管平臺：煤礦控制系統在做好信息安全的相關(guān)建設或整改后，增加了網(wǎng)絡(luò )安全性，但是也增加了一定的管理難度。在控制層部署安全管理平臺，對所使用的安全產(chǎn)品進(jìn)行統一管理，主要包括數據監測、日志收集和報警展示，通過(guò)使用統一管理平臺可以大大降低運維管理的工作難度和工作量、同時(shí)可采集煤礦控制系統的主機設備、網(wǎng)絡(luò )設備、安全、業(yè)務(wù)軟件的日志進(jìn)行統一留存和管理，運維管理人員可通過(guò)統一管理平臺監控全網(wǎng)的報警信息，發(fā)生安全事件后，可第一時(shí)間采取處置措施。

4.4. 管理設計方案

煤炭企業(yè)在進(jìn)行工控安全技術(shù)建設的同時(shí)，也不能忽視工控安全管理建設，我們在企業(yè)安全建設始終強調“三分技術(shù)，七分管理”。

安全管理體系方面，通過(guò)制定和完善工控網(wǎng)絡(luò )安全管理制度，形成由安全策略、管理制度、操作規程等構成的全面的信息安全管理制度保障體系，做到有章可循、有法可依、人人有責的工控網(wǎng)絡(luò )和系統安全建設格局。

安全制度管理結合煤炭企業(yè)網(wǎng)絡(luò )安全管理工作現狀，筆者建議制定以下文件：《工控安全管理辦法》、《工控安全部門(mén)、崗位職責文件》、《工業(yè)控制系統介質(zhì)管理程序》、《工業(yè)控制系統外部人員訪(fǎng)問(wèn)管理制度》、《工業(yè)控制系統PLC管理制度》、《工控安全事件管理辦法》等工控安全管理制度。

同時(shí)通過(guò)協(xié)助企業(yè)制定《工控安全應急預案》、《工控安全服務(wù)辦法》，定期組織工業(yè)控制系統信息安全培訓，定期進(jìn)行風(fēng)險評估等，全面實(shí)現企業(yè)整體信息安全防護。

五、小結

方案依據PPDR（安全策略、保護、檢測和響應）安全保障模型設計，形成“事前防護-事中監測-事后響應”的整體安全防護策略。簡(jiǎn)化運維管理，不需要頻繁升級特征庫，簡(jiǎn)化運維管理工作量，同時(shí)能夠防護未知惡意代碼或黑客的攻擊。

該方案符合《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護基本要求》的規定，安全建設內容滿(mǎn)足等保及檢查要求。

六、致謝

本文在撰寫(xiě)過(guò)程中，得到中煤集團管理專(zhuān)家楊峰老師、神華集團煤炭安全專(zhuān)家秦偉老師、啟明星辰工控安全專(zhuān)家孟雅輝老師的悉心指導，謹此鳴謝。

來(lái)源：FreeBuf