1、方案背景與目標

某礦業(yè)公司是目前國內乃至亞洲規模最大的露天鐵礦山，體量大、設備大、工藝復雜，全紅礦焙燒、采空區全國獨有，安全生產(chǎn)難度不言而喻。為響應國家發(fā)改委、能源局、國家礦山安監局等部門(mén)的礦山智能化建設要求，該礦業(yè)公司充分運用工業(yè)互聯(lián)網(wǎng)、5G、物聯(lián)網(wǎng)等先進(jìn)技術(shù)，將礦石采掘電鏟、礦石洗選等設備的信息實(shí)時(shí)引入智控中心，實(shí)現對電鏟、堆取料機、洗選設備等設備的遠程操控，顯著(zhù)地提高了生產(chǎn)效率。然而，新技術(shù)的廣泛應用也引入了新的網(wǎng)絡(luò )安全風(fēng)險，一旦遭到網(wǎng)絡(luò )攻擊，可能造成更加嚴重的安全生產(chǎn)事故。

本項目一方面基于礦山業(yè)務(wù)流、數據流和控制流特性，研制開(kāi)發(fā)了一套礦山行業(yè)專(zhuān)用工控安全產(chǎn)品集，應用在礦山工控網(wǎng)絡(luò )，可全面提升系統的網(wǎng)絡(luò )安全“監測、預警、防護、處置”能力。另一方面，研制搭建了礦山行業(yè)工業(yè)互聯(lián)網(wǎng)靶場(chǎng)平臺，可用于開(kāi)展網(wǎng)絡(luò )安全理論培訓、攻防演練、比武競賽等活動(dòng)，提升人員網(wǎng)絡(luò )安全理論知識水平和網(wǎng)絡(luò )安全應急處置能力。

2、方案詳細介紹

2.1 需求分析

2.1.1應用行業(yè)特點(diǎn)：

（1）礦山行業(yè)一直以來(lái)以安全生產(chǎn)為主，在網(wǎng)絡(luò )安全方面的建設投入和重視程度不足。

（2）礦山行業(yè)普遍采用國外廠(chǎng)家的DCS、PLC、組態(tài)軟件、工業(yè)路由器、工業(yè)交換機等軟硬件設備，國內廠(chǎng)商市場(chǎng)占有率較小，國產(chǎn)化替代難，存在嚴重的安全隱患。

（3）礦山行業(yè)企業(yè)的網(wǎng)絡(luò )安全工作一般由機電科、信息化部門(mén)負責，人員專(zhuān)業(yè)程度不夠，缺乏網(wǎng)絡(luò )安全理論知識、網(wǎng)絡(luò )攻防實(shí)戰能力薄弱。

2.1.2具體場(chǎng)景特點(diǎn)：

（1）礦山行業(yè)一般在信息網(wǎng)部署網(wǎng)絡(luò )安全產(chǎn)品，在工控網(wǎng)的安全投入較小，一般也就在工控網(wǎng)邊界部署工控防火墻或工控網(wǎng)閘，工控網(wǎng)絡(luò )整體安全能力薄弱。

（2）礦山行業(yè)在進(jìn)行等保測評時(shí)，一般優(yōu)先考慮信息網(wǎng)、大數據平臺、門(mén)戶(hù)網(wǎng)站等，未嚴格按照等保2.0要求，對工控系統進(jìn)行測評。

（3）礦山行業(yè)工作重點(diǎn)是在調度中心監控安全生產(chǎn)（包括設備、人員、井下通風(fēng)、瓦斯濃度等環(huán)境參數），沒(méi)有專(zhuān)人實(shí)時(shí)監測系統的網(wǎng)絡(luò )安全威脅。

2.1.3擬解決的痛點(diǎn)問(wèn)題：

（1）工控網(wǎng)絡(luò )邊界安全威脅防護。工控網(wǎng)絡(luò )邊界是第一道防線(xiàn)，由于信息網(wǎng)與工控存在正常的信息交互，流量大、協(xié)議類(lèi)型多，如何從海量的交互信息中快速、精準地識別并阻斷惡意入侵攻擊行為，是要解決的首要問(wèn)題。

（2）工控網(wǎng)絡(luò )內部安全威脅監測預警。內部人員的誤操作、非法操作以及不合理的運維方式（如隨意插入有病毒的U盤(pán)、接入私人電腦等）都可能導致業(yè)務(wù)不能正常運行，如何從工控流量、工控協(xié)議以及訪(fǎng)問(wèn)控制策略等角度，識別內部的安全威脅，及時(shí)進(jìn)行告警，是要解決的第二個(gè)問(wèn)題。

（3）工控網(wǎng)絡(luò )安全意識不足與網(wǎng)安專(zhuān)業(yè)人才缺失。礦山行業(yè)人員普遍覺(jué)得工控網(wǎng)與信息網(wǎng)是安全隔離，不會(huì )出現網(wǎng)絡(luò )安全問(wèn)題，對當前黑客的網(wǎng)絡(luò )攻擊能力不夠了解，如何針對不同類(lèi)型的人，制定相應的培訓課程，讓廣大員工在日常工作中提升網(wǎng)絡(luò )安全意識，要解決的第三個(gè)問(wèn)題。

2.1.4實(shí)施目標

（1）對工控網(wǎng)絡(luò )邊界流量進(jìn)行深度解析，對安全策略進(jìn)行精細化配置，區別外部安全威脅不會(huì )進(jìn)入工控網(wǎng)絡(luò )內部。

（2）對工控網(wǎng)絡(luò )內部流量進(jìn)行分析，對工控指令、功能碼參數等進(jìn)行審計，識別異常操作、非法操作等行為，并進(jìn)行告警。

（3）廣大員工具備網(wǎng)絡(luò )安全意識，在日常工作中遵守網(wǎng)絡(luò )安全相關(guān)管理制度和要求，如及時(shí)更好密碼、不再設置弱口令密碼等。針對信息化運維人員，通過(guò)培訓能夠提升網(wǎng)絡(luò )安全實(shí)戰攻防能力、應急處置能力，具備網(wǎng)安人員的專(zhuān)業(yè)技能。

2.1.5預計收益

（1）助力礦山企業(yè)一次性通過(guò)等保2.0二級或三級測評，滿(mǎn)足監管部門(mén)、上級部門(mén)對于企業(yè)的網(wǎng)絡(luò )安全要求。

（2）確保礦山企業(yè)的系統不會(huì )因為出現網(wǎng)絡(luò )攻擊事件導致停產(chǎn)的現象，造成重大的經(jīng)濟損失和人員傷亡情況。

2.2 建設內容

本項目建設內容主要包括2個(gè)部分：礦山行業(yè)專(zhuān)用工控安全產(chǎn)品集、礦山行業(yè)工業(yè)互聯(lián)網(wǎng)靶場(chǎng)平臺。

2.2.1礦山行業(yè)專(zhuān)用工控安全產(chǎn)品集

通過(guò)對礦山企業(yè)的工控網(wǎng)絡(luò )進(jìn)行全面規劃，在不同安全區域部署相應的工控安全設備，形成滿(mǎn)足國家、集團以及企業(yè)自身安全防護需求的工控網(wǎng)絡(luò )安全整體解決方案。企業(yè)工控網(wǎng)絡(luò )拓撲圖如下所示：

（1）邊界防護

在工業(yè)網(wǎng)絡(luò )邊界或井下工業(yè)環(huán)網(wǎng)邊界部署工控防火墻，能夠對工控網(wǎng)絡(luò )邊界流量進(jìn)行安全檢測，基于工控協(xié)議深度解析、網(wǎng)絡(luò )流量實(shí)時(shí)監測、安全策略智能優(yōu)化等技術(shù)手段能夠檢測并阻斷攻擊者的非法訪(fǎng)問(wèn)、病毒傳播和惡意攻擊等行為，對煤礦工控網(wǎng)絡(luò )中的DCS、PLC、RTU等工業(yè)控制系統和終端設備進(jìn)行有效的安全防護。

（2）區域隔離

在工業(yè)網(wǎng)絡(luò )與企業(yè)網(wǎng)絡(luò )之間、工業(yè)網(wǎng)絡(luò )不同網(wǎng)絡(luò )層級（L0-L4級）之間部署工控安全隔離網(wǎng)閘，能夠對通過(guò)的工業(yè)網(wǎng)絡(luò )數據進(jìn)行過(guò)濾、檢測、審計等一系列操作，以“擺渡”的方式進(jìn)行跨網(wǎng)數據交互，在保障安全隔離的前提下，實(shí)現數據安全交換，有效防止外部網(wǎng)絡(luò )的攻擊及內部區域之間的非法訪(fǎng)問(wèn)等行為。

（3）入侵防御

在工業(yè)網(wǎng)絡(luò )邊界部署工控入侵檢測系統，基于系統內置的攻擊特征庫和工控規則庫，對工控網(wǎng)絡(luò )流量進(jìn)行實(shí)時(shí)監測，能夠實(shí)時(shí)檢測出網(wǎng)絡(luò )入侵攻擊行為、違反安全策略的異常行為，及時(shí)進(jìn)行告警或直接阻斷，并生成日志，實(shí)現對工控網(wǎng)絡(luò )安全威脅事件的事前預警、事中響應、事后取證。

（4）終端安全

在工業(yè)主機上（操作員站、工程師站等）進(jìn)行部署，對主機登錄信息、操作信息、運行狀態(tài)、移動(dòng)存儲設備接入、網(wǎng)絡(luò )外聯(lián)等信息的監測。系統采用了白名單機制，攔截一切未知程序和腳本的執行，既可有效抵御已知和未知的惡意代碼，又規避了傳統殺毒軟件病毒庫更新不及時(shí)的問(wèn)題，從根本上保障主機運行環(huán)境的安全。

（5）網(wǎng)絡(luò )審計

在工業(yè)核心交換機及工業(yè)環(huán)網(wǎng)交換機部署工控安全審計系統，通過(guò)鏡像的方式獲取工控網(wǎng)絡(luò )中流量數據，對工控協(xié)議（如ModbusTCP、OPC、DNP3、IEC104、S7等）的通信報文進(jìn)行深度解析，能夠實(shí)時(shí)檢測出針對PLC、DCS、上位機等重要工控系統/設備的網(wǎng)絡(luò )攻擊、誤常操作、非法設備接入以及蠕蟲(chóng)、病毒等惡意軟件的傳播等異常行為，實(shí)現對工控網(wǎng)絡(luò )異常流量的檢測與實(shí)時(shí)告警。

（6）蜜罐誘鋪

在礦山工控網(wǎng)絡(luò )部署與真實(shí)資產(chǎn)相似的工業(yè)網(wǎng)絡(luò )蜜罐系統，當攻擊者通過(guò)外部安全防御系統的缺陷滲透進(jìn)入到內部網(wǎng)絡(luò )時(shí)，通常需要搜索網(wǎng)絡(luò )內部的資產(chǎn)，以此找到對攻擊者而言有價(jià)值的目標，誘鋪節點(diǎn)自身的偽裝性能夠欺騙攻擊者，當攻擊者將誘鋪節點(diǎn)作為攻擊目標時(shí)，蜜罐節點(diǎn)能夠第一時(shí)間感知并匯報安全事件，具體包括：蜜罐節點(diǎn)會(huì )記錄攻擊者的所有行為，系統也會(huì )產(chǎn)生告警，通知安全響應團隊。蜜罐節點(diǎn)會(huì )誘騙攻擊者將其他蜜罐節點(diǎn)作為后續的攻擊目標，所有蜜罐節點(diǎn)將組成“陷阱”網(wǎng)絡(luò )，延緩了攻擊時(shí)間，使得蜜罐系統能夠記錄更多的攻擊信息，同時(shí)可以給安全響應團隊更多的應急響應時(shí)間。

（7）漏洞掃描

在礦山工控網(wǎng)絡(luò )的安全管理區部署工控漏洞掃描系統，系統能夠針對工控網(wǎng)絡(luò )進(jìn)行脆弱性分析和評估。不僅支持對傳統IT設備/系統，比如操作系統、交換機、路由器、弱口令、FTP服務(wù)器、Web服務(wù)器等，進(jìn)行漏洞風(fēng)險評估，同時(shí)還支持對工控系統中所特有的設備/系統，比如SCADA、DCS、PLC等進(jìn)行已知漏洞的識別和檢測，及時(shí)發(fā)現安全漏洞，客觀(guān)評估工控網(wǎng)絡(luò )風(fēng)險等級。

（8）日志審計

在礦山工控網(wǎng)絡(luò )的安全管理區部署日志審計系統，能夠對礦山企業(yè)網(wǎng)絡(luò )設備、安全設備、主機和應用系統日志進(jìn)行全面的標準化處理，基于關(guān)聯(lián)分析引擎的 能力，及時(shí)發(fā)現各種安全威脅、異常行為事件，并在可視化圖上直觀(guān)的呈現出來(lái)，協(xié)助礦山企業(yè)全面監測、審計工控網(wǎng)絡(luò )整體安全狀況。

（9）運維管理

在礦山工控網(wǎng)絡(luò )的安全管理區部署工控安全運維管理系統，能夠對運維進(jìn)行賬號統一管理，資源和權限進(jìn)行統一分配，操作過(guò)程全程審計。采用協(xié)議代理的方式，建立基于唯一身份標識的全局實(shí)名制賬號管理，配置集中訪(fǎng)問(wèn)控制和細粒度的命令級授權策略，實(shí)現集中有序的運維安全管理，對用戶(hù)從登錄到退出的全程操作行為進(jìn)行審計，加強工業(yè)控制系統及設備遠程維護的安全管理，降低人為安全風(fēng)險，保障企業(yè)效益。

（10）安全管理

當工控網(wǎng)絡(luò )中部署了眾多的工控安全產(chǎn)品后，安全產(chǎn)品的日常運維工作對于運維人員來(lái)說(shuō)是不小的工作量，工業(yè)安全管理平臺能夠對所有工控安全設備進(jìn)行統一安全管理，提升運維效率。

在礦山工控網(wǎng)絡(luò )的安全管理區部署工業(yè)安全管理平臺，能夠實(shí)現對工控防火墻、工控安全隔離網(wǎng)閘、工控入侵檢測系統、工控安全審計系統、工控主機衛士等工控安全產(chǎn)品及第三方設備的統一監控、日志采集、安全分析、策略下發(fā)，為工控網(wǎng)絡(luò )安全運營(yíng)提供決策支持，加強安全事件響應速度與安全運維能力，提升工控網(wǎng)絡(luò )整體信息安全水平。

2.2.2礦山行業(yè)工業(yè)互聯(lián)網(wǎng)靶場(chǎng)平臺

礦山行業(yè)工業(yè)互聯(lián)網(wǎng)靶場(chǎng)平臺的建設主要解決2個(gè)方面的問(wèn)題，一是基于靶場(chǎng)軟件平臺的教學(xué)實(shí)訓模塊，提升員工的網(wǎng)絡(luò )安全意識和網(wǎng)絡(luò )安全理論知識水平；二是基于靶場(chǎng)軟件平臺的比武競賽、攻防演練、應急響應等模塊，結合礦山行業(yè)全業(yè)務(wù)場(chǎng)景仿真，開(kāi)展針對礦山業(yè)務(wù)的工業(yè)網(wǎng)絡(luò )攻防演練，幫助信息化運維人員了解自身網(wǎng)絡(luò )架構、業(yè)務(wù)系統以及資產(chǎn)設備的脆弱性，提升信息化運維人員應的實(shí)戰能力，具備對網(wǎng)絡(luò )攻擊行為進(jìn)行處置。

靶場(chǎng)平臺軟件技術(shù)架構如下：

礦山業(yè)務(wù)沙盤(pán)模型：

（1）教學(xué)實(shí)訓

針對礦山行業(yè)企業(yè)的普通員工、運維人員、高層領(lǐng)導等不同群體，提供滿(mǎn)足自身崗位需要的網(wǎng)絡(luò )安全理論知識培訓、實(shí)操課程培訓以及考試考核等，通過(guò)體系化的培養模式，全面提升從業(yè)人員網(wǎng)絡(luò )安全意識和理論知識水平。

（2）比武競賽

通過(guò)不同模式的比武競賽場(chǎng)景，包括解題模式、攻防模式、滲透賽模式和闖關(guān)賽模式，員工之間可形成戰隊，從而進(jìn)行戰隊之間的比武，實(shí)現“以賽代練、以賽促學(xué)”；同時(shí)提供全方位貼近實(shí)戰的競賽場(chǎng)景，滿(mǎn)足煤炭行業(yè)網(wǎng)絡(luò )安全人才培養及選拔、網(wǎng)絡(luò )安全大賽平臺搭建以及實(shí)戰對抗演練的需求，錘煉人員實(shí)戰能力，搭建網(wǎng)絡(luò )安全以賽備戰的演兵場(chǎng)。

（3）攻防演練

基于數字孿生技術(shù)，實(shí)現對礦山行業(yè)全業(yè)務(wù)場(chǎng)景仿真模擬，構建工控網(wǎng)絡(luò )安全攻防靶場(chǎng)環(huán)境，讓安全驗證和滲透測試人員能在網(wǎng)絡(luò )的各層面開(kāi)展攻擊面獲取、邊界爆破、橫向滲透、權限提升維持、目標攻陷、痕跡清除等操作，也能讓網(wǎng)絡(luò )安全和運維人員開(kāi)展暴露面收斂、安全加固、防護策略配置、溯源分析等防御相關(guān)的操作，同時(shí)能夠進(jìn)行聯(lián)動(dòng)響應，能夠有力支撐用戶(hù)開(kāi)展各種專(zhuān)項技能訓練、技術(shù)研究、安全評估等服務(wù)，顯著(zhù)提高礦山行業(yè)信息化/運維人員的網(wǎng)絡(luò )安全意識和應急響應處置能力。

2.2.3難點(diǎn)及應對方法

（1）礦山行業(yè)專(zhuān)用工控安全產(chǎn)品集研發(fā)及應用難點(diǎn)

主要包括2個(gè)方面：一是工控安全產(chǎn)品集的每一款產(chǎn)品都針對礦山業(yè)務(wù)系統的特點(diǎn)進(jìn)行配置優(yōu)化調整，能夠很好的適應用戶(hù)現場(chǎng)網(wǎng)絡(luò )環(huán)境；二是工控安全產(chǎn)品集的每一款產(chǎn)品都在礦山的工控網(wǎng)絡(luò )中進(jìn)行了試點(diǎn)部署應用，不會(huì )對生產(chǎn)造成影響。

（2）礦山行業(yè)工業(yè)互聯(lián)網(wǎng)靶場(chǎng)平臺研發(fā)及應用難點(diǎn)

主要包括2個(gè)方面：一是具備豐富的課程資源，滿(mǎn)足不同部門(mén)、不同層級人員的網(wǎng)絡(luò )安全培訓需求，培訓課件要緊密?chē)@礦山用戶(hù)展開(kāi)，具有針對性；二是礦山業(yè)務(wù)沙盤(pán)的搭建，搭建的沙盤(pán)要能夠體現出礦山的核心業(yè)務(wù)流程、核心系統和核心設備，能夠與靶場(chǎng)平臺進(jìn)行對接，在進(jìn)行攻防演練過(guò)程中，能夠直觀(guān)看到實(shí)體沙盤(pán)動(dòng)作。

3、代表性及推廣價(jià)值

3.1案例代表性

（1）獨特性：礦山行業(yè)專(zhuān)用工控安全產(chǎn)品集具備行業(yè)屬性

基于礦山行業(yè)場(chǎng)景和實(shí)際業(yè)務(wù)流程進(jìn)行工控安全產(chǎn)品的適配和開(kāi)發(fā)，所研制的產(chǎn)品具有行業(yè)屬性，能夠更好的適配在礦山工控網(wǎng)絡(luò )，具有獨特性。

（2）原創(chuàng )性：首家研制井下工控安全產(chǎn)品集的工控廠(chǎng)家

基于本項目的成功經(jīng)驗，針對井下需要部署工控安全產(chǎn)品的需求，結合煤安認證對于井下產(chǎn)品防爆、高低溫等的要求，我司已經(jīng)開(kāi)始研制井下工控安全產(chǎn)品，具有原創(chuàng )性。

（3）實(shí)用性：工控安全產(chǎn)品集具有多種產(chǎn)品形態(tài)，實(shí)用性強

針對不同的部署環(huán)境，可提供壁掛式、導軌式等多種形態(tài)的產(chǎn)品，支持在各種環(huán)境和條件下進(jìn)行設備安裝部署。

（4）前瞻性：通過(guò)建設礦山行業(yè)工業(yè)互聯(lián)網(wǎng)靶場(chǎng)平臺進(jìn)行能力提升

以往的人員能力提升往往是邀請行業(yè)專(zhuān)家、技術(shù)專(zhuān)家進(jìn)行演講，存在效果有限、覆蓋面窄的局限，通過(guò)建設靶場(chǎng)平臺，可為廣大員工提供一個(gè)共用共享的網(wǎng)絡(luò )安全知識學(xué)習平臺，同時(shí)可基于靶場(chǎng)平臺開(kāi)展攻防演練、技術(shù)驗證等應用，具備前瞻性。

3.2案例推廣價(jià)值

（1）可復制推廣價(jià)值

礦山行業(yè)專(zhuān)用工控安全產(chǎn)品集具有較強的可復制性和推廣性，可以應用于煤礦、石油、化工、銅礦、鋁礦等行業(yè)，部署在工控網(wǎng)絡(luò )進(jìn)行工控安全防護。

礦山行業(yè)工業(yè)互聯(lián)網(wǎng)靶場(chǎng)平臺具有較強的可復制性和推廣性，可以應用于煤礦、石油、化工、銅礦、鋁礦等行業(yè)，提升行業(yè)人員網(wǎng)絡(luò )安全意識和實(shí)戰網(wǎng)絡(luò )攻防水平。

（2）經(jīng)濟效益

通過(guò)提升礦山企業(yè)的工控網(wǎng)絡(luò )安全防護能力，降低網(wǎng)絡(luò )安全風(fēng)險，保障礦山生產(chǎn)系統的安全穩定運行，減少因網(wǎng)絡(luò )安全事件造成的生產(chǎn)中斷、數據丟失、設備損壞等經(jīng)濟損失，提高礦山生產(chǎn)效率和質(zhì)量，增加產(chǎn)量和收入。

（3）社會(huì )效益

通過(guò)礦山行業(yè)專(zhuān)用工控安全產(chǎn)品集，可及時(shí)發(fā)現并處置網(wǎng)絡(luò )安全威脅，防止因網(wǎng)絡(luò )安全事件引發(fā)的重大事故，保護人員生命財產(chǎn)安全，維護社會(huì )穩定和公共安全。

（4）其它效益

通過(guò)礦山行業(yè)工業(yè)互聯(lián)網(wǎng)靶場(chǎng)平臺，培養和鍛煉工控網(wǎng)絡(luò )安全人才，提高礦山企業(yè)的網(wǎng)絡(luò )安全意識和能力，增強礦山企業(yè)的網(wǎng)絡(luò )安全文化和形象。