煤矿行业工业控制系统安全防护解决方案

('煤矿行业工业控制系统安全防护解决方案一、背景情况煤炭工业控制系统是整个煤炭企业安全生产监控系统信息的集成，它需要一个快速、安全、可靠的网络平台为大量的信息流动提供支撑，同时要有一个功能全面的安全生产信息应用系统为矿井安全生产提供科学调度、决策的依据。做好煤炭企业工控安全建设是实现生产安全的必要保障。综合自动化系统是指在工业生产、管理、经营过程中，通过信息基础设施，在集成平台上，实现信息的采集、信息的传输、信息的处理以及信息的综合利用等。将先进的自动控制、通讯、信息技术和现化管理技术结合，将企业的生产过程控制、运行与管理作为一个整体进行控制与管理，提供整体解决方案，以实现企业的优化运行、控制和管理。二、安全分析（1）缺乏整体信息安全规划；（2）缺乏工控安全管理制度、应急预案、培训与意识培养；（3）调度人员有时通过连通互联网的手机在调度室主机U口上充电，导致生产网络通过手机被打通，造成边界模糊。（4）主机操作系统老旧，从不升级，极易出现安全漏洞和缺陷；新建系统主机虽然会安装杀毒软件，但是为保障生产运行，杀毒软件一般处于关闭状态，这些都存在安全隐患，无法防御“0-DAY”病毒和勒索病毒。（5）调度人员或运维人员使用带有病毒的U盘插入主机中，造成整个网络感染病毒。（6）煤炭生产现场PLC多为西门子或AB的产品，而PLC本身存在漏洞，西门子和AB近些年被曝出存在高危漏洞，攻击者可以利用漏洞控制现场设备，执行错误命令，严重影响安全生产。（7）黑客也可通过技术手段潜入生产网络，获取关键生产数据，牟取利益。三、煤矿行业工控系统安全防护解决方案安全防护原则（1）安全分区对于生产网络与办公网络、企业集团内网存在互联互通的现象，首先需要进行网络优化，明确生产网络边界，尽量避免多个生产网络边界的现象。（2）安全审计对生产网络内部的日常操作行为进行基于白名单策略监控，及时发现网络中存在的异常流量、违规操作、非法访问、恶意程序等异常行为，并要求对生产网络的运行日志进行记录保存，至少保留6个月；对于已经发生攻击事件的情况，要求可以对攻击事件进行追踪、溯源，定位网络攻击的位置或具体用户。（3）边界防护根据业务网络实际情况，在生产网络外部边界处部署工业防火墙或单向隔离网闸设备，保证生产网络向办公网络或其他外部网络数据单向传输。工业控制系统上位操作主机（操作站、工程师站、服务器）作为生产网络的内部边界，需要对用户登陆、操作、运行等行为进行安全监控与审计，并对通过上位主机外设接口与生产网络进行数据通讯的行为进行授权管理。（4）恶意代码防范对于以“白名单”防护策略为主的工控安全防护方案，除了对外部网络边界进行有效的访问控制和威胁监测以外，需要对上位主机的USB接口使用过程进行安全有效管理，对于临时接入工控网络的移动存储设备，必须先进行病毒查杀，才可以使用。具体方案Ø部署工控安全综合监管平台、工业安全防火墙，深度解析工控协议，防范非法访问，迅速检测异常网络节点，及时预警，并监控工业防火墙运行状态，实时获取工控网安全事件日志和报警任务；Ø在操作员站和工程师站部署工控主机安全防护系统，防范非法程序和应用以及未经授权的任何行为；Ø部署堡垒机及工控安全综合审计系统，对违规操作行为进行控制和审计，保障网络和数据不受外部和内部用户的入侵和破坏；Ø采用工控安全隔离网闸设备，物理隔离煤矿办公网和生产网，提供两网数据交换安全通道，阻止来自上层网络的非法访问以及病毒和恶意代码的传播。四、解决方案拓扑图',)