基于等保2.0的智能礦山工控安全防護體系設計研究

◆吳智廣 陳學輝 呂偉濤 宋泱瑾

基于等保2.0的智能礦山工控安全防護體系設計研究

◆吳智廣 陳學輝 呂偉濤 宋泱瑾

（山東黃金礦業（萊州）有限公司焦家金礦 山東 261400）

工控安全近年在國家相關部門的有力推動之下，企業在對工控安全的認識和重要性方面已經達成共識。礦山行業在大力推進綠色、智能、兩化融合進程中，對工控網絡安全重要性的認知也有了長足的進步。本文總結焦家金礦工控安全防護體系建設工作的設計和實踐，提出了既能滿足網絡安全等級保護要求又能契合智能礦山自身業務需要的工控網絡安全防護體系框架和關鍵技術設計。

工控安全；智能礦山工控；工業數字化安全；安全防護體系

當前工業信息化技術在快速發展，焦家金礦在國家兩化融合政策指導下，確立了建設智能礦山的發展戰略，目標是到“十四五計劃”末智能礦山框架基本形成。新一代信息技術的使用必將給工控系統的網絡安全防護帶來了巨大挑戰，因此變被動防御為主動防御，構造縱深防御的立體化網絡防護體系，全方位提高網絡安全防護能力，是焦家金礦面臨的緊迫任務之一。近些年來，礦山行業開始逐漸重視工控安全防護，購置網絡安全防護設備，出臺網絡安全相關規定，成立網絡安全領導小組，在全體員工中加強網絡安全教育等，但網絡安全以“補丁應對式”建設為主，缺乏整體規劃。

1 智能礦山安全威脅分析

礦業企業除了要面對傳統生產安全問題之外，主要包括：

（1）網絡攻擊面全方位增多

企業工業網與辦公網相連，擁有廣泛的數據交換需求，使得工業網將面臨來自傳統互聯網的攻擊；無線終端、移動介質在工業網的廣泛使用也是引入外部攻擊的重要源頭。

（2）礦業企業情報和敏感信息搜集增多

針對礦業企業的攻擊多為高級持續攻擊，平時不以破壞生產為目的，多以收集情報、竊取數據為目的，攻擊者將持續攻擊并收集到大量信息，企業難以察覺。

（3）網絡攻擊可能會引發物理安全事故

礦業企業工控系統中較為典型的六大系統，如提升系統、通風系統、人機定位系統、應急救援指揮系統等。這些系統在遭受網絡攻擊后極有可能引發生產安全事故，導致生命財產損失。

2 智能礦山工控安全防護體系設計原則

在規劃建設智能礦山時，遵循網絡安全法“三同步”要求和等級保護相關要求，還應當遵循以下設計原則：

（1）標準化原則

方案設計遵循政策法規、國家標準和相關行業最佳實踐案例，并參考國際的標準來實施。

（2）適當超前原則

工控安全防護體系設計要考慮未來3年建成智能化礦山基本框架所面臨的新的安全風險，因此，本次設計會適當超前考慮未來3年的安全需求。

（3）適度安全原則

任何系統和網絡都不能做到絕對的安全，在工業互聯網平臺安全綜合防護系統的設計中，要在安全需求、安全風險和安全成本之間進行平衡和折中。

（4）技術管理并重原則

網絡安全問題不是單純的技術問題，僅通過部署安全產品很難完全覆蓋所有工控安全問題，因此必須要把技術措施和管理措施結合起來，更有效地保障工業互聯網平臺整體安全性。

3 網絡安全等級保護2.0的核心要求

網絡安全等級保護制度2.0國家標準在1.0的基礎上，實現對新技術、新應用安全保護對象和安全保護領域的全覆蓋，注重防御前置、整體防控和精準防護，強調事前預防、事中響應、事后審計。

4 智能礦山工控安全防護體系設計

4.1 安全防護總體策略

基于監管標準要求和工控系統安全要素的分析，結合智能礦山的特征和發展趨勢，提出了構建焦家金礦一體化、數據驅動、網絡專用、綜合防護的安全防護總體策略。

（1）一體化策略

工業生產企業存在各種不同的安全體系，工業控制系統的網絡安全勢必會影響生產安全和人身安全，工控安全必須是生產安全的一部分。因此，在安全決策和投資、組織機構建設和崗位設置甚至技術防護方面，應當考慮泛安全的一體化。

（2）數據驅動策略

現有的安全防御體系在技術上并不足以徹底抵御現階段網絡攻擊，這要求安全防御體系必須采用新的思路、新的技術。一方面需要利用威脅情報建立主動的檢測和防御體系；確保在檢測與防御系統失效的情況下，仍能盡快發現入侵事件并迅速響應。

（3）網絡專用策略

礦山企業的監控網絡、自動化控制等網絡應專網專用，結合網絡拓撲與工控系統應用改造現有網絡實現安全分區，分支企業與集團公司通信的辦公網絡與工業網物理隔離。

（4）綜合防護策略

綜合防護包括設備加固、安全可控、白名單控制和管理持續化幾個方面。防護策略總體上可以劃分為安全技術和管理機制兩大方面，在防護體系設計和技術方案設計階段，要遵循安全防護總體策略，做到可執行可落地，持續改善、推進和提升。

4.2 安全防護體系整體設計

針對礦山企業網絡安全現狀，在總結先進防護實踐經驗的基礎上，設計網絡安全架構包括安全戰略、安全治理與組織、安全管理體系、網絡安全運營、網絡安全技術體系六個方面。

（1）網絡安全戰略

安全戰略應是企業網絡安全的主要驅動因素，需為企業未來工控安全建設指明方向；

（2）安全治理與組織

安全治理與組織體系涉及網絡安全的關鍵決策、治理結構和運作內容，安全組織架構及關鍵角色/職責，是網絡安全戰略實現的有效保障；

（3）安全管理體系

管理體系將明確企業的網絡安全方針和目標，以及完成這些目標所用的方法和體系，是企業網絡安全開展的依據和規范；

（4）網絡安全運營

安全運營涉及日常網絡安全工作的主要過程和內容，是網絡安全規范要求和控制措施的具體落實；

（5）網絡安全技術體系

安全技術涉及企業網絡安全建設過程中所需的安全系統、設備和工具等技術手段，是企業網絡安全工作開展的有力支撐。

4.3 安全防護體系中的關鍵設計

（1）安全區域與邊界防護

通過區域劃分來理順焦家金礦各系統之間的訪問關系，建立清晰的安全防護邊界。從總體上將整個網絡區域的劃分為：辦公信息區、生產執行區以及監控監測區。通過網絡與邊界的防護控制，增強各區域網絡的訪問控制，增強控制系統內部的安全防護。

（2）主機與移動介質防護

針對工業網內關鍵應用系統的服務器、上位機、操作工作站等，應當采用以軟件白名單為核心技術的工控終端管控軟件強化主機的安全能力。監控監測區的主機應該對USB外部接口進行監控和管理，在進行組態程序下發、生產數據導出、軟件程序升級時使用移動介質進行拷貝操作。

（3）工控安全管控中心

安全管控中心以安全監測預警分析需求為基礎，以安全場景模型為監測依據，采用全流量收集、深度監測、智能分析等手段，建立統一指揮的平臺，構成縱深防護的整體協同聯動抵御。

（4）工控安全實驗室

以工業控制系統仿真環境為基礎，進行工控安全防護技術的驗證、應急響應演練以及安全人才的培養，為企業整個防護體系的有效運作提供保障。工控安全實驗室配套環境主要搭建包括礦山自動化仿真系統、工控安全實訓管理系統、工控安全攻防平臺、一體系化資源虛擬化管理系統以及工控安全管控中心。

5 后續展望

工控安全是一個整體的概念，又具有動態性。工控安全防護體系設計只是開始，為保障防護體系在企業落地實施，后續需要統籌規劃、分步建設、集中運營，以保證項目的順利實施。未來安全運營逐漸向“主動響應、可視化、效率優先”演變，數據是核心，分析是靈魂，人員是紐帶，企業從資產發現、安全監控、數據分析、情報預警、協同處置等方面，構建“預測、保護、檢測、響應”的自適應安全能力。

[1]中華人民共和國國家標準 GB_T+22239-2019 《信息安全技術網絡安全等級保護基本要求》[S].2019.

[2]崔光耀.安全運營提升安全全新境界[J].中國信息安全，2019（8）.

[3]馮俊.水電企業信息網絡安全防護體系建設分析[J].信息與電腦，2019（7）.