煤礦網(wǎng)絡安全等級保護建設方案

岳 濤

（晉能控股煤業(yè)集團趙莊二號井，山西 長治 047100）

0 引言

面對日益嚴峻的工控系統(tǒng)網(wǎng)絡環(huán)境，趙莊二號井煤礦作為國家關(guān)鍵信息基礎(chǔ)設施運營者、工控系統(tǒng)的使用者，一直緊緊圍繞貫徹落實黨中央、國務院重大戰(zhàn)略決策，積極推進工控安全建設工作。通過本次工控系統(tǒng)網(wǎng)絡安全防護建設，不僅能提高趙莊二號井煤礦工控安全的整體防護水平，更能緊跟國家、集團相關(guān)要求，實現(xiàn)國家關(guān)鍵信息基礎(chǔ)設施運營者應有的社會責任和義務，滿足煤炭行業(yè)及集團對企業(yè)網(wǎng)絡與工控系統(tǒng)網(wǎng)絡安全要求。

1 安全技術(shù)體系設計

1.1 現(xiàn)狀分析

1.1.1 安全計算環(huán)境

根據(jù)煤炭生產(chǎn)網(wǎng)絡拓撲圖，趙莊二號井發(fā)現(xiàn)如下問題：

圖1 趙莊二號井現(xiàn)狀拓撲圖

1）煤礦調(diào)度室電腦和各個生產(chǎn)服務器未部署方式惡意代碼的軟件，無法對病毒進行防護，由于工業(yè)系統(tǒng)的特殊性，也無法對系統(tǒng)補丁進行及時更新。

2）無法對用戶非法外聯(lián)，非法插拔移動存儲介質(zhì)進行管控，一旦移動存儲介質(zhì)中有病毒，將造成大片調(diào)度電腦，生產(chǎn)服務器發(fā)生故障，進而影響煤礦正常生產(chǎn)。

3）缺乏有效的手段對各個工業(yè)控制系統(tǒng)服務器主機，操作系統(tǒng)進行風險監(jiān)控。

根據(jù)煤炭辦公網(wǎng)絡拓撲圖，趙莊二號井發(fā)現(xiàn)如下問題：

1）各個辦公電腦和服務器未部署方式惡意代碼的軟件，無法統(tǒng)一對病毒進行防護，無法對病毒庫進行升級。

2）無法及時發(fā)現(xiàn)辦公電腦系統(tǒng)漏洞，并進行統(tǒng)一的打補丁操作。

1.1.2 安全區(qū)域邊界

經(jīng)過對煤礦生產(chǎn)網(wǎng)和辦公網(wǎng)調(diào)研，趙莊二號井發(fā)現(xiàn)如下問題：

1）煤炭專網(wǎng)和生產(chǎn)網(wǎng)之間未進行有效隔離，無妨對工業(yè)協(xié)議進行深度解析，無法對非法工業(yè)操作進行識別和阻止。

2）無法對可能的入侵行為進行檢測和阻止，一旦發(fā)生網(wǎng)絡安全事故，煤礦沒有能力對攻擊進行及時阻止和實時預警。

3）在生產(chǎn)網(wǎng)內(nèi)部未對非法操作行為，非法流量進行審計和日志記錄，不便于日后發(fā)生網(wǎng)絡安全事故進行溯源。

4）井下無線網(wǎng)與辦公網(wǎng)之間為未進行有效隔離，存在一定風險，不符合等保要求。

1.1.3 安全管理中心

經(jīng)過對煤礦生產(chǎn)網(wǎng)調(diào)研，趙莊二號井發(fā)現(xiàn)如下問題：

1）未建立安全管理中心，根據(jù)等保2.0的要求，應建立安全管理中心。

2）未對重要設備操作行為進行審計，未對操作用戶進行權(quán)限鑒別，因此無法判斷是那個用戶在什么時間進行了什么操作。

3）未對設備日志進行統(tǒng)一管理，在發(fā)生網(wǎng)絡安全事件時，增加了安全人員溯源的難度。

4）生產(chǎn)網(wǎng)對所有安全設備網(wǎng)絡設備的流量，日志進行統(tǒng)一管理并進行分析，尤其是對工業(yè)協(xié)議的解析。

經(jīng)過對煤礦辦公網(wǎng)調(diào)研，趙莊二號井發(fā)現(xiàn)如下問題：

1）辦公網(wǎng)無法檢測到未知攻擊，不能及時預警。

2）無法對辦公網(wǎng)內(nèi)的電腦進行統(tǒng)一管理，不能及時發(fā)現(xiàn)病毒進行查殺。

1.2 安全計算環(huán)境建設

1）各個調(diào)度電腦和生產(chǎn)服務器安裝工控主機衛(wèi)士，工控主機衛(wèi)士主要針對煤礦生產(chǎn)子系統(tǒng)無法安裝傳統(tǒng)殺毒軟件的痛點出發(fā)，采用基于白名單的主機加固方案來對現(xiàn)有系統(tǒng)文件進行加固，防止病毒入侵服務器和電腦后進行破壞；同時針對調(diào)度人員非法插USB設備進行管控，防止U盤帶毒感染工業(yè)控制系統(tǒng)，同時防止操作人員非法卸載關(guān)閉主機衛(wèi)士進行管控。

2）在赫斯曼交換機或者各個生產(chǎn)服務器區(qū)的匯聚交換機旁掛工控漏洞掃描系統(tǒng)，對各個生產(chǎn)子系統(tǒng)服務器，生產(chǎn)子系統(tǒng)，井下PLC等工業(yè)設備進行資產(chǎn)的識別，漏洞的掃描發(fā)現(xiàn)，并對漏洞提出整改意見報告，協(xié)助用戶進行安全整改。

1.3 安全區(qū)域邊界建設

1）工業(yè)防火墻至關(guān)重要，在辦公區(qū)域網(wǎng)絡和生產(chǎn)區(qū)域網(wǎng)絡進行部署，替換原先的網(wǎng)閘，對工業(yè)協(xié)議進行深度解析，同時通過ACL策略來進行訪問控制策略的部署，防止煤炭專網(wǎng)和集團網(wǎng)下發(fā)帶有非法操作的工業(yè)指令。

2）在無線網(wǎng)邊界與辦公網(wǎng)之間部署工業(yè)防火墻，一方面對工業(yè)協(xié)議進行解析，另一方面是通過工業(yè)防火墻內(nèi)部的入侵檢測和病毒過濾功能來對入侵和病毒進行防御和阻止。

3）在上傳區(qū)與生產(chǎn)網(wǎng)之間部署網(wǎng)閘（利舊），對數(shù)據(jù)上傳業(yè)務進行防護。

1.4 安全管理中心建設

1）部署日志審計系統(tǒng)，采集并分析安全設備，網(wǎng)絡設備的日志進行分析。

2）部署運維審計系統(tǒng)，對資產(chǎn)（安全設備，服務器，web頁面）進行管理，統(tǒng)一對操作行為進行審計管理，防止誤操作。

3）部署工控安全檢測審計平臺，對工業(yè)流量進行審計，并及時報警非法流量。

4）部署工控安全態(tài)勢感知平臺對整個工業(yè)環(huán)境進行監(jiān)控，同時對接日志審計，工控安全檢測審計平臺等一列產(chǎn)品，形成對整個工業(yè)環(huán)境的態(tài)勢感知，包括對非法操作，敏感信息，非法入侵等進行集中展示，同時根據(jù)公司自身現(xiàn)狀定制化態(tài)勢感知平臺場景應用等。

5）部署APT攻擊預警平臺對為未知攻擊，未知文件進行檢測，一旦匹配攻擊樣本，APT將會進行報警，通知管理人員進行阻斷。

6）部署EDR對辦公網(wǎng)內(nèi)的電腦進行集中管理，統(tǒng)一殺毒，統(tǒng)一補丁修補，對病毒流量進行隔離。

2 安全管理體系設計

2.1 安全管理制度

以安全管理體系為核心，相關(guān)管理規(guī)定及制度辦法圍繞管理體系進行制定。具體的規(guī)定及制度辦法，必須遵循政策文件中所要求的安全原則、安全方法和安全策略，同時保持較強的可操作性，能夠得到廣泛的推廣和有效果的實施。

發(fā)布流程、管理方法和管理范圍必須經(jīng)過嚴密的制定，保持系統(tǒng)格式高度統(tǒng)一，系統(tǒng)版本需要有效的控制，同時經(jīng)過正規(guī)有效的途徑進行發(fā)布，發(fā)布范圍要明確標注，要詳細的登記所接收和發(fā)布的文件。

信息安全管理部門負責組織專業(yè)人員對安全管理體系的合理性進行定期審核，同時對管理體系的適用性進行驗證，對出現(xiàn)的問題進行及時修訂，如修訂后內(nèi)容仍不充分需進行改進。

2.2 安全管理機構(gòu)

1）以安全管理體系為核心，建立安全管理的具體組織方式，明確安全管理的運行機制；

2）設置安全、系統(tǒng)、網(wǎng)絡管理員等崗位，并相應配備符合要求的工作人員，配備專職負責安全的人員；成立領(lǐng)導小組，對信息安全方面的工作進行全方位的指導管理，組長由單位負責人指派或授權(quán)；制定文件，明確安全管理機構(gòu)各部門、各崗位的職責、分工和技能要求。

3）建立授權(quán)與審批制度；

4）建立內(nèi)外部溝通合作渠道；

5）定期進行全面的安全檢查，尤其是系統(tǒng)的日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等。

2.3 人員安全管理

以安全管理體系為核心，針對人員招聘、員工離崗、績效考核、員工培訓等制定相關(guān)規(guī)定，并參照規(guī)定嚴格執(zhí)行；針對外部人員制定明確的準入流程，并參照流程嚴格執(zhí)行。

2.4 系統(tǒng)建設管理

以安全管理體系為核心，針對系統(tǒng)構(gòu)建研究開發(fā)管理系統(tǒng)，開發(fā)原則應符合系統(tǒng)等級、系統(tǒng)全方位安全設計、產(chǎn)品供銷、軟件開發(fā)、項目實施、測試驗收、日志記錄、等級評價、安全服務等基本要求。從項目開展的前期階段、中期階段、后期階段3個方面，從最開始的等級設計到最終的驗收評價，圍繞項目開展的整個周期的角度進行系統(tǒng)構(gòu)建管理。

3 安全運營體系設計

3.1 定級備案服務

根據(jù)等級保護定級備案表和信息系統(tǒng)定級報告，完成定級備案過程。

圖2 定級流程圖

3.2 等級保護管理體系設計

信息安全管理體系建設，依據(jù)等級保護基本要求、ISO27001及客戶相關(guān)制度和標準，建立全面的安全管理模式，包括詳細的安全策略、完善的管理制度和可行性強的操作規(guī)程。

圖3 管理體系

3.3 安全漏洞檢測設計

在系統(tǒng)服務范圍內(nèi)，針對各種軟硬件設備進行全面的掃描和分析，掃描范圍包括網(wǎng)絡層、系統(tǒng)層、數(shù)據(jù)庫和應用層。掃描過程中所使用的規(guī)則庫應涵蓋各類標準，如CVE、CNVD等。掃描結(jié)束后如果出現(xiàn)系統(tǒng)漏洞、口令有風險、數(shù)據(jù)庫配置不合理等問題，需要通過人工進行驗證，同時出具最終有效的檢測報告，并提出在檢測中所出現(xiàn)問題的解決方案。

3.4 安全運營服務設計

定期收集客戶所使用系統(tǒng)的入侵檢測設備、入侵防御設備以及防火墻的日志，進行全面分析，對入侵信息的真假進行嚴格篩選，同時根據(jù)當前網(wǎng)絡系統(tǒng)的真實情況，對網(wǎng)絡系統(tǒng)的安全態(tài)勢進行診斷，如果發(fā)現(xiàn)有事件正在入侵網(wǎng)絡或者嘗試著入侵網(wǎng)絡，發(fā)出警告立即通知客戶并且根據(jù)入侵事件提供完整的技術(shù)措施阻止其繼續(xù)入侵，同時對目前所使用的策略進行進一步的優(yōu)化。

3.5 信息安全加固優(yōu)化

信息系統(tǒng)的加固主要包括3個方面：網(wǎng)絡設備加固、操作系統(tǒng)加固和應用系統(tǒng)加固。

1）網(wǎng)絡設備安全加固。提供的網(wǎng)絡服務不是必要的需要禁用、網(wǎng)絡配置存在隱患的需要修改、對設備的訪問需要根據(jù)原則進行控制、系統(tǒng)軟件版本落后需要及時進行更新升級、物理保護環(huán)境應該嚴格按照IPP要求進行設計。

2）操作系統(tǒng)安全加固。系統(tǒng)補丁需要嚴格按時檢查、停止一切不是必須提供的服務、訪問權(quán)限存在不合理的需要修改、安全策略按照最優(yōu)方案進行修改、賬戶與密碼的安全強度需要嚴格檢查、開啟審核策略、關(guān)閉不重要或不常用的端口等。

3）應用系統(tǒng)（WEB系統(tǒng)、數(shù)據(jù)庫）安全加固。對要使用的操作數(shù)據(jù)庫軟件（程序）進行必要的安全審核，比如對ASP、PHP等腳本，這是很多基于數(shù)據(jù)庫的WEB應用常出現(xiàn)的安全隱患，對于腳本主要是一個過濾問題，需要過濾一些類似“,”、“′”、“;”、“@”、“/”等字符，防止破壞者構(gòu)造惡意的SQL語句。安裝最新的補丁，使用安全的密碼、賬號策略，加強日志的記錄審核，修改默認端口，使用加密協(xié)議，加固TCP/IP端口，對網(wǎng)絡連接進行IP限制等。加固流程圖見圖4。

圖4 加固流程

4 結(jié)語

在安全管理體系建設過程中，技術(shù)和管理的融合顯得尤為重要，缺一不可，不論忽視技術(shù)還是忽視管理都將對工作產(chǎn)生巨大的安全風險和安全隱患，因此技術(shù)建設和管理建設需同步進行。本文運用現(xiàn)代信息技術(shù)和科學的管理手段，采用先進的安全設備和前沿的大數(shù)據(jù)分析技術(shù)，進行統(tǒng)一的安全規(guī)劃，科學實施，功能齊全、技術(shù)先進的、安全穩(wěn)定，進一步保障了煤礦的網(wǎng)絡安全。