基于業(yè)務(wù)與安全融合的智慧煤礦主動(dòng)防御技術(shù)與實(shí)踐*

王許培，王偉剛

(國(guó)家能源投資集團(tuán)信息公司網(wǎng)絡(luò)與信息安全中心，北京 100011)

0 引言

2020年國(guó)家發(fā)改委、國(guó)家能源等8部委聯(lián)合印發(fā)《關(guān)于加快煤礦智能化發(fā)展的指導(dǎo)意見(jiàn)》[1](以下簡(jiǎn)稱《意見(jiàn)》)，明確提出要加快對(duì)網(wǎng)絡(luò)安全技術(shù)與煤礦生產(chǎn)業(yè)務(wù)深入融合的關(guān)鍵性技術(shù)研究。為深入貫徹執(zhí)行《意見(jiàn)》，國(guó)投集團(tuán)信息中心基于煤礦生產(chǎn)業(yè)務(wù)與網(wǎng)絡(luò)安全、數(shù)據(jù)安全深度融合，從當(dāng)前煤礦行業(yè)以安全合規(guī)建設(shè)、單點(diǎn)防護(hù)為主導(dǎo)的傳統(tǒng)安全向基于“三化六防”策略的主動(dòng)防御轉(zhuǎn)變，開(kāi)展煤礦網(wǎng)絡(luò)安全的主動(dòng)防御技術(shù)的實(shí)踐研究與應(yīng)用，構(gòu)建煤礦基礎(chǔ)資源數(shù)據(jù)化、安全業(yè)務(wù)體系化、智能對(duì)抗引擎化和安全決策智慧化的主動(dòng)防御體系，全面提升煤礦主動(dòng)防御能力，對(duì)行業(yè)的安全建設(shè)、運(yùn)營(yíng)等有一定的參考借鑒價(jià)值。

1 智慧煤礦網(wǎng)絡(luò)安全建設(shè)難點(diǎn)分析

智慧煤礦物聯(lián)網(wǎng)感知設(shè)備異構(gòu)多樣且動(dòng)態(tài)變化，尤其是“云大物智移”技術(shù)與環(huán)境感知、視頻監(jiān)控、定位導(dǎo)航、廣播調(diào)度等應(yīng)用系統(tǒng)深度融合，徹底改變傳統(tǒng)的安全管控模式，加劇了感知設(shè)備的惡意接入、攻擊滲透、數(shù)據(jù)泄密等風(fēng)險(xiǎn)，數(shù)據(jù)安全和網(wǎng)絡(luò)安全融合的安全服務(wù)成為煤礦業(yè)務(wù)安全的重要保障。

智能系統(tǒng)低耦合增加安全處置協(xié)同的難度。智能系統(tǒng)“積木式堆疊”[2]，造成海量“數(shù)據(jù)煙囪”“采而無(wú)用”問(wèn)題，增加了井下、井上生產(chǎn)作業(yè)過(guò)程真正智能化協(xié)同和安全處置聯(lián)動(dòng)的難度。

智慧煤礦行業(yè)安全規(guī)范有待提高。智能系統(tǒng)堆砌式集成，行業(yè)并未形成整體成套的技術(shù)供給能力，導(dǎo)致針對(duì)煤礦的網(wǎng)絡(luò)安全規(guī)劃與建設(shè)難以形成行業(yè)的可執(zhí)行標(biāo)準(zhǔn)與規(guī)范。

2 業(yè)務(wù)與安全融合的主動(dòng)防御關(guān)鍵技術(shù)分析

智慧煤礦業(yè)務(wù)高度流程化，稍有干擾就會(huì)影響業(yè)務(wù)的連續(xù)性，同時(shí)針對(duì)能源行業(yè)的攻擊呈上升態(tài)勢(shì)，一定程度上加劇了目前仍以合規(guī)建設(shè)為主導(dǎo)的煤礦網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。智慧煤礦的網(wǎng)絡(luò)安全主動(dòng)防御建設(shè)必須在等級(jí)保護(hù)建設(shè)的基礎(chǔ)上，圍繞“一個(gè)中心，三重防護(hù)”，結(jié)合煤礦“四網(wǎng)融合”的應(yīng)用場(chǎng)景，以威脅感知為核心，以威脅數(shù)據(jù)為驅(qū)動(dòng)，融合包含邊界隔離、訪問(wèn)控制、入侵監(jiān)測(cè)、安全審計(jì)等防護(hù)手段，引入誘捕、SOAR、UEBA、XDR等主動(dòng)防護(hù)技術(shù)，聚合安全數(shù)據(jù)，整體規(guī)劃協(xié)同防護(hù)建設(shè)策略，構(gòu)建多維協(xié)同的縱深防護(hù)安全體系。以場(chǎng)景化、協(xié)同化的安全防護(hù)能力，讓網(wǎng)絡(luò)安全防護(hù)形成合力，以“三化六防”思維保障煤炭企業(yè)的安全生產(chǎn)和運(yùn)營(yíng)管理。

2.1 基于業(yè)務(wù)與安全融合的安全防護(hù)技術(shù)

智慧煤礦的核心是實(shí)現(xiàn)安全信息主動(dòng)化感知、生產(chǎn)系統(tǒng)智能化管理、數(shù)據(jù)信息高效化處理、調(diào)度決策智能化控制等，與之相適應(yīng)的網(wǎng)絡(luò)安全建設(shè)也必須與業(yè)務(wù)耦合，對(duì)網(wǎng)絡(luò)資源異常行為準(zhǔn)確及時(shí)預(yù)警和應(yīng)急響應(yīng)，保障應(yīng)用系統(tǒng)的安全穩(wěn)定運(yùn)行提供安全支撐。

智慧煤礦分為井上辦公網(wǎng)、煤礦工業(yè)環(huán)網(wǎng)、井下生產(chǎn)控制網(wǎng)、安全環(huán)境監(jiān)測(cè)環(huán)網(wǎng)及5G基站內(nèi)網(wǎng)等。尤其是井下監(jiān)測(cè)系統(tǒng)、生產(chǎn)控制系統(tǒng)拓?fù)浣Y(jié)構(gòu)復(fù)雜多變，網(wǎng)絡(luò)噪聲信號(hào)突出，同時(shí)井上監(jiān)控智能系統(tǒng)頻繁與井下控制網(wǎng)絡(luò)傳輸程序或調(diào)整工藝參數(shù)、收集控制網(wǎng)絡(luò)的業(yè)務(wù)運(yùn)行數(shù)據(jù)，導(dǎo)致井上IT系統(tǒng)的威脅很容易滲透到井下控制系統(tǒng)，增加了井下OT系統(tǒng)的安全風(fēng)險(xiǎn)。另外，井下OT系統(tǒng)很容易被內(nèi)置一些隱蔽威脅，在外部惡意引擎觸發(fā)后會(huì)快速演變且難以捕捉，而針對(duì)PLC、RTU等一些惡意軟件也會(huì)采用命令與控制信號(hào)更加隱蔽地潛入OT系統(tǒng)，對(duì)控制器進(jìn)行間隙式指令干擾而引起系統(tǒng)不穩(wěn)定、智能化業(yè)務(wù)的工作流程中斷而導(dǎo)致煤礦事故發(fā)生，因此如何實(shí)時(shí)、精準(zhǔn)感知井下OT系統(tǒng)的異常行為是智慧煤礦安全建設(shè)的重點(diǎn)。從智慧煤礦的內(nèi)生需求出發(fā)，基于PPDAR(策略、防護(hù)、檢測(cè)、分析、響應(yīng))安全防護(hù)模型，從“設(shè)備安全、控制安全、網(wǎng)絡(luò)安全、應(yīng)用安全和數(shù)據(jù)安全”五大角度，構(gòu)建煤礦縱深安全防御體系、形成《工業(yè)控制系統(tǒng)信息安全防護(hù)能力成熟度模型》的“綜合協(xié)同能力”是關(guān)鍵。

具體舉措有：(1)對(duì)多源告警數(shù)據(jù)基于大數(shù)據(jù)AI分析與融合、基于規(guī)則的快速檢測(cè)、全資產(chǎn)動(dòng)態(tài)管控、事件化分析和處置等技術(shù)手段，從根因分析、關(guān)聯(lián)分析、事件化分析等維度準(zhǔn)確監(jiān)測(cè)網(wǎng)絡(luò)攻擊活動(dòng)，提高威脅檢測(cè)和響應(yīng)速度和精確度，提升整體網(wǎng)絡(luò)安全防護(hù)能力；(2)以基于SOAR技術(shù)的自動(dòng)化操作快速應(yīng)對(duì)各類繁瑣枯燥的安全任務(wù)；(3)基于大數(shù)據(jù)AI的多源異常行為分析精準(zhǔn)預(yù)警，并多設(shè)備策略聯(lián)防聯(lián)控；(4)基于工單閉環(huán)機(jī)制的快速應(yīng)急處置等。

針對(duì)井下OT系統(tǒng)的網(wǎng)絡(luò)安全與業(yè)務(wù)融合最為關(guān)鍵的任務(wù)是利用多維感知技術(shù)和大數(shù)據(jù)AI融合技術(shù)偵探OT系統(tǒng)過(guò)程狀態(tài)中的可疑攻擊活動(dòng)，尤其是針對(duì)控制工業(yè)協(xié)議的惡意漸進(jìn)式數(shù)據(jù)載荷增量、工控協(xié)議的挾持篡改、通信過(guò)程中的數(shù)據(jù)投毒等[3-4]。實(shí)際上，井下OT生產(chǎn)控制網(wǎng)內(nèi)的控制流程是周期性的、且相互之間的通信鏈接是相對(duì)固定的，OT系統(tǒng)內(nèi)的任何擾動(dòng)均會(huì)體現(xiàn)在控制內(nèi)網(wǎng)流量的異常波動(dòng)、控制器端口流量的異常變化、設(shè)備之間的訪問(wèn)關(guān)系異常、設(shè)備CPU、內(nèi)存等占有率的異常變化、控制系統(tǒng)輸出的偶發(fā)波動(dòng)等。因此，針對(duì)OT系統(tǒng)的可疑攻擊活動(dòng)的網(wǎng)絡(luò)監(jiān)測(cè)可以采用基于協(xié)議載荷DPI、基于流量DFI的實(shí)時(shí)監(jiān)測(cè)，并結(jié)合基于業(yè)務(wù)過(guò)程的工控可疑活動(dòng)偵探綜合分析與預(yù)判。針對(duì)業(yè)務(wù)過(guò)程的監(jiān)測(cè)有基于控制邏輯監(jiān)測(cè)和基于過(guò)程狀態(tài)監(jiān)測(cè)，其中基于控制邏輯監(jiān)測(cè)的任務(wù)是實(shí)時(shí)感知任務(wù)調(diào)度的時(shí)間序列和控制程序的異常，基于過(guò)程狀態(tài)偵探的任務(wù)是實(shí)時(shí)分析流程變量的殘差和臨界狀態(tài)?；诰W(wǎng)絡(luò)安全與業(yè)務(wù)安全融合的關(guān)鍵任務(wù)就是如何利用大數(shù)據(jù)AI分析技術(shù)關(guān)聯(lián)網(wǎng)絡(luò)監(jiān)測(cè)與業(yè)務(wù)過(guò)程監(jiān)測(cè)的異常行為、預(yù)判攻擊行為并精準(zhǔn)預(yù)警、調(diào)度應(yīng)急策略、阻止攻擊行為等。

在業(yè)務(wù)與網(wǎng)絡(luò)安全融合的過(guò)程中，最為重要的是需要精準(zhǔn)辨識(shí)網(wǎng)絡(luò)攻擊與業(yè)務(wù)偶發(fā)故障等，并根據(jù)辨識(shí)結(jié)果啟動(dòng)相應(yīng)的應(yīng)急處置程序，否則就會(huì)發(fā)生誤動(dòng)作而導(dǎo)致不可挽回的損失。網(wǎng)絡(luò)攻擊不同階段的網(wǎng)絡(luò)異常行為導(dǎo)致業(yè)務(wù)異常的程度存在一定的差異，在網(wǎng)絡(luò)偵察的初始階段，對(duì)業(yè)務(wù)影響是較小的，而在初步入侵、C&C(命令與控制)階段，對(duì)業(yè)務(wù)便開(kāi)始有顯性影響，因此，為防止網(wǎng)絡(luò)攻擊勢(shì)態(tài)的進(jìn)一步蔓延，就必須在網(wǎng)絡(luò)攻擊的最初始階段就能精準(zhǔn)感知并實(shí)時(shí)預(yù)警、啟動(dòng)應(yīng)急流程?；诖?，網(wǎng)絡(luò)安全感知系統(tǒng)必須與自動(dòng)化設(shè)備狀態(tài)綜合監(jiān)測(cè)實(shí)時(shí)交互狀態(tài)數(shù)據(jù)，以此彌補(bǔ)網(wǎng)絡(luò)安全感知數(shù)據(jù)稀疏難以實(shí)時(shí)辨識(shí)安全威脅的問(wèn)題，增強(qiáng)實(shí)時(shí)感知、辨識(shí)可疑活動(dòng)的顆粒度和精準(zhǔn)度。井上指揮系統(tǒng)可以根據(jù)感知的可疑活動(dòng)出現(xiàn)時(shí)所依賴的網(wǎng)絡(luò)環(huán)境要素、基于時(shí)序的控制輸入/輸出等偏移控制基線的排列熵累積，利用OT系統(tǒng)從正常狀態(tài)到異常狀態(tài)的臨界點(diǎn)作為特征參考，實(shí)時(shí)評(píng)估網(wǎng)絡(luò)攻擊、設(shè)備偶發(fā)故障等征兆，進(jìn)行實(shí)時(shí)預(yù)警與啟動(dòng)相應(yīng)的應(yīng)急措施，辨識(shí)流程如圖1所示。

圖1 基于業(yè)務(wù)與網(wǎng)絡(luò)安全融合的智能流程圖

2.2 攻擊誘捕驗(yàn)證技術(shù)

井下OT系統(tǒng)采用工業(yè)物聯(lián)網(wǎng)架構(gòu)，使用大量網(wǎng)絡(luò)化傳感設(shè)備，通過(guò)諸如5G等無(wú)線通信技術(shù)形成各自的傳感器網(wǎng)絡(luò)，相關(guān)信號(hào)一旦被惡意干擾，有可能造成諸如采掘業(yè)務(wù)、安監(jiān)業(yè)務(wù)、調(diào)度業(yè)務(wù)等干擾，甚至業(yè)務(wù)中斷等故障，或者惡意竊取、篡改遠(yuǎn)程控制信號(hào)以控制井下的生產(chǎn)、監(jiān)控裝置而引發(fā)煤礦事故。由于井下生產(chǎn)作業(yè)環(huán)境的特殊性，保障控制信號(hào)在井上、井下傳輸過(guò)程中的完整性、可用性、連續(xù)性成為智慧煤礦安全生產(chǎn)保障的關(guān)鍵。有效的防護(hù)措施是在井上調(diào)度中心區(qū)旁路部署基于DPI、DFI的工控協(xié)議安全審計(jì)設(shè)備，對(duì)流經(jīng)生產(chǎn)綜合監(jiān)控系統(tǒng)的網(wǎng)絡(luò)流量進(jìn)行審計(jì)，并對(duì)上位機(jī)與下位機(jī)之間的工業(yè)協(xié)議識(shí)別和深度解析，對(duì)違規(guī)操作、誤操作以及關(guān)鍵操作(如下載、上傳、組態(tài)變更以及CPU啟停)等進(jìn)行監(jiān)測(cè)，實(shí)時(shí)了解生產(chǎn)網(wǎng)絡(luò)的安全狀態(tài)，為事后追溯、定位提供證據(jù)。為進(jìn)一步防范井上網(wǎng)絡(luò)威脅對(duì)井下系統(tǒng)的滲透、彌補(bǔ)基于特征的安全手段難以防范0Day對(duì)井下系統(tǒng)的攻擊，通過(guò)在井下工控系統(tǒng)的關(guān)鍵位置部署入侵誘捕裝置，并接受井上指揮中心的策略分發(fā)系統(tǒng)的指令動(dòng)態(tài)調(diào)整誘騙策略以誘捕攻擊者，以深度交互的方式獲取詳細(xì)的攻擊步驟，為聯(lián)控與溯源提供決策。考慮到井下生產(chǎn)系統(tǒng)誘捕系統(tǒng)實(shí)施部署的難度及不同區(qū)域保護(hù)的需求差異性，同時(shí)兼顧蜜罐偽裝性和防御安全性，在井上運(yùn)營(yíng)系統(tǒng)入口處部署中高交互性蜜罐而在井下生產(chǎn)系統(tǒng)入口處部署中高交互性工控蜜罐，且井上與井下的蜜罐裝置協(xié)同，情報(bào)共享，在縱深防御上協(xié)同捕獲隱蔽攻擊行為，一定程度上提升了井上、井下系統(tǒng)的安全協(xié)同防御能力，也保障了生產(chǎn)系統(tǒng)的安全生產(chǎn)。誘捕策略與蜜罐部署如圖2所示。

圖2 誘捕策略與蜜罐部署

為進(jìn)一步提升井下工控蜜罐的誘捕能力，其必須高度仿真井下實(shí)際生產(chǎn)控制系統(tǒng)，具體設(shè)計(jì)為：在其OS內(nèi)核載入數(shù)采系統(tǒng)的網(wǎng)卡、磁盤(pán)、固態(tài)驅(qū)動(dòng)器、I/O控制、數(shù)采程序等多個(gè)虛擬功能，并利用動(dòng)態(tài)欺騙策略誘導(dǎo)惡意程序進(jìn)入蜜罐陷阱。為進(jìn)一步發(fā)揮蜜罐的情報(bào)作用，提升多安全設(shè)備協(xié)同能力，具體設(shè)計(jì)為井上蜜罐與入口的IPS、流量審計(jì)協(xié)同，井下蜜罐與不同作業(yè)系統(tǒng)的邊界防護(hù)控制、區(qū)域流量分析審計(jì)等協(xié)同，井上、井下蜜罐與指揮中心策略分發(fā)系統(tǒng)、情報(bào)中心形成策略聯(lián)動(dòng)和協(xié)同，生產(chǎn)不同策略的誘餌分階段步驟誘捕攻擊者，形成多維度的縱深、橫向的安全防護(hù)能力，保障生產(chǎn)系統(tǒng)安全穩(wěn)定運(yùn)行。

2.3 實(shí)戰(zhàn)化的網(wǎng)絡(luò)攻擊聯(lián)動(dòng)防御技術(shù)

基于實(shí)戰(zhàn)化的網(wǎng)絡(luò)攻擊防御聯(lián)控是在安全技術(shù)、調(diào)度流程、指揮平臺(tái)協(xié)同的基礎(chǔ)上，通過(guò)網(wǎng)絡(luò)與業(yè)務(wù)異常行為監(jiān)測(cè)協(xié)同的智能分析、載荷編排SOAR、定向防御三大引擎協(xié)同達(dá)到動(dòng)態(tài)智能防御的目的，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的精準(zhǔn)感知、安全威脅的智能分析、預(yù)警信息的自動(dòng)分發(fā)、響應(yīng)措施的聯(lián)動(dòng)處置，構(gòu)建集“威脅檢測(cè)、實(shí)時(shí)防護(hù)、動(dòng)態(tài)響應(yīng)、態(tài)勢(shì)預(yù)測(cè)、應(yīng)急指揮”為一體的智能網(wǎng)絡(luò)安全主動(dòng)防御體系。

面向?qū)崙?zhàn)化的聯(lián)防戰(zhàn)術(shù)中，首要任務(wù)是在全域重點(diǎn)系統(tǒng)風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，與自動(dòng)化設(shè)備維護(hù)系統(tǒng)實(shí)施對(duì)接自控設(shè)備偶發(fā)故障的監(jiān)測(cè)信息，構(gòu)建與部署以策略聯(lián)動(dòng)機(jī)制為核心的整體網(wǎng)絡(luò)安全防護(hù)策略與設(shè)施、以提升攻擊監(jiān)測(cè)和防護(hù)的效率為目的，動(dòng)態(tài)優(yōu)化“邊界防護(hù)策略聯(lián)控、蜜罐誘餌策略調(diào)度、流量監(jiān)測(cè)顆粒度動(dòng)態(tài)調(diào)優(yōu)、威脅情報(bào)動(dòng)態(tài)分發(fā)”等整體防控策略，基于實(shí)戰(zhàn)化的主動(dòng)防御策略動(dòng)態(tài)調(diào)優(yōu)過(guò)程如圖3所示。三個(gè)關(guān)鍵步驟：(1)優(yōu)化日志分析，采用事件分析法、時(shí)間分析法以及流量包樣本分析法等方式，在大量異構(gòu)數(shù)據(jù)中捕獲關(guān)鍵信息、感知異常行為、關(guān)注重點(diǎn)事件；(2)及時(shí)處置設(shè)備誤報(bào)、拉通業(yè)務(wù)側(cè)溝通渠道，核實(shí)能否快速對(duì)業(yè)務(wù)代碼邏輯進(jìn)行修改，解決業(yè)務(wù)誤攔問(wèn)題；(3)優(yōu)化平臺(tái)和設(shè)備策略，根據(jù)日志分析及誤報(bào)處理的結(jié)果，對(duì)網(wǎng)絡(luò)設(shè)備策略、安全設(shè)備策略、主機(jī)策略等進(jìn)行進(jìn)一步調(diào)整和優(yōu)化。

圖3 基于實(shí)戰(zhàn)化的主動(dòng)網(wǎng)絡(luò)安全防御策略動(dòng)態(tài)調(diào)優(yōu)過(guò)程

在針對(duì)智慧煤礦的主動(dòng)防御設(shè)計(jì)時(shí)，注重設(shè)備聯(lián)動(dòng)、情報(bào)共享、策略分發(fā)、分層控制與動(dòng)態(tài)調(diào)優(yōu)等，系統(tǒng)性的關(guān)鍵防護(hù)策略如下：

(1)第1道防線：在核心安全域部署基于AI的防火墻，并與蜜罐、情報(bào)中心聯(lián)控，實(shí)時(shí)動(dòng)態(tài)調(diào)整封堵策略，最大限度收斂資產(chǎn)暴露面、最小化網(wǎng)絡(luò)訪問(wèn)控制。

(2)第2道防線：在基于業(yè)務(wù)安全保障的分域分區(qū)的基礎(chǔ)上，部署WAF、IDS、工業(yè)防火墻等，與井上指揮中心聯(lián)動(dòng)進(jìn)行動(dòng)態(tài)策略調(diào)優(yōu)，提升邊界動(dòng)態(tài)的防護(hù)能力、監(jiān)測(cè)和防護(hù)南北向流量。

(3)第3道防線：在區(qū)域核心匯聚處部署全流量分析設(shè)備進(jìn)行攻擊行為監(jiān)測(cè)，提升內(nèi)網(wǎng)和重點(diǎn)系統(tǒng)的安全防護(hù)能力，監(jiān)測(cè)東西向流量。

(4)第4道防線：針對(duì)核心區(qū)域的防護(hù)，與井上指揮中心策略分發(fā)系統(tǒng)聯(lián)控，通過(guò)旁路阻斷實(shí)現(xiàn)一鍵封堵功能，提升快速應(yīng)急響應(yīng)處置能力，支撐集中化處置。

(5)第5道防線：井上、井下、數(shù)據(jù)中心出入口部署策略蜜網(wǎng)，與情報(bào)中心、策略分發(fā)系統(tǒng)聯(lián)動(dòng)，提供威脅動(dòng)態(tài)感知、攻擊誘捕、行為分析和溯源取證能力，精準(zhǔn)定位攻擊源頭，提升核心系統(tǒng)免受攻擊的能力。

(6)第6道防線：通過(guò)對(duì)流量、告警、日志等元數(shù)據(jù)利用大數(shù)據(jù)AI分析能力和機(jī)器學(xué)習(xí)算法，進(jìn)行集中化、范式化分析，結(jié)合攻擊鏈模型從海量告警事件中快速定位，重點(diǎn)關(guān)注和處理核心資產(chǎn)安全狀態(tài)、重要安全事件，提升井上智能安全聯(lián)防指揮中心的綜合預(yù)警、智能決策、快速聯(lián)控、精準(zhǔn)調(diào)度等能力。

3 智慧煤礦數(shù)據(jù)分類分級(jí)及其安全防護(hù)技術(shù)

針對(duì)智慧煤礦的數(shù)據(jù)安全防護(hù)，不僅需要實(shí)施分級(jí)管控、加強(qiáng)對(duì)重要和核心數(shù)據(jù)的流轉(zhuǎn)范圍及其風(fēng)險(xiǎn)的管控，更需要針對(duì)生產(chǎn)控制數(shù)據(jù)的完整性、實(shí)時(shí)性和有效性等進(jìn)行重點(diǎn)保護(hù)，因?yàn)楣粽呖赏ㄟ^(guò)多種方式對(duì)諸如開(kāi)/閉控制器、讀/寫(xiě)寄存器、上傳/下載控制程序等操作命令注入惡意數(shù)據(jù)，甚至篡改環(huán)境溫度、壓力等傳感器數(shù)據(jù)，以此破壞包括控制命令、載荷數(shù)據(jù)等在內(nèi)的數(shù)據(jù)完整性，干擾工控系統(tǒng)的業(yè)務(wù)連續(xù)流程，造成系統(tǒng)性干擾與控制擾動(dòng)。因此，針對(duì)智慧煤礦數(shù)據(jù)安全而言，運(yùn)行數(shù)據(jù)、控制數(shù)據(jù)、生產(chǎn)數(shù)據(jù)等保護(hù)成為關(guān)鍵。但當(dāng)前智慧煤礦的相關(guān)系統(tǒng)高集成、弱耦合等現(xiàn)實(shí)缺點(diǎn)導(dǎo)致數(shù)據(jù)要素產(chǎn)生源頭極其分散、采集環(huán)境惡劣、流轉(zhuǎn)途徑多樣、業(yè)務(wù)場(chǎng)景復(fù)雜、處理環(huán)節(jié)非規(guī)范化等，且各自系統(tǒng)的數(shù)據(jù)在實(shí)時(shí)性、時(shí)序性、穩(wěn)定性、連續(xù)性、結(jié)構(gòu)化等方面存在較大差異，給數(shù)據(jù)分類分級(jí)、安全防護(hù)與治理等帶來(lái)極大的困境。

3.1 數(shù)據(jù)分類

智慧煤礦的生產(chǎn)數(shù)據(jù)主要指生產(chǎn)控制過(guò)程產(chǎn)生的數(shù)據(jù)：包括采、掘、機(jī)、運(yùn)、通、穿、爆等各種生產(chǎn)系統(tǒng)監(jiān)測(cè)數(shù)據(jù)、運(yùn)行的實(shí)時(shí)數(shù)據(jù)；安全數(shù)據(jù)分為安全監(jiān)測(cè)及安全管理兩類，其中安全監(jiān)測(cè)是指井下的瓦斯、頂板、水文、火災(zāi)以及設(shè)備的運(yùn)行情況等實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)；安全管理是指企業(yè)的“雙重”預(yù)防管理、安全生產(chǎn)管理、應(yīng)急救援管理等類型的管理數(shù)據(jù)。針對(duì)煤礦的數(shù)據(jù)分類，結(jié)合智慧煤礦的生產(chǎn)系統(tǒng)、系統(tǒng)集成、運(yùn)營(yíng)管理等屬性考慮，參考《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)分類分級(jí)要求》等規(guī)范，按照“組織經(jīng)營(yíng)”維度進(jìn)行分類，將生產(chǎn)數(shù)據(jù)分為用戶數(shù)據(jù)(內(nèi)部員工、協(xié)作單位人員、第三方監(jiān)管人員、第三方運(yùn)維人員以及客戶、供應(yīng)商等)、業(yè)務(wù)數(shù)據(jù)(采掘、運(yùn)輸、機(jī)電、安監(jiān)、調(diào)度等)、經(jīng)營(yíng)管理數(shù)據(jù)(系統(tǒng)設(shè)備資產(chǎn)信息、客戶與產(chǎn)品信息、產(chǎn)品供應(yīng)鏈數(shù)據(jù)、業(yè)務(wù)統(tǒng)計(jì)數(shù)據(jù)等)、系統(tǒng)運(yùn)行(控制信息、工況狀態(tài)、工藝參數(shù)、系統(tǒng)日志等)、安全數(shù)據(jù)(安全設(shè)備、安全配置策略、網(wǎng)絡(luò)拓?fù)?、基線管理、安全接口數(shù)據(jù)等)、業(yè)務(wù)流程數(shù)據(jù)(流程與控制工藝、控制程序等)、監(jiān)管數(shù)據(jù)(與上級(jí)監(jiān)管部門(mén)、其他主體共享的數(shù)據(jù)等)、研發(fā)數(shù)據(jù)(研發(fā)設(shè)計(jì)數(shù)據(jù)、開(kāi)發(fā)測(cè)試數(shù)據(jù)等)、運(yùn)維數(shù)據(jù)(物流數(shù)據(jù)、產(chǎn)品售后服務(wù)數(shù)據(jù)等)等。

3.2 數(shù)據(jù)分級(jí)

依據(jù)煤礦數(shù)據(jù)遭篡改、破壞、泄露或非法利用后對(duì)煤礦生產(chǎn)經(jīng)營(yíng)和上級(jí)部門(mén)監(jiān)管監(jiān)察產(chǎn)生的影響制定數(shù)據(jù)分級(jí)定級(jí)規(guī)范，包括分級(jí)原則、分級(jí)依據(jù)、定級(jí)要素、定級(jí)方法等內(nèi)容。結(jié)合智慧煤礦數(shù)據(jù)“流轉(zhuǎn)、共享、安全”等方面均衡考慮，根據(jù)“影響范圍、持續(xù)時(shí)間、可恢復(fù)性、數(shù)據(jù)敏感度”等維度，從數(shù)據(jù)泄露、數(shù)據(jù)篡改以及數(shù)據(jù)不可用等層面評(píng)估分析數(shù)據(jù)流轉(zhuǎn)各要素的安全威脅，將慧煤礦數(shù)據(jù)劃分為一般、重要與核心三個(gè)級(jí)別。針對(duì)不同級(jí)別的數(shù)據(jù)采用適度的安全措施，在數(shù)據(jù)流轉(zhuǎn)等過(guò)程通過(guò)最小共享和泛化、共享(提取)自動(dòng)化審批、最小使用范圍、責(zé)任傳遞、定期稽核等方式保障其安全性[5]。在煤礦數(shù)據(jù)生命周期管理過(guò)程中，針對(duì)重要數(shù)據(jù)、核心數(shù)據(jù)、經(jīng)過(guò)綜合分析后提煉出的二次數(shù)據(jù)、一般數(shù)據(jù)經(jīng)過(guò)二次組合或通過(guò)數(shù)據(jù)聚合分析形成更有價(jià)值的衍生敏感數(shù)據(jù)等，需要根據(jù)數(shù)據(jù)的適用范圍、責(zé)權(quán)以及風(fēng)險(xiǎn)等，有針對(duì)性進(jìn)行動(dòng)態(tài)分級(jí)修正。煤礦的數(shù)據(jù)分類分級(jí)建設(shè)如圖4所示。

圖4 智慧煤礦的數(shù)據(jù)分類分級(jí)建設(shè)

3.3 數(shù)據(jù)防護(hù)

參考《工業(yè)與信息化領(lǐng)域數(shù)據(jù)安全管理辦法》《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》等規(guī)范，針對(duì)煤礦數(shù)據(jù)全流程：數(shù)據(jù)采集安全、傳輸安全、存儲(chǔ)安全、處理安全、交換安全、銷(xiāo)毀安全等，首先需要確定全域的數(shù)據(jù)安全管理的組織架構(gòu)及職責(zé)，保障數(shù)據(jù)的完整性、保密性、安全性和合規(guī)使用。其次需要對(duì)采集、傳輸、存儲(chǔ)、交換的數(shù)據(jù)安全過(guò)程，從組織建設(shè)、制度流程、技術(shù)工具、人員能力等方面對(duì)數(shù)據(jù)安全進(jìn)行規(guī)范操作，如：(1)在數(shù)據(jù)采集、流轉(zhuǎn)、使用、存儲(chǔ)、提煉等過(guò)程中，遵循權(quán)限最小環(huán)原則；(2)運(yùn)用商密進(jìn)行輕量級(jí)加密，以期降低加解密過(guò)程對(duì)數(shù)據(jù)實(shí)時(shí)性的影響；(3)監(jiān)測(cè)重要、核心、二次、衍生等數(shù)據(jù)的分布及其流轉(zhuǎn)過(guò)程中的泄密風(fēng)險(xiǎn)；(4)采用數(shù)據(jù)資產(chǎn)采集探針、網(wǎng)絡(luò)流量分析、數(shù)據(jù)庫(kù)審計(jì)等手段，融合數(shù)據(jù)資產(chǎn)識(shí)別引擎、數(shù)據(jù)及文件內(nèi)容識(shí)別引擎、分類分級(jí)引擎、敏感數(shù)據(jù)分布引擎、威脅分析引擎等微服務(wù)搭建數(shù)據(jù)安全一體化監(jiān)控平臺(tái)，以“數(shù)據(jù)資產(chǎn)梳理、違規(guī)泄露發(fā)現(xiàn)、數(shù)據(jù)流轉(zhuǎn)監(jiān)測(cè)、數(shù)據(jù)安全審計(jì)”為核心，為煤礦提供一體化的數(shù)據(jù)安全監(jiān)測(cè)、預(yù)警、應(yīng)急與防御等服務(wù)；(5)通過(guò)風(fēng)險(xiǎn)處置及工單功能，實(shí)現(xiàn)從數(shù)據(jù)資產(chǎn)監(jiān)測(cè)、風(fēng)險(xiǎn)識(shí)別、統(tǒng)一管控、事件響應(yīng)和工單處理記錄的數(shù)據(jù)安全運(yùn)營(yíng)能力。數(shù)據(jù)安全與治理過(guò)程如圖5所示。

圖5 煤礦數(shù)據(jù)安全與治理過(guò)程

4 業(yè)務(wù)與安全融合的主動(dòng)防御技術(shù)應(yīng)用與實(shí)踐

基于業(yè)務(wù)與安全融合的一體化運(yùn)營(yíng)能力建設(shè)以安全治理為核心、風(fēng)險(xiǎn)管控為導(dǎo)向、安全合規(guī)為基礎(chǔ)，結(jié)合組織安全能力，滿足安全運(yùn)營(yíng)的系統(tǒng)性、動(dòng)態(tài)性和實(shí)戰(zhàn)性需求，在人、技術(shù)、過(guò)程層面構(gòu)建一體化的網(wǎng)絡(luò)安全縱深防御、監(jiān)測(cè)預(yù)警和應(yīng)急處置體系。

首先，建立礦區(qū)級(jí)一體化的基于大數(shù)據(jù)AI分析監(jiān)測(cè)平臺(tái)和智能指揮中心，實(shí)現(xiàn)對(duì)礦區(qū)所有聯(lián)網(wǎng)礦場(chǎng)的資產(chǎn)狀態(tài)與安全狀態(tài)監(jiān)控、全域安全信息收集、配置與策略統(tǒng)一管理，并與威脅情報(bào)融合，提高礦區(qū)安全識(shí)別、安全處置、安全調(diào)度、安全上報(bào)等預(yù)警及處理、保障能力。針對(duì)行業(yè)監(jiān)管數(shù)據(jù)，如安全監(jiān)測(cè)監(jiān)控、微震監(jiān)測(cè)、水文監(jiān)測(cè)、沖擊地壓監(jiān)測(cè)、視頻監(jiān)測(cè)等，建設(shè)礦區(qū)統(tǒng)一數(shù)據(jù)池，通過(guò)VPN、身份認(rèn)證和數(shù)據(jù)加密技術(shù)統(tǒng)一上傳出口，防止因數(shù)據(jù)上傳出現(xiàn)非法外聯(lián)、數(shù)據(jù)篡改、非法控制等安全隱患。

其次，根據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》的相關(guān)規(guī)定，參考《工業(yè)控制系統(tǒng)安全防護(hù)能力成熟度模型》的要求，結(jié)合煤礦業(yè)務(wù)安全的實(shí)際需求，將煤礦的網(wǎng)絡(luò)安全防御能力建設(shè)確定為“四級(jí)：綜合協(xié)同級(jí)”：統(tǒng)籌考慮安全風(fēng)險(xiǎn)需求，建立多級(jí)協(xié)同的安全管理體系，并通過(guò)態(tài)勢(shì)感知、統(tǒng)一管控等技術(shù)手段實(shí)現(xiàn)綜合決策、協(xié)調(diào)防護(hù)的安全能力，實(shí)現(xiàn)煤礦的縱深防御?！熬C合協(xié)同級(jí)防護(hù)能力”建設(shè)過(guò)程不僅需要實(shí)時(shí)精準(zhǔn)發(fā)現(xiàn)網(wǎng)絡(luò)中的網(wǎng)絡(luò)攻擊，更要深挖通過(guò)供應(yīng)鏈或網(wǎng)絡(luò)擺渡攻擊潛入煤礦內(nèi)網(wǎng)，針對(duì)特定目標(biāo)實(shí)施非傳統(tǒng)攻擊手段的安全威脅綜合分析和識(shí)別；同時(shí)建立以情報(bào)驅(qū)動(dòng)為核心，協(xié)同“研判分析、溯源反制、應(yīng)急響應(yīng)、運(yùn)營(yíng)支持”安全防護(hù)能力，實(shí)現(xiàn)“一點(diǎn)發(fā)現(xiàn)，全面風(fēng)險(xiǎn)閉環(huán)”的聯(lián)防聯(lián)控機(jī)制，構(gòu)建“云網(wǎng)邊端”一體化安全保障體系，并結(jié)合網(wǎng)絡(luò)攻防演練工作發(fā)現(xiàn)的問(wèn)題及時(shí)糾正相關(guān)的措施與策略。

再次，在智慧煤礦的整體安全聯(lián)防聯(lián)控的過(guò)程中，利用攻擊鏈模型，逐層收斂告警信息，并以可視化的作戰(zhàn)網(wǎng)格掛圖進(jìn)行預(yù)警與管控，提升攻擊事件的監(jiān)測(cè)準(zhǔn)確率和網(wǎng)絡(luò)安全日常運(yùn)營(yíng)工作效率，為面向?qū)崙?zhàn)化的網(wǎng)絡(luò)安全保障提供有效監(jiān)測(cè)處置手段?；趯?shí)戰(zhàn)化策略構(gòu)建網(wǎng)絡(luò)安全縱深防御體系，提升防御的層數(shù)和智能封堵能力，以此增加攻擊者的攻擊難度，確保應(yīng)用系統(tǒng)和數(shù)據(jù)資產(chǎn)安全。在全域網(wǎng)絡(luò)行為感知基礎(chǔ)上，重點(diǎn)增強(qiáng)對(duì)井下系統(tǒng)的設(shè)備接入網(wǎng)行為、網(wǎng)絡(luò)訪問(wèn)行為、井上與井下訪問(wèn)、井下系統(tǒng)間的網(wǎng)絡(luò)數(shù)據(jù)交換行為等感知與分析；加強(qiáng)對(duì)監(jiān)控網(wǎng)絡(luò)、生產(chǎn)網(wǎng)絡(luò)、井下環(huán)網(wǎng)的非法外聯(lián)、存儲(chǔ)介質(zhì)內(nèi)外網(wǎng)交叉使用等行為感知與預(yù)警。針對(duì)井下生產(chǎn)控制系統(tǒng)的智能聯(lián)動(dòng)阻斷、端口智能封堵等必須特別謹(jǐn)慎，必要時(shí)需要網(wǎng)絡(luò)、安全與自動(dòng)化控制的專家組人工參與研判，以防誤判而引起的安全事故。智慧煤礦網(wǎng)絡(luò)安全策略與實(shí)施部署如圖6所示。

圖6 智慧煤礦的主動(dòng)防御流程

5 結(jié)論

通過(guò)對(duì)煤礦業(yè)務(wù)與網(wǎng)絡(luò)安全技術(shù)深度融合的主動(dòng)防御技術(shù)研究與實(shí)踐應(yīng)用，形成國(guó)投集團(tuán)《煤炭企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全建設(shè)規(guī)范》企標(biāo)，并在國(guó)投集團(tuán)“煤炭企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)規(guī)范”信息化項(xiàng)目中應(yīng)用實(shí)踐，得到了有效驗(yàn)證，在諸如“重保”期間發(fā)揮了極大的作用。依賴平臺(tái)系統(tǒng)強(qiáng)大的大數(shù)據(jù)AI分析能力、精準(zhǔn)的預(yù)警能力、與安全設(shè)備之間的策略聯(lián)動(dòng)能力等，以及基于邊界的智能化封堵聯(lián)動(dòng)、出入口蜜罐的誘捕作用、端口動(dòng)態(tài)智能化封控及工單的快速閉環(huán)控制等，提高了礦區(qū)網(wǎng)絡(luò)安全協(xié)同的工作效率、降低了網(wǎng)絡(luò)安全管理與人員投入的成本、提高了安全人員整體的協(xié)同能力、完善了實(shí)戰(zhàn)化的網(wǎng)絡(luò)保障，實(shí)現(xiàn)了“工作流程化、過(guò)程可視化、工單電子化”等要求，確保智慧煤礦網(wǎng)絡(luò)安全“零”事故，保證了煤礦的業(yè)務(wù)運(yùn)營(yíng)穩(wěn)定運(yùn)行。