權曉鵬

(潞安化工集團 科技研發(fā)中心，山西 長治 047100)

山西高河能源有限公司作為國家首批智能礦井，建設了全面感知、實時互聯(lián)、分析決策、自主學習、動態(tài)預測、協(xié)同控制的智能化系統(tǒng)，以實現(xiàn)開拓、采掘、運輸、通風、安全保障、運營維護、經(jīng)營管理等智能化運行。礦井工業(yè)控制系統(tǒng)是智能礦井安全生產(chǎn)的核心部分，隨著礦井工控網(wǎng)絡、工控系統(tǒng)、工控軟件與安全生產(chǎn)管理數(shù)據(jù)的深度融合，網(wǎng)絡病毒威脅正在向工控網(wǎng)絡系統(tǒng)擴散，工控安全問題日益突出。一旦發(fā)生重大的工控網(wǎng)絡病毒攻擊事件，會嚴重危害礦井安全生產(chǎn)，構建智能礦井工業(yè)控制網(wǎng)絡安全防護系統(tǒng)勢在必行。

1 高河能源工控網(wǎng)絡安全現(xiàn)狀

高河能源工控網(wǎng)絡主要由生產(chǎn)內(nèi)網(wǎng)、辦公網(wǎng)組成。工業(yè)內(nèi)網(wǎng)網(wǎng)段為172.16.0.0/16，辦公網(wǎng)網(wǎng)段為192.168.0.0/16。生產(chǎn)內(nèi)網(wǎng)和辦公網(wǎng)之間部署思科防火墻隔離。

1.1 工控網(wǎng)絡管理問題

工控終端設備和服務器之間病毒防護薄弱，通過網(wǎng)絡流量管理工具對安全生產(chǎn)工控服務器、工控網(wǎng)絡交換機、終端傳感器等設備間的流量數(shù)據(jù)進行掃描分析，發(fā)現(xiàn)工控網(wǎng)絡存在安全隱患，掃描結(jié)果如圖1所示。

圖1 工控網(wǎng)絡設備間流量分布

通過分析，172.16.20.135(膠帶集控服務器)與192.168.30.145(工業(yè)視頻服務器)之間存在大量異常數(shù)據(jù)流量，通過與網(wǎng)絡病毒數(shù)據(jù)庫比對分析，這兩個工控系統(tǒng)感染了“永恒之藍”、“木馬”病毒。如果不及時查殺，病毒會迅速感染生產(chǎn)內(nèi)網(wǎng)系統(tǒng)，造成工控系統(tǒng)癱瘓，影響礦井的安全生產(chǎn)。

1.2 網(wǎng)絡設備管理問題

礦井網(wǎng)絡安全運維技術人員不能及時掌握工控系統(tǒng)設備運行狀態(tài)、生產(chǎn)網(wǎng)絡流量、病毒數(shù)據(jù)等網(wǎng)絡安全管理信息。

1.3 工控網(wǎng)絡架構問題

工控系統(tǒng)500多臺設備部署在同一個二層網(wǎng)絡廣播域內(nèi)，同一鏈路中存在大量無效廣播流量，網(wǎng)絡帶寬利用率大大降低。更為嚴重的是，部分工控系統(tǒng)服務器通過雙網(wǎng)卡同時接入了生產(chǎn)內(nèi)網(wǎng)與辦公網(wǎng)，繞過了防火墻設備，導致內(nèi)、外網(wǎng)的數(shù)據(jù)直接聯(lián)通，存在重大網(wǎng)絡安全隱患。

2 工控網(wǎng)絡安全解決方案

智能礦井工控網(wǎng)絡安全系統(tǒng)按照《信息安全技術網(wǎng)絡安全等級保護基本要求》(GB/T22239-2019)，要求建設一體化安全管理系統(tǒng)，部署工控網(wǎng)絡終端殺毒系統(tǒng)，實現(xiàn)整個工控系統(tǒng)審計、病毒防護及整體網(wǎng)絡安全監(jiān)測。

1) 工業(yè)控制系統(tǒng)終端(PC和服務器)部署工業(yè)級殺毒系統(tǒng)，實現(xiàn)防御病毒、工控軟件監(jiān)控和系統(tǒng)漏洞自動修復等功能，最大限度杜絕病毒的侵襲，提升工控系統(tǒng)架構安全。

2) 部署工控網(wǎng)絡安全網(wǎng)關，對全網(wǎng)流量監(jiān)測，綜合分析不同時段、不同應用、不同IP段的流量可視化監(jiān)控，分析工控數(shù)據(jù)傳輸瓶頸，為工控網(wǎng)絡故障定位、網(wǎng)絡流量控制優(yōu)化、制定帶寬使用策略提供高效的技術支持，工控網(wǎng)絡安全網(wǎng)關安裝位置如圖2所示。

圖2 工控網(wǎng)絡安全網(wǎng)關部署示意

3) 啟動工控網(wǎng)絡內(nèi)置防火墻，阻止內(nèi)網(wǎng)病毒對工控系統(tǒng)的探測和攻擊。優(yōu)化生產(chǎn)內(nèi)網(wǎng)配置，以工控業(yè)務安全等級需求設置4個廣播域，降低廣播風暴對整個工控網(wǎng)絡的影響。

3 實施效果

3.1 病毒防御

高河能源74臺工控系統(tǒng)主機和服務器部署了工控殺毒系統(tǒng)，從實施以來共抵御病毒和網(wǎng)絡攻擊4 577次，發(fā)現(xiàn)并查殺病毒8 925個，對工控系統(tǒng)網(wǎng)絡安全性能實行監(jiān)視控制。鮑村通風機服務器病毒防護效果如表1所示。

表1 工控鮑村風機服務器病毒防護

3.2 工控網(wǎng)絡流量監(jiān)控

部署工控網(wǎng)絡安全網(wǎng)關，運維人員可以直觀地分析工控生產(chǎn)內(nèi)網(wǎng)系統(tǒng)流量分布、趨勢和主機的連接情況，實現(xiàn)工控網(wǎng)絡流量可視化管理，工控網(wǎng)絡流量分布如圖3所示。

圖3 工控網(wǎng)絡應用業(yè)務流量分布

工控網(wǎng)絡重要設備流量管理如表2所示。

表2 工控網(wǎng)絡重要設備流量管理

通過防病毒控制中心，運維人員可實時了解整個工控網(wǎng)絡病毒防御狀態(tài)，制定針對性的工控網(wǎng)絡安全策略。

工控系統(tǒng)運管技術人員通過工控網(wǎng)絡流量監(jiān)控系統(tǒng)，真正做到了全面掌握網(wǎng)絡流量分布，對網(wǎng)絡優(yōu)化提供了有力的數(shù)據(jù)支撐，并根據(jù)工控業(yè)務實際情況對流量進行控制，及時掌握重要工控設備的運行狀況，提升智能礦井工控系統(tǒng)的安全運維管理水平。

4 結(jié) 語

高河能源工控網(wǎng)絡安全防護系統(tǒng)，實現(xiàn)了工業(yè)控制網(wǎng)絡系統(tǒng)故障診斷、異常告警、病毒防御等安全防護措施，提升了對工控網(wǎng)安全威脅的識別、響應處置能力，構建了智能礦井“免疫系統(tǒng)”，最大限度地保障了智能礦井工業(yè)控制系統(tǒng)穩(wěn)定、高效、安全的運行。