煤礦網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)方案

岳 濤

（晉能控股煤業(yè)集團(tuán)趙莊二號(hào)井，山西 長治 047100）

0 引言

面對(duì)日益嚴(yán)峻的工控系統(tǒng)網(wǎng)絡(luò)環(huán)境，趙莊二號(hào)井煤礦作為國家關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者、工控系統(tǒng)的使用者，一直緊緊圍繞貫徹落實(shí)黨中央、國務(wù)院重大戰(zhàn)略決策，積極推進(jìn)工控安全建設(shè)工作。通過本次工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)建設(shè)，不僅能提高趙莊二號(hào)井煤礦工控安全的整體防護(hù)水平，更能緊跟國家、集團(tuán)相關(guān)要求，實(shí)現(xiàn)國家關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者應(yīng)有的社會(huì)責(zé)任和義務(wù)，滿足煤炭行業(yè)及集團(tuán)對(duì)企業(yè)網(wǎng)絡(luò)與工控系統(tǒng)網(wǎng)絡(luò)安全要求。

1 安全技術(shù)體系設(shè)計(jì)

1.1 現(xiàn)狀分析

1.1.1 安全計(jì)算環(huán)境

根據(jù)煤炭生產(chǎn)網(wǎng)絡(luò)拓?fù)鋱D，趙莊二號(hào)井發(fā)現(xiàn)如下問題：

圖1 趙莊二號(hào)井現(xiàn)狀拓?fù)鋱D

1）煤礦調(diào)度室電腦和各個(gè)生產(chǎn)服務(wù)器未部署方式惡意代碼的軟件，無法對(duì)病毒進(jìn)行防護(hù)，由于工業(yè)系統(tǒng)的特殊性，也無法對(duì)系統(tǒng)補(bǔ)丁進(jìn)行及時(shí)更新。

2）無法對(duì)用戶非法外聯(lián)，非法插拔移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行管控，一旦移動(dòng)存儲(chǔ)介質(zhì)中有病毒，將造成大片調(diào)度電腦，生產(chǎn)服務(wù)器發(fā)生故障，進(jìn)而影響煤礦正常生產(chǎn)。

3）缺乏有效的手段對(duì)各個(gè)工業(yè)控制系統(tǒng)服務(wù)器主機(jī)，操作系統(tǒng)進(jìn)行風(fēng)險(xiǎn)監(jiān)控。

根據(jù)煤炭辦公網(wǎng)絡(luò)拓?fù)鋱D，趙莊二號(hào)井發(fā)現(xiàn)如下問題：

1）各個(gè)辦公電腦和服務(wù)器未部署方式惡意代碼的軟件，無法統(tǒng)一對(duì)病毒進(jìn)行防護(hù)，無法對(duì)病毒庫進(jìn)行升級(jí)。

2）無法及時(shí)發(fā)現(xiàn)辦公電腦系統(tǒng)漏洞，并進(jìn)行統(tǒng)一的打補(bǔ)丁操作。

1.1.2 安全區(qū)域邊界

經(jīng)過對(duì)煤礦生產(chǎn)網(wǎng)和辦公網(wǎng)調(diào)研，趙莊二號(hào)井發(fā)現(xiàn)如下問題：

1）煤炭專網(wǎng)和生產(chǎn)網(wǎng)之間未進(jìn)行有效隔離，無妨對(duì)工業(yè)協(xié)議進(jìn)行深度解析，無法對(duì)非法工業(yè)操作進(jìn)行識(shí)別和阻止。

2）無法對(duì)可能的入侵行為進(jìn)行檢測和阻止，一旦發(fā)生網(wǎng)絡(luò)安全事故，煤礦沒有能力對(duì)攻擊進(jìn)行及時(shí)阻止和實(shí)時(shí)預(yù)警。

3）在生產(chǎn)網(wǎng)內(nèi)部未對(duì)非法操作行為，非法流量進(jìn)行審計(jì)和日志記錄，不便于日后發(fā)生網(wǎng)絡(luò)安全事故進(jìn)行溯源。

4）井下無線網(wǎng)與辦公網(wǎng)之間為未進(jìn)行有效隔離，存在一定風(fēng)險(xiǎn)，不符合等保要求。

1.1.3 安全管理中心

經(jīng)過對(duì)煤礦生產(chǎn)網(wǎng)調(diào)研，趙莊二號(hào)井發(fā)現(xiàn)如下問題：

1）未建立安全管理中心，根據(jù)等保2.0的要求，應(yīng)建立安全管理中心。

2）未對(duì)重要設(shè)備操作行為進(jìn)行審計(jì)，未對(duì)操作用戶進(jìn)行權(quán)限鑒別，因此無法判斷是那個(gè)用戶在什么時(shí)間進(jìn)行了什么操作。

3）未對(duì)設(shè)備日志進(jìn)行統(tǒng)一管理，在發(fā)生網(wǎng)絡(luò)安全事件時(shí)，增加了安全人員溯源的難度。

4）生產(chǎn)網(wǎng)對(duì)所有安全設(shè)備網(wǎng)絡(luò)設(shè)備的流量，日志進(jìn)行統(tǒng)一管理并進(jìn)行分析，尤其是對(duì)工業(yè)協(xié)議的解析。

經(jīng)過對(duì)煤礦辦公網(wǎng)調(diào)研，趙莊二號(hào)井發(fā)現(xiàn)如下問題：

1）辦公網(wǎng)無法檢測到未知攻擊，不能及時(shí)預(yù)警。

2）無法對(duì)辦公網(wǎng)內(nèi)的電腦進(jìn)行統(tǒng)一管理，不能及時(shí)發(fā)現(xiàn)病毒進(jìn)行查殺。

1.2 安全計(jì)算環(huán)境建設(shè)

1）各個(gè)調(diào)度電腦和生產(chǎn)服務(wù)器安裝工控主機(jī)衛(wèi)士，工控主機(jī)衛(wèi)士主要針對(duì)煤礦生產(chǎn)子系統(tǒng)無法安裝傳統(tǒng)殺毒軟件的痛點(diǎn)出發(fā)，采用基于白名單的主機(jī)加固方案來對(duì)現(xiàn)有系統(tǒng)文件進(jìn)行加固，防止病毒入侵服務(wù)器和電腦后進(jìn)行破壞；同時(shí)針對(duì)調(diào)度人員非法插USB設(shè)備進(jìn)行管控，防止U盤帶毒感染工業(yè)控制系統(tǒng)，同時(shí)防止操作人員非法卸載關(guān)閉主機(jī)衛(wèi)士進(jìn)行管控。

2）在赫斯曼交換機(jī)或者各個(gè)生產(chǎn)服務(wù)器區(qū)的匯聚交換機(jī)旁掛工控漏洞掃描系統(tǒng)，對(duì)各個(gè)生產(chǎn)子系統(tǒng)服務(wù)器，生產(chǎn)子系統(tǒng)，井下PLC等工業(yè)設(shè)備進(jìn)行資產(chǎn)的識(shí)別，漏洞的掃描發(fā)現(xiàn)，并對(duì)漏洞提出整改意見報(bào)告，協(xié)助用戶進(jìn)行安全整改。

1.3 安全區(qū)域邊界建設(shè)

1）工業(yè)防火墻至關(guān)重要，在辦公區(qū)域網(wǎng)絡(luò)和生產(chǎn)區(qū)域網(wǎng)絡(luò)進(jìn)行部署，替換原先的網(wǎng)閘，對(duì)工業(yè)協(xié)議進(jìn)行深度解析，同時(shí)通過ACL策略來進(jìn)行訪問控制策略的部署，防止煤炭專網(wǎng)和集團(tuán)網(wǎng)下發(fā)帶有非法操作的工業(yè)指令。

2）在無線網(wǎng)邊界與辦公網(wǎng)之間部署工業(yè)防火墻，一方面對(duì)工業(yè)協(xié)議進(jìn)行解析，另一方面是通過工業(yè)防火墻內(nèi)部的入侵檢測和病毒過濾功能來對(duì)入侵和病毒進(jìn)行防御和阻止。

3）在上傳區(qū)與生產(chǎn)網(wǎng)之間部署網(wǎng)閘（利舊），對(duì)數(shù)據(jù)上傳業(yè)務(wù)進(jìn)行防護(hù)。

1.4 安全管理中心建設(shè)

1）部署日志審計(jì)系統(tǒng)，采集并分析安全設(shè)備，網(wǎng)絡(luò)設(shè)備的日志進(jìn)行分析。

2）部署運(yùn)維審計(jì)系統(tǒng)，對(duì)資產(chǎn)（安全設(shè)備，服務(wù)器，web頁面）進(jìn)行管理，統(tǒng)一對(duì)操作行為進(jìn)行審計(jì)管理，防止誤操作。

3）部署工控安全檢測審計(jì)平臺(tái)，對(duì)工業(yè)流量進(jìn)行審計(jì)，并及時(shí)報(bào)警非法流量。

4）部署工控安全態(tài)勢感知平臺(tái)對(duì)整個(gè)工業(yè)環(huán)境進(jìn)行監(jiān)控，同時(shí)對(duì)接日志審計(jì)，工控安全檢測審計(jì)平臺(tái)等一列產(chǎn)品，形成對(duì)整個(gè)工業(yè)環(huán)境的態(tài)勢感知，包括對(duì)非法操作，敏感信息，非法入侵等進(jìn)行集中展示，同時(shí)根據(jù)公司自身現(xiàn)狀定制化態(tài)勢感知平臺(tái)場景應(yīng)用等。

5）部署APT攻擊預(yù)警平臺(tái)對(duì)為未知攻擊，未知文件進(jìn)行檢測，一旦匹配攻擊樣本，APT將會(huì)進(jìn)行報(bào)警，通知管理人員進(jìn)行阻斷。

6）部署EDR對(duì)辦公網(wǎng)內(nèi)的電腦進(jìn)行集中管理，統(tǒng)一殺毒，統(tǒng)一補(bǔ)丁修補(bǔ)，對(duì)病毒流量進(jìn)行隔離。

2 安全管理體系設(shè)計(jì)

2.1 安全管理制度

以安全管理體系為核心，相關(guān)管理規(guī)定及制度辦法圍繞管理體系進(jìn)行制定。具體的規(guī)定及制度辦法，必須遵循政策文件中所要求的安全原則、安全方法和安全策略，同時(shí)保持較強(qiáng)的可操作性，能夠得到廣泛的推廣和有效果的實(shí)施。

發(fā)布流程、管理方法和管理范圍必須經(jīng)過嚴(yán)密的制定，保持系統(tǒng)格式高度統(tǒng)一，系統(tǒng)版本需要有效的控制，同時(shí)經(jīng)過正規(guī)有效的途徑進(jìn)行發(fā)布，發(fā)布范圍要明確標(biāo)注，要詳細(xì)的登記所接收和發(fā)布的文件。

信息安全管理部門負(fù)責(zé)組織專業(yè)人員對(duì)安全管理體系的合理性進(jìn)行定期審核，同時(shí)對(duì)管理體系的適用性進(jìn)行驗(yàn)證，對(duì)出現(xiàn)的問題進(jìn)行及時(shí)修訂，如修訂后內(nèi)容仍不充分需進(jìn)行改進(jìn)。

2.2 安全管理機(jī)構(gòu)

1）以安全管理體系為核心，建立安全管理的具體組織方式，明確安全管理的運(yùn)行機(jī)制；

2）設(shè)置安全、系統(tǒng)、網(wǎng)絡(luò)管理員等崗位，并相應(yīng)配備符合要求的工作人員，配備專職負(fù)責(zé)安全的人員；成立領(lǐng)導(dǎo)小組，對(duì)信息安全方面的工作進(jìn)行全方位的指導(dǎo)管理，組長由單位負(fù)責(zé)人指派或授權(quán)；制定文件，明確安全管理機(jī)構(gòu)各部門、各崗位的職責(zé)、分工和技能要求。

3）建立授權(quán)與審批制度；

4）建立內(nèi)外部溝通合作渠道；

5）定期進(jìn)行全面的安全檢查，尤其是系統(tǒng)的日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等。

2.3 人員安全管理

以安全管理體系為核心，針對(duì)人員招聘、員工離崗、績效考核、員工培訓(xùn)等制定相關(guān)規(guī)定，并參照規(guī)定嚴(yán)格執(zhí)行；針對(duì)外部人員制定明確的準(zhǔn)入流程，并參照流程嚴(yán)格執(zhí)行。

2.4 系統(tǒng)建設(shè)管理

以安全管理體系為核心，針對(duì)系統(tǒng)構(gòu)建研究開發(fā)管理系統(tǒng)，開發(fā)原則應(yīng)符合系統(tǒng)等級(jí)、系統(tǒng)全方位安全設(shè)計(jì)、產(chǎn)品供銷、軟件開發(fā)、項(xiàng)目實(shí)施、測試驗(yàn)收、日志記錄、等級(jí)評(píng)價(jià)、安全服務(wù)等基本要求。從項(xiàng)目開展的前期階段、中期階段、后期階段3個(gè)方面，從最開始的等級(jí)設(shè)計(jì)到最終的驗(yàn)收評(píng)價(jià)，圍繞項(xiàng)目開展的整個(gè)周期的角度進(jìn)行系統(tǒng)構(gòu)建管理。

3 安全運(yùn)營體系設(shè)計(jì)

3.1 定級(jí)備案服務(wù)

根據(jù)等級(jí)保護(hù)定級(jí)備案表和信息系統(tǒng)定級(jí)報(bào)告，完成定級(jí)備案過程。

圖2 定級(jí)流程圖

3.2 等級(jí)保護(hù)管理體系設(shè)計(jì)

信息安全管理體系建設(shè)，依據(jù)等級(jí)保護(hù)基本要求、ISO27001及客戶相關(guān)制度和標(biāo)準(zhǔn)，建立全面的安全管理模式，包括詳細(xì)的安全策略、完善的管理制度和可行性強(qiáng)的操作規(guī)程。

圖3 管理體系

3.3 安全漏洞檢測設(shè)計(jì)

在系統(tǒng)服務(wù)范圍內(nèi)，針對(duì)各種軟硬件設(shè)備進(jìn)行全面的掃描和分析，掃描范圍包括網(wǎng)絡(luò)層、系統(tǒng)層、數(shù)據(jù)庫和應(yīng)用層。掃描過程中所使用的規(guī)則庫應(yīng)涵蓋各類標(biāo)準(zhǔn)，如CVE、CNVD等。掃描結(jié)束后如果出現(xiàn)系統(tǒng)漏洞、口令有風(fēng)險(xiǎn)、數(shù)據(jù)庫配置不合理等問題，需要通過人工進(jìn)行驗(yàn)證，同時(shí)出具最終有效的檢測報(bào)告，并提出在檢測中所出現(xiàn)問題的解決方案。

3.4 安全運(yùn)營服務(wù)設(shè)計(jì)

定期收集客戶所使用系統(tǒng)的入侵檢測設(shè)備、入侵防御設(shè)備以及防火墻的日志，進(jìn)行全面分析，對(duì)入侵信息的真假進(jìn)行嚴(yán)格篩選，同時(shí)根據(jù)當(dāng)前網(wǎng)絡(luò)系統(tǒng)的真實(shí)情況，對(duì)網(wǎng)絡(luò)系統(tǒng)的安全態(tài)勢進(jìn)行診斷，如果發(fā)現(xiàn)有事件正在入侵網(wǎng)絡(luò)或者嘗試著入侵網(wǎng)絡(luò)，發(fā)出警告立即通知客戶并且根據(jù)入侵事件提供完整的技術(shù)措施阻止其繼續(xù)入侵，同時(shí)對(duì)目前所使用的策略進(jìn)行進(jìn)一步的優(yōu)化。

3.5 信息安全加固優(yōu)化

信息系統(tǒng)的加固主要包括3個(gè)方面：網(wǎng)絡(luò)設(shè)備加固、操作系統(tǒng)加固和應(yīng)用系統(tǒng)加固。

1）網(wǎng)絡(luò)設(shè)備安全加固。提供的網(wǎng)絡(luò)服務(wù)不是必要的需要禁用、網(wǎng)絡(luò)配置存在隱患的需要修改、對(duì)設(shè)備的訪問需要根據(jù)原則進(jìn)行控制、系統(tǒng)軟件版本落后需要及時(shí)進(jìn)行更新升級(jí)、物理保護(hù)環(huán)境應(yīng)該嚴(yán)格按照IPP要求進(jìn)行設(shè)計(jì)。

2）操作系統(tǒng)安全加固。系統(tǒng)補(bǔ)丁需要嚴(yán)格按時(shí)檢查、停止一切不是必須提供的服務(wù)、訪問權(quán)限存在不合理的需要修改、安全策略按照最優(yōu)方案進(jìn)行修改、賬戶與密碼的安全強(qiáng)度需要嚴(yán)格檢查、開啟審核策略、關(guān)閉不重要或不常用的端口等。

3）應(yīng)用系統(tǒng)（WEB系統(tǒng)、數(shù)據(jù)庫）安全加固。對(duì)要使用的操作數(shù)據(jù)庫軟件（程序）進(jìn)行必要的安全審核，比如對(duì)ASP、PHP等腳本，這是很多基于數(shù)據(jù)庫的WEB應(yīng)用常出現(xiàn)的安全隱患，對(duì)于腳本主要是一個(gè)過濾問題，需要過濾一些類似“,”、“′”、“;”、“@”、“/”等字符，防止破壞者構(gòu)造惡意的SQL語句。安裝最新的補(bǔ)丁，使用安全的密碼、賬號(hào)策略，加強(qiáng)日志的記錄審核，修改默認(rèn)端口，使用加密協(xié)議，加固TCP/IP端口，對(duì)網(wǎng)絡(luò)連接進(jìn)行IP限制等。加固流程圖見圖4。

圖4 加固流程

4 結(jié)語

在安全管理體系建設(shè)過程中，技術(shù)和管理的融合顯得尤為重要，缺一不可，不論忽視技術(shù)還是忽視管理都將對(duì)工作產(chǎn)生巨大的安全風(fēng)險(xiǎn)和安全隱患，因此技術(shù)建設(shè)和管理建設(shè)需同步進(jìn)行。本文運(yùn)用現(xiàn)代信息技術(shù)和科學(xué)的管理手段，采用先進(jìn)的安全設(shè)備和前沿的大數(shù)據(jù)分析技術(shù)，進(jìn)行統(tǒng)一的安全規(guī)劃，科學(xué)實(shí)施，功能齊全、技術(shù)先進(jìn)的、安全穩(wěn)定，進(jìn)一步保障了煤礦的網(wǎng)絡(luò)安全。