▍背景介绍
非煤智能化是有色金属工业高质量发展的核心技术支撑,将人工智能、工业物联网、云计算、大数据、机器人、智能装备等与现代有色金属开发利用深度融合,形成全面感知、实时互联、分析决策、自主学习、动态预测、协同控制的智能系统,实现非煤开拓、采掘(剥)、运输、通风、洗选、安全保障、经营管理等过程的智能化运行,对于提升非煤安全生产水平、保障有色金属稳定供应具有重要意义。
随着非煤智能化的逐步发展,越来越多的生产数据需要进行分析,用以把控精细化生产流程,这也使得生产网络与办公网络连通关系越见复杂。另一方面上级部门的安全监管要求也越见增多,大量的作业现场视频、井下环境参数需要确保完成上报。使业务生产的正常开展也与智能化系统紧密联系在一起,这也带来了越来越多的不安全因素,逐渐成为影响企业生产的致命风险隐患。
随着非煤智能化的快速发展,生产效率的提高也越来越依赖于信息化系统,随着日常问题的发现,非煤的信息安全发展速度普遍落后于智能化建设速度,一旦出现问题将会影响正常生产,建设一体化的网络安全管控体系迫在眉睫。
▍网络安全风险和需求分析
随着非煤智能化的发展,几乎所有生产都会进行数据分析来进行生产精细化流程,生产网络与管理办公网络有了越来越多的连通关系。来自上级监管机构的安全监管要求也逐渐严格,现场作业视频、井下环境参数也需要通过专线网络进行上报。这也为生产网络的工业控制系统和设备、业务系统和生产设备带来了越来越多的不安全因素,带来的网络风险也成为了企业生产最大的最致命的风险隐患。
面对严峻的信息安全环境,做好非煤企业生产系统网络安全防护工作,是贯彻落实国家网络安全法、网络安全等级保护制度和国家监管机构相关文件要求的体现。企业要遵从网络安全与信息化工作同步规划、同步建设、同步运行的“三同步”原则,坚持“谁主管、谁负责,谁运营、谁负责”的要求,切实落实安全主体责任制。
【普遍网络现状】
非煤的生产网和办公网界线较为模糊,并没有较为严格的隔离。真正的生产网部分主要由井上、井下的万兆环网组成,视频和生产大多共用一张网,部分环网根据各个业务系统划分了不同的Vlan。办公网存在部分无线接入方式,无线和有线的接入均未做控制。安全监控系统网络一般是单独的网络,没有与办公网、生产网连接。生活区一般单独建立无线互联网接入。
生产网中除了部署了一些终端防护软件和在工业交换机上部署了一些策略外,没有其他的安全防护措施。生产网终端一般是没有技术防护手段。
办公网的互联网出口处一般部署有防火墙、上网行为、入侵防御等防护措施。办公终端均为员工自行安装免费的杀毒软件,没有进行统一管控。
【网络入侵风险】
虽然在办公网互联网出口处部署有一些安全产品,但大多控制策略粗放且没有临时策略回收机制,长期以来无专人维护,并不能形成有效的防护能力。
不同的业务系统只是进行vlan区分,并没有进行严格的隔离和策略限制,一旦工业控制网络中的某一台主机感染了病毒或恶意软件,很容易快速扩展至整个网络。
各个网域之间直接互通,并无有效控制手段,没有对私自联入网络的行为进行限制,且存在私接无线的问题,一直存在难以管理的问题。
网内无入侵监测类设备,无法发现网络流量中的异常入侵及攻击行为,一旦被入侵很可能会造成十分严重的攻击事件。
工业主机管理不到位,存在被黑客利用或病毒软件感染的风险。主要体现在工业主机未封闭USB接口,甚至仍然存在移动传输介质使用;工业主机的账户密码以文件形式存储在主机上并向网络共享,账户密码为弱口令且为厂商初始设置;大量工业主机使用过期的、缺少补丁的windows操作系统等。
【全运维管理】
随着智能化系统的增多,很多系统需要系统原厂商进行定期技术支持,存在这不少远程接入支持的现状。这些运维过程中常使用一些风险较大的免费软件,网络连接本身就产生了较大的安全隐患。另一方面还常使用高权限账户,存在高危指令的误操作风险,在不能责任到人的情况下,很难做到监督管控。
【集团统一管理】
随着国家对央企网络安全工作的管理要求逐步加强,集团企业需要对下属各级公司实现层级管理,建立“一把手”负责制,层层落实推进。以现有的基础网络情况,无法对网络安全事故进行预警和分析,缺少统一安全管理能力。
▍网络安全解决方案
依据国家相关会议的具体要求,主要以网络架构的梳理,分区分域,对重要的安全域进行安全防护,包括井下生产环网的边界防护,井上核心网的安全审计、入侵检测、安全运维、生产网与办公网之间的安全隔离、全网的终端安全防护,以及办公区和生活区的安全防护,以最小的安全防护原则来实现整个智能化非煤的安全稳定运行。
保障业务安全运行的情况下对重要区域的边界防护、入侵检测、安全审计、终端防护和安全运维等几个方面做重点防护,具体防护如下:
1、生产网与办公网互联链路上,新增工控网闸系统,实现对边界的安全隔离与数据的安全交换,同时在核心交换机上旁路部署公开安全审计,侧重对生产网与办公网链路,以及与其他系统的通信数据进行流量监测与审计,配合安全防护系统进行特定风险的安全防护。
2、生产网安全域边界串行部署工控防火墙系统,实现网络隔离与访问控制,可基于工控行为白名单的机制进行各安全域的边界防护。环网内旁路部署安全审计系统,实现对网内工控行为合规性检查,对异常行为识别与审计告警,配合网关防护设备进行策略调优,加强对安全域边界的防护力度。
3、全网的各类操作站、工程师站以及数据服务器上安装主机安全卫士,对主机系统强安全管控,实现程序白名单、基线加固、精准防御工业类病毒、外设接入控制、网络访问控制等功能。
4、在办公网中的数据中心的部署下一代防火墙。通过自主研发的深度检测技术,实时监控办公网络中的网络环境,基于内置的入侵防御特征库和病毒防护特征库,发现威胁,拦截阻断,实现安全域的防护。
5、针对部署入侵检测及漏洞扫描,及时发现自身的威胁情况,做到基于自身情况的主动防御。
6、在互联网出口部署支持国密算法的SSL VPN并与账号管理及运维审计系统联用,实现对外部接入三方用户的权限精准控制及操作审计。
7、新增安全管理中心域,部署安全管理平台、堡垒主机等工控安全集中管理措施,辅助安全运维人员实现对全网安全风险集中感知、分析、告警与处置的综合安全管理能力,同时对安全运维权限与行为进行集中管理与合规性审计。
8、在集团总部部署统一的管控平台,对下属多家企业进行网络安全信息集中管控,并预留接入能力,最终可实现全部下属企业的统一汇聚展示及管控。
▍用户价值
安全合规
满足等保合规要求,响应工业互联网安全指导意见:项目按照生产网等保三级标准、办公网等保二级标准规划。满足等级保护的基本要求,解决的等级保护高风险项,能够符合等级保护的测评条件。按照《工业互联网安全标准体系(2021年)》的分类分级安全防护、安全管理及安全应用服务的标准体系进行规划设计,为后续根据细化要求完成强化工业互联网企业安全防护能力,推动网络安全产业高质量发展建立了坚实的基础。
建立纵深防御体系,安全管理实战化:
方案以生产系统为核心,以工业协议“白名单”为基础,以等级保护的“提出了“三化六防”思想为准绳,将“实战化,体系化,常态化”落到实处,突出“动态防御,主动防御,纵深防御,精准防护,整体防护,联防联控”的日常防护能力,有效的保障系统、通信、应用等各层面安全,提高整体安全防护能力和水平,保障生产业务稳定运行。
经济效益
直接经济效益:为煤业集团下属企业安全防护体系建设提供标准参考依据,为企业转型升级提供一体化安全解决方案,切实保障企业生产安全和数据安全,有效提升企业生产控制网络的信息安全技术水平,减少和避免因网络信息安全事故对企业造成的经济损失,起到降低运营成本、缩短产品研制周期、提高生产效率、减低产品不良品率、满足合规要求和提高能源利用率的作用。
间接经济效益:以非煤智能化的样板工程为基准,通过结合自身工艺特点和管理理念形成适合行业的定制化标准体系,既能够快速的在企业内部其他厂区快速推广,降低采购成本及运维成本,同时也为树立行业标杆奠定基础,不断扩大行业影响力以及市场声誉。