煤炭工業(yè)控制系統(tǒng)是整個煤炭企業(yè)安全生產(chǎn)監(jiān)控系統(tǒng)信息的集成，它需要一個快速、安全、可靠的網(wǎng)絡平臺為大量的信息流動提供支撐，同時要有一個功能全面的安全生產(chǎn)信息應用系統(tǒng)為礦井安全生產(chǎn)提供科學調(diào)度、決策的依據(jù)。做好煤炭企業(yè)工控安全建設是實現(xiàn)生產(chǎn)安全的必要保障。

一、概述

煤炭行業(yè)是指以開采煤炭資源為主的一個產(chǎn)業(yè)，它是國家能源的主要來源之一，也是國家經(jīng)濟的重要支柱之一。

一般能源行業(yè)包括煤炭、石油石化、電力等，而國家《網(wǎng)絡安全法》第三十一條要求：國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網(wǎng)絡安全等級保護制度的基礎上，實行重點保護。所以煤炭的開采和加工屬于能源行業(yè)是國家關鍵基礎設施，應依照國家標準加強網(wǎng)絡安全防護。

中國煤炭資源豐富，主要分布于黑龍江、內(nèi)蒙古、山西、山東、江蘇、河北、陜西、寧夏、河南、貴州、新疆等省份。開采方式采用煤炭掘進機、皮帶以及其他技術將煤炭從地下運出，然后將原煤輸送到選煤廠，利用煤炭和矸石物理、化學性質(zhì)差異，將煤和雜質(zhì)分離出來，加工成商品煤，最終輸送到電廠、化工廠、鋼廠等進行有效的應用。

二、煤炭生產(chǎn)系統(tǒng)架構

2.1. 業(yè)務架構

煤炭生產(chǎn)業(yè)務架構圖

煤炭生產(chǎn)系統(tǒng)主要分為五層，分別為設備層、控制層、生產(chǎn)執(zhí)行層、經(jīng)營管理層和決策支持層。具體包括：

l 設備層包括傳感器、儀器儀表、閥門、射頻識別、攝像頭、皮帶、機械和裝置等，是煤礦進行生產(chǎn)活動的物質(zhì)技術基礎；

l 控制層包括輸煤皮帶系統(tǒng)、選煤廠集控系統(tǒng)、安全監(jiān)控系統(tǒng)、電力監(jiān)控系統(tǒng)、通風系統(tǒng)、供水系統(tǒng)等控制系統(tǒng)，這些控制系統(tǒng)通過各自的PLC對底層設備進行控制；

l 生產(chǎn)執(zhí)行層包括生產(chǎn)管理、調(diào)度管理、安全管理、機電管理等系統(tǒng)，用來對整個生產(chǎn)系統(tǒng)進行集中控制和統(tǒng)一管理；

l 經(jīng)營管理層包括ERP系統(tǒng)、項目管理系統(tǒng)和辦公系統(tǒng)等，通過分析生產(chǎn)數(shù)據(jù)來達到經(jīng)營管理的目的；

l 決策支持層主要通過經(jīng)營管理層提供的數(shù)據(jù)來對整體發(fā)展方向做決策。

2.2. 網(wǎng)絡架構

煤炭生產(chǎn)網(wǎng)絡架構圖

l 煤炭生產(chǎn)網(wǎng)絡主要由工業(yè)以太網(wǎng)構成，分地面工業(yè)以太環(huán)網(wǎng)和井下工業(yè)以太環(huán)網(wǎng)、調(diào)度中心網(wǎng)絡。

l 以上三個網(wǎng)絡由兩臺核心交換機將井下和地面系統(tǒng)連接起來，同地面的調(diào)度中心進行數(shù)據(jù)通訊。

l 調(diào)度中心負責各個系統(tǒng)的數(shù)據(jù)采集和分析、監(jiān)視，以及部分輔助子系統(tǒng)的控制工作。

l 煤炭生產(chǎn)控制主要控制工作在現(xiàn)場各個子系統(tǒng)的控制室完成。

l 煤炭生產(chǎn)控制系統(tǒng)主要控制器品牌：AB和西門子，浙江中控和和利時等。

l 系統(tǒng)主要通訊協(xié)議：OPC、MODBUS、profinet等。

三、風險分析

目前煤礦生產(chǎn)系統(tǒng)逐步實現(xiàn)數(shù)字化礦山的改造和建設，但是網(wǎng)絡安全建設依舊沒有跟上信息化建設的步伐?，F(xiàn)場工業(yè)網(wǎng)絡目前可以實現(xiàn)正常的通訊，滿足基本生產(chǎn)運行，但工控安全防護設備較少，一旦出現(xiàn)問題，可能會影響生產(chǎn)運行，后果不堪設想。筆者總結煤炭企業(yè)存在風險如下：

l 缺乏整體信息安全規(guī)劃；

l 缺乏工控安全管理制度、應急預案、培訓與意識培養(yǎng)；

l 調(diào)度人員有時通過連通互聯(lián)網(wǎng)的手機在調(diào)度室主機U口上充電，導致生產(chǎn)網(wǎng)絡通過手機被打通，造成邊界模糊。

l 主機操作系統(tǒng)老舊，從不升級，極易出現(xiàn)安全漏洞和缺陷；新建系統(tǒng)主機雖然會安裝殺毒軟件，但是為保障生產(chǎn)運行，殺毒軟件一般處于關閉狀態(tài)，這些都存在安全隱患，無法防御“0-DAY”病毒和勒索病毒。

l 調(diào)度人員或運維人員使用帶有病毒的U盤插入主機中，造成整個網(wǎng)絡感染病毒。

l 煤炭生產(chǎn)現(xiàn)場PLC多為西門子或AB的產(chǎn)品，而PLC本身存在漏洞，西門子和AB近些年被曝出存在高危漏洞， 攻擊者可以利用漏洞控制現(xiàn)場設備，執(zhí)行錯誤命令，嚴重影響安全生產(chǎn)。

l 黑客也可通過技術手段潛入生產(chǎn)網(wǎng)絡，獲取關鍵生產(chǎn)數(shù)據(jù)，牟取利益。

四、方案設計

4.1. 設計規(guī)劃

煤炭企業(yè)工控網(wǎng)絡總體信息安全建設，主要從兩大體系進行規(guī)劃：信息安全技術防護體系，信息安全管理體系，結合《工業(yè)控制系統(tǒng)信息安全防護指南》和《GB/T 22239-2008 信息系統(tǒng)安全等級保護基本要求》進行統(tǒng)一規(guī)劃建設。

4.2. 參考標準及法規(guī)

l 《工業(yè)控制系統(tǒng)信息安全防護指南》（工信軟函〔2016〕338號）

l 《GB/T 22239-2008 信息系統(tǒng)安全等級保護基本要求》

l 《網(wǎng)絡安全法》

4.3. 技術設計方案

煤炭生產(chǎn)系統(tǒng)整體防護部署示意圖

l 部署工業(yè)防火墻：控制層與生產(chǎn)執(zhí)行層間無安全防護，煤礦現(xiàn)場控制層可能受到非法的網(wǎng)絡訪問和惡意代碼的入侵，影響控制器的正常工作。在煤礦控制層與生產(chǎn)執(zhí)行層間部署能夠識別工控協(xié)議的工業(yè)防火墻產(chǎn)品，將煤礦控制層與生產(chǎn)執(zhí)行層進行邏輯隔離，并設置嚴格的訪問控制策略，通基于IP、端口、協(xié)議等的訪問控制設置，杜絕控制系統(tǒng)的非法訪問，隔離網(wǎng)絡攻擊和病毒（包含工業(yè)病毒）的跨區(qū)域的串擾，保護工業(yè)環(huán)網(wǎng)的安全運行。

l 部署工控IDS：外部網(wǎng)絡流量需要由執(zhí)行層進入控制層，進入控制層后沒有流量檢測裝置，無法判斷外部流量生產(chǎn)控制層的是否存在異常網(wǎng)絡攻擊、惡意代碼等。在控制層和生產(chǎn)執(zhí)行層邊界交換機旁路部署工控IDS，對進行控制系統(tǒng)的流量進行收集、分析和檢測，實時監(jiān)測外部流入的流量是否存在可能導致控制系統(tǒng)異常的攻擊行為和惡意代碼，若發(fā)現(xiàn)網(wǎng)絡安全威脅可第一時間產(chǎn)品告警，提示運維管理人員采取處置措施。

l 部署主機防護軟件：為保證主機設備的正常運行，煤礦控制系統(tǒng)的操作員站和工程師站基本不安裝殺毒軟件，導致主機設備可能存在未被發(fā)現(xiàn)的惡意代碼程序且無法抵御病毒、木馬等惡意代碼的入侵。在煤礦控制系統(tǒng)的工程師站和操作員站安裝主機防護軟件，使用“白名單”技術固化工程師站和操作員站所能夠運行的應用軟件，惡意代碼軟件、違規(guī)軟件無法在工程師站和操作員站運行，保護工程師站和操作員站不受惡意代碼的破壞，能夠安全穩(wěn)定運行。通過對主機接口的管理，防止外設在主機上隨意使用。

l 部署工控安管平臺：煤礦控制系統(tǒng)在做好信息安全的相關建設或整改后，增加了網(wǎng)絡安全性，但是也增加了一定的管理難度。在控制層部署安全管理平臺，對所使用的安全產(chǎn)品進行統(tǒng)一管理，主要包括數(shù)據(jù)監(jiān)測、日志收集和報警展示，通過使用統(tǒng)一管理平臺可以大大降低運維管理的工作難度和工作量、同時可采集煤礦控制系統(tǒng)的主機設備、網(wǎng)絡設備、安全、業(yè)務軟件的日志進行統(tǒng)一留存和管理，運維管理人員可通過統(tǒng)一管理平臺監(jiān)控全網(wǎng)的報警信息，發(fā)生安全事件后，可第一時間采取處置措施。

4.4. 管理設計方案

煤炭企業(yè)在進行工控安全技術建設的同時，也不能忽視工控安全管理建設，我們在企業(yè)安全建設始終強調(diào)“三分技術，七分管理”。

安全管理體系方面，通過制定和完善工控網(wǎng)絡安全管理制度，形成由安全策略、管理制度、操作規(guī)程等構成的全面的信息安全管理制度保障體系，做到有章可循、有法可依、人人有責的工控網(wǎng)絡和系統(tǒng)安全建設格局。

安全制度管理結合煤炭企業(yè)網(wǎng)絡安全管理工作現(xiàn)狀，筆者建議制定以下文件：《工控安全管理辦法》、《工控安全部門、崗位職責文件》、《工業(yè)控制系統(tǒng)介質(zhì)管理程序》、《工業(yè)控制系統(tǒng)外部人員訪問管理制度》、《工業(yè)控制系統(tǒng)PLC管理制度》、《工控安全事件管理辦法》等工控安全管理制度。

同時通過協(xié)助企業(yè)制定《工控安全應急預案》、《工控安全服務辦法》，定期組織工業(yè)控制系統(tǒng)信息安全培訓，定期進行風險評估等，全面實現(xiàn)企業(yè)整體信息安全防護。

五、小結

方案依據(jù)PPDR（安全策略、保護、檢測和響應）安全保障模型設計，形成“事前防護-事中監(jiān)測-事后響應”的整體安全防護策略。簡化運維管理，不需要頻繁升級特征庫，簡化運維管理工作量，同時能夠防護未知惡意代碼或黑客的攻擊。

該方案符合《信息安全技術 網(wǎng)絡安全等級保護基本要求》的規(guī)定，安全建設內(nèi)容滿足等保及檢查要求。

六、致謝

本文在撰寫過程中，得到中煤集團管理專家楊峰老師、神華集團煤炭安全專家秦偉老師、啟明星辰工控安全專家孟雅輝老師的悉心指導，謹此鳴謝。

來源：FreeBuf