近年來某能源集團(tuán)深入貫徹落實 “四個革命、一個合作”能源安全新戰(zhàn)略，堅持新發(fā)展理念，加快新一代信息技術(shù)與煤炭產(chǎn)業(yè)深度融合，推進(jìn)集團(tuán)煤炭產(chǎn)業(yè)高端化、智能化、綠色化轉(zhuǎn)型升級，實現(xiàn)煤炭開采利用方式的變革，提升煤礦智能化和安全水平，促進(jìn)煤炭行業(yè)高質(zhì)量發(fā)展。其下屬的某露天礦是全國單坑生產(chǎn)能力最大的露天煤礦之一，也是蒙東地區(qū)重要煤炭生產(chǎn)基地，生產(chǎn)現(xiàn)場屬于極寒型復(fù)雜氣候環(huán)境（零下40攝氏度以下）。作為集團(tuán)的重要組成部分，其安全生產(chǎn)與經(jīng)濟(jì)發(fā)展、社會穩(wěn)定緊緊聯(lián)系在一起。

需求分析

在煤礦數(shù)字化、網(wǎng)絡(luò)化、智能化發(fā)展的同時，網(wǎng)絡(luò)安全隱患和風(fēng)險陡然加劇，眾多信息系統(tǒng)從彼此孤立向數(shù)據(jù)互通、系統(tǒng)互聯(lián)的全聯(lián)通方向發(fā)展，給煤礦智能化帶來的新安全挑戰(zhàn)與風(fēng)險。

（一）標(biāo)準(zhǔn)合規(guī)性需求

露天煤礦要加快完成工控安全防護(hù)體系的建設(shè)工作，使之符合《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T 22239-2019）、《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》（GB/T 39786-2021）、《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》及露天煤礦智能化工控安全相關(guān)要求。

（二）業(yè)務(wù)安全性需求

從該露天煤礦工控網(wǎng)絡(luò)與架構(gòu)、工控系統(tǒng)現(xiàn)場控制與過程監(jiān)控層及工控協(xié)議安全三個層面進(jìn)行需求分析。

工控網(wǎng)絡(luò)與架構(gòu)：此露天煤礦的自動化系統(tǒng)種類較多，且煤礦工業(yè)控制網(wǎng)、調(diào)度網(wǎng)、視頻監(jiān)控網(wǎng)、DMZ區(qū)等，形成互聯(lián)互通、多網(wǎng)互聯(lián)的關(guān)系。通過現(xiàn)場勘查，隔離措施和隔離強(qiáng)度有待提高，否則容易引發(fā)各網(wǎng)絡(luò)跨網(wǎng)交換非授權(quán)訪問風(fēng)險以及子域間病毒橫向傳播風(fēng)險。工控系統(tǒng)現(xiàn)場控制與過程監(jiān)控層：本露天煤礦工控系統(tǒng)服務(wù)器身份鑒別措施需要加強(qiáng)，遠(yuǎn)程維護(hù)管理和有效審計運維操作能力有待提升，其中需完善重要數(shù)據(jù)庫有效的安全審計措施；礦內(nèi)的設(shè)備（包括網(wǎng)絡(luò)設(shè)備、服務(wù)器等）類型眾多，產(chǎn)生的大量分散的安全日志信息，急需有效的技術(shù)措施對分散、海量的日志進(jìn)行統(tǒng)一采集、關(guān)聯(lián)分析及態(tài)勢分析。

工控協(xié)議安全需求：當(dāng)前在煤礦工控網(wǎng)絡(luò)中，各類安全威脅不斷涌入控制系統(tǒng)，煤礦企業(yè)內(nèi)部需完善對工業(yè)流量監(jiān)測審計的手段，針對工控系統(tǒng)協(xié)議層面存在的惡意攻擊、異常流量進(jìn)行審計，并對工控指令攻擊和控制參數(shù)篡改進(jìn)行實時監(jiān)測和告警，避免網(wǎng)絡(luò)入侵輕易成功，導(dǎo)致安全生產(chǎn)事故的發(fā)生。

（三）新技術(shù)安全需求

移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)接入等新技術(shù)大量應(yīng)用在露天煤礦，新技術(shù)的應(yīng)用對智能化煤礦提出新的安全要求。該露天煤礦已完成礦區(qū)4G專網(wǎng)、5G SA獨立組網(wǎng)、極寒氣候五車編組連續(xù)運行、全天候不間斷作業(yè)、車內(nèi)無安全員作業(yè)等建設(shè)環(huán)節(jié)。

（四）工程快速交付需求

用戶對于項目快速交付有著強(qiáng)烈的需求，而此露天煤礦位于內(nèi)蒙古呼倫貝爾草原中部，每年礦區(qū)都會出現(xiàn)零下四五十?dāng)z氏度的極寒天氣，限制著礦區(qū)的生產(chǎn)作業(yè)，對于本次工控安全實施交付也是一大挑戰(zhàn)。

工控安全防護(hù)解決方案

安盟信息克服極寒型復(fù)雜環(huán)境，通過實地調(diào)研總結(jié)智能化露天礦網(wǎng)絡(luò)安全現(xiàn)狀，對工控網(wǎng)絡(luò)與架構(gòu)、現(xiàn)場控制與過程監(jiān)控層、工控協(xié)議安全、4G/5G專網(wǎng)防護(hù)進(jìn)行安全防護(hù)設(shè)計，結(jié)合公司工程交付服務(wù)能力，構(gòu)建穩(wěn)定、可靠、先進(jìn)、高效的工控網(wǎng)絡(luò)安全防護(hù)體系，為智能化露天煤礦安全生產(chǎn)提供保障。

某露天礦工控安全防護(hù)拓?fù)涫疽鈭D

（一）工控網(wǎng)絡(luò)及架構(gòu)安全設(shè)計

針對智能化露天煤礦的網(wǎng)絡(luò)架構(gòu)特點及相關(guān)標(biāo)準(zhǔn)規(guī)范要求，進(jìn)行分層、分區(qū)、劃域，各層次、區(qū)域之間采用合理的安全防護(hù)措施。

（二）現(xiàn)場控制層及過程監(jiān)控層安全設(shè)計

部署工業(yè)安全隔離裝置實現(xiàn)過程監(jiān)控層與煤礦信息化層的高安全隔離和可控數(shù)據(jù)交換。

過程監(jiān)控層安全管理中心部署堡壘機(jī)，監(jiān)控和記錄第三方運維人員對工控網(wǎng)絡(luò)內(nèi)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫等設(shè)備的操作行為，以便發(fā)現(xiàn)異常及時報警、及時處理及審計定責(zé)。

過程監(jiān)控層調(diào)度中心旁路部署數(shù)據(jù)庫審計系統(tǒng)，對數(shù)據(jù)庫訪問行為、數(shù)據(jù)庫流量與狀態(tài)監(jiān)控，幫助管理員深入了解數(shù)據(jù)庫系統(tǒng)的應(yīng)用與訪問情況，保障數(shù)據(jù)庫的正常運行和核心數(shù)據(jù)資產(chǎn)的安全。

過程監(jiān)控層安全管理中心旁路部署日志審計對各類設(shè)備、服務(wù)器、終端主機(jī)等的日志進(jìn)行統(tǒng)一收集與存儲，滿足網(wǎng)絡(luò)安全法相關(guān)要求。

過程監(jiān)控層安全管理中心建設(shè)安全態(tài)勢感知，露天煤礦企業(yè)的網(wǎng)絡(luò)態(tài)勢進(jìn)行分析、預(yù)警及準(zhǔn)入控制，并對異常報警行為形成工單分配給人工進(jìn)行干預(yù)處理，同時與相應(yīng)防護(hù)設(shè)備進(jìn)行協(xié)同防御。

（三）4G/5G專網(wǎng)防護(hù)設(shè)計

在4G專網(wǎng)邊界、5G專網(wǎng)邊界部署防火墻，實現(xiàn)對邊界進(jìn)行細(xì)顆粒度（基于源、目的IP、源、目的端口、應(yīng)用、服務(wù)等）的訪問控制，同時開啟入侵防御功能，基于模式匹配、異常檢測、統(tǒng)計分析等入侵檢測和協(xié)議分析技術(shù)，阻擋各種入侵攻擊。

（四）工控協(xié)議安全設(shè)計

生產(chǎn)網(wǎng)核心交換機(jī)旁路部署工業(yè)應(yīng)用審計系統(tǒng)對工控網(wǎng)絡(luò)中的流量通信、操作行為等進(jìn)行審計及預(yù)警；

生產(chǎn)網(wǎng)核心交換機(jī)旁路部署入侵檢測系統(tǒng)實時監(jiān)測工控網(wǎng)絡(luò)異常流量，對異常的、入侵行為的數(shù)據(jù)進(jìn)行檢測和告警。

（五）工程交付服務(wù)保障

安盟信息工程服務(wù)團(tuán)隊交付過多個煤炭行業(yè)項目，具備豐富的同類項目實施經(jīng)驗。在項目交付階段，迅速成立工程項目組。在極寒型復(fù)雜環(huán)境的露天礦現(xiàn)場建立以工程項目組為核心的服務(wù)機(jī)構(gòu)，依托公司高效高質(zhì)的安全服務(wù)體系，保證高質(zhì)量、短工期完成本項目的交付，滿足用戶對于項目快速交付的需求。

后續(xù)安盟信息將持續(xù)為用戶提供高質(zhì)高效的售后服務(wù)，確保系統(tǒng)穩(wěn)定運行，協(xié)助用戶構(gòu)建露天煤礦工控安全運營體系。 

方案價值

滿足標(biāo)準(zhǔn)合規(guī)性要求

符合《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》 (GBT22239-2019)、《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》（GB/T 39786-2021）、《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》及露天煤礦工控安全相關(guān)政策、標(biāo)準(zhǔn)及監(jiān)管要求。

構(gòu)建露天煤礦體系化安全

通過強(qiáng)化露天煤礦區(qū)域內(nèi)網(wǎng)絡(luò)、服務(wù)器運維及數(shù)據(jù)的安全防護(hù)，大大增強(qiáng)了現(xiàn)場控制層、過程監(jiān)控層的整體安全防護(hù)能力，確保露天煤礦安全生產(chǎn)可持續(xù)運營，構(gòu)建以貼合露天煤礦生產(chǎn)業(yè)務(wù)的縱深防護(hù)安全體系。

提升露天煤礦生產(chǎn)安全性

解決方案深度融合露天煤礦工控系統(tǒng)，降低露天煤礦企業(yè)的安全運營風(fēng)險，提高安全運維效率，為露天煤礦智能化、智慧化建設(shè)提供可靠的安全保障。

促進(jìn)露天煤礦智能化發(fā)展

通過建設(shè)露天煤礦工控安全防護(hù)體系，可解決露天煤礦智能化建設(shè)過程中帶來的信息安全風(fēng)險，保障露天煤礦工控系統(tǒng)、智能化系統(tǒng)安全及設(shè)備可靠運轉(zhuǎn)，同時促進(jìn)露天煤礦少人、無人智能化業(yè)務(wù)的目標(biāo)。

落實集團(tuán)網(wǎng)絡(luò)安全重要戰(zhàn)略舉措

本項目安全建設(shè)促進(jìn)了集團(tuán)煤炭板塊網(wǎng)絡(luò)安全相關(guān)規(guī)范與制度的落實及完善，而且從技術(shù)上以邊界防護(hù)為重點、數(shù)據(jù)庫審計、日志審計、運維審計、工控協(xié)議分析、態(tài)勢分析為抓手，提升露天煤礦的工控安全防護(hù)能力。

面對當(dāng)下工業(yè)互聯(lián)網(wǎng)、智能5G煤礦等新興業(yè)務(wù)模式的轉(zhuǎn)型升級，煤礦企業(yè)網(wǎng)絡(luò)安全防護(hù)能力也要不斷提升！安盟信息將結(jié)合在能源行業(yè)的安全建設(shè)經(jīng)驗進(jìn)一步提升煤礦行業(yè)的安全防護(hù)建設(shè)能力，在滿足防護(hù)合規(guī)的基礎(chǔ)上，深度結(jié)合煤礦業(yè)務(wù)場景，構(gòu)建煤礦企業(yè)的網(wǎng)絡(luò)安全防護(hù)新屏障！