近年來某能源集團深入貫徹落實 “四個革命、一個合作”能源安全新戰(zhàn)略，堅持新發(fā)展理念，加快新一代信息技術與煤炭產(chǎn)業(yè)深度融合，推進集團煤炭產(chǎn)業(yè)高端化、智能化、綠色化轉(zhuǎn)型升級，實現(xiàn)煤炭開采利用方式的變革，提升煤礦智能化和安全水平，促進煤炭行業(yè)高質(zhì)量發(fā)展。其下屬的某露天礦是全國單坑生產(chǎn)能力最大的露天煤礦之一，也是蒙東地區(qū)重要煤炭生產(chǎn)基地，生產(chǎn)現(xiàn)場屬于極寒型復雜氣候環(huán)境（零下40攝氏度以下）。作為集團的重要組成部分，其安全生產(chǎn)與經(jīng)濟發(fā)展、社會穩(wěn)定緊緊聯(lián)系在一起。

需求分析

在煤礦數(shù)字化、網(wǎng)絡化、智能化發(fā)展的同時，網(wǎng)絡安全隱患和風險陡然加劇，眾多信息系統(tǒng)從彼此孤立向數(shù)據(jù)互通、系統(tǒng)互聯(lián)的全聯(lián)通方向發(fā)展，給煤礦智能化帶來的新安全挑戰(zhàn)與風險。

（一）標準合規(guī)性需求

露天煤礦要加快完成工控安全防護體系的建設工作，使之符合《信息安全技術 網(wǎng)絡安全等級保護基本要求》（GB/T 22239-2019）、《信息安全技術信息系統(tǒng)密碼應用基本要求》（GB/T 39786-2021）、《工業(yè)控制系統(tǒng)信息安全防護指南》及露天煤礦智能化工控安全相關要求。

（二）業(yè)務安全性需求

從該露天煤礦工控網(wǎng)絡與架構、工控系統(tǒng)現(xiàn)場控制與過程監(jiān)控層及工控協(xié)議安全三個層面進行需求分析。

工控網(wǎng)絡與架構：此露天煤礦的自動化系統(tǒng)種類較多，且煤礦工業(yè)控制網(wǎng)、調(diào)度網(wǎng)、視頻監(jiān)控網(wǎng)、DMZ區(qū)等，形成互聯(lián)互通、多網(wǎng)互聯(lián)的關系。通過現(xiàn)場勘查，隔離措施和隔離強度有待提高，否則容易引發(fā)各網(wǎng)絡跨網(wǎng)交換非授權訪問風險以及子域間病毒橫向傳播風險。工控系統(tǒng)現(xiàn)場控制與過程監(jiān)控層：本露天煤礦工控系統(tǒng)服務器身份鑒別措施需要加強，遠程維護管理和有效審計運維操作能力有待提升，其中需完善重要數(shù)據(jù)庫有效的安全審計措施；礦內(nèi)的設備（包括網(wǎng)絡設備、服務器等）類型眾多，產(chǎn)生的大量分散的安全日志信息，急需有效的技術措施對分散、海量的日志進行統(tǒng)一采集、關聯(lián)分析及態(tài)勢分析。

工控協(xié)議安全需求：當前在煤礦工控網(wǎng)絡中，各類安全威脅不斷涌入控制系統(tǒng)，煤礦企業(yè)內(nèi)部需完善對工業(yè)流量監(jiān)測審計的手段，針對工控系統(tǒng)協(xié)議層面存在的惡意攻擊、異常流量進行審計，并對工控指令攻擊和控制參數(shù)篡改進行實時監(jiān)測和告警，避免網(wǎng)絡入侵輕易成功，導致安全生產(chǎn)事故的發(fā)生。

（三）新技術安全需求

移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)接入等新技術大量應用在露天煤礦，新技術的應用對智能化煤礦提出新的安全要求。該露天煤礦已完成礦區(qū)4G專網(wǎng)、5G SA獨立組網(wǎng)、極寒氣候五車編組連續(xù)運行、全天候不間斷作業(yè)、車內(nèi)無安全員作業(yè)等建設環(huán)節(jié)。

（四）工程快速交付需求

用戶對于項目快速交付有著強烈的需求，而此露天煤礦位于內(nèi)蒙古呼倫貝爾草原中部，每年礦區(qū)都會出現(xiàn)零下四五十攝氏度的極寒天氣，限制著礦區(qū)的生產(chǎn)作業(yè)，對于本次工控安全實施交付也是一大挑戰(zhàn)。

工控安全防護解決方案

安盟信息克服極寒型復雜環(huán)境，通過實地調(diào)研總結智能化露天礦網(wǎng)絡安全現(xiàn)狀，對工控網(wǎng)絡與架構、現(xiàn)場控制與過程監(jiān)控層、工控協(xié)議安全、4G/5G專網(wǎng)防護進行安全防護設計，結合公司工程交付服務能力，構建穩(wěn)定、可靠、先進、高效的工控網(wǎng)絡安全防護體系，為智能化露天煤礦安全生產(chǎn)提供保障。

某露天礦工控安全防護拓撲示意圖

（一）工控網(wǎng)絡及架構安全設計

針對智能化露天煤礦的網(wǎng)絡架構特點及相關標準規(guī)范要求，進行分層、分區(qū)、劃域，各層次、區(qū)域之間采用合理的安全防護措施。

（二）現(xiàn)場控制層及過程監(jiān)控層安全設計

部署工業(yè)安全隔離裝置實現(xiàn)過程監(jiān)控層與煤礦信息化層的高安全隔離和可控數(shù)據(jù)交換。

過程監(jiān)控層安全管理中心部署堡壘機，監(jiān)控和記錄第三方運維人員對工控網(wǎng)絡內(nèi)的服務器、網(wǎng)絡設備、安全設備、數(shù)據(jù)庫等設備的操作行為，以便發(fā)現(xiàn)異常及時報警、及時處理及審計定責。

過程監(jiān)控層調(diào)度中心旁路部署數(shù)據(jù)庫審計系統(tǒng)，對數(shù)據(jù)庫訪問行為、數(shù)據(jù)庫流量與狀態(tài)監(jiān)控，幫助管理員深入了解數(shù)據(jù)庫系統(tǒng)的應用與訪問情況，保障數(shù)據(jù)庫的正常運行和核心數(shù)據(jù)資產(chǎn)的安全。

過程監(jiān)控層安全管理中心旁路部署日志審計對各類設備、服務器、終端主機等的日志進行統(tǒng)一收集與存儲，滿足網(wǎng)絡安全法相關要求。

過程監(jiān)控層安全管理中心建設安全態(tài)勢感知，露天煤礦企業(yè)的網(wǎng)絡態(tài)勢進行分析、預警及準入控制，并對異常報警行為形成工單分配給人工進行干預處理，同時與相應防護設備進行協(xié)同防御。

（三）4G/5G專網(wǎng)防護設計

在4G專網(wǎng)邊界、5G專網(wǎng)邊界部署防火墻，實現(xiàn)對邊界進行細顆粒度（基于源、目的IP、源、目的端口、應用、服務等）的訪問控制，同時開啟入侵防御功能，基于模式匹配、異常檢測、統(tǒng)計分析等入侵檢測和協(xié)議分析技術，阻擋各種入侵攻擊。

（四）工控協(xié)議安全設計

生產(chǎn)網(wǎng)核心交換機旁路部署工業(yè)應用審計系統(tǒng)對工控網(wǎng)絡中的流量通信、操作行為等進行審計及預警；

生產(chǎn)網(wǎng)核心交換機旁路部署入侵檢測系統(tǒng)實時監(jiān)測工控網(wǎng)絡異常流量，對異常的、入侵行為的數(shù)據(jù)進行檢測和告警。

（五）工程交付服務保障

安盟信息工程服務團隊交付過多個煤炭行業(yè)項目，具備豐富的同類項目實施經(jīng)驗。在項目交付階段，迅速成立工程項目組。在極寒型復雜環(huán)境的露天礦現(xiàn)場建立以工程項目組為核心的服務機構，依托公司高效高質(zhì)的安全服務體系，保證高質(zhì)量、短工期完成本項目的交付，滿足用戶對于項目快速交付的需求。

后續(xù)安盟信息將持續(xù)為用戶提供高質(zhì)高效的售后服務，確保系統(tǒng)穩(wěn)定運行，協(xié)助用戶構建露天煤礦工控安全運營體系。 

方案價值

滿足標準合規(guī)性要求

符合《信息安全技術網(wǎng)絡安全等級保護基本要求》 (GBT22239-2019)、《信息安全技術信息系統(tǒng)密碼應用基本要求》（GB/T 39786-2021）、《工業(yè)控制系統(tǒng)信息安全防護指南》及露天煤礦工控安全相關政策、標準及監(jiān)管要求。

構建露天煤礦體系化安全

通過強化露天煤礦區(qū)域內(nèi)網(wǎng)絡、服務器運維及數(shù)據(jù)的安全防護，大大增強了現(xiàn)場控制層、過程監(jiān)控層的整體安全防護能力，確保露天煤礦安全生產(chǎn)可持續(xù)運營，構建以貼合露天煤礦生產(chǎn)業(yè)務的縱深防護安全體系。

提升露天煤礦生產(chǎn)安全性

解決方案深度融合露天煤礦工控系統(tǒng)，降低露天煤礦企業(yè)的安全運營風險，提高安全運維效率，為露天煤礦智能化、智慧化建設提供可靠的安全保障。

促進露天煤礦智能化發(fā)展

通過建設露天煤礦工控安全防護體系，可解決露天煤礦智能化建設過程中帶來的信息安全風險，保障露天煤礦工控系統(tǒng)、智能化系統(tǒng)安全及設備可靠運轉(zhuǎn)，同時促進露天煤礦少人、無人智能化業(yè)務的目標。

落實集團網(wǎng)絡安全重要戰(zhàn)略舉措

本項目安全建設促進了集團煤炭板塊網(wǎng)絡安全相關規(guī)范與制度的落實及完善，而且從技術上以邊界防護為重點、數(shù)據(jù)庫審計、日志審計、運維審計、工控協(xié)議分析、態(tài)勢分析為抓手，提升露天煤礦的工控安全防護能力。

面對當下工業(yè)互聯(lián)網(wǎng)、智能5G煤礦等新興業(yè)務模式的轉(zhuǎn)型升級，煤礦企業(yè)網(wǎng)絡安全防護能力也要不斷提升！安盟信息將結合在能源行業(yè)的安全建設經(jīng)驗進一步提升煤礦行業(yè)的安全防護建設能力，在滿足防護合規(guī)的基礎上，深度結合煤礦業(yè)務場景，構建煤礦企業(yè)的網(wǎng)絡安全防護新屏障！