權(quán)曉鵬

(潞安化工集團(tuán) 科技研發(fā)中心，山西 長治 047100)

山西高河能源有限公司作為國家首批智能礦井，建設(shè)了全面感知、實時互聯(lián)、分析決策、自主學(xué)習(xí)、動態(tài)預(yù)測、協(xié)同控制的智能化系統(tǒng)，以實現(xiàn)開拓、采掘、運輸、通風(fēng)、安全保障、運營維護(hù)、經(jīng)營管理等智能化運行。礦井工業(yè)控制系統(tǒng)是智能礦井安全生產(chǎn)的核心部分，隨著礦井工控網(wǎng)絡(luò)、工控系統(tǒng)、工控軟件與安全生產(chǎn)管理數(shù)據(jù)的深度融合，網(wǎng)絡(luò)病毒威脅正在向工控網(wǎng)絡(luò)系統(tǒng)擴(kuò)散，工控安全問題日益突出。一旦發(fā)生重大的工控網(wǎng)絡(luò)病毒攻擊事件，會嚴(yán)重危害礦井安全生產(chǎn)，構(gòu)建智能礦井工業(yè)控制網(wǎng)絡(luò)安全防護(hù)系統(tǒng)勢在必行。

1 高河能源工控網(wǎng)絡(luò)安全現(xiàn)狀

高河能源工控網(wǎng)絡(luò)主要由生產(chǎn)內(nèi)網(wǎng)、辦公網(wǎng)組成。工業(yè)內(nèi)網(wǎng)網(wǎng)段為172.16.0.0/16，辦公網(wǎng)網(wǎng)段為192.168.0.0/16。生產(chǎn)內(nèi)網(wǎng)和辦公網(wǎng)之間部署思科防火墻隔離。

1.1 工控網(wǎng)絡(luò)管理問題

工控終端設(shè)備和服務(wù)器之間病毒防護(hù)薄弱，通過網(wǎng)絡(luò)流量管理工具對安全生產(chǎn)工控服務(wù)器、工控網(wǎng)絡(luò)交換機(jī)、終端傳感器等設(shè)備間的流量數(shù)據(jù)進(jìn)行掃描分析，發(fā)現(xiàn)工控網(wǎng)絡(luò)存在安全隱患，掃描結(jié)果如圖1所示。

圖1 工控網(wǎng)絡(luò)設(shè)備間流量分布

通過分析，172.16.20.135(膠帶集控服務(wù)器)與192.168.30.145(工業(yè)視頻服務(wù)器)之間存在大量異常數(shù)據(jù)流量，通過與網(wǎng)絡(luò)病毒數(shù)據(jù)庫比對分析，這兩個工控系統(tǒng)感染了“永恒之藍(lán)”、“木馬”病毒。如果不及時查殺，病毒會迅速感染生產(chǎn)內(nèi)網(wǎng)系統(tǒng)，造成工控系統(tǒng)癱瘓，影響礦井的安全生產(chǎn)。

1.2 網(wǎng)絡(luò)設(shè)備管理問題

礦井網(wǎng)絡(luò)安全運維技術(shù)人員不能及時掌握工控系統(tǒng)設(shè)備運行狀態(tài)、生產(chǎn)網(wǎng)絡(luò)流量、病毒數(shù)據(jù)等網(wǎng)絡(luò)安全管理信息。

1.3 工控網(wǎng)絡(luò)架構(gòu)問題

工控系統(tǒng)500多臺設(shè)備部署在同一個二層網(wǎng)絡(luò)廣播域內(nèi)，同一鏈路中存在大量無效廣播流量，網(wǎng)絡(luò)帶寬利用率大大降低。更為嚴(yán)重的是，部分工控系統(tǒng)服務(wù)器通過雙網(wǎng)卡同時接入了生產(chǎn)內(nèi)網(wǎng)與辦公網(wǎng)，繞過了防火墻設(shè)備，導(dǎo)致內(nèi)、外網(wǎng)的數(shù)據(jù)直接聯(lián)通，存在重大網(wǎng)絡(luò)安全隱患。

2 工控網(wǎng)絡(luò)安全解決方案

智能礦井工控網(wǎng)絡(luò)安全系統(tǒng)按照《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GB/T22239-2019)，要求建設(shè)一體化安全管理系統(tǒng)，部署工控網(wǎng)絡(luò)終端殺毒系統(tǒng)，實現(xiàn)整個工控系統(tǒng)審計、病毒防護(hù)及整體網(wǎng)絡(luò)安全監(jiān)測。

1) 工業(yè)控制系統(tǒng)終端(PC和服務(wù)器)部署工業(yè)級殺毒系統(tǒng)，實現(xiàn)防御病毒、工控軟件監(jiān)控和系統(tǒng)漏洞自動修復(fù)等功能，最大限度杜絕病毒的侵襲，提升工控系統(tǒng)架構(gòu)安全。

2) 部署工控網(wǎng)絡(luò)安全網(wǎng)關(guān)，對全網(wǎng)流量監(jiān)測，綜合分析不同時段、不同應(yīng)用、不同IP段的流量可視化監(jiān)控，分析工控數(shù)據(jù)傳輸瓶頸，為工控網(wǎng)絡(luò)故障定位、網(wǎng)絡(luò)流量控制優(yōu)化、制定帶寬使用策略提供高效的技術(shù)支持，工控網(wǎng)絡(luò)安全網(wǎng)關(guān)安裝位置如圖2所示。

圖2 工控網(wǎng)絡(luò)安全網(wǎng)關(guān)部署示意

3) 啟動工控網(wǎng)絡(luò)內(nèi)置防火墻，阻止內(nèi)網(wǎng)病毒對工控系統(tǒng)的探測和攻擊。優(yōu)化生產(chǎn)內(nèi)網(wǎng)配置，以工控業(yè)務(wù)安全等級需求設(shè)置4個廣播域，降低廣播風(fēng)暴對整個工控網(wǎng)絡(luò)的影響。

3 實施效果

3.1 病毒防御

高河能源74臺工控系統(tǒng)主機(jī)和服務(wù)器部署了工控殺毒系統(tǒng)，從實施以來共抵御病毒和網(wǎng)絡(luò)攻擊4 577次，發(fā)現(xiàn)并查殺病毒8 925個，對工控系統(tǒng)網(wǎng)絡(luò)安全性能實行監(jiān)視控制。鮑村通風(fēng)機(jī)服務(wù)器病毒防護(hù)效果如表1所示。

表1 工控鮑村風(fēng)機(jī)服務(wù)器病毒防護(hù)

3.2 工控網(wǎng)絡(luò)流量監(jiān)控

部署工控網(wǎng)絡(luò)安全網(wǎng)關(guān)，運維人員可以直觀地分析工控生產(chǎn)內(nèi)網(wǎng)系統(tǒng)流量分布、趨勢和主機(jī)的連接情況，實現(xiàn)工控網(wǎng)絡(luò)流量可視化管理，工控網(wǎng)絡(luò)流量分布如圖3所示。

圖3 工控網(wǎng)絡(luò)應(yīng)用業(yè)務(wù)流量分布

工控網(wǎng)絡(luò)重要設(shè)備流量管理如表2所示。

表2 工控網(wǎng)絡(luò)重要設(shè)備流量管理

通過防病毒控制中心，運維人員可實時了解整個工控網(wǎng)絡(luò)病毒防御狀態(tài)，制定針對性的工控網(wǎng)絡(luò)安全策略。

工控系統(tǒng)運管技術(shù)人員通過工控網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)，真正做到了全面掌握網(wǎng)絡(luò)流量分布，對網(wǎng)絡(luò)優(yōu)化提供了有力的數(shù)據(jù)支撐，并根據(jù)工控業(yè)務(wù)實際情況對流量進(jìn)行控制，及時掌握重要工控設(shè)備的運行狀況，提升智能礦井工控系統(tǒng)的安全運維管理水平。

4 結(jié) 語

高河能源工控網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，實現(xiàn)了工業(yè)控制網(wǎng)絡(luò)系統(tǒng)故障診斷、異常告警、病毒防御等安全防護(hù)措施，提升了對工控網(wǎng)安全威脅的識別、響應(yīng)處置能力，構(gòu)建了智能礦井“免疫系統(tǒng)”，最大限度地保障了智能礦井工業(yè)控制系統(tǒng)穩(wěn)定、高效、安全的運行。