王許培，王偉剛

(國家能源投資集團信息公司網(wǎng)絡與信息安全中心，北京 100011)

0 引言

2020年國家發(fā)改委、國家能源等8部委聯(lián)合印發(fā)《關于加快煤礦智能化發(fā)展的指導意見》[1](以下簡稱《意見》)，明確提出要加快對網(wǎng)絡安全技術與煤礦生產(chǎn)業(yè)務深入融合的關鍵性技術研究。為深入貫徹執(zhí)行《意見》，國投集團信息中心基于煤礦生產(chǎn)業(yè)務與網(wǎng)絡安全、數(shù)據(jù)安全深度融合，從當前煤礦行業(yè)以安全合規(guī)建設、單點防護為主導的傳統(tǒng)安全向基于“三化六防”策略的主動防御轉變，開展煤礦網(wǎng)絡安全的主動防御技術的實踐研究與應用，構建煤礦基礎資源數(shù)據(jù)化、安全業(yè)務體系化、智能對抗引擎化和安全決策智慧化的主動防御體系，全面提升煤礦主動防御能力，對行業(yè)的安全建設、運營等有一定的參考借鑒價值。

1 智慧煤礦網(wǎng)絡安全建設難點分析

智慧煤礦物聯(lián)網(wǎng)感知設備異構多樣且動態(tài)變化，尤其是“云大物智移”技術與環(huán)境感知、視頻監(jiān)控、定位導航、廣播調度等應用系統(tǒng)深度融合，徹底改變傳統(tǒng)的安全管控模式，加劇了感知設備的惡意接入、攻擊滲透、數(shù)據(jù)泄密等風險，數(shù)據(jù)安全和網(wǎng)絡安全融合的安全服務成為煤礦業(yè)務安全的重要保障。

智能系統(tǒng)低耦合增加安全處置協(xié)同的難度。智能系統(tǒng)“積木式堆疊”[2]，造成海量“數(shù)據(jù)煙囪”“采而無用”問題，增加了井下、井上生產(chǎn)作業(yè)過程真正智能化協(xié)同和安全處置聯(lián)動的難度。

智慧煤礦行業(yè)安全規(guī)范有待提高。智能系統(tǒng)堆砌式集成，行業(yè)并未形成整體成套的技術供給能力，導致針對煤礦的網(wǎng)絡安全規(guī)劃與建設難以形成行業(yè)的可執(zhí)行標準與規(guī)范。

2 業(yè)務與安全融合的主動防御關鍵技術分析

智慧煤礦業(yè)務高度流程化，稍有干擾就會影響業(yè)務的連續(xù)性，同時針對能源行業(yè)的攻擊呈上升態(tài)勢，一定程度上加劇了目前仍以合規(guī)建設為主導的煤礦網(wǎng)絡攻擊風險。智慧煤礦的網(wǎng)絡安全主動防御建設必須在等級保護建設的基礎上，圍繞“一個中心，三重防護”，結合煤礦“四網(wǎng)融合”的應用場景，以威脅感知為核心，以威脅數(shù)據(jù)為驅動，融合包含邊界隔離、訪問控制、入侵監(jiān)測、安全審計等防護手段，引入誘捕、SOAR、UEBA、XDR等主動防護技術，聚合安全數(shù)據(jù)，整體規(guī)劃協(xié)同防護建設策略，構建多維協(xié)同的縱深防護安全體系。以場景化、協(xié)同化的安全防護能力，讓網(wǎng)絡安全防護形成合力，以“三化六防”思維保障煤炭企業(yè)的安全生產(chǎn)和運營管理。

2.1 基于業(yè)務與安全融合的安全防護技術

智慧煤礦的核心是實現(xiàn)安全信息主動化感知、生產(chǎn)系統(tǒng)智能化管理、數(shù)據(jù)信息高效化處理、調度決策智能化控制等，與之相適應的網(wǎng)絡安全建設也必須與業(yè)務耦合，對網(wǎng)絡資源異常行為準確及時預警和應急響應，保障應用系統(tǒng)的安全穩(wěn)定運行提供安全支撐。

智慧煤礦分為井上辦公網(wǎng)、煤礦工業(yè)環(huán)網(wǎng)、井下生產(chǎn)控制網(wǎng)、安全環(huán)境監(jiān)測環(huán)網(wǎng)及5G基站內網(wǎng)等。尤其是井下監(jiān)測系統(tǒng)、生產(chǎn)控制系統(tǒng)拓撲結構復雜多變，網(wǎng)絡噪聲信號突出，同時井上監(jiān)控智能系統(tǒng)頻繁與井下控制網(wǎng)絡傳輸程序或調整工藝參數(shù)、收集控制網(wǎng)絡的業(yè)務運行數(shù)據(jù)，導致井上IT系統(tǒng)的威脅很容易滲透到井下控制系統(tǒng)，增加了井下OT系統(tǒng)的安全風險。另外，井下OT系統(tǒng)很容易被內置一些隱蔽威脅，在外部惡意引擎觸發(fā)后會快速演變且難以捕捉，而針對PLC、RTU等一些惡意軟件也會采用命令與控制信號更加隱蔽地潛入OT系統(tǒng)，對控制器進行間隙式指令干擾而引起系統(tǒng)不穩(wěn)定、智能化業(yè)務的工作流程中斷而導致煤礦事故發(fā)生，因此如何實時、精準感知井下OT系統(tǒng)的異常行為是智慧煤礦安全建設的重點。從智慧煤礦的內生需求出發(fā)，基于PPDAR(策略、防護、檢測、分析、響應)安全防護模型，從“設備安全、控制安全、網(wǎng)絡安全、應用安全和數(shù)據(jù)安全”五大角度，構建煤礦縱深安全防御體系、形成《工業(yè)控制系統(tǒng)信息安全防護能力成熟度模型》的“綜合協(xié)同能力”是關鍵。

具體舉措有：(1)對多源告警數(shù)據(jù)基于大數(shù)據(jù)AI分析與融合、基于規(guī)則的快速檢測、全資產(chǎn)動態(tài)管控、事件化分析和處置等技術手段，從根因分析、關聯(lián)分析、事件化分析等維度準確監(jiān)測網(wǎng)絡攻擊活動，提高威脅檢測和響應速度和精確度，提升整體網(wǎng)絡安全防護能力；(2)以基于SOAR技術的自動化操作快速應對各類繁瑣枯燥的安全任務；(3)基于大數(shù)據(jù)AI的多源異常行為分析精準預警，并多設備策略聯(lián)防聯(lián)控；(4)基于工單閉環(huán)機制的快速應急處置等。

針對井下OT系統(tǒng)的網(wǎng)絡安全與業(yè)務融合最為關鍵的任務是利用多維感知技術和大數(shù)據(jù)AI融合技術偵探OT系統(tǒng)過程狀態(tài)中的可疑攻擊活動，尤其是針對控制工業(yè)協(xié)議的惡意漸進式數(shù)據(jù)載荷增量、工控協(xié)議的挾持篡改、通信過程中的數(shù)據(jù)投毒等[3-4]。實際上，井下OT生產(chǎn)控制網(wǎng)內的控制流程是周期性的、且相互之間的通信鏈接是相對固定的，OT系統(tǒng)內的任何擾動均會體現(xiàn)在控制內網(wǎng)流量的異常波動、控制器端口流量的異常變化、設備之間的訪問關系異常、設備CPU、內存等占有率的異常變化、控制系統(tǒng)輸出的偶發(fā)波動等。因此，針對OT系統(tǒng)的可疑攻擊活動的網(wǎng)絡監(jiān)測可以采用基于協(xié)議載荷DPI、基于流量DFI的實時監(jiān)測，并結合基于業(yè)務過程的工控可疑活動偵探綜合分析與預判。針對業(yè)務過程的監(jiān)測有基于控制邏輯監(jiān)測和基于過程狀態(tài)監(jiān)測，其中基于控制邏輯監(jiān)測的任務是實時感知任務調度的時間序列和控制程序的異常，基于過程狀態(tài)偵探的任務是實時分析流程變量的殘差和臨界狀態(tài)。基于網(wǎng)絡安全與業(yè)務安全融合的關鍵任務就是如何利用大數(shù)據(jù)AI分析技術關聯(lián)網(wǎng)絡監(jiān)測與業(yè)務過程監(jiān)測的異常行為、預判攻擊行為并精準預警、調度應急策略、阻止攻擊行為等。

在業(yè)務與網(wǎng)絡安全融合的過程中，最為重要的是需要精準辨識網(wǎng)絡攻擊與業(yè)務偶發(fā)故障等，并根據(jù)辨識結果啟動相應的應急處置程序，否則就會發(fā)生誤動作而導致不可挽回的損失。網(wǎng)絡攻擊不同階段的網(wǎng)絡異常行為導致業(yè)務異常的程度存在一定的差異，在網(wǎng)絡偵察的初始階段，對業(yè)務影響是較小的，而在初步入侵、C&C(命令與控制)階段，對業(yè)務便開始有顯性影響，因此，為防止網(wǎng)絡攻擊勢態(tài)的進一步蔓延，就必須在網(wǎng)絡攻擊的最初始階段就能精準感知并實時預警、啟動應急流程?；诖耍W(wǎng)絡安全感知系統(tǒng)必須與自動化設備狀態(tài)綜合監(jiān)測實時交互狀態(tài)數(shù)據(jù)，以此彌補網(wǎng)絡安全感知數(shù)據(jù)稀疏難以實時辨識安全威脅的問題，增強實時感知、辨識可疑活動的顆粒度和精準度。井上指揮系統(tǒng)可以根據(jù)感知的可疑活動出現(xiàn)時所依賴的網(wǎng)絡環(huán)境要素、基于時序的控制輸入/輸出等偏移控制基線的排列熵累積，利用OT系統(tǒng)從正常狀態(tài)到異常狀態(tài)的臨界點作為特征參考，實時評估網(wǎng)絡攻擊、設備偶發(fā)故障等征兆，進行實時預警與啟動相應的應急措施，辨識流程如圖1所示。

圖1 基于業(yè)務與網(wǎng)絡安全融合的智能流程圖

2.2 攻擊誘捕驗證技術

井下OT系統(tǒng)采用工業(yè)物聯(lián)網(wǎng)架構，使用大量網(wǎng)絡化傳感設備，通過諸如5G等無線通信技術形成各自的傳感器網(wǎng)絡，相關信號一旦被惡意干擾，有可能造成諸如采掘業(yè)務、安監(jiān)業(yè)務、調度業(yè)務等干擾，甚至業(yè)務中斷等故障，或者惡意竊取、篡改遠程控制信號以控制井下的生產(chǎn)、監(jiān)控裝置而引發(fā)煤礦事故。由于井下生產(chǎn)作業(yè)環(huán)境的特殊性，保障控制信號在井上、井下傳輸過程中的完整性、可用性、連續(xù)性成為智慧煤礦安全生產(chǎn)保障的關鍵。有效的防護措施是在井上調度中心區(qū)旁路部署基于DPI、DFI的工控協(xié)議安全審計設備，對流經(jīng)生產(chǎn)綜合監(jiān)控系統(tǒng)的網(wǎng)絡流量進行審計，并對上位機與下位機之間的工業(yè)協(xié)議識別和深度解析，對違規(guī)操作、誤操作以及關鍵操作(如下載、上傳、組態(tài)變更以及CPU啟停)等進行監(jiān)測，實時了解生產(chǎn)網(wǎng)絡的安全狀態(tài)，為事后追溯、定位提供證據(jù)。為進一步防范井上網(wǎng)絡威脅對井下系統(tǒng)的滲透、彌補基于特征的安全手段難以防范0Day對井下系統(tǒng)的攻擊，通過在井下工控系統(tǒng)的關鍵位置部署入侵誘捕裝置，并接受井上指揮中心的策略分發(fā)系統(tǒng)的指令動態(tài)調整誘騙策略以誘捕攻擊者，以深度交互的方式獲取詳細的攻擊步驟，為聯(lián)控與溯源提供決策?？紤]到井下生產(chǎn)系統(tǒng)誘捕系統(tǒng)實施部署的難度及不同區(qū)域保護的需求差異性，同時兼顧蜜罐偽裝性和防御安全性，在井上運營系統(tǒng)入口處部署中高交互性蜜罐而在井下生產(chǎn)系統(tǒng)入口處部署中高交互性工控蜜罐，且井上與井下的蜜罐裝置協(xié)同，情報共享，在縱深防御上協(xié)同捕獲隱蔽攻擊行為，一定程度上提升了井上、井下系統(tǒng)的安全協(xié)同防御能力，也保障了生產(chǎn)系統(tǒng)的安全生產(chǎn)。誘捕策略與蜜罐部署如圖2所示。

圖2 誘捕策略與蜜罐部署

為進一步提升井下工控蜜罐的誘捕能力，其必須高度仿真井下實際生產(chǎn)控制系統(tǒng)，具體設計為：在其OS內核載入數(shù)采系統(tǒng)的網(wǎng)卡、磁盤、固態(tài)驅動器、I/O控制、數(shù)采程序等多個虛擬功能，并利用動態(tài)欺騙策略誘導惡意程序進入蜜罐陷阱。為進一步發(fā)揮蜜罐的情報作用，提升多安全設備協(xié)同能力，具體設計為井上蜜罐與入口的IPS、流量審計協(xié)同，井下蜜罐與不同作業(yè)系統(tǒng)的邊界防護控制、區(qū)域流量分析審計等協(xié)同，井上、井下蜜罐與指揮中心策略分發(fā)系統(tǒng)、情報中心形成策略聯(lián)動和協(xié)同，生產(chǎn)不同策略的誘餌分階段步驟誘捕攻擊者，形成多維度的縱深、橫向的安全防護能力，保障生產(chǎn)系統(tǒng)安全穩(wěn)定運行。

2.3 實戰(zhàn)化的網(wǎng)絡攻擊聯(lián)動防御技術

基于實戰(zhàn)化的網(wǎng)絡攻擊防御聯(lián)控是在安全技術、調度流程、指揮平臺協(xié)同的基礎上，通過網(wǎng)絡與業(yè)務異常行為監(jiān)測協(xié)同的智能分析、載荷編排SOAR、定向防御三大引擎協(xié)同達到動態(tài)智能防御的目的，實現(xiàn)對網(wǎng)絡安全態(tài)勢的精準感知、安全威脅的智能分析、預警信息的自動分發(fā)、響應措施的聯(lián)動處置，構建集“威脅檢測、實時防護、動態(tài)響應、態(tài)勢預測、應急指揮”為一體的智能網(wǎng)絡安全主動防御體系。

面向實戰(zhàn)化的聯(lián)防戰(zhàn)術中，首要任務是在全域重點系統(tǒng)風險評估的基礎上，與自動化設備維護系統(tǒng)實施對接自控設備偶發(fā)故障的監(jiān)測信息，構建與部署以策略聯(lián)動機制為核心的整體網(wǎng)絡安全防護策略與設施、以提升攻擊監(jiān)測和防護的效率為目的，動態(tài)優(yōu)化“邊界防護策略聯(lián)控、蜜罐誘餌策略調度、流量監(jiān)測顆粒度動態(tài)調優(yōu)、威脅情報動態(tài)分發(fā)”等整體防控策略，基于實戰(zhàn)化的主動防御策略動態(tài)調優(yōu)過程如圖3所示。三個關鍵步驟：(1)優(yōu)化日志分析，采用事件分析法、時間分析法以及流量包樣本分析法等方式，在大量異構數(shù)據(jù)中捕獲關鍵信息、感知異常行為、關注重點事件；(2)及時處置設備誤報、拉通業(yè)務側溝通渠道，核實能否快速對業(yè)務代碼邏輯進行修改，解決業(yè)務誤攔問題；(3)優(yōu)化平臺和設備策略，根據(jù)日志分析及誤報處理的結果，對網(wǎng)絡設備策略、安全設備策略、主機策略等進行進一步調整和優(yōu)化。

圖3 基于實戰(zhàn)化的主動網(wǎng)絡安全防御策略動態(tài)調優(yōu)過程

在針對智慧煤礦的主動防御設計時，注重設備聯(lián)動、情報共享、策略分發(fā)、分層控制與動態(tài)調優(yōu)等，系統(tǒng)性的關鍵防護策略如下：

(1)第1道防線：在核心安全域部署基于AI的防火墻，并與蜜罐、情報中心聯(lián)控，實時動態(tài)調整封堵策略，最大限度收斂資產(chǎn)暴露面、最小化網(wǎng)絡訪問控制。

(2)第2道防線：在基于業(yè)務安全保障的分域分區(qū)的基礎上，部署WAF、IDS、工業(yè)防火墻等，與井上指揮中心聯(lián)動進行動態(tài)策略調優(yōu)，提升邊界動態(tài)的防護能力、監(jiān)測和防護南北向流量。

(3)第3道防線：在區(qū)域核心匯聚處部署全流量分析設備進行攻擊行為監(jiān)測，提升內網(wǎng)和重點系統(tǒng)的安全防護能力，監(jiān)測東西向流量。

(4)第4道防線：針對核心區(qū)域的防護，與井上指揮中心策略分發(fā)系統(tǒng)聯(lián)控，通過旁路阻斷實現(xiàn)一鍵封堵功能，提升快速應急響應處置能力，支撐集中化處置。

(5)第5道防線：井上、井下、數(shù)據(jù)中心出入口部署策略蜜網(wǎng)，與情報中心、策略分發(fā)系統(tǒng)聯(lián)動，提供威脅動態(tài)感知、攻擊誘捕、行為分析和溯源取證能力，精準定位攻擊源頭，提升核心系統(tǒng)免受攻擊的能力。

(6)第6道防線：通過對流量、告警、日志等元數(shù)據(jù)利用大數(shù)據(jù)AI分析能力和機器學習算法，進行集中化、范式化分析，結合攻擊鏈模型從海量告警事件中快速定位，重點關注和處理核心資產(chǎn)安全狀態(tài)、重要安全事件，提升井上智能安全聯(lián)防指揮中心的綜合預警、智能決策、快速聯(lián)控、精準調度等能力。

3 智慧煤礦數(shù)據(jù)分類分級及其安全防護技術

針對智慧煤礦的數(shù)據(jù)安全防護，不僅需要實施分級管控、加強對重要和核心數(shù)據(jù)的流轉范圍及其風險的管控，更需要針對生產(chǎn)控制數(shù)據(jù)的完整性、實時性和有效性等進行重點保護，因為攻擊者可通過多種方式對諸如開/閉控制器、讀/寫寄存器、上傳/下載控制程序等操作命令注入惡意數(shù)據(jù)，甚至篡改環(huán)境溫度、壓力等傳感器數(shù)據(jù)，以此破壞包括控制命令、載荷數(shù)據(jù)等在內的數(shù)據(jù)完整性，干擾工控系統(tǒng)的業(yè)務連續(xù)流程，造成系統(tǒng)性干擾與控制擾動。因此，針對智慧煤礦數(shù)據(jù)安全而言，運行數(shù)據(jù)、控制數(shù)據(jù)、生產(chǎn)數(shù)據(jù)等保護成為關鍵。但當前智慧煤礦的相關系統(tǒng)高集成、弱耦合等現(xiàn)實缺點導致數(shù)據(jù)要素產(chǎn)生源頭極其分散、采集環(huán)境惡劣、流轉途徑多樣、業(yè)務場景復雜、處理環(huán)節(jié)非規(guī)范化等，且各自系統(tǒng)的數(shù)據(jù)在實時性、時序性、穩(wěn)定性、連續(xù)性、結構化等方面存在較大差異，給數(shù)據(jù)分類分級、安全防護與治理等帶來極大的困境。

3.1 數(shù)據(jù)分類

智慧煤礦的生產(chǎn)數(shù)據(jù)主要指生產(chǎn)控制過程產(chǎn)生的數(shù)據(jù)：包括采、掘、機、運、通、穿、爆等各種生產(chǎn)系統(tǒng)監(jiān)測數(shù)據(jù)、運行的實時數(shù)據(jù)；安全數(shù)據(jù)分為安全監(jiān)測及安全管理兩類，其中安全監(jiān)測是指井下的瓦斯、頂板、水文、火災以及設備的運行情況等實時監(jiān)測數(shù)據(jù)；安全管理是指企業(yè)的“雙重”預防管理、安全生產(chǎn)管理、應急救援管理等類型的管理數(shù)據(jù)。針對煤礦的數(shù)據(jù)分類，結合智慧煤礦的生產(chǎn)系統(tǒng)、系統(tǒng)集成、運營管理等屬性考慮，參考《信息安全技術 網(wǎng)絡數(shù)據(jù)分類分級要求》等規(guī)范，按照“組織經(jīng)營”維度進行分類，將生產(chǎn)數(shù)據(jù)分為用戶數(shù)據(jù)(內部員工、協(xié)作單位人員、第三方監(jiān)管人員、第三方運維人員以及客戶、供應商等)、業(yè)務數(shù)據(jù)(采掘、運輸、機電、安監(jiān)、調度等)、經(jīng)營管理數(shù)據(jù)(系統(tǒng)設備資產(chǎn)信息、客戶與產(chǎn)品信息、產(chǎn)品供應鏈數(shù)據(jù)、業(yè)務統(tǒng)計數(shù)據(jù)等)、系統(tǒng)運行(控制信息、工況狀態(tài)、工藝參數(shù)、系統(tǒng)日志等)、安全數(shù)據(jù)(安全設備、安全配置策略、網(wǎng)絡拓撲、基線管理、安全接口數(shù)據(jù)等)、業(yè)務流程數(shù)據(jù)(流程與控制工藝、控制程序等)、監(jiān)管數(shù)據(jù)(與上級監(jiān)管部門、其他主體共享的數(shù)據(jù)等)、研發(fā)數(shù)據(jù)(研發(fā)設計數(shù)據(jù)、開發(fā)測試數(shù)據(jù)等)、運維數(shù)據(jù)(物流數(shù)據(jù)、產(chǎn)品售后服務數(shù)據(jù)等)等。

3.2 數(shù)據(jù)分級

依據(jù)煤礦數(shù)據(jù)遭篡改、破壞、泄露或非法利用后對煤礦生產(chǎn)經(jīng)營和上級部門監(jiān)管監(jiān)察產(chǎn)生的影響制定數(shù)據(jù)分級定級規(guī)范，包括分級原則、分級依據(jù)、定級要素、定級方法等內容。結合智慧煤礦數(shù)據(jù)“流轉、共享、安全”等方面均衡考慮，根據(jù)“影響范圍、持續(xù)時間、可恢復性、數(shù)據(jù)敏感度”等維度，從數(shù)據(jù)泄露、數(shù)據(jù)篡改以及數(shù)據(jù)不可用等層面評估分析數(shù)據(jù)流轉各要素的安全威脅，將慧煤礦數(shù)據(jù)劃分為一般、重要與核心三個級別。針對不同級別的數(shù)據(jù)采用適度的安全措施，在數(shù)據(jù)流轉等過程通過最小共享和泛化、共享(提取)自動化審批、最小使用范圍、責任傳遞、定期稽核等方式保障其安全性[5]。在煤礦數(shù)據(jù)生命周期管理過程中，針對重要數(shù)據(jù)、核心數(shù)據(jù)、經(jīng)過綜合分析后提煉出的二次數(shù)據(jù)、一般數(shù)據(jù)經(jīng)過二次組合或通過數(shù)據(jù)聚合分析形成更有價值的衍生敏感數(shù)據(jù)等，需要根據(jù)數(shù)據(jù)的適用范圍、責權以及風險等，有針對性進行動態(tài)分級修正。煤礦的數(shù)據(jù)分類分級建設如圖4所示。

圖4 智慧煤礦的數(shù)據(jù)分類分級建設

3.3 數(shù)據(jù)防護

參考《工業(yè)與信息化領域數(shù)據(jù)安全管理辦法》《信息安全技術 數(shù)據(jù)安全能力成熟度模型》等規(guī)范，針對煤礦數(shù)據(jù)全流程：數(shù)據(jù)采集安全、傳輸安全、存儲安全、處理安全、交換安全、銷毀安全等，首先需要確定全域的數(shù)據(jù)安全管理的組織架構及職責，保障數(shù)據(jù)的完整性、保密性、安全性和合規(guī)使用。其次需要對采集、傳輸、存儲、交換的數(shù)據(jù)安全過程，從組織建設、制度流程、技術工具、人員能力等方面對數(shù)據(jù)安全進行規(guī)范操作，如：(1)在數(shù)據(jù)采集、流轉、使用、存儲、提煉等過程中，遵循權限最小環(huán)原則；(2)運用商密進行輕量級加密，以期降低加解密過程對數(shù)據(jù)實時性的影響；(3)監(jiān)測重要、核心、二次、衍生等數(shù)據(jù)的分布及其流轉過程中的泄密風險；(4)采用數(shù)據(jù)資產(chǎn)采集探針、網(wǎng)絡流量分析、數(shù)據(jù)庫審計等手段，融合數(shù)據(jù)資產(chǎn)識別引擎、數(shù)據(jù)及文件內容識別引擎、分類分級引擎、敏感數(shù)據(jù)分布引擎、威脅分析引擎等微服務搭建數(shù)據(jù)安全一體化監(jiān)控平臺，以“數(shù)據(jù)資產(chǎn)梳理、違規(guī)泄露發(fā)現(xiàn)、數(shù)據(jù)流轉監(jiān)測、數(shù)據(jù)安全審計”為核心，為煤礦提供一體化的數(shù)據(jù)安全監(jiān)測、預警、應急與防御等服務；(5)通過風險處置及工單功能，實現(xiàn)從數(shù)據(jù)資產(chǎn)監(jiān)測、風險識別、統(tǒng)一管控、事件響應和工單處理記錄的數(shù)據(jù)安全運營能力。數(shù)據(jù)安全與治理過程如圖5所示。

圖5 煤礦數(shù)據(jù)安全與治理過程

4 業(yè)務與安全融合的主動防御技術應用與實踐

基于業(yè)務與安全融合的一體化運營能力建設以安全治理為核心、風險管控為導向、安全合規(guī)為基礎，結合組織安全能力，滿足安全運營的系統(tǒng)性、動態(tài)性和實戰(zhàn)性需求，在人、技術、過程層面構建一體化的網(wǎng)絡安全縱深防御、監(jiān)測預警和應急處置體系。

首先，建立礦區(qū)級一體化的基于大數(shù)據(jù)AI分析監(jiān)測平臺和智能指揮中心，實現(xiàn)對礦區(qū)所有聯(lián)網(wǎng)礦場的資產(chǎn)狀態(tài)與安全狀態(tài)監(jiān)控、全域安全信息收集、配置與策略統(tǒng)一管理，并與威脅情報融合，提高礦區(qū)安全識別、安全處置、安全調度、安全上報等預警及處理、保障能力。針對行業(yè)監(jiān)管數(shù)據(jù)，如安全監(jiān)測監(jiān)控、微震監(jiān)測、水文監(jiān)測、沖擊地壓監(jiān)測、視頻監(jiān)測等，建設礦區(qū)統(tǒng)一數(shù)據(jù)池，通過VPN、身份認證和數(shù)據(jù)加密技術統(tǒng)一上傳出口，防止因數(shù)據(jù)上傳出現(xiàn)非法外聯(lián)、數(shù)據(jù)篡改、非法控制等安全隱患。

其次，根據(jù)《關鍵信息基礎設施安全保護條例》的相關規(guī)定，參考《工業(yè)控制系統(tǒng)安全防護能力成熟度模型》的要求，結合煤礦業(yè)務安全的實際需求，將煤礦的網(wǎng)絡安全防御能力建設確定為“四級：綜合協(xié)同級”：統(tǒng)籌考慮安全風險需求，建立多級協(xié)同的安全管理體系，并通過態(tài)勢感知、統(tǒng)一管控等技術手段實現(xiàn)綜合決策、協(xié)調防護的安全能力，實現(xiàn)煤礦的縱深防御?！熬C合協(xié)同級防護能力”建設過程不僅需要實時精準發(fā)現(xiàn)網(wǎng)絡中的網(wǎng)絡攻擊，更要深挖通過供應鏈或網(wǎng)絡擺渡攻擊潛入煤礦內網(wǎng)，針對特定目標實施非傳統(tǒng)攻擊手段的安全威脅綜合分析和識別；同時建立以情報驅動為核心，協(xié)同“研判分析、溯源反制、應急響應、運營支持”安全防護能力，實現(xiàn)“一點發(fā)現(xiàn)，全面風險閉環(huán)”的聯(lián)防聯(lián)控機制，構建“云網(wǎng)邊端”一體化安全保障體系，并結合網(wǎng)絡攻防演練工作發(fā)現(xiàn)的問題及時糾正相關的措施與策略。

再次，在智慧煤礦的整體安全聯(lián)防聯(lián)控的過程中，利用攻擊鏈模型，逐層收斂告警信息，并以可視化的作戰(zhàn)網(wǎng)格掛圖進行預警與管控，提升攻擊事件的監(jiān)測準確率和網(wǎng)絡安全日常運營工作效率，為面向實戰(zhàn)化的網(wǎng)絡安全保障提供有效監(jiān)測處置手段。基于實戰(zhàn)化策略構建網(wǎng)絡安全縱深防御體系，提升防御的層數(shù)和智能封堵能力，以此增加攻擊者的攻擊難度，確保應用系統(tǒng)和數(shù)據(jù)資產(chǎn)安全。在全域網(wǎng)絡行為感知基礎上，重點增強對井下系統(tǒng)的設備接入網(wǎng)行為、網(wǎng)絡訪問行為、井上與井下訪問、井下系統(tǒng)間的網(wǎng)絡數(shù)據(jù)交換行為等感知與分析；加強對監(jiān)控網(wǎng)絡、生產(chǎn)網(wǎng)絡、井下環(huán)網(wǎng)的非法外聯(lián)、存儲介質內外網(wǎng)交叉使用等行為感知與預警。針對井下生產(chǎn)控制系統(tǒng)的智能聯(lián)動阻斷、端口智能封堵等必須特別謹慎，必要時需要網(wǎng)絡、安全與自動化控制的專家組人工參與研判，以防誤判而引起的安全事故。智慧煤礦網(wǎng)絡安全策略與實施部署如圖6所示。

圖6 智慧煤礦的主動防御流程

5 結論

通過對煤礦業(yè)務與網(wǎng)絡安全技術深度融合的主動防御技術研究與實踐應用，形成國投集團《煤炭企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡安全建設規(guī)范》企標，并在國投集團“煤炭企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡安全防護規(guī)范”信息化項目中應用實踐，得到了有效驗證，在諸如“重保”期間發(fā)揮了極大的作用。依賴平臺系統(tǒng)強大的大數(shù)據(jù)AI分析能力、精準的預警能力、與安全設備之間的策略聯(lián)動能力等，以及基于邊界的智能化封堵聯(lián)動、出入口蜜罐的誘捕作用、端口動態(tài)智能化封控及工單的快速閉環(huán)控制等，提高了礦區(qū)網(wǎng)絡安全協(xié)同的工作效率、降低了網(wǎng)絡安全管理與人員投入的成本、提高了安全人員整體的協(xié)同能力、完善了實戰(zhàn)化的網(wǎng)絡保障，實現(xiàn)了“工作流程化、過程可視化、工單電子化”等要求，確保智慧煤礦網(wǎng)絡安全“零”事故，保證了煤礦的業(yè)務運營穩(wěn)定運行。