煤矿生产技术装备经历了传统半机械化→机械化→综合自动化→智能化→智慧化的发展,而煤矿安全监管则向预防预控的方向发展。同时,煤矿计算机管理得到普遍应用,建立了网络系统和视频会议系统,建立了基于网络的生产调度、财务、物资、设备、人力资源、煤炭销售、办公自动化等管理系统,并取得了较好的应用效果,一些矿业集团正在实施“智慧矿山”平台。煤矿运营模式向信息化专业化的方向发展,实现专业化运作与一体化协同融合。
工业控制系统的特点如下:
煤炭行业属于典型的流程工业,具有生产过程连续化、生产批量大、工艺规程相对固定和物料流向复杂等特点。
生产环境高温、高压、易燃易爆炸、有毒有害、持续运转。生产工艺复杂、集成度高、规模大。一旦发生事故,后果极其严重。
生产控制系统出现故障时将导致企业或企业的某些部门无法进行正常的生产、运营或管理活动。
业务逻辑架构
智慧矿山企业生产系统网络层次模型主要参照标准IEC/TS-1-1的层次结构模型划分,同时将SCADA系统、DCS系统和PLC系统等模型的共性进行抽象,对生产系统采用层次模型说明。层次模型从上到下共分为5个层级,依次为企业资源层、生产管理层、过程监控层、现场控制层和现场设备层,不同层级的实时性要求不同。
按照应用层次结构从上自下分为决策支持层、经营管理层、生产执行层、控制层、设备层,具体应用架构如下:
煤炭行业典型工业控制系统结构图行业风险分析
控制系统层面:煤炭生产现场PLC多为西门子或AB的产品,而PLC本身存在漏洞,西门子和AB近些年被曝出存在高危漏洞,攻击者可以利用漏洞控制现场设备,执行错误命令,严重影响安全生产。
网络边界层面:各生产控制系统之间缺乏有效的访问控制措施,一个子系统感染病毒或入侵后,非常容易扩散到其他系统,给生产带来安全隐患。
计算环境层面:主机操作系统老旧,从不升级,极易出现安全漏洞和缺陷;主机杀毒软件一般处于关闭状态,并且部分主机未关闭远程桌面()端口,这些都存在安全隐患,无法防御“0-DAY”病毒和勒索病毒。
通信网络层面:工业通讯协议是整个工业控制系统安全的重要环节,当网络中的攻击行为、数据流量、重要操作等出现时,无法对工控协议进行采集与深度解析,一旦出现安全事故无法回溯。
行业解决方案
针对上面煤矿业务系统的现状以及安全风险分析,中电安科结合多年来的行业实践,为煤矿行业制定出如下工控安全体系架构:
工控防火墙:在地面、井下不同区域之间部署工控防火墙,实现区域边界防护。
工业网闸:在MES系统和生产网核心交换机间部署工业网闸,实现不同安全域间的隔离。
工控安全监测审计系统:在地面的汇聚交换机和生产网核心交换机旁路部署工控安全监测审计,对网内传输的流量进行采集、分析和处理,结合特定的安全策略,对异常操作、攻击等行为进行事中告警、事后审计。
入侵检测系统:在生产网核心交换机旁路部署入侵检测系统,对流量进行特征提取并与规则库进行匹配,快速有效识别出工控网络中存在的异常、攻击行为。
网络准入控制系统:在安全管理区部署网络准入控制系统,实现对网络终端的全面接入控制,严格管控非法终端入网,加强网络边界防护。
运维堡垒机:在安全管理中心部署运维堡垒机,实现设备远程运维的全面审计和行为管控,满足远程运维管控要求。
终端防护系统:在操作员站、工程师站上部署终端防护客户端,实现终端安全加固、进程白名单和USB移动介质管控。
数据库审计系统:在安全管理中心部署数据库审计系统,对数据库进行监测与审计,有效识别异常的数据库访问行为。
安全管理平台:在安全管理中心部署安全管理平台,对安全设备、网络设备、主机设备的日志和告警进行归一化采集和关联分析,展现安全态势和预警,全面提升安全防护效率和安全管理能力。
配置核查管理系统:在安全管理中心部署配置核查系统,采集各资产的安全配置,并对安全配置信息进行自动化解析,检查安全配置与预期的符合情况,出具详实的核查报告。
客户价值
符合“智能矿井、智慧矿区”智能化建设安全保障要求,确保数据机房及5G场景下智能化矿井生产业务安全运行;
以“一个中心,三重防护”为建设原则,采用工控“白名单”、“自学习”等技术实现安全建设“最小干扰”的综合安全防护;
图形化的安全运维管理方式,支持故障自主诊断、关联分析和快速定位,提高工控网络对安全威胁的反应和应对能力。
转载请注明:http://www.kuangshanjixiea.com/sbcg/17690.html
当前位置: 矿山机械设备 > 设备采购 > 构建智慧矿山,工控系统安全方案不可或
