智能礦井工控網絡安全防護系統研究與實踐

權曉鵬

(潞安化工集團 科技研發中心，山西 長治 047100)

山西高河能源有限公司作為國家首批智能礦井，建設了全面感知、實時互聯、分析決策、自主學習、動態預測、協同控制的智能化系統，以實現開拓、采掘、運輸、通風、安全保障、運營維護、經營管理等智能化運行。礦井工業控制系統是智能礦井安全生產的核心部分，隨著礦井工控網絡、工控系統、工控軟件與安全生產管理數據的深度融合，網絡病毒威脅正在向工控網絡系統擴散，工控安全問題日益突出。一旦發生重大的工控網絡病毒攻擊事件，會嚴重危害礦井安全生產，構建智能礦井工業控制網絡安全防護系統勢在必行。

1 高河能源工控網絡安全現狀

高河能源工控網絡主要由生產內網、辦公網組成。工業內網網段為172.16.0.0/16，辦公網網段為192.168.0.0/16。生產內網和辦公網之間部署思科防火墻隔離。

1.1 工控網絡管理問題

工控終端設備和服務器之間病毒防護薄弱，通過網絡流量管理工具對安全生產工控服務器、工控網絡交換機、終端傳感器等設備間的流量數據進行掃描分析，發現工控網絡存在安全隱患，掃描結果如圖1所示。

圖1 工控網絡設備間流量分布

通過分析，172.16.20.135(膠帶集控服務器)與192.168.30.145(工業視頻服務器)之間存在大量異常數據流量，通過與網絡病毒數據庫比對分析，這兩個工控系統感染了“永恒之藍”、“木馬”病毒。如果不及時查殺，病毒會迅速感染生產內網系統，造成工控系統癱瘓，影響礦井的安全生產。

1.2 網絡設備管理問題

礦井網絡安全運維技術人員不能及時掌握工控系統設備運行狀態、生產網絡流量、病毒數據等網絡安全管理信息。

1.3 工控網絡架構問題

工控系統500多臺設備部署在同一個二層網絡廣播域內，同一鏈路中存在大量無效廣播流量，網絡帶寬利用率大大降低。更為嚴重的是，部分工控系統服務器通過雙網卡同時接入了生產內網與辦公網，繞過了防火墻設備，導致內、外網的數據直接聯通，存在重大網絡安全隱患。

2 工控網絡安全解決方案

智能礦井工控網絡安全系統按照《信息安全技術網絡安全等級保護基本要求》(GB/T22239-2019)，要求建設一體化安全管理系統，部署工控網絡終端殺毒系統，實現整個工控系統審計、病毒防護及整體網絡安全監測。

1) 工業控制系統終端(PC和服務器)部署工業級殺毒系統，實現防御病毒、工控軟件監控和系統漏洞自動修復等功能，最大限度杜絕病毒的侵襲，提升工控系統架構安全。

2) 部署工控網絡安全網關，對全網流量監測，綜合分析不同時段、不同應用、不同IP段的流量可視化監控，分析工控數據傳輸瓶頸，為工控網絡故障定位、網絡流量控制優化、制定帶寬使用策略提供高效的技術支持，工控網絡安全網關安裝位置如圖2所示。

圖2 工控網絡安全網關部署示意

3) 啟動工控網絡內置防火墻，阻止內網病毒對工控系統的探測和攻擊。優化生產內網配置，以工控業務安全等級需求設置4個廣播域，降低廣播風暴對整個工控網絡的影響。

3 實施效果

3.1 病毒防御

高河能源74臺工控系統主機和服務器部署了工控殺毒系統，從實施以來共抵御病毒和網絡攻擊4 577次，發現并查殺病毒8 925個，對工控系統網絡安全性能實行監視控制。鮑村通風機服務器病毒防護效果如表1所示。

表1 工控鮑村風機服務器病毒防護

3.2 工控網絡流量監控

部署工控網絡安全網關，運維人員可以直觀地分析工控生產內網系統流量分布、趨勢和主機的連接情況，實現工控網絡流量可視化管理，工控網絡流量分布如圖3所示。

圖3 工控網絡應用業務流量分布

工控網絡重要設備流量管理如表2所示。

表2 工控網絡重要設備流量管理

通過防病毒控制中心，運維人員可實時了解整個工控網絡病毒防御狀態，制定針對性的工控網絡安全策略。

工控系統運管技術人員通過工控網絡流量監控系統，真正做到了全面掌握網絡流量分布，對網絡優化提供了有力的數據支撐，并根據工控業務實際情況對流量進行控制，及時掌握重要工控設備的運行狀況，提升智能礦井工控系統的安全運維管理水平。

4 結 語

高河能源工控網絡安全防護系統，實現了工業控制網絡系統故障診斷、異常告警、病毒防御等安全防護措施，提升了對工控網安全威脅的識別、響應處置能力，構建了智能礦井“免疫系統”，最大限度地保障了智能礦井工業控制系統穩定、高效、安全的運行。