岳 濤

（晉能控股煤業集團趙莊二號井，山西 長治 047100）

0 引言

面對日益嚴峻的工控系統網絡環境，趙莊二號井煤礦作為國家關鍵信息基礎設施運營者、工控系統的使用者，一直緊緊圍繞貫徹落實黨中央、國務院重大戰略決策，積極推進工控安全建設工作。通過本次工控系統網絡安全防護建設，不僅能提高趙莊二號井煤礦工控安全的整體防護水平，更能緊跟國家、集團相關要求，實現國家關鍵信息基礎設施運營者應有的社會責任和義務，滿足煤炭行業及集團對企業網絡與工控系統網絡安全要求。

1 安全技術體系設計

1.1 現狀分析

1.1.1 安全計算環境

根據煤炭生產網絡拓撲圖，趙莊二號井發現如下問題：

圖1 趙莊二號井現狀拓撲圖

1）煤礦調度室電腦和各個生產服務器未部署方式惡意代碼的軟件，無法對病毒進行防護，由于工業系統的特殊性，也無法對系統補丁進行及時更新。

2）無法對用戶非法外聯，非法插拔移動存儲介質進行管控，一旦移動存儲介質中有病毒，將造成大片調度電腦，生產服務器發生故障，進而影響煤礦正常生產。

3）缺乏有效的手段對各個工業控制系統服務器主機，操作系統進行風險監控。

根據煤炭辦公網絡拓撲圖，趙莊二號井發現如下問題：

1）各個辦公電腦和服務器未部署方式惡意代碼的軟件，無法統一對病毒進行防護，無法對病毒庫進行升級。

2）無法及時發現辦公電腦系統漏洞，并進行統一的打補丁操作。

1.1.2 安全區域邊界

經過對煤礦生產網和辦公網調研，趙莊二號井發現如下問題：

1）煤炭專網和生產網之間未進行有效隔離，無妨對工業協議進行深度解析，無法對非法工業操作進行識別和阻止。

2）無法對可能的入侵行為進行檢測和阻止，一旦發生網絡安全事故，煤礦沒有能力對攻擊進行及時阻止和實時預警。

3）在生產網內部未對非法操作行為，非法流量進行審計和日志記錄，不便于日后發生網絡安全事故進行溯源。

4）井下無線網與辦公網之間為未進行有效隔離，存在一定風險，不符合等保要求。

1.1.3 安全管理中心

經過對煤礦生產網調研，趙莊二號井發現如下問題：

1）未建立安全管理中心，根據等保2.0的要求，應建立安全管理中心。

2）未對重要設備操作行為進行審計，未對操作用戶進行權限鑒別，因此無法判斷是那個用戶在什么時間進行了什么操作。

3）未對設備日志進行統一管理，在發生網絡安全事件時，增加了安全人員溯源的難度。

4）生產網對所有安全設備網絡設備的流量，日志進行統一管理并進行分析，尤其是對工業協議的解析。

經過對煤礦辦公網調研，趙莊二號井發現如下問題：

1）辦公網無法檢測到未知攻擊，不能及時預警。

2）無法對辦公網內的電腦進行統一管理，不能及時發現病毒進行查殺。

1.2 安全計算環境建設

1）各個調度電腦和生產服務器安裝工控主機衛士，工控主機衛士主要針對煤礦生產子系統無法安裝傳統殺毒軟件的痛點出發，采用基于白名單的主機加固方案來對現有系統文件進行加固，防止病毒入侵服務器和電腦后進行破壞；同時針對調度人員非法插USB設備進行管控，防止U盤帶毒感染工業控制系統，同時防止操作人員非法卸載關閉主機衛士進行管控。

2）在赫斯曼交換機或者各個生產服務器區的匯聚交換機旁掛工控漏洞掃描系統，對各個生產子系統服務器，生產子系統，井下PLC等工業設備進行資產的識別，漏洞的掃描發現，并對漏洞提出整改意見報告，協助用戶進行安全整改。

1.3 安全區域邊界建設

1）工業防火墻至關重要，在辦公區域網絡和生產區域網絡進行部署，替換原先的網閘，對工業協議進行深度解析，同時通過ACL策略來進行訪問控制策略的部署，防止煤炭專網和集團網下發帶有非法操作的工業指令。

2）在無線網邊界與辦公網之間部署工業防火墻，一方面對工業協議進行解析，另一方面是通過工業防火墻內部的入侵檢測和病毒過濾功能來對入侵和病毒進行防御和阻止。

3）在上傳區與生產網之間部署網閘（利舊），對數據上傳業務進行防護。

1.4 安全管理中心建設

1）部署日志審計系統，采集并分析安全設備，網絡設備的日志進行分析。

2）部署運維審計系統，對資產（安全設備，服務器，web頁面）進行管理，統一對操作行為進行審計管理，防止誤操作。

3）部署工控安全檢測審計平臺，對工業流量進行審計，并及時報警非法流量。

4）部署工控安全態勢感知平臺對整個工業環境進行監控，同時對接日志審計，工控安全檢測審計平臺等一列產品，形成對整個工業環境的態勢感知，包括對非法操作，敏感信息，非法入侵等進行集中展示，同時根據公司自身現狀定制化態勢感知平臺場景應用等。

5）部署APT攻擊預警平臺對為未知攻擊，未知文件進行檢測，一旦匹配攻擊樣本，APT將會進行報警，通知管理人員進行阻斷。

6）部署EDR對辦公網內的電腦進行集中管理，統一殺毒，統一補丁修補，對病毒流量進行隔離。

2 安全管理體系設計

2.1 安全管理制度

以安全管理體系為核心，相關管理規定及制度辦法圍繞管理體系進行制定。具體的規定及制度辦法，必須遵循政策文件中所要求的安全原則、安全方法和安全策略，同時保持較強的可操作性，能夠得到廣泛的推廣和有效果的實施。

發布流程、管理方法和管理范圍必須經過嚴密的制定，保持系統格式高度統一，系統版本需要有效的控制，同時經過正規有效的途徑進行發布，發布范圍要明確標注，要詳細的登記所接收和發布的文件。

信息安全管理部門負責組織專業人員對安全管理體系的合理性進行定期審核，同時對管理體系的適用性進行驗證，對出現的問題進行及時修訂，如修訂后內容仍不充分需進行改進。

2.2 安全管理機構

1）以安全管理體系為核心，建立安全管理的具體組織方式，明確安全管理的運行機制；

2）設置安全、系統、網絡管理員等崗位，并相應配備符合要求的工作人員，配備專職負責安全的人員；成立領導小組，對信息安全方面的工作進行全方位的指導管理，組長由單位負責人指派或授權；制定文件，明確安全管理機構各部門、各崗位的職責、分工和技能要求。

3）建立授權與審批制度；

4）建立內外部溝通合作渠道；

5）定期進行全面的安全檢查，尤其是系統的日常運行、系統漏洞和數據備份等。

2.3 人員安全管理

以安全管理體系為核心，針對人員招聘、員工離崗、績效考核、員工培訓等制定相關規定，并參照規定嚴格執行；針對外部人員制定明確的準入流程，并參照流程嚴格執行。

2.4 系統建設管理

以安全管理體系為核心，針對系統構建研究開發管理系統，開發原則應符合系統等級、系統全方位安全設計、產品供銷、軟件開發、項目實施、測試驗收、日志記錄、等級評價、安全服務等基本要求。從項目開展的前期階段、中期階段、后期階段3個方面，從最開始的等級設計到最終的驗收評價，圍繞項目開展的整個周期的角度進行系統構建管理。

3 安全運營體系設計

3.1 定級備案服務

根據等級保護定級備案表和信息系統定級報告，完成定級備案過程。

圖2 定級流程圖

3.2 等級保護管理體系設計

信息安全管理體系建設，依據等級保護基本要求、ISO27001及客戶相關制度和標準，建立全面的安全管理模式，包括詳細的安全策略、完善的管理制度和可行性強的操作規程。

圖3 管理體系

3.3 安全漏洞檢測設計

在系統服務范圍內，針對各種軟硬件設備進行全面的掃描和分析，掃描范圍包括網絡層、系統層、數據庫和應用層。掃描過程中所使用的規則庫應涵蓋各類標準，如CVE、CNVD等。掃描結束后如果出現系統漏洞、口令有風險、數據庫配置不合理等問題，需要通過人工進行驗證，同時出具最終有效的檢測報告，并提出在檢測中所出現問題的解決方案。

3.4 安全運營服務設計

定期收集客戶所使用系統的入侵檢測設備、入侵防御設備以及防火墻的日志，進行全面分析，對入侵信息的真假進行嚴格篩選，同時根據當前網絡系統的真實情況，對網絡系統的安全態勢進行診斷，如果發現有事件正在入侵網絡或者嘗試著入侵網絡，發出警告立即通知客戶并且根據入侵事件提供完整的技術措施阻止其繼續入侵，同時對目前所使用的策略進行進一步的優化。

3.5 信息安全加固優化

信息系統的加固主要包括3個方面：網絡設備加固、操作系統加固和應用系統加固。

1）網絡設備安全加固。提供的網絡服務不是必要的需要禁用、網絡配置存在隱患的需要修改、對設備的訪問需要根據原則進行控制、系統軟件版本落后需要及時進行更新升級、物理保護環境應該嚴格按照IPP要求進行設計。

2）操作系統安全加固。系統補丁需要嚴格按時檢查、停止一切不是必須提供的服務、訪問權限存在不合理的需要修改、安全策略按照最優方案進行修改、賬戶與密碼的安全強度需要嚴格檢查、開啟審核策略、關閉不重要或不常用的端口等。

3）應用系統（WEB系統、數據庫）安全加固。對要使用的操作數據庫軟件（程序）進行必要的安全審核，比如對ASP、PHP等腳本，這是很多基于數據庫的WEB應用常出現的安全隱患，對于腳本主要是一個過濾問題，需要過濾一些類似“,”、“′”、“;”、“@”、“/”等字符，防止破壞者構造惡意的SQL語句。安裝最新的補丁，使用安全的密碼、賬號策略，加強日志的記錄審核，修改默認端口，使用加密協議，加固TCP/IP端口，對網絡連接進行IP限制等。加固流程圖見圖4。

圖4 加固流程

4 結語

在安全管理體系建設過程中，技術和管理的融合顯得尤為重要，缺一不可，不論忽視技術還是忽視管理都將對工作產生巨大的安全風險和安全隱患，因此技術建設和管理建設需同步進行。本文運用現代信息技術和科學的管理手段，采用先進的安全設備和前沿的大數據分析技術，進行統一的安全規劃，科學實施，功能齊全、技術先進的、安全穩定，進一步保障了煤礦的網絡安全。