XX工控安全产品在煤炭矿井的应用实施项目解决方案定稿范本.docx

1、XX工控安全产品在煤炭矿井的应用实施项目解决方案定稿范本XX工控安全产品在煤炭矿井的应用解决方案1.项目背景1.1 前言煤炭矿井综合自动化系统是指在工业生产、管理、经营过程中，经过信息基础设施，在集成平台上，实现煤炭信息的收集、信息的传输、信息的办理以及信息的综合利用等。将先进和自动控制、通信、信息技术和现代化管理技术联合，将企业的生产过程控制、运转与管理作为一个整体进行控制与管理，以实现煤炭企业优化运转、控制和管理。而煤炭自动化系统作为整个矿井安全生产监控系统信息的集成，需要一个快速、安全、靠谱的网络平台为大批的信息流动供给支撑，同时要有一个安全生产信息应用系统为矿井安全保价护航。而煤炭综合

2、自动化系统中的工业控制系统（以下简称工控系统）是煤炭基础设备的重要构成部分，也是煤炭中基础设备的中心，有着可用性和及时性要求高，系统生命周期长的特色，因为我国关于工业安全领域的相关研究还处于起步阶段，防范能力和应急办理能力低，大部分煤矿基本没有任何防范理念和安全措施。且我国工控系统大批使用外国产品，要点系统的安全性受制于人，煤炭行业的安全存在必定的难度。特别是近年来工控系统安全事件频发，比方“震网” “火焰”“毒区”等 APT 攻击的出现，充分反映出煤炭工控系统信息安全所面对，一旦工业控制系统信息安全出现漏洞，将对煤炭企业正常的生产运转和经济安全造成重要隐患。1.2 煤炭自动化系统简介煤炭系统

3、整体结构分为管理层（信息层） 、控制层、设备层三层结构，各子系统主体传输平台为工业以太网。此中管理层为矿地面局域网系统；控制称以工业以太环网为数据传输平台，主要由整个监控中心设备及环网组层；设备层多采纳现场总线，保证了现场子系统的及时性和靠谱性，主要由个自动化子系统设备组层。在管理层，经过矿局域网系统，在各台计算机上，可以在一致的界面下依据权限和登记查察全矿的全部信息，将本部门的信息向管理网宣告，实现全矿安全生产的信息化管理。如视频监控系统、大屏控制系统等控制层是在工业以太环网上接入操作站、工程师站上，经过综合自动化软件平台向设备层的控制器发送控制指令，并实现对整个子系统设备的会合控制。如：井

4、下中央变电所排水系统、通风控制系统等，或对全部设备和环境参数的检测。如瓦斯检测系统、辅助运输信息等。设备层主要包含设备操作台、 PLC 控制箱、开关柜、传感器、履行器、行程开关等现场设备，是详尽控制设备的履行者。1.3 煤炭工控系统信息安全现状及风险煤炭和其余行业的工控主站系一致般处于相对封闭的专用网络，经过专用隔断装置与外界交互。跟着“两化” （信息化与工业化）的深度交融，工控系统正愈来愈多的使用通用协议、通用操作系统、通用硬件和软件。因为以太网、无线设备无处不在，整个煤炭控制系统都可以和远程终端进行互连，病毒、木马、蠕虫等信息网络安全问题直接延伸到工控系统。煤炭工控系统几个重要环节面对的信

5、息安全风险以下。1)在数据收集环节，煤炭工控系统终端设备一般长时间运转在自然条件恶劣的地下，不但简单出现物理安全问题，并且受限于设备自己的计算资源 终端设备难以全面应用各种信息安全防范技术，易遭到仿冒、窃听和篡改等攻击。2)在数据传输环节， 绝大部分工控系统都采纳国际标准的专有通信协议进行传输，此类协议绝大部分缺少有效的身份鉴别和接见控制系统，并以明文方式进行传输，以致重要的控制命令、参数设置等信息面对被窃听、篡改的风险。3)在数据办理环节， 工控系统更多采纳标准化的工控机或嵌入式系统， 以及通用的数据办理技术和协议，包含 Modbus ， S7、NDP3 等，这些协讲和技术从设计阶段主要考虑

6、及时性和可用性， 基本没有考虑安全要素， 以致没法进行一般意义上的安全维修，对工控系统造成日趋严重的威迫。2.煤炭行业工控安全解决方案2.1 工控安全解决方案简介工控安全思路简介企业没有简单照搬传统 IT 安全思想，而是以工控系统安全的视角，针对工控系统对靠谱性、稳固性、业务连续性的严格要求，以及工控系统软件和设备更新不屡次，通信和数据较为特定的特色，提出了成立工控系统安全生产与运转的“可信网络白环境”以及“软件应用白名单”看法，从而修建工业控制系统的网络安全“白环境” ：只有可相信的设备，才能接入控制网络；只有可相信的信息，才能在网络上传输；只有可相信的软件，才同意被履行；本设计思路无需大批

7、改造现有工控网络和屡次升级工控系统，技术靠谱适用，可落地性强。其主要长处包含：杜绝终端后门隐患工控安全产品可以帮助涉密单位、关系国计民生的大型工控企业对工控网络工作站、服务器进行安全防范和安全加固，杜绝安全后门隐患，响应国家书息安全国产化政策及号召。解决主机安全问题，减少安全生产事故工控安全产品具备先进白名单防范技术，可以有效抵挡病毒、木马、歹意软件、零日攻击、高级长远威迫 (APT) 攻击对工控网络工作站、服务器的攻击与破坏行为，真切帮助企业发现工控网络攻击，解决安全问题，使企业的安全投入物有所值。提升工控系统稳固性，减少系统泊车时间工控安全产品可以有效检测到操作员针对工作站、服务器的违规、

8、异常操作并加以阻挡，从而防范工控系统的不测泊车事故。同时，基于白名单技术的解决方案无需对工控网络结构进行改造，防范屡次升级工控系统，减少系统保护泊车时间。方案的拓扑图以下：工控安全产品简介1)可信界限网关简介：企业可信界限网关主要为保护工业控制网与管理信息网之间的界限而设计，支持对 OPC 等数采协议的深度分析， 阻挡来自管理信息网的安全威迫， 保护数据收集系统的安全。可信界限网关基于业界当先的软、硬件系统架构，其工控协议深度包分析技术不仅对二层三层网络协议进行分析， 更进一步分析到工控网络包的应用层， 对 OPC 等协议进行深度分析，防范应用层协议被篡改或破坏。利用可信界限网关可以成立可相信

9、的数采通信的模型，采纳黑白名单互补的安全策略，过滤全部非法接见，保证只有可相信的设备才可以接入工控网络，只有可相信的流量才可以在网间传输。为控制网与管理信息网的连接供给安全保障。其主要优势包含：支持私有协议的开发平台接口可信界限网关供给 SDK，开放的平台接口可以方便客户自行扩展支持私有协议，以及做定制化的二次开发。高性能般配算法工控系统对及时性要求异常苛刻，可信界限网关具备先进的硬件设计，采纳专用MIPS 多查办理器，为低延时、高吞吐的数据办理供给了坚固的基础保障。此中深度数据包分析引擎在实现稳固靠谱的数据包深度分析的同时，可以做到低延缓，保证了工控系统的及时性要求。可信界限网关联合软硬件加

10、快能力，即便在开启深度报文检测（ DPI ）的状况下也可实现 30000PPS 的吞吐量。高靠谱的软硬件一体化架构可信界限网关集成硬件加密引擎，为数据收集系统的数据传输供给了高性能的保证。别的，经过对可信网关和后台管理系统之间的全部数据交换进行加密，保证了整个系统的安全性和靠谱性。同时硬件物料精心选型，并且从电路设计、结构设计、系统冗余、时延、靠谱性、环境要求等方面严格要求，保证硬件的靠谱性。自主可控的智能工控安全操作系统可信界限网关在专用工业级、高性能网络安全硬件平台基础上，修建了自主知识产权的智能工控安全操作系统，此操作系统对流经可信网关的数据流做深度的协议分析和般配，并对数据流做智能调换

11、转发，以及对工控网络流量包的应用层内容做深度检查，为安全功能的扩展供给了坚固的基础保障。工控可信界限网关在传统网关功能的基础上，特地针对工控环境供给了工控协议的管控、基于白名单的接见控制策略、智能学习规则、规则测试模式、日记当地缓存等。化繁为简的使用体验可信界限网关以提升工业控制网络的平常安全管理、信息统计数据的易读性和可操作性为设计中心，降低操作复杂度，防范误操作。系统充分利用人工智能技术，大幅度简化分析、管理、控制流程，并供给简单易学的用户界面，方便管理人员平常操作管理。管理系统支持及时可视化体现工控网络链路的连通性和服务状态，供给多类历史监控数据比较分析，系统日记、配置日记、流量日记、攻

12、击日记、接见日记等种类日记的盘问与备份。2)可信地域网关简介：可信地域网关主要保护工业控制网络不一样安全地域间的安全， 支持多种工控协议，阻挡来自安全地域外的威迫，克制安全域中的病毒、木马向其余地域流传扩散。基于业界当先的软、硬件系统架构，其工控协议深度包分析技术不但对二层三层网络协议进行分析，更进一步分析到工控网络包的应用层，对 Modbus 、DNP3 、IEC104 、 Profinet等进行深度分析，防范应用层协议被篡改或破坏。利用可信地域网关可以成立可相信的工控网络地域间通信模型，采纳黑白名单互补的安全策略，过滤全部非法接见，保证只有可相信的设备才可以接入工控网络，只有可相信的流量才

13、可以在网间传输。为控制网、生产网内部各地域的连接供给安全保障。可信地域网关为控制网内部各地域间数据接见供给工控协议深度分析、工控指令接见控制、日记审计等综合安全功能。可信网关采纳了高性能、高稳固性的多核硬件架构，为用户供给高效、稳固的安全保障。其主要优势包含：及时精准的工控协议指令级控制可信界限网关搭载了深度数据包分析引擎， 可对工控协议做到及时和精准的鉴别，为解决针对工控网络的安全问题供给了技术基础保障， 支持对 OPC 等数采协议进行快速有针对性的捕捉与深度分析。可以对 OPC 等工控协议做到指令级控制，如： OPC 协议只读。支持私有协议的开发平台接口可信界限网关供给 SDK，开放的平台

14、接口可以方便客户自行扩展支持私有协议，以及做定制化的二次开发。高性能般配算法工控系统对及时性要求异常苛刻，可信地域网关具备先进的硬件设计，采纳专用MIPS 多查办理器，为低延时、高吞吐的数据办理供给了坚固的基础保障。此中深度数据包分析引擎在实现稳固靠谱的数据包深度分析的同时，可以做到低延缓，保证了工控系统的及时性要求。可信地域网关联合软硬件加快能力，设备满配策略条件下时延小于50us 。3)可信安全卫士简介：跟着工业 4.0 及两化交融的趋向到来，传统的工业控制系统网络安全问题已成为企业及国家安全面对的严重挑战。基于工业应用的特别性，作为工控系统重要构成部分的工作站、服务器等主机终端难以采纳传

15、统的杀毒软件等“黑名单”防范方式对付层出不穷的操作系统漏洞、计算机后门程序、病毒、木马、数据扫描、密钥数据块攻击、黑客攻击等多元化的风险及威迫，采纳更加安全、靠谱、方便的技术对其进行安全加固已经火烧眉毛。可信卫士基于“白名单”主动防守技术的主机安全防范软件，解决了工控系统主机病毒传染、歹意脚本履行、操作系统内核漏洞隐患、应用程序缓冲区溢出攻击等问题，可以与威努特可信地域网关、可信界限网关等共同成立可控、靠谱、可管理的工控网络“白环境”纵深安全防守系统。其主要优势包含：有效防范零日攻击、 APT 攻击基于 “软可信”技术，与“白名单“技术相联合，不依赖于攻击样本收集及攻击特色的提取， 可以有效的

16、防守零日攻击、 APT 攻击等传统杀毒软件力所不及的攻击方式，保护主机终端的连续安全。极致简单，易管理保护，合适工控环境操作极致简单，不需屡次更新威迫特色库来保持对新威迫的防范能力，防范了升级可能造成的系统兼容性风险，易于现场管理保护，特别合适在工业控制系统中使用。系统资源需求量小，亦合适老旧设备不像传统反病毒软件或 IDS/IPS 设备依赖于一个急剧增加的特色库，可信卫士根据每个客户的详尽生产环境成立一个小规模的白名单，对系统资源占用量小，亦合用于工控环境中老旧设备。2.2 工控安全煤炭行业系统架构总系统统架构图总系统统架构说明可信界限网关：方案在信息层和控制层，控制层和设备层之间架设可信界

17、限网关。并在每一个控制系统中部署可信界限网关，包含大卷皮带控制系统、通风机控制系统等。主要用于监察和控制在信息层与控制层、控制层与设备层之间，以及各个系统之间的通信数据报文，经过“白名单”放行正常的报文，可有效防范信息层和控制层向设备层传递“不行信”的指令。检测并防范来自与局域网和互联网的攻击防范，包含 Land 、Ping 、 Teardrop 等异常报文和异常流量的攻击。可信局域网关：在设备层的每一个地域需要配置可信局域网关，使其形成逻辑地域。主要用于依据端口和协议特色，深度分析传输的详尽内容，以防范异常的流量、异常的指令、异常的操作、异常的报文等传递至地域网络内，两重保障正确鉴别工业协议

18、报文。可信工作站：可信工作站部署在每一部工程师站、操作站上，经过灵巧配置白名单，加强安全的同时降低保护成本，保证有效抵挡零日攻击及高级长远性威迫（ APT）；经过授与权限自动追加安装程序，保证不被受权的软件在系统中运转。各子系统架构说明（以选煤厂控制子系统为例）因煤矿所涉及的子系统许多，因此以选煤厂控制子系统为例介绍相关的安全解决方案。在完成一个主要功能的设备群之上部署可信地域网关（硬盘录像机、枪机、球机、云台摄像机等设备主要完成了摄像功能）的每一个地域需要部署可信局域网关，使其形成一个地域。在地域中会依据端口和协议特色， 深度分析传输的详尽内容， 以防范异常的流量、异常的指令、异常的操作、异常的报文等传递至地域网络内，两重保障正确鉴别工业协议报文。