智能矿井工控网络安全防护系统研究与实践

权晓鹏

(潞安化工集团 科技研发中心，山西 长治 047100)

山西高河能源有限公司作为国家首批智能矿井，建设了全面感知、实时互联、分析决策、自主学习、动态预测、协同控制的智能化系统，以实现开拓、采掘、运输、通风、安全保障、运营维护、经营管理等智能化运行。矿井工业控制系统是智能矿井安全生产的核心部分，随着矿井工控网络、工控系统、工控软件与安全生产管理数据的深度融合，网络病毒威胁正在向工控网络系统扩散，工控安全问题日益突出。一旦发生重大的工控网络病毒攻击事件，会严重危害矿井安全生产，构建智能矿井工业控制网络安全防护系统势在必行。

1 高河能源工控网络安全现状

高河能源工控网络主要由生产内网、办公网组成。工业内网网段为172.16.0.0/16，办公网网段为192.168.0.0/16。生产内网和办公网之间部署思科防火墙隔离。

1.1 工控网络管理问题

工控终端设备和服务器之间病毒防护薄弱，通过网络流量管理工具对安全生产工控服务器、工控网络交换机、终端传感器等设备间的流量数据进行扫描分析，发现工控网络存在安全隐患，扫描结果如图1所示。

图1 工控网络设备间流量分布

通过分析，172.16.20.135(胶带集控服务器)与192.168.30.145(工业视频服务器)之间存在大量异常数据流量，通过与网络病毒数据库比对分析，这两个工控系统感染了“永恒之蓝”、“木马”病毒。如果不及时查杀，病毒会迅速感染生产内网系统，造成工控系统瘫痪，影响矿井的安全生产。

1.2 网络设备管理问题

矿井网络安全运维技术人员不能及时掌握工控系统设备运行状态、生产网络流量、病毒数据等网络安全管理信息。

1.3 工控网络架构问题

工控系统500多台设备部署在同一个二层网络广播域内，同一链路中存在大量无效广播流量，网络带宽利用率大大降低。更为严重的是，部分工控系统服务器通过双网卡同时接入了生产内网与办公网，绕过了防火墙设备，导致内、外网的数据直接联通，存在重大网络安全隐患。

2 工控网络安全解决方案

智能矿井工控网络安全系统按照《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)，要求建设一体化安全管理系统，部署工控网络终端杀毒系统，实现整个工控系统审计、病毒防护及整体网络安全监测。

1) 工业控制系统终端(PC和服务器)部署工业级杀毒系统，实现防御病毒、工控软件监控和系统漏洞自动修复等功能，最大限度杜绝病毒的侵袭，提升工控系统架构安全。

2) 部署工控网络安全网关，对全网流量监测，综合分析不同时段、不同应用、不同IP段的流量可视化监控，分析工控数据传输瓶颈，为工控网络故障定位、网络流量控制优化、制定带宽使用策略提供高效的技术支持，工控网络安全网关安装位置如图2所示。

图2 工控网络安全网关部署示意

3) 启动工控网络内置防火墙，阻止内网病毒对工控系统的探测和攻击。优化生产内网配置，以工控业务安全等级需求设置4个广播域，降低广播风暴对整个工控网络的影响。

3 实施效果

3.1 病毒防御

高河能源74台工控系统主机和服务器部署了工控杀毒系统，从实施以来共抵御病毒和网络攻击4 577次，发现并查杀病毒8 925个，对工控系统网络安全性能实行监视控制。鲍村通风机服务器病毒防护效果如表1所示。

表1 工控鲍村风机服务器病毒防护

3.2 工控网络流量监控

部署工控网络安全网关，运维人员可以直观地分析工控生产内网系统流量分布、趋势和主机的连接情况，实现工控网络流量可视化管理，工控网络流量分布如图3所示。

图3 工控网络应用业务流量分布

工控网络重要设备流量管理如表2所示。

表2 工控网络重要设备流量管理

通过防病毒控制中心，运维人员可实时了解整个工控网络病毒防御状态，制定针对性的工控网络安全策略。

工控系统运管技术人员通过工控网络流量监控系统，真正做到了全面掌握网络流量分布，对网络优化提供了有力的数据支撑，并根据工控业务实际情况对流量进行控制，及时掌握重要工控设备的运行状况，提升智能矿井工控系统的安全运维管理水平。

4 结 语

高河能源工控网络安全防护系统，实现了工业控制网络系统故障诊断、异常告警、病毒防御等安全防护措施，提升了对工控网安全威胁的识别、响应处置能力，构建了智能矿井“免疫系统”，最大限度地保障了智能矿井工业控制系统稳定、高效、安全的运行。