*本文原创作者：liujianshuai，本文属FreeBuf原创奖励计划，未经许可禁止转载

摘要：

煤炭工业控制系统是整个煤炭企业安全生产监控系统信息的集成，它需要一个快速、安全、可靠的网络平台为大量的信息流动提供支撑，同时要有一个功能全面的安全生产信息应用系统为矿井安全生产提供科学调度、决策的依据。做好煤炭企业工控安全建设是实现生产安全的必要保障。

关键字：煤炭  工控安全  工控系统

一、概述

煤炭行业是指以开采煤炭资源为主的一个产业，它是国家能源的主要来源之一，也是国家经济的重要支柱之一。

一般能源行业包括煤炭、石油石化、电力等，而国家《网络安全法》第三十一条要求：国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。所以煤炭的开采和加工属于能源行业是国家关键基础设施，应依照国家标准加强网络安全防护。

中国煤炭资源丰富，主要分布于黑龙江、内蒙古、山西、山东、江苏、河北、陕西、宁夏、河南、贵州、新疆等省份。开采方式采用煤炭掘进机、皮带以及其他技术将煤炭从地下运出，然后将原煤输送到选煤厂，利用煤炭和矸石物理、化学性质差异，将煤和杂质分离出来，加工成商品煤，最终输送到电厂、化工厂、钢厂等进行有效的应用。

二、煤炭生产系统架构

2.1. 业务架构

煤炭生产业务架构图

煤炭生产系统主要分为五层，分别为设备层、控制层、生产执行层、经营管理层和决策支持层。具体包括：

l 设备层包括传感器、仪器仪表、阀门、射频识别、摄像头、皮带、机械和装置等，是煤矿进行生产活动的物质技术基础；

l 控制层包括输煤皮带系统、选煤厂集控系统、安全监控系统、电力监控系统、通风系统、供水系统等控制系统，这些控制系统通过各自的PLC对底层设备进行控制；

l 生产执行层包括生产管理、调度管理、安全管理、机电管理等系统，用来对整个生产系统进行集中控制和统一管理；

l 经营管理层包括ERP系统、项目管理系统和办公系统等，通过分析生产数据来达到经营管理的目的；

l 决策支持层主要通过经营管理层提供的数据来对整体发展方向做决策。

2.2. 网络架构

煤炭生产网络架构图

l 煤炭生产网络主要由工业以太网构成，分地面工业以太环网和井下工业以太环网、调度中心网络。

l 以上三个网络由两台核心交换机将井下和地面系统连接起来，同地面的调度中心进行数据通讯。

l 调度中心负责各个系统的数据采集和分析、监视，以及部分辅助子系统的控制工作。

l 煤炭生产控制主要控制工作在现场各个子系统的控制室完成。

l 煤炭生产控制系统主要控制器品牌：AB和西门子，浙江中控和和利时等。

l 系统主要通讯协议：OPC、MODBUS、profinet等。

三、风险分析

目前煤矿生产系统逐步实现数字化矿山的改造和建设，但是网络安全建设依旧没有跟上信息化建设的步伐。现场工业网络目前可以实现正常的通讯，满足基本生产运行，但工控安全防护设备较少，一旦出现问题，可能会影响生产运行，后果不堪设想。笔者总结煤炭企业存在风险如下：

l 缺乏整体信息安全规划；

l 缺乏工控安全管理制度、应急预案、培训与意识培养；

l 调度人员有时通过连通互联网的手机在调度室主机U口上充电，导致生产网络通过手机被打通，造成边界模糊。

l 主机操作系统老旧，从不升级，极易出现安全漏洞和缺陷；新建系统主机虽然会安装杀毒软件，但是为保障生产运行，杀毒软件一般处于关闭状态，这些都存在安全隐患，无法防御“0-DAY”病毒和勒索病毒。

l 调度人员或运维人员使用带有病毒的U盘插入主机中，造成整个网络感染病毒。

l 煤炭生产现场PLC多为西门子或AB的产品，而PLC本身存在漏洞，西门子和AB近些年被曝出存在高危漏洞， 攻击者可以利用漏洞控制现场设备，执行错误命令，严重影响安全生产。

l 黑客也可通过技术手段潜入生产网络，获取关键生产数据，牟取利益。

四、方案设计

4.1. 设计规划

煤炭企业工控网络总体信息安全建设，主要从两大体系进行规划：信息安全技术防护体系，信息安全管理体系，结合《工业控制系统信息安全防护指南》和《GB/T 22239-2008 信息系统安全等级保护基本要求》进行统一规划建设。

4.2. 参考标准及法规

l 《工业控制系统信息安全防护指南》（工信软函〔2016〕338号）

l 《GB/T 22239-2008 信息系统安全等级保护基本要求》

l 《网络安全法》

4.3. 技术设计方案

煤炭生产系统整体防护部署示意图

l 部署工业防火墙：控制层与生产执行层间无安全防护，煤矿现场控制层可能受到非法的网络访问和恶意代码的入侵，影响控制器的正常工作。在煤矿控制层与生产执行层间部署能够识别工控协议的工业防火墙产品，将煤矿控制层与生产执行层进行逻辑隔离，并设置严格的访问控制策略，通基于IP、端口、协议等的访问控制设置，杜绝控制系统的非法访问，隔离网络攻击和病毒（包含工业病毒）的跨区域的串扰，保护工业环网的安全运行。

l 部署工控IDS：外部网络流量需要由执行层进入控制层，进入控制层后没有流量检测装置，无法判断外部流量生产控制层的是否存在异常网络攻击、恶意代码等。在控制层和生产执行层边界交换机旁路部署工控IDS，对进行控制系统的流量进行收集、分析和检测，实时监测外部流入的流量是否存在可能导致控制系统异常的攻击行为和恶意代码，若发现网络安全威胁可第一时间产品告警，提示运维管理人员采取处置措施。

l 部署主机防护软件：为保证主机设备的正常运行，煤矿控制系统的操作员站和工程师站基本不安装杀毒软件，导致主机设备可能存在未被发现的恶意代码程序且无法抵御病毒、木马等恶意代码的入侵。在煤矿控制系统的工程师站和操作员站安装主机防护软件，使用“白名单”技术固化工程师站和操作员站所能够运行的应用软件，恶意代码软件、违规软件无法在工程师站和操作员站运行，保护工程师站和操作员站不受恶意代码的破坏，能够安全稳定运行。通过对主机接口的管理，防止外设在主机上随意使用。

l 部署工控安管平台：煤矿控制系统在做好信息安全的相关建设或整改后，增加了网络安全性，但是也增加了一定的管理难度。在控制层部署安全管理平台，对所使用的安全产品进行统一管理，主要包括数据监测、日志收集和报警展示，通过使用统一管理平台可以大大降低运维管理的工作难度和工作量、同时可采集煤矿控制系统的主机设备、网络设备、安全、业务软件的日志进行统一留存和管理，运维管理人员可通过统一管理平台监控全网的报警信息，发生安全事件后，可第一时间采取处置措施。

4.4. 管理设计方案

煤炭企业在进行工控安全技术建设的同时，也不能忽视工控安全管理建设，我们在企业安全建设始终强调“三分技术，七分管理”。

安全管理体系方面，通过制定和完善工控网络安全管理制度，形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度保障体系，做到有章可循、有法可依、人人有责的工控网络和系统安全建设格局。

安全制度管理结合煤炭企业网络安全管理工作现状，笔者建议制定以下文件：《工控安全管理办法》、《工控安全部门、岗位职责文件》、《工业控制系统介质管理程序》、《工业控制系统外部人员访问管理制度》、《工业控制系统PLC管理制度》、《工控安全事件管理办法》等工控安全管理制度。

同时通过协助企业制定《工控安全应急预案》、《工控安全服务办法》，定期组织工业控制系统信息安全培训，定期进行风险评估等，全面实现企业整体信息安全防护。

五、小结

方案依据PPDR（安全策略、保护、检测和响应）安全保障模型设计，形成“事前防护-事中监测-事后响应”的整体安全防护策略。简化运维管理，不需要频繁升级特征库，简化运维管理工作量，同时能够防护未知恶意代码或黑客的攻击。

该方案符合《信息安全技术 网络安全等级保护基本要求》的规定，安全建设内容满足等保及检查要求。

六、致谢

本文在撰写过程中，得到中煤集团管理专家杨峰老师、神华集团煤炭安全专家秦伟老师、启明星辰工控安全专家孟雅辉老师的悉心指导，谨此鸣谢。 

*本文原创作者：liujianshuai，本文属FreeBuf原创奖励计划，未经许可禁止转载