煤矿行业工控系统安全解决方案解决方案，煤矿行业工控系统安全解决方案有哪些。

煤矿行业安全解决方案

背景介绍

随着物联网、移动互联网、大数据技术的发展，煤炭工业“两化”融合将向系统高度集成、综合应用、自动控制等方面渗透，基于信息融合技术将渗透到生产、安全与经营各个层面，利用智能专家系统、现代企业管理理论，形成针对煤矿安全、生产、管理、营销等方面的决策支持系统，大数据和云平台将承担推升煤矿管理效能的作用，逐步实现软硬件资源的高可用性，最终使矿井达到高度信息化、自动化、高安全、高可靠、高效率及高效益的目的，实现以信息技术为核心的“数字矿山”。煤炭行业的工控系统作为生产系统的核心，必须加强网络安全建设，着力提高工控系统网络安全应急处置能力，构建联防联控的工控系统网络安全体系，杜绝网络威胁攻击，实现煤炭行业工控系统的安全，进而实现煤炭生产的本质安全。

安全挑战

缺乏整体信息安全规划。

缺乏工控安全管理制度、应急预案、培训与意识培养。

各系统之间缺少边界防护。

调度人员有时通过连通互联网的手机在调度室主机U口上充电，导致生产网络通过手机被打通，造成边界模糊。

主机操作系统老旧，从不升级，极易出现安全漏洞和缺陷；新建系统主机虽然会安装杀毒软件，但是为保障生产运行，杀毒软件一般处于关闭状态，这些都存在安全隐患，无法防御“0-DAY”病毒和勒索病毒。

调度人员或运维人员使用带有病毒的U盘插入主机中，造成整个网络感染病毒。

煤炭生产现场PLC多为西门子或AB的产品，而PLC本身存在漏洞，西门子和AB近些年被曝出存在高危漏洞，攻击者可以利用漏洞控制现场设备，执行错误命令，严重影响安全生产。

组态软件安全性无法保证：全部由第三方开发维护，安全性无法得到保证。

部分主机未关闭远程桌面（3389）端口，存在被攻击者恶意利用的可能。

部分系统主机及系统服务器自安装后均未更新过系统补丁，存在操作系统漏洞被攻击者恶意利用的可能。

未对工控系统关键设备进行信息安全审计，未对工控系统帐户进行定期审计，且缺乏对违规操作、越权访问行为审计的能力。

没有第三方设备维护管理规定及操作行为审计，仅通过矿方简单授权即可对关键工控设备进行操作。

缺少工控网络安全方面的应急预案，在受到网络安全危害后没有应急处置手段。

缺少对设备集成厂家的管理制度，没有相应对设备集成厂家移动设备接入的管理规定，给系统带来风险。

典型部署

监测审计

在地面环网交换机、核心交换机上旁路部署工控安全监测审计系统，对网络内传输的流量进行采集、分析和处理，结合特定的安全策略，对异常操作、攻击等行为进行事中告警、事后审计。

入侵检测

核心交换机旁路部署入侵检测系统，对流量进行特征提取并与规则库进行匹配，快速有效识别出工业控制网络中存在的异常、攻击行为。

边界防护

在各业务系统接口间冗余部署工控防火墙，实现区域边界防护；在矿井自动化系统与MES系统、办公网间部署工业网闸，实现不同安全域间隔离防护。

运维管控

在数据中心部署运维堡垒机，实现设备远程运维操作的全面审计和行为管控，满足远程运维管控要求。

终端防护

在操作员站、工程师站上部署终端防护系统客户端，实现终端安全加固、进程白名单管控和USB移动介质管控。

安全管理平台

在数据中心部署安全管理平台（含日志审计），对安全设备、网络设备、主机设备的日志和告警进行归一化采集和关联分析，展现安全态势和预警，全面提升安全防护效率和安全管理能力。

客户价值

符合“智能矿井、智慧矿区”智能化建设安全保障要求，确保数据机房及5G场景下智能化矿井生产业务安全运行。

以“一个中心，三重防护”为建设原则，采用工控“白名单”、“自学习”等技术实现安全建设“最小干扰”的综合安全防护。

图形化的安全运维管理方式，支持故障自主诊断、关联分析和快速定位，提高工控网络对安全威胁的反应和应对能力。