一、項目背景
隨著《有色金屬行業(yè)智能礦山建設(shè)指南》的發(fā)布。國內(nèi)各大礦業(yè)公司開始了以信息技術(shù)與礦產(chǎn)資源開發(fā)深度融合智能礦山建設(shè)熱潮,人工智能、工業(yè)互聯(lián)網(wǎng)、5G通信、大數(shù)據(jù)、區(qū)塊鏈、邊緣計算等新技術(shù)的不斷深化應(yīng)用,逐步在改變礦業(yè)開發(fā)的各個領(lǐng)域,礦業(yè)行業(yè)正逐步邁入遙控化、智能化、少人化乃至無人化發(fā)展的新階段。
但隨著原有封閉的礦山工業(yè)控制系統(tǒng)與開放的信息化系統(tǒng)融合,也帶來了大量的網(wǎng)絡(luò)安全威脅。而大型礦山企業(yè)工業(yè)網(wǎng)絡(luò)復(fù)雜,存在較多的管理薄弱環(huán)節(jié),更容易受到來自外部的惡意攻擊或內(nèi)部操作失誤所引起的網(wǎng)絡(luò)異常,由此造成停產(chǎn)和監(jiān)管部門處罰將會給企業(yè)造成大量損失。從國際上來看,有下列較為嚴(yán)重的網(wǎng)絡(luò)攻擊案例:
二、現(xiàn)狀分析
本項目礦業(yè)集團(tuán)旗下鉛鋅礦山遵循“綠水青山就是金山銀山”的發(fā)展理念,將綠色礦山建設(shè)作為企業(yè)發(fā)展之路。隨著大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)的飛速發(fā)展,企業(yè)主動提出向“智能”要效益,逐步啟動“智慧礦山”建設(shè)。隨著全員安全風(fēng)險管控數(shù)字化平臺的實施,需要同步完善礦業(yè)公司的網(wǎng)絡(luò)安全防護(hù)能力。
經(jīng)天地和興評估,某鉛鋅礦山生產(chǎn)網(wǎng)絡(luò)主要存在以下風(fēng)險:
(1)在邊界防護(hù)維度,各個區(qū)域之間可以進(jìn)行網(wǎng)絡(luò)上的互聯(lián)互通,但缺少有效控制手段。一旦工業(yè)控制網(wǎng)絡(luò)中的某一臺主機(jī)感染了病毒或惡意軟件,就有可能傳播至整個網(wǎng)絡(luò)中。
(2)在入侵防范維度,無法做到在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從內(nèi)/外部發(fā)起的網(wǎng)絡(luò)攻擊行為,以及對相關(guān)攻擊行為進(jìn)行記錄和追溯。
(3)在安全審計維度,未對核心設(shè)備、重要控制終端進(jìn)行日志審計,無法在事件發(fā)生時及時預(yù)警、追溯。
三、解決方案
優(yōu)化井下環(huán)網(wǎng)設(shè)備組網(wǎng),分別接入井下綜合控制網(wǎng)和監(jiān)控信息網(wǎng)。優(yōu)化地表網(wǎng)絡(luò),分別接入對應(yīng)交換機(jī),并進(jìn)行業(yè)務(wù)VLAN分段。整體網(wǎng)絡(luò)已地址VLAN進(jìn)行分隔,確保業(yè)務(wù)間基礎(chǔ)網(wǎng)絡(luò)安全性。
將工控防火墻部署在地表交換機(jī)與井下環(huán)網(wǎng)交換機(jī)之間,制定嚴(yán)格的安全策略。在地表交換機(jī)旁路鏡像流量方式部署入侵監(jiān)測系統(tǒng),對惡意流量進(jìn)行分析告警。并將日志審計設(shè)備接入地表環(huán)網(wǎng)交換機(jī),對全網(wǎng)核心設(shè)備進(jìn)行日志匯總審計。
四、應(yīng)用價值
天地和興為幫助礦山行業(yè)解決信息安全專業(yè)人員欠缺的實際情況,從企業(yè)實際需求和安全管理著手,通過產(chǎn)品靈活性改造和服務(wù)培訓(xùn)雙結(jié)合的方式提供解決方案,幫助企業(yè)管理人員快速熟悉產(chǎn)品功能建立安全運維管理制度。在智能化礦山建設(shè)的同時,建立既理解礦山業(yè)務(wù)需求,又懂礦山智能化、信息化的安全生產(chǎn)運營團(tuán)隊,使礦山企業(yè)逐步形成完善的安全管理體系,為智能礦山的發(fā)展奠定堅實的基礎(chǔ)。
評論