(山西省中阳荣欣焦化有限公司,山西省吕梁市,033400)
摘要:煤矿生产环节多,通常一个井工煤矿包含30多个安全生产管理子系统,每个子系统的功能作用不同,资产的重要程度不同,受到网络攻击后造成的后果差别也很大,安全防护等级要求亦各不相同,需根据每个子系统的安全等级,确定相应的防护能力,构建纵深的防御系统,做好各阶段信息安全的防护工作。
关键词:网络;安全;等级;防护
引言:随着国家对网络安全的重视程度的不断增加,作为能源行业里的煤炭企业,其网络系统的安全也日益凸显,如何保证煤矿网络安全也成为亟待解决的难题。
一、网络安全防护措施
1.加强边界安全防护
煤炭企业的生产控制系统与其他系统须做好边界划分和防护,且采用隔离手段进行隔离,禁止任何穿越边界的网络服务;实时控制和数据传输的生产控制系统须使用独立的网络设备组网,与其他系统采用物理隔离;生产控制系统涉及无线传输的,无线终端须进行唯一标识和鉴别,并采取加密传输的安全措施。但是针对工业控制系统可用性要求较高的特点,在防护过程中不能对系统的基本功能造成影响,避免部署安全措施的延迟对系统的影响和安全设备故障对系统的影响。
无线通信网络在矿井建设中被广泛应用,因没有明确的物理边界隔离,给网络安全带来了新的隐患。系统在有线网络与无线网络之间的访问和数据流应通过无线接入网关,要具有访问控制和入侵检测功能,只有符合条件的设备才能通过认证;应能够检测到非授权无线接入设备和非授权移动终端的接入行为,并能阻断链接;应能够检测到针对无线接入设备的网络扫描、DDOS攻击、密钥破解等行为和SSID广播、WPS等高风险功能的开启状态。
2.物理和环境安全防护
针对矿井生产环境的不同,可将整个系统划分为机房与调度中心区、地面安全区、井下安全区,分别采用相应的防护措施。在机房与调度中心区配置电子门禁系统,对重要工程师站、数据库、服务器等核心工业控制软硬件所在区域采取访问控制、视频监控等物理安全防护措施。USB、光驱、无线等工业主机外设的使用,为病毒、木马、蠕虫等恶意代码入侵提供了途径,拆除或封闭工业主机上不必要的外设接口可减少被入侵的风险。对于地面安全区设备应选择合适的安装位置,做好防盗、防破坏、防雷击、防火、防潮、防水、防静电以及防电磁干扰的措施。保证供电的可靠性与稳定性,采用冗余供电和备用电源;井下安全区在满足防爆区域特殊环境的情况下,选择适宜的硐室以保证供电的稳定性与可靠性,对通信主干线做好防护。
3.身份认证管理
3.1用户在登录主机、访问应用服务资源及工业云平台等过程中,应用口令密码、USB-key、生物指纹、虹膜等身份认证管理手段,必要时可同时采用多种认证手段。
3.2系统应满足工作需求的最小特权的原则来进行账户权限分配,确保因事故、错误、篡改等原因造成的损失最小化;同时,定期审计分配的账户权限是否超出工作需要。
3.3根据资产重要性,为不同子系统设定不同强度的登录账户及密码,并定期进行更新,避免使用默认口令或弱口令。
3.4可采用USB-key等安全介质存储身份认证证书信息,建立相关制度对证书的申请、发放、使用、吊销等过程进行严格控制,保证不同系统和网络环境下禁止使用相同的身份认证证书信息。
4.安全软件选择与管理
4.1系统主机与移动终端应具有软件白名单功能,能根据白名单控制软件安装与运行。
4.2在工业主机如OPC服务器、数据库服务器、工程师站、操作员站等应用的安全软件应事先在离线环境中进行测试与验证。
5.系统远程运维安全管理
如果工业控制系统开通HTTP、FTP、Telnet等网络服务,易导致工业控制系统被入侵、攻击、利用,原则上禁止工业控制系统开通高风险通用网络服务。确需进行远程访问的,可在网络边界使用单向隔离装置、VPN等方式实现数据单向访问,并控制访问时限,采用加标锁定策略,禁止访问方在远程访问期间实施非法操作;需远程维护的,通过对远程接入通道进行认证、加密等方式保证其安全性,如采用虚拟专用网络(VPN)等方式对接入账户实行专人专号,并定期审计接入账户操作记录;保留工业控制系统设备、应用等访问日志,并定期进行备份,通过审计人员账户、访问时间、操作内容等日志信息,追踪定位非授权访问行为。
6.安全监测平台
建设信息安全监控系统平台,对网络中的安全设备或安全组件进行统一管理,集中监测网络链路、安全设备及网络设备和服务器的运行状况,对各个设备上的审计数据进行收集汇总分析,对安全策略、恶意代码、补丁升级等进行集中管理,对网络中发生的各类安全事件进行识别报警和分析,及时发现、报告并处理(包括病毒木马、端口扫描、暴力破解、异常流量、异常指令、工业控制系统协议包伪造等网络攻击或异常行为)。
二、网络安全管理体系
网络安全保护除了依靠技术手段外,还必须与安全管理相结合,做到相得益彰,网络安全管理主要包括以下5个方面:
5.1建立机房安全管理制度,明确专业管理人员,定期维护机房配套设施,管理好各种敏感信息文档与移动介质。
5.2建立资产台账,根据资产的价值选择相应的管理措施,并对信息的使用,传输存储做出规范化管理。
5.3加强各类介质的安全管理,保证存储安全,对传递过程进行有效管控,建立归档目录清单并进行登记和定期盘点。
5.4制定软硬件及相关配套设施的维护管理制度,对相关设备及线路定期维护,做设备维护管理。对重要数据进行加密处理,对报废或处置设备中的敏感数据与授权进行彻底清除。
5.5加强漏洞与风险管理,定期开展安全测评工作,对发现的安全问题及时采取措施。在离线环境中对补丁进行严格的安全评估和测试验证,对通过安全评估和测试验证的补丁及时升级。
5.6建立网络与系统相关的安全管理制度,对安全策略、账户管理、配置管理、日志管理、日常操作、系统升级与打补丁、口令更新周期等做出规定。指定专人进行账户管理,对日志、监测和报警数据进行分析统计,及时发现异常行为。
5.7提升防范恶意代码意识,建立防病毒和恶意软件人侵管理机制,对工业控制系统及临时接入的设备采取定期扫描病毒和恶意软件、定期更新病毒库、查杀临时接入设备等安全预防措施,避免智能手机等移动终端在广域网与工控网之间共用。
5.8根据企业工业控制系统情况,记录和保存基本配置信息,建立工业控制系统配置清单,做好控制网络、主机和控制设备的安全配置,定期进行配置审计;对重大配置变更制定变更计划并进行影响分析,配置变更实施前进行严格安全测试。
5.9做好备份与恢复管理,对重要的业务信息、系统数据及软件系统进行定期备份,制定备份策略和备份程序、恢复策略与恢复程序。
5.10做好重要网络安全事件的应急预案,对相关人员进行定期培训,进行应急演练,做好安全事件处置工作。同时,每年至少对本单位落实网络安全等级保护制度情况和网络安全状况开展一次自查,发现安全风险隐患及时整改。
三、结论
通过建立健全网络安全治理体系、合理应用网络安全防护技术、加强网络安全运营管理等全方位措施才能得以实现。通过人防、物防、技防等综合手段,确保煤矿企业网络安全,为企业的安全生产和经营管理保驾护航,提升煤矿企业抗灾变的综合能力。
参考文献:
[1]国家发展改革委,国家能源局,应急管理部,等.关于加快煤矿智能化发展的指导意见.
[2]国家能源局,国家矿山安全监察局.矿智能化建设指南(2021年版).
[3]王丹识,王荣博.煤炭企业数字化转型现状、问题研究及建议 [J ].中国煤炭, 2021 , 47(12):7-11.
[4]山西省能源局,山西省公安厅.煤炭企业网络安全等级保护工作管理办法(试行)
.
[5]丁剑明.煤矿工业控制系统安全现状和解决方案[J].信息安全研究,2019,5(8):656-662.
[6]丁震,赵永峰,尤文顺,等.国家能源集团煤矿智能化建设路径研究[J].中国煤炭,2020,46(10):35-39.
[7]国家市场监督管理总局,中国国家标准化管理委员会.信息安全技术 网络安全等级保护基本要求:GB/T 22239-2019[S].北京:中国质检出版社,2019.
[8]王丹识,韩鹏军,王荣博,等.我国煤炭企业网络安全现状、问题分析研究与建议[J].中国煤炭,2022,48(7):39-40.
客服QQ:30444492琼网文【2021】1550-113号
增值电信业务经营许可证:琼B2-20210322
出版物经营许可证:新出发龙华出字第(2021)009号
广播电视节目制作经营许可证:(琼)字第00779号
版权所有 ©2002-2024 期刊网 琼ICP备2021005105号
