1、方案背景与目标

某矿业公司是目前国内乃至亚洲规模最大的露天铁矿山，体量大、设备大、工艺复杂，全红矿焙烧、采空区全国独有，安全生产难度不言而喻。为响应国家发改委、能源局、国家矿山安监局等部门的矿山智能化建设要求，该矿业公司充分运用工业互联网、5G、物联网等先进技术，将矿石采掘电铲、矿石洗选等设备的信息实时引入智控中心，实现对电铲、堆取料机、洗选设备等设备的远程操控，显著地提高了生产效率。然而，新技术的广泛应用也引入了新的网络安全风险，一旦遭到网络攻击，可能造成更加严重的安全生产事故。

本项目一方面基于矿山业务流、数据流和控制流特性，研制开发了一套矿山行业专用工控安全产品集，应用在矿山工控网络，可全面提升系统的网络安全“监测、预警、防护、处置”能力。另一方面，研制搭建了矿山行业工业互联网靶场平台，可用于开展网络安全理论培训、攻防演练、比武竞赛等活动，提升人员网络安全理论知识水平和网络安全应急处置能力。

2、方案详细介绍

2.1 需求分析

2.1.1应用行业特点：

（1）矿山行业一直以来以安全生产为主，在网络安全方面的建设投入和重视程度不足。

（2）矿山行业普遍采用国外厂家的DCS、PLC、组态软件、工业路由器、工业交换机等软硬件设备，国内厂商市场占有率较小，国产化替代难，存在严重的安全隐患。

（3）矿山行业企业的网络安全工作一般由机电科、信息化部门负责，人员专业程度不够，缺乏网络安全理论知识、网络攻防实战能力薄弱。

2.1.2具体场景特点：

（1）矿山行业一般在信息网部署网络安全产品，在工控网的安全投入较小，一般也就在工控网边界部署工控防火墙或工控网闸，工控网络整体安全能力薄弱。

（2）矿山行业在进行等保测评时，一般优先考虑信息网、大数据平台、门户网站等，未严格按照等保2.0要求，对工控系统进行测评。

（3）矿山行业工作重点是在调度中心监控安全生产（包括设备、人员、井下通风、瓦斯浓度等环境参数），没有专人实时监测系统的网络安全威胁。

2.1.3拟解决的痛点问题：

（1）工控网络边界安全威胁防护。工控网络边界是第一道防线，由于信息网与工控存在正常的信息交互，流量大、协议类型多，如何从海量的交互信息中快速、精准地识别并阻断恶意入侵攻击行为，是要解决的首要问题。

（2）工控网络内部安全威胁监测预警。内部人员的误操作、非法操作以及不合理的运维方式（如随意插入有病毒的U盘、接入私人电脑等）都可能导致业务不能正常运行，如何从工控流量、工控协议以及访问控制策略等角度，识别内部的安全威胁，及时进行告警，是要解决的第二个问题。

（3）工控网络安全意识不足与网安专业人才缺失。矿山行业人员普遍觉得工控网与信息网是安全隔离，不会出现网络安全问题，对当前黑客的网络攻击能力不够了解，如何针对不同类型的人，制定相应的培训课程，让广大员工在日常工作中提升网络安全意识，要解决的第三个问题。

2.1.4实施目标

（1）对工控网络边界流量进行深度解析，对安全策略进行精细化配置，区别外部安全威胁不会进入工控网络内部。

（2）对工控网络内部流量进行分析，对工控指令、功能码参数等进行审计，识别异常操作、非法操作等行为，并进行告警。

（3）广大员工具备网络安全意识，在日常工作中遵守网络安全相关管理制度和要求，如及时更好密码、不再设置弱口令密码等。针对信息化运维人员，通过培训能够提升网络安全实战攻防能力、应急处置能力，具备网安人员的专业技能。

2.1.5预计收益

（1）助力矿山企业一次性通过等保2.0二级或三级测评，满足监管部门、上级部门对于企业的网络安全要求。

（2）确保矿山企业的系统不会因为出现网络攻击事件导致停产的现象，造成重大的经济损失和人员伤亡情况。

2.2 建设内容

本项目建设内容主要包括2个部分：矿山行业专用工控安全产品集、矿山行业工业互联网靶场平台。

2.2.1矿山行业专用工控安全产品集

通过对矿山企业的工控网络进行全面规划，在不同安全区域部署相应的工控安全设备，形成满足国家、集团以及企业自身安全防护需求的工控网络安全整体解决方案。企业工控网络拓扑图如下所示：

（1）边界防护

在工业网络边界或井下工业环网边界部署工控防火墙，能够对工控网络边界流量进行安全检测，基于工控协议深度解析、网络流量实时监测、安全策略智能优化等技术手段能够检测并阻断攻击者的非法访问、病毒传播和恶意攻击等行为，对煤矿工控网络中的DCS、PLC、RTU等工业控制系统和终端设备进行有效的安全防护。

（2）区域隔离

在工业网络与企业网络之间、工业网络不同网络层级（L0-L4级）之间部署工控安全隔离网闸，能够对通过的工业网络数据进行过滤、检测、审计等一系列操作，以“摆渡”的方式进行跨网数据交互，在保障安全隔离的前提下，实现数据安全交换，有效防止外部网络的攻击及内部区域之间的非法访问等行为。

（3）入侵防御

在工业网络边界部署工控入侵检测系统，基于系统内置的攻击特征库和工控规则库，对工控网络流量进行实时监测，能够实时检测出网络入侵攻击行为、违反安全策略的异常行为，及时进行告警或直接阻断，并生成日志，实现对工控网络安全威胁事件的事前预警、事中响应、事后取证。

（4）终端安全

在工业主机上（操作员站、工程师站等）进行部署，对主机登录信息、操作信息、运行状态、移动存储设备接入、网络外联等信息的监测。系统采用了白名单机制，拦截一切未知程序和脚本的执行，既可有效抵御已知和未知的恶意代码，又规避了传统杀毒软件病毒库更新不及时的问题，从根本上保障主机运行环境的安全。

（5）网络审计

在工业核心交换机及工业环网交换机部署工控安全审计系统，通过镜像的方式获取工控网络中流量数据，对工控协议（如ModbusTCP、OPC、DNP3、IEC104、S7等）的通信报文进行深度解析，能够实时检测出针对PLC、DCS、上位机等重要工控系统/设备的网络攻击、误常操作、非法设备接入以及蠕虫、病毒等恶意软件的传播等异常行为，实现对工控网络异常流量的检测与实时告警。

（6）蜜罐诱铺

在矿山工控网络部署与真实资产相似的工业网络蜜罐系统，当攻击者通过外部安全防御系统的缺陷渗透进入到内部网络时，通常需要搜索网络内部的资产，以此找到对攻击者而言有价值的目标，诱铺节点自身的伪装性能够欺骗攻击者，当攻击者将诱铺节点作为攻击目标时，蜜罐节点能够第一时间感知并汇报安全事件，具体包括：蜜罐节点会记录攻击者的所有行为，系统也会产生告警，通知安全响应团队。蜜罐节点会诱骗攻击者将其他蜜罐节点作为后续的攻击目标，所有蜜罐节点将组成“陷阱”网络，延缓了攻击时间，使得蜜罐系统能够记录更多的攻击信息，同时可以给安全响应团队更多的应急响应时间。

（7）漏洞扫描

在矿山工控网络的安全管理区部署工控漏洞扫描系统，系统能够针对工控网络进行脆弱性分析和评估。不仅支持对传统IT设备/系统，比如操作系统、交换机、路由器、弱口令、FTP服务器、Web服务器等，进行漏洞风险评估，同时还支持对工控系统中所特有的设备/系统，比如SCADA、DCS、PLC等进行已知漏洞的识别和检测，及时发现安全漏洞，客观评估工控网络风险等级。

（8）日志审计

在矿山工控网络的安全管理区部署日志审计系统，能够对矿山企业网络设备、安全设备、主机和应用系统日志进行全面的标准化处理，基于关联分析引擎的 能力，及时发现各种安全威胁、异常行为事件，并在可视化图上直观的呈现出来，协助矿山企业全面监测、审计工控网络整体安全状况。

（9）运维管理

在矿山工控网络的安全管理区部署工控安全运维管理系统，能够对运维进行账号统一管理，资源和权限进行统一分配，操作过程全程审计。采用协议代理的方式，建立基于唯一身份标识的全局实名制账号管理，配置集中访问控制和细粒度的命令级授权策略，实现集中有序的运维安全管理，对用户从登录到退出的全程操作行为进行审计，加强工业控制系统及设备远程维护的安全管理，降低人为安全风险，保障企业效益。

（10）安全管理

当工控网络中部署了众多的工控安全产品后，安全产品的日常运维工作对于运维人员来说是不小的工作量，工业安全管理平台能够对所有工控安全设备进行统一安全管理，提升运维效率。

在矿山工控网络的安全管理区部署工业安全管理平台，能够实现对工控防火墙、工控安全隔离网闸、工控入侵检测系统、工控安全审计系统、工控主机卫士等工控安全产品及第三方设备的统一监控、日志采集、安全分析、策略下发，为工控网络安全运营提供决策支持，加强安全事件响应速度与安全运维能力，提升工控网络整体信息安全水平。

2.2.2矿山行业工业互联网靶场平台

矿山行业工业互联网靶场平台的建设主要解决2个方面的问题，一是基于靶场软件平台的教学实训模块，提升员工的网络安全意识和网络安全理论知识水平；二是基于靶场软件平台的比武竞赛、攻防演练、应急响应等模块，结合矿山行业全业务场景仿真，开展针对矿山业务的工业网络攻防演练，帮助信息化运维人员了解自身网络架构、业务系统以及资产设备的脆弱性，提升信息化运维人员应的实战能力，具备对网络攻击行为进行处置。

靶场平台软件技术架构如下：

矿山业务沙盘模型：

（1）教学实训

针对矿山行业企业的普通员工、运维人员、高层领导等不同群体，提供满足自身岗位需要的网络安全理论知识培训、实操课程培训以及考试考核等，通过体系化的培养模式，全面提升从业人员网络安全意识和理论知识水平。

（2）比武竞赛

通过不同模式的比武竞赛场景，包括解题模式、攻防模式、渗透赛模式和闯关赛模式，员工之间可形成战队，从而进行战队之间的比武，实现“以赛代练、以赛促学”；同时提供全方位贴近实战的竞赛场景，满足煤炭行业网络安全人才培养及选拔、网络安全大赛平台搭建以及实战对抗演练的需求，锤炼人员实战能力，搭建网络安全以赛备战的演兵场。

（3）攻防演练

基于数字孪生技术，实现对矿山行业全业务场景仿真模拟，构建工控网络安全攻防靶场环境，让安全验证和渗透测试人员能在网络的各层面开展攻击面获取、边界爆破、横向渗透、权限提升维持、目标攻陷、痕迹清除等操作，也能让网络安全和运维人员开展暴露面收敛、安全加固、防护策略配置、溯源分析等防御相关的操作，同时能够进行联动响应，能够有力支撑用户开展各种专项技能训练、技术研究、安全评估等服务，显著提高矿山行业信息化/运维人员的网络安全意识和应急响应处置能力。

2.2.3难点及应对方法

（1）矿山行业专用工控安全产品集研发及应用难点

主要包括2个方面：一是工控安全产品集的每一款产品都针对矿山业务系统的特点进行配置优化调整，能够很好的适应用户现场网络环境；二是工控安全产品集的每一款产品都在矿山的工控网络中进行了试点部署应用，不会对生产造成影响。

（2）矿山行业工业互联网靶场平台研发及应用难点

主要包括2个方面：一是具备丰富的课程资源，满足不同部门、不同层级人员的网络安全培训需求，培训课件要紧密围绕矿山用户展开，具有针对性；二是矿山业务沙盘的搭建，搭建的沙盘要能够体现出矿山的核心业务流程、核心系统和核心设备，能够与靶场平台进行对接，在进行攻防演练过程中，能够直观看到实体沙盘动作。

3、代表性及推广价值

3.1案例代表性

（1）独特性：矿山行业专用工控安全产品集具备行业属性

基于矿山行业场景和实际业务流程进行工控安全产品的适配和开发，所研制的产品具有行业属性，能够更好的适配在矿山工控网络，具有独特性。

（2）原创性：首家研制井下工控安全产品集的工控厂家

基于本项目的成功经验，针对井下需要部署工控安全产品的需求，结合煤安认证对于井下产品防爆、高低温等的要求，我司已经开始研制井下工控安全产品，具有原创性。

（3）实用性：工控安全产品集具有多种产品形态，实用性强

针对不同的部署环境，可提供壁挂式、导轨式等多种形态的产品，支持在各种环境和条件下进行设备安装部署。

（4）前瞻性：通过建设矿山行业工业互联网靶场平台进行能力提升

以往的人员能力提升往往是邀请行业专家、技术专家进行演讲，存在效果有限、覆盖面窄的局限，通过建设靶场平台，可为广大员工提供一个共用共享的网络安全知识学习平台，同时可基于靶场平台开展攻防演练、技术验证等应用，具备前瞻性。

3.2案例推广价值

（1）可复制推广价值

矿山行业专用工控安全产品集具有较强的可复制性和推广性，可以应用于煤矿、石油、化工、铜矿、铝矿等行业，部署在工控网络进行工控安全防护。

矿山行业工业互联网靶场平台具有较强的可复制性和推广性，可以应用于煤矿、石油、化工、铜矿、铝矿等行业，提升行业人员网络安全意识和实战网络攻防水平。

（2）经济效益

通过提升矿山企业的工控网络安全防护能力，降低网络安全风险，保障矿山生产系统的安全稳定运行，减少因网络安全事件造成的生产中断、数据丢失、设备损坏等经济损失，提高矿山生产效率和质量，增加产量和收入。

（3）社会效益

通过矿山行业专用工控安全产品集，可及时发现并处置网络安全威胁，防止因网络安全事件引发的重大事故，保护人员生命财产安全，维护社会稳定和公共安全。

（4）其它效益

通过矿山行业工业互联网靶场平台，培养和锻炼工控网络安全人才，提高矿山企业的网络安全意识和能力，增强矿山企业的网络安全文化和形象。