煤矿是我国现代能源体系的“压舱石”,也是国家经济的重要支柱之一。伴随着人工智能、大数据、机器人等现代信息技术与煤矿产业深度融合,煤炭行业在从传统的密集型、重体力生产模式向“采掘机械化、生产自动化、管理信息化”模式转变,有力提升煤矿行业管理效率。国内大、中型煤矿企业基本上都已经装备了互联网、工业以太网、监测监控、人员定位、工业控制等信息系统,大大提高了人员工作效率、增强了企业的核心竞争力。
煤矿行业的数字化发展,加速煤矿企业转型升级,为煤矿工业高质量发展提供了强大动力,同时也带来新的风险挑战。
煤炭行业新变化遇到新挑战
《网络安全法》第三十一条要求:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。所以煤炭的开采和加工属于能源行业是国家关键基础设施,应依照国家标准加强网络安全防护。
今年9月实施的《关键信息基础设施安全保护条例》对关键信息基础设施定义。关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
煤炭生产系统是能源行业重要的关键信息基础设施。煤炭生产系统主要分为五层,分别为设备层、控制层、生产执行层、经营管理层和决策支持层。具体包括:
设备层:主要包括传感器、仪器仪表、阀门、射频识别、摄像头、皮带、机械和装置等,是煤矿进行生产活动的物质技术基础。
控制层:主要包括输煤皮带系统、选煤厂集控系统、安全监控系统、电力监控系统、通风系统、供水系统等控制系统,通过各自的PLC对底层设备进行控制。
生产执行层:主要包括生产管理、调度管理、安全管理、机电管理等系统,用来对整个生产系统进行集中控制和统一管理。
经营管理层:主要包括ERP系统、项目管理系统和办公系统等,通过分析生产数据来达到经营管理的目的。
决策支持层:主要通过经营管理层提供的数据来对整体发展方向做决策。
随着IT与OT也正加速朝着全方位深度融合的方向发展,煤炭生产系统从封闭走向开放。生产网、管理网、互联网越来越多地相互联通,煤矿企业面对的安全风险日益突出。具体来看,煤炭生产系统的安全风险主要包含在以下几方面:
一是系统边界不清晰:生产控制系统类型较多,生产控制网络边界不清晰,缺乏边界隔离。
二是存在安全漏洞:煤炭生产现场PLC多为国外品牌,漏洞较多,入侵者可利用漏洞控制现场设备执行命令,严重影响生产安全。
三是缺乏安全防护:重要工业主机系统陈旧,无法抵御病毒木马攻击。
四是关键设备缺乏审计:缺乏针对工控系统违规操作、越权行为等审计能力。
五是缺乏有效管理:工业主机运维过程易出现移动介质病毒感染,缺乏有效管控工具和措施。
煤炭企业必须着力提高安全应急处置能力,构建联防联控的安全体系,防范各类威胁攻击,保护生产系统安全,进而实现煤炭生产的安全。
煤矿生产系统安全需顶层着手
由于煤矿智能化网络互联互通,仅仅依靠传统的网络隔离、访问控制、入侵检测等技术,已不能满足安全需求。需要将IT技术和OT技术有机结合起来,充分理解煤矿工控系统生产业务,将传统的信息安全理念与工业安全业务相融合。
顶象业务安全专家认为,由于煤炭行业的特殊性将煤炭生产监控系统根据地理位置划分不同区域,通过强化区域内各生产系统的网络、主机、物理环境及数据的安全防护,辅以管理制度、组织人员系统建设、系统运维等管理支撑,提升煤炭企业生产系统及重要生产数据的安全性,增强整体防护能力,保障煤炭企业安全生产稳定进行。
及时发现各类异常操作和安全威胁。煤矿现场控制层可能受到非法的网络访问和恶意代码的入侵,影响控制器的正常工作。入侵检测通过对网络和系统的运行状态、可疑数据和用户行为进行检测和分析,进而发现是否存在未授权使用或非法访问的情况,从而作出反应。这种通过入侵检测技术能够判断是否存在危险的用户行为,提供针对系统内部攻击的防护。
顶象工控入侵检测系统通过对工控系统全业务流量的监控,实时判断工控网络内外部各类风险,实现对风险的拦截和防御。基于对工控系统的深入了解,以及对工业协议的熟悉,构建基于AI+语义+智能规则的计算引擎,实现对工控系统全业务流量的监控和整体网络态势感知,并使用计算引擎进行分析,实时对工控网络内外部各类风险判断,以拦截和防御各类风险的。通过数据监听和主动探测,顶象工控入侵检测系统能发现当前网络中的各工控设备,统一资产管理对一台或多台检测系统集中管理监测,呈现风险大盘,识别数据流中是否出现针对已知模式的攻击。针对历史数据,对网络中正常行为数据流进行建模,实时发现偏离正常基线的行为,检测出未知威胁。针对网络中进行的重要操作行为进行安全审计。旁路监测工控系统,不影响现有网络正常工作。
主动防御外部攻击。网络攻击防不胜防,攻击者可以从各种角度发动攻击,百密总有一疏。与其被动接受攻击,不如主动防御风险。煤炭企业可以通过“蜜罐”服务,诱使攻击者发送攻击,将攻击者引入事先准备好的诱捕陷阱中,从而对攻击行为进行捕获和分析。由此企业不仅可以更全面地感知到攻击者的态势,还能快速调整防护策略,做到主动防御。
顶象自主研发的攻击诱捕与威胁检测系统,适用于多种场景,能够及时发现并阻断攻击者在内网中的风险,从而避免网络安全事故的发生。基于第三代的欺骗诱捕技术能够自动化高度仿真海量的资产和业务,主动引诱攻击者攻击仿真的“幻影系统”,误导与迷惑攻击者,增加攻击时效,通过使用欺骗防御技术来挫败攻击者的探测过程。有效感知攻击者以及蠕虫病毒、木马等通过技术手段对系统进行针对性的攻击行为,详细观察记录攻击手法、入侵行为、访问记录、威胁破坏等,对被防护网络的攻击、异常事件进行实时预警。通过实时的行为分析,结合关联网络、智能模型建设和风控引擎,对攻击者进行快速溯源和风险特征分析,帮助运营者进行针对性防御。该系统在每年的实战攻防演习得到充分实践证明,目前已在多个企业落地。
提前发现安全隐患。漏洞是风险的爆发源头,无论是病毒攻击还是网络攻击大多是基于漏洞。在生产系统在被攻击之前,通过漏洞挖掘和安全检测,帮助企业发现漏洞,将威胁扼杀在早期或萌芽状态,将风险防范的关口前移,进而促使其完善系统安全性。
顶象工控漏洞扫描系统基于顶象多年在工控网络安全的研究,专门为工业控制系统风险评估工作推出的一款漏洞检测系统。持数百种工控设备指纹,能够安全无损地发现工业控制网络中的PLC、HMI、SCADA等各类组成单元,帮助用户清晰地了解当下工控网络的构成。同时结合专业工控漏洞检测规则库、漏洞库,构建资产风险检测、管理系统,并在Web管理界面、PDF检测报告中输出详细的资产列表以及漏洞分析结果。
部署工控安全大脑。随着煤矿智能化提升,系统的管理难度也在提升。基于此,这就需要能够融合业务安全、互联网安全、工业网络安全、工业生产安全,基于全样本数据的监测、关联分析等由外到内,内外结合协同合作方式的安全大脑,来实现识别、分析、判断、决策、执行等环节。此外,企业还需要基于业务系统的大数据,帮助企业预测内外部和主观因素下的偶然与必然结果,为可能发生安全事件提供决策支撑。
顶象工控安全大脑基于智能算法的决策与策略,提供生产、成本、运行、攻击告警和预测,实现包括产能、运行效率、损失等关键决策指标的实时计算。可针对不同场景的工业生产业务需求,自定义配置决策流程,包括规则引擎、决策流、模型管理、版本管理、策略智能等。此外,它提供了生产、成本、运行、攻击告警和预测等相关能力,实现包括产能、运行效率、损失等关键决策指标的实时计算,并支持自定义计算公式和实时校验结论,从而完成决策。
煤炭生产系统是整个煤炭企业安全生产监控系统信息的集成,需要一个快速、安全、可靠的网络平台为大量的信息流动提供支撑,同时要有一个功能全面的安全生产信息应用系统为矿井安全生产提供科学调度、决策的依据,以保障煤炭企业生产安全。
石油石化内刊示例
作为国内领先的业务安全公司,CNNVD(国家信息安全漏洞库)、CICSVD(国家工业信息安全漏洞库)重要技术支撑单位,顶象旨在帮助企业构建自主可控的业务安全体系,实现业务的可持续增长。近日成功举办的“2021年中国工业互联网安全大赛”“2021年工业信息安全技能大赛”,顶象作为技术支撑单位,为两场大赛提供赛题制定与裁判任务。
顶象自主研发了全链路的风控中台产品矩阵体系,包括设备指纹、无感验证、实时决策平台、端加固、数据采集保护、工业系统保护、模型平台、关联网络平台、知识图谱等风控、安全和人工智能产品,有效保障了企业的业务应用和基础设施安全。截至目前,已为10多个行业,2000多企业提供专业服务。