建设内容
(一)矿山行业专用工控安全产品集
通过对矿山企业的工控网络进行全面规划,在不同安全区域部署相应的工控安全设备,形成满足国家、集团以及企业自身安全防护需求的工控网络安全整体解决方案。
(1)边界防护
在工业网络边界或井下工业环网边界部署工控防火墙,能够对工控网络边界流量进行安全检测,基于工控协议深度解析、网络流量实时监测、安全策略智能优化等技术手段能够检测并阻断攻击者的非法访问、病毒传播和恶意攻击等行为,对煤矿工控网络中的DCS、PLC、RTU等工业控制系统和终端设备进行有效的安全防护。
(2)区域隔离
在工业网络与企业网络之间、工业网络不同网络层级(L0-L4级)之间部署工控安全隔离网闸,能够对通过的工业网络数据进行过滤、检测、审计等一系列操作,以“摆渡”的方式进行跨网数据交互,在保障安全隔离的前提下,实现数据安全交换,有效防止外部网络的攻击及内部区域之间的非法访问等行为。
(3)入侵防御
在工业网络边界部署工控入侵检测系统,基于系统内置的攻击特征库和工控规则库,对工控网络流量进行实时监测,能够实时检测出网络入侵攻击行为、违反安全策略的异常行为,及时进行告警或直接阻断,并生成日志,实现对工控网络安全威胁事件的事前预警、事中响应、事后取证。
(4)终端安全
在工业主机上(操作员站、工程师站等)进行部署,对主机登录信息、操作信息、运行状态、移动存储设备接入、网络外联等信息的监测。系统采用了白名单机制,拦截一切未知程序和脚本的执行,既可有效抵御已知和未知的恶意代码,又规避了传统杀毒软件病毒库更新不及时的问题,从根本上保障主机运行环境的安全。
(5)网络审计
在工业核心交换机及工业环网交换机部署工控安全审计系统,通过镜像的方式获取工控网络中流量数据,对工控协议(如ModbusTCP、OPC、DNP3、IEC104、S7等)的通信报文进行深度解析,能够实时检测出针对PLC、DCS、上位机等重要工控系统/设备的网络攻击、误常操作、非法设备接入以及蠕虫、病毒等恶意软件的传播等异常行为,实现对工控网络异常流量的检测与实时告警。
(6)蜜罐诱铺
在矿山工控网络部署与真实资产相似的工业网络蜜罐系统,当攻击者通过外部安全防御系统的缺陷渗透进入到内部网络时,通常需要搜索网络内部的资产,以此找到对攻击者而言有价值的目标,诱铺节点自身的伪装性能够欺骗攻击者,当攻击者将诱铺节点作为攻击目标时,蜜罐节点能够第一时间感知并汇报安全事件,具体包括:蜜罐节点会记录攻击者的所有行为,系统也会产生告警,通知安全响应团队。蜜罐节点会诱骗攻击者将其他蜜罐节点作为后续的攻击目标,所有蜜罐节点将组成“陷阱”网络,延缓了攻击时间,使得蜜罐系统能够记录更多的攻击信息,同时可以给安全响应团队更多的应急响应时间。
(7)漏洞扫描
在矿山工控网络的安全管理区部署工
控漏洞扫描系统,系统能够针对工控网络进行脆弱性分析和评估。不仅支持对传统IT设备/系统,比如操作系统、交换机、路由器、弱口令、FTP服务器、Web服务器等,进行漏洞风险评估,同时还支持对工控系统中所特有的设备/系统,比如SCADA、DCS、PLC等进行已知漏洞的识别和检测,及时发现安全漏洞,客观评估工控网络风险等级。
(8)日志审计
在矿山工控网络的安全管理区部署日
志审计系统,能够对矿山企业网络设备、安全设备、主机和应用系统日志进行全面的标准化处理,基于关联分析引擎的 能力,及时发现各种安全威胁、异常行为事件,并在可视化图上直观的呈现出来,协助矿山企业全面监测、审计工控网络整体安全状况。
(9)运维管理
在矿山工控网络的安全管理区部署工控安全运维管理系统,能够对运维进行账号统一管理,资源和权限进行统一分配,操作过程全程审计。采用协议代理的方式,建立基于唯一身份标识的全局实名制账号管理,配置集中访问控制和细粒度的命令级授权策略,实现集中有序的运维安全管理,对用户从登录到退出的全程操作行为进行审计,加强工业控制系统及设备远程维护的安全管理,降低人为安全风险,保障企业效益。
(10)安全管理
当工控网络中部署了众多的工控安全产品后,安全产品的日常运维工作对于运维人员来说是不小的工作量,工业安全管理平台能够对所有工控安全设备进行统一安全管理,提升运维效率。
在矿山工控网络的安全管理区部署工业安全管理平台,能够实现对工控防火墙、工控安全隔离网闸、工控入侵检测系统、工控安全审计系统、工控主机卫士等工控安全产品及第三方设备的统一监控、日志采集、安全分析、策略下发,为工控网络安全运营提供决策支持,加强安全事件响应速度与安全运维能力,提升工控网络整体信息安全水平。
(二)矿山行业工业互联网靶场平台
矿山行业工业互联网靶场平台的建设主要解决2个方面的问题,一是基于靶场软件平台的教学实训模块,提升员工的网络安全意识和网络安全理论知识水平;二是基于靶场软件平台的比武竞赛、攻防演练、应急响应等模块,结合矿山行业全业务场景仿真,开展针对矿山业务的工业网络攻防演练,帮助信息化运维人员了解自身网络架构、业务系统以及资产设备的脆弱性,提升信息化运维人员应的实战能力,具备对网络攻击行为进行处置。
(1)教学实训
针对矿山行业企业的普通员工、运维人员、高层领导等不同群体,提供满足自身岗位需要的网络安全理论知识培训、实操课程培训以及考试考核等,通过体系化的培养模式,全面提升从业人员网络安全意识和理论知识水平。
(2)比武竞赛
通过不同模式的比武竞赛场景,包括解题模式、攻防模式、渗透赛模式和闯关赛模式,员工之间可形成战队,从而进行战队之间的比武,实现“以赛代练、以赛促学”;同时提供全方位贴近实战的竞赛场景,满足煤炭行业网络安全人才培养及选拔、网络安全大赛平台搭建以及实战对抗演练的需求,锤炼人员实战能力,搭建网络安全以赛备战的演兵场。
(3)攻防演练
基于数字孪生技术,实现对矿山行业全业务场景仿真模拟,构建工控网络安全攻防靶场环境,让安全验证和渗透测试人员能在网络的各层面开展攻击面获取、边界爆破、横向渗透、权限提升维持、目标攻陷、痕迹清除等操作,也能让网络安全和运维人员开展暴露面收敛、安全加固、防护策略配置、溯源分析等防御相关的操作,同时能够进行联动响应,能够有力支撑用户开展各种专项技能训练、技术研究、安全评估等服务,显著提高矿山行业信息化/运维人员的网络安全意识和应急响应处置能力。