近年来，数字矿山、智能矿山等煤矿信息化建设有力地促进了我国煤矿现代化、生产自动化和管理信息化水平的提升，使我国煤炭开采装备核心技术居于国际先进水平。

　　金瀚信息自开始工控安全研究以来，在能源行业，尤其是煤炭行业积累了大量成功案例，本文聚焦煤炭行业的井工煤矿，详细介绍如何提升煤矿工控系统网络安全防护能力。

煤矿工控系统网络结构

　　井工开采是指通过挖掘巷道到达工作面开采煤炭的开采方式，其与露天开采在开采工艺上存在较大差别，这也导致了井工煤矿的工控系统较露天矿复杂。典型的井工煤矿工控系统网络结构如下图所示：

　　由上图可以看出，井工煤矿的网络结构为典型双环网结构，井下和地面各一个环网，承载所有井工煤矿工控系统的网络通信工作，各工控系统之间无法划分物理边界。

　　根据等保2.0附录G.2工业控制系统层次模型，可将井工煤矿工控系统划分为5个层次：

　　1 现场设备层

　　本层主要包括与井工煤炭开采相关的防爆电气设备、本安气体传感器、本安摄像机、应急扩播音响等。本层设备与现场控制层大多采用硬接线方式同现场控制层控制器相连，但随着数字式监测监控系统升级和智能化矿井建设，越来越多的现场设备层设备采用总线通信协议与现场控制层通信。

　　2 现场控制层

　　本层主要包括井下、地面PLC控制器、电力综保、通信分站等，本层设备全部通过以太网接入井下地面两张环网。

　　3 过程监控层

　　井工煤矿一般在地面设置调度指挥中心，调度指挥中心设置操作员站，工程师站统一对各工控系统进行远程控制，同时通过设置综合自动化平台，打通信息孤岛，对工控系统实时生产数据进行统一收集、存储、分析。与此相关的操作员站、工程师站、实时/历史数据库服务器等都部署在过程监控层。

　　4 生产管理层

　　井工煤矿的生产管理层主要包括两部分系统和设备：一是与数字矿山相关的生产执行系统、调度管理系统、生产安全综合管理系统等;二是与煤监等上级监管部门通信的安全监控系统、人员车辆定位系统数据上传服务器等。

　　一般认为，过程监控层与生产管理层的网络边界即为煤矿生产网与其他网络的边界，此处的边界防护应遵循等保2.0等国家相关规范的要求。

　　5 企业资源层

　　本层主要包括与井工煤矿生产经营相关的ERP、OA、CRM等办公系统和煤炭运销系统等业务支撑系统。

煤矿工控系统网络安全建设

政策法规

　　SP800-82《工业控制系统(ICS)安全指南》

　　IEC62443《工业过程测量、控制和自动化 网络与系统信息安全》

　　GB/T 22239《信息安全技术 网络安全等级保护基本要求》

　　GB/T 51272-2018《煤炭工业智能化矿井设计标准 》

　　工信部信软〔2016〕338号《工业控制系统信息安全防护指南》

建设方案

　　典型的煤矿工控系统网络安全建设如下图所示：

建设纵深安全防御体系

　　● 根据煤矿行业双环网网络结构和业务特点，可将煤矿工控网络划分为生产控制区(对应现场设备层、现场控制层、生产监控层)和生产执行区(对应生产管理层)；

　　● 在生产执行区与办公网络之间部署工控网闸，生产控制区与生产执行区之间部署工业防火墙(冗余)，在主机和服务器上部署基于白名单机制的工控主机卫士，构建生产网边界、地面井下边界、主机终端的三重纵深安全防护体系。

构建可信任网络环境

　　● 在生产控制区边界部署工控入侵检测系统，通过智能协议识别和攻击特征库自动形成功能，实现针对煤矿工控系统的深度攻击发现和高级威胁检测；

　　● 在核心交换机和两张环网的重要节点交换机处部署工控安全审计系统，通过深度协议包解析技术和机器自学习技术，形成深度融合煤矿工控系统的业务行为基线，构建异常行为模型，发现工控内网操作风险；

　　● 通过上述两项工作，在煤矿工控网络边界和内部对攻击行为和操作行为进行有效检测，发现潜在的异常行为，构建煤矿工控系统的可信任网络环境，从事前告警、事中防护、事后取证三个维度，保证煤矿工控网络环境的纯净。

实现全生命周期网络安全管理能力

　　● 煤矿工控系统上线前，对工控设备进行漏洞检测和配置审计，并及时采取补丁升级等安全补偿措施，降低工控系统的脆弱性；

　　● 煤矿工控系统运行期间，在部署安全设备进行防护的同时，需做好运维管理工作。对于有远程第三方运维需求的煤矿，在生产执行区部署VPN设备和堡垒机，对远程接入煤矿工控系统的设备进行认证，并对数据库和操作系统的账号进行统一管理。

　　煤矿行业两化融合和数字矿山建设催生了大量的工控网络安全需求。金瀚信息依托自身的研发能力和多年的行业积累，为煤矿客户构建外部威胁可控、内部风险可知的纵深安全防御体系，切实提高煤矿关键信息基础设施的网络安全防御能力。（资料以最新更新为准）