日前，由奇安信集团搭建的智慧矿山工业互联网安全纵深防御体系入选2020年“中国5G﹢工业互联网典型应用”。

煤矿作为国家关键基础设施的重点领域，是社会生产和居民生活的物质基础。近年来，煤炭行业与工业互联网的融合发展已势不可挡，“智慧矿山”等先进生产模式正快速发展。国家高度重视智慧矿山发展工作，2020年3月，国家发展改革委、国家能源局等八部门联合印发《关于加快煤矿智能化发展的指导意见》，促进煤炭产业转型升级。

黄陵矿业集团有限责任公司（以下简称“黄陵矿业”）是陕西煤业化工集团所属大型现代化核心企业，位于陕西省延安市黄陵县店头镇，是国家“八五”重点建设项目、20项兴陕工程之一。为了落实国家战略，黄陵矿业积极进行自动化、智能化建设。

然而，随着建设的逐步开展，工业生产网络从封闭逐步走向开放，生产网、管理网、互联网越来越多地相互联通，网络的互联互通造成了生产网络越来越复杂，网络威胁和安全风险不断增加，发生网络安全事故造成的损失也越来越大。主要安全威胁体现在：控制系统边界不清晰，生产控制系统类型较多，生产控制网络边界不清晰，缺乏边界隔离；工业主机缺乏安全防护，重要工业主机系统陈旧，无法抵御病毒木马攻击；移动介质缺乏有效管理，工业主机运维过程易出现移动介质病毒感染，缺乏有效的管控工具和措施；工控系统关键设备缺乏审计，缺乏针对工控系统违规操作、越权行为等的审计能力。

奇安信集团安全服务专家针对黄陵矿业的安全状况展开深入研究，结合整体安全整改的必要性，设计智慧矿山工业互联网安全解决方案，通过建立以“纵深防护”为核心的工业安全防护体系，实现边界防护、主机安全、监测审计、统一管理。

解决方案通过划分工控网络安全域，隔绝了企业资源层、生产管理层、生产监控层的网络攻击；充分考虑了网络审计和入侵检测技术对工控网络的重要性，能够实时监测工控网络内的异常流量及异常行为；对工业主机进行必要的安全防护，防止病毒和恶意攻击引起工业主机蓝屏宕机。

具体来说，该解决方案在黄陵矿业的生产网与办公网之间通过工业网闸实现物理隔离，采用“2﹢1”双主机﹢专用隔离模块的标准网闸结构以及工业应用协议隔离技术，实现企业网络和工业网络两个安全域之间的访问控制、协议转换、内容过滤和信息交换。

针对煤炭控制系统主机，采用兼容工业应用软件的工业主机安全防护系统，利用白名单技术防止控制系统遭到病毒木马和恶意攻击的威胁，确认无误后再接入控制网络。通过工业主机防护控制中心对工业主机终端进行集中策略配置、安全风险管控、终端版本推送、授权管理以及终端单点维护和功能定制化。

此外，对井工煤矿工控系统的不同区域边界采用工业防火墙进行安全隔离。通过深度解析多种工控协议，运用“白名单﹢智能学习”技术建立煤矿工控网络安全通信模型，阻断一切非法访问，仅允许可信的流量在网络上传输，达到对重要控制系统进行安全保护的目的。对工业环境的资产、异常行为、非法访问等通过工业安全监测系统进行集中监控和安全审计，实现对区域内网络安全状况的实时监测，对外部入侵的行为进行告警，同时生成当前生产网络的行为日志和运行日志，便于安全事件的追溯和分析。将工业环境的网络安全状态通过工业安全态势感知与管理平台进行“可视化”呈现，全面提高煤炭企业的工业安全防护整体水平。

奇安信为黄陵矿业建立以“纵深防护”为核心的工业安全体系，通过工业安全主机防护系统（IEP）、工业防火墙（ISG）、工业网闸（ISS）、工业安全监测系统（ISD）、工业安全态势感知与管理平台（IMAS）等软、硬件组合方式，对黄陵矿业井工矿工业生产系统进行集中的工业安全监测、工业边界防护、工业主机加固、工业网络安全管理及态势感知等。

总体来看，智慧矿山工业互联网安全纵深防御体系的建设，实现了有效监控黄陵矿业工业系统的运行状态，实时监测和发现工业网络环境中的安全风险，提高安全防护能力，避免因工业网络安全攻击造成的损失，促进煤炭行业高质量发展。

责任编辑：姚治