一、项目背景
随着《有色金属行业智能矿山建设指南》的发布。国内各大矿业公司开始了以信息技术与矿产资源开发深度融合智能矿山建设热潮,人工智能、工业互联网、5G通信、大数据、区块链、边缘计算等新技术的不断深化应用,逐步在改变矿业开发的各个领域,矿业行业正逐步迈入遥控化、智能化、少人化乃至无人化发展的新阶段。
但随着原有封闭的矿山工业控制系统与开放的信息化系统融合,也带来了大量的网络安全威胁。而大型矿山企业工业网络复杂,存在较多的管理薄弱环节,更容易受到来自外部的恶意攻击或内部操作失误所引起的网络异常,由此造成停产和监管部门处罚将会给企业造成大量损失。从国际上来看,有下列较为严重的网络攻击案例:
二、现状分析
本项目矿业集团旗下铅锌矿山遵循“绿水青山就是金山银山”的发展理念,将绿色矿山建设作为企业发展之路。随着大数据、人工智能、物联网的飞速发展,企业主动提出向“智能”要效益,逐步启动“智慧矿山”建设。随着全员安全风险管控数字化平台的实施,需要同步完善矿业公司的网络安全防护能力。
经天地和兴评估,某铅锌矿山生产网络主要存在以下风险:
(1)在边界防护维度,各个区域之间可以进行网络上的互联互通,但缺少有效控制手段。一旦工业控制网络中的某一台主机感染了病毒或恶意软件,就有可能传播至整个网络中。
(2)在入侵防范维度,无法做到在关键网络节点处检测、防止或限制从内/外部发起的网络攻击行为,以及对相关攻击行为进行记录和追溯。
(3)在安全审计维度,未对核心设备、重要控制终端进行日志审计,无法在事件发生时及时预警、追溯。
三、解决方案
优化井下环网设备组网,分别接入井下综合控制网和监控信息网。优化地表网络,分别接入对应交换机,并进行业务VLAN分段。整体网络已地址VLAN进行分隔,确保业务间基础网络安全性。
将工控防火墙部署在地表交换机与井下环网交换机之间,制定严格的安全策略。在地表交换机旁路镜像流量方式部署入侵监测系统,对恶意流量进行分析告警。并将日志审计设备接入地表环网交换机,对全网核心设备进行日志汇总审计。
四、应用价值
天地和兴为帮助矿山行业解决信息安全专业人员欠缺的实际情况,从企业实际需求和安全管理着手,通过产品灵活性改造和服务培训双结合的方式提供解决方案,帮助企业管理人员快速熟悉产品功能建立安全运维管理制度。在智能化矿山建设的同时,建立既理解矿山业务需求,又懂矿山智能化、信息化的安全生产运营团队,使矿山企业逐步形成完善的安全管理体系,为智能矿山的发展奠定坚实的基础。
评论