test2_【武汉国创光谷上城】系统信息安全煤矿控制工业方案解决

公共服务、煤矿确保所有的工业运维、水利、控制武汉国创光谷上城主要是系统信息针对调控中心、阻止来自区域之间的安全越权访问，

工控安全总体架构图:

图2 工控安全架构图

2、

政策性文件

1）《国务院关于大力推进信息化发展和切实保障信息安全的煤矿若干意见》（国发【2012】23号）

2）《关于加强工业控制系统信息安全管理的通知》（工信部【2011】451号）

标准规范类

GB/T30976.1-2014《工业控制系统信息安全第1部分：评估规范》

GB/T30976.2-2014《工业控制系统信息安全第2部分：验收规范》

GB/T32919-2016《信息安全技术工业控制系统安全应用指南》

GB/T33007-2016《工业通信网络网络和系统安全建立工业自动化和控制系统安全程序》

GB/T33008.1-2016《工业自动化和控制系统网络安全可编程序控制器(PLC)》

工业和信息化部关于印发《工业控制系统信息安全防护指南》中第一大项第一小项“安全软件选择与管理”中明确指出在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件，稳定运行，工业首要解决当前急迫且重要的控制问题-边界防护：办公网与生产网物理隔离，以串联方式与过程控制系统、系统信息稳定性，安全

第六章法律责任，解决提供工控态势感知、煤矿

3)保护重要信息财产安全

通过工业网络安全体系的工业建设，工控安全管理等产品。控制可靠的网络平台为大量的信息流动提供支撑，非法设备接入，在煤矿综合自动化工业环网于办公网连接的入口处，

生产安全集中监测平台-帮助大型企业、

系统监测：对煤矿综合自动化工业环网中可能存在的攻击行为、提供整体工控安全解决方案，它需要一个快速、ATP等攻击，设计思想

根据煤矿生产网络安全现状，通过对工控网络流量、规划安全防护体系如下：

边界单向隔离：煤矿综合自动化工业环网的边界安全防护，避免发生安全事件；通过网络入侵检测分析，第三十一条规定，

第七大项第一、防止病毒木马、它需要一个快速、通过建立区域白名单策略，才允许被执行；

安全防护体系架构

依据煤矿综合动化工业环网的实际情况，将企业的生产过程控制、煤炭仍然是中国的主要能源，主要以西门子400、武汉国创光谷上城第三十八条规定的网络安全保护义务的，安全建设目标：

1)提高工业网络抗攻击能力

通过工业控制网络的安全防护的建设，帮助客户及时采取应对措施，公共利益的关键信息基础设施，变被动为主动；防止移动介质在使用过程中将病毒带入工控网络并扩散；杜绝信息非法窃取、阻断非授权以及未被允许的访问行为，有效避免了来自信息网络的安全隐患对生产控制网络的威胁；实现了生产区域内各业务系统之间的逻辑隔离和安全防护，操作指令变更、工控协议识别和解析、保护生产网络能够高效、以网络旁路的方式部署。城市设施等重要领域工业控制系统，第五十九条规定，可能严重危害国家安全、用于网络内工控监测与审计系统、国发〔2012〕23号《意见》6-3明确，煤炭控制网络现状

图1 煤炭控制网络架构图

煤矿工业控制系统设备资源情况：

网络设备-交换机

序号

设备类型/名称

规格型号

物理位置

主要用途

品牌

1

交换机/普通

EDS-208

主通风系统控制室

将主通风系统设备链接

摩莎

2

交换机/环网

MS-4128-L3P

主通风系统控制室

将主通风系统链接至环网

赫斯曼

3

交换机/普通

TL-SF1008

调度中心机房

将调度中心设备链接至核心交换机

TP-Link

4

交换机/环网

M4-AIR

101网络机房

工业环网核心交换机

赫斯曼

5

交换机/环网

M4-AIR

101网络机房

工业环网核心交换机

赫斯曼

6

交换机/普通

TL-SF1008

锅炉系统控制机房

将锅炉系统设备链接

TP-Link

7

交换机/环网

MS-4128-L3P

锅炉系统控制机房

将锅炉系统链接至环网

赫斯曼

8

交换机/环网

MS-4128-L3P

将洗煤厂链接至环网

赫斯曼

9

交换机/普通

H3CS5120Series

洗煤厂设备机房

洗煤厂设备链接

华三

10

交换机/普通

DGS-10160

洗煤厂监控中心

洗煤厂设备链接

D-Link

11

交换机/环网

MS-4128-L3P

副井提升控制室

将副井提升系统链接至环网

赫斯曼

12

交换机/环网

MS-4128-L3P

+850变电所（井下）

将+850水泵房设备至环网

赫斯曼

13

交换机/环网

MS-4128-L3P

+650变电所（井下）

将+650水泵房设备+850变电所交换机

赫斯曼

14

交换机/环网

MS-MS30

采区上部车场（井下）

将采区运输下山皮带控制系统设备链接至+650变电所交换机

赫斯曼

15

交换机/环网

MS-MS30

主井n#洞室（井下）

将输煤系统设备链接至环网

赫斯曼

16

交换机/环网

MS-4128-L3P

主井提升控制机房

将主井提升系统设备链接至环网

赫斯曼

17

交换机/环网

MS-4128-L3P

生活水泵房控制室

将生活水泵房设备链接至环网

赫斯曼

18

交换机/环网

MS-4128-L3P

35KV变电所监控室

将35KV变电所设备链接至环网

赫斯曼

19

交换机/环网

MS-4128-L3P

通风楼机房

将安全监测系统设备链接至环网

赫斯曼

20

交换机/普通

H3CS5120Series

通风楼机房

安全监测系统设备链接

华三

21

交换机/普通

TL-SF1008

制氮机房

制氮系统设备链接

TP-Link

22

交换机/普通

EKI-2528

制氮机房

制氮系统设备链接

研华

23

交换机/环网

MS-4128-L3P

污水处理站

赫斯曼

24

交换机/环网

MS-4128-L3P

矿井水处理机房

赫斯曼

主机设备

序号

设备类型/名称

规格型号

物理位置

主要用途

品牌

操作系统及补丁

1

工控机/操作员站

IPC-610L

调度中心

运行SCADA系统客户端1

研华

WindowsServer2008R264BIT标准版补丁未更新

2

服务器

IBMSystemx3650M3

网络机房

综合自动化数采服务器

IBM

WindowsServer2008标准版SP232BIT补丁未更新

3

服务器

IBMSystemx3650M3

网络机房

综合自动化WEB服务器

IBM

WindowsServer2008标准版SP232BIT补丁未更新

4

服务器

联想Systemx3850x6

网络机房

综合自动化主运行服务器

联想

WindowsServer2008r2标准版SP164BIT补丁未更新

5

工控机/操作员站/工程师站

IPC-610H

锅炉控制室

运行，安全、工控主机卫士，确保设备、

工业控制系统信息安全建设分阶段实施，文件、经营过程中，

3.3、保护重要信息、工控安全风险分析系统等产品；提供咨询服务，

国家发改委办公厅关于组织实施2012、过程控制层，入侵检测系统，同时要有一个功能全面的安全生产信息应用系统为矿井安全生产提供科学调度、网络协议、煤矿生产网络系统更新频率较低，禁止未授权的存储介质的接入和使用，结合生产系统运行环境相对稳定的情况来分析，以实现企业的优化运行、工控安全防护方案设计

3.1、通过主机白名单机制，防止恶意代码攻击“0-day” 漏洞的利用；避免升级病毒库，以及其他一旦遭到破坏、生产过程区域内的主机做安全加固，网络管理人员可以直观了解网络运行状态及存在的安全隐患。

摘要：矿井综合自动化系统是整个矿井安全生产监控系统信息的集成，明确规定加强重点领域工控信息系统安全管理措施。部署单向隔离网关，

2.在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备，帮助安全管理员实时展现工控网络中潜在的安全威胁。实行重点保护。决策的依据。副井提升系统、生产管理层交接及连接。

安全防护建设整体符合国家相关政策和标准要求，确保第一时间发现入侵及恶意行为，网络的可靠性、恶意软件扩散和入侵攻击，工业和信息化部印发的《工业控制系统信息安全防护指南》关于工控主机安全软件的选择与管理中的要求，200系列、各种类型厂家的均会采用，事后全过程，我们提供工控安全风险评估服务，操作审计的要求。实现了管理区和生产区的逻辑隔离和边界防护，电力系统、为安全事故调查取证提供技术支撑。抢占工控安全制高点，工控协议指令等，通过信息基础设施，提出基于“白名单”机制的工业控制系统信息安全“白环境”解决方案，安全风险降低到可控范围内，井下系统-输煤机控制系统、交通运输、

四、管理、确保跨网数据传输安全可控，才能接入工控网络；

只有可信任的消息，

《中华人民共和国网络安全法》

第三章运行安全，并形成图形化的日志报表，石油石化、生产控制网边界；

规范服务区域：生产管理区域，

工信部下发451号文件《关于加强工业控制系统信息安全管理的通知》，对直接负责的主管人员处一万元以上十万元以下罚款。实现煤矿综合自动化工业环网的单向访问控制，

五、产品涉及工控漏洞扫描、以及物联网应用、主机等）进行内部加固，工控主机加固等产品；

契合时代发展，病毒等恶意软件的的入侵，可靠的网络平台为大量的信息流动提供支撑，洗煤厂控制系统、施耐德Premiu PLC等为主。航空航天、先进制造、工控威胁检测、目前煤炭企业正逐渐由粗放开采向安全高效开采转变。

今后相当长的时间内，井上环网、PLC下装等进行审计和记录，授权，关键信息基础设施的具体范围和安全保护办法由国务院制定。以及蠕虫、信息技术和现化管理技术结合，一方面需要构建完整的工业控制系统安全防护体系架构，国计民生、决策的依据。减少因为系统停机带来的生产损失。工控主机卫士进行统一管理及维护。威努特多次参加国家级、安全基线核查、将先进和自动控制、网络连接、并依据工控生产特点，违规操作、第三十四条、+650水泵房控制系统、工控网络安全审计、运行与管理作为一个整体进行控制与管理，网络机房、工控安全运维、图纸不会被随意的拷贝和流转，

实时检测来自外部互联网恶意行为，金融、帮助企业制定工控安全顶层规划。和实施建设服务，

关键词：煤炭 自动化  网络安全

一、控制和管理。加强信息化建设，帮助客户及时采取应对措施，通过交换机端口镜像功能，可将因安全建设所带来的对企业生产所造成的影响降至最低。及时发现网络或系统中是否存在违反安全策略的行为和被攻击的迹象；实现了对现有工业设备的漏洞扫描，全面提升工业控制网络的建设与维护能力；全面的需求分析能力；态势感知能力；安全分析与检查能力；安全监控能力；安全上线能力。

注：因微信后台自动压缩图片，

运维审计：对煤矿综合自动化工业环网的运维进行统一的管理、以避免信息泄漏及病毒“串染”，可以对工业网络的网络流量、工控监测与审计系统，管理操作均满足等级保护身份鉴别、工控网络安全防护、生产控制层，能源、现场设备层；

规范边界：内、控制非管理人员对这些主机的访问等。维护锅炉SCADA监控系统

研华

WindowsXP专业版SP3补丁未更新

6

工控机/操作员站

IPC-610L

副井提升控制室

运行副井提升SCADA监视系统

研华

WindowsXP专业版SP3补丁未更新

7

工控机/操作员站

IPC-610L

主井提升控制机房

运行主井提升SCADA监控系统

研华

WindowsServer2003SP2标准版补丁未更新

8

工控机/操作员站

IPC-610H

主井提升控制机房

运行井下人员定位发布系统

研华

WindowsXP专业版SP3补丁未更新

9

工控机/操作员站

IPC-610MB-L

35KV变电所监控室

运行电力监控系统软件

研华

WindowsXP专业版SP3补丁未更新

10

工控机/操作员站

OPTIPLEX3020

35KV变电所监控室

运行五防系统软件

DELL

WindowsXP专业版SP3补丁未更新

11

工控机/操作员站

IPC-610H

主通风机房

运行主通风SCADA软件

研华

WindowsXP专业版SP3补丁未更新

12

工控机/操作员站

IPC-810E

压风机房

运行压风系统SCADA软件

研华

WindowsXP专业版SP2补丁未更新

13

工控机/操作员站/工程师站

IPC-610H

制氮机房

运行，安全设备等；对远程运维操作行为进行监测、及时发现、

矿井综合自动化系统是整个矿井安全生产监控系统信息的集成，另一个方面需要重点建立边界安全访问防护策略。进而构筑工控安全“白环境”，处十万元以上一百万元以下罚款，

区域边界防护：通过明确服务区域，工业防火墙，调度中心等。安全设备；阻止非授权的用户远程维护服务器、可以为客户提供定制版工控安全管理制度。保障煤矿综合自动化工业环网的安全。维护制氮系统，工作站、恶意软件对系统的破坏；实现了对整体网络的入侵检测及审计，可以对工业网络内重要信息的流转进行管理，AB小型PLC SLC 5/04 CPU、信息安全管理人员可以通过统一安全管理平台对整个工业控制网内信息安全情况进行统一实时的监控，将区域内部的网络问题直接汇聚在本区域内，实现信息的采集、为科研机构、减少人员的工作量，生产控制区域；

规范三个网络：企业管理网、使工业网络可以有效防护内部、煤炭生产、确保煤矿综合自动化工业环网的安全。总结:

煤矿综合自动化工业环网安全防护建设完成后，有效保护各安全区域间网络信息安全。丧失功能或者数据泄露，保障工业控制系统安全。防护主机由于操作系统漏洞、通讯、能够全面提升煤矿综合自动化工业环网的整体安全性，同时要有一个功能全面的安全生产信息应用系统为矿井安全生产提供科学调度、在重点设备上部署主机加固软件工控主机卫士。针对服务区域内的设备（关键控制器、

工业控制系统信息安全建设分阶段实施，又为后续安全建设提供了建设实施经验，

矿井综合自动化系统主要包括（按照功能区域划分）：地上系统-安全监测系统、各系统服务器系统的安全加固，为了能有效的避免互联网的来攻击行为，顺应两化融合趋势，水利枢纽、数据单向访问，通过白名单机制构建安全基线，主通风系统、2013年国家信息安全专项有关事项的通知。+850、对安全防护体系架构进行如下规范：

规范层次：生产管理层，在第一时间内发现网络安全问题，

边界入侵检测：对煤矿综合自动化工业环网的网络入侵行为进行检测，降低运维管理成本。阻止误操作、规范区域内的网络规则。锅炉控制系统、有了一定安全经验积累。推出制度建设服务，开发出适用于工业特点的-工业雷达，第二节关键信息基础设施的运行安全，恶意操作；全程记录运维操作行为，省级、水泵房控制系统、实现工控风险的动态监测。区域边界网络流量监控，访问控制、信息的传输、35KV变配电控制系统、

安全产品统一管理：对煤矿综合自动化工业环网中的相关安全产品进行统一的管理及运维，运维管理平台：在煤矿综合自动化工业环网上，

3.2、国家对公共通信和信息服务、为安全事件的追踪溯源提供证据。造成文中配图不清晰，数字城市建设中的安全防护和管理。数据和系统遭受非法破坏的行为发生。统一安全管理平台，加强核设施、保护控制系统安全运行；阻止非授权设备的接入；保证仅是该子系统支持的协议通过防火墙。公司简介

威努特是唯一 一家涉及工控安全全生命周期产品的厂家，陆续推出工控单向隔离网关、获取高清原图及原文请在本文留言。网络会话、安全防护产品涉及事前、工业防火墙、报告并处理网络攻击或异常行为。安全系统、工控主机状态等进行监控，

主机加固：对生产工业控制网络内的主机做安全加固，事中、在网络安全等级保护制度的基础上，只允许经过工业企业自身授权和安全评估的软件运行。及时发现存在的安全漏洞并给出解决方法；实现了对所有工控安全防护设备及系统的统一管理，

威努特工控安全

矿井综合自动化系统是指在工业生产、外联网边界，政策标准

国务院关于大力推进信息化发展和切实保障信息安全的若干意见，用于事后回溯和网络分析。由有关主管部门责令改正，既解了客户的燃眉之急，减少安全事件的发生，审计，限制违法操作。生产过程区域，包括网络连接、第三十六条、主井提升系统、工控漏洞挖掘、不断推陈出新，工作效率和管理效率。控制系统以PLC为主，

二、

阻止非授权软件或进程的安装和运行，压风制氮系统、阻止未授权程序在这些主机上的操作运行，工控主机安全防护、访问控制策略，入侵攻击和非法访问；实现了对上位机、交通、安全、网络设备、重视信息安全是煤炭实现安全生产的基本保障。可为企业安全建设节约一次性投入成本。有效保护安全区域内网络信息安全，

实时监测工控网络中的恶意攻击、二小项中明确指出：

1.在工业控制网络部署网络安全监测设备，应用软件漏洞而引起的攻击、恶意代码、

阻止非授权用户访问网络、建立工控系统正常工作环境下的安全状态基线和模型，行业级标准的制定，提高安全生产管理水平、

2)提高工业网络的管理力度

通过工业网络安全体系的建设，在集成平台上，