近年來某能源集團深入貫徹落實 “四個革命、一個合作”能源安全新戰略，堅持新發展理念，加快新一代信息技術與煤炭產業深度融合，推進集團煤炭產業高端化、智能化、綠色化轉型升級，實現煤炭開采利用方式的變革，提升煤礦智能化和安全水平，促進煤炭行業高質量發展。其下屬的某露天礦是全國單坑生產能力最大的露天煤礦之一，也是蒙東地區重要煤炭生產基地，生產現場屬于極寒型復雜氣候環境（零下40攝氏度以下）。作為集團的重要組成部分，其安全生產與經濟發展、社會穩定緊緊聯系在一起。

需求分析

在煤礦數字化、網絡化、智能化發展的同時，網絡安全隱患和風險陡然加劇，眾多信息系統從彼此孤立向數據互通、系統互聯的全聯通方向發展，給煤礦智能化帶來的新安全挑戰與風險。

（一）標準合規性需求

露天煤礦要加快完成工控安全防護體系的建設工作，使之符合《信息安全技術 網絡安全等級保護基本要求》（GB/T 22239-2019）、《信息安全技術信息系統密碼應用基本要求》（GB/T 39786-2021）、《工業控制系統信息安全防護指南》及露天煤礦智能化工控安全相關要求。

（二）業務安全性需求

從該露天煤礦工控網絡與架構、工控系統現場控制與過程監控層及工控協議安全三個層面進行需求分析。

工控網絡與架構：此露天煤礦的自動化系統種類較多，且煤礦工業控制網、調度網、視頻監控網、DMZ區等，形成互聯互通、多網互聯的關系。通過現場勘查，隔離措施和隔離強度有待提高，否則容易引發各網絡跨網交換非授權訪問風險以及子域間病毒橫向傳播風險。工控系統現場控制與過程監控層：本露天煤礦工控系統服務器身份鑒別措施需要加強，遠程維護管理和有效審計運維操作能力有待提升，其中需完善重要數據庫有效的安全審計措施；礦內的設備（包括網絡設備、服務器等）類型眾多，產生的大量分散的安全日志信息，急需有效的技術措施對分散、海量的日志進行統一采集、關聯分析及態勢分析。

工控協議安全需求：當前在煤礦工控網絡中，各類安全威脅不斷涌入控制系統，煤礦企業內部需完善對工業流量監測審計的手段，針對工控系統協議層面存在的惡意攻擊、異常流量進行審計，并對工控指令攻擊和控制參數篡改進行實時監測和告警，避免網絡入侵輕易成功，導致安全生產事故的發生。

（三）新技術安全需求

移動互聯網、物聯網接入等新技術大量應用在露天煤礦，新技術的應用對智能化煤礦提出新的安全要求。該露天煤礦已完成礦區4G專網、5G SA獨立組網、極寒氣候五車編組連續運行、全天候不間斷作業、車內無安全員作業等建設環節。

（四）工程快速交付需求

用戶對于項目快速交付有著強烈的需求，而此露天煤礦位于內蒙古呼倫貝爾草原中部，每年礦區都會出現零下四五十攝氏度的極寒天氣，限制著礦區的生產作業，對于本次工控安全實施交付也是一大挑戰。

工控安全防護解決方案

安盟信息克服極寒型復雜環境，通過實地調研總結智能化露天礦網絡安全現狀，對工控網絡與架構、現場控制與過程監控層、工控協議安全、4G/5G專網防護進行安全防護設計，結合公司工程交付服務能力，構建穩定、可靠、先進、高效的工控網絡安全防護體系，為智能化露天煤礦安全生產提供保障。

某露天礦工控安全防護拓撲示意圖

（一）工控網絡及架構安全設計

針對智能化露天煤礦的網絡架構特點及相關標準規范要求，進行分層、分區、劃域，各層次、區域之間采用合理的安全防護措施。

（二）現場控制層及過程監控層安全設計

部署工業安全隔離裝置實現過程監控層與煤礦信息化層的高安全隔離和可控數據交換。

過程監控層安全管理中心部署堡壘機，監控和記錄第三方運維人員對工控網絡內的服務器、網絡設備、安全設備、數據庫等設備的操作行為，以便發現異常及時報警、及時處理及審計定責。

過程監控層調度中心旁路部署數據庫審計系統，對數據庫訪問行為、數據庫流量與狀態監控，幫助管理員深入了解數據庫系統的應用與訪問情況，保障數據庫的正常運行和核心數據資產的安全。

過程監控層安全管理中心旁路部署日志審計對各類設備、服務器、終端主機等的日志進行統一收集與存儲，滿足網絡安全法相關要求。

過程監控層安全管理中心建設安全態勢感知，露天煤礦企業的網絡態勢進行分析、預警及準入控制，并對異常報警行為形成工單分配給人工進行干預處理，同時與相應防護設備進行協同防御。

（三）4G/5G專網防護設計

在4G專網邊界、5G專網邊界部署防火墻，實現對邊界進行細顆粒度（基于源、目的IP、源、目的端口、應用、服務等）的訪問控制，同時開啟入侵防御功能，基于模式匹配、異常檢測、統計分析等入侵檢測和協議分析技術，阻擋各種入侵攻擊。

（四）工控協議安全設計

生產網核心交換機旁路部署工業應用審計系統對工控網絡中的流量通信、操作行為等進行審計及預警；

生產網核心交換機旁路部署入侵檢測系統實時監測工控網絡異常流量，對異常的、入侵行為的數據進行檢測和告警。

（五）工程交付服務保障

安盟信息工程服務團隊交付過多個煤炭行業項目，具備豐富的同類項目實施經驗。在項目交付階段，迅速成立工程項目組。在極寒型復雜環境的露天礦現場建立以工程項目組為核心的服務機構，依托公司高效高質的安全服務體系，保證高質量、短工期完成本項目的交付，滿足用戶對于項目快速交付的需求。

后續安盟信息將持續為用戶提供高質高效的售后服務，確保系統穩定運行，協助用戶構建露天煤礦工控安全運營體系。 

方案價值

滿足標準合規性要求

符合《信息安全技術網絡安全等級保護基本要求》 (GBT22239-2019)、《信息安全技術信息系統密碼應用基本要求》（GB/T 39786-2021）、《工業控制系統信息安全防護指南》及露天煤礦工控安全相關政策、標準及監管要求。

構建露天煤礦體系化安全

通過強化露天煤礦區域內網絡、服務器運維及數據的安全防護，大大增強了現場控制層、過程監控層的整體安全防護能力，確保露天煤礦安全生產可持續運營，構建以貼合露天煤礦生產業務的縱深防護安全體系。

提升露天煤礦生產安全性

解決方案深度融合露天煤礦工控系統，降低露天煤礦企業的安全運營風險，提高安全運維效率，為露天煤礦智能化、智慧化建設提供可靠的安全保障。

促進露天煤礦智能化發展

通過建設露天煤礦工控安全防護體系，可解決露天煤礦智能化建設過程中帶來的信息安全風險，保障露天煤礦工控系統、智能化系統安全及設備可靠運轉，同時促進露天煤礦少人、無人智能化業務的目標。

落實集團網絡安全重要戰略舉措

本項目安全建設促進了集團煤炭板塊網絡安全相關規范與制度的落實及完善，而且從技術上以邊界防護為重點、數據庫審計、日志審計、運維審計、工控協議分析、態勢分析為抓手，提升露天煤礦的工控安全防護能力。

面對當下工業互聯網、智能5G煤礦等新興業務模式的轉型升級，煤礦企業網絡安全防護能力也要不斷提升！安盟信息將結合在能源行業的安全建設經驗進一步提升煤礦行業的安全防護建設能力，在滿足防護合規的基礎上，深度結合煤礦業務場景，構建煤礦企業的網絡安全防護新屏障！