随着科技的发展,我国煤炭开采技术及装备取得重大进步,建成了一大批综合机械化和高度自动化的现代化矿井,目前大、中型煤矿企业已基本构建了企业互联网、工业以太网、监测监控、人员定位、工业控制以及煤矿融合一体化平台等信息系统,这些信息系统已经深入到煤矿安全生产的各个方面。许多工业系统自动化程度较高,如提升系统、选煤系统等,这些系统已经实现了无人操作、远程开停、故障闭锁等,大幅提高了工作效率、增强了煤矿企业的核心竞争力。
随着“智慧矿山”建设的脚步加快,矿山生产网络从封闭走向开放,越来越多地采用通用硬件、软件和协议,随之而来的是病毒木马、网络入侵、APT攻击等网络安全威胁,并且会迅速通过工业控制网络传播扩散。矿山生产网络在为煤炭生产带来极大推动作用的同时,也给工业控制系统带来了大量的安全隐患,系统配置和软件安全漏洞、工控协议安全问题、私有协议的安全问题、隐藏的后门和未知漏洞、TCP/IP 自身的安全问题、用户权限控制的接入、网络安全边界防护、内部非法人员、密钥管理等都成为了信息安全的风险和漏洞。一旦敌对政府、恐怖组织、商业间谍、内部不法人员、外部非法入侵者利用系统上的漏洞或管理上的疏漏侵入矿山控制系统,都有可能造成系统停车、机密信息泄露甚至系统运行被恶意控制等问题。因此保障煤矿企业的安全生产,将网络风险降至最低,提升煤矿企业工业互联网安全性迫在眉睫。
笔者通过调研大量煤矿企业后发现,煤矿企业网络信息系统普遍存在不少问题与安全隐患。首先,各煤矿企业业务信息系统众多,建设时间不同,存在大量老旧系统、僵尸系统等;其次,各个系统虽有部分网络安全防护工具,但大都是以“打补丁”的方式建设,也并无专人或专业平台来体系化管理及运营;发生网络安全问题后,各防护工具各自为战,完全依托于各工具本身的防护能力进行防护及响应,无法进行联动分析及有效的问题处理。针对上述问题,煤矿企业亟需建立1 套符合国家标准的、基于实战化的、贴合业务系统且有效的网络安全防护运营体系,以满足煤矿企业的网络安全需要。智慧矿山网络安全分类分级运营体系(简称分级运营体系) 就是从煤矿企业的网络安全问题出发,梳理业务资产并形成资产台账,针对不同业务系统,使用不同工具手段。各级平台、工具统一协调部署及运营监测,发现问题后及时下发工单派遣防护人员进行处理。分级运营体系可为网络安全工作提供有力支撑,助力煤炭企业高质量稳定发展。
智慧矿山网络安全分类分级运营体系架构
智慧矿山网络安全分类分级运营体系架构是通过对矿山企业不同地域、不同业务场景的网络进行分类、分级管理,实现对网络资源的有效保护和统一管理,提高网络安全防护能力的一种体系架构。通过以下5 个方面实现:
(1) 网络风险评估
通过对各单位各部门网络资产梳理、渗透测试、业务流程梳理等工作,对全体网络系统进行全面的评估,确定网络系统的安全等级。
(2) 网络分类、分级
根据风险评估结果,按照《工业互联网企业网络安全分类分级管理指南(试行)》《联网工业企业安全防护规范(试行)》《中华人民共和国网络安全法》、网络安全等级保护制度等相关政策、文件要求,完成系统定级工作。将网络系统划分为不同的类别,如一般风险、中等风险和高风险等。针对不同风险级别的网络系统,制定相应的安全策略和措施,实现网络资源的有效保护和统一管理。
(3) 网络安全监测
通过实时采集各类检测信息、告警信息、审计信息等,结合威胁情报,对安全数据进行集中分析,识别安全威胁,实现安全风险的智能感知和动态研判;同时,建立事件处置流程,结合协同处置机制,实现对安全事件的快速处置。
(4) 网络安全应急响应
建立完善的应急响应机制,确保在发生网络安全事件时能够迅速、有效地进行处理。
(5) 运营体系内数据安全
建立完善的安全大数据全生命周期处理体系。将智慧矿山网络安全分类分级运营时所采集、存储、处理、传输、交换、销毁的相关安全大数据通过国密算法进行加密处理,保障体系内数据机密性、完整性、可用性。
智慧矿山网络安全分类分级运营体系平台(图1) 主要构成有:
(1) 基础防护体系
建设和完善网络安全区域边界隔离、网络流量监测审计、网络流量攻击检测、主机安全防护、网络主机日志收集、漏洞发现、安全设备统一管理等能力,以提高智能矿井、智慧矿井工业控制系统网络整体防护水平。
(2) 统一安全运营体系
①先通过统一收集、集中存储消除各安全系统孤立情况,从海量汇总信息中屏蔽大量无用信息,及时告警重要的安全事件,通过关联分析和机器学习技术,发现隐藏较深的安全威胁;②利用大数据存储和实时运算能力可视化展现当前安全态势,掌握外部攻击过程和内部异常行为画像,并对当前安全风险和预警信息采取相应措施,让整体安全态势可见、可知、可控;③通过建立与实战化安全运营平台配套的安全威胁运行分析机制,形成网络安全监控、预警、处置、调查、加固的管理流程,实现网络安全监控、安全异常与威胁分析、事件分析、应急处置等各项工作的协同;④通过建设实战化安全运营平台,有效的将平台、人员、制度、流程结合起来,从安全事件的事前、事中和事后3 个维度出发,形成安全工作的闭环,实现安全运营工作的自动化,提高安全管理和运营效率。
分级运营体系关键技术应用
基于业务的安全数据建模技术
关注业务与数据的因果关系,基于业务流程及安全运行实践,使用了符合单位业务流程的数据分析建模工具,完成了智慧矿山生产业务建模,得出了业务生产网络根据不同地域、不同业务场景的分类、分级结果。基于业务的安全建模流程如图2 所示。
安全大数据实时关联分析技术
在煤矿企业,各类网络安全防护工具每天都会上报海量防护告警日志。为处理海量上送数据,并快速从中发现安全问题,笔者建立了基于CART 算法对弱分类数据进行富化、归类, 同时优化Shadow Paging (影子分页) 方案提高了落盘效率,使用混合并行策略(EPL/CEP) 进行数据关联分析(图3),具体步骤如下:
(1) 通过流量采集、日志留存、网络及数据库审计等设备,采集了各类安全设备告警/日志,做精细化切分、富化。
(2) 分析数据类型,进行分类映射,基于数据量实行了动态归并,并基于计算单元能力合理拆分预处理流。
(3) 归纳了事件检测逻辑,并转化成事件处理语言(EPL)。
(4) 将EPL 集成到CEP规则引擎中并执行,经过CEP引擎输出至最终平台告警并入库。
通过安全大数据实时关联分析技术在煤矿企业的应用,充分利用了标准服务器的算力,解决了海量数据从解析、富化、关联分析到产生告警的全过程处理,从海量告警中聚焦安全事件,发现潜伏威胁,提高了检测精准度及运营效能,整体提高了综合性能,其中100WEPS处理能力提升了30%。
关键工艺指令识别及基线技术
针对智慧矿山生产场景中固有的现场控制类设备(工控设备),其使用有别于传统TCP/IP 通讯协议的工业控制类协议传输,对其工艺指令发现、识别与分析成为网络安全信息数据采集与处理的难点。技术人员通过调研设备型号、系统及梳理传输方式,从通讯流量中提取工艺操作指令,进行分析研究、归类处理,范式化后导入分析平台,用于业务生产中关键工艺操作指令的监测与防护。同时,根据业务使用情况,采取人工与机器学习的方式,对工业生产设备工作周期进行归纳总结,制定符合业务要求的工作计划周期基线。避免这些工艺指令在业务生产中,非生产计划内执行,进而可能带来的重大生产安全事件, 关键工艺指令识别及基线技术见表1。
多级平台、工具联动
为更好地实现一体化运营,促进人员、工具、安全管理和安全运营协同工作。分级运营体系通过打通网内各级平台、不同安全防护工具,如工控防火墙、工业安全监测系统、工业主机安全卫士、工业安全审计系统、工业态势感知系统、工业日志审计系统、工业堡垒机等相关接口,提供全员各单位安全监测、应急响应、安全防护、风险评估、安全管理和咨询服务6 项能力,构建安全技术、安全管理和安全防控三大体系,多级平台、工具联动示意如图4 所示。
分级运营体系应用效果
目前,智慧矿山网络安全分类分级运营体系已在陕西陕煤黄陵矿业有限公司(简称黄陵矿业) 及下属单位中应用。实际取得效果有:
(1) 网络安全防护能力显著提高
通过对黄陵矿业整体网络系统的分类和分级管理,实现了集团及所属各单位的“智能矿井、智慧矿区”构建。完成符合等级保护要求的系统有27个,月均处理安全事件18 个,建成了以“安全建设体系化、安全运行实战化、安全防护常态化”为特征的网络安全能力体系;建立了一体化、自主可控的安全监测及防御体系,实现安全态势的“可知、可视、可管、可防、可控”;全面保障业务运行和设备安全,业务系统持续运行无故障时间275 d,为加快煤矿智能化建设提供了强有力的支撑。
(2) 网络安全人员工作效率明显提升
通过对网络系统实行分类和分级管理,实现了对黄陵矿业下属各矿区网络资源的有效保护和管理,使网络安全工具可以最大化发挥功效,人均处理问题时间由之前15 d 缩短至3 d,提高了网络安全部门整体工作效率。
(3) 网络安全资产管理责任落实
通过分级运营体系平台的运营,黄陵矿业整体网络安全相关资产及责任得到有效落实。其中一号煤矿、二号煤矿、双龙煤业、瑞能煤业、机电公司、铁路运输公司等信息化资产共6 000 余个,均已进行资产与安全责任部门及责任人登记,一一对应。
(4) 坚实保障生产业务安全
对于矿山企业来说,安全生产是至关重要的,通过建立分级运营体系,可以有效保障生产安全。
在分级运营体系平台中,可实时监测以下数据及详细内容。包括综合安全态势、工业安全态势、工业威胁态势等内容。
通过综合安全态势界面(图5),可全局概览全网网络安全风险。结合物理位置信息内容,可将集团、各矿区IT 资产信息、高发漏洞、安全风险快速反馈,并滚动提示未处置告警资产排名,提示运维管理者及时处理安全风险。
工业安全态势结合关键工艺指令识别,将网内工业控制系统相关安全风险进行展示。且通过内置的业务安全数据建模技术,将安全风险趋势、异常行为趋势进行梳理展示,辅助工业安全管理决策。工业安全态势界面如图6 所示。
工业威胁态势通过工业威胁态势界面(图7),可将网内工业资产威胁告警进行展示。将威胁告警与资产进行关联分析,统计威胁告警现状次数,未处置告警级别占比,未处置告警资产组排名,可快速定位风险发生源头,有效提高风险处置效率。
结 语
分级运营体系的建设和应用以智慧矿山建设中工业资产为核心,安全事件告警与分析为主线,持续监测全局网络安全风险,实现安全设备集中管理与监控、日志集中采集与管理、威胁统一分析与运营、事件应急响应与处置等核心功能,实现对业务系统安全的全面掌控。该体系能够有效监控公司工业系统的运行状态,实时监测和发现工业网络环境中的安全风险,提高安全防护能力,避免因工业网络安全攻击造成的损失,促进煤炭行业高质量发展。
助理编辑:江振鹏