案例-义煤集团耿村煤矿工控安全项目.pdfVIP

项目概述

义煤集团(义马煤业集团股份有限公司)耿村煤矿隶属于河南能源化工集团

有限公司。煤矿坐落在举世闻名的仰韶文化发源地、古城渑池城南，井田东西走

向4.5公里，南北跨起2.8公里，面积12.5平方公里，可采储量15204.4万吨。

所生产的优质长焰煤，具有低硫、高挥发、不粘结等特点，是良好的工业和化工

用煤。煤矿生产系统环境复杂，涵盖西门子S7系列PLC等自动化设备，windows

XP、windows732/64位、windowsServer2008R2x64等操作系统。

项目需求如下：

为了加快煤矿智能化建设，提高煤矿安全生产水平，推动煤矿智能化建设进

入新常态、取得新进展，河南省工业和信息化厅下发了《河南省煤矿智能化建设

评估办法和河南省煤矿智能化建设标准的通知》（以下简称：《煤矿智能化建设标

准》），对煤矿智能化建设提出了指导性的建议。

根据国家标准要求，结合煤矿实际情况，耿村煤矿积极开展工业控制系统网

络安全建设，当前的风险及需求如下：

1工控主机身份认证方式单一，认证无复杂度、有效性要求，未部署有效

的对已知和未知病毒的防护措施；

2生产网与办公网之间没有隔离防护措施，无法阻断来自办公网络的病毒

传播、网络攻击；

3生产网络没有对恶意攻击的监测预警和审计措施，无法对攻击源IP、攻

击类型、攻击目标、攻击时间等进行审计记录，发生严重入侵事件时没有预警；

4缺乏工控安全管理制度，未明确建立安全管理机构、人员安全管理、系

统安全运维管理等方面的管理制度，制度不完善将导致安全方案无法有效实施；

5要满足《中华人民共和国网络安全法》、网络安全等级保护、《煤矿智能

化建设标准》等政策标准的技术要求。

工控安全建设方案

工控安全建设网络拓扑如下：

1在生产网和办公网边界部署工控安全隔离与信息交换系统，实现生产网络

跟其他网络物理隔离，建立安全访问策略，例如视频类只允许海康威视的

工业生产视频可以通过网闸，保护生产网络避免受到外部的安全威胁，又

不影响生产数据的交互。

2在工业环网的边界部署工业防火墙，通过对工控协议深度包解析技术不仅

对链路层、网络层网络协议进行解析，更进一步对OPC、ModbusTCP、

SiemensS7等工控协议进行深度分析，配置工业网络边界“白环境”防护

策略；

3在工业环网核心的赫斯曼交换机旁路部署工控安全监测与审计系统，对工

业生产过程“零风险”，基于对工业控制协议ModbusTCP、OPC、Siemens

S7等的通信报文进行深度解析，实时检测针对工业协议的网络攻击、用户

误操作、用户违规操作等风险，实现对工业控制网络安全风险预警；

4在工业控制系统工程师站、操作员站部署工控主机卫士，解决了传统防病

毒软件的“黑名单”无法在工业环境实现安全防护效果，采用与其相反的

轻量级“白名单”机制，可以有效阻止包括震网病毒、BlackEnergy、勒索

病毒、挖矿病毒等在内的恶意程序或代码在工控主机上的感染、执行和扩

散；

5建立安全管理中心，部署统一安全管理平台、安全运维管理系统和日志审

计与分析系统，对工业网络访问权限精细管理、重要操作审计留存，同时

进行安全事件、系统日志等安全数据的采集范化，智能的事件关联分析，

极大提高了耿村煤矿工业环境的安全运维效率。

客户价值

1.通过对耿村煤矿工业资产进行梳理、风险评估，发现工业控制环境面临

的安全风险，针对性建立纵深安全防护体系，削弱或者消除风险，提升

生产系统的网络安全防护能力；

2.通过安全管理制度建设，把技术措施和管理措施结合起来，在一定情况

下，依靠管理措施来弥补技术措施的缺陷，保障安全技术措施的正确落

实，更有效确保煤炭生产系统的整体安全性。

3.通过技术+管理建设，整体满足网络安全等级保护及《煤矿智能化建设

标准》中的网络安全防护要求。