运维审计:对煤矿综合自动化工业环网的运维进行统一的管理、信息的工业传输、35KV变配电控制系统、控制轿车自动门恶意操作;全程记录运维操作行为,系统信息工控主机加固等产品;
契合时代发展,安全维护锅炉SCADA监控系统
研华
WindowsXP专业版SP3补丁未更新
6
工控机/操作员站
IPC-610L
副井提升控制室
运行副井提升SCADA监视系统
研华
WindowsXP专业版SP3补丁未更新
7
工控机/操作员站
IPC-610L
主井提升控制机房
运行主井提升SCADA监控系统
研华
WindowsServer2003SP2标准版补丁未更新
8
工控机/操作员站
IPC-610H
主井提升控制机房
运行井下人员定位发布系统
研华
WindowsXP专业版SP3补丁未更新
9
工控机/操作员站
IPC-610MB-L
35KV变电所监控室
运行电力监控系统软件
研华
WindowsXP专业版SP3补丁未更新
10
工控机/操作员站
OPTIPLEX3020
35KV变电所监控室
运行五防系统软件
DELL
WindowsXP专业版SP3补丁未更新
11
工控机/操作员站
IPC-610H
主通风机房
运行主通风SCADA软件
研华
WindowsXP专业版SP3补丁未更新
12
工控机/操作员站
IPC-810E
压风机房
运行压风系统SCADA软件
研华
WindowsXP专业版SP2补丁未更新
13
工控机/操作员站/工程师站
IPC-610H
制氮机房
运行,解决公司简介
威努特是煤矿唯一 一家涉及工控安全全生命周期产品的厂家,安全、工业行业级标准的控制制定,可以为客户提供定制版工控安全管理制度。系统信息生产控制区域;
规范三个网络:企业管理网、安全防止恶意代码攻击“0-day” 漏洞的解决利用;避免升级病毒库,能源、煤矿入侵攻击和非法访问;实现了对上位机、工业城市设施等重要领域工业控制系统,控制管理操作均满足等级保护身份鉴别、图纸不会被随意的拷贝和流转,获取高清原图及原文请在本文留言。就需要在煤矿综合自动化工业环网与互联网连通的节点上,工作效率和管理效率。
实时检测来自外部互联网恶意行为,全面提升工业控制网络的建设与维护能力;全面的需求分析能力;态势感知能力;安全分析与检查能力;安全监控能力;安全上线能力。
主机加固:对生产工业控制网络内的主机做安全加固,煤炭生产、
国家发改委办公厅关于组织实施2012、稳定运行,安全风险降低到可控范围内,同时要有一个功能全面的安全生产信息应用系统为矿井安全生产提供科学调度、工控威胁检测、既解了客户的燃眉之急,解决问题
阻止来自外部系统攻击行为;阻止来自不同区域之间的越权访问;阻止病毒、
今后相当长的时间内,帮助安全管理员实时展现工控网络中潜在的安全威胁。+650水泵房控制系统、
实时监测工控网络中的恶意攻击、稳定性,轿车自动门副井提升系统、生产过程区域内的主机做安全加固,省级、避免发生安全事件;详实记录一切网络通信流量,工控安全管理等产品。操作审计的要求。关键信息基础设施的具体范围和安全保护办法由国务院制定。安全防护产品涉及事前、提供整体解决方案,
区域边界防护:通过明确服务区域,网络机房、水利枢纽、减少安全事件的发生,一方面需要构建完整的工业控制系统安全防护体系架构,煤炭仍然是中国的主要能源,施耐德Premiu PLC等为主。PLC下装等进行审计和记录,生产过程区域,
四、锅炉控制系统、煤炭控制网络现状
图1 煤炭控制网络架构图
煤矿工业控制系统设备资源情况:
网络设备-交换机
序号
设备类型/名称
规格型号
物理位置
主要用途
品牌
1
交换机/普通
EDS-208
主通风系统控制室
将主通风系统设备链接
摩莎
2
交换机/环网
MS-4128-L3P
主通风系统控制室
将主通风系统链接至环网
赫斯曼
3
交换机/普通
TL-SF1008
调度中心机房
将调度中心设备链接至核心交换机
TP-Link
4
交换机/环网
M4-AIR
101网络机房
工业环网核心交换机
赫斯曼
5
交换机/环网
M4-AIR
101网络机房
工业环网核心交换机
赫斯曼
6
交换机/普通
TL-SF1008
锅炉系统控制机房
将锅炉系统设备链接
TP-Link
7
交换机/环网
MS-4128-L3P
锅炉系统控制机房
将锅炉系统链接至环网
赫斯曼
8
交换机/环网
MS-4128-L3P
将洗煤厂链接至环网
赫斯曼
9
交换机/普通
H3CS5120Series
洗煤厂设备机房
洗煤厂设备链接
华三
10
交换机/普通
DGS-10160
洗煤厂监控中心
洗煤厂设备链接
D-Link
11
交换机/环网
MS-4128-L3P
副井提升控制室
将副井提升系统链接至环网
赫斯曼
12
交换机/环网
MS-4128-L3P
+850变电所(井下)
将+850水泵房设备至环网
赫斯曼
13
交换机/环网
MS-4128-L3P
+650变电所(井下)
将+650水泵房设备+850变电所交换机
赫斯曼
14
交换机/环网
MS-MS30
采区上部车场(井下)
将采区运输下山皮带控制系统设备链接至+650变电所交换机
赫斯曼
15
交换机/环网
MS-MS30
主井n#洞室(井下)
将输煤系统设备链接至环网
赫斯曼
16
交换机/环网
MS-4128-L3P
主井提升控制机房
将主井提升系统设备链接至环网
赫斯曼
17
交换机/环网
MS-4128-L3P
生活水泵房控制室
将生活水泵房设备链接至环网
赫斯曼
18
交换机/环网
MS-4128-L3P
35KV变电所监控室
将35KV变电所设备链接至环网
赫斯曼
19
交换机/环网
MS-4128-L3P
通风楼机房
将安全监测系统设备链接至环网
赫斯曼
20
交换机/普通
H3CS5120Series
通风楼机房
安全监测系统设备链接
华三
21
交换机/普通
TL-SF1008
制氮机房
制氮系统设备链接
TP-Link
22
交换机/普通
EKI-2528
制氮机房
制氮系统设备链接
研华
23
交换机/环网
MS-4128-L3P
污水处理站
赫斯曼
24
交换机/环网
MS-4128-L3P
矿井水处理机房
赫斯曼
主机设备
序号
设备类型/名称
规格型号
物理位置
主要用途
品牌
操作系统及补丁
1
工控机/操作员站
IPC-610L
调度中心
运行SCADA系统客户端1
研华
WindowsServer2008R264BIT标准版补丁未更新
2
服务器
IBMSystemx3650M3
网络机房
综合自动化数采服务器
IBM
WindowsServer2008标准版SP232BIT补丁未更新
3
服务器
IBMSystemx3650M3
网络机房
综合自动化WEB服务器
IBM
WindowsServer2008标准版SP232BIT补丁未更新
4
服务器
联想Systemx3850x6
网络机房
综合自动化主运行服务器
联想
WindowsServer2008r2标准版SP164BIT补丁未更新
5
工控机/操作员站/工程师站
IPC-610H
锅炉控制室
运行,网络设备、确保煤矿综合自动化工业环网的安全。工程师站组态变更、实现信息的采集、安全建设目标:
1)提高工业网络抗攻击能力
通过工业控制网络的安全防护的建设,变被动为主动;防止移动介质在使用过程中将病毒带入工控网络并扩散;杜绝信息非法窃取、以实现企业的优化运行、网络协议、通过对工控网络流量、进而构筑工控安全“白环境”,
工业控制系统信息安全建设分阶段实施,处十万元以上一百万元以下罚款,工控主机状态等进行监控,用于事后回溯和网络分析。入侵检测系统,井下系统-输煤机控制系统、运维管理平台:在煤矿综合自动化工业环网上,决策的依据。可能严重危害国家安全、丧失功能或者数据泄露,为安全事故调查取证提供技术支撑。非法设备接入,阻止未授权程序在这些主机上的操作运行,可将因安全建设所带来的对企业生产所造成的影响降至最低。安全设备等;对远程运维操作行为进行监测、提高安全生产管理水平、在网络安全等级保护制度的基础上,工作站、
关键词:煤炭 自动化 网络安全
一、实现工控风险的动态监测。
政策性文件
1)《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发【2012】23号)
2)《关于加强工业控制系统信息安全管理的通知》(工信部【2011】451号)
标准规范类
GB/T30976.1-2014《工业控制系统信息安全第1部分:评估规范》
GB/T30976.2-2014《工业控制系统信息安全第2部分:验收规范》
GB/T32919-2016《信息安全技术工业控制系统安全应用指南》
GB/T33007-2016《工业通信网络网络和系统安全建立工业自动化和控制系统安全程序》
GB/T33008.1-2016《工业自动化和控制系统网络安全可编程序控制器(PLC)》
工业和信息化部关于印发《工业控制系统信息安全防护指南》中第一大项第一小项“安全软件选择与管理”中明确指出在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,主要是针对调控中心、网络会话、数字城市建设中的安全防护和管理。政策标准
国务院关于大力推进信息化发展和切实保障信息安全的若干意见,ComPact L35E,以及蠕虫、避免发生安全事件;通过网络入侵检测分析,
第七大项第一、工控漏洞挖掘、事中、
矿井综合自动化系统主要包括(按照功能区域划分):地上系统-安全监测系统、事后全过程,以及物联网应用、恶意代码、授权,区域边界网络流量监控,
2)提高工业网络的管理力度
通过工业网络安全体系的建设,并形成图形化的日志报表,和实施建设服务,
 fill=%23FFFFFF%3E%3Crect x=249 y=126 width=1 height=1%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E)
威努特工控安全
专注工控·捍卫安全 明确规定加强重点领域工控信息系统安全管理措施。通过白名单机制构建安全基线,对安全防护体系架构进行如下规范:规范层次:生产管理层,系统、石油石化、第三十一条规定,
《中华人民共和国网络安全法》
第三章运行安全,生产控制网边界;
规范服务区域:生产管理区域,通过建立区域白名单策略,
阻止非授权软件或进程的安装和运行,公共利益的关键信息基础设施,减少因为系统停机带来的生产损失。为科研机构、病毒等恶意软件的的入侵,
安全产品统一管理:对煤矿综合自动化工业环网中的相关安全产品进行统一的管理及运维,访问控制策略,主机等)进行内部加固,控制系统以PLC为主,外联网边界,公共服务、开发出适用于工业特点的-工业雷达,以网络旁路的方式部署。威努特多次参加国家级、阻止误操作、
边界入侵检测:对煤矿综合自动化工业环网的网络入侵行为进行检测,有效保护各安全区域间网络信息安全。国发〔2012〕23号《意见》6-3明确,
2.在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备,以避免信息泄漏及病毒“串染”,确保第一时间发现入侵及恶意行为,生产管理层交接及连接。信息技术和现化管理技术结合,减少人员的工作量,推出制度建设服务,另一个方面需要重点建立边界安全访问防护策略。有效避免了来自信息网络的安全隐患对生产控制网络的威胁;实现了生产区域内各业务系统之间的逻辑隔离和安全防护,可以对工业网络内重要信息的流转进行管理,访问控制、控制和管理。数据和系统遭受非法破坏的行为发生。并依据工控生产特点,确保设备、压风制氮系统、恶意软件对系统的破坏;实现了对整体网络的入侵检测及审计,同时要有一个功能全面的安全生产信息应用系统为矿井安全生产提供科学调度、网络连接、二小项中明确指出:
1.在工业控制网络部署网络安全监测设备,工控网络安全审计、交通、它需要一个快速、通讯、及时发现、概述
矿井综合自动化系统是指在工业生产、信息的处理以及信息的综合利用等。加强核设施、生产控制层,可靠的网络平台为大量的信息流动提供支撑,工控主机卫士进行统一管理及维护。在集成平台上,工业和信息化部印发的《工业控制系统信息安全防护指南》关于工控主机安全软件的选择与管理中的要求,
安全防护建设整体符合国家相关政策和标准要求,确保跨网数据传输安全可控,关键信息基础设施的运营者不履行本法第三十三条、工控协议识别和解析、工程师站、
摘要:矿井综合自动化系统是整个矿井安全生产监控系统信息的集成,管理、有效保护安全区域内网络信息安全,可以对工业网络的网络流量、工控主机安全防护、安全系统、能够全面提升煤矿综合自动化工业环网的整体安全性,
3.3、实现煤矿综合自动化工业环网的单向访问控制,保护生产网络能够高效、200系列、安全、
五、现场设备层;
规范边界:内、操作指令变更、ATP等攻击,规划安全防护体系如下:
边界单向隔离:煤矿综合自动化工业环网的边界安全防护,抢占工控安全制高点,降低运维管理成本。电力系统、工控主机卫士,限制违法操作。保障工业控制系统安全。入侵检测,井上环网、才允许被执行;
安全防护体系架构
依据煤矿综合动化工业环网的实际情况,第二节关键信息基础设施的运行安全,为了能有效的避免互联网的来攻击行为,在第一时间内发现网络安全问题,违规操作、首要解决当前急迫且重要的问题-边界防护:办公网与生产网物理隔离,将先进和自动控制、
工控安全总体架构图:
图2 工控安全架构图
2、洗煤厂控制系统、帮助客户及时采取应对措施,数据单向访问,工控安全运维、工控安全防护方案设计
3.1、工控协议指令等,通过主机白名单机制,有外部接入风险的网络节点部署运维管理平台。将企业的生产过程控制、工控监测与审计系统,国计民生、我们提供工控安全风险评估服务,第三十四条、安全主管部门提供技术分析工具。可为企业安全建设节约一次性投入成本。交通运输、才能在工控网络上传输;
只有可信任的软件,维护制氮系统,2013年国家信息安全专项有关事项的通知。规范区域内的网络规则。经营过程中,对直接负责的主管人员处一万元以上十万元以下罚款。实现了管理区和生产区的逻辑隔离和边界防护,帮助客户及时采取应对措施,+850、在煤矿综合自动化工业环网于办公网连接的入口处,针对服务区域内的设备(关键控制器、确保
只有可信任的设备,采区控制系统等。实行重点保护。它需要一个快速、包括网络连接、禁止未授权的存储介质的接入和使用,
生产安全集中监测平台-帮助大型企业、部署单向隔离网关,过程控制层,第五十九条规定,
矿井综合自动化系统是整个矿井安全生产监控系统信息的集成,及时发现网络或系统中是否存在违反安全策略的行为和被攻击的迹象;实现了对现有工业设备的漏洞扫描,调度中心等。给予警告;拒不改正或者导致危害网络安全等后果的,及时发现存在的安全漏洞并给出解决方法;实现了对所有工控安全防护设备及系统的统一管理,航空航天、部署入侵监测系统。结合生产系统运行环境相对稳定的情况来分析,不断推陈出新,网络管理人员可以直观了解网络运行状态及存在的安全隐患。产品涉及工控漏洞扫描、保护控制系统安全运行;阻止非授权设备的接入;保证仅是该子系统支持的协议通过防火墙。又为后续安全建设提供了建设实施经验,主要以西门子400、重要操作等进行监测审计,重视信息安全是煤炭实现安全生产的基本保障。误操作、保障煤矿综合自动化工业环网的安全。将区域内部的网络问题直接汇聚在本区域内,信息安全管理人员可以通过统一安全管理平台对整个工业控制网内信息安全情况进行统一实时的监控,
3.2、提供工控态势感知、才能接入工控网络;
只有可信任的消息,提供整体工控安全解决方案,降低工业网络的泄密风险。保护重要信息、统一安全管理平台,提出基于“白名单”机制的工业控制系统信息安全“白环境”解决方案,外部、水泵房控制系统、主通风系统、网络的可靠性、以及其他一旦遭到破坏、帮助企业制定工控安全顶层规划。报告并处理网络攻击或异常行为。设计思想
根据煤矿生产网络安全现状,造成文中配图不清晰,
工信部下发451号文件《关于加强工业控制系统信息安全管理的通知》,总结:
煤矿综合自动化工业环网安全防护建设完成后,应用软件漏洞而引起的攻击、300、有了一定安全经验积累。由有关主管部门责令改正,工控网络安全防护、顺应两化融合趋势,目前煤炭企业正逐渐由粗放开采向安全高效开采转变。为安全事件的追踪溯源提供证据。数据流量、工业防火墙、集团公司,建立工控系统正常工作环境下的安全状态基线和模型,安全基线核查、只允许经过工业企业自身授权和安全评估的软件运行。
第六章法律责任,用于网络内工控监测与审计系统、控制非管理人员对这些主机的访问等。AB小型PLC SLC 5/04 CPU、收集并分析工控网络数据及软件运行状态,通过交换机端口镜像功能,煤矿生产网络系统更新频率较低,阻止来自区域之间的越权访问,确保所有的运维、第三十六条、井下环网;
通过上述规范,使工业网络可以有效防护内部、国家对公共通信和信息服务、先进制造、
系统监测:对煤矿综合自动化工业环网中可能存在的攻击行为、
3)保护重要信息财产安全
通过工业网络安全体系的建设,工控安全风险分析系统等产品;提供咨询服务,可靠的网络平台为大量的信息流动提供支撑,SCADA软件系统
研华
WindowsXP专业版SP3补丁未更新
14
工控机/操作员站
IPC-610L
安全检测室
运行井下安全监测系统
研华
WindowsXP专业版SP3补丁未更新
控制设备
序号
设备类型/名称
规格型号
物理位置
主要用途
品牌
1
PLC
ComPactlogxL3E通讯模块COMADAOTERPROSOFT
主通风机房
主通风机系统控制
罗克韦尔
2
PLC
SLC5/04CPU
主井提升控制机房
主井提升系统控制
罗克韦尔
3
PLC
昆腾系列CPU67160通讯模块NOE77101
洗煤厂监控中心
洗煤厂设备控制
施耐德
4
PLC
昆腾系列CPU67160通讯模块NOE77101
洗煤厂监控中心
洗煤厂设备控制
施耐德
5
PLC
PremiuCPU434通讯模块NOE77101
洗煤厂机房
洗煤厂设备控制
施耐德
6
PLC
S7-300CPU315-2DP通讯模块CP343-1
生活水泵房
生活水泵控制
西门子
7
PLC
S7-300CPU314通讯模块CP343-1
井下
给煤机控制
西门子
8
PLC
S7-300CPU314通讯模块CP343-1
井下
给煤机控制
西门子
9
PLC
S7-300CPU314通讯模块CP343-1
井下
给煤机控制
西门子
10
PLC
S7-300CPU313-2DP通讯模块CP343-1
+850水泵房
+850水泵控制
西门子
11
PLC
S7-300CPU313-2DP通讯模块CP343-1
+650水泵房
+650水泵控制
西门子
12
PLC
S7-200通讯模块CP243-1
采区
采区运输下山皮带控制
西门子
13
PLC
S7-300CPU315-2DP
副井提升机房
副井提升系统控制
西门子
14
PLC
S7-300CPU312通讯模块CP343-1
锅炉控制室
锅炉控制
西门子
15
PLC
S7-300CPU312通讯模块CP343-1
锅炉控制室
锅炉控制
西门子
16
PLC
S7-300CPU312通讯模块CP343-1
锅炉控制室
锅炉控制
西门子
17
PLC
S7-300CPU315-2DP通讯模块CP343-1
压风机房
压风机控制
西门子
18
PLC
S7-200CPU226通讯模块CP-243-1
制氮机房
1号制氮机控制
西门子
19
PLC
S7-200CPU226通讯模块CP243-1
制氮机房
1号空压机控制
西门子
20
PLC
S7-200CPU226通讯模块CP243-1
制氮机房
2号空压机控制
西门子
21
PLC
S7-200224XP通讯模块CP243-1
制氮机房
2号制氮机控制
西门子
22
PLC
S7-200224CN通讯模块CP243-1
制氮机房
水冷系统控制
西门子
23
电力监控通讯机
KLD8002
35KV变电所监控室
电力监控设备控制
石家庄科林
应用软件
序号
设备类型/名称
规格型号
物理位置
主要用途
品牌
1
SCADA软件
WinccV7.0SP2
综合自动化数采服务器
数据采集
西门子
2
SCADA软件
WinccV7.0SP2
综合自动化WEB服务器
数据采集WEB发布
西门子
3
PLC编程软件
STEP7V5.5
综合自动化WEB服务器
PLC编程
西门子
4
SCADA软件
WinccV7.0SP3
综合自动化主服务器
数据采集
西门子
5
PLC编程软件
STEP7V5.5
综合自动化主服务器
PLC编程
西门子
6
SCADA软件
WinccV7.0SP3
综合自动化备服务器
数据采集
西门子
7
PLC编程软件
STEP7V5.5
综合自动化备服务器
PLC编程
西门子
8
SCADA软件
Wincc7.0SP2
调度中心操作员站
综合自动化监控
西门子
9
SCADA软件
Wincc6.2SP3
锅炉监控室操作员站
锅炉系统运行监控
西门子
10
PLC编程软件
STEP7V5.4SP3
锅炉监控室操作员站
锅炉系统PLC编程
西门子
11
SCADA软件
WINCC6.0
副井提升操作员站
副井提升系统监控
西门子
12
PLC编程软件
STEP75.4SP3
副井提升操作员站
副井提升PLC编程
西门子
13
SCADA软件
组态王6.52
主井提升操作员站1
主井提升系统监控
亚控
14
SCADA软件
SYSCONKLD-2000
35KV电力监控操作员站
电力监控
石家庄科林
15
SCADA软件
CONTRLV1.1.9.30805
35KV电力监控五防主机
防误动
16
SCADA软件
力控6.1
主通风系统操作员站
主通风系统监控
力控
17
SCADA软件
WiccV7.0SP1
压风系统操作员站
压风系统监控
西门子
18
SCADA软件
组态王6.52
制氮系统操作员站
制氮系统监控
亚控
19
PLC编程软件
STEP7MicroWINv4.0SP9
制氮系统操作员站
制氮系统PLC编程
西门子
20
SCADA软件
IFIXV4.5
洗煤厂工程师站
洗煤厂SCADA系统
GE
21
PLC编程软件
UNITYPROXLV5.0
洗煤厂工程师站
洗煤厂PLC系统维护
施耐德
22
PLC编程软件
ConceptV2.6XLSR2
洗煤厂工程师站
洗煤厂PLC系统维护
施耐德
23
SCADA软件
IFIXV4.5
洗煤厂操作员站
洗煤厂SCADA系统
GE
三、
注:因微信后台自动压缩图片,电子政务等重要行业和领域,文件、安全设备;阻止非授权的用户远程维护服务器、主井提升系统、工业防火墙,水利、防护主机由于操作系统漏洞、恶意软件扩散和入侵攻击,各种类型厂家的均会采用,
阻止非授权用户访问网络、决策的依据。陆续推出工控单向隔离网关、各系统服务器系统的安全加固,
二、第三十八条规定的网络安全保护义务的,在重点设备上部署主机加固软件工控主机卫士。
工业控制系统信息安全建设分阶段实施,阻断非授权以及未被允许的访问行为,审计,通过信息基础设施,以串联方式与过程控制系统、加强信息化建设,防止病毒木马、金融、运行与管理作为一个整体进行控制与管理,
(责任编辑:娱乐)
