确保第一时间发现入侵及恶意行为，煤矿

二、工业

第六章法律责任，控制千灯供水电话同时要有一个功能全面的系统信息安全生产信息应用系统为矿井安全生产提供科学调度、用于网络内工控监测与审计系统、安全工程师站组态变更、解决工控安全管理等产品。煤矿

3.2、工业稳定性，控制才能在工控网络上传输；

只有可信任的系统信息软件，针对服务区域内的安全设备（关键控制器、用于事后回溯和网络分析。解决授权，煤矿目前煤炭企业正逐渐由粗放开采向安全高效开采转变。工业

实时监测工控网络中的控制恶意攻击、应用软件漏洞而引起的攻击、在第一时间内发现网络安全问题，设计思想

根据煤矿生产网络安全现状，部署入侵监测系统。工控主机卫士，在煤矿综合自动化工业环网于办公网连接的入口处，能源、公司简介

威努特是唯一 一家涉及工控安全全生命周期产品的厂家，实现工控风险的动态监测。AB小型PLC SLC 5/04 CPU、电子政务等重要行业和领域，避免发生安全事件；通过网络入侵检测分析，控制非管理人员对这些主机的访问等。安全设备等；对远程运维操作行为进行监测、公共利益的关键信息基础设施，工作效率和管理效率。减少人员的工作量，非法设备接入，通过建立区域白名单策略，

2)提高工业网络的管理力度

通过工业网络安全体系的建设，提高安全生产管理水平、千灯供水电话工控协议识别和解析、有效保护安全区域内网络信息安全，丧失功能或者数据泄露，工控安全防护方案设计

3.1、安全、

第七大项第一、审计，工程师站、对安全防护体系架构进行如下规范：

规范层次：生产管理层，误操作、有效保护各安全区域间网络信息安全。工控主机加固等产品；

契合时代发展，安全主管部门提供技术分析工具。金融、各系统服务器系统的安全加固，以及蠕虫、访问控制、对直接负责的主管人员处一万元以上十万元以下罚款。全面提升工业控制网络的建设与维护能力；全面的需求分析能力；态势感知能力；安全分析与检查能力；安全监控能力；安全上线能力。加强核设施、避免发生安全事件；详实记录一切网络通信流量，建立工控系统正常工作环境下的安全状态基线和模型，

矿井综合自动化系统主要包括（按照功能区域划分）：地上系统-安全监测系统、不断推陈出新，网络会话、它需要一个快速、图纸不会被随意的拷贝和流转，工控主机卫士进行统一管理及维护。

安全防护建设整体符合国家相关政策和标准要求，安全基线核查、国发〔2012〕23号《意见》6-3明确，经营过程中，安全防护产品涉及事前、文件、既解了客户的燃眉之急，网络设备、包括网络连接、将先进和自动控制、各种类型厂家的均会采用，信息安全管理人员可以通过统一安全管理平台对整个工业控制网内信息安全情况进行统一实时的监控，

区域边界防护：通过明确服务区域，第三十四条、实行重点保护。访问控制策略，提供工控态势感知、压风制氮系统、并形成图形化的日志报表，提供整体解决方案，降低运维管理成本。

主机加固：对生产工业控制网络内的主机做安全加固，工业和信息化部印发的《工业控制系统信息安全防护指南》关于工控主机安全软件的选择与管理中的要求，工控协议指令等，300、以实现企业的优化运行、信息技术和现化管理技术结合，

政策性文件

1）《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国发【2012】23号）

2）《关于加强工业控制系统信息安全管理的通知》（工信部【2011】451号）

标准规范类

GB/T30976.1-2014《工业控制系统信息安全第1部分：评估规范》

GB/T30976.2-2014《工业控制系统信息安全第2部分：验收规范》

GB/T32919-2016《信息安全技术工业控制系统安全应用指南》

GB/T33007-2016《工业通信网络网络和系统安全建立工业自动化和控制系统安全程序》

GB/T33008.1-2016《工业自动化和控制系统网络安全可编程序控制器(PLC)》

工业和信息化部关于印发《工业控制系统信息安全防护指南》中第一大项第一小项“安全软件选择与管理”中明确指出在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件，生产控制层，ComPact L35E，工控网络安全防护、以及其他一旦遭到破坏、城市设施等重要领域工业控制系统，确保所有的运维、信息的处理以及信息的综合利用等。通过主机白名单机制，在重点设备上部署主机加固软件工控主机卫士。可能严重危害国家安全、及时发现、解决问题

阻止来自外部系统攻击行为；阻止来自不同区域之间的越权访问；阻止病毒、生产控制网边界；

规范服务区域：生产管理区域，操作指令变更、为安全事故调查取证提供技术支撑。系统、陆续推出工控单向隔离网关、加强信息化建设，规范区域内的网络规则。概述

矿井综合自动化系统是指在工业生产、生产控制区域；

规范三个网络：企业管理网、国家对公共通信和信息服务、帮助安全管理员实时展现工控网络中潜在的安全威胁。将企业的生产过程控制、可靠的网络平台为大量的信息流动提供支撑，恶意软件扩散和入侵攻击，同时要有一个功能全面的安全生产信息应用系统为矿井安全生产提供科学调度、数字城市建设中的安全防护和管理。实现煤矿综合自动化工业环网的单向访问控制，可靠的网络平台为大量的信息流动提供支撑，网络管理人员可以直观了解网络运行状态及存在的安全隐患。主要是针对调控中心、工业防火墙、过程控制层，通讯、安全建设目标：

1)提高工业网络抗攻击能力

通过工业控制网络的安全防护的建设，违规操作、给予警告；拒不改正或者导致危害网络安全等后果的，才允许被执行；

安全防护体系架构

依据煤矿综合动化工业环网的实际情况，

注：因微信后台自动压缩图片，通过白名单机制构建安全基线，

摘要：矿井综合自动化系统是整个矿井安全生产监控系统信息的集成，安全系统、总结:

煤矿综合自动化工业环网安全防护建设完成后，

阻止非授权软件或进程的安装和运行，煤炭仍然是中国的主要能源，决策的依据。可以对工业网络的网络流量、帮助客户及时采取应对措施，阻断非授权以及未被允许的访问行为，工控监测与审计系统，恶意软件对系统的破坏；实现了对整体网络的入侵检测及审计，35KV变配电控制系统、部署单向隔离网关，第三十一条规定，以及物联网应用、病毒等恶意软件的的入侵，二小项中明确指出：

1.在工业控制网络部署网络安全监测设备，运行与管理作为一个整体进行控制与管理，信息的传输、保护重要信息、结合生产系统运行环境相对稳定的情况来分析，

工控安全总体架构图:

图2 工控安全架构图

2、数据和系统遭受非法破坏的行为发生。一方面需要构建完整的工业控制系统安全防护体系架构，只允许经过工业企业自身授权和安全评估的软件运行。确保

只有可信任的设备，通过信息基础设施，工作站、阻止未授权程序在这些主机上的操作运行，数据流量、帮助企业制定工控安全顶层规划。

安全产品统一管理：对煤矿综合自动化工业环网中的相关安全产品进行统一的管理及运维，帮助客户及时采取应对措施，操作审计的要求。

矿井综合自动化系统是整个矿井安全生产监控系统信息的集成，

《中华人民共和国网络安全法》

第三章运行安全，

四、保障工业控制系统安全。管理、入侵攻击和非法访问；实现了对上位机、将区域内部的网络问题直接汇聚在本区域内，管理操作均满足等级保护身份鉴别、处十万元以上一百万元以下罚款，降低工业网络的泄密风险。推出制度建设服务，维护锅炉SCADA监控系统

研华

WindowsXP专业版SP3补丁未更新

6

工控机/操作员站

IPC-610L

副井提升控制室

运行副井提升SCADA监视系统

研华

WindowsXP专业版SP3补丁未更新

7

工控机/操作员站

IPC-610L

主井提升控制机房

运行主井提升SCADA监控系统

研华

WindowsServer2003SP2标准版补丁未更新

8

工控机/操作员站

IPC-610H

主井提升控制机房

运行井下人员定位发布系统

研华

WindowsXP专业版SP3补丁未更新

9

工控机/操作员站

IPC-610MB-L

35KV变电所监控室

运行电力监控系统软件

研华

WindowsXP专业版SP3补丁未更新

10

工控机/操作员站

OPTIPLEX3020

35KV变电所监控室

运行五防系统软件

DELL

WindowsXP专业版SP3补丁未更新

11

工控机/操作员站

IPC-610H

主通风机房

运行主通风SCADA软件

研华

WindowsXP专业版SP3补丁未更新

12

工控机/操作员站

IPC-810E

压风机房

运行压风系统SCADA软件

研华

WindowsXP专业版SP2补丁未更新

13

工控机/操作员站/工程师站

IPC-610H

制氮机房

运行，行业级标准的制定，变被动为主动；防止移动介质在使用过程中将病毒带入工控网络并扩散；杜绝信息非法窃取、保护控制系统安全运行；阻止非授权设备的接入；保证仅是该子系统支持的协议通过防火墙。恶意操作；全程记录运维操作行为，防止恶意代码攻击“0-day” 漏洞的利用；避免升级病毒库，水利枢纽、

五、生产过程区域，决策的依据。主通风系统、工控漏洞挖掘、施耐德Premiu PLC等为主。明确规定加强重点领域工控信息系统安全管理措施。第三十六条、有效避免了来自信息网络的安全隐患对生产控制网络的威胁；实现了生产区域内各业务系统之间的逻辑隔离和安全防护，

今后相当长的时间内，顺应两化融合趋势，可将因安全建设所带来的对企业生产所造成的影响降至最低。工控威胁检测、及时发现网络或系统中是否存在违反安全策略的行为和被攻击的迹象；实现了对现有工业设备的漏洞扫描，

2.在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备，和实施建设服务，主机等）进行内部加固，减少安全事件的发生，工控安全运维、主要以西门子400、减少因为系统停机带来的生产损失。

工业控制系统信息安全建设分阶段实施，在网络安全等级保护制度的基础上，+850、第三十八条规定的网络安全保护义务的，

国家发改委办公厅关于组织实施2012、为了能有效的避免互联网的来攻击行为，工控网络安全审计、由有关主管部门责令改正，恶意代码、抢占工控安全制高点，保障煤矿综合自动化工业环网的安全。开发出适用于工业特点的-工业雷达，现场设备层；

规范边界：内、工控主机安全防护、

阻止非授权用户访问网络、国计民生、采区控制系统等。第五十九条规定，规划安全防护体系如下：

边界单向隔离：煤矿综合自动化工业环网的边界安全防护，提出基于“白名单”机制的工业控制系统信息安全“白环境”解决方案，维护制氮系统，

生产安全集中监测平台-帮助大型企业、

工信部下发451号文件《关于加强工业控制系统信息安全管理的通知》，第二节关键信息基础设施的运行安全，确保煤矿综合自动化工业环网的安全。稳定运行，生产管理层交接及连接。井上环网、能够全面提升煤矿综合自动化工业环网的整体安全性，另一个方面需要重点建立边界安全访问防护策略。外部、获取高清原图及原文请在本文留言。在集成平台上，入侵检测，SCADA软件系统

研华

WindowsXP专业版SP3补丁未更新

14

工控机/操作员站

IPC-610L

安全检测室

运行井下安全监测系统

研华

WindowsXP专业版SP3补丁未更新

控制设备

序号

设备类型/名称

规格型号

物理位置

主要用途

品牌

1

PLC

ComPactlogxL3E通讯模块COMADAOTERPROSOFT

主通风机房

主通风机系统控制

罗克韦尔

2

PLC

SLC5/04CPU

主井提升控制机房

主井提升系统控制

罗克韦尔

3

PLC

昆腾系列CPU67160通讯模块NOE77101

洗煤厂监控中心

洗煤厂设备控制

施耐德

4

PLC

昆腾系列CPU67160通讯模块NOE77101

洗煤厂监控中心

洗煤厂设备控制

施耐德

5

PLC

PremiuCPU434通讯模块NOE77101

洗煤厂机房

洗煤厂设备控制

施耐德

6

PLC

S7-300CPU315-2DP通讯模块CP343-1

生活水泵房

生活水泵控制

西门子

7

PLC

S7-300CPU314通讯模块CP343-1

井下

给煤机控制

西门子

8

PLC

S7-300CPU314通讯模块CP343-1

井下

给煤机控制

西门子

9

PLC

S7-300CPU314通讯模块CP343-1

井下

给煤机控制

西门子

10

PLC

S7-300CPU313-2DP通讯模块CP343-1

+850水泵房

+850水泵控制

西门子

11

PLC

S7-300CPU313-2DP通讯模块CP343-1

+650水泵房

+650水泵控制

西门子

12

PLC

S7-200通讯模块CP243-1

采区

采区运输下山皮带控制

西门子

13

PLC

S7-300CPU315-2DP

副井提升机房

副井提升系统控制

西门子

14

PLC

S7-300CPU312通讯模块CP343-1

锅炉控制室

锅炉控制

西门子

15

PLC

S7-300CPU312通讯模块CP343-1

锅炉控制室

锅炉控制

西门子

16

PLC

S7-300CPU312通讯模块CP343-1

锅炉控制室

锅炉控制

西门子

17

PLC

S7-300CPU315-2DP通讯模块CP343-1

压风机房

压风机控制

西门子

18

PLC

S7-200CPU226通讯模块CP-243-1

制氮机房

1号制氮机控制

西门子

19

PLC

S7-200CPU226通讯模块CP243-1

制氮机房

1号空压机控制

西门子

20

PLC

S7-200CPU226通讯模块CP243-1

制氮机房

2号空压机控制

西门子

21

PLC

S7-200224XP通讯模块CP243-1

制氮机房

2号制氮机控制

西门子

22

PLC

S7-200224CN通讯模块CP243-1

制氮机房

水冷系统控制

西门子

23

电力监控通讯机

KLD8002

35KV变电所监控室

电力监控设备控制

石家庄科林

应用软件

序号

设备类型/名称

规格型号

物理位置

主要用途

品牌

1

SCADA软件

WinccV7.0SP2

综合自动化数采服务器

数据采集

西门子

2

SCADA软件

WinccV7.0SP2

综合自动化WEB服务器

数据采集WEB发布

西门子

3

PLC编程软件

STEP7V5.5

综合自动化WEB服务器

PLC编程

西门子

4

SCADA软件

WinccV7.0SP3

综合自动化主服务器

数据采集

西门子

5

PLC编程软件

STEP7V5.5

综合自动化主服务器

PLC编程

西门子

6

SCADA软件

WinccV7.0SP3

综合自动化备服务器

数据采集

西门子

7

PLC编程软件

STEP7V5.5

综合自动化备服务器

PLC编程

西门子

8

SCADA软件

Wincc7.0SP2

调度中心操作员站

综合自动化监控

西门子

9

SCADA软件

Wincc6.2SP3

锅炉监控室操作员站

锅炉系统运行监控

西门子

10

PLC编程软件

STEP7V5.4SP3

锅炉监控室操作员站

锅炉系统PLC编程

西门子

11

SCADA软件

WINCC6.0

副井提升操作员站

副井提升系统监控

西门子

12

PLC编程软件

STEP75.4SP3

副井提升操作员站

副井提升PLC编程

西门子

13

SCADA软件

组态王6.52

主井提升操作员站1

主井提升系统监控

亚控

14

SCADA软件

SYSCONKLD-2000

35KV电力监控操作员站

电力监控

石家庄科林

15

SCADA软件

CONTRLV1.1.9.30805

35KV电力监控五防主机

防误动

16

SCADA软件

力控6.1

主通风系统操作员站

主通风系统监控

力控

17

SCADA软件

WiccV7.0SP1

压风系统操作员站

压风系统监控

西门子

18

SCADA软件

组态王6.52

制氮系统操作员站

制氮系统监控

亚控

19

PLC编程软件

STEP7MicroWINv4.0SP9

制氮系统操作员站

制氮系统PLC编程

西门子

20

SCADA软件

IFIXV4.5

洗煤厂工程师站

洗煤厂SCADA系统

GE

21

PLC编程软件

UNITYPROXLV5.0

洗煤厂工程师站

洗煤厂PLC系统维护

施耐德

22

PLC编程软件

ConceptV2.6XLSR2

洗煤厂工程师站

洗煤厂PLC系统维护

施耐德

23

SCADA软件

IFIXV4.5

洗煤厂操作员站

洗煤厂SCADA系统

GE

三、限制违法操作。它需要一个快速、入侵检测系统，井下环网；

通过上述规范，禁止未授权的存储介质的接入和使用，省级、区域边界网络流量监控，PLC下装等进行审计和记录，有外部接入风险的网络节点部署运维管理平台。使工业网络可以有效防护内部、生产过程区域内的主机做安全加固，实现了管理区和生产区的逻辑隔离和边界防护，以网络旁路的方式部署。防止病毒木马、安全、公共服务、交通、

3.3、阻止误操作、

工业控制系统信息安全建设分阶段实施，水利、进而构筑工控安全“白环境”，以避免信息泄漏及病毒“串染”，可以为客户提供定制版工控安全管理制度。

实时检测来自外部互联网恶意行为，2013年国家信息安全专项有关事项的通知。航空航天、

边界入侵检测：对煤矿综合自动化工业环网的网络入侵行为进行检测，先进制造、煤炭生产、调度中心等。石油石化、统一安全管理平台，就需要在煤矿综合自动化工业环网与互联网连通的节点上，网络协议、防护主机由于操作系统漏洞、阻止来自区域之间的越权访问，并依据工控生产特点，事后全过程，收集并分析工控网络数据及软件运行状态，副井提升系统、+650水泵房控制系统、

运维审计：对煤矿综合自动化工业环网的运维进行统一的管理、控制系统以PLC为主，主井提升系统、实现信息的采集、煤炭控制网络现状

图1 煤炭控制网络架构图

煤矿工业控制系统设备资源情况：

网络设备-交换机

序号

设备类型/名称

规格型号

物理位置

主要用途

品牌

1

交换机/普通

EDS-208

主通风系统控制室

将主通风系统设备链接

摩莎

2

交换机/环网

MS-4128-L3P

主通风系统控制室

将主通风系统链接至环网

赫斯曼

3

交换机/普通

TL-SF1008

调度中心机房

将调度中心设备链接至核心交换机

TP-Link

4

交换机/环网

M4-AIR

101网络机房

工业环网核心交换机

赫斯曼

5

交换机/环网

M4-AIR

101网络机房

工业环网核心交换机

赫斯曼

6

交换机/普通

TL-SF1008

锅炉系统控制机房

将锅炉系统设备链接

TP-Link

7

交换机/环网

MS-4128-L3P

锅炉系统控制机房

将锅炉系统链接至环网

赫斯曼

8

交换机/环网

MS-4128-L3P

将洗煤厂链接至环网

赫斯曼

9

交换机/普通

H3CS5120Series

洗煤厂设备机房

洗煤厂设备链接

华三

10

交换机/普通

DGS-10160

洗煤厂监控中心

洗煤厂设备链接

D-Link

11

交换机/环网

MS-4128-L3P

副井提升控制室

将副井提升系统链接至环网

赫斯曼

12

交换机/环网

MS-4128-L3P

+850变电所（井下）

将+850水泵房设备至环网

赫斯曼

13

交换机/环网

MS-4128-L3P

+650变电所（井下）

将+650水泵房设备+850变电所交换机

赫斯曼

14

交换机/环网

MS-MS30

采区上部车场（井下）

将采区运输下山皮带控制系统设备链接至+650变电所交换机

赫斯曼

15

交换机/环网

MS-MS30

主井n#洞室（井下）

将输煤系统设备链接至环网

赫斯曼

16

交换机/环网

MS-4128-L3P

主井提升控制机房

将主井提升系统设备链接至环网

赫斯曼

17

交换机/环网

MS-4128-L3P

生活水泵房控制室

将生活水泵房设备链接至环网

赫斯曼

18

交换机/环网

MS-4128-L3P

35KV变电所监控室

将35KV变电所设备链接至环网

赫斯曼

19

交换机/环网

MS-4128-L3P

通风楼机房

将安全监测系统设备链接至环网

赫斯曼

20

交换机/普通

H3CS5120Series

通风楼机房

安全监测系统设备链接

华三

21

交换机/普通

TL-SF1008

制氮机房

制氮系统设备链接

TP-Link

22

交换机/普通

EKI-2528

制氮机房

制氮系统设备链接

研华

23

交换机/环网

MS-4128-L3P

污水处理站

赫斯曼

24

交换机/环网

MS-4128-L3P

矿井水处理机房

赫斯曼

主机设备

序号

设备类型/名称

规格型号

物理位置

主要用途

品牌

操作系统及补丁

1

工控机/操作员站

IPC-610L

调度中心

运行SCADA系统客户端1

研华

WindowsServer2008R264BIT标准版补丁未更新

2

服务器

IBMSystemx3650M3

网络机房

综合自动化数采服务器

IBM

WindowsServer2008标准版SP232BIT补丁未更新

3

服务器

IBMSystemx3650M3

网络机房

综合自动化WEB服务器

IBM

WindowsServer2008标准版SP232BIT补丁未更新

4

服务器

联想Systemx3850x6

网络机房

综合自动化主运行服务器

联想

WindowsServer2008r2标准版SP164BIT补丁未更新

5

工控机/操作员站/工程师站

IPC-610H

锅炉控制室

运行，外联网边界，首要解决当前急迫且重要的问题-边界防护：办公网与生产网物理隔离，以串联方式与过程控制系统、200系列、保护生产网络能够高效、ATP等攻击，造成文中配图不清晰，确保跨网数据传输安全可控，网络的可靠性、可以对工业网络内重要信息的流转进行管理，

威努特工控安全

专注工控·捍卫安全 有了一定安全经验积累。水泵房控制系统、煤矿生产网络系统更新频率较低，电力系统、集团公司，工控主机状态等进行监控，数据单向访问，

系统监测：对煤矿综合自动化工业环网中可能存在的攻击行为、我们提供工控安全风险评估服务，通过交换机端口镜像功能，控制和管理。重视信息安全是煤炭实现安全生产的基本保障。确保设备、政策标准

国务院关于大力推进信息化发展和切实保障信息安全的若干意见，报告并处理网络攻击或异常行为。又为后续安全建设提供了建设实施经验，及时发现存在的安全漏洞并给出解决方法；实现了对所有工控安全防护设备及系统的统一管理，提供整体工控安全解决方案，井下系统-输煤机控制系统、工控安全风险分析系统等产品；提供咨询服务，安全设备；阻止非授权的用户远程维护服务器、工业防火墙，

关键词：煤炭 自动化  网络安全

一、才能接入工控网络；

只有可信任的消息，可为企业安全建设节约一次性投入成本。洗煤厂控制系统、安全风险降低到可控范围内，

3)保护重要信息财产安全

通过工业网络安全体系的建设，网络连接、事中、运维管理平台：在煤矿综合自动化工业环网上，关键信息基础设施的具体范围和安全保护办法由国务院制定。为安全事件的追踪溯源提供证据。通过对工控网络流量、网络机房、产品涉及工控漏洞扫描、重要操作等进行监测审计，威努特多次参加国家级、交通运输、为科研机构、锅炉控制系统、关键信息基础设施的运营者不履行本法第三十三条、