我國煤炭企業網絡安全現狀、問題分析研究與建議

王丹識，韓鵬軍，王榮博，楊 歐，董 凱，田 欣，許秀莉

(1.中國煤炭工業協會，北京市朝陽區，100013；2.國能信息技術有限公司，北京市東城區，100120；3.華為技術有限公司，廣東省深圳市，518129；4.新華三技術有限公司電力能源事業部，北京市海淀區，100083；5.深信服科技股份有限公司能源事業部，北京市海淀區，100089；6.中興通訊股份有限公司產業數字化方案部，廣東省深圳市，518000)

0 引言

黨中央、國務院高度重視網絡安全工作，習近平總書記強調“沒有網絡安全就沒有國家安全”。2021年3月發布的《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》中，有14處提及“網絡安全”，涉及數字經濟、數字生態、國家安全、能源資源安全等多個領域[1]。同年，《關鍵信息基礎設施安全保護條例》《個人信息保護法》《數據安全法》頒布施行。

國家大力完善網絡安全政策體系的同時，能源行業成為重點領域之一。2020年2月，國家發展改革委、國家能源局等八部委共同印發的《關于加快煤礦智能化發展的指導意見》中強調，同步推進網絡安全和煤礦智能化發展[2]；2021年6月，國家能源局、國家礦山安監局印發《煤礦智能化建設指南(2021年版)》中強調，逐步推進核心裝備控制系統國產化安全可信、自主可控[3]；同時要求，智能化煤礦應開展網絡、信息和系統等安全建設；2021年12月，國務院印發的《“十四五”數字經濟發展規劃》中強調指出，加快能源領域數字化轉型，支持開展常態化安全風險評估，加強網絡安全等級保護和密碼應用安全性評估[4]；2022年1月，國家發展改革委、國家能源局印發《“十四五”現代能源體系規劃》中明確指出，加強網絡安全關鍵技術研究，推動建立能源行業、企業網絡安全態勢感知和監測預警平臺，提高風險分析研判和預警能力[5]。

煤炭作為我國的主要能源，肩負著保障國家能源安全的重要使命。隨著煤炭工業兩化融合水平不斷深入以及煤炭企業數字化轉型加速推進，網絡安全問題已成為影響煤炭行業轉型發展的重要問題之一[6]?；诖?，中國煤炭工業協會信息化分會對部分重點煤炭集團總部網絡安全情況進行了專項調查，對當前煤炭企業網絡安全現狀及問題進行了歸納和分析，并對煤炭企業網絡安全建設提出了對策和建議。

1 我國煤炭行業網絡安全的特點

1.1 行業影響大

2020年，化石能源在我國一次能源消費占比仍接近85%，其中煤炭消費占比為56.8%?；谖覈幻?、貧油、少氣的能源資源稟賦，在相當長的時期內，煤炭仍將是我國的主要能源，煤炭的安全穩定供應事關國家能源安全。經過多年的發展，我國煤礦智能化建設已取得長足進步，一些大型骨干礦井和煤層賦存條件較優越的礦區已初步實現了智能化、少人化開采[7-8]。但與此同時，我國煤礦網絡安全事件頻出，2019-2021年，發生了多起煤礦網絡安全事件，影響了煤礦正常的生產秩序，給煤礦生產安全帶來了新的威脅。

1.2 防護要求高

《關鍵信息基礎設施安全保護條例》明確，面向公眾提供網絡信息服務或支撐能源、通信、金融、交通、公共事業等重要行業運行的信息系統或工業控制系統屬于關鍵信息基礎設施[9]。根據《煤礦安全規程》《網絡安全等級保護基本要求》，煤礦企業須將礦用有線調度通信系統、井下應急廣播系統、煤礦安全監控系統、煤礦井下作業人員管理系統、煤礦圖像監視系統、煤礦產量監控系統和列入 2021年智能綜采(掘)工作面建設的智能化工業控制系統的網絡安全等級定為第二級及以上[10]；各煤礦企業和上級集團公司或分公司間跨地級市、省或者全國統一聯網運行的數據匯聚平臺，其網絡安全保護等級不低于第三級[11]。

1.3 基礎底子薄

煤炭行業網絡安全基礎相對薄弱。在2020年八部委出臺《關于加快推進煤礦智能化建設的指導意見》以前，煤炭行業信息化、智能化建設長期處于企業各自為戰的狀態。煤炭行業經歷了化解過剩產能的困難時期，信息化整體基礎薄弱，水平能力差距巨大[12]，導致網絡安全意識淡薄，網絡安全管理制度和標準體系不健全，網絡安全人才和技術力量薄弱，整體缺乏組織和引導，宣傳培訓教育工作不到位。

1.4 特色限制多

煤炭行業產業鏈長、中間環節多，煤炭企業管理層級多、產業板塊多、煤礦分布散，附屬單位形式多樣；同時，煤礦井下的特殊性、復雜性以及對安全生產的絕對性要求，都使其網絡安全特色性要求更多、更復雜，網絡安全防護難度更大。

1.5 轉型難度大

隨著煤炭行業兩化融合深度發展，煤礦智能化建設、煤炭工業互聯網平臺的建設使煤礦設備連接數量和數據采集數量成倍甚至幾何倍數的增長，對網絡安全的要求越來越高。煤礦企業應用面臨規?！吧显啤钡内厔?，多個終端接入一張網絡，網絡受攻擊影響面增大，敏感數據面臨更大的外泄風險。同時，國內煤礦自動化、半自動化設備逐步升級為基于ICT技術的智能遠控系統，生產安全面臨的網絡威脅逐步增強[13]。

2 我國煤炭企業網絡安全現狀

2.1 網絡安全投入保持增長

在被調研的20家大型煤炭集團總部(以下均為該口徑)信息化投入整體呈現增長態勢。2021年，16家投入增長，占比80%。其中，1家投入超10億元，3家超1億元；6家投入增幅超過20%。2021年，20家煤炭集團網絡安全經費投入同比增長的為18家，占比90%。其中，4家網絡安全投入占整體信息化投入的比重超過30%；8家投入超過了1 000萬元。

2.2 網絡安全防護壓力增加

煤炭企業兩化融合加速發展，給網絡安全工作帶了更大的挑戰。一方面人、機、物、數據互聯互通使信息網絡和控制系統深入到企業生產經營的各個方面，為煤礦生產經營、科學決策、安全管理、智能控制、即時通訊、預報預警、應急響應等提供有力的支撐；另一方面也使得網絡安全風險由辦公延伸到生產、由局部延伸到整體，企業網絡安全工作壓力大增。2021年，20家煤炭集團總部被各類網絡攻擊次數較2020年上升的有18家，占比90%。其中，7家被攻擊次數超過10萬次/a，最高的超過300萬次/a，年被攻擊次數增幅最高的達到490%。

2.3 網絡安全重視程度增強

政府合規要求提升、各類安全事件頻發等使得煤炭企業對網絡安全的認識和重視程度有所提升。僅2021年，20家煤炭集團總部出臺的各類網絡安全相關制度多達30項。目前，80%的煤炭集團總部對所屬單位信息系統有明確的等級保護要求，20家煤炭集團總部信息系統等級保護備案數量為187個。其中，符合等級保護二級認證標準的系統141個，符合等級保護三級認證標準的系統41個。

2.4 網絡核心設備和網絡安全軟件基本實現國產化

信創產業的快速發展極大地提升了煤炭企業在網絡安全方面的自主可控能力，主要軟硬件國產化率大幅提升。2021年，20家煤炭集團總部網絡核心設備國產化率平均達到92%，其中15家為100%；20家煤炭集團總部網絡安全軟件使用國產化率平均達到97%，其中17家為100%。

2.5 信息系統“上云”水平整體提升

隨著煤炭行業大力發展“新基建”，各大煤炭企業加大信息化基礎設施建設投入，企業“上云”水平整體提升，但差異較大。2021年，20家煤炭集團總部主要管理信息系統“上云”比例平均達到64.4%。其中，8家“上云”比例達到100%，占比40%；5家“上云”比例超過70%，占比25%。但另有5家低于10%，其中3家“上云”比例為0。

2.6 網絡安全管理制度逐步完善

20家煤炭集團總部中，出臺網絡安全相關制度的達到18家，占比90%。其中，11家已出臺網絡安全管理辦法(規定)，占比55%。同時，企業網絡安全相關制度不斷深化細化，除基礎的網絡安全管理辦法外，還包括工控系統、等級保護、崗位職責、漏洞檢測、突發事件應急響應、教育與培訓、信息通報等各類具體內容。

3 我國煤炭企業網絡安全存在的主要問題

3.1 網絡安全防護意識整體薄弱

煤炭企業網絡安全防護意識雖有所提升，但對網絡安全危害仍整體認知不足。煤炭企業更加注重對系統建設方面的投資，而對不能直接見效的網絡安全支持力度明顯不足。對網絡安全工作投入不能滿足安全防護的要求，導致網絡安全管理的各環節存在問題。

3.2 網絡安全基礎保障能力不足

煤炭企業網絡安全資金投入整體不足，除幾家大型煤炭集團總部網絡安全資金投入相對較高外，多數企業投入仍然偏低。煤炭企業整體防控網絡安全風險的工作體系、制度、協調機制尚未完善，機構設置和人員配備不足。20家煤炭集團總部除央企均設有網絡安全處或其他專門機構外，其他企業相關職能設置在信息化部門下，專職工作人員數量平均不足3人。

3.3 網絡安全建設以被動合規為主導

合規需求是過去幾年推動我國煤炭企業網絡安全建設和產業發展的主要動因。但在政策合規驅動下，煤炭企業用戶的安全投入以單點、分散式采購為主，缺少體系化的安全規劃和布局。隨著各類實戰化網絡攻防演習行動的逐年增多，單純依靠合規驅動的工業企業用戶往往需要采取臨時協調、突擊建設等方式來應對，安全投入不足、主體責任落實不到位等問題仍然突出，產業內生需求有待進一步培育壯大。

3.4 網絡安全體系效能不能充分發揮

煤炭企業網絡安全不僅是投入問題、技術問題，同時更是管理問題。提升網絡安全體系效能是網絡安全工作的關鍵所在。但是由于人員不足、手段缺失、流程不清晰等多方面條件限制，造成很多煤炭企業網絡安全體系效能發揮受限，如隱藏的安全問題發現不了、發現問題解決不了等，最終造成所建設的安全體系不能充分應對實際安全問題。

3.5 煤礦工業控制系統安全風險高

國內煤礦網絡建設普遍采用以太網的環冗余技術，通過調度中心與2個環網進行數據聯通，由于系統本身的脆弱性，結合內外部導入的威脅所帶來的安全風險，控制網絡內缺少入侵檢測技術手段，無法及時對黑客入侵、病毒攻擊等行為進行報警，攻擊行為發生后也無法定位?？刂凭W絡中缺少工控檢測與審計技術手段，無法對工業流量進行分析。生產網與辦公網之間缺少有效的隔離，無法阻止來自辦公網的工控網絡攻擊。

3.6 對安全技術廠商依賴程度高

我國煤炭企業網絡安全建設目前以技術應用和產品部署為主，在安全策略、制度、流程等方面普遍考慮不足。由于缺少與安全技術相匹配的人員、流程和管理手段，煤炭企業用戶往往無法實現對安全產品效能和服務質量的有效評估，只能依賴市場上各類資質不一、能力參差不齊的安全技術廠商，煤炭企業自身的安全建設水平和保障能力亟待提升。

3.7 終端操作系統和數據庫國產化使用率低

20家煤炭集團總部辦公終端操作系統平均國產化使用率不足1%。其中最高的接近20%，65%的集團國產化使用率為0。Windows操作系統占據絕對主導，平均使用率為98.3%，其中尚有2%的電腦終端還在使用Windows XP系統。20家煤炭集團總部中，僅6家使用了國產品牌數據庫，且使用數量偏低。

3.8 網絡安全產品難以滿足行業特色需求

技術廠商提供的部分防護類產品和管理類產品與煤礦業務場景結合程度不高，使得煤炭企業對廠商的安全技術認可度不高。但涉足煤炭行業網絡安全業務的廠商數量激增，供給市場呈分散化趨勢，產業集聚效應不明顯，行業規模效應難以實現。

4 關于煤炭企業網絡安全建設的對策與建議

網絡安全工作是一項系統性的工作，具有基礎性、動態性、實戰性等特點，并不是簡單的投入一定資金、購置安全產品或培養專業人才就能夠解決的。煤炭企業要做好網絡安全工作，應落實“三化六化”總要求，摒棄以往“重技術輕管理”的固有認識，通過建立健全網絡安全治理體系、合理應用網絡安全防護技術、加強網絡安全運營管理等全方位措施才能得以實現。

4.1 完善企業網絡安全治理體系

(1)完善網絡安全組織管理體系。煤炭企業主要負責人應是本單位網絡安全工作的第一責任人，應按照“誰建設誰負責，誰運行誰負責，誰使用誰負責”的原則，逐級落實網絡安全責任制。企業應成立網絡安全和信息化領導小組，負責網絡安全管理重大事項決策和協調工作；明確其他成員單位和部門需承擔的安全管理責任，同時建立健全從上至下的網絡安全工作隊伍。

(2)完善網絡安全制度管理體系。完善的管理制度是確保網絡安全的基礎保障，煤炭企業網絡安全管理制度應由安全策略、管理制度和操作規程等構成。安全策略是企業網絡安全工作的總體方針和基礎要求；管理制度是網絡安全不同領域細化的制度，包括如網絡安全、設備安全、系統安全、教育培訓、事故處置、應急響應等一系列專項管理制度；操作規程實際上是標準，從實操層面將企業網絡安全工作流程、制度要求進行標準化規范。

(3)完善網絡安全人員管理體系。維護網絡安全關鍵在人，糾正“網絡安全是技術部門和技術人員的事”思想。煤炭企業網絡安全不僅涉及的是本專業的管理和技術人員，還包括企業全體員工，從企業最高管理層、中層管理者、重點及敏感崗位人員、網絡安全管理(技術)人員乃至最基層的普通礦工，任何一環操作或使用不當，都有可能引發網絡安全問題。應建立從上至下、覆蓋完善的網絡安全隊伍體系和教育培訓考核體系，面向全員，常態化開展不同層次的網絡安全培訓和教育。

(4)完善網絡安全建設管理體系。網絡安全建設管理是煤炭企業網絡安全工作的核心內容。要從規劃建設、系統建設、系統管理、系統運維、審計管理、安全管理、集中管控、應急管理、檢查評估、責任追究等全流程加以管控，系統化實施推進。煤炭企業網絡安全管理工作應堅持“同步規劃、同步建設、同步運行、同步合規”的原則，確保網絡安全設施與信息系統建設項目同步投入使用，并符合安全等級保護等合規性要求。同時還要做好供應鏈安全管理，加強自主研發能力，加快國產化替代進程，優先部署國產產品。

4.2 合理應用網絡安全防護技術

4.2.1 加強煤礦設備安全防護

煤礦設備可按照設備類型和新舊設備有針對性地進行防護，無法升級設備系統軟件增強安全的老舊設備，可通過例行資產和暴露面盤點及時關閉高危賬戶和網絡端口，減少對外暴露的設備系統接口和被攻擊的幾率。新設備按照富資源設備(如控制器和上位機)和資源受限設備(如傳感類設備)分別進行技術防護。富資源設備應支持SL2級系統安全要求，通過軟件防火墻對控制器類設備上的進程和文件白名單管理。資源受限設備應支持SL1級系統安全要求。

4.2.2 加強煤礦工控系統安全防護

(1)安全分區。煤礦生產單位可按照辦公和生產分別劃分安全區；井工礦可按照井下控制區和井上控制區劃分分區；針對每個生產單位接入相關政府部門系統時，劃分外聯區。

(2)邊界隔離[14]。辦公分區與生產分區間，根據實際情況按需設置防火墻或者網閘，白名單機制管控互訪連接。生產分區內，控制區與其他分區采用防火墻隔離防護。涉及政府部門的外聯邊界，應建設外聯安全接入區。

(3)網絡架構。生產網整體宜采用分層環形組網方式，分為骨干環網和接入環網，部分主干網絡建議雙節點組網，增強可靠性，網關下沉到接入交換機，減少網絡風暴。無互聯要求的控制和監控系統通過VLAN或者VPN隔離。

(4)終端防護。終端可安裝安全沙箱，對訪問生產系統的客戶端軟件和訪問互聯網的客戶端進行隔離。

(5)協同防護。安全設施和網絡設備通過工控安全態勢感知協同，收集部署在安全區域內的工業入侵檢測系統、工業網絡審計類設備、終端安全、日志審計系統產生的日志和流量信息，確保煤炭企業關鍵工控系統的持續運轉。

4.2.3 加強煤炭企業網絡安全防護

(1)優化網絡架構，按照單位或園區的密集度，設置獨立的具有冗余結構的網關設備。

(2)收縮互聯網出口，煤炭企業下屬多個生產單位時，建議取消生產單位互聯網出口，將互聯網出口集中在集團總部或者集團所屬二級子公司。

(3)網絡集中管理，部署網絡管理系統對所有單位的網絡設備進行集中管理和監控，集中配置網絡設備。

(4)網絡安全域分區，管理網絡和生產網絡設置安全域，部署防火墻，原則上安全域策略出方向不限制，入方向按需放通。

(5)統一網絡準入，部署自動化程度高的網絡準入系統，對所有單位的網絡設備和終端設備進行準入管控。

(6)盤點網絡資產，部署網絡資產盤點系統，對所有的資產和互聯關系進行確認入賬。

(7)盡量采購同廠安全設施，形成協同防護體系。

4.2.4 加強煤炭企業云安全防護

(1)云平臺安全。加強云平臺網絡邊界，平臺運維安全防護，加強管理員賬號管理。

(2)租戶網絡安全。按照應用通信和安全等級劃分應用安全組，一個應用安全組對應一個VPC。應用安全組內通過安全組策略保障應用部件間通信安全，應用安全組間通過虛擬防火墻保障跨組通信安全。

(3)租戶主機安全。通過安裝軟件防火墻和服務器EDR軟件加強主機安全防護。

(4)云資源池安全。建立物理機房位置分開的主備容災機制的云資源池。

4.2.5 加強煤炭企業數據安全防護

(1)對數據進行分級分類，明確核心數據、重要數據及一般數據，并對不同等級數據確立不同權限訪問及保密性要求。

(2)加強數據安全防護，按照數據采集、傳輸、存儲、使用的全流程實施數據安全防護。加強數據采集源的可信驗證和數據質量監測；加強數據傳輸和存儲的保密性防護，防范非法監聽或惡意篡改；加強用戶身份認證,遵循權限最小環原則；加強數據防泄露機制，涉及企業和個人隱私的數據要求脫敏處理。

(3)加強數據安全監測與審計，定期檢查和分析數據庫安全漏洞、SQL語句風險、用戶訪問風險，消除數據安全隱患。

4.2.6 加強煤炭企業應用系統安全防護

(1)應用系統訪問控制應實施多因子認證，提升口令復雜度，增強賬號破解難度。

(2)應建立多應用系統統一登錄認證機制，降低用戶保存多賬號和口令的難度，減少賬號丟失濫用幾率。

(3)應部署應用訪問代理隱藏應用系統，同時設置精細化用戶權限管控，梳理不同用戶的訪問需求，建立應用權限管理矩陣。

(4)應部署Web防火墻和數據庫審計系統，加強Web惡意攻擊防御能力。

(5)應按照重要性分類實施部署隔離，避免一個應用被攻破后作為跳板攻擊其他應用。

(6)應加強終端側安全防護和監測，通過終端安全預警機制及時發現終端側的安全風險。

4.2.7 加強物理環境安全防護

物理環境安全應按照國家及煤炭行業有關標準設計實施，應具備消防報警、安全照明、不間斷供電、溫濕度控制和防盜防破壞報警，從而以保護系統免受水、火、電、有害氣體、雷擊、地震等各種不利因素的危害。涉及的安全防護技術可從機房部署、井下信息化設備、室外控制設備3個方面來考慮。因為煤礦井下具有區域相對狹小、照明條件較差、溫度高、潮濕、粉塵濃度高等特點，且部分礦井具有瓦斯濃度高、腐蝕性有害氣體濃度高等特點，因此應根據不同情況采取相應的物理安全防護措施。

4.3 加強網絡安全運營管理

煤炭企業網絡安全運營能力建設應堅持“事先防范、事中控制、事后處置”的理念，以安全治理為核心、風險態勢為導向、安全合規為基礎，結合組織基礎安全能力，在人、技術、過程層面不斷完善組織網絡安全體系，滿足安全運營的系統性、動態性和實戰性需求，建立健全網絡安全運行監控機制，形成一體化的網絡安全防御、監測預警和應急處置體系。

(1)堅持統籌謀劃，整體推進。統籌煤炭企業生產區、辦公區、生活區安全監控重點，統籌資源配置和關鍵技術管理，構建網絡安全監測預警能力，推進各項任務的有序開展。

(2)堅持協同配合，分級管控。整合煤炭企業內部資源，堅持網絡安全一盤棋；分層組建網絡安全運營監控隊伍，明確工作界限，形成分級協同的安全運行監控體系。

(3)堅持面向實戰，安全運營。重點突出網絡安全運營監控體系的實戰能力與保障能力，以安全事件發現、分析研判、通告預警、響應處置、追蹤調查為核心，構建面向實戰的安全運營體系；將技術、管理、流程進行有機整合支撐業務實戰，形成保障業務、促進業務的閉環安全運營。

(4)堅持及時響應，降低影響。建立網絡安全運營監測值班機制，確保及時發現網絡安全事件，形成網絡安全與系統運行協同的一體化監控、應急防護體系，統籌協調事件處置，全力降低安全事件影響范圍。

5 結語

從黨中央、國務院及相關部門對網絡安全的重視程度，到煤炭行業數字化、網絡化、智能化發展所面臨的網絡安全風險形勢，都對煤炭企業網絡安全工作提出了新的更高要求。煤炭企業近年來在該領域雖然取得了一定進步，但整體仍存在較大差距。

網絡安全是一項系統性工作，不能簡單地認為投入一定資金、采取一些防護手段或招聘一些專業人員就能夠解決，必須落實“三化六防”總要求，通過建立健全網絡安全治理體系、合理應用網絡安全防護技術、加強網絡安全運營管理等全方位措施才能得以實現。