大型煤炭企業(yè)網(wǎng)絡安全防護措施研究

摘 要：大型煤炭企業(yè)在智能化、數(shù)字化和網(wǎng)絡化建設過程中，采用有效的方法手段來保障企業(yè)網(wǎng)絡安全會給企業(yè)帶來很大的益處。本文分析了大型煤炭企業(yè)的網(wǎng)絡系統(tǒng)特點，網(wǎng)絡安全狀況，探討網(wǎng)絡安全在煤炭企業(yè)智能化、數(shù)字化和網(wǎng)絡化建設過程中的重要性，并介紹了一種有效保護數(shù)據(jù)和網(wǎng)絡資產(chǎn)的網(wǎng)絡安全防護系統(tǒng)，用以降低網(wǎng)絡平臺使用風險同時促進企業(yè)更高效發(fā)展。

關鍵詞：大型煤炭企業(yè);網(wǎng)絡安全;網(wǎng)絡安全措施

中圖分類號：TP393 文獻標識碼：A DOI：10.3969/j.issn.1003-6970.2021.02.035

本文著錄格式：李小龍.大型煤炭企業(yè)網(wǎng)絡安全防護措施研究[J].軟件，2021，42（02）：115-117+120

Research on Network Security Protection Measures of Large Coal Enterprises

LI Xiaolong

（Shendong Coal Group Information Management Center， Yulin? Shaanxi? 719000）

【Abstract】：Large coal enterprises in the process of intelligent， digital and network construction， the use of effective methods and means to protect the enterprise network security will bring great benefits to the enterprise. This paper analyzes the characteristics and the importance of the large-scale coal enterprise network system， network security， network security in the coal enterprise intelligence， digital and network construction process， and introduces an effective protection of data and network assets network security protection system， to reduce the network platform using the risk at the same time， promote the development of enterprises more efficient.

【Key words】：large coal enterprises;network security;network security measures

0引言

近年來，各煤炭企業(yè)深化建設生產(chǎn)過程中的智能化、數(shù)字化和網(wǎng)絡化建設。為實現(xiàn)各個生產(chǎn)環(huán)節(jié)的無縫銜接，各個生產(chǎn)部門的數(shù)據(jù)共享，以及進一步保證生產(chǎn)安全，搭建集成企業(yè)內部各個部門，整合全部生產(chǎn)數(shù)據(jù)，統(tǒng)一調度生產(chǎn)與人力資源的高效網(wǎng)絡生產(chǎn)辦公平臺是各個煤炭企業(yè)所追求的。同時在企業(yè)數(shù)字化的過程中，數(shù)據(jù)安全性已成為大規(guī)模煤炭企業(yè)的核心關注點。隨著網(wǎng)絡攻擊發(fā)生的頻率越來越高，攻擊復雜度越來越高，企業(yè)必須采取越來越積極的姿態(tài)來保護自己的網(wǎng)絡和資產(chǎn)免遭未經(jīng)授權的訪問[1]。煤炭企業(yè)在使用網(wǎng)絡系統(tǒng)給企業(yè)的生產(chǎn)帶來便捷的同時，隨著企業(yè)網(wǎng)絡規(guī)模的不斷發(fā)展，也要更加重視網(wǎng)絡安全建設，以保證發(fā)揮網(wǎng)絡平臺的最大功效，從而更有效的促進企業(yè)的發(fā)展。

1大型煤炭企業(yè)的網(wǎng)絡系統(tǒng)特點

大型煤炭企業(yè)網(wǎng)絡覆蓋面積較廣且包含數(shù)量龐大、較為分散的節(jié)點。對于大型煤炭企業(yè)， 整個企業(yè)的礦區(qū)網(wǎng)絡通常由各個礦區(qū)單獨的大型局域網(wǎng)共同構成，因此其組成的整個集團網(wǎng)絡有時比城域網(wǎng)更大。為保證企業(yè)各個方面的流暢運行，大型煤炭企業(yè)一般包含集團信息層，礦井管理層和生產(chǎn)信息層三層結構[2]：連接企業(yè)全部礦區(qū)主干網(wǎng)絡的集團信息層，該層通過部署不同的服務器以及核心交換機來提供企業(yè)所需要的全部應用服務和基礎性設施;各個礦區(qū)內的局域網(wǎng)共同組成的礦井管理層;位于各個礦井中的工業(yè)以太網(wǎng)和井下以太網(wǎng)組成的生產(chǎn)信息層。

由于煤炭企業(yè)的生產(chǎn)往往需要的包含與開采、運輸、調度等有關的多個環(huán)節(jié)，因此煤炭生產(chǎn)往往具有生產(chǎn)系統(tǒng)繁多，生產(chǎn)過程繁瑣以及在生產(chǎn)中生產(chǎn)信息的來源、形態(tài)和相互關系多種多樣的特點，企業(yè)在生產(chǎn)過程中對于信息化設備運行的安全可靠性有著極高的要求。

2網(wǎng)絡安全對于大型煤炭企業(yè)的重要意義

2.1大型煤礦企業(yè)的潛在網(wǎng)絡安全風險

由于大型煤炭企業(yè)生產(chǎn)過程復雜，企業(yè)網(wǎng)絡體系龐大的原因，企業(yè)的網(wǎng)絡更容易受到來自外部惡意攻擊或內部由于操作失誤等所引起的損害，大量的損失和成本可能因此加重并損害企業(yè)的正常運營。這其中的風險可能包括：

2.1.1關鍵數(shù)據(jù)丟失

沒有可靠的網(wǎng)絡安全措施，與生產(chǎn)相關的關鍵數(shù)據(jù)的丟失風險就會加大。企業(yè)網(wǎng)絡遭受損壞或惡意攻擊可能導致大量數(shù)據(jù)丟失[3]。這些關鍵數(shù)據(jù)如果永遠丟失就會影響如煤礦的開采等生產(chǎn)過程并難以迅速恢復。

2.1.2 造成經(jīng)濟損失

如果現(xiàn)有網(wǎng)絡設備由于惡意攻擊或內部不當操作而損壞，則企業(yè)還必須花費大量資金用于新的網(wǎng)絡基礎設施。

事實上，當今組織所面臨的威脅比以往任何時候都更加先進、普遍和持久。美國經(jīng)濟顧問委員會（Council of Economic Advisors）最近的一份報告強調了這一點，該報告發(fā)現(xiàn)，2016年美國網(wǎng)絡攻擊的經(jīng)濟影響在570億至1090億美元之間。

2.1.3 其他風險

另外，在一些煤炭企業(yè)中，員工在使用網(wǎng)絡時下載過多非辦公軟件或者視頻等，消耗了很大部分的網(wǎng)絡資源，致使網(wǎng)絡擁擠，而導致其他員工無法正常使用郵件、瀏覽器等辦公軟件進行辦公[4]。或者因為不當?shù)南螺d操作導致網(wǎng)絡病毒在企業(yè)網(wǎng)絡中出現(xiàn)，而導致辦公網(wǎng)絡癱瘓，如果影響到礦井內的安全監(jiān)控網(wǎng)絡，很容易引起生產(chǎn)安全事故，從而造成嚴重后果。

在煤炭企業(yè)數(shù)字化建設過程中，企業(yè)很容易忽略當前網(wǎng)絡安全所面臨的風險等級或者對網(wǎng)絡威脅做出較實際情況更低的評估，這可能會影響企業(yè)對于為什么要關心網(wǎng)絡安全，以及需要什么樣的適合煤炭企業(yè)的網(wǎng)絡安全防護措施等問題的決定。然而毫不夸張地說，現(xiàn)如今影響世界各地企業(yè)和政府正常運行的大規(guī)模數(shù)據(jù)泄露事件發(fā)生地越來越頻繁。很有可能企業(yè)的有關生產(chǎn)等的重要數(shù)據(jù)在過去已經(jīng)受到了某些泄露的影響。然而，盡管最近的網(wǎng)絡入侵、網(wǎng)絡癱瘓等事件頻發(fā)，但許多企業(yè)仍然依賴于一個相對薄弱的網(wǎng)絡安全實施，這讓它們容易受到漏洞的攻擊。

這些潛在的網(wǎng)絡安全風險告誡我們，在生產(chǎn)實踐中加強企業(yè)網(wǎng)絡安全措施建設，以預防來自于外部和內部的網(wǎng)絡安全威脅，從而提高網(wǎng)絡的運行效率是煤炭企業(yè)在深化工業(yè)互聯(lián)網(wǎng)建設中必不可少的一部分。

2.2有效的網(wǎng)絡安全措施對企業(yè)的好處

企業(yè)網(wǎng)絡安全管理集中于識別關鍵領域的風險，并最高程度地將風險降低。這些網(wǎng)絡安全措施以多種方式有效地解決網(wǎng)絡問題，從部署提高安全性的網(wǎng)絡架構，到為員工提供持續(xù)安全意識培訓，以保持對當前和緊急安全威脅的了解和警惕。企業(yè)網(wǎng)絡安全措施是綜合而全面的，可以解決企業(yè)網(wǎng)絡平臺在生產(chǎn)過程中不同級別上的缺點或漏洞[5]。

通過采用企業(yè)網(wǎng)絡安全措施，企業(yè)能夠更好地定位，主動應對新出現(xiàn)的和緊急的網(wǎng)絡安全威脅。當今的企業(yè)經(jīng)常面臨著先進且持續(xù)網(wǎng)絡威脅，為應對這種潛在的安全威脅，企業(yè)需要尋求積極主動、持續(xù)處于高度戒備狀態(tài)的網(wǎng)絡安全措施。美國經(jīng)濟顧問委員會的報告強調了一個非常重要卻很容易被忽略的事實，即大型企業(yè)中的網(wǎng)絡安全風險往往是由企業(yè)中的許多部門共同承擔的。對于生產(chǎn)環(huán)節(jié)復雜的煤炭企業(yè)來說，一個部門的弱點可能轉化為另一個部門被攻擊的漏洞。因此通過強有力的網(wǎng)絡安全實施，煤炭企業(yè)不僅降低了各部門在生產(chǎn)過程中自身的風險，也降低了其他部門出現(xiàn)網(wǎng)絡安全問題的風險。

使用企業(yè)網(wǎng)絡安全措施帶來的最大好處之一是增強了識別漏洞的能力。在某些情況下，企業(yè)安全措施將完全消除漏洞領域，例如通過開發(fā)和實現(xiàn)更安全的網(wǎng)絡體系結構來減少潛在被攻擊點。同時，企業(yè)安全解決方案和管理的安全服務提供了更強的漏洞檢測。例如，通過持續(xù)的網(wǎng)絡監(jiān)控和定期的滲透測試，網(wǎng)絡安全系統(tǒng)安可以識別出關鍵的漏洞，在它們對企業(yè)造成實質性的損失之前解決它們。

通過快速識別和解決企業(yè)網(wǎng)絡系統(tǒng)的漏洞，企業(yè)通常會抵御原本可能造成攻擊的的網(wǎng)絡安全威脅。在大型煤炭企業(yè)的網(wǎng)絡生產(chǎn)和辦公平臺中過時的軟件或未打的補丁是最為常見的系統(tǒng)漏洞。這些潛在網(wǎng)絡安全風險可以在網(wǎng)絡安全措施的漏洞評估中被突出顯示，并且可以在網(wǎng)絡攻擊發(fā)生之前更新系統(tǒng)的軟件和系統(tǒng)。同時，可以通過補丁管理系統(tǒng)，定期部署軟件補丁。

企業(yè)網(wǎng)絡安全解決方案不僅有助于在漏洞被利用之前識別并增強漏洞，而且還具有主動威脅情報監(jiān)視功能，可幫助組織在面對緊急威脅時變得更有彈性。通過威脅情報監(jiān)控，企業(yè)能夠將緊急網(wǎng)絡威脅的相關信息納入其網(wǎng)絡安全實施中，以減少了他們之后可能攻擊的成功率。

企業(yè)網(wǎng)絡安全措施不只是簡單地利用某些工具或硬件來將潛在的網(wǎng)絡安全問題最小化。在企業(yè)網(wǎng)絡安全措施中，安全策略（圖1）的創(chuàng)建使企業(yè)對于應對網(wǎng)絡安全問題變得更有彈性。

3針對大型煤炭企業(yè)的網(wǎng)絡安全措施

3.1部署綜合企業(yè)網(wǎng)絡安全系統(tǒng)（IENSS）

圖2顯示了分布式IENSS體系結構如何工作的示例。如圖中所示，節(jié)點1、節(jié)點2和節(jié)點3是在企業(yè)網(wǎng)絡內部三種不同的受感染設備。如果節(jié)點2通過位于企業(yè)網(wǎng)絡之外的C&C服務器通過企業(yè)網(wǎng)絡的正常進出路線定期聯(lián)系，則防火墻很可能有機會查看節(jié)點2與C&C服務器之間的通信特性。只有當防火墻配備了先進的僵尸網(wǎng)絡檢測技術來分析所捕獲的流量時，這種情況也會發(fā)生。只有在這種情況下，防火墻才會報告點2節(jié)點為惡意節(jié)點，并采取措施減輕它。然而，假設還有兩個P2P節(jié)點，即節(jié)點1和節(jié)點3，它們試圖保持被動且不被注意。在一定時間后，其中一個被動節(jié)點可能會變得主動，并執(zhí)行先前由節(jié)點2執(zhí)行的指令。由于P2P節(jié)點之間的通信不通過集中的安全設備，傳統(tǒng)的防病毒和防火墻無法檢測無源P2P節(jié)點，如節(jié)點1和節(jié)點3。此外，從圖1中還可以注意到，可能存在某些未經(jīng)授權的不安全鏈接，可以直接連接到互聯(lián)網(wǎng)，而不需要集中控制器或現(xiàn)有的集中安全設備，如防病毒和防火墻的干預。為了解決這些問題，Thanudas等研究了一種新的IENSS架構，該架構集成了分布式網(wǎng)絡安全系統(tǒng)和幾個代理，這些代理直接連接到集中控制器，以識別和中和企業(yè)網(wǎng)絡中的各種安全威脅。

3.2 IENSS系統(tǒng)的三個關鍵要素

3.2.1 IENSS控制器

IENSS控制器有授權訪問企業(yè)數(shù)據(jù)庫、DNS服務器和防火墻?？刂破鬟€維護一個數(shù)據(jù)庫，存儲從不同的代理接收的必要的報告、數(shù)據(jù)和摘要。但是，控制器沒有權限，除非通過防火墻和IDS等現(xiàn)有設備來阻止惡意用戶設置規(guī)則。要執(zhí)行上述任務，控制器必須從網(wǎng)絡管理員處獲取確認指令。相比之下，網(wǎng)絡管理員會分析控制器發(fā)送的報告日志，然后向控制器發(fā)出采取相關操作所需的指令。

3.2.2 IENSS代理

IENSS代理是在計算機或路由器節(jié)點上執(zhí)行的程序。代理使用從控制器收到的指令進行操作。代理程序還通過對捕獲的流量應用檢測技術來執(zhí)行一定程度的智能功能，以檢測非法網(wǎng)絡活動。如果代理懷疑任何惡意活動，則將捕獲的數(shù)據(jù)包通信給控制器，以便進一步處理和調查?？刂破鬟\行在網(wǎng)絡管理員計算機上，并連續(xù)處理從網(wǎng)絡中不同代理接收的所有信息和數(shù)據(jù)包。注意，控制器不直接捕獲任何網(wǎng)絡流量，而是只處理從代理和其他網(wǎng)絡安全設備接收到的信息和文件。我們還假設代理不在網(wǎng)絡中相互通信，它們只與IENSS控制器保持聯(lián)系。

代理還通過根據(jù)控制器的指令操作來補充IENSS控制器的功能。多個代理的存在有助于收集網(wǎng)絡流量相關信息以及來自網(wǎng)絡所有重要部分的其他信息。代理程序可以在嵌入式電子設備或普通計算機中執(zhí)行，連接到其中一個網(wǎng)段。

3.2.3 IENSS控制器-代理通信協(xié)議

控制器與代理器之間的IENSS控制器-代理通信協(xié)議用于傳遞各種類型的消息，如回聲消息、錯誤消息、特征消息、狀態(tài)相關消息和數(shù)據(jù)包相關消息，以跟蹤控制器與代理之間的對話。

4結語

隨著網(wǎng)絡安全的重要性更加深入的了解以及現(xiàn)今各領域因網(wǎng)絡安全事件造成的經(jīng)濟損失持續(xù)增加，大型煤炭企業(yè)從上到下創(chuàng)建以安全為中心的文化的需求也應增長。當今的企業(yè)必須認識到網(wǎng)絡安全威脅可能嚴重影響企業(yè)的正常生產(chǎn)和長遠發(fā)展。鑒于此，企業(yè)必須從網(wǎng)絡安全的眼光來進行數(shù)字化建設。

參考文獻

[1] 趙大友，王敏，徐剛.網(wǎng)絡信息資源在煤礦機電管理中的應用[J].山東煤炭科技，2010（6）：89.

[2] 張龍旗.大型煤炭企業(yè)網(wǎng)絡安全分析及對策[J].山東煤炭科技，2007（4）：49-50.

[3] 劉小春，李剛.網(wǎng)絡信息資源在煤礦機電管理中的應用探析[J].科技與創(chuàng)新，2015（14）：42.

[4] 孫方，楊躍軍，馬琳，等.綜采工作面信息化系統(tǒng)的應用[J].中國設備工程，2012（2）：39-41.

[5] 張逸群.網(wǎng)絡信息資源在煤礦安全管理中的應用[J].當代化工研究，2020（7）：116-117.

[6] 沈立君.企業(yè)級網(wǎng)絡安全防護體系應用研究[J].信息安全與技術，2014（7）：74.

[7] Thanudas，B.，Sreelal，S.，Raj，V.C.，Sairam，A.P.，Gajmoti， V.and Joshi，P.A novel architecture for an integrated enterprise network security system[J].Security and Networks，2019（1）：47.