长扬科技智慧煤矿生产系统安全解决方案_视频AI安全系统

长扬科技智慧煤矿生产系统安全解决方案

完善工控安全制度与标准体系，满足国家对等级保护的基本要求、测评要求，规范网络安全管理，保障网络安全工作的顺利开展；建立企业自身的工控网络安全制度与标准，需要企业业务主管部门、安全管理部门与我司共同配合完成在满足国家等级保护相关要求基础上，能够与企业自身生产特点相融合。

立即咨询

管理方面，工控网络内外部安全风险和威胁众多 icon

1. 外部攻击
随着工业互联网的推进，暴露面越来越广，黑客攻击、外部APT攻击手段层出不穷

2. 内部威胁
超过70%的安全威胁来自公司内部，实际损失大大超过黑客和病毒

3. 维护人员
外包人员、维修维护人员监控管理不到位，病毒从U盘、光盘进入内网，供应商私自连接WIFI和VPN进行设备更新和操作

4. 安全意识
对工控安全和信息安全的区别、安全攻防手段不清、缺少基本的工业网络安全意识

5.管理规范
工控安全规划目标不清、对资产和风险现状缺乏掌握、在管理规范、标准制度等方面缺乏统一性、指导性的文件

技术方面，传统安全产品无法解决工业网络安全问题-

传统IT安全防护产品不能解决工控安全的问题 icon

可用性和实时性
工业控制系统“可用性”第一，而IT信息系统以“机密性”第一。要求安全产品的软硬件重新设计，例如：硬件无风扇设计，系统Fail-to- open。

升级操作
工业控制系统不能接受频繁的升级更新操作，依赖黑名单库的信息安全产品（例如：反病毒软件，IDS/IPS）不适用。

延时
工业控制系统对报文时延很敏感，而IT信息系统通常强调高吞吐量。安全产品，必须从CPU选型、软件架构设计上保证低时延。

协议
工业控制系统基于工业控制协议（例如，OPC Modbus、 S7DNP3）。传统安全产品支持IT通信协议（例如HTTP、 FTP），不支持工业控制协议。

环境
工业控制系统的工业现场环境恶劣（如，野外零下几十度的低温、潮湿）。按照工业现场环境要求专门设计硬件，全密闭、无风扇，支持﹣40℃～70℃等。

“等保2.0”与“关保”指导工业互联网安全体系建设 icon

“等保”和“关保”的双制度地位，也对政府、企业的网络安全体系建设提出了新的要求——“三化六防”：“实战化、体系化、常态化”，“动态防御、主动防御、纵深防御、精准防护、整体防护、联防联控”，以此构建国家网络安全综合防控系统。

工业互联网需要构建完整的安全保障体系 icon

智慧矿山工控安全定级 icon

重要业务系统-二级

对煤炭企业生产、运营或管理的影响相当重要，当业务系统提供的服务出现故障时将导致企业或企业的某些部门无法进行正常的生产、运营或管理活动。

关键业务系统-三级

对煤矿的生产、运营或管理的影响非常关键，即使业务系统提供的服务出现很短暂的故障（包括：数据丢失和错误、传输错误和故障、硬件故障等）也将会或可能会使煤炭企业蒙受重大损失（包括：直接资产损失、间接资产损失等）。

一般业务系统-一级

对煤炭企业生产、运营或管理的影响较小，当业务系统提供的服务出现故障时将影响企业或企业的某些部门的正常生产、运营或管理活动。

煤矿生产系统现状

煤矿生产系统网络架构图 icon

工控安全风险分析

边界防护缺失
① 生产网和办公网边界，缺乏隔离手段；② 生产网内部各作业区网络边界缺乏防护手段；③ 未对重要服务器区进行访问控制。

网络审计缺乏
① 无法对网络中入侵和异常行为进行监测审计；② 无法对工控设备日志进行审计记录；③ 无法对工控网络中流量异常情况进行监测。

主机防护缺失
① 工业控制系统工程师站、操作员站等缺乏有防护措施；② 工程师站、操作员站等缺乏USB介质的安全防护手段；③ 操作系统、组态软件版本老旧，存在大量漏洞。

安全管理不足
① 无法及时发现和追溯工控安全事件；② 无法进行身份鉴别及操作行为审计；③ 无法对安全设备进行统一管控。

态势缺失感知
① 缺乏对工控系统安全状态的感知及可视化方式呈现；② 缺乏对工控资产漏洞分析；③ 缺乏应急预案及处置。

智慧矿山生产系统面临的安全问题 icon

“等保2.0 ”和 “关保” 要求 icon

等保2.0要求“一个中心，三重防护”：安全通信网络、安全区域边界、安全计算环境、安全管理中心，故网络安全规划设计，也都是围绕这四个要点展开；关保安全要求力度要求高于等级保护,建立网络安全态势感知系统（即综合防御体系），并设计应急处置策略，以应对有可能危害关键业务的安全事件。

安全通信网络
梳理整体工控网络架构，明确企业管理网和工控网之间需要采用单向隔离手段，关键节点需冗余部署。

安全区域边界
工控网中各子系统网络之间及服务器区需进行边界防护及访问控制，对关键节点需进行入侵检测和分析，检测网络中的异常行为和攻击。

安全计算环境
对上位机和服务器采用免受恶意代码攻击的技术措施或主动免疫机制及时识别入侵病和病毒行为，并将其有效阻断。

安全管理中心
对安全管理员进行身份鉴别，操作审计；对分布在网络中的安全设备或安全组件进行管控。

态势感知
采用自动化机制对关键业务所涉及的信息系统的所有监测信息进行整合分析，以便及时关联、分析关键信息基础设施的网络安全态势。

集团级工控安全态势感知平台 icon

厂级工控安全态势感知体系 icon

工控安全防护方案-安全通信网络 icon

安全通信网络

在生产调度中心与办公网之间边界部署工业网闸进行安全隔离，关键节点采用冗余部署，保证网络可靠性。

工控安全防护方案-安全区域边界 icon

安全区域边界

在各作业区工控网络边界和主要服务器区域部署工业防火墙进行边界防护及访问控制；在调度中心交换机旁路部署入侵检测系统，在管理层交换机侧部署监测审计和日志审计系统，对工控网络中数据、流量及设备日志进行检测分析、对恶意行为进行告警。

工控安全防护方案-安全计算环境 icon

安全计算环境

在工程师站、操作员站、服务器等主机上部署工控卫士和加密U盘，对系统中的组态软件、应用服务及其他运行程序进行白名单管控，阻止恶意软件及不被允许的程序运行，对移动存储介质的使用进行限制，只允许配套的加密U盘使用，防止恶意软件传播和数据泄密。

工控安全防护方案-安全管理中心 icon

安全管理中心

通过安全运维管理系统进行身份认证及登录审计，通过统一安全管理对生产网中的安全设备进行集中管理，统一配置下发安全策略，方便运维管理。

工控安全防护方案-态势感知 icon

态势感知

在油田公司部署集团级态势感知平台，在油气厂生产调度中心部署厂级态势感知平台，在下属联合站、处理站及作业区部署智能采集器。智能采集器采集网络流量、安全设备的日志及安全事件上传厂级态势感知平台进行大数据分析及资产识别，并上送至集团级态势感知平台，可视化呈现油田整体工控网络安全状态。

长扬工控安全防护产品与等保2.0对应关系 icon

长扬工控安全防护产品与等保2.0对应关系 icon

智慧矿山生产系统安全标准制度 icon

一级文件：智慧矿山生产系统的工控网络安全管理方针，能够反映最高管理者对工控网络安全管理下达的工作意图等，能为所有下级文件的编写提供方向。

二层文件：各类属于智慧矿山生产系统工控网络安全管理的规范性制度、标准、办法、策略文件、配置规范等。

三层文件：各种体系运行所需的规范文档模板。

工业现有视频监控系统现状与问题 icon

各类安全生产隐患不能被及时发现 icon

在生产层面，有大量安全隐患，需要给传统摄像头加上“智能分析大脑”，做到智能感知和分析。

典型场景-输煤过程

输煤过程隐患及应用场景 icon

储煤场

• 火情监测—红外摄像机

• 目前客户已有红外摄像机可直接使用

输煤过程隐患及应用场景 icon

皮带输送——导料槽

• 皮带撕裂（纵向、横向）

• 皮带跑偏

• 皮带异物（木头、铁片、钢管等）

输煤过程隐患及应用场景 icon

皮带输送——除铁区

• 堵煤

• 漏煤

输煤过程隐患及应用场景 icon

皮带输送——驱动间

• 温度异常

• 振动监测 (振动声音传感器融合监测)

睿脑视觉AI安全分析云平台产品体系 icon

平台部署模式1——集中部署 icon

平台部署模式2——分布式部署 icon

平台部署模式3——移动部署临时作业 icon

典型案例（部分）

某煤炭企业数字矿山工控安全项目 icon

背景和需求

依据XX集团煤炭企业工业控制系统信息安全管理办法等相关规定，结合企业本身特点，实施 “同步规划、同步设计、同步实施”工业控制系统信息安全建设，通过区域划分、边界防护、运维管控、内部审计等措施，构建公司工控安全纵深防御体系，保障公司的安全需求，促进安全发展。

解决方案

在 MES 与 DMZ 边界部署工业防火墙实现边界防护；在生产网络同DMZ区域间部署工业网闸实现区域隔离防护；在各工控生产企业内部核心交换机处旁路部署工业监测审计系统，实现网络审计及网络防入侵；在生产系统各上位主机、操作员站等操作系统上，部署工控主机卫士，能够有效防范针对工控系统的恶意软件以及U盘等外设的管控；在DMZ区域部署安全管理平台实现全网安全设备统一管理、策略下发，实现安全联动和预警。

客户价值

通过对该煤炭企业工控网络安全防护方案的研究，在提升该下属公司数字矿山（露天）工控安全防御能力的同时，为集团全面开展各业务板块工控安全监管工作打下基础，为整个行业及集团树立工控安全企业标杆。

XX能投人脸识别 - 视觉AI分析与安全预警平台 icon

项目背景与挑战

煤矿行业在不断增长的同时，也面临着安全生产的压力。作为高风险作业行业，近十几年来，矿难事故不绝于耳，矿难事故频发、死亡人数之多让人触目惊心。而传统视频监控系统在实际的应用过程中还存在一些未解决或是新应用带来的新问题。主要体现在：井下危险情况易漏报，传统的方式是人去现场反复巡查，现在的模式是人在视频中反复巡查；

项目背景与挑战

井下危险情况易忽略，在所有的视频监控中，作业场地的风险因素均由后台监控的人进行识别，一旦存在 “工作松懈、思维不集中、熟人思维”等情况，就会导致危险隐患被忽略；井下危险情况不能及时响应，由于视频监控系统是独立与其他应用系统的系统，一般只是用于事件发生后的查证使用。随着人工智能、神经网络的兴起，图像分析有了重大的进展，通过视频+AI技术使传统的视频监控设备具备智能化识别的能力。

XX能投人脸识别 - 视觉AI分析与安全预警平台 icon

XX能投人脸识别 - 视觉AI分析与安全预警平台 icon

某煤矿电子封条项目

背景需求

2021年9月15日国家矿山安全监察局综合司下发《关于全面开展煤矿“电子封条”推广建设的通知》（矿安综〔2021〕55号）要求各产煤省、自治区、直辖市及新疆生产建设兵团煤矿安全监管部门按照《煤矿“电子封条”建设技术指导书(试行)》和本省(区、市)制定的实施方案，安排部署建设任务，组织指导煤矿开展建设煤矿“电子封条”系统。据

解决方案

全国矿山“电子封条”智能监管系统是在全国所有在册煤矿的主运输井口、运人井口、运煤车辆出入口和调度室等关键位置安装摄像头，通过前置智能边缘分析终端，对各监控视频数据进行实时分析，识别矿井出入井人员、车辆和相关设备开停状态、调度室空岗情况，将分析结果推送至智能分析平台，平台内置视频检测引擎和管理分析系统，提供运输设备状态识别、入井人数识别、货运车辆出矿数量识别、调度室空岗识别、摄像头遮挡识别、摄像头角度扭 6 个识别模型，可对外输出检测结果，通过互联网VPN专线实时传送到省级煤矿安全监管部门，通过省级煤矿安全监管部门中转，接入全国矿山“电子封条”智能监管平台，国家局平台可实时视频可播放。

客户价值

1) 提升了煤矿对关键位置的安全管控，通过对主副井口、风井口、车辆出入口、调度室等关键位置的视频监视管理，大大提升了煤矿安全性。2) 满足合规性要求，依据“电子封条” 相关标准规范设计整体 “电子封条”项目产品及解决方案，结合现场实际情况，对产品及时调整，以满足“电子封条”的标准要求。

解决方案

在特拉布拉煤矿、石圪台、温三号煤矿最终实现如下目标：1) 监控副井的井口区域，识别人员出入井口情况；2) 监控主井运输设备，识别皮带等设备的工作状态；3) 监控货运车辆出入口，识别货运车辆出入矿井的情况；4) 监控调度室工位区域，识别值班人员空岗情况；5) 识别摄像头被遮挡状态；6) 识别摄像头角度扭转；7) 分析模型远程自动更新。