近年来，“两化融合”和智慧矿山的发展进程越来越快。从2007年国家就提出了“两化融合、走新型工业化道路”的口号；2015年《政府工作报告》首次提出“中国制造2025”；2016年《全国矿产资源规划（2016-2020年）》明确提出加快建设数字化、智能化、信息化、自动化矿山；2017年《安全生产“十三五”规划》要求矿山领域实施“机械化换人，自动化减人”；2018年出台智慧矿山信息系统技术规范，规定智慧矿山信息系统通用技术要求，我国智慧矿山建设已开始真正落地；2019年1月矿山机器人研发，明确推动矿山现场作业少人化和无人化；智慧矿山的发展伴随着大量的新型信息化技术，网络安全问题也日益多样化。

现阶段，铜矿山智能化建设在各地初见成效，选矿控制智能化、采矿作业机械化、出矿作业无人化等内容逐步实现，网络安全防护也需同步规划建设。

图1 铜矿生产过程全景图

铜矿工控网络面临诸多严峻风险，作为智慧矿山的核心部分，隐患重重：

铜矿工控网包含大量敏感具有价值的信息，如矿山的地质结构数据、矿井设备运行数据、矿石储量、品质等机密数据，是企业立足矿业市场的根本，一旦因外部黑客攻击泄露，在矿业商业布局上企业将丧失先机，非法采矿者也可能利用这些数据进行非法开采活动；

铜矿工控网容易受到病毒、蠕虫、木马等恶意软件的攻击。这些恶意软件可能隐藏在员工使用的移动存储设备和下载的文件中。一旦入侵工控网，它们可以自我复制并传播，占用系统资源，导致控制系统的运行速度变慢甚至瘫痪；

运行多年的PLC、DCS等系统，可能存有大量未修复漏洞，黑客一旦乘虚而入，篡改矿石开采设备或运输装置的控制指令，不但会引发设备突发故障、长时间停产，更可能威胁现场人员生命安全，如输送带失控、采矿机械误操作等；

专用工控协议如Modbus、OPC等，因重效率而安全防护薄弱，攻击者攻入内网后，可肆意监听、篡改关键生产数据，导致整个采矿、选矿流程陷入混乱；

在物理层面上，工控网的设备可能因矿井恶劣的自然环境，如潮湿、多尘、高温等导致硬件损坏，容易出现短路、老化等问题，进而影响工控网的正常通信和数据传输。同时，井下作业现场如果发生爆炸、坍塌等事故，也会直接破坏工控网络的相关设施，甚至危害人员生命安全。

铜矿工控网所面临的安全风险是多维度且复杂严峻的。这些风险不仅关乎铜矿企业的正常生产运营，更与员工的生命安全、企业的商业机密以及环境保护紧密相连。任何一个环节出现纰漏，都可能引发灾难性的后果，从生产停滞、设备损毁到生态破坏不一而足。只有构建起全方位、多层次、动态化的安全防御体系，确保铜矿工控网稳健运行，方能为企业的可持续发展保驾护航。

铜矿工控网络区域主要可划分为选矿厂控制区、采矿场控制区和工控网视频监控区等区域：

图2 铜矿工控网络拓扑图

选矿厂底层连接破碎机、磨矿机、浮选机等各类选矿设备，通过采集设备运行工艺参数，如矿石粒度、矿浆浓度、pH值等，实时传输至控制中心，需要重点保障从设备上采集、链路上传输到数据落地数据库每个环节，能够最大限度减少恶意网络攻击的干扰，协助实现对选矿过程的实时监控和自动调节；

负责对露天或地下采矿场的设备和作业进行控制与管理，在露天采矿场，需控制大型挖掘机、装载机、运输卡车等设备的协同作业；在地下采矿场，则要对凿岩台车、装药爆破设备、有轨或无轨运输设备等进行精准控制；应当具备安全边界防护及监测能力，确保各类控制指令有效传达，协助采矿工作高效运转；

在井口、采场危险区域、运输通道等关键位置部署高清摄像头实现对人员作业、设备运行、矿石运输等情况的全方位监测，能够对铜矿生产的各个环节进行实时可视化监控，保障生产安全和管理效率；但与此同时，对于视频服务器的入侵防范以及未知摄像头的恶意顶替也需要加强防范。

根据铜矿工控网络安全需求，威努特凭借在矿山领域深厚的技术积累和丰富的实践经验，依据国标行标等相关标准提出针对性安全建设方案，整体建设从区域边界防护、网络流量审计、工控主机防护和搭建管理中心四个维度进行安全防护体系建设：

图3 铜矿工控网络安全建设拓扑图

在工控网和办公网之间部署工控安全隔离与信息交换系统，严格把关各网络之间的信息流转，防止办公网安全威胁渗透至工控网，有效保障生产业务。

在选矿厂控制区边界、采矿场控制区边界、工控网视频监控区边界分别部署工业互联防火墙，最小化内外部之间的网络访问并提高病毒传播、入侵攻击等威胁事件的防护能力，防止被黑客攻击后横向扩散到其他生产环境，保护工控网内部边界安全。

在选矿厂控制区汇聚交换机和各工艺段之间部署工业防火墙，保障各工艺段的网络访问安全可靠，同时对操作站下发的工业指令进行检测，阻断非法的操作行为，切实保障各工艺段安全运行。

考虑到需要对选矿厂控制区、采矿场控制区的业务流量进行检测审计，分别旁路部署工控监测与审计系统，将交换机的流量镜像传输到工控安全监测与审计系统，实现对工控网工业指令数据的检测审计，对网络中可能存在的误操作、违规操作、异常网络流量等威胁进行实时监测、安全审计以及对设备可用性进行监测。

同时，在选矿厂核心交换机、工控网视频监控区核心交换机分别旁路部署入侵检测系统，将流量镜像接入到入侵检测系统，实现对各业务及操作系统内部溢出攻击、RPC攻击、拒绝服务攻击、木马、蠕虫等攻击行为的监测，保障内网流量传输的安全可信。

在铜矿工控网内所有操作员站、工程师站、服务器等重要工控主机上部署工控主机卫士软件，利用“白名单”机制实现防范恶意程序、病毒、木马的运行，并开启外设管理功能以控制USB移动存储介质的滥用，同时加强主机设备的安全基线和非法外联的管理，为受信任的程序提供完整性保护，全方位地保护工控主机安全。

在工控网核心交换机旁建立安全运营中心，部署安全管理汇聚交换机统一接入各安全设备，部署工业态势感知平台，全面感知工控网整体安全态势，解决安全风险不得知、不得见的问题；部署漏洞扫描平台，为工控网内提供主动风险检测能力，及时发现漏洞风险；部署高级威胁检测系统，为未知威胁提供有效防范措施；部署数据备份与恢复系统，提供定时备份、数据库复制、实时备份等功能，保证重要数据冗余。

选矿厂控制区作为铜矿工控网中最重要的一环，在选矿厂建立安全管理中心与安全运营中心相辅相成；部署安全管理汇聚交换机统一接入各安全设备，部署统一安全管理平台，实现对选矿厂内工控安全设备策略的统一管理以及安全事件的统一分析，同时将威胁风险上报至安全运营中心实现联防；部署日志审计与分析系统，对汇总日志的关联分析和钻取分析发现网内可能存在的安全威胁，并在出现安全事件时提供必要的回溯机制；部署安全运维管理系统，提供统一运维管理框架，确保合法用户安全方便地使用资源并对各账户的访问进行审计。

为铜矿智能化提供安全可靠的基础支撑，使企业能够更加放心地应用大数据、人工智能、物联网等新型信息化技术，提升生产效率和管理水平，实现如露天矿山大型装备无人驾驶、智能协同等智能化项目，助力打造高水平智能化矿山。

通过对铜矿工控网各区域的边界防护、网络通信审计、终端防护及安全管理中心多个方面进行检测和防护，打造铜矿立体的安全防护体系，切实提高铜矿工控网的安全防御能力。同时该方案参照国家等保及工信部的政策标准，满足相关技术要求。

能够有效减少因网络攻击、系统故障等异常情况导致业务中断，如防止恶意攻击使关键服务器瘫痪，进而影响生产业务，该方案可有效降低安全风险，为铜矿生产业务保驾护航。