煤礦生產(chǎn)企業(yè)網(wǎng)絡建設與信息安全

山西科達自控工程技術有限公司 高 波 牛乃平

一、前言

隨著我國煤炭事業(yè)的發(fā)展，高產(chǎn)、高效煤礦對生產(chǎn)過程監(jiān)控、全礦井生產(chǎn)安全環(huán)境監(jiān)測、生產(chǎn)過程信息綜合利用等方面的網(wǎng)絡化、自動化和智能化提出了更高的要求。實現(xiàn)全礦井的數(shù)據(jù)采集、生產(chǎn)調度、經(jīng)營管理、決策指揮的信息化、科學化，確保礦井安全生產(chǎn)、集約高效，提升企業(yè)的生產(chǎn)力水平，煤礦信息化網(wǎng)絡建設是礦井建設的重要組成部分。

二、煤礦信息化網(wǎng)絡建設的需求分析

1.煤礦生產(chǎn)中從工藝上包含多個子系統(tǒng)，通常煤礦生產(chǎn)企業(yè)包括：環(huán)境安全監(jiān)控系統(tǒng)、人員定位系統(tǒng)、地面壓風機房監(jiān)控系統(tǒng)、副井提升監(jiān)控系統(tǒng)、鍋爐房集控系統(tǒng)、主通風機監(jiān)控系統(tǒng)、主副斜井監(jiān)控系統(tǒng)、主斜井皮帶機篩分樓監(jiān)控系統(tǒng)、礦燈房監(jiān)控系統(tǒng)、乘人猴車監(jiān)控系統(tǒng)、暖風機房監(jiān)測系統(tǒng)、綜采工作面監(jiān)控系統(tǒng)、綜掘工作面監(jiān)測系統(tǒng)、中央水泵房監(jiān)控系統(tǒng)、中央變電所監(jiān)控系統(tǒng)、采區(qū)變電所監(jiān)控系統(tǒng)、無極繩絞車監(jiān)控系統(tǒng)、主斜井皮帶給煤機監(jiān)控系統(tǒng)、順槽皮帶運輸系統(tǒng)等多個子系統(tǒng)，各個子系統(tǒng)之間的數(shù)據(jù)需要實現(xiàn)數(shù)據(jù)共享，要求避免信息孤島，對信息進行有效整合，解決不同子系統(tǒng)之間的協(xié)同作業(yè)，互聯(lián)互通是信息化網(wǎng)絡建設的核心需求。

2.信息業(yè)務：視頻數(shù)據(jù)信息、語音信息、辦公數(shù)據(jù)信息，生產(chǎn)數(shù)據(jù)信息，數(shù)據(jù)具有一定的異構性。

3.分布：從地理位置上，煤礦生產(chǎn)有地面以下的部分和地面以上的部分，而且地面以下的煤礦巷道屬于狹長的區(qū)域分布，巷道的長度一般是十幾公里到幾十公里。

4.網(wǎng)絡分為生產(chǎn)控制網(wǎng)絡和企業(yè)管理層局域網(wǎng)絡，對于生產(chǎn)控制網(wǎng)絡要高的可靠性，要確保網(wǎng)絡系統(tǒng)的安全，如果網(wǎng)絡出現(xiàn)問題不能及時回復，會造成停產(chǎn)，甚至發(fā)生安全事故。

5.業(yè)務跨越Internet運作，一個煤礦的各種生產(chǎn)和管理數(shù)據(jù)，不僅要內部使用，通過門戶網(wǎng)站對外發(fā)布，還要給集團提供，實現(xiàn)資源的統(tǒng)一管理與調度，并要求給上級安全監(jiān)查部門上報。而且隨著技術的發(fā)展，要求能夠不斷的升級。

三、網(wǎng)絡規(guī)劃與設計

經(jīng)過對以上的需求分析，將煤礦信息化網(wǎng)絡建設成為設備層、工業(yè)以太網(wǎng)冗余環(huán)網(wǎng)和企業(yè)管理層局域網(wǎng)絡三層結構模式，將骨干網(wǎng)絡的可靠性和安全性放在第一位，同時結合網(wǎng)絡數(shù)據(jù)的流量和流向，采用千兆網(wǎng)絡，滿足傳輸帶寬的要求。

1.生產(chǎn)控制網(wǎng)絡

生產(chǎn)控制網(wǎng)絡采用網(wǎng)絡拓撲結構為冗余環(huán)網(wǎng)，根據(jù)煤礦生產(chǎn)和巷道結構的特點，將十幾臺交換機在井上與井下各形成一個環(huán)路，一般將通訊鏈路分開兩個不同的巷道進行敷設，由于煤礦生產(chǎn)環(huán)境惡劣，容易造成網(wǎng)絡線路斷裂，環(huán)網(wǎng)結構在很大程度上解決了以太網(wǎng)的容錯技術，保證了當某條鏈路意外損壞時，數(shù)據(jù)仍可以從另一個方向的備用鏈路進行傳輸，冗余修復的時間小于300ms，網(wǎng)絡在300ms之內可以重新啟用，最大限度的滿足煤礦生產(chǎn)數(shù)據(jù)信息傳輸?shù)目煽啃耘c實時性，主干網(wǎng)絡傳輸介質為光纖，采用工業(yè)以太網(wǎng)交換機進行數(shù)據(jù)交換，地面、井下各設一個環(huán)網(wǎng)，兩個光纖環(huán)網(wǎng)在控制中心機房通過高性能的核心交換機連接在一起，構成一個統(tǒng)一的煤礦生產(chǎn)控制網(wǎng)絡。

根據(jù)一般煤礦生產(chǎn)的要求，在煤礦井下一般布置攝像頭的數(shù)量不會超過100個，每個視頻圖像流量平均在1Mbps左右，總的視頻流量不大于100Mbps，而且流向也比較確定，基本上都是從井下流向地面的調度中心，總的音頻流量一般不大于10Mbps，總的數(shù)據(jù)流量一般不大于1Mbps，音頻流量和數(shù)據(jù)流量一般是雙向傳輸，所以在設計上采用千兆網(wǎng)絡傳輸平臺實現(xiàn)同網(wǎng)、同纜、同芯傳輸視頻、音頻、數(shù)據(jù)信號。

2.企業(yè)管理層局域網(wǎng)絡

企業(yè)管理層局域網(wǎng)絡為星型網(wǎng)絡拓撲結構，千兆以太網(wǎng)技術，采用三層結構，即核心層、交換層和接入層，通過連接路由器、交換機、防火墻、服務器、客戶機等設備來組成網(wǎng)絡，通過高性能的核心交換機將管理層局域網(wǎng)絡與生產(chǎn)管理網(wǎng)絡連接在一起。通過防火墻接Internet網(wǎng)絡，采用VPN技術與集團公司總部聯(lián)系。結合公司今后的發(fā)展，采用開放式的結構，使網(wǎng)絡具有良好的擴展性和開放性，滿足未來網(wǎng)絡發(fā)展需求。通過WEB發(fā)布，實現(xiàn)信息查詢，通過遠程撥號實現(xiàn)遠程作業(yè)，實現(xiàn)信息共享及統(tǒng)一管理，建立調度指揮中心，統(tǒng)一調度指揮。

四、網(wǎng)絡的信息安全

結合實際的網(wǎng)絡環(huán)境，針對非法入侵者采用的手段以及網(wǎng)絡環(huán)境中存在的漏洞，建立一套網(wǎng)絡安全防范系統(tǒng)，及時彌補系統(tǒng)中各個級別的漏洞，切斷非法用戶的入侵渠道，保證綜合監(jiān)控及自動化網(wǎng)絡及所有子系統(tǒng)接入數(shù)據(jù)傳輸?shù)陌踩?，在煤礦生產(chǎn)工業(yè)以太環(huán)網(wǎng)和企業(yè)管理層局域網(wǎng)之間設置防火墻，用來隔離管理網(wǎng)與生產(chǎn)網(wǎng)。

為了保證信息安全，在系統(tǒng)規(guī)劃的過程中從物理安全、系統(tǒng)安全、網(wǎng)絡安全、應用安全、數(shù)據(jù)加密10個方面分別采用各種技術，來滿足整個系統(tǒng)的安全。

1.物理安全：合理選擇機房的位置，控制機房溫度、濕度和環(huán)境清潔度滿足設備運行要求，加強設備管理，供電系統(tǒng)穩(wěn)定，做好接地與防雷，采用防靜電地板，使服務器、客戶機運行可靠，對媒體和存儲設備加強管理，及時備份、對數(shù)據(jù)的轉移和備份采取審核與登記管理制度。

2.系統(tǒng)安全：主要是針對操作系統(tǒng)安全和數(shù)據(jù)庫系統(tǒng)安全，首先在系統(tǒng)選型中就采用運行穩(wěn)定可靠的軟件產(chǎn)品，加強管理系統(tǒng)拷貝、系統(tǒng)管理，選擇，定期更新，及時補丁，定期優(yōu)化與維護

3.網(wǎng)絡安全：采用入侵檢測實時監(jiān)測網(wǎng)絡中的不安全因素，通過VPN加密技術，確保在互聯(lián)網(wǎng)上數(shù)據(jù)傳輸不泄密，對內部網(wǎng)和外部網(wǎng)之間采用網(wǎng)絡隔離，采用訪問控制技術，確保合法用戶和非法用戶的分類管理，保證各類系統(tǒng)和相關人員分別操作各自的系統(tǒng)，避免相互攻擊，實時監(jiān)測網(wǎng)絡漏洞，對于發(fā)現(xiàn)的漏洞及時彌補。

4.應用安全：實際工作中，很多攻擊都是來自郵件，在本系統(tǒng)中我們通過采用安全的郵件系統(tǒng)，通過對密碼和口令嚴格配置，提高Email安全效果。另外黑客攻擊很多通過Web來攻擊，采用Web的安全協(xié)議，對Web的系統(tǒng)編碼進行安全評估。通過在引用系統(tǒng)內容過濾，過濾病毒，過濾非法的言論等實現(xiàn)內容過濾。對采用的各種系統(tǒng)，采用常用訪問控制、補丁升級和加密等技術保證應用系統(tǒng)安全。

5.數(shù)據(jù)加密：對于重要的數(shù)據(jù)采用加密保護，分別采用硬件加密和軟件加密，兩種加密技術相結合。

6.認證授權：項目中采用口令認證方式，每個操作人員和系統(tǒng)工程師以及相關的領導采用不同等級的授權與口令，而且對于口令的編碼有一定的要求，對于關鍵的崗位要求口令的設置必須采用數(shù)字、字母與符號的組合，位數(shù)不少于11位，而且要求定期更新。對于非常關鍵的核心位置，采用證書認證的方式，確保系統(tǒng)安全。

7.訪問控制：項目針對網(wǎng)絡訪問控制，采用網(wǎng)絡防火墻與訪問控制列表相結合的方式，提高訪問控制的水平。對操作系統(tǒng)和數(shù)據(jù)庫通過配置訪問列表訪問控制提高系統(tǒng)安全性。

8.審計跟蹤：采用入侵檢測實時的、全天候的檢測攻擊，并留下訪問攻擊的全部信息，提高安全事件的實時監(jiān)測能力。各種網(wǎng)路設備和數(shù)據(jù)庫系統(tǒng)中都具有日志功能，詳細記錄各種日志，作為安全事件的分析之用。制定了安全事件的應急機制，發(fā)生嚴重安全事故之后及時報案，辨析取證作為重要的跟蹤依據(jù)，是公安人員的證據(jù)保護。實現(xiàn)對數(shù)據(jù)安全事件的事后跟蹤，

9.網(wǎng)絡防病毒：建立了單機防病毒與網(wǎng)絡整體防病毒體系共同組成一個防病毒體系，在服務器、操作員站與筆記本上等單機設備上安裝防病毒系統(tǒng)，及時對病毒數(shù)據(jù)庫升級，定期對系統(tǒng)掃描。在網(wǎng)絡上部署網(wǎng)絡防病毒體系，防止木馬和病毒的攻擊，大大降低病毒爆發(fā)的概率。

10.災難恢復與備份：為了保證出現(xiàn)問題后能夠及時完成數(shù)據(jù)恢復，定期對數(shù)據(jù)進行備份，制定了詳細的數(shù)據(jù)備份計劃，每天備份數(shù)據(jù)一次，首先采用移動硬盤定期備份，然后再刻錄在光盤上，并指定了存儲的地點，專人負責管理。制定了災難恢復計劃和恢復的流程，指定了專門的人員，并實行了分工，并對相關人專門培訓。

五、小結

系統(tǒng)建設完成后，以千兆工業(yè)以太環(huán)網(wǎng)為基礎的礦井網(wǎng)絡系統(tǒng)，相當于煤礦信息高速公路，在網(wǎng)絡傳輸平臺上，具備的多種接口，能夠將各子系統(tǒng)的數(shù)據(jù)接入到網(wǎng)絡上，實現(xiàn)各個子系統(tǒng)中生產(chǎn)設備狀態(tài)的實時傳輸與遠程控制，而且通過信息安全技術，使系統(tǒng)運行穩(wěn)定可靠。