煤礦生產企業網絡建設與信息安全

山西科達自控工程技術有限公司 高 波 牛乃平

一、前言

隨著我國煤炭事業的發展，高產、高效煤礦對生產過程監控、全礦井生產安全環境監測、生產過程信息綜合利用等方面的網絡化、自動化和智能化提出了更高的要求。實現全礦井的數據采集、生產調度、經營管理、決策指揮的信息化、科學化，確保礦井安全生產、集約高效，提升企業的生產力水平，煤礦信息化網絡建設是礦井建設的重要組成部分。

二、煤礦信息化網絡建設的需求分析

1.煤礦生產中從工藝上包含多個子系統，通常煤礦生產企業包括：環境安全監控系統、人員定位系統、地面壓風機房監控系統、副井提升監控系統、鍋爐房集控系統、主通風機監控系統、主副斜井監控系統、主斜井皮帶機篩分樓監控系統、礦燈房監控系統、乘人猴車監控系統、暖風機房監測系統、綜采工作面監控系統、綜掘工作面監測系統、中央水泵房監控系統、中央變電所監控系統、采區變電所監控系統、無極繩絞車監控系統、主斜井皮帶給煤機監控系統、順槽皮帶運輸系統等多個子系統，各個子系統之間的數據需要實現數據共享，要求避免信息孤島，對信息進行有效整合，解決不同子系統之間的協同作業，互聯互通是信息化網絡建設的核心需求。

2.信息業務：視頻數據信息、語音信息、辦公數據信息，生產數據信息，數據具有一定的異構性。

3.分布：從地理位置上，煤礦生產有地面以下的部分和地面以上的部分，而且地面以下的煤礦巷道屬于狹長的區域分布，巷道的長度一般是十幾公里到幾十公里。

4.網絡分為生產控制網絡和企業管理層局域網絡，對于生產控制網絡要高的可靠性，要確保網絡系統的安全，如果網絡出現問題不能及時回復，會造成停產，甚至發生安全事故。

5.業務跨越Internet運作，一個煤礦的各種生產和管理數據，不僅要內部使用，通過門戶網站對外發布，還要給集團提供，實現資源的統一管理與調度，并要求給上級安全監查部門上報。而且隨著技術的發展，要求能夠不斷的升級。

三、網絡規劃與設計

經過對以上的需求分析，將煤礦信息化網絡建設成為設備層、工業以太網冗余環網和企業管理層局域網絡三層結構模式，將骨干網絡的可靠性和安全性放在第一位，同時結合網絡數據的流量和流向，采用千兆網絡，滿足傳輸帶寬的要求。

1.生產控制網絡

生產控制網絡采用網絡拓撲結構為冗余環網，根據煤礦生產和巷道結構的特點，將十幾臺交換機在井上與井下各形成一個環路，一般將通訊鏈路分開兩個不同的巷道進行敷設，由于煤礦生產環境惡劣，容易造成網絡線路斷裂，環網結構在很大程度上解決了以太網的容錯技術，保證了當某條鏈路意外損壞時，數據仍可以從另一個方向的備用鏈路進行傳輸，冗余修復的時間小于300ms，網絡在300ms之內可以重新啟用，最大限度的滿足煤礦生產數據信息傳輸的可靠性與實時性，主干網絡傳輸介質為光纖，采用工業以太網交換機進行數據交換，地面、井下各設一個環網，兩個光纖環網在控制中心機房通過高性能的核心交換機連接在一起，構成一個統一的煤礦生產控制網絡。

根據一般煤礦生產的要求，在煤礦井下一般布置攝像頭的數量不會超過100個，每個視頻圖像流量平均在1Mbps左右，總的視頻流量不大于100Mbps，而且流向也比較確定，基本上都是從井下流向地面的調度中心，總的音頻流量一般不大于10Mbps，總的數據流量一般不大于1Mbps，音頻流量和數據流量一般是雙向傳輸，所以在設計上采用千兆網絡傳輸平臺實現同網、同纜、同芯傳輸視頻、音頻、數據信號。

2.企業管理層局域網絡

企業管理層局域網絡為星型網絡拓撲結構，千兆以太網技術，采用三層結構，即核心層、交換層和接入層，通過連接路由器、交換機、防火墻、服務器、客戶機等設備來組成網絡，通過高性能的核心交換機將管理層局域網絡與生產管理網絡連接在一起。通過防火墻接Internet網絡，采用VPN技術與集團公司總部聯系。結合公司今后的發展，采用開放式的結構，使網絡具有良好的擴展性和開放性，滿足未來網絡發展需求。通過WEB發布，實現信息查詢，通過遠程撥號實現遠程作業，實現信息共享及統一管理，建立調度指揮中心，統一調度指揮。

四、網絡的信息安全

結合實際的網絡環境，針對非法入侵者采用的手段以及網絡環境中存在的漏洞，建立一套網絡安全防范系統，及時彌補系統中各個級別的漏洞，切斷非法用戶的入侵渠道，保證綜合監控及自動化網絡及所有子系統接入數據傳輸的安全性，在煤礦生產工業以太環網和企業管理層局域網之間設置防火墻，用來隔離管理網與生產網。

為了保證信息安全，在系統規劃的過程中從物理安全、系統安全、網絡安全、應用安全、數據加密10個方面分別采用各種技術，來滿足整個系統的安全。

1.物理安全：合理選擇機房的位置，控制機房溫度、濕度和環境清潔度滿足設備運行要求，加強設備管理，供電系統穩定，做好接地與防雷，采用防靜電地板，使服務器、客戶機運行可靠，對媒體和存儲設備加強管理，及時備份、對數據的轉移和備份采取審核與登記管理制度。

2.系統安全：主要是針對操作系統安全和數據庫系統安全，首先在系統選型中就采用運行穩定可靠的軟件產品，加強管理系統拷貝、系統管理，選擇，定期更新，及時補丁，定期優化與維護

3.網絡安全：采用入侵檢測實時監測網絡中的不安全因素，通過VPN加密技術，確保在互聯網上數據傳輸不泄密，對內部網和外部網之間采用網絡隔離，采用訪問控制技術，確保合法用戶和非法用戶的分類管理，保證各類系統和相關人員分別操作各自的系統，避免相互攻擊，實時監測網絡漏洞，對于發現的漏洞及時彌補。

4.應用安全：實際工作中，很多攻擊都是來自郵件，在本系統中我們通過采用安全的郵件系統，通過對密碼和口令嚴格配置，提高Email安全效果。另外黑客攻擊很多通過Web來攻擊，采用Web的安全協議，對Web的系統編碼進行安全評估。通過在引用系統內容過濾，過濾病毒，過濾非法的言論等實現內容過濾。對采用的各種系統，采用常用訪問控制、補丁升級和加密等技術保證應用系統安全。

5.數據加密：對于重要的數據采用加密保護，分別采用硬件加密和軟件加密，兩種加密技術相結合。

6.認證授權：項目中采用口令認證方式，每個操作人員和系統工程師以及相關的領導采用不同等級的授權與口令，而且對于口令的編碼有一定的要求，對于關鍵的崗位要求口令的設置必須采用數字、字母與符號的組合，位數不少于11位，而且要求定期更新。對于非常關鍵的核心位置，采用證書認證的方式，確保系統安全。

7.訪問控制：項目針對網絡訪問控制，采用網絡防火墻與訪問控制列表相結合的方式，提高訪問控制的水平。對操作系統和數據庫通過配置訪問列表訪問控制提高系統安全性。

8.審計跟蹤：采用入侵檢測實時的、全天候的檢測攻擊，并留下訪問攻擊的全部信息，提高安全事件的實時監測能力。各種網路設備和數據庫系統中都具有日志功能，詳細記錄各種日志，作為安全事件的分析之用。制定了安全事件的應急機制，發生嚴重安全事故之后及時報案，辨析取證作為重要的跟蹤依據，是公安人員的證據保護。實現對數據安全事件的事后跟蹤，

9.網絡防病毒：建立了單機防病毒與網絡整體防病毒體系共同組成一個防病毒體系，在服務器、操作員站與筆記本上等單機設備上安裝防病毒系統，及時對病毒數據庫升級，定期對系統掃描。在網絡上部署網絡防病毒體系，防止木馬和病毒的攻擊，大大降低病毒爆發的概率。

10.災難恢復與備份：為了保證出現問題后能夠及時完成數據恢復，定期對數據進行備份，制定了詳細的數據備份計劃，每天備份數據一次，首先采用移動硬盤定期備份，然后再刻錄在光盤上，并指定了存儲的地點，專人負責管理。制定了災難恢復計劃和恢復的流程，指定了專門的人員，并實行了分工，并對相關人專門培訓。

五、小結

系統建設完成后，以千兆工業以太環網為基礎的礦井網絡系統，相當于煤礦信息高速公路，在網絡傳輸平臺上，具備的多種接口，能夠將各子系統的數據接入到網絡上，實現各個子系統中生產設備狀態的實時傳輸與遠程控制，而且通過信息安全技術，使系統運行穩定可靠。