基于模擬礦井智慧礦山安全態勢感知系統的建構

摘要：井工開采仍然是我國目前礦產開采的主要方式，開采量很大，但礦山安全生產形勢不容樂觀，面臨巨大的挑戰。井下的5大自然災害時刻威脅著礦井的安全生產和作業人員的生命健康，必須加大井工開采的技術含量。隨著計算機網絡技術、有線及無線通信技術、工業控制以太網技術、組態軟件、人工智能、神經網絡技術等高科技的飛速發展，使建構礦井安全態勢安全感知系統成為可能；礦山井下安全狀態感知監控系統的構建是一個系統工程，需要多學科、多領域共同完成。借助現有礦井已經形成的單一監控系統和一些開環、閉環控制系統，建構一個完整的礦山安全態勢感知監控系統，在礦井內部設置網絡安全監測站所終端，實現礦山井下網絡安全風險可預測、可發現、能控制、可追蹤的目標。

關鍵詞：智慧礦山；網絡安全；態勢感知系統；安全分區；人工智能1概述

云南能源職業技術學院模擬礦井于2009年籌備建設，并由學校自行設計，云南東源礦山工程公司進行井巷工程施工，學校組織專業教師帶領學生利用假期和實訓實習的時間進行實習礦井全部機電和安全監測設備的安裝調試，經過3個學期艱苦工作，現建成實習礦井井巷工程800余m，建筑面積3 000余m2，可同時容納120余名學生的實習實訓。設有絞車房、井底車場、中央泵房、中央配電室、井下絞車房、抽風機房、瓦斯抽放房等主要機電室。布置了一個采煤工作面和3個掘進工作面；開拓了皮帶運輸機上山、軌道上山、運輸大巷和回風大巷等巷道，構成了井下和地面融為一體的井工開采的煤炭生產系統；形成了礦井供配電系統、排水系統、運輸提升系統、井下通風系統、瓦斯抽排放系統、抽壓風系統、消防灑水系統、照明系統、信號系統和瓦斯監測監控系統等10大系統。有礦井主干式變壓器、井下防爆配電開關、井下主排水泵、主扇風機、瓦斯抽放泵、采煤機組、皮帶運輸機、刮板運輸機、乳化液泵站、探水鉆機、蓄電池電機車等大型煤礦機電設備。目前井下已經配備了增壓式單體液壓支柱阻力檢測儀、集中錨桿應力檢測記錄儀、錨桿測力計、圍巖離層指示儀、手動快速升柱器、微表注液槍、單體液壓支柱、金屬鉸接梁、膠帶輸送機、各種礦車、各種機電設備開關、主扇、局扇、水泵等設備設施1 832件套。形成了一個高仿真的基于井工開采的煤礦井下和地面生產系統。

1.1選題緣由

煤炭是我國目前十分重要的能源，在我國的能源構成中占有十分重要的地位。隨著我國煤礦開采量的不斷加大，我國煤炭生產的安全形勢不容樂觀，面臨巨大的挑戰。煤礦井下的5大自然災害時刻威脅著煤礦的安全生產和作業人員的生命財產安全，對煤礦的正常生產產生了很大的影響。這就要求必須加大井工開采的技術含量，隨著計算機網絡技術、有線及無線通信技術、工業控制以太網技術、組態軟件、人工智能、神經網絡技術等高科技的飛速發展， 使建構智慧礦山井下安全態勢感知系統成為可能，總之就是充分利用一切科技成果來保障礦井、作業人員的安全。智慧礦山井下安全態勢感知系統的構建是一個系統工程，需要多學科、多領域共同完成。

目前，我國礦山井下的礦物開采，無論是金屬礦還是煤礦，為了確保井下人員、設備、巷道等人員物資的安全，已從單一對象的監控、防范向多方向多因素集成。比如單一的瓦斯、粉塵、透水、通風、運輸與提升、設備運行狀態、信號、人員定位等向多系統集成。礦山局域網的搭建、與外網的有效連接與組網等，使網絡安全問題成了重大的技術性問題。《中華人民共和國網絡安全法》對關系到人民生活生產和國家安全的核心關鍵信息網絡有關設施的運營管理方提出了明確的網絡安全防護的責任和義務，并要求建立網絡安全監測預警和信息通報機制。網絡是保證國家安全和人民安居樂業的中樞神經，習總書記在網絡安全和信息化工作座談會上發表重要講話，提出加快構建關鍵信息基礎設施安全保障體系和全天候全方位感知網絡安全態勢等具體要求。本課題就是借助學院現有的模擬礦井及設備和已經形成的單一監控系統和一些開環、閉環控制系統，充分利用學校各學科的人才優勢，探索建構一個完整的基于井工開采的模擬礦井智慧礦山安全態勢感知系統。

1.2現狀調查

各工礦企業安全監控系統與縣市和省級安全監督調度控制系統相連，井下各測量端口工程師站承載了自動化、保信、探測等多項業務。目前，各局域網工程師站的安全監控系統的網絡安全風險和井下安全生產風險，仍然主要依靠傳統的人工等級保護測評和風險評估來發現。與外網連接的網絡安全監控系統的風險評估以及運行管理也依然主要依靠傳統人工完成，缺乏自動化、智能化、信息化的風險發現和管理手段。

1.3設計范圍

本課題根據《礦井監控系統網絡安全態勢感知站所裝置技術規范》進行設計，主要內容包括：礦山網絡安全監測站點安全監控終端的項目目標、系統功能、部署方式以及部署的工作內容。

1.4設計目標

1.4.1目標描述

在礦井采區和巷道掘進頭分別部署一套井下瓦斯監控系統網絡安全監測終端，實現對井內與涉網絡系統相關的瓦斯監控系統的安全數據采集、范式化處理、數據建模和關聯性分析。及時發現如非法跨區互聯、網絡非法侵入、非法移動媒體介質接入等各類網絡安全風險問題以及非法訪問事件，從而實現對礦山井下監控系統全方位、全天候的網絡安全無盲區，實現礦山安監系統網絡安全的閉環管理。全面提高區域礦山監控系統網絡安全防護的整體水平，實現礦山井下網絡安全風險可預測、可發現、能控制、可追蹤、能化解的目標。

1.4.2具體目標

（1） 在礦井采區工作面層A/B網、控制區和生產管理區部署工程師站安全監控終端和人工智能端口，實現站控層A/B網、采礦控制區以及礦井生產管理區的網絡安全數據的采集以及網絡風險和網絡數據的在線判別。

（2） 監控主機、局域網各信號探測端口、人機交互智能端口、網絡設備以及網管安全設備進行數據的采集和數據接入，數據采集方式包括Agent、SNMP、SNMP trap、syslog以及流量鏡像等方式。

（3） 修改采礦控制區加密裝置，各區間縱向防火墻、橫向防火墻、互聯交換機、礦井生產管理區互聯交換機的ACL安全策略，實現工程師站內及主子站之間系統數據的互聯互通。

（4） 地面礦山層級裝置接入礦井通用主機、網絡設備、安全設備、工控設備，實現站內資產發現、U盤拔插警告、網口UP/DOWN警告、服務端口掃描、通信警告等功能，完成與主站功能組態聯調。

2系統設計

2.1系統概述

礦山井下安全態勢感知站點終端裝置作為態勢感知系統的重要組成部分，擔負著實現網絡在礦井數據的采集以及礦井網絡安全數據的初級分析。礦井安全監控終端與態勢感知平臺主站采用統一架構，以實現相關網絡安全數據的采集以及在線識別及警告功能。實現局域網瓦斯監控系統現有主機設備、網絡安全、設備安全與否等狀態的采集、人工智能端口信息的采集、日志信息、流量數據的采集等，并為上級網絡安全分析提供數據支持，實現跨區域互聯識別、網絡非法接入識別、移動媒體介質非法接入識別、資產臺賬、安全管控、運行管控、安全運行、應急處理、接入風險管控等功能。

2.2總體框架設計

礦井網絡安全態勢感知系統總體設計架構如圖1所示。

礦井網絡安全態勢感知主站系統是指部署在各個調控中心，具備網絡安全數據采集、安全監視、安全評估、預測分析等功能的系統。監控系統網絡安全態勢感知裝置主要是指部署在井下系統局域網絡內部，對礦井安全數據進行采集、分析處理并與主站系統通信的裝置。

2.3數據采集

實現局域網監控系統中現有主機設備、局域網各信號傳感器探測端口、人機交互智能端口、網絡設備、日志信息、流量數據的采集等，為上級管理網站網絡安全分析提供數據支持。

數據采集對象應包括主機、井下采掘設備、局域網、網絡設備、安全防護設備等。

數據采集方式包括流量嗅探、Trap、Agent、ARP、SNMP、SNMP、網絡主動掃描、ICMP、Syslog等方式。

數據采集內容包括：工作終端和通用主機服務器的數據采集。

（1） 工控裝置主要完成日志類、狀態類數據采集；

（2） 網絡監管設備主要是流量類、狀態類、日志類數據采集；

（3） 網絡安全設備是狀態類、日志類的數據采集。

2.4資產信息生成

基于井工開采智慧礦山安全態勢感知系統支持資產信息的自動掃描及匹配，通過主子站的聯通，統一實現系統運行維護，具體包括：

（1） 支持基于全協議棧掃描和流量鏡像方式，支持網絡掃描功能，并能自動發現全系統在線的IP資產等。

（2） 支持全站多源在線IP資產信息的比對、去重和拼接，能實現監控礦井資產信息的建模。

①設備分類、編號，編號與設備一一對應；

②記錄、管理和查閱設備臺賬信息；

③記錄和管理與設備相關的各種類型信息；

④記錄、管理和查閱設備設計數據和同類設備統計數據。

（3） 支持與態勢感知主站系統聯動，實現礦井資產的主動上送、合法注冊和實時同步，實現井工開采智慧礦山安全態勢感知系統資產的統一維護。

2.5拓撲信息生成

支持自動生成礦山邏輯拓撲連接關系表。邏輯拓撲連接關系表包含：序號、調度分區、IP子網、VLAN號、設備名稱、IP地址、設備全網唯一標識（GUID）。支持邏輯拓撲連接關系表動態全量上送主站。支持邏輯拓撲連接關系表本地查詢，提供按IP、設備名稱進行掃描檢索，支持邏輯拓撲連接關系數據的本地excel格式導出。

2.6預警信息及原始日志上報

支持事件預警信息上送包括：預警級別、預警時間、礦井裝置唯一標識、警示設備類型、警示內容等信息。預警內容包括：開始日期時間、警示設備唯一標識、警示設備類型、警示類型、警示子類型、重復次數、內容描述等內容。支持事件預警生成后實時主動上送主站，事件警示類型包含安全事件類、人員操作和人工智能類、設備故障類和運行異常類等。支持事件警示類型信息與設備相關聯。支持原始日志信息的上送，包括未匹配范式化規則的原始日志。

2.7系統管理和升級

井工開采智慧礦山安全態勢感知系統通信網絡是本系統各部分連接的信息通道，其效能和可靠性直接影響到系統的性能。對網絡配置要求如下：

（1） 數據通信鏈路帶寬必須足夠高；

（2） 網絡的可靠性和安全性必須足夠高；

（3） 網絡必須便于管理和拓展，即必須具有開放性；

系統支持本地升級（用戶通過本地管理界面上傳補丁包進行軟件升級）和遠程升級（區域主網站對井工開采智慧礦山安全態勢感知系統進行遠程升級）功能。

支持功能要求如下：

（1） 確保軟件升級包完整性和安全性的數據校驗；

（2） 裝置配置文件和數據文件在升級過程中保護不丟失；

（3） 重啟升級后能自動恢復業務。

2.8系統日志記錄

以列表形式展示井工開采智慧礦山安全態勢感知系統裝置的操作日志（登錄、操作、維護日志），能通過要求查詢、關鍵字、重點區域查詢等方式，實現對礦井安全網絡態勢感知裝置操作日志的查詢。

（1） 當天設備日志和工況支持按照時間順序排序展示，并可以查看每條日志的詳細情況；

（2） 條件查詢主要包括：工程師站賬戶、工程師站類型、開始時間和結束時間；

（3） 列表字段查詢包括：子站賬戶、子站類型、操作類型、操作時間、操作內容等；

（4） 保留半年的設備日志歷史數據；

（5） 查詢時間范圍跨度控制在3個月以內；

（6） 支持Excel電子表格導出文件和數據。

2.9網絡診斷

礦山地面裝置站所應提供的網絡診斷工具，包括網絡主動掃描、ping、traceroute。

3結語

本系統是在原有的礦山監控系統局域網內部再部署一套礦井安全態勢網絡感知監測裝置，收集各礦井安全態勢感知信息送至主監控網，以實現對礦山內部與涉網系統相關的各礦井監控系統網絡安全的數據采集、范式處理、數據建模和關聯度分析等，及時發現非法跨區互聯、網絡非法接入、非法移動媒體介質接入等各類網絡安全風險以及非法訪問事件，建構全天候全方位安全態勢感知網絡，要能準確把握網絡安全風險發生的規律、動向、趨勢等，才能保障礦山井下的安全。實現礦井安全監控系統網絡數據采集、分析處理并與主站系統通信，從而全面提高礦山監控系統網絡安全防護的整體水平。