煤矿生产企业网络建设与信息安全

山西科达自控工程技术有限公司 高 波 牛乃平

一、前言

随着我国煤炭事业的发展，高产、高效煤矿对生产过程监控、全矿井生产安全环境监测、生产过程信息综合利用等方面的网络化、自动化和智能化提出了更高的要求。实现全矿井的数据采集、生产调度、经营管理、决策指挥的信息化、科学化，确保矿井安全生产、集约高效，提升企业的生产力水平，煤矿信息化网络建设是矿井建设的重要组成部分。

二、煤矿信息化网络建设的需求分析

1.煤矿生产中从工艺上包含多个子系统，通常煤矿生产企业包括：环境安全监控系统、人员定位系统、地面压风机房监控系统、副井提升监控系统、锅炉房集控系统、主通风机监控系统、主副斜井监控系统、主斜井皮带机筛分楼监控系统、矿灯房监控系统、乘人猴车监控系统、暖风机房监测系统、综采工作面监控系统、综掘工作面监测系统、中央水泵房监控系统、中央变电所监控系统、采区变电所监控系统、无极绳绞车监控系统、主斜井皮带给煤机监控系统、顺槽皮带运输系统等多个子系统，各个子系统之间的数据需要实现数据共享，要求避免信息孤岛，对信息进行有效整合，解决不同子系统之间的协同作业，互联互通是信息化网络建设的核心需求。

2.信息业务：视频数据信息、语音信息、办公数据信息，生产数据信息，数据具有一定的异构性。

3.分布：从地理位置上，煤矿生产有地面以下的部分和地面以上的部分，而且地面以下的煤矿巷道属于狭长的区域分布，巷道的长度一般是十几公里到几十公里。

4.网络分为生产控制网络和企业管理层局域网络，对于生产控制网络要高的可靠性，要确保网络系统的安全，如果网络出现问题不能及时回复，会造成停产，甚至发生安全事故。

5.业务跨越Internet运作，一个煤矿的各种生产和管理数据，不仅要内部使用，通过门户网站对外发布，还要给集团提供，实现资源的统一管理与调度，并要求给上级安全监查部门上报。而且随着技术的发展，要求能够不断的升级。

三、网络规划与设计

经过对以上的需求分析，将煤矿信息化网络建设成为设备层、工业以太网冗余环网和企业管理层局域网络三层结构模式，将骨干网络的可靠性和安全性放在第一位，同时结合网络数据的流量和流向，采用千兆网络，满足传输带宽的要求。

1.生产控制网络

生产控制网络采用网络拓扑结构为冗余环网，根据煤矿生产和巷道结构的特点，将十几台交换机在井上与井下各形成一个环路，一般将通讯链路分开两个不同的巷道进行敷设，由于煤矿生产环境恶劣，容易造成网络线路断裂，环网结构在很大程度上解决了以太网的容错技术，保证了当某条链路意外损坏时，数据仍可以从另一个方向的备用链路进行传输，冗余修复的时间小于300ms，网络在300ms之内可以重新启用，最大限度的满足煤矿生产数据信息传输的可靠性与实时性，主干网络传输介质为光纤，采用工业以太网交换机进行数据交换，地面、井下各设一个环网，两个光纤环网在控制中心机房通过高性能的核心交换机连接在一起，构成一个统一的煤矿生产控制网络。

根据一般煤矿生产的要求，在煤矿井下一般布置摄像头的数量不会超过100个，每个视频图像流量平均在1Mbps左右，总的视频流量不大于100Mbps，而且流向也比较确定，基本上都是从井下流向地面的调度中心，总的音频流量一般不大于10Mbps，总的数据流量一般不大于1Mbps，音频流量和数据流量一般是双向传输，所以在设计上采用千兆网络传输平台实现同网、同缆、同芯传输视频、音频、数据信号。

2.企业管理层局域网络

企业管理层局域网络为星型网络拓扑结构，千兆以太网技术，采用三层结构，即核心层、交换层和接入层，通过连接路由器、交换机、防火墙、服务器、客户机等设备来组成网络，通过高性能的核心交换机将管理层局域网络与生产管理网络连接在一起。通过防火墙接Internet网络，采用VPN技术与集团公司总部联系。结合公司今后的发展，采用开放式的结构，使网络具有良好的扩展性和开放性，满足未来网络发展需求。通过WEB发布，实现信息查询，通过远程拨号实现远程作业，实现信息共享及统一管理，建立调度指挥中心，统一调度指挥。

四、网络的信息安全

结合实际的网络环境，针对非法入侵者采用的手段以及网络环境中存在的漏洞，建立一套网络安全防范系统，及时弥补系统中各个级别的漏洞，切断非法用户的入侵渠道，保证综合监控及自动化网络及所有子系统接入数据传输的安全性，在煤矿生产工业以太环网和企业管理层局域网之间设置防火墙，用来隔离管理网与生产网。

为了保证信息安全，在系统规划的过程中从物理安全、系统安全、网络安全、应用安全、数据加密10个方面分别采用各种技术，来满足整个系统的安全。

1.物理安全：合理选择机房的位置，控制机房温度、湿度和环境清洁度满足设备运行要求，加强设备管理，供电系统稳定，做好接地与防雷，采用防静电地板，使服务器、客户机运行可靠，对媒体和存储设备加强管理，及时备份、对数据的转移和备份采取审核与登记管理制度。

2.系统安全：主要是针对操作系统安全和数据库系统安全，首先在系统选型中就采用运行稳定可靠的软件产品，加强管理系统拷贝、系统管理，选择，定期更新，及时补丁，定期优化与维护

3.网络安全：采用入侵检测实时监测网络中的不安全因素，通过VPN加密技术，确保在互联网上数据传输不泄密，对内部网和外部网之间采用网络隔离，采用访问控制技术，确保合法用户和非法用户的分类管理，保证各类系统和相关人员分别操作各自的系统，避免相互攻击，实时监测网络漏洞，对于发现的漏洞及时弥补。

4.应用安全：实际工作中，很多攻击都是来自邮件，在本系统中我们通过采用安全的邮件系统，通过对密码和口令严格配置，提高Email安全效果。另外黑客攻击很多通过Web来攻击，采用Web的安全协议，对Web的系统编码进行安全评估。通过在引用系统内容过滤，过滤病毒，过滤非法的言论等实现内容过滤。对采用的各种系统，采用常用访问控制、补丁升级和加密等技术保证应用系统安全。

5.数据加密：对于重要的数据采用加密保护，分别采用硬件加密和软件加密，两种加密技术相结合。

6.认证授权：项目中采用口令认证方式，每个操作人员和系统工程师以及相关的领导采用不同等级的授权与口令，而且对于口令的编码有一定的要求，对于关键的岗位要求口令的设置必须采用数字、字母与符号的组合，位数不少于11位，而且要求定期更新。对于非常关键的核心位置，采用证书认证的方式，确保系统安全。

7.访问控制：项目针对网络访问控制，采用网络防火墙与访问控制列表相结合的方式，提高访问控制的水平。对操作系统和数据库通过配置访问列表访问控制提高系统安全性。

8.审计跟踪：采用入侵检测实时的、全天候的检测攻击，并留下访问攻击的全部信息，提高安全事件的实时监测能力。各种网路设备和数据库系统中都具有日志功能，详细记录各种日志，作为安全事件的分析之用。制定了安全事件的应急机制，发生严重安全事故之后及时报案，辨析取证作为重要的跟踪依据，是公安人员的证据保护。实现对数据安全事件的事后跟踪，

9.网络防病毒：建立了单机防病毒与网络整体防病毒体系共同组成一个防病毒体系，在服务器、操作员站与笔记本上等单机设备上安装防病毒系统，及时对病毒数据库升级，定期对系统扫描。在网络上部署网络防病毒体系，防止木马和病毒的攻击，大大降低病毒爆发的概率。

10.灾难恢复与备份：为了保证出现问题后能够及时完成数据恢复，定期对数据进行备份，制定了详细的数据备份计划，每天备份数据一次，首先采用移动硬盘定期备份，然后再刻录在光盘上，并指定了存储的地点，专人负责管理。制定了灾难恢复计划和恢复的流程，指定了专门的人员，并实行了分工，并对相关人专门培训。

五、小结

系统建设完成后，以千兆工业以太环网为基础的矿井网络系统，相当于煤矿信息高速公路，在网络传输平台上，具备的多种接口，能够将各子系统的数据接入到网络上，实现各个子系统中生产设备状态的实时传输与远程控制，而且通过信息安全技术，使系统运行稳定可靠。