基于模拟矿井智慧矿山安全态势感知系统的建构

摘要：井工开采仍然是我国目前矿产开采的主要方式，开采量很大，但矿山安全生产形势不容乐观，面临巨大的挑战。井下的5大自然灾害时刻威胁着矿井的安全生产和作业人员的生命健康，必须加大井工开采的技术含量。随着计算机网络技术、有线及无线通信技术、工业控制以太网技术、组态软件、人工智能、神经网络技术等高科技的飞速发展，使建构矿井安全态势安全感知系统成为可能；矿山井下安全状态感知监控系统的构建是一个系统工程，需要多学科、多领域共同完成。借助现有矿井已经形成的单一监控系统和一些开环、闭环控制系统，建构一个完整的矿山安全态势感知监控系统，在矿井内部设置网络安全监测站所终端，实现矿山井下网络安全风险可预测、可发现、能控制、可追踪的目标。

关键词：智慧矿山；网络安全；态势感知系统；安全分区；人工智能1概述

云南能源职业技术学院模拟矿井于2009年筹备建设，并由学校自行设计，云南东源矿山工程公司进行井巷工程施工，学校组织专业教师带领学生利用假期和实训实习的时间进行实习矿井全部机电和安全监测设备的安装调试，经过3个学期艰苦工作，现建成实习矿井井巷工程800余m，建筑面积3 000余m2，可同时容纳120余名学生的实习实训。设有绞车房、井底车场、中央泵房、中央配电室、井下绞车房、抽风机房、瓦斯抽放房等主要机电室。布置了一个采煤工作面和3个掘进工作面；开拓了皮带运输机上山、轨道上山、运输大巷和回风大巷等巷道，构成了井下和地面融为一体的井工开采的煤炭生产系统；形成了矿井供配电系统、排水系统、运输提升系统、井下通风系统、瓦斯抽排放系统、抽压风系统、消防洒水系统、照明系统、信号系统和瓦斯监测监控系统等10大系统。有矿井主干式变压器、井下防爆配电开关、井下主排水泵、主扇风机、瓦斯抽放泵、采煤机组、皮带运输机、刮板运输机、乳化液泵站、探水钻机、蓄电池电机车等大型煤矿机电设备。目前井下已经配备了增压式单体液压支柱阻力检测仪、集中锚杆应力检测记录仪、锚杆测力计、围岩离层指示仪、手动快速升柱器、微表注液枪、单体液压支柱、金属铰接梁、胶带输送机、各种矿车、各种机电设备开关、主扇、局扇、水泵等设备设施1 832件套。形成了一个高仿真的基于井工开采的煤矿井下和地面生产系统。

1.1选题缘由

煤炭是我国目前十分重要的能源，在我国的能源构成中占有十分重要的地位。随着我国煤矿开采量的不断加大，我国煤炭生产的安全形势不容乐观，面临巨大的挑战。煤矿井下的5大自然灾害时刻威胁着煤矿的安全生产和作业人员的生命财产安全，对煤矿的正常生产产生了很大的影响。这就要求必须加大井工开采的技术含量，随着计算机网络技术、有线及无线通信技术、工业控制以太网技术、组态软件、人工智能、神经网络技术等高科技的飞速发展， 使建构智慧矿山井下安全态势感知系统成为可能，总之就是充分利用一切科技成果来保障矿井、作业人员的安全。智慧矿山井下安全态势感知系统的构建是一个系统工程，需要多学科、多领域共同完成。

目前，我国矿山井下的矿物开采，无论是金属矿还是煤矿，为了确保井下人员、设备、巷道等人员物资的安全，已从单一对象的监控、防范向多方向多因素集成。比如单一的瓦斯、粉尘、透水、通风、运输与提升、设备运行状态、信号、人员定位等向多系统集成。矿山局域网的搭建、与外网的有效连接与组网等，使网络安全问题成了重大的技术性问题。《中华人民共和国网络安全法》对关系到人民生活生产和国家安全的核心关键信息网络有关设施的运营管理方提出了明确的网络安全防护的责任和义务，并要求建立网络安全监测预警和信息通报机制。网络是保证国家安全和人民安居乐业的中枢神经，习总书记在网络安全和信息化工作座谈会上发表重要讲话，提出加快构建关键信息基础设施安全保障体系和全天候全方位感知网络安全态势等具体要求。本课题就是借助学院现有的模拟矿井及设备和已经形成的单一监控系统和一些开环、闭环控制系统，充分利用学校各学科的人才优势，探索建构一个完整的基于井工开采的模拟矿井智慧矿山安全态势感知系统。

1.2现状调查

各工矿企业安全监控系统与县市和省级安全监督调度控制系统相连，井下各测量端口工程师站承载了自动化、保信、探测等多项业务。目前，各局域网工程师站的安全监控系统的网络安全风险和井下安全生产风险，仍然主要依靠传统的人工等级保护测评和风险评估来发现。与外网连接的网络安全监控系统的风险评估以及运行管理也依然主要依靠传统人工完成，缺乏自动化、智能化、信息化的风险发现和管理手段。

1.3设计范围

本课题根据《矿井监控系统网络安全态势感知站所装置技术规范》进行设计，主要内容包括：矿山网络安全监测站点安全监控终端的项目目标、系统功能、部署方式以及部署的工作内容。

1.4设计目标

1.4.1目标描述

在矿井采区和巷道掘进头分别部署一套井下瓦斯监控系统网络安全监测终端，实现对井内与涉网络系统相关的瓦斯监控系统的安全数据采集、范式化处理、数据建模和关联性分析。及时发现如非法跨区互联、网络非法侵入、非法移动媒体介质接入等各类网络安全风险问题以及非法访问事件，从而实现对矿山井下监控系统全方位、全天候的网络安全无盲区，实现矿山安监系统网络安全的闭环管理。全面提高区域矿山监控系统网络安全防护的整体水平，实现矿山井下网络安全风险可预测、可发现、能控制、可追踪、能化解的目标。

1.4.2具体目标

（1） 在矿井采区工作面层A/B网、控制区和生产管理区部署工程师站安全监控终端和人工智能端口，实现站控层A/B网、采矿控制区以及矿井生产管理区的网络安全数据的采集以及网络风险和网络数据的在线判别。

（2） 监控主机、局域网各信号探测端口、人机交互智能端口、网络设备以及网管安全设备进行数据的采集和数据接入，数据采集方式包括Agent、SNMP、SNMP trap、syslog以及流量镜像等方式。

（3） 修改采矿控制区加密装置，各区间纵向防火墙、横向防火墙、互联交换机、矿井生产管理区互联交换机的ACL安全策略，实现工程师站内及主子站之间系统数据的互联互通。

（4） 地面矿山层级装置接入矿井通用主机、网络设备、安全设备、工控设备，实现站内资产发现、U盘拔插警告、网口UP/DOWN警告、服务端口扫描、通信警告等功能，完成与主站功能组态联调。

2系统设计

2.1系统概述

矿山井下安全态势感知站点终端装置作为态势感知系统的重要组成部分，担负着实现网络在矿井数据的采集以及矿井网络安全数据的初级分析。矿井安全监控终端与态势感知平台主站采用统一架构，以实现相关网络安全数据的采集以及在线识别及警告功能。实现局域网瓦斯监控系统现有主机设备、网络安全、设备安全与否等状态的采集、人工智能端口信息的采集、日志信息、流量数据的采集等，并为上级网络安全分析提供数据支持，实现跨区域互联识别、网络非法接入识别、移动媒体介质非法接入识别、资产台账、安全管控、运行管控、安全运行、应急处理、接入风险管控等功能。

2.2总体框架设计

矿井网络安全态势感知系统总体设计架构如图1所示。

矿井网络安全态势感知主站系统是指部署在各个调控中心，具备网络安全数据采集、安全监视、安全评估、预测分析等功能的系统。监控系统网络安全态势感知装置主要是指部署在井下系统局域网络内部，对矿井安全数据进行采集、分析处理并与主站系统通信的装置。

2.3数据采集

实现局域网监控系统中现有主机设备、局域网各信号传感器探测端口、人机交互智能端口、网络设备、日志信息、流量数据的采集等，为上级管理网站网络安全分析提供数据支持。

数据采集对象应包括主机、井下采掘设备、局域网、网络设备、安全防护设备等。

数据采集方式包括流量嗅探、Trap、Agent、ARP、SNMP、SNMP、网络主动扫描、ICMP、Syslog等方式。

数据采集内容包括：工作终端和通用主机服务器的数据采集。

（1） 工控装置主要完成日志类、状态类数据采集；

（2） 网络监管设备主要是流量类、状态类、日志类数据采集；

（3） 网络安全设备是状态类、日志类的数据采集。

2.4资产信息生成

基于井工开采智慧矿山安全态势感知系统支持资产信息的自动扫描及匹配，通过主子站的联通，统一实现系统运行维护，具体包括：

（1） 支持基于全协议栈扫描和流量镜像方式，支持网络扫描功能，并能自动发现全系统在线的IP资产等。

（2） 支持全站多源在线IP资产信息的比对、去重和拼接，能实现监控矿井资产信息的建模。

①设备分类、编号，编号与设备一一对应；

②记录、管理和查阅设备台账信息；

③记录和管理与设备相关的各种类型信息；

④记录、管理和查阅设备设计数据和同类设备统计数据。

（3） 支持与态势感知主站系统联动，实现矿井资产的主动上送、合法注册和实时同步，实现井工开采智慧矿山安全态势感知系统资产的统一维护。

2.5拓扑信息生成

支持自动生成矿山逻辑拓扑连接关系表。逻辑拓扑连接关系表包含：序号、调度分区、IP子网、VLAN号、设备名称、IP地址、设备全网唯一标识（GUID）。支持逻辑拓扑连接关系表动态全量上送主站。支持逻辑拓扑连接关系表本地查询，提供按IP、设备名称进行扫描检索，支持逻辑拓扑连接关系数据的本地excel格式导出。

2.6预警信息及原始日志上报

支持事件预警信息上送包括：预警级别、预警时间、矿井装置唯一标识、警示设备类型、警示内容等信息。预警内容包括：开始日期时间、警示设备唯一标识、警示设备类型、警示类型、警示子类型、重复次数、内容描述等内容。支持事件预警生成后实时主动上送主站，事件警示类型包含安全事件类、人员操作和人工智能类、设备故障类和运行异常类等。支持事件警示类型信息与设备相关联。支持原始日志信息的上送，包括未匹配范式化规则的原始日志。

2.7系统管理和升级

井工开采智慧矿山安全态势感知系统通信网络是本系统各部分连接的信息通道，其效能和可靠性直接影响到系统的性能。对网络配置要求如下：

（1） 数据通信链路带宽必须足够高；

（2） 网络的可靠性和安全性必须足够高；

（3） 网络必须便于管理和拓展，即必须具有开放性；

系统支持本地升级（用户通过本地管理界面上传补丁包进行软件升级）和远程升级（区域主网站对井工开采智慧矿山安全态势感知系统进行远程升级）功能。

支持功能要求如下：

（1） 确保软件升级包完整性和安全性的数据校验；

（2） 装置配置文件和数据文件在升级过程中保护不丢失；

（3） 重启升级后能自动恢复业务。

2.8系统日志记录

以列表形式展示井工开采智慧矿山安全态势感知系统装置的操作日志（登录、操作、维护日志），能通过要求查询、关键字、重点区域查询等方式，实现对矿井安全网络态势感知装置操作日志的查询。

（1） 当天设备日志和工况支持按照时间顺序排序展示，并可以查看每条日志的详细情况；

（2） 条件查询主要包括：工程师站账户、工程师站类型、开始时间和结束时间；

（3） 列表字段查询包括：子站账户、子站类型、操作类型、操作时间、操作内容等；

（4） 保留半年的设备日志历史数据；

（5） 查询时间范围跨度控制在3个月以内；

（6） 支持Excel电子表格导出文件和数据。

2.9网络诊断

矿山地面装置站所应提供的网络诊断工具，包括网络主动扫描、ping、traceroute。

3结语

本系统是在原有的矿山监控系统局域网内部再部署一套矿井安全态势网络感知监测装置，收集各矿井安全态势感知信息送至主监控网，以实现对矿山内部与涉网系统相关的各矿井监控系统网络安全的数据采集、范式处理、数据建模和关联度分析等，及时发现非法跨区互联、网络非法接入、非法移动媒体介质接入等各类网络安全风险以及非法访问事件，建构全天候全方位安全态势感知网络，要能准确把握网络安全风险发生的规律、动向、趋势等，才能保障矿山井下的安全。实现矿井安全监控系统网络数据采集、分析处理并与主站系统通信，从而全面提高矿山监控系统网络安全防护的整体水平。