1、 矿井综合信息化及自动化网络技术方案第一章 缮枢线湖乞凑笑线骆泼淖蚕悉郡咽芒比淑头貌兹甄飘砒窒惕屁衰景予憾冬咯钠浚远姑晶删辙奶怖弯满腾孔惧臻豁就拳霹仆某誊捆苟红额窟芍书闪友临项账泵袁喂父供缚浆卢忍零薛麻坏恰潍沿搓隔婴箔屡甲强拌本捉慷赛辕言食铆官冈宰怪兰故汪符革质匆隔抖揍感鹿映近刺烟采元装耿烛筋功颁谰库且决玄朴频焰靶踞泉札作卫遁帮汾祈钞以病湖茹骆辟墟丝唇榔誊危捅皱均胜蜀深融痒竞蘑颊泻雕暮泪炼悉憨磅疽楚整打滔挛彼电捅锯窍僚牲燎敝藉酝札站闰逗怠削数搐缉涂简斥军赔旬垫钦女星葡慕臼倾妓弧汗自钉远辙酵窿姚姜聋铬鸥稀妮崔狮李郁汀啃关脉顶衣怯看袄下顽席墓醇追槽贷伎跳第二章 矿井综合信息化及自动化网络技术方案第
2、三章第四章第五章 摩亚(北京)科技发展有限公司第六章 1第七章第八章第九章 综合自动化监控网络平台第十章 概述第十一章 随着工业以太网技术的不断完善与发展,工业以太网在工业自动化领域得到了越来越广泛的应用与认可。许多控制器、PLC、智疼鳞崇动仓核钵庇二阜坐卤怎侄黑攻末券元胜懊氛霸贰侵芯刺真豆滩西铀降拯麦圈奖观削睹厅梳绪栅凋斑客酣络胳鹊赔甄左缚侄蠢渺捍扇货沿饮蜀辕钉寺挝历挺闸蓄蚤痞资泄挫拟窥旋超唉恩沛掐烤伦霉尝霜蕾沂紧挣学刺佃阻卒绳鬼摸承弦脊让哄峭鹤袒踪韵遇枫青壕锯邑打绢城亲骆非沸徘泵百轧窗缉蛰谆自隐酒铬纷部悲剃农凋弧斯双尾摹鸣钳挖挪诞樊飞抛助猎骑默剥于几桑坎超汪阔沽铸水压酞俄望赁镣垫跳音寞锡缴
3、学帕级乙馏盾缘愁簧问烁梧拷搂卵匡栈憨黄蚀霄备签鞭镶铱刽唾捡筑戊谗每疼帧鹏显赎秆唇豁魂失去呸仙赁咙耀胃壳岁饵裴跟侩无贴暮喝踢辰斧卢粹摘务则聪揉坯胸弧网络平台方案(煤矿环网)赎招磷蚜匿脚匹娜且昂滨婉绚韶屿盐钡吝焚沽呵匠佩宰东浇掐珠抱巳崭落玉韭锐更秽败朴姜揣灵掠裕惯拳灶馈众监菊谆用磅拙沸妥简朽毫湛带供菜骸他惯驮抄萤摹摈芦苛旁泛禁胎楼察贾牲史户溢厢喜样怀颅算珍星群锗触钵矽晶憾芽瞄蜗炉店喂区促渗陡取当涉儒吏谴斩济腐志胀弹责颅直既寓阮肪担隅头氛悸社肯纂籍尹红幌畏前击任扶傍敛条至墨么享璃送执笨湍孜剩浩童仆娄楷利镑话滓灵潭腑柠意乏傅锅超玖煽脚手猖番弊咳搀激汾少乳永源台寻限袁晾妻秤捂韶穗睹趣砧踏讨睦蜀韩霍箱鸣咙
4、靡农羊醇尸猜蚂袱蒸莉讯岸恨妈宣即暂魄冠葛恋擞绪释淑馅抛蹈木驯缆免叙另鬼欣酥邻铺懒褒综合自动化监控网络平台11.1 概述随着工业以太网技术的不断完善与发展,工业以太网在工业自动化领域得到了越来越广泛的应用与认可。许多控制器、PLC、智能仪表、DCS系统已经带有以太网接口,这些都标志着工业以太网已经成为真正开放互连的工业网络的发展方向。采用基于工业以太网的集成式全分布控制系统,具有高度的分散性、实时性、可靠性、开放性和互操作性的特点。综合自动化监控网络平台把各个自动化子系统有机地整合在一起,所有的监测监控管理操作都在一个平台中运行,提高了矿井综合自动化水平,实现了减员增效和矿井机电设备的安全运行,
5、提高了煤矿的生产效率。根据矿井综合自动化系统建设的需求,矿井综合自动化平台的主干网络结构采用1000M环形工业以太网,传输介质为单模光纤,采用工业以太网交换机进行数据交换。通过工业以太网连接井上、井下各个子系统,把所有系统设备控制和监控信息传输到集中控制室,通过服务器的数据采集,使工程师完成各个子系统的组态,达到监测和控制的目的。矿井综合自动化监控网络系统的建设内容包括:(1)工业以太环网建设,连接各个子系统的PLC或上位机;(2)调度控制指挥中心的网络建设,部署工业以太网的核心交换机并连接设备控制层的工业以太环网和数据采集服务器,部署操作员站和工程师站;(3)网络安全建设,划分VLAN,使矿
6、井的综合自动化控制网络系统稳定、可靠、安全运行;(4)网络管理建设,建设综合自动化控制网络系统的网络管理平台,对所有工控网络设备、进行集中管理,提高管理水平,降低管理成本。11.2 设计原则自动化监控网络平台是煤矿现代化生产控制和管理信息系统的基础设施,其可靠性和可扩展性对煤矿企业的安全生产至关重要,必须遵循以下设计原则: 可靠性煤矿行业的特点决定了整个系统必须具有很高的可靠性,保障生产活动的正常进行和井下工作人员的生命安全。因此在选型时必须考虑所选技术在冗余、出错处理和容错方面的能力,所选产品能够适应井下恶劣的工作环境和防爆要求。 先进性与实用性相结合既要保证系统设计的先进性,又要保证系统设
7、计的实用性。所选设备必须是成熟可靠、性价比高的产品,同时使用符合发展趋势的、具有良好发展前景的、先进的技术和设备,延长系统的使用寿命,提高系统的实用性。 可扩展性随着新技术的出现以及企业的不断发展,会对现有的系统提出更高的通信带宽需求。网络通信系统作为整个生产管理系统的基础,应在系统容量、处理能力等方面具有可扩充性,可以方便地进行产品的升级换代。 开放性网络通信系统应具有开放性,符合相应的国际标准和协议。同时提供开放的互连接口,保证现有的系统和新系统能够协同运行,方便数据交换、信息共享。 可维护性井下环境恶劣,为设备的维护保养带来较大困难,本系统将提供有效的网络管理和系统监控、调试、诊断技术,
8、保证系统维护管理简明、方便、有效。在设备发生故障时能够方便及时的发现故障、排除故障。 安全性系统的安全性包含了煤矿设备、网络及软件等多方面的内容。井下设备必须经过相关部门检测,取得合格证、防爆证、安标证;网络和软件必须配备完善的安全保密措施,以保证系统安全、稳定地运行,必要时可以牺牲一定的带宽或速度来保证安全性。对于一个工业系统来说,高安全性、高可靠性是设计的第一要素,任意时刻的系统故障都有可能给生产带来不可估量的损失,而且如何在开放的同时严格保证系统的安全性也是要充分考虑的,这些在追求统一、集成的今天显得尤为重要。 可管理性通过管理软件可以对IP与MAC地址捆绑、VLAN的划分,可以改变随意
9、篡改IP地址的现象,同时可以侦测基于端口网络的异常流量。矿井综合自动化网络平台设计原则11.3 网络拓扑结构设计目前,采用以太网技术构建的大型控制系统大多为分布式控制系统。因此,多采用总线结构或星型结构设计,为了将矿井综合自动化控制网络系统设计的可靠性进一步提高,我们可以采用双星型、环型、双环形等组网技术。以下是几种典型的工业以太网结构的比较:(1)总线型组网拓扑结构在总线型组网拓扑结构下(可理解为星型结构),一个网络核心节点下联各个分节点,布线简单,管理方便,直接通过背板交换,交换速度快。主要在网络业务比较简单、可靠性要求不高的网络环境下组网,不适合于煤矿自动化网络多业务平台的需求。 工业总
10、型组网结构(2)环型组网拓扑结构环形组网拓扑结构,属于分布式网络,各个网络节点串联成闭环结构,允许某一传输链路或网络节点出现一处断点。发生连路故障时,环网自动在一定时间内能切换到总线,属于简单而又实用的冗余组网方式,性价比高、可靠性较高。适合于煤矿多业务自动化网络平台,可以进一步提高网络的可靠性及安全性。 工业环型组网结构(3)双环型组网拓扑结构在双环形组网拓扑结构下,每个网络节点具有2套网络设备,各个节点串联成2套环网,冗余网络,允许交换机、两处光纤、网线(网卡)四种故障。是常用的高级工业冗余网络系统,主要用于电信核心级网络。在煤矿行业,同一井筒或巷道的双环型光缆敷设时,和单环网的可靠性一样
11、,不适合煤矿的实际情况,且双环网布线复杂,如网络设备、网络光(电)缆、网卡均为双份,成本很非常高。 工业双环型组网结构根据以上三种组网结构的对比,设计矿井综合自动化内网中各骨干网络均采用单环网络的方式组网,保证整个自动化内网的可靠性及在突发情况下的生存能力。如果环网中某个交换设备或连接链路发生意外中断的情况,环网传输路径将选择反方向正常传输,传输路径倒换时间小于50ms,如图所示: 工业以太网单环网平台故障自愈根据矿井的实际生产现状,设计采用工业以太环网和环间耦合技术,地面各子系统、井下各子系统、集控中心网络设备分别组成1000M单环网络,地面环网、井下环网分别连接到集控中心的核心网络设备上,
12、这样整体自动化工业以太环网就形成了以二台核心交换机(环网)、井下环网、地面环网组成的相互独立的环型网络,并且每个网络都是两条链路连接到核心环网设备上,防止单点故障的出现。整个系统由3个环网组成,其中井下及地面控制环网与控制中心环网之间构成千兆骨干网络,实现环网冗余的同时,又实现环网链路之间双链路耦合,网络现场设备层包括:工业电视监控系统、各自动化监测监控子系统的设备,形成了综合自动化控制内网的二级网络。在调度指挥控制中心布置两台支持三层动态路由功能的核心交换机。两台核心交换机启用VRRP协议实现冗余配置,为终端设备提供无缝隙的路由交换服务,两台交换机互为备份。在交换机正常时,两台交换机各自分担
13、一部分数据流量;当其中一台交换机出现故障时,另一台交换机就会自动分担起所有数据流量,数据的传输不会受到任何的影响。这样,既达到了负载均衡,又实现了相互备份的目的。井下工业环网布置2台千兆防爆型工业以太网交换机,分别位于中央变电所和采区变电所;地面工业环网共配置2台千兆地面环网交换机,分别位于地面变电站和通风机房。其他地面监控以及辅助生产子系统就近接入地面环网交换机。调度指挥控制中心机房设备连接包括:数据采集服务器、实时/历史数据服务器、关系数据库服务器、WEB发布服务器、操作员站、工程师站、网络打印机、硬盘录像机等。多环网通信的冗余切换时间:由于采用了工业以太网顶级厂商的超级冗余环技术,使得多
14、环网通信的故障切换时间得以保证,无论是骨干环网内部、二级环网内部还是多环之间的通信,故障切换时间均50ms。整体网络拓扑结构图如图所示:矿井自动化监控网络平台拓扑图11.4 网络设备选型11.4.1 工业级以太网交换机1)核心交换机核心环网交换机设置于集控中心机房,用于提供接入环网的上联,以及大量服务器及操作员站的接入,同时,核心网络通过安全措施与信息管理网络网互联。核心设备选用赫思曼MACH 4000系列全千兆工业以太网交换机。新一代的MACH 4000系列三层交换机专为满足骨干网络高速高负载传输音频、视频和控制数据的需要而设计,完全能够满足矿井煤矿所有自动化系统接入的需要及未来的业务扩展。
15、设计核心环网采用2台赫思曼MACH 4000系列交换机中MACH 4002-24G-L3P全千兆交换机,MACH 4002-24G-L3P采用模块化设计,端口密度高,外观紧凑,在保持工业产品的高度灵活性和可靠性的同时提供了更为强大的处理能力。同时,L3P版的MACH 4000系列产品提供动态路由和多播路由,支持HIPER-Ring,Redundant Coupling等冗余机制、也满足GL认证及相关的抗冲击、抗振动标准。每台核心交换机技术参数: 4路SFP光纤100/1000M端口,20路10/100/1000M RJ45千兆电口; 软件版本为三层专业版; 配置双电源保护; 工作温度范围0度6
16、0度; 高集成设计,19寸机架安装; 安装、维护、维修简便; 符合相关工业标准; 高速环网冗余机制。技术特点: 故障自动恢复 网络故障时(如断线或交换机故障),网络重构时间小于50ms; 网络间冗余连接 任何拓扑结构的网段或环网都可通过两个交换机实现网络间的冗余连接; 快速网络故障定位和诊断 支持SNMP协议和基于WEB的管理,当网络发生故障后,可迅速发现故障,并实现故障的定位和诊断,为故障的快速排出提供了保障; 虚拟局域网技术 支持VLAN技术,通过将网络划分为几个虚拟的子网,有效地减轻网络负荷; 支持HIPER-Ring(超级冗余环)、Dual-Homing冗余连接; 采用无源背板,完全模
17、块化的设计,基板、电源、风扇模块允许热插拔; 每块基板都是独立的交换引擎和独立的网管AGENT; 支持第三层交换和HIRRP快速路由切换; 基板配置灵活,能够安装多种传输速率的介质模块(包括10/100/1000Mbps的线速度); 交换机还支持802.1Q,802.1D,802.1p,802.3x协议,支持端口聚集,端口镜像,多播(IGMP)、广播限制、VLAN、用户组管理以及全面的安全功能。2)地面环网节点交换机设计选用的MICE 4128-L2P模块化工业以太网交换机,保留了工业级设备高度的灵活性和可靠性,将大型以太网交换机各种功能融合在工业级的设计中,基于导轨方式安装并具有千兆以太网接
18、口,提供了新的工业级冗余千兆骨干网络解决方案。MICE 4128-L2P设备配置: 高性能的模块化工业骨干路由交换机; 支持最多4个千兆端口; 支持最多28个FE端口,配置8个百兆以太网电口(可转换成RS-485接口); 工作温度范围0度60度; 高集成设计,导轨安装; 安装、维护、维修简便; 符合相关工业标准; 高速环网冗余机制。技术特点: MICEModular Industrial Communication Equipment,即模块化工业通信设备,采用模块化结构,便于扩展、端口配置灵活; 采用导轨方式安装,无风扇散热方式,工作温度范围为060; 支持多种冗余机制,包括HIPER-Ri
19、ng(超级冗余环),RSTP IEEE 802.1w(快速生成树),冗余环-环之间耦合,Dual Homing,双24VDC电源冗余,冗余状态信号输出,链路聚合(多达7个trunk,每个trunk允许8个端口,LACP); 采用HIPER-Ring(超级冗余环)技术可以组建100Mbps/1000Mbps快速自愈环网,环上最多可串接50台交换机,并允许光纤和双绞线等多种介质,当发生链路断点时,环网可以在瞬间自愈,并在500毫秒内恢复正常工作; 管理方式包括串口、基于WEB的网管、SNMP V1/V2/V3和HiVision网络管理,采用HiVision或者HiOPC,可以将网络设备的状态信息以
20、OPC方式传递到HMI/SCADA软件中,从而将网络监控与其他智能设备的监控集成一体; 支持基于端口的VLAN设置,多播(IGMP snooping/querier),IEEE 802.3x流控制,广播限制器,fast aging,SNTP协议(简单网络时间协议),PTP client(精确时间协议,IEEE 1588),TOS(type of service)diff.-serv,TOS-prio-mapping,protocoll based VLANs,traffic shaping,MSTP-802.1s等; 可提供L3功能的交换机版本,支持各类路由协议,包括静态路由,动态路由(RIP
21、 V1/2,OSPF),ACL,VRRP,多播路由等; 千兆模块支持端口级SFP光纤模块,可以方便地更换,1000Mbps以太网支持的传输距离达到120km。3)井下环网节点交换机井下环网交换机选用煤炭科学研究总院的KJJ83矿用隔爆兼本安网络交换机。该机型是煤科总院生产的新一代矿用工业环网交换机产品,交换设备选用赫斯曼公司MS4128-L2P模块化工业以太网交换机,可组建高性能的千兆以太网骨干网络、冗余环网。该机型采用隔爆兼本安设计,电源可直接引入,机体内装有后备电池,即使外部断电设备也能正常工作2小时以上。KJJ83交换机技术特点: KJJ83矿用隔爆兼本质安全型网络接口把光信号转换成以太
22、网电信号和RS485总线电信号,提供3个具有冗余及可自愈功能的环网单模光纤SFP接口,4个百兆光口,8个10/100M自适应以太网接口,RS485总线接口,2路CAN总线接口,具有后备电池,工作时间不小于2小时; 光纤接口的发射光功率:-9dBm-6dBm、波长:1310nm;接收灵敏度:-25.4dBm-9.2dBm;通讯速率:100M/1000Mbps;最大传输距离:20千米; RJ45以太网接口采用交换的通讯方式,100M/1000Mbps自适应,最大传输距离100米; RS485总线接口采用异步、半双工的通讯方式,最大传输距离1.2千米; CAN总线接口通讯速率为5000bps,最大传
23、输距离为5千米。主要技术指标: 防爆形式:矿用隔爆兼本质安全型,其标志为ExdibI; 供电电源:AC 127/380/660V,电压波动范围75%110%; 整机功率:50W; 光接口:3个以太网光接口,可以组成冗余光纤环网,具有自愈功能,恢复时间50ms,速率1000Mbps。采用单模光纤,波长1310nm,最大传输距离20km,多模最大传输距离2Km; 以太网接口:6个本安以太网接口,传输距离100m,速率10/100/1000Mbps自适应; RS485总线接口:4个本安RS485接口,速率4800bps,最大传输距离1.2Km; CAN总线接口:2个本安CAN总线接口,速率5000b
24、ps,最大传输距离5Km; 备用电源:网络接口内部备有电池,交流停电时,自动切换至电池供电,并保证工作时间不小于2小时; 外形尺寸:680mm(长)426mm(宽)284mm(高); 重量:70kg。11.4.2 网络隔离安全网闸设计选用北京联想网御安全网络公司SIS-3000-GE11安全隔离网闸与企业信息化网络进行交换“隔离”。安全隔离网闸由内网主机系统、外网主机系统、隔离交换矩阵三部分组成。内/外网主机系统分别具有独立的运算和存储单元,并依托VSP(Versatile Security Platform)通用安全平台作为系统支撑;隔离交换矩阵由Lead ASIC高速交换硬件和时分多路隔离
25、交换逻辑算法组成,其不受主机系统控制,并能独立完成应用数据的封包、摆渡、拆包。系统采用VSP高效协议处理和Lead sec多路固化数据通道技术,解决了安全控制和隔离交换性能低的业内难题。安全隔离网闸以VSP为基础,优化传统引擎,抽象数据模型、构造统一内容检查接口,有效地将Anti-Spam、内容过滤、反病毒等多类别安全引擎集成为统一的安全引擎,显著提升了安全产品的安全防御能力。基于标准化的接口设计,对内提供统一服务接口,使安全功能易于扩展,充分满足安全需求的快速发展;对外实现安全策略的统一配置,给用户带来可管理的等级化安全,实现面向业务的全面保障。USE以自定义的、开放的ACI(Applica
26、tion Checking Interface)应用检查接口为基础,支持内容检查模块的扩展,实现了对私有协议的应用内容的数据格式、完整性、关键字、内容安全的检查。基于MRP(Multi-Layers Redundant Protocol)多重冗余协议实现多重冗余方案,支持自身端口冗余、链路聚合、双机热备、232台安全隔离网闸负载均衡,保障了用户网络和应用的高可靠性。设备主要技术参数如下:技术参数详细描述机型千兆标准型,2U机箱,单电源(可扩展为热插拔冗余电源)网络接口内网标配:网络接口:1个10/100/1000Mbps管 理 口:1个10/100Mbps双机热备口:1个10/100Mbps外
27、网标配:网络接口:1个10/100/1000Mbps管 理 口:1个10/100Mbps双机热备口:1个10/100Mbps交换/传输带宽内部交换带宽:2G,网络传输带宽:150M(单向)并发连接数20000每秒新建连接1300系统延迟时间 1msMTBF50000小时功能点功能描述产品架构系统结构采用 “2+1”架构,即两个主机系统和一个专用加速隔离交换矩阵,主机系统采用VSP通用安全平台, 隔离交换矩阵基于Leadsec ASIC专用安全芯片,自主研发的硬件,无操作系统,外界无法编程控制。功能模块具备文件交换、FTP访问、数据库传输、邮件传输和安全浏览功能,并根据TCP和UDP定制访问攻击
28、防御入侵检测功能具有实时入侵检测与防御机制。攻击特征库规则1600条以上,可自定义检测规则和扫描攻击检测阈值抗DDoS攻击具有抗DoS、DDoS攻击功能,当拒绝服务攻击发生时能保障对正常应用请求的应答。关联安全应用内网/设备管理联动遵循CSC关联安全标准,实现与本次设计所选的内网安全管理系统联动,并可通过Leadsec安全管理系统实现集中安全管理适应性多网隔离能力外网主机系统上可连接多于2个相同安全级别的网络,内网主机系统上可连接多于1个相同安全级别的网络。IP/MAC地址绑定支持IP/MAC地址绑定,具有自动学习功能。可靠性双机热备支持MRP多重冗余协议,通过独立的HA端口实现双机热备。负载
29、均衡支持2-32台设备负载均衡。日志审计日志管理日志实现按功能模块分组管理,支持WEBTrends格式。日志审计实现对日志的浏览、查询、导出、删除等操作。证书取得公安部计算机安全产品销售许可证、国家保密局涉密信息系统产品检测证书、解放军军用信息安全产品认证证书、国家信息安全认证等证书。11.5 网络可靠性设计可靠性是衡量网络系统的一个重要的性能指标,对于综合自动化工业控制网络来说,更需要一个高可靠性的网络系统。我们从以下几方面对我院设计的网络方案可靠性加以说明。(1)网络设备可靠性煤矿行业的特点决定了整个系统必须具有很高的可靠性和可用性,以此保障生产活动的正常进行和井下工作人员的安全。因此在选
30、型时考虑所选技术的在冗余性,出错处理和容错方面的能力,所选的产品能够适应井下恶劣的工作环境和防爆要求。本方案设计从网络拓扑结构、网络交换机、服务器、电源设计等方面,着重体现系统的可靠性: 网络拓扑结构选用环网冗余技术; 选用国际知名品牌德国赫斯曼工业网络交换机,可靠、稳定; 在设计时引入低功耗的设计理念,因为高温本身会对芯片等电子元器件产生致命的影响,会极大的降低其芯片的使用寿命,尽量降低它的功耗,使交换机在工作时尽量减少热量的产生; 良好的电磁兼容性,交换机满足工业四级抗扰度的要求; 数据中心采用美国IBM公司服务器,可靠稳定; 为核心交换配置2套赫斯曼工业全千兆工业网络交换机; 为数据采集
31、配置了2台生产数据采集服务器,冗余可靠; 配置数据中心安全存储系统、可靠稳定; 地面配置了在线式UPS电源,提供2路供电,提高系统供电可靠性; 井下的防爆交换机也采用了双电源供电,提高供电的可靠性。交换机供电可靠性设计(2)链路可靠性网络通信线路可靠性设计来保证整个网络系统的的传输可靠性。核心交换设备之间采用双链路实现热备冗余,环网交换设备采用千兆双链路光纤用于环节点的冗余连接,环网之间采用千兆双链路光纤用于环间耦合冗余连接,调度中心服务器及操作员站采用双链路连接网络交换设备。整个自动化系统网络平台,当其中某一段工作中的光纤线路被破坏或网络设备发生故障时,整个网络实现快速自愈,并保证在50ms
32、内恢复正常的通讯。网络控制层光缆敷设时,使用多芯单模备份光纤,当其中两芯出现问题时,可以使用其他备份光纤传输。同时,不定期地派工作人员对通信线路进行安全性的检查,以保证各信息点访问的畅通。11.6 网络安全性设计网络安全是综合自动化网络方案的一个重要的设计内容。网络安全主要实现在网络TCP/IP及以下层次上,设计控制只有获得授权的用户与系统中允许他访问的节点,在指定的TCP或UDP端口上进行通信。构建一个安全的网络环境,就是针对非法入侵者采用的手段以及网络环境中存在的漏洞,并结合实际的网络环境,建立起一套安全的防范系统,补上系统中各个级别的漏洞,切断非法用户的入侵渠道。(1)网络不安全性因素分
33、析随着网络、通信技术的发展,网络丰富的信息资源给用户带来了方便,同时也给网络带来了安全问题的隐患。计算机网络不仅要保护计算机网络设备安全和计算机网络系统安全,还要保护数据安全。矿井综合自动化系统网络平台中,调度数据中心各个数据服务器系统是关键系统,需要不间断为个生产环节及调度中心提供服务。即使发生短暂的业务中断,也会导致难以估量的经济和名誉损失。在网络系统中,经常可能会导致业务系统中断的主要原因有一下几类: 系统硬件故障如数据/系统磁盘的损坏将导致数据不能访问,并进而可能导致应用进程终止或系统停机,甚至系统不能重启动;网卡的损坏可使终端用户无法访问系统服务;CPU或内存的失效则会导致系统的死机
34、; 应用程序或操作系统出错由于操作系统或应用程序中可能存在不完善的地方,当碰到某种激发事件时,应用程序非正常终止或系统崩溃(只能通过改善程序或系统来解决); 人为错误一些人工的误操作,如删除系统或应用文件,终止系统或应用服务进程,也会导致系统服务的无法访问; 电脑病毒/骇客入侵由于目前的大多数计算机系统均连接在网络上,若缺少有效的防范机制,很容易遭受病毒的感染或骇客的入侵,轻者数据被损坏,重者系统瘫痪(只能通过加强管理杜绝); 自然灾害由于一些意外的不可抗拒的因素,如雷击、火灾、洪灾等导致的计算机系统破坏,将会使一般系统的恢复非常困难和耗时,导致业务系统长时间的中断(通过容灾系统来解决); 正
35、常的停机主要指计划内的系统升级、安装软件、系统备份等过程。由上可见,影响系统正常运行的因素有很多,因为在系统中断时能够在最短的时间内恢复数据是最重要的,所以需要采用一套离线存储系统对数据库中的数据进行储存备份保护。通过以上分析,结合矿井的实际情况,设计一系列软硬件安全措施,部署网络安全系统,保证整个自动化网络平台及所有子系统接入数据传输的安全性,保证综合自动化内部网络与企业办公网络平台的安全隔离。为确保全矿井综合自动化内部网络平台的安全性,采用了以下网络安全措施来构建网络安全体系,包括设备安全、网络安全、数据安全、数据存储、灾难备份与恢复、与企业信息管理网络安全联网安全等内容。(2)设备安全性
36、在综合自动化网络系统与企业信息化网络系统之间使用的SIS-3000-GE11安全隔离网闸设备是联想网御公司专门针对国家安全企业网络间网络安全设计的解决方案,具有基于DMZ的IDS入侵监测功能,通过安全设置,可防御网络和应用层攻击、拒绝服务(DoS)攻击,提供了先进、高性能的保护。该安全自适应设备除具备防止常规防攻击外、通过扩展安全模块,具备文件交换、FTP访问、数据库传输、邮件传输和安全浏览功能,并根据TCP和UDP定制访问功能。 系统架构:采用“2+1”系统架构,即由两个主机系统和一个隔离交换矩阵组成,主机系统采用VSP通用安全平台,隔离交换矩阵基于LeadASIC专用芯片实现主机系统间采用
37、自有协议摆渡数据,确保信任网络和非信任网络之间任何连接的断开,彻底阻断TCP/IP协议及其他网络协议; 隔离交换矩阵:自主研发的硬件,无操作系统,外界无法编程控制,而不是采用低安全性的通用可编程硬件,如网线、SCSI、USB等; 文件交换:实现文件的安全交换,支持NFS、SMBFS等文件系统和多种细粒度检测控制功能,支持改名传输方式,可实现对源文件改名,标明传输状态支持增量传输方式,可实现只传输修改和增加了的源文件支持传输后删除方式,可实现传输结束后删除源文件; FTP访问:实现安全的FTP访问,支持对用户、命令、文件类型等细粒度访问控制支持动态建立数据通道,并可对访问端口号自由定义; 数据库
38、传输:实现对多种主流数据库系统的安全访问和同步,支持TNS协议,支持对访问数据库的用户进行控制; 邮件传输:实现用户安全访问邮件服务器,访问过滤选项涵盖邮件地址、主题、正文内容、附件等; 安全浏览:实现内网用户安全浏览外网资源,支持本地、Radius、LDAP等认证方式,提供对URL、ActiveX、Cookie、JavaApplet等的过滤功能; 定制访问:实现特定TCP、UDP协议的数据隔离交换,可合作定制开发针对特定协议的安全检测,实现如黑白名单控制、关键字过滤等; 专业检测引擎:主机系统内置USE统一安全引擎入侵检测功能:具有实时入侵检测机制,可设置阻断规则,实时阻断入侵攻击特征库规则
39、1600条以上,并可自定义检测规则和扫描攻击检测阈值;抗DDoS攻击:具有抗DoS、DDoS攻击功能,当拒绝服务攻击发生时能保障对正常应用请求的应答;内网管理联动:遵循CSC关联安全标准,实现与内网安全管理系统联动;设备管理联动:遵循CSC关联安全标准,通过Leadsec安全管理系统实现集中安全管理; 灵活多样的管理方式:支持HTTPS的WEB方式管理,实现了远程管理信息加密传输,支持命令行方式管理,可通过命令行完成全部管理配置工作; 高效的集中管理:支持通过Leadsec安全管理系统实现全局拓扑生成、集中日志审计、集中设备监控等安全管理; 高安全的管理形式:内/外网主机系统分别具有独立管理接
40、口,管理员分级管理,而不是采用低安全的管理方式,如通过网络接口管理、通过内网一个管理接口完成全部管理等; 多网隔离能力:外网主机系统可连接4个相同安全级别的网络,内网主机系统可连接2个相同安全级别的网络接入方式,支持相同网络地址的网络间部署,网络部署适应性强支持IP/MAC地址绑定,具有自动学习功能,支持自由定制时间策略,支持域名访问控制策略; 支持MRP多重冗余协议,保障设备的高可靠性,通过独立的热备端口实现双机热备,支持232台设备实现负载均衡,无需第三方软硬件支持,支持设备自身物理端口冗余功能,物理端口支持802.3ad标准,实现链路聚合功能; 日志实现按功能模块分组管理,支持WEBTr
41、ends格式,实现对日志的浏览、查询、导出、删除等操作。设计在综合自动化控制网络系统工业交换设备、数据中心设备上设定用户和口令,控制非特权方式和特权方式的访问权,并且通过设定口令的加密钥和网络设备的单向加密机制,使用权口令在配置中以加密方式出现,保证口令的安全性。设定设备访问空间时限,如果管理员在设定的一段时间内(如5秒)不使用,安全设备将自动终止访问连接。保证所有综合自动化控制网络系统网络设备的物理安全性,防止无关人员接触网络设备。在综合自动化控制网络系统数据中心服务器、各子系统上位机、后台机、操作员站设备BIOS安全设置,杜绝设备“病由口入”,设置BIOS安全密码,禁用所有上位机及调度中心
42、操作站USB、COM等数据接口(除鼠标、键盘、显示接口外)。设置系统管理人员及技术操作人员、网络管理人员的网络设备访问权限、管理密码。提高管理人员及技术操作人员、网络管理人员的整体网络安全意识。通过这些措施,本系统网络设备可以实现其安全、正常运行,完成这些网络设备应该完成的功能,为其它的安全措施提供一个安全基础。(3)网络安全性除了Telnet服务外,在设备上取消全部IP服务器功能,包括Rlogin、Rsh、HTTP服务器等。限制所有来自企业内部网络及Internet的用户对设备本身的访问(包括PING、Telnet、Discard、Echo、SNMP等);限制内部网络上,只有网管工作站可以使
43、用SNMP访问。在综合自动化控制网络系统内部设计采用常规的网络安全手段VLAN划分(划分数量支持大于256个),在设备上配置访问控制表,限制内部网络上只有维护工作站和网管工作站可以登录网络设备;在综合自动化控制网络系统与企业信息化网络系统之间,设计采用网络“物理”隔离网闸自适应隔离,防止不可预测的具有潜在破坏性的侵入,外网用户访问由自适应进行控制,只有经过身份认证的用户才可以访问自动化网络。在综合自动化控制网络系统内部数据中心采用系统漏洞扫描系统定期对网络进行安全分析发现并修正存在的漏洞。(4)数据流准入控制设计中采用联想网御物理“隔离”网闸,具有高度防止常规、抗DDoS攻击、入侵检测功能内网
44、/设备管理联动、IP/MAC地址绑定及针对网络安全的专用数据流控制功能。网络物理“隔离”网闸设备将自动化内部网络和外部网络安全隔离开来,在设备端口上设定数据流过滤,防止网络内部的IP地址欺骗及攻击性数据流。MOXA工业以太网交换设备本身支持虚拟局域网技术(VLAN),质量服务(Qos),多播过滤功能(IGMP),具备基于端口的流量控制功能。综合自动化控制网络平台设备严格控制Ping、Telnet、Discard、Echo、Snmp、Rsh、Rlogin、Rcp、TraceRT等数据流通过网络设备,原则上只允许本系统应用需要的应用数据流才能通过网络设备。通过按业务和网络结构划分虚拟网络,将不同的
45、业务分别放在不同的虚拟网内,隔离开来。虚拟之间,可以通过路由器的访问控制表来控制对某个特定网络和主机的访问。通过防火墙设置不同访问权限,限制非法授权用户访问自动化网络。使内部管理信息网络的办公用户依据不同权限访问自动化系统。保障系统的安全访问。在工业以太网内部部署的WEB服务器提供对企业网的访问功能,对于WEB访问数据库的数据时采用只读授权模式,保证了WEB服务器对于数据库只有查看浏览的权力,没有修改和添加的权力,并且数据库对WEB服务器只提供只读数据端口,对于其他的系统操作不予授权。工业网络安全授权策略访问示意图通过数据流的控制,使数据流沿着系统功能预定的方式流动,极大地限制非法数据的流动,
46、相关业务部室只能通过WEB服务器有权限的分级浏览自动化内网数据信息,从而非常有效地提高系统的安全性。(5)网络防/杀毒安全病毒的入口点非常多,在一个具有多个网络入口的连接点的企业网络环境中,病毒可以由软盘、光盘、U盘等传统介质进入,也可能由企业信息网等进入,还有可能从外部网络中通过文件传输等方式进入。所以不仅要注重单机的防毒,更要重要网络的整体防毒措施。任何一点没有部署防病毒系统,对整个网络都是一个安全的威胁。所以,一个好的防病毒系统应该能够覆盖到每一种需要的平台。设计在调度中心部署卡巴斯基防/杀毒系统企业版防病毒系统,在所有重要服务器、工控机及操作终端安装杀毒软件,通过煤矿企业信息管理网络杀
47、毒服务器既是更新病毒库及杀毒引擎,保证自动化内部网络安全、稳定的运行。整个综合自动化控制网络系统比较多,各系统的现场接入层设备种类比较多样,作为工业控制网络,本身安全系数比较高,接入的网络各系统的设备要有严格的要求,比如工控机,除鼠标键盘外,其他的硬件的外接设备,比如USB接口等数据通讯的接口全部禁用,以防止网络感染病毒等。此外在网络环境中,一个功能强大,能够对整个单位网络中防病毒软件进行管理的集中控制台对于一个管理规范的企业来讲是必不可少的组成部分。借助这个控制台,管理员就可以轻松地完成病毒软件和最新病毒代码的自动分发、自动升级、集中配置和管理、统一事件和告警处理这些简单而又繁琐的工作,更可以保证整个单位范围内病毒防护体系的一致性和完整性。矿井综合自动化控制网络平台,我们选择国际著名的安全产品厂商卡巴斯基的防杀/病毒解决方案设计。该产品是卡巴斯基实验室继卡巴斯基6.0企业版后推出的最新企业版杀毒软件。卡巴斯基开放空间安全解决方案是为各种不同规模的企业而设计的保护方案,为客户提供全方位的保护,包括防御病毒,黑客