年4月19日網絡平臺方案煤礦環網文檔僅供參考，不當之處，請聯系改正。綜合自動化監控網絡平臺概述隨著工業以太網技術的不斷完善與發展，工業以太網在工業自動化領域得到了越來越廣泛的應用與認可。許多控制器、PLC、智能儀表、DCS系統已經帶有以太網接口，這些都標志著工業以太網已經成為真正開放互連的工業網絡的發展方向。采用基于工業以太網的集成式全分布控制系統，具有高度的分散性、實時性、可靠性、開放性和互操作性的特點。綜合自動化監控網絡平臺把各個自動化子系統有機地整合在一起，所有的監測監控管理操作都在一個平臺中運行，提高了礦井綜合自動化水平，實現了減員增效和礦井機電設備的安全運行，提高了煤礦的生產效率。根據礦井綜合自動化系統建設的需求，礦井綜合自動化平臺的主干網絡結構采用1000M環形工業以太網，傳輸介質為單模光纖，采用工業以太網交換機進行數據交換。經過工業以太網連接井上、井下各個子系統，把所有系統設備控制和監控信息傳輸到集中控制室，經過服務器的數據采集，使工程師完成各個子系統的組態，達到監測和控制的目的。礦井綜合自動化監控網絡系統的建設內容包括：（1）工業以太環網建設，連接各個子系統的PLC或上位機；（2）調度控制指揮中心的網絡建設，部署工業以太網的核心交換機并連接設備控制層的工業以太環網和數據采集服務器，部署操作員站和工程師站；（3）網絡安全建設，劃分VLAN，使礦井的綜合自動化控制網絡系統穩定、可靠、安全運行；（4）網絡管理建設，建設綜合自動化控制網絡系統的網絡管理平臺，對所有工控網絡設備、進行集中管理，提高管理水平，降低管理成本。設計原則自動化監控網絡平臺是煤礦現代化生產控制和管理信息系統的基礎設施，其可靠性和可擴展性對煤礦企業的安全生產至關重要，必須遵循以下設計原則：可靠性煤礦行業的特點決定了整個系統必須具有很高的可靠性，保障生產活動的正常進行和井下工作人員的生命安全。因此在選型時必須考慮所選技術在冗余、出錯處理和容錯方面的能力，所選產品能夠適應井下惡劣的工作環境和防爆要求。先進性與實用性相結合既要保證系統設計的先進性，又要保證系統設計的實用性。所選設備必須是成熟可靠、性價比高的產品，同時使用符合發展趨勢的、具有良好發展前景的、先進的技術和設備，延長系統的使用壽命，提高系統的實用性。可擴展性隨著新技術的出現以及企業的不斷發展，會對現有的系統提出更高的通信帶寬需求。網絡通信系統作為整個生產管理系統的基礎，應在系統容量、處理能力等方面具有可擴充性，能夠方便地進行產品的升級換代。開放性網絡通信系統應具有開放性，符合相應的國際標準和協議。同時提供開放的互連接口，保證現有的系統和新系統能夠協同運行，方便數據交換、信息共享。可維護性井下環境惡劣，為設備的維護保養帶來較大困難，本系統將提供有效的網絡管理和系統監控、調試、診斷技術，保證系統維護管理簡明、方便、有效。在設備發生故障時能夠方便及時的發現故障、排除故障。安全性系統的安全性包含了煤礦設備、網絡及軟件等多方面的內容。井下設備必須經過相關部門檢測，取得合格證、防爆證、安標證；網絡和軟件必須配備完善的安全保密措施，以保證系統安全、穩定地運行，必要時能夠犧牲一定的帶寬或速度來保證安全性。對于一個工業系統來說，高安全性、高可靠性是設計的第一要素，任意時刻的系統故障都有可能給生產帶來不可估量的損失，而且如何在開放的同時嚴格保證系統的安全性也是要充分考慮的，這些在追求統一、集成的今天顯得尤為重要。可管理性經過管理軟件能夠對IP與MAC地址捆綁、VLAN的劃分，能夠改變隨意篡改IP地址的現象，同時能夠偵測基于端口網絡的異常流量。礦井綜合自動化網絡平臺設計原則網絡拓撲結構設計當前，采用以太網技術構建的大型控制系統大多為分布式控制系統。因此，多采用總線結構或星型結構設計，為了將礦井綜合自動化控制網絡系統設計的可靠性進一步提高，我們能夠采用雙星型、環型、雙環形等組網技術。以下是幾種典型的工業以太網結構的比較：（1）總線型組網拓撲結構在總線型組網拓撲結構下（可理解為星型結構），一個網絡核心節點下聯各個分節點，布線簡單，管理方便，直接經過背板交換，交換速度快。主要在網絡業務比較簡單、可靠性要求不高的網絡環境下組網，不適合于煤礦自動化網絡多業務平臺的需求。工業總型組網結構（2）環型組網拓撲結構環形組網拓撲結構，屬于分布式網絡，各個網絡節點串聯成閉環結構，允許某一傳輸鏈路或網絡節點出現一處斷點。發生連路故障時，環網自動在一定時間內能切換到總線，屬于簡單而又實用的冗余組網方式，性價比高、可靠性較高。適合于煤礦多業務自動化網絡平臺，能夠進一步提高網絡的可靠性及安全性。工業環型組網結構（3）雙環型組網拓撲結構在雙環形組網拓撲結構下，每個網絡節點具有2套網絡設備，各個節點串聯成2套環網，冗余網絡，允許交換機、兩處光纖、網線（網卡）四種故障。是常見的高級工業冗余網絡系統，主要用于電信核心級網絡。在煤礦行業，同一井筒或巷道的雙環型光纜敷設時，和單環網的可靠性一樣，不適合煤礦的實際情況，且雙環網布線復雜，如網絡設備、網絡光（電）纜、網卡均為雙份，成本很非常高。工業雙環型組網結構根據以上三種組網結構的對比，設計礦井綜合自動化內網中各骨干網絡均采用單環網絡的方式組網，保證整個自動化內網的可靠性及在突發情況下的生存能力。如果環網中某個交換設備或連接鏈路發生意外中斷的情況，環網傳輸路徑將選擇反方向正常傳輸，傳輸路徑倒換時間小于50ms，如圖所示：工業以太網單環網平臺故障自愈根據礦井的實際生產現狀，設計采用工業以太環網和環間耦合技術，地面各子系統、井下各子系統、集控中心網絡設備分別組成1000M單環網絡，地面環網、井下環網分別連接到集控中心的核心網絡設備上，這樣整體自動化工業以太環網就形成了以二臺核心交換機（環網）、井下環網、地面環網組成的相互獨立的環型網絡，而且每個網絡都是兩條鏈路連接到核心環網設備上，防止單點故障的出現。整個系統由3個環網組成，其中井下及地面控制環網與控制中心環網之間構成千兆骨干網絡，實現環網冗余的同時，又實現環網鏈路之間雙鏈路耦合，網絡現場設備層包括：工業電視監控系統、各自動化監測監控子系統的設備，形成了綜合自動化控制內網的二級網絡。在調度指揮控制中心布置兩臺支持三層動態路由功能的核心交換機。兩臺核心交換機啟用VRRP協議實現冗余配置，為終端設備提供無縫隙的路由交換服務，兩臺交換機互為備份。在交換機正常時，兩臺交換機各自分擔一部分數據流量；當其中一臺交換機出現故障時,另一臺交換機就會自動分擔起所有數據流量,數據的傳輸不會受到任何的影響。這樣，既達到了負載均衡，又實現了相互備份的目的。井下工業環網布置2臺千兆防爆型工業以太網交換機，分別位于中央變電所和采區變電所；地面工業環網共配置2臺千兆地面環網交換機，分別位于地面變電站和通風機房。其它地面監控以及輔助生產子系統就近接入地面環網交換機。調度指揮控制中心機房設備連接包括：數據采集服務器、實時/歷史數據服務器、關系數據庫服務器、WEB發布服務器、操作員站、工程師站、網絡打印機、硬盤錄像機等。多環網通信的冗余切換時間：由于采用了工業以太網頂級廠商的超級冗余環技術，使得多環網通信的故障切換時間得以保證，無論是骨干環網內部、二級環網內部還是多環之間的通信，故障切換時間均<50ms。整體網絡拓撲結構圖如圖所示：礦井自動化監控網絡平臺拓撲圖網絡設備選型工業級以太網交換機1）核心交換機核心環網交換機設置于集控中心機房，用于提供接入環網的上聯，以及大量服務器及操作員站的接入，同時，核心網絡經過安全措施與信息管理網絡網互聯。核心設備選用赫思曼MACH4000系列全千兆工業以太網交換機。新一代的MACH4000系列三層交換機專為滿足骨干網絡高速高負載傳輸音頻、視頻和控制數據的需要而設計，完全能夠滿足礦井煤礦所有自動化系統接入的需要及未來的業務擴展。設計核心環網采用2臺赫思曼MACH4000系列交換機中MACH4002-24G-L3P全千兆交換機，MACH4002-24G-L3P采用模塊化設計，端口密度高，外觀緊湊，在保持工業產品的高度靈活性和可靠性的同時提供了更為強大的處理能力。同時，L3P版的MACH4000系列產品提供動態路由和多播路由，支持HIPER-Ring，RedundantCoupling等冗余機制、也滿足GL認證及相關的抗沖擊、抗振動標準。每臺核心交換機技術參數：4路SFP光纖100/1000M端口，20路10/100/1000MRJ45千兆電口；軟件版本為三層專業版；配置雙電源保護；工作溫度范圍0度－60度；高集成設計，19寸機架安裝；安裝、維護、維修簡便；符合相關工業標準；高速環網冗余機制。技術特點：故障自動恢復網絡故障時（如斷線或交換機故障），網絡重構時間小于50ms；網絡間冗余連接任何拓撲結構的網段或環網都可經過兩個交換機實現網絡間的冗余連接；快速網絡故障定位和診斷支持SNMP協議和基于WEB的管理，當網絡發生故障后，可迅速發現故障，并實現故障的定位和診斷，為故障的快速排出提供了保障；虛擬局域網技術支持VLAN技術，經過將網絡劃分為幾個虛擬的子網，有效地減輕網絡負荷；支持HIPER-Ring（超級冗余環）、Dual-Homing冗余連接；采用無源背板，完全模塊化的設計，基板、電源、風扇模塊允許熱插拔；每塊基板都是獨立的交換引擎和獨立的網管AGENT；支持第三層交換和HIRRP快速路由切換；基板配置靈活，能夠安裝多種傳輸速率的介質模塊（包括10/100/1000Mbps的線速度）；交換機還支持802.1Q，802.1D，802.1p，802.3x協議，支持端口聚集，端口鏡像，多播（IGMP）、廣播限制、VLAN、用戶組管理以及全面的安全功能。2）地面環網節點交換機設計選用的MICE4128-L2P模塊化工業以太網交換機，保留了工業級設備高度的靈活性和可靠性，將大型以太網交換機各種功能融合在工業級的設計中，基于導軌方式安裝并具有千兆以太網接口，提供了新的工業級冗余千兆骨干網絡解決方案。MICE4128-L2P設備配置：高性能的模塊化工業骨干路由交換機；支持最多4個千兆端口；支持最多28個FE端口，配置8個百兆以太網電口（可轉換成RS-485接口）；工作溫度范圍0度－60度；高集成設計，導軌安裝；安裝、維護、維修簡便；符合相關工業標準；高速環網冗余機制。技術特點：MICE——ModularIndustrialCommunicationEquipment，即模塊化工業通信設備，采用模塊化結構，便于擴展、端口配置靈活；采用導軌方式安裝，無風扇散熱方式，工作溫度范圍為0℃~60支持多種冗余機制，包括HIPER-Ring（超級冗余環），RSTPIEEE802.1w（快速生成樹），冗余環-環之間耦合，DualHoming，雙24VDC電源冗余，冗余狀態信號輸出，鏈路聚合（多達7個trunk，每個trunk允許8個端口，LACP）；采用HIPER-Ring（超級冗余環）技術能夠組建100Mbps/1000Mbps快速自愈環網，環上最多可串接50臺交換機，并允許光纖和雙絞線等多種介質，當發生鏈路斷點時，環網能夠在瞬間自愈，并在500毫秒內恢復正常工作；管理方式包括串口、基于WEB的網管、SNMPV1/V2/V3和HiVision網絡管理，采用HiVision或者HiOPC，能夠將網絡設備的狀態信息以OPC方式傳遞到HMI/SCADA軟件中，從而將網絡監控與其它智能設備的監控集成一體；支持基于端口的VLAN設置，多播（IGMPsnooping/querier），IEEE802.3x流控制，廣播限制器，fastaging，SNTP協議（簡單網絡時間協議），PTPclient（精確時間協議，IEEE1588），TOS（typeofservice）diff.-serv，TOS-prio-mapping，protocollbasedVLANs，trafficshaping，MSTP-802.1s等；可提供L3功能的交換機版本，支持各類路由協議，包括靜態路由，動態路由（RIPV1/2，OSPF），ACL，VRRP，多播路由等；千兆模塊支持端口級SFP光纖模塊，能夠方便地更換，1000Mbps以太網支持的傳輸距離達到120km。3）井下環網節點交換機井下環網交換機選用煤炭科學研究總院的KJJ83礦用隔爆兼本安網絡交換機。該機型是煤科總院生產的新一代礦用工業環網交換機產品，交換設備選用赫斯曼公司MS4128-L2P模塊化工業以太網交換機，可組建高性能的千兆以太網骨干網絡、冗余環網。該機型采用隔爆兼本安設計，電源可直接引入，機體內裝有后備電池，即使外部斷電設備也能正常工作2小時以上。KJJ83交換機技術特點：KJJ83礦用隔爆兼本質安全型網絡接口把光信號轉換成以太網電信號和RS485總線電信號，提供3個具有冗余及可自愈功能的環網單模光纖SFP接口，4個百兆光口，8個10/100M自適應以太網接口，RS485總線接口，2路CAN總線接口，具有后備電池，工作時間不小于2小時；光纖接口的發射光功率：-9dBm～-6dBm、波長：1310nm；接收靈敏度：-25.4dBm～-9.2dBm；通訊速率：100M/1000Mbps；最大傳輸距離：20千米RJ45以太網接口采用交換的通訊方式，100M/1000Mbps自適應，最大傳輸距離100米；RS485總線接口采用異步、半雙工的通訊方式，最大傳輸距離1.2千米；CAN總線接口通訊速率為5000bps，最大傳輸距離為5千米。主要技術指標：防爆形式：礦用隔爆兼本質安全型，其標志為Exd[ib]I；供電電源：AC127/380/660V，電壓波動范圍75%～110%；整機功率：≤50W；光接口：3個以太網光接口，能夠組成冗余光纖環網，具有自愈功能，恢復時間<50ms，速率1000Mbps。采用單模光纖，波長1310nm，最大傳輸距離20km，多模最大傳輸距離2Km以太網接口：6個本安以太網接口，傳輸距離100m，速率10/100/1000Mbps自適應；RS485總線接口：4個本安RS485接口，速率4800bps，最大傳輸距離1.2Km；CAN總線接口：2個本安CAN總線接口，速率5000bps，最大傳輸距離5Km；備用電源：網絡接口內部備有電池，交流停電時，自動切換至電池供電，并保證工作時間不小于2小時；外形尺寸：680mm（長）×426mm（寬）×284mm（高）；重量：70kg。網絡隔離安全網閘設計選用北京聯想網御安全網絡公司SIS-3000-GE11安全隔離網閘與企業信息化網絡進行交換“隔離”。安全隔離網閘由內網主機系統、外網主機系統、隔離交換矩陣三部分組成。內/外網主機系統分別具有獨立的運算和存儲單元，并依托VSP（VersatileSecurityPlatform）通用安全平臺作為系統支撐；隔離交換矩陣由LeadASIC高速交換硬件和時分多路隔離交換邏輯算法組成，其不受主機系統控制，并能獨立完成應用數據的封包、擺渡、拆包。系統采用VSP高效協議處理和Leadsec多路固化數據通道技術，解決了安全控制和隔離交換性能低的業內難題。安全隔離網閘以VSP為基礎，優化傳統引擎，抽象數據模型、構造統一內容檢查接口，有效地將Anti-Spam、內容過濾、反病毒等多類別安全引擎集成為統一的安全引擎，顯著提升了安全產品的安全防御能力。基于標準化的接口設計，對內提供統一服務接口，使安全功能易于擴展，充分滿足安全需求的快速發展；對外實現安全策略的統一配置，給用戶帶來可管理的等級化安全，實現面向業務的全面保障。USE以自定義的、開放的ACI（ApplicationCheckingInterface）應用檢查接口為基礎，支持內容檢查模塊的擴展，實現了對私有協議的應用內容的數據格式、完整性、關鍵字、內容安全的檢查。基于MRP（Multi-LayersRedundantProtocol）多重冗余協議實現多重冗余方案，支持自身端口冗余、鏈路聚合、雙機熱備、2~32臺安全隔離網閘負載均衡，保障了用戶網絡和應用的高可靠性。設備主要技術參數如下：技術參數詳細描述機型千兆標準型，2U機箱，單電源（可擴展為熱插拔冗余電源）網絡接口內網標配：網絡接口：1個10/100/1000Mbps管理口：1個10/100Mbps雙機熱備口：1個10/100Mbps外網標配：網絡接口：1個10/100/1000Mbps管理口：1個10/100Mbps雙機熱備口：1個10/100Mbps交換/傳輸帶寬內部交換帶寬：2G，網絡傳輸帶寬：150M（單向）并發連接數0每秒新建連接1300系統延遲時間≤1msMTBF≥50000小時功能點功能描述產品架構系統結構采用“2+1”架構，即兩個主機系統和一個專用加速隔離交換矩陣，主機系統采用VSP通用安全平臺，隔離交換矩陣基于LeadsecASIC專用安全芯片，自主研發的硬件，無操作系統，外界無法編程控制。功能模塊具備文件交換、FTP訪問、數據庫傳輸、郵件傳輸和安全瀏覽功能，并根據TCP和UDP定制訪問攻擊防御入侵檢測功能具有實時入侵檢測與防御機制。攻擊特征庫規則1600條以上，可自定義檢測規則和掃描攻擊檢測閾值抗DDoS攻擊具有抗DoS、DDoS攻擊功能，當拒絕服務攻擊發生時能保障對正常應用請求的應答。關聯安全應用內網/設備管理聯動遵循CSC關聯安全標準，實現與本次設計所選的內網安全管理系統聯動，并可經過Leadsec安全管理系統實現集中安全管理適應性多網隔離能力外網主機系統上可連接多于2個相同安全級別的網絡，內網主機系統上可連接多于1個相同安全級別的網絡。IP/MAC地址綁定支持IP/MAC地址綁定，具有自動學習功能。可靠性雙機熱備支持MRP多重冗余協議，經過獨立的HA端口實現雙機熱備。負載均衡支持2-32臺設備負載均衡。日志審計日志管理日志實現按功能模塊分組管理，支持WEBTrends格式。日志審計實現對日志的瀏覽、查詢、導出、刪除等操作。證書取得公安部計算機安全產品銷售許可證、國家保密局涉密信息系統產品檢測證書、解放軍軍用信息安全產品認證證書、國家信息安全認證等證書。網絡可靠性設計可靠性是衡量網絡系統的一個重要的性能指標，對于綜合自動化工業控制網絡來說，更需要一個高可靠性的網絡系統。我們從以下幾方面對我院設計的網絡方案可靠性加以說明。（1）網絡設備可靠性煤礦行業的特點決定了整個系統必須具有很高的可靠性和可用性，以此保障生產活動的正常進行和井下工作人員的安全。因此在選型時考慮所選技術的在冗余性，出錯處理和容錯方面的能力，所選的產品能夠適應井下惡劣的工作環境和防爆要求。本方案設計從網絡拓撲結構、網絡交換機、服務器、電源設計等方面，著重體現系統的可靠性：網絡拓撲結構選用環網冗余技術；選用國際知名品牌德國赫斯曼工業網絡交換機，可靠、穩定；在設計時引入低功耗的設計理念，因為高溫本身會對芯片等電子元器件產生致命的影響，會極大的降低其芯片的使用壽命，盡量降低它的功耗，使交換機在工作時盡量減少熱量的產生；良好的電磁兼容性，交換機滿足工業四級抗擾度的要求；數據中心采用美國IBM公司服務器，可靠穩定；為核心交換配置2套赫斯曼工業全千兆工業網絡交換機；為數據采集配置了2臺生產數據采集服務器，冗余可靠；配置數據中心安全存儲系統、可靠穩定；地面配置了在線式UPS電源，提供2路供電，提高系統供電可靠性；井下的防爆交換機也采用了雙電源供電，提高供電的可靠性。交換機供電可靠性設計（2）鏈路可靠性網絡通信線路可靠性設計來保證整個網絡系統的的傳輸可靠性。核心交換設備之間采用雙鏈路實現熱備冗余，環網交換設備采用千兆雙鏈路光纖用于環節點的冗余連接，環網之間采用千兆雙鏈路光纖用于環間耦合冗余連接，調度中心服務器及操作員站采用雙鏈路連接網絡交換設備。整個自動化系統網絡平臺，當其中某一段工作中的光纖線路被破壞或網絡設備發生故障時，整個網絡實現快速自愈，并保證在50ms內恢復正常的通訊。網絡控制層光纜敷設時，使用多芯單模備份光纖，當其中兩芯出現問題時，能夠使用其它備份光纖傳輸。同時，不定期地派工作人員對通信線路進行安全性的檢查，以保證各信息點訪問的暢通。網絡安全性設計網絡安全是綜合自動化網絡方案的一個重要的設計內容。網絡安全主要實現在網絡TCP/IP及以下層次上，設計控制只有獲得授權的用戶與系統中允許她訪問的節點，在指定的TCP或UDP端口上進行通信。構建一個安全的網絡環境，就是針對非法入侵者采用的手段以及網絡環境中存在的漏洞，并結合實際的網絡環境，建立起一套安全的防范系統，補上系統中各個級別的漏洞，切斷非法用戶的入侵渠道。（1）網絡不安全性因素分析隨著網絡、通信技術的發展，網絡豐富的信息資源給用戶帶來了方便，同時也給網絡帶來了安全問題的隱患。計算機網絡不但要保護計算機網絡設備安全和計算機網絡系統安全，還要保護數據安全。礦井綜合自動化系統網絡平臺中，調度數據中心各個數據服務器系統是關鍵系統，需要不間斷為個生產環節及調度中心提供服務。即使發生短暫的業務中斷，也會導致難以估量的經濟和名譽損失。在網絡系統中，經常可能會導致業務系統中斷的主要原因有一下幾類：①系統硬件故障如數據/系統磁盤的損壞將導致數據不能訪問，并進而可能導致應用進程終止或系統停機，甚至系統不能重啟動；網卡的損壞可使終端用戶無法訪問系統服務；CPU或內存的失效則會導致系統的死機；②應用程序或操作系統出錯由于操作系統或應用程序中可能存在不完善的地方，當碰到某種激發事件時，應用程序非正常終止或系統崩潰（只能經過改進程序或系統來解決）；③人為錯誤一些人工的誤操作，如刪除系統或應用文件，終止系統或應用服務進程，也會導致系統服務的無法訪問；④電腦病毒/駭客入侵由于當前的大多數計算機系統均連接在網絡上，若缺少有效的防范機制，很容易遭受病毒的感染或駭客的入侵，輕者數據被損壞，重者系統癱瘓（只能經過加強管理杜絕）；⑤自然災害由于一些意外的不可抗拒的因素，如雷擊、火災、洪災等導致的計算機系統破壞，將會使一般系統的恢復非常困難和耗時，導致業務系統長時間的中斷（經過容災系統來解決）；⑥正常的停機主要指計劃內的系統升級、安裝軟件、系統備份等過程。由上可見，影響系統正常運行的因素有很多，因為在系統中斷時能夠在最短的時間內恢復數據是最重要的，因此需要采用一套離線存儲系統對數據庫中的數據進行儲存備份保護。經過以上分析，結合礦井的實際情況，設計一系列軟硬件安全措施，部署網絡安全系統，保證整個自動化網絡平臺及所有子系統接入數據傳輸的安全性，保證綜合自動化內部網絡與企業辦公網絡平臺的安全隔離。為確保全礦井綜合自動化內部網絡平臺的安全性，采用了以下網絡安全措施來構建網絡安全體系，包括設備安全、網絡安全、數據安全、數據存儲、災難備份與恢復、與企業信息管理網絡安全聯網安全等內容。（2）設備安全性在綜合自動化網絡系統與企業信息化網絡系統之間使用的SIS-3000-GE11安全隔離網閘設備是聯想網御公司專門針對國家安全企業網絡間網絡安全設計的解決方案，具有基于DMZ的IDS入侵監測功能，經過安全設置，可防御網絡和應用層攻擊、拒絕服務（DoS）攻擊，提供了先進、高性能的保護。該安全自適應設備除具備防止常規防攻擊外、經過擴展安全模塊，具備文件交換、FTP訪問、數據庫傳輸、郵件傳輸和安全瀏覽功能，并根據TCP和UDP定制訪問功能。系統架構：采用“2+1”系統架構，即由兩個主機系統和一個隔離交換矩陣組成，主機系統采用VSP通用安全平臺，隔離交換矩陣基于LeadASIC專用芯片實現主機系統間采用自有協議擺渡數據，確保信任網絡和非信任網絡之間任何連接的斷開，徹底阻斷TCP/IP協議及其它網絡協議；隔離交換矩陣：自主研發的硬件，無操作系統，外界無法編程控制，而不是采用低安全性的通用可編程硬件，如網線、SCSI、USB等；文件交換：實現文件的安全交換，支持NFS、SMBFS等文件系統和多種細粒度檢測控制功能，支持改名傳輸方式，可實現對源文件改名，標明傳輸狀態支持增量傳輸方式，可實現只傳輸修改和增加了的源文件支持傳輸后刪除方式，可實現傳輸結束后刪除源文件；FTP訪問：實現安全的FTP訪問，支持對用戶、命令、文件類型等細粒度訪問控制支持動態建立數據通道，并可對訪問端口號自由定義；數據庫傳輸：實現對多種主流數據庫系統的安全訪問和同步，支持TNS協議，支持對訪問數據庫的用戶進行控制；郵件傳輸：實現用戶安全訪問郵件服務器，訪問過濾選項涵蓋郵件地址、主題、正文內容、附件等；安全瀏覽：實現內網用戶安全瀏覽外網資源，支持本地、Radius、LDAP等認證方式，提供對URL、ActiveX、Cookie、JavaApplet等的過濾功能；定制訪問：實現特定TCP、UDP協議的數據隔離交換，可合作定制開發針對特定協議的安全檢測，實現如黑白名單控制、關鍵字過濾等；專業檢測引擎：主機系統內置USE統一安全引擎入侵檢測功能：具有實時入侵檢測機制，可設置阻斷規則，實時阻斷入侵攻擊特征庫規則1600條以上，并可自定義檢測規則和掃描攻擊檢測閾值；抗DDoS攻擊：具有抗DoS、DDoS攻擊功能，當拒絕服務攻擊發生時能保障對正常應用請求的應答；內網管理聯動：遵循CSC關聯安全標準，實現與內網安全管理系統聯動；設備管理聯動：遵循CSC關聯安全標準，經過Leadsec安全管理系統實現集中安全管理；靈活多樣的管理方式：支持HTTPS的WEB方式管理，實現了遠程管理信息加密傳輸，支持命令行方式管理，可經過命令行完成全部管理配置工作；高效的集中管理：支持經過Leadsec安全管理系統實現全局拓撲生成、集中日志審計、集中設備監控等安全管理；高安全的管理形式：內/外網主機系統分別具有獨立管理接口，管理員分級管理，而不是采用低安全的管理方式，如經過網絡接口管理、經過內網一個管理接口完成全部管理等；多網隔離能力：外網主機系統可連接4個相同安全級別的網絡，內網主機系統可連接2個相同安全級別的網絡接入方式，支持相同網絡地址的網絡間部署，網絡部署適應性強支持IP/MAC地址綁定，具有自動學習功能，支持自由定制時間策略，支持域名訪問控制策略；支持MRP多重冗余協議，保障設備的高可靠性，經過獨立的熱備端口實現雙機熱備，支持2~32臺設備實現負載均衡，無需第三方軟硬件支持，支持設備自身物理端口冗余功能，物理端口支持802.3ad標準，實現鏈路聚合功能；日志實現按功能模塊分組管理，支持WEBTrends格式，實現對日志的瀏覽、查詢、導出、刪除等操作。設計在綜合自動化控制網絡系統工業交換設備、數據中心設備上設定用戶和口令，控制非特權方式和特權方式的訪問權，而且經過設定口令的加密鑰和網絡設備的單向加密機制，使用權口令在配置中以加密方式出現，保證口令的安全性。設定設備訪問空間時限，如果管理員在設定的一段時間內（如5秒）不使用，安全設備將自動終止訪問連接。保證所有綜合自動化控制網絡系統網絡設備的物理安全性，防止無關人員接觸網絡設備。在綜合自動化控制網絡系統數據中心服務器、各子系統上位機、后臺機、操作員站設備BIOS安全設置，杜絕設備“病由口入”，設置BIOS安全密碼，禁用所有上位機及調度中心操作站USB、COM等數據接口（除鼠標、鍵盤、顯示接口外）。設置系統管理人員及技術操作人員、網絡管理人員的網絡設備訪問權限、管理密碼。提高管理人員及技術操作人員、網絡管理人員的整體網絡安全意識。經過這些措施，本系統網絡設備能夠實現其安全、正常運行，完成這些網絡設備應該完成的功能，為其它的安全措施提供一個安全基礎。（3）網絡安全性除了Telnet服務外，在設備上取消全部IP服務器功能，包括Rlogin、Rsh、HTTP服務器等。限制所有來自企業內部網絡及Internet的用戶對設備本身的訪問（包括PING、Telnet、Discard、Echo、SNMP等）；限制內部網絡上，只有網管工作站能夠使用SNMP訪問。在綜合自動化控制網絡系統內部設計采用常規的網絡安全手段VLAN劃分（劃分數量支持大于256個），在設備上配置訪問控制表，限制內部網絡上只有維護工作站和網管工作站能夠登錄網絡設備；在綜合自動化控制網絡系統與企業信息化網絡系統之間，設計采用網絡“物理”隔離網閘自適應隔離，防止不可預測的具有潛在破壞性的侵入，外網用戶訪問由自適應進行控制，只有經過身份認證的用戶才能夠訪問自動化網絡。在綜合自動化控制網絡系統內部數據中心采用系統漏洞掃描系統定期對網絡進行安全分析發現并修正存在的漏洞。（4）數據流準入控制設計中采用聯想網御物理“隔離”網閘，具有高度防止常規、抗DDoS攻擊、入侵檢測功能內網/設備管理聯動、IP/MAC地址綁定及針對網絡安全的專用數據流控制功能。網絡物理“隔離”網閘設備將自動化內部網絡和外部網絡安全隔離開來，在設備端口上設定數據流過濾，防止網絡內部的IP地址欺騙及攻擊性數據流。MOXA工業以太網交換設備本身支持虛擬局域網技術（VLAN），質量服務（Qos），多播過濾功能（IGMP），具備基于端口的流量控制功能。綜合自動化控制網絡平臺設備嚴格控制Ping、Telnet、Discard、Echo、Snmp、Rsh、Rlogin、Rcp、TraceRT等數據流經過網絡設備，原則上只允許本系統應用需要的應用數據流才能經過網絡設備。經過按業務和網絡結構劃分虛擬網絡，將不同的業務分別放在不同的虛擬網內，隔離開來。虛擬之間，能夠經過路由器的訪問控制表來控制對某個特定網絡和主機的訪問。經過防火墻設置不同訪問權限，限制非法授權用戶訪問自動化網絡。使內部管理信息網絡的辦公用戶依據不同權限訪問自動化系統。保障系統的安全訪問。在工業以太網內部部署的WEB服務器提供對企業網的訪問功能，對于WEB訪問數據庫的數據時采用只讀授權模式，保證了WEB服務器對于數據庫只有查看瀏覽的權力，沒有修改和添加的權力，而且數據庫對WEB服務器只提供只讀數據端口，對于其它的系統操作不予授權。工業網絡安全授權策略訪問示意圖經過數據流的控制，使數據流沿著系統功能預定的方式流動，極大地限制非法數據的流動，相關業務部室只能經過WEB服務器有權限的分級瀏覽自動化內網數據信息，從而非常有效地提高系統的安全性。（5）網絡防/殺毒安全病毒的入口點非常多，在一個具有多個網絡入口的連接點的企業網絡環境中，病毒能夠由軟盤、光盤、U盤等傳統介質進入，也可能由企業信息網等進入，還有可能從外部網絡中經過文件傳輸等方式進入。因此不但要注重單機的防毒，更要重要網絡的整體防毒措施。任何一點沒有部署防病毒系統，對整個網絡都是一個安全的威脅。因此，一個好的防病毒系統應該能夠覆蓋到每一種需要的平臺。設計在調度中心部署卡巴斯基防/殺毒系統企業版防病毒系統，在所有重要服務器、工控機及操作終端安裝殺毒軟件，經過煤礦企業信息管理網絡殺毒服務器既是更新病毒庫及殺毒引擎，保證自動化內部網絡安全、穩定的運行。整個綜合自動化控制網絡系統比較多，各系統的現場接入層設備種類比較多樣，作為工業控制網絡，本身安全系數比較高，接入的網絡各系統的設備要有嚴格的要求，比如工控機，除鼠標鍵盤外，其它的硬件的外接設備，比如USB接口等數據通訊的接口全部禁用，以防止網絡感染病毒等。另外在網絡環境中，一個功能強大，能夠對整個單位網絡中防病毒軟件進行管理的集中控制臺對于一個管理規范的企業來講是必不可少的組成部分。借助這個控制臺，管理員就能夠輕松地完成病毒軟件和最新病毒代碼的自動分發、自動升級、集中配置和管理、統一事件和告警處理這些簡單而又繁瑣的工作，更能夠保證整個單位范圍內病毒防護體系的一致性和完整性。礦井綜合自動化控制網絡平臺，我們選擇國際著名的安全產品廠商卡巴斯基的防殺/病毒解決方案設計。該產品是卡巴斯基實驗室繼卡巴斯基6.0企業版后推出的最新企業版殺毒軟件。卡巴斯基開放空間安全解決方案是為各種不同規模的企業而設計的保護方案，為客戶提供全方位的保護，包括防御病毒，黑客，間諜軟件和垃圾郵件等惡意程序的攻擊。同時，該方案還為移動使用的設備提供全面安全保護。無論在是在辦公室，家中或旅行途中，該技術均能夠隨時隨地保護筆記本電腦安全，讓其免受病毒困擾。另一方面，它的移動安全保護技術還能夠為外部返回的計算機和訪客計算機提供保護。整套軟件分為三部分：卡巴斯基反病毒7.0工作站版、卡巴斯基反病毒7.0文件服務器版、卡巴斯基管理工具7.0。卡巴斯基管理工具7.0是一個動態的、操作靈活的管理工具，它能夠集中管理企業網絡中所使用的卡巴斯基實驗室出品的產品程序。它的作用是管理網絡中所有工作站端和文件服務器端的反病毒程序的任務、策略、日志等。安裝過程非常簡單，不過要保證計算機上已經安裝SQLServer+SQLServerSP3或MSDE+MSDESP3，其它一路按提示安裝即可。卡巴斯基反病毒7.0工作站版是為企業網絡中的所有工作站提供集中的保護，同時將保護從本地網絡延伸至遠程網絡和筆記本計算機用戶。該解決方案針對當前所有類型的網絡攻擊(包括病毒、間諜軟件、黑客攻擊和垃圾郵件)都提供了完全的保護。卡巴斯基反病毒7.0文件服務器版是為Windows文件服務器(包括最新的64位操作系統)上的數據提供有效的文件保護。該解決方案能夠保證高可靠性而且適合于負載較大的服務器。卡巴斯基網絡版7.0整個防病毒體系結構清晰，共由管理工具、服務器端、工作站端組成。管理工具是信息管理和病毒防護的自動控制核心，它能夠實時記錄防護體系內每臺計算機上的病毒監控、檢測和清除信息。管理工具的界面是標準的兩分欄結構，左邊功能列表，右邊具體功能。網絡管理員在管理工具使用全網同步殺毒、遠程操作，全網遠程報警等功能，感覺操作很方便。所有客戶機安全一手掌控。能夠同時操作多個客戶機，客戶機的狀態會反應在表格中。經過管理工具對客戶端進行設置后，客戶機用戶根本不必再進行設置。簡單明了的安全狀態界面，讓用戶方便的進行各種安全操作。客戶端無需用戶干預，管理員遠程即可完成全部的操作，完全自動化。客戶端的界面提供了文件保護、郵件保護、WEB反病毒保護、主動防御、反間諜保護、反黑客和發垃圾郵件幾個組件，為工作站和文件服務器提供了實時全面的保護。而且卡巴斯基反病毒7.0能夠自動檢查更新源，將其下載并安裝到計算機中。卡巴斯基工作站主界面殺毒軟件的好壞最重要的一點就是對于病毒的查殺能力，卡巴斯基對于文件的掃描設置非常詳細，關鍵區域中囊括了系統內存、啟動對象、引導扇區等重點掃描區域。統計區域包含任務執行的詳細信息，已檢測的到危險對象數、沒有處理的對象數和任務運行的時間。是為企業網絡提供信息安全保障的組合解決方案，可使企業內的工作站、文件服務器免受各種網絡威脅，包括：病毒、黑客攻擊、垃圾郵件及間諜軟件確保系統高效運行。既然是網絡版殺毒，卡巴斯基在這款軟件的集中控制方面做得還是可圈可點，在管理工具上，管理員能夠經過控制平臺實時監控每一個用戶的殺毒軟件版本及是否打開了實時監控等情況，并能夠強制執行掃描任務。經過卡巴斯基開放空間安全解決方案的全面保護，能夠為所有網絡節點和平臺提供安全防護，防御所有類型的網絡威脅而且快速做出響應，滿足對企業網絡進行綜合保護的核心要求;另外，卡巴斯基開放空間安全解決方案在Anti-rootkit技術、保護個人信息不被盜竊、修復惡意軟件所作的非法篡改、反惡意攻擊的自我防護技術等方面均有卓越表現。另外，在服務器系統安全配置方面，服務器關閉不需要的服務；為需要的服務打補丁，系統安全化設置、記錄關鍵事件。同時，建立整套安全策略，提供全體員工的安全防范意思，保護好每臺接入網絡中的設備，才能實現高速穩定安全的信息化網絡系統。網絡實時性設計選用赫斯曼工業以太網交換機具備以下幾點功能，確保網絡的實時性：采用交換式數據傳輸方式，沒有數據碰撞，數據傳輸實時性有保證；網絡設備端口延時低，典型值小于32微秒，能滿足實時性應用的要求；設置優先級隊列Qos，遵循IEEE802.1D/p標準，保證了系統的實時性；支持工業網絡必須的時鐘同步SNTP（簡單網絡時鐘協議）功能，全網時鐘統一，實時性高；當其中某一段工作中的光纖線路被破壞或網絡設備發生故障時，整個網絡實現快速自愈，并保證在50ms內恢復正常的通訊。網絡開放性設計設計自動化網絡以標準的TCP/IP協議建設，網絡通信協議、網絡接口、軟件符合現有相應的國際標準和協議，全球通用；同時提供開放及擴展的網絡接口和數據接口，保證現有的各類產品以及未來出現的新產品能夠協同運行，方便數據交換、信息共享。設計建設的網絡平臺符合國際公認的網絡標準IEC61158，具有完全開放的，具備成熟的第三方連接能力。網絡可管理性設計礦井綜合自動化控制網絡平臺，屬于地面、井下分布式網絡系統，各接入子系統分站之間的距離較遠，在選擇冗余網絡方案的同時，采用網絡管理軟件對整個綜合自動化網絡的通訊和設備進行監控和管理是非常必要的。經過對網絡的全面監視，能夠實現綜合的負載和故障分析，也能發現網絡中可能存在的隱患并及時采取措施，監視結果還能夠利用E-Mail，SMS或參考視窗來顯示或傳送。綜合自動化控制網絡管理軟件界面圖本設計選用Hirschmann公司HiVision網絡管理軟件。HiVision網絡管理軟件，采用圖形交互式用戶界面以及設備圖案化方式使工作更直接、更容易理解，還完善的幫助功能和集成的提示功能——提示、在線使用手冊、在線幫助、在線指南和自動配置校驗。HiVision能夠對各種故障報警、歷史故障查詢，查看每個交換機的端口狀態、通訊流量、交換機設置、系統的安全維護等，具有良好的易操作性。HiVision網絡管理軟件界面圖自動發現綜合自動化控制網絡系統所有ICMP和SNMP的設備，支持SNMP、RMON網絡管理功能，自動識別所有的Hirschmann網絡產品，顯示IP地址與MAC地址之間的關系等；經過標準MIB集成OEM設備；方便查詢綜合自動化控制網絡系統Hirschmann網絡設備的狀態，并具有故障自陷（Trap）處理功能，可對于整個網絡或單一設備的故障自陷歷史進行精確跟蹤；用高品質的圖像真實地表示所監控的設備；具有對標準RMON1-3&9參數（統計、歷史、報警和事件）的圖形化顯示；多設備配置功能，能夠對多臺設備同時進行軟件升級等操作；多端口管理功能，可同時對不同設備的端口進行操作；多端口分析器提供對不同設備的多個端口同時進行全面的負載和故障分析功能；VLAN管理器功能；集成SNMPMIB瀏覽器；可將各類列表以ASCII文件形式導出；監視結果能夠利用E-Mail，SMS或參考視窗來顯示或傳送；完善的幫助功能和集成的提示功能——提示、在線使用手冊、在線幫助、在線指南和自動配置校驗；集成了OPC2.0支持，可按OPC服務器的方式將Hivision監控的所有代理（交換機）的狀態信息和TRAP報警直接傳到HMI/SCADA軟件中去。IP地址與路由設計網絡IP地址規劃IP地址的合理規劃是整個自動化系統平臺設計中的重要一環，IP地址的合理分配，要與網絡拓撲層次結構相適應，既要有效地利用地址空間，又要體現出網絡的可擴展性和靈活性，同時要滿足路由協議的要求，提高路由算法的效率，加快路由變化的收斂速度，同時還要考慮到網絡地址的可管理性。對礦井綜合自動化系統平臺IP地址規劃時，遵循以下幾個原則：1、唯一性：一個IP網絡中不能有兩個主機采用相同的IP地址；2、簡單性：地址分配應簡單易于管理，降低網絡擴展的復雜性，簡化路由表的款項；3、連續性：連續地址在層次結構網絡中易于進行路由聚合（RouteSummarization），大大縮減路由表，提高路由算法的效率；4、可擴展性：地址分配在每一層次上都要留有余量，在網絡規模擴展時能保證地址疊合所需的連續性；5、靈活性：地址分配應具有靈活性，可借助可變長子網掩碼技術VLSM（Variable-LengthSubnetMask），以滿足多種路由策略的優化，充分利用地址空間。由于整個自動化系統網絡的信息節點較多、業務較多，可是這個網絡中的數據信息點較少。在項目設計中，我們不需要采用VLSM技術。最合理的IP地址應分配C類IP地址段，每個業務分配一個C類地址段，最大有254個主機地址，足夠滿足礦井綜合自動化子系統未來不斷擴大的網絡需求。按照對網絡總體規劃設計需求，依據簡單、易維護原則，結合礦井礦當前網絡環境及地理位置分布情況，我們提出如下IP分配方案，按照生產業務環節類型來劃分，實施時依據招標方具體需求來決定選用可行性方式。本方案中以各生產監控環節通訊數據業務類型劃分原則為例。網絡VLAN規劃VLAN作為一種網絡分段技術，可將廣播風暴限制在一個VLAN內部，避免影響其它網段。與傳統局域網相比，VLAN能夠更加有效地利用帶寬。在VLAN中，網絡被邏輯地分割成廣播域，由VLAN成員所發送的信息幀或數據包僅在VLAN內的成員之間傳送，而不是向網上的所有工作站發送。這樣可減少主干網的流量，提高網絡速度。采用VLAN提供的安全機制，能夠限制特定用戶的訪問，控制廣播組的大小和位置，甚至鎖定網絡成員的MAC地址，這樣，就限制了未經安全許可的用戶和網絡成員對網絡的使用。為了增加網絡安全性，為每種業務分配一個不同的VLAN，各個業務的數據只能在本業務VLAN中傳輸，隔離了全部的業務數據，防止業務數據間的相互干擾。由于礦井各生產系統信息點的地理位置分布比較零散，在網絡中或者一臺交換機上需連接多種應用系統類型的終端，根據部分應用系統相互之間隔離的要求，對于有安全要求的業務按應用系統類型劃分VLAN，其服務器、客戶端都劃分到相應的業務VLAN中，各節點之間的業務VLAN之間采用路由進行通訊，各業務VLAN之間采用三層交換機的路由功能進行隔離或者訪問控制。每一個VLAN就是一個廣播域，同時也是以太網中的數據沖突域，經常有因為某臺PC機有硬件或軟件問題或者是病毒爆發，而導致局部網絡或整個網絡的性能故障甚至是癱瘓。過多的廣播業務如果跨越多臺交換機，也會造成整個網絡的性能下降。經過將VLAN范圍限制在單臺接入交換機上，使故障域的范圍縮小。綜合自動化控