网络平台方案(煤矿环网).doc

第一章 综合自动化监控网络平台1.1 概述随着工业以太网技术的不断完善与发展，工业以太网在工业自动化领域得到了越来越广泛的应用与认可。许多控制器、PLC、智能仪表、DCS系统已经带有以太网接口，这些都标志着工业以太网已经成为真正开放互连的工业网络的发展方向。采用基于工业以太网的集成式全分布控制系统，具有高度的分散性、实时性、可靠性、开放性和互操作性的特点。综合自动化监控网络平台把各个自动化子系统有机地整合在一起，所有的监测监控管理操作都在一个平台中运行，提高了矿井综合自动化水平，实现了减员增效和矿井机电设备的安全运行，提高了煤矿的生产效率。根据矿井综合自动化系统建设的需求，矿井综合自动化平台的主干网络结构采用1000M环形工业以太网，传输介质为单模光纤，采用工业以太网交换机进行数据交换。通过工业以太网连接井上、井下各个子系统，把所有系统设备控制和监控信息传输到集中控制室，通过服务器的数据采集，使工程师完成各个子系统的组态，达到监测和控制的目的。矿井综合自动化监控网络系统的建设内容包括：（1）工业以太环网建设，连接各个子系统的PLC或上位机；（2）调度控制指挥中心的网络建设，部署工业以太网的核心交换机并连接设备控制层的工业以太环网和数据采集服务器，部署操作员站和工程师站；（3）网络安全建设，划分VLAN，使矿井的综合自动化控制网络系统稳定、可靠、安全运行；（4）网络管理建设，建设综合自动化控制网络系统的网络管理平台，对所有工控网络设备、进行集中管理，提高管理水平，降低管理成本。1.2 设计原则自动化监控网络平台是煤矿现代化生产控制和管理信息系统的基础设施，其可靠性和可扩展性对煤矿企业的安全生产至关重要，必须遵循以下设计原则： 可靠性煤矿行业的特点决定了整个系统必须具有很高的可靠性，保障生产活动的正常进行和井下工作人员的生命安全。因此在选型时必须考虑所选技术在冗余、出错处理和容错方面的能力，所选产品能够适应井下恶劣的工作环境和防爆要求。 先进性与实用性相结合既要保证系统设计的先进性，又要保证系统设计的实用性。所选设备必须是成熟可靠、性价比高的产品，同时使用符合发展趋势的、具有良好发展前景的、先进的技术和设备，延长系统的使用寿命，提高系统的实用性。 可扩展性随着新技术的出现以及企业的不断发展，会对现有的系统提出更高的通信带宽需求。网络通信系统作为整个生产管理系统的基础，应在系统容量、处理能力等方面具有可扩充性，可以方便地进行产品的升级换代。 开放性网络通信系统应具有开放性，符合相应的国际标准和协议。同时提供开放的互连接口，保证现有的系统和新系统能够协同运行，方便数据交换、信息共享。 可维护性井下环境恶劣，为设备的维护保养带来较大困难，本系统将提供有效的网络管理和系统监控、调试、诊断技术，保证系统维护管理简明、方便、有效。在设备发生故障时能够方便及时的发现故障、排除故障。 安全性系统的安全性包含了煤矿设备、网络及软件等多方面的内容。井下设备必须经过相关部门检测，取得合格证、防爆证、安标证；网络和软件必须配备完善的安全保密措施，以保证系统安全、稳定地运行，必要时可以牺牲一定的带宽或速度来保证安全性。对于一个工业系统来说，高安全性、高可靠性是设计的第一要素，任意时刻的系统故障都有可能给生产带来不可估量的损失，而且如何在开放的同时严格保证系统的安全性也是要充分考虑的，这些在追求统一、集成的今天显得尤为重要。 可管理性通过管理软件可以对IP与MAC地址捆绑、VLAN的划分，可以改变随意篡改IP地址的现象，同时可以侦测基于端口网络的异常流量。矿井综合自动化网络平台设计原则1.3 网络拓扑结构设计目前，采用以太网技术构建的大型控制系统大多为分布式控制系统。因此，多采用总线结构或星型结构设计，为了将矿井综合自动化控制网络系统设计的可靠性进一步提高，我们可以采用双星型、环型、双环形等组网技术。以下是几种典型的工业以太网结构的比较：（1）总线型组网拓扑结构在总线型组网拓扑结构下（可理解为星型结构），一个网络核心节点下联各个分节点，布线简单，管理方便，直接通过背板交换，交换速度快。主要在网络业务比较简单、可靠性要求不高的网络环境下组网，不适合于煤矿自动化网络多业务平台的需求。 工业总型组网结构（2）环型组网拓扑结构环形组网拓扑结构，属于分布式网络，各个网络节点串联成闭环结构，允许某一传输链路或网络节点出现一处断点。发生连路故障时，环网自动在一定时间内能切换到总线，属于简单而又实用的冗余组网方式，性价比高、可靠性较高。适合于煤矿多业务自动化网络平台，可以进一步提高网络的可靠性及安全性。 工业环型组网结构（3）双环型组网拓扑结构在双环形组网拓扑结构下，每个网络节点具有2套网络设备，各个节点串联成2套环网，冗余网络，允许交换机、两处光纤、网线（网卡）四种故障。是常用的高级工业冗余网络系统，主要用于电信核心级网络。在煤矿行业，同一井筒或巷道的双环型光缆敷设时，和单环网的可靠性一样，不适合煤矿的实际情况，且双环网布线复杂，如网络设备、网络光（电）缆、网卡均为双份，成本很非常高。 工业双环型组网结构根据以上三种组网结构的对比，设计矿井综合自动化内网中各骨干网络均采用单环网络的方式组网，保证整个自动化内网的可靠性及在突发情况下的生存能力。如果环网中某个交换设备或连接链路发生意外中断的情况，环网传输路径将选择反方向正常传输，传输路径倒换时间小于50ms，如图所示： 工业以太网单环网平台故障自愈根据矿井的实际生产现状，设计采用工业以太环网和环间耦合技术，地面各子系统、井下各子系统、集控中心网络设备分别组成1000M单环网络，地面环网、井下环网分别连接到集控中心的核心网络设备上，这样整体自动化工业以太环网就形成了以二台核心交换机（环网）、井下环网、地面环网组成的相互独立的环型网络，并且每个网络都是两条链路连接到核心环网设备上，防止单点故障的出现。整个系统由3个环网组成，其中井下及地面控制环网与控制中心环网之间构成千兆骨干网络，实现环网冗余的同时，又实现环网链路之间双链路耦合，网络现场设备层包括：工业电视监控系统、各自动化监测监控子系统的设备，形成了综合自动化控制内网的二级网络。在调度指挥控制中心布置两台支持三层动态路由功能的核心交换机。两台核心交换机启用VRRP协议实现冗余配置，为终端设备提供无缝隙的路由交换服务，两台交换机互为备份。在交换机正常时，两台交换机各自分担一部分数据流量；当其中一台交换机出现故障时,另一台交换机就会自动分担起所有数据流量,数据的传输不会受到任何的影响。这样，既达到了负载均衡，又实现了相互备份的目的。井下工业环网布置2台千兆防爆型工业以太网交换机，分别位于中央变电所和采区变电所；地面工业环网共配置2台千兆地面环网交换机，分别位于地面变电站和通风机房。其他地面监控以及辅助生产子系统就近接入地面环网交换机。调度指挥控制中心机房设备连接包括：数据采集服务器、实时/历史数据服务器、关系数据库服务器、WEB发布服务器、操作员站、工程师站、网络打印机、硬盘录像机等。多环网通信的冗余切换时间：由于采用了工业以太网顶级厂商的超级冗余环技术，使得多环网通信的故障切换时间得以保证，无论是骨干环网内部、二级环网内部还是多环之间的通信，故障切换时间均50ms。整体网络拓扑结构图如图所示：矿井自动化监控网络平台拓扑图1.4 网络设备选型1.4.1 工业级以太网交换机1）核心交换机核心环网交换机设置于集控中心机房，用于提供接入环网的上联，以及大量服务器及操作员站的接入，同时，核心网络通过安全措施与信息管理网络网互联。核心设备选用赫思曼MACH 4000系列全千兆工业以太网交换机。新一代的MACH 4000系列三层交换机专为满足骨干网络高速高负载传输音频、视频和控制数据的需要而设计，完全能够满足矿井煤矿所有自动化系统接入的需要及未来的业务扩展。设计核心环网采用2台赫思曼MACH 4000系列交换机中MACH 4002-24G-L3P全千兆交换机，MACH 4002-24G-L3P采用模块化设计，端口密度高，外观紧凑，在保持工业产品的高度灵活性和可靠性的同时提供了更为强大的处理能力。同时，L3P版的MACH 4000系列产品提供动态路由和多播路由，支持HIPER-Ring，Redundant Coupling等冗余机制、也满足GL认证及相关的抗冲击、抗振动标准。每台核心交换机技术参数： 4路SFP光纤100/1000M端口，20路10/100/1000M RJ45千兆电口； 软件版本为三层专业版； 配置双电源保护； 工作温度范围0度60度； 高集成设计，19寸机架安装； 安装、维护、维修简便； 符合相关工业标准； 高速环网冗余机制。技术特点： 故障自动恢复 网络故障时（如断线或交换机故障），网络重构时间小于50ms； 网络间冗余连接 任何拓扑结构的网段或环网都可通过两个交换机实现网络间的冗余连接； 快速网络故障定位和诊断 支持SNMP协议和基于WEB的管理，当网络发生故障后，可迅速发现故障，并实现故障的定位和诊断，为故障的快速排出提供了保障； 虚拟局域网技术 支持VLAN技术，通过将网络划分为几个虚拟的子网，有效地减轻网络负荷； 支持HIPER-Ring（超级冗余环）、Dual-Homing冗余连接； 采用无源背板，完全模块化的设计，基板、电源、风扇模块允许热插拔； 每块基板都是独立的交换引擎和独立的网管AGENT； 支持第三层交换和HIRRP快速路由切换； 基板配置灵活，能够安装多种传输速率的介质模块（包括10/100/1000Mbps的线速度）； 交换机还支持802.1Q，802.1D，802.1p，802.3x协议，支持端口聚集，端口镜像，多播（IGMP）、广播限制、VLAN、用户组管理以及全面的安全功能。2）地面环网节点交换机设计选用的MICE 4128-L2P模块化工业以太网交换机，保留了工业级设备高度的灵活性和可靠性，将大型以太网交换机各种功能融合在工业级的设计中，基于导轨方式安装并具有千兆以太网接口，提供了新的工业级冗余千兆骨干网络解决方案。MICE 4128-L2P设备配置： 高性能的模块化工业骨干路由交换机； 支持最多4个千兆端口； 支持最多28个FE端口，配置8个百兆以太网电口（可转换成RS-485接口）； 工作温度范围0度60度； 高集成设计，导轨安装； 安装、维护、维修简便； 符合相关工业标准； 高速环网冗余机制。技术特点： MICEModular Industrial Communication Equipment，即模块化工业通信设备，采用模块化结构，便于扩展、端口配置灵活； 采用导轨方式安装，无风扇散热方式，工作温度范围为060； 支持多种冗余机制，包括HIPER-Ring（超级冗余环），RSTP IEEE 802.1w（快速生成树），冗余环-环之间耦合，Dual Homing，双24VDC电源冗余，冗余状态信号输出，链路聚合（多达7个trunk，每个trunk允许8个端口，LACP）； 采用HIPER-Ring（超级冗余环）技术可以组建100Mbps/1000Mbps快速自愈环网，环上最多可串接50台交换机，并允许光纤和双绞线等多种介质，当发生链路断点时，环网可以在瞬间自愈，并在500毫秒内恢复正常工作； 管理方式包括串口、基于WEB的网管、SNMP V1/V2/V3和HiVision网络管理，采用HiVision或者HiOPC，可以将网络设备的状态信息以OPC方式传递到HMI/SCADA软件中，从而将网络监控与其他智能设备的监控集成一体； 支持基于端口的VLAN设置，多播（IGMP snooping/querier），IEEE 802.3x流控制，广播限制器，fast aging，SNTP协议（简单网络时间协议），PTP client（精确时间协议，IEEE 1588），TOS（type of service）diff.-serv，TOS-prio-mapping，protocoll based VLANs，traffic shaping，MSTP-802.1s等； 可提供L3功能的交换机版本，支持各类路由协议，包括静态路由，动态路由（RIP V1/2，OSPF），ACL，VRRP，多播路由等； 千兆模块支持端口级SFP光纤模块，可以方便地更换，1000Mbps以太网支持的传输距离达到120km。3）井下环网节点交换机井下环网交换机选用煤炭科学研究总院的KJJ83矿用隔爆兼本安网络交换机。该机型是煤科总院生产的新一代矿用工业环网交换机产品，交换设备选用赫斯曼公司MS4128-L2P模块化工业以太网交换机，可组建高性能的千兆以太网骨干网络、冗余环网。该机型采用隔爆兼本安设计，电源可直接引入，机体内装有后备电池，即使外部断电设备也能正常工作2小时以上。KJJ83交换机技术特点： KJJ83矿用隔爆兼本质安全型网络接口把光信号转换成以太网电信号和RS485总线电信号，提供3个具有冗余及可自愈功能的环网单模光纤SFP接口，4个百兆光口，8个10/100M自适应以太网接口，RS485总线接口，2路CAN总线接口，具有后备电池，工作时间不小于2小时； 光纤接口的发射光功率：-9dBm-6dBm、波长：1310nm；接收灵敏度：-25.4dBm-9.2dBm；通讯速率：100M/1000Mbps；最大传输距离：20千米； RJ45以太网接口采用交换的通讯方式，100M/1000Mbps自适应，最大传输距离100米； RS485总线接口采用异步、半双工的通讯方式，最大传输距离1.2千米； CAN总线接口通讯速率为5000bps，最大传输距离为5千米。主要技术指标： 防爆形式：矿用隔爆兼本质安全型，其标志为ExdibI； 供电电源：AC 127/380/660V，电压波动范围75%110%； 整机功率：50W； 光接口：3个以太网光接口，可以组成冗余光纤环网，具有自愈功能，恢复时间50ms，速率1000Mbps。采用单模光纤，波长1310nm，最大传输距离20km，多模最大传输距离2Km； 以太网接口：6个本安以太网接口，传输距离100m，速率10/100/1000Mbps自适应； RS485总线接口：4个本安RS485接口，速率4800bps，最大传输距离1.2Km； CAN总线接口：2个本安CAN总线接口，速率5000bps，最大传输距离5Km； 备用电源：网络接口内部备有电池，交流停电时，自动切换至电池供电，并保证工作时间不小于2小时； 外形尺寸：680mm（长）426mm（宽）284mm（高）； 重量：70kg。1.4.2 网络隔离安全网闸设计选用北京联想网御安全网络公司SIS-3000-GE11安全隔离网闸与企业信息化网络进行交换“隔离”。安全隔离网闸由内网主机系统、外网主机系统、隔离交换矩阵三部分组成。内/外网主机系统分别具有独立的运算和存储单元，并依托VSP（Versatile Security Platform）通用安全平台作为系统支撑；隔离交换矩阵由Lead ASIC高速交换硬件和时分多路隔离交换逻辑算法组成，其不受主机系统控制，并能独立完成应用数据的封包、摆渡、拆包。系统采用VSP高效协议处理和Lead sec多路固化数据通道技术，解决了安全控制和隔离交换性能低的业内难题。安全隔离网闸以VSP为基础，优化传统引擎，抽象数据模型、构造统一内容检查接口，有效地将Anti-Spam、内容过滤、反病毒等多类别安全引擎集成为统一的安全引擎，显著提升了安全产品的安全防御能力。基于标准化的接口设计，对内提供统一服务接口，使安全功能易于扩展，充分满足安全需求的快速发展；对外实现安全策略的统一配置，给用户带来可管理的等级化安全，实现面向业务的全面保障。USE以自定义的、开放的ACI（Application Checking Interface）应用检查接口为基础，支持内容检查模块的扩展，实现了对私有协议的应用内容的数据格式、完整性、关键字、内容安全的检查。基于MRP（Multi-Layers Redundant Protocol）多重冗余协议实现多重冗余方案，支持自身端口冗余、链路聚合、双机热备、232台安全隔离网闸负载均衡，保障了用户网络和应用的高可靠性。设备主要技术参数如下：技术参数详细描述机型千兆标准型，2U机箱，单电源（可扩展为热插拔冗余电源）网络接口内网标配：网络接口：1个10/100/1000Mbps管 理 口：1个10/100Mbps双机热备口：1个10/100Mbps外网标配：网络接口：1个10/100/1000Mbps管 理 口：1个10/100Mbps双机热备口：1个10/100Mbps交换/传输带宽内部交换带宽：2G，网络传输带宽：150M（单向）并发连接数20000每秒新建连接1300系统延迟时间 1msMTBF50000小时功能点功能描述产品架构系统结构采用 “2+1”架构，即两个主机系统和一个专用加速隔离交换矩阵，主机系统采用VSP通用安全平台， 隔离交换矩阵基于Leadsec ASIC专用安全芯片，自主研发的硬件，无操作系统，外界无法编程控制。功能模块具备文件交换、FTP访问、数据库传输、邮件传输和安全浏览功能，并根据TCP和UDP定制访问攻击防御入侵检测功能具有实时入侵检测与防御机制。攻击特征库规则1600条以上，可自定义检测规则和扫描攻击检测阈值抗DDoS攻击具有抗DoS、DDoS攻击功能，当拒绝服务攻击发生时能保障对正常应用请求的应答。关联安全应用内网/设备管理联动遵循CSC关联安全标准，实现与本次设计所选的内网安全管理系统联动，并可通过Leadsec安全管理系统实现集中安全管理适应性多网隔离能力外网主机系统上可连接多于2个相同安全级别的网络，内网主机系统上可连接多于1个相同安全级别的网络。IP/MAC地址绑定支持IP/MAC地址绑定，具有自动学习功能。可靠性双机热备支持MRP多重冗余协议，通过独立的HA端口实现双机热备。负载均衡支持2-32台设备负载均衡。日志审计日志管理日志实现按功能模块分组管理，支持WEBTrends格式。日志审计实现对日志的浏览、查询、导出、删除等操作。证书取得公安部计算机安全产品销售许可证、国家保密局涉密信息系统产品检测证书、解放军军用信息安全产品认证证书、国家信息安全认证等证书。1.5 网络可靠性设计可靠性是衡量网络系统的一个重要的性能指标，对于综合自动化工业控制网络来说，更需要一个高可靠性的网络系统。我们从以下几方面对我院设计的网络方案可靠性加以说明。（1）网络设备可靠性煤矿行业的特点决定了整个系统必须具有很高的可靠性和可用性，以此保障生产活动的正常进行和井下工作人员的安全。因此在选型时考虑所选技术的在冗余性，出错处理和容错方面的能力，所选的产品能够适应井下恶劣的工作环境和防爆要求。本方案设计从网络拓扑结构、网络交换机、服务器、电源设计等方面，着重体现系统的可靠性： 网络拓扑结构选用环网冗余技术； 选用国际知名品牌德国赫斯曼工业网络交换机，可靠、稳定； 在设计时引入低功耗的设计理念，因为高温本身会对芯片等电子元器件产生致命的影响，会极大的降低其芯片的使用寿命，尽量降低它的功耗，使交换机在工作时尽量减少热量的产生； 良好的电磁兼容性，交换机满足工业四级抗扰度的要求； 数据中心采用美国IBM公司服务器，可靠稳定； 为核心交换配置2套赫斯曼工业全千兆工业网络交换机； 为数据采集配置了2台生产数据采集服务器，冗余可靠； 配置数据中心安全存储系统、可靠稳定； 地面配置了在线式UPS电源，提供2路供电，提高系统供电可靠性； 井下的防爆交换机也采用了双电源供电，提高供电的可靠性。交换机供电可靠性设计（2）链路可靠性网络通信线路可靠性设计来保证整个网络系统的的传输可靠性。核心交换设备之间采用双链路实现热备冗余，环网交换设备采用千兆双链路光纤用于环节点的冗余连接，环网之间采用千兆双链路光纤用于环间耦合冗余连接，调度中心服务器及操作员站采用双链路连接网络交换设备。整个自动化系统网络平台，当其中某一段工作中的光纤线路被破坏或网络设备发生故障时，整个网络实现快速自愈，并保证在50ms内恢复正常的通讯。网络控制层光缆敷设时，使用多芯单模备份光纤，当其中两芯出现问题时，可以使用其他备份光纤传输。同时，不定期地派工作人员对通信线路进行安全性的检查，以保证各信息点访问的畅通。1.6 网络安全性设计网络安全是综合自动化网络方案的一个重要的设计内容。网络安全主要实现在网络TCP/IP及以下层次上，设计控制只有获得授权的用户与系统中允许他访问的节点，在指定的TCP或UDP端口上进行通信。构建一个安全的网络环境，就是针对非法入侵者采用的手段以及网络环境中存在的漏洞，并结合实际的网络环境，建立起一套安全的防范系统，补上系统中各个级别的漏洞，切断非法用户的入侵渠道。（1）网络不安全性因素分析随着网络、通信技术的发展，网络丰富的信息资源给用户带来了方便，同时也给网络带来了安全问题的隐患。计算机网络不仅要保护计算机网络设备安全和计算机网络系统安全，还要保护数据安全。矿井综合自动化系统网络平台中，调度数据中心各个数据服务器系统是关键系统，需要不间断为个生产环节及调度中心提供服务。即使发生短暂的业务中断，也会导致难以估量的经济和名誉损失。在网络系统中，经常可能会导致业务系统中断的主要原因有一下几类： 系统硬件故障如数据/系统磁盘的损坏将导致数据不能访问，并进而可能导致应用进程终止或系统停机，甚至系统不能重启动；网卡的损坏可使终端用户无法访问系统服务；CPU或内存的失效则会导致系统的死机； 应用程序或操作系统出错由于操作系统或应用程序中可能存在不完善的地方，当碰到某种激发事件时，应用程序非正常终止或系统崩溃（只能通过改善程序或系统来解决）； 人为错误一些人工的误操作，如删除系统或应用文件，终止系统或应用服务进程，也会导致系统服务的无法访问； 电脑病毒/骇客入侵由于目前的大多数计算机系统均连接在网络上，若缺少有效的防范机制，很容易遭受病毒的感染或骇客的入侵，轻者数据被损坏，重者系统瘫痪（只能通过加强管理杜绝）； 自然灾害由于一些意外的不可抗拒的因素，如雷击、火灾、洪灾等导致的计算机系统破坏，将会使一般系统的恢复非常困难和耗时，导致业务系统长时间的中断（通过容灾系统来解决）； 正常的停机主要指计划内的系统升级、安装软件、系统备份等过程。由上可见，影响系统正常运行的因素有很多，因为在系统中断时能够在最短的时间内恢复数据是最重要的，所以需要采用一套离线存储系统对数据库中的数据进行储存备份保护。通过以上分析，结合矿井的实际情况，设计一系列软硬件安全措施，部署网络安全系统，保证整个自动化网络平台及所有子系统接入数据传输的安全性，保证综合自动化内部网络与企业办公网络平台的安全隔离。为确保全矿井综合自动化内部网络平台的安全性，采用了以下网络安全措施来构建网络安全体系，包括设备安全、网络安全、数据安全、数据存储、灾难备份与恢复、与企业信息管理网络安全联网安全等内容。（2）设备安全性在综合自动化网络系统与企业信息化网络系统之间使用的SIS-3000-GE11安全隔离网闸设备是联想网御公司专门针对国家安全企业网络间网络安全设计的解决方案，具有基于DMZ的IDS入侵监测功能，通过安全设置，可防御网络和应用层攻击、拒绝服务（DoS）攻击，提供了先进、高性能的保护。该安全自适应设备除具备防止常规防攻击外、通过扩展安全模块，具备文件交换、FTP访问、数据库传输、邮件传输和安全浏览功能，并根据TCP和UDP定制访问功能。 系统架构：采用“2+1”系统架构，即由两个主机系统和一个隔离交换矩阵组成，主机系统采用VSP通用安全平台，隔离交换矩阵基于LeadASIC专用芯片实现主机系统间采用自有协议摆渡数据，确保信任网络和非信任网络之间任何连接的断开，彻底阻断TCP/IP协议及其他网络协议； 隔离交换矩阵：自主研发的硬件，无操作系统，外界无法编程控制，而不是采用低安全性的通用可编程硬件，如网线、SCSI、USB等； 文件交换：实现文件的安全交换，支持NFS、SMBFS等文件系统和多种细粒度检测控制功能，支持改名传输方式，可实现对源文件改名，标明传输状态支持增量传输方式，可实现只传输修改和增加了的源文件支持传输后删除方式，可实现传输结束后删除源文件； FTP访问：实现安全的FTP访问，支持对用户、命令、文件类型等细粒度访问控制支持动态建立数据通道，并可对访问端口号自由定义； 数据库传输：实现对多种主流数据库系统的安全访问和同步，支持TNS协议，支持对访问数据库的用户进行控制； 邮件传输：实现用户安全访问邮件服务器，访问过滤选项涵盖邮件地址、主题、正文内容、附件等； 安全浏览：实现内网用户安全浏览外网资源，支持本地、Radius、LDAP等认证方式，提供对URL、ActiveX、Cookie、JavaApplet等的过滤功能； 定制访问：实现特定TCP、UDP协议的数据隔离交换，可合作定制开发针对特定协议的安全检测，实现如黑白名单控制、关键字过滤等； 专业检测引擎：主机系统内置USE统一安全引擎入侵检测功能：具有实时入侵检测机制，可设置阻断规则，实时阻断入侵攻击特征库规则1600条以上，并可自定义检测规则和扫描攻击检测阈值；抗DDoS攻击：具有抗DoS、DDoS攻击功能，当拒绝服务攻击发生时能保障对正常应用请求的应答；内网管理联动：遵循CSC关联安全标准，实现与内网安全管理系统联动；设备管理联动：遵循CSC关联安全标准，通过Leadsec安全管理系统实现集中安全管理； 灵活多样的管理方式：支持HTTPS的WEB方式管理，实现了远程管理信息加密传输，支持命令行方式管理，可通过命令行完成全部管理配置工作； 高效的集中管理：支持通过Leadsec安全管理系统实现全局拓扑生成、集中日志审计、集中设备监控等安全管理； 高安全的管理形式：内/外网主机系统分别具有独立管理接口，管理员分级管理，而不是采用低安全的管理方式，如通过网络接口管理、通过内网一个管理接口完成全部管理等； 多网隔离能力：外网主机系统可连接4个相同安全级别的网络，内网主机系统可连接2个相同安全级别的网络接入方式，支持相同网络地址的网络间部署，网络部署适应性强支持IP/MAC地址绑定，具有自动学习功能，支持自由定制时间策略，支持域名访问控制策略； 支持MRP多重冗余协议，保障设备的高可靠性，通过独立的热备端口实现双机热备，支持232台设备实现负载均衡，无需第三方软硬件支持，支持设备自身物理端口冗余功能，物理端口支持802.3ad标准，实现链路聚合功能； 日志实现按功能模块分组管理，支持WEBTrends格式，实现对日志的浏览、查询、导出、删除等操作。设计在综合自动化控制网络系统工业交换设备、数据中心设备上设定用户和口令，控制非特权方式和特权方式的访问权，并且通过设定口令的加密钥和网络设备的单向加密机制，使用权口令在配置中以加密方式出现，保证口令的安全性。设定设备访问空间时限，如果管理员在设定的一段时间内（如5秒）不使用，安全设备将自动终止访问连接。保证所有综合自动化控制网络系统网络设备的物理安全性，防止无关人员接触网络设备。在综合自动化控制网络系统数据中心服务器、各子系统上位机、后台机、操作员站设备BIOS安全设置，杜绝设备“病由口入”，设置BIOS安全密码，禁用所有上位机及调度中心操作站USB、COM等数据接口（除鼠标、键盘、显示接口外）。设置系统管理人员及技术操作人员、网络管理人员的网络设备访问权限、管理密码。提高管理人员及技术操作人员、网络管理人员的整体网络安全意识。通过这些措施，本系统网络设备可以实现其安全、正常运行，完成这些网络设备应该完成的功能，为其它的安全措施提供一个安全基础。（3）网络安全性除了Telnet服务外，在设备上取消全部IP服务器功能，包括Rlogin、Rsh、HTTP服务器等。限制所有来自企业内部网络及Internet的用户对设备本身的访问（包括PING、Telnet、Discard、Echo、SNMP等）；限制内部网络上，只有网管工作站可以使用SNMP访问。在综合自动化控制网络系统内部设计采用常规的网络安全手段VLAN划分（划分数量支持大于256个），在设备上配置访问控制表，限制内部网络上只有维护工作站和网管工作站可以登录网络设备；在综合自动化控制网络系统与企业信息化网络系统之间，设计采用网络“物理”隔离网闸自适应隔离，防止不可预测的具有潜在破坏性的侵入，外网用户访问由自适应进行控制，只有经过身份认证的用户才可以访问自动化网络。在综合自动化控制网络系统内部数据中心采用系统漏洞扫描系统定期对网络进行安全分析发现并修正存在的漏洞。（4）数据流准入控制设计中采用联想网御物理“隔离”网闸，具有高度防止常规、抗DDoS攻击、入侵检测功能内网/设备管理联动、IP/MAC地址绑定及针对网络安全的专用数据流控制功能。网络物理“隔离”网闸设备将自动化内部网络和外部网络安全隔离开来，在设备端口上设定数据流过滤，防止网络内部的IP地址欺骗及攻击性数据流。MOXA工业以太网交换设备本身支持虚拟局域网技术（VLAN），质量服务（Qos），多播过滤功能（IGMP），具备基于端口的流量控制功能。综合自动化控制网络平台设备严格控制Ping、Telnet、Discard、Echo、Snmp、Rsh、Rlogin、Rcp、TraceRT等数据流通过网络设备，原则上只允许本系统应用需要的应用数据流才能通过网络设备。通过按业务和网络结构划分虚拟网络，将不同的业务分别放在不同的虚拟网内，隔离开来。虚拟之间，可以通过路由器的访问控制表来控制对某个特定网络和主机的访问。通过防火墙设置不同访问权限，限制非法授权用户访问自动化网络。使内部管理信息网络的办公用户依据不同权限访问自动化系统。保障系统的安全访问。在工业以太网内部部署的WEB服务器提供对企业网的访问功能，对于WEB访问数据库的数据时采用只读授权模式，保证了WEB服务器对于数据库只有查看浏览的权力，没有修改和添加的权力，并且数据库对WEB服务器只提供只读数据端口，对于其他的系统操作不予授权。工业网络安全授权策略访问示意图通过数据流的控制，使数据流沿着系统功能预定的方式流动，极大地限制非法数据的流动，相关业务部室只能通过WEB服务器有权限的分级浏览自动化内网数据信息，从而非常有效地提高系统的安全性。（5）网络防/杀毒安全病毒的入口点非常多，在一个具有多个网络入口的连接点的企业网络环境中，病毒可以由软盘、光盘、U盘等传统介质进入，也可能由企业信息网等进入，还有可能从外部网络中通过文件传输等方式进入。所以不仅要注重单机的防毒，更要重要网络的整体防毒措施。任何一点没有部署防病毒系统，对整个网络都是一个安全的威胁。所以，一个好的防病毒系统应该能够覆盖到每一种需要的平台。设计在调度中心部署卡巴斯基防/杀毒系统企业版防病毒系统，在所有重要服务器、工控机及操作终端安装杀毒软件，通过煤矿企业信息管理网络杀毒服务器既是更新病毒库及杀毒引擎，保证自动化内部网络安全、稳定的运行。整个综合自动化控制网络系统比较多，各系统的现场接入层设备种类比较多样，作为工业控制网络，本身安全系数比较高，接入的网络各系统的设备要有严格的要求，比如工控机，除鼠标键盘外，其他的硬件的外接设备，比如USB接口等数据通讯的接口全部禁用，以防止网络感染病毒等。此外在网络环境中，一个功能强大，能够对整个单位网络中防病毒软件进行管理的集中控制台对于一个管理规范的企业来讲是必不可少的组成部分。借助这个控制台，管理员就可以轻松地完成病毒软件和最新病毒代码的自动分发、自动升级、集中配置和管理、统一事件和告警处理这些简单而又繁琐的工作，更可以保证整个单位范围内病毒防护体系的一致性和完整性。矿井综合自动化控制网络平台，我们选择国际著名的安全产品厂商卡巴斯基的防杀/病毒解决方案设计。该产品是卡巴斯基实验室继卡巴斯基6.0企业版后推出的最新企业版杀毒软件。卡巴斯基开放空间安全解决方案是为各种不同规模的企业而设计的保护方案，为客户提供全方位的保护，包括防御病毒，黑客，间谍软件和垃圾邮件等恶意程序的攻击。同时，该方案还为移动使用的设备提供全面安全保护。无论在是在办公室，家中或旅行途中，该技术均可以随时随地保护笔记本电脑安全，让其免受病毒困扰。另一方面，它的移动安全保护技术还可以为外部返回的计算机和访客计算机提供保护。整套软件分为三部分：卡巴斯基反病毒7.0工作站版、卡巴斯基反病毒7.0文件服务器版、卡巴斯基管理工具7.0。卡巴斯基管理工具7.0是一个动态的、操作灵活的管理工具，它可以集中管理企业网络中所使用的卡巴斯基实验室出品的产品程序。它的作用是管理网络中所有工作站端和文件服务器端的反病毒程序的任务、策略、日志等。安装过程非常简单，不过要保证计算机上已经安装SQL Server 2000 + SQL Server 2000 SP3或MSDE 2000 + MSDE 2000 SP3，其它一路按提示安装即可。卡巴斯基反病毒7.0工作站版是为企业网络中的所有工作站提供集中的保护，同时将保护从本地网络延伸至远程网络和笔记本计算机用户。该解决方案针对当前所有类型的网络攻击(包括病毒、间谍软件、黑客攻击和垃圾邮件)都提供了完全的保护。卡巴斯基反病毒7.0文件服务器版是为Windows文件服务器(包括最新的64位操作系统)上的数据提供有效的文件保护。该解决方案可以保证高可靠性并且适合于负载较大的服务器。卡巴斯基网络版7.0整个防病毒体系结构清晰，共由管理工具、服务器端、工作站端组成。管理工具是信息管理和病毒防护的自动控制核心，它可以实时记录防护体系内每台计算机上的病毒监控、检测和清除信息。管理工具的界面是标准的两分栏结构，左边功能列表，右边具体功能。网络管理员在管理工具使用全网同步杀毒、远程操作，全网远程报警等功能，感觉操作很方便。所有客户机安全一手掌控。可以同时操作多个客户机，客户机的状态会反应在表格中。通过管理工具对客户端进行设置后，客户机用户根本不必再进行设置。简单明了的安全状态界面，让用户方便的进行各种安全操作。客户端无需用户干预，管理员远程即可完成全部的操作，完全自动化。客户端的界面提供了文件保护、邮件保护、WEB 反病毒保护、主动防御、反间谍保护、反黑客和发垃圾邮件几个组件，为工作站和文件服务器提供了实时全面的保护。并且卡巴斯基反病毒7.0能够自动检查更新源，将其下载并安装到计算机中。卡巴斯基工作站主界面杀毒软件的好坏最重要的一点就是对于病毒的查杀能力，卡巴斯基对于文件的扫描设置非常详细，关键区域中囊括了系统内存、启动对象、引导扇区等重点扫描区域。统计区域包含任务执行的详细信息，已检测的到危险对象数、没有处理的对象数和任务运行的时间。是为企业网络提供信息安全保障的组合解决方案，可使企业内的工作站、文件服务器免受各种网络威胁，包括：病毒、黑客攻击、垃圾邮件及间谍软件确保系统高效运行。既然是网络版杀毒，卡巴斯基在这款软件的集中控制方面做得还是可圈可点，在管理工具上，管理员可以通过控制平台实时监控每一个用户的杀毒软件版本及是否打开了实时监控等情况，并可以强制执行扫描任务。通过卡巴斯基开放空间安全解决方案的全面保护，可以为所有网络节点和平台提供安全防护，防御所有类型的网络威胁并且快速做出响应，满足对企业网络进行综合保护的核心要求;另外，卡巴斯基开放空间安全解决方案在Anti-rootkit技术、保护个人信息不被盗窃、修复恶意软件所作的非法篡改、反恶意攻击的自我防护技术等方面均有卓越表现。此外，在服务器系统安全配置方面，服务器关闭不需要的服务；为需要的服务打补丁，系统安全化设置、记录关键事件。同时，建立整套安全策略，提供全体员工的安全防范意思，保护好每台接入网络中的设备，才能实现高速稳定安全的信息化网络系统。1.7 网络实时性设计选用赫斯曼工业以太网交换机具备以下几点功能，确保网络的实时性： 采用交换式数据传输方式，没有数据碰撞，数据传输实时性有保证； 网络设备端口延时低，典型值小于32微秒，能满足实时性应用的要求； 设置优先级队列Qos，遵循IEEE 802.1D/p标准，保证了系统的实时性； 支持工业网络必须的时钟同步SNTP（简单网络时钟协议）功能，全网时钟统一，实时性高； 当其中某一段工作中的光纤线路被破坏或网络设备发生故障时，整个网络实现快速自愈，并保证在50ms 内恢复正常的通讯。1.8 网络开放性设计设计自动化网络以标准的TCP/IP协议建设，网络通信协议、网络接口、软件符合现有相应的国际标准和协议，全球通用；同时提供开放及扩展的网络接口和数据接口，保证现有的各类产品以及未来出现的新产品能够协同运行，方便数据交换、信息共享。设计建设的网络平台符合国际公认的网络标准IEC61158，具有完全开放的，具备成熟的第三方连接能力。1.9 网络可管理性设计矿井综合自动化控制网络平台，属于地面、井下分布式网络系统，各接入子系统分站之间的距离较远，在选择冗余网络方案的同时，采用网络管理软件对整个综合自动化网络的通讯和设备进行监控和管理是非常必要的。通过对网络的全面监视，能够实现综合的负载和故障分析，也能发现网络中可能存在的隐患并及时采取措施，监视结果还可以利用E-Mail，SMS或参考视窗来显示或传送。综合自动化控制网络管理软件界面图本设计选用Hirschmann公司HiVision网络管理软件。HiVision网络管理软件，采用图形交互式用户界面以及设备图案化方式使工作更直接、更容易理解，还完善的帮助功能和集成的提示功能提示、在线使用手册、在线帮助、在线指南和自动配置校验。HiVision可以对各种故障报警、历史故障查询，查看每个交换机的端口状态、通讯流量、交换机设置、系统的安全维护等，具有良好的易操作性。HiVision网络管理软件界面图 自动发现综合自动化控制网络系统所有ICMP和SNMP的设备，支持SNMP、RMON网络管理功能，自动识别所有的Hirschmann网络产品，显示IP地址与MAC地址之间的关系等； 通过标准MIB集成OEM设备； 方便查询综合自动化控制网络系统Hirschmann网络设备的状态，并具有故障自陷（Trap）处理功能，可对于整个网络或单一设备的故障自陷历史进行精确跟踪； 用高品质的图像真实地表示所监控的设备； 具有对标准RMON 1-3 & 9参数（统计、历史、报警和事件）的图形化显示； 多设备配置功能，能够对多台设备同时进行软件升级等操作； 多端口管理功能，可同时对不同设备的端口进行操作； 多端口分析器提供对不同设备的多个端口同时进行全面的负载和故障分析功能； VLAN管理器功能； 集成SNMP MIB浏览器； 可将各类列表以ASCII文件形式导出； 监视结果可以利用E-Mail，SMS或参考视窗来显示或传送； 完善的帮助功能和集成的提示功能提示、在线使用手册、在线帮助、在线指南和自动配置校验； 集成了OPC2.0支持，可按OPC服务器的方式将Hivision监控的所有代理（交换机）的状态信息和TRAP报警直接传到HMI/SCADA软件中去。1.10 IP地址与路由设计1.10.1 网络IP地址规划IP地址的合理规划是整个自动化系统平台设计中的重要一环，IP地址的合理分配，要与网络拓扑层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时要满足路由协议的要求，提高路由算法的效率，加快路由变化的收敛速度，同时还要考虑到网络地址的可管理性。对矿井综合自动化系统平台IP地址规划时，遵循以下几个原则：1、唯一性：一个IP网络中不能有两个主机采用相同的IP地址；2、简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项；3、连续性：连续地址在层次结构网络中易于进行路由聚合（Route Summarization），大大缩减路由表，提高路由算法的效率；4、可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性；5、灵活性：地址分配应具有灵活性，可借助可变长子网掩码技术VLSM（Variable-Length Subnet Mask），以满足多种路由策略的优化，充分利用地址空间。由于整个自动化系统网络的信息节点较多、业务较多，但是这个网络中的数据信息点较少。在项目设计中，我们不需要采用VLSM技术。最合理的IP地址应分配C类IP地址段，每个业务分配一个C类地址段，最大有254个主机地址，足够满足矿井综合自动化子系统未来不断扩大的网络需求。按照对网络总体规划设计需求，依据简单、易维护原则，结合矿井矿目前网络环境及地理位置分布情况，我们提出如下IP分配方案，按照生产业务环节类型来划分，实施时依据招标方具体需求来决定选用可行性方式。本方案中以各生产监控环节通讯数据业务类型划分原则为例。1.10.2 网络VLAN规划VLAN作为一种网络分段技术，可将广播风暴限制在一个VLAN内部，避免影响其他网段。与传统局域网相比，VLAN能够更加有效地利用带宽。在VLAN中，网络被逻辑地分割成广播域，由VLAN成员所发送的信息帧或数据包仅在VLAN内的成员之间传送，而不是向网上的所有工作站发送。这样可减少主干网的流量，提高网络速度。采用VLAN提供的安全机制，可以限制特定用户的访问，控制广播组的大小和位置，甚至锁定网络成员的MAC地址，这样，就限制了未经安全许可的用户和网络成员对网络的使用。为了增加网络安全性，为每种业务分配一个不同的VLAN，各个业务的数据只能在本业务VLAN中传输，隔离了全部的业务数据，防止业务数据间的相互干扰。由于矿井各生产系统信息点的地理位置分布比较零散，在网络中或者一台交换机上需连接多种应用系统类型的终端，根据部分应用系统相互之间隔离的要求，对于有安全要求的业务按应用系统类型划分VLAN，其服务器、客户端都划分到相应的业务VLAN中，各节点之间的业务VLAN之间采用路由进行通讯，各业务VLAN之间采用三层交换机的路由功能进行隔离或者访问控制。每一个VLAN就是一个广播域，同时也是以太网中的数据冲突域，经常有因为某台PC机有硬件或软件问题或者是病毒爆发，而导致局部网络或整个网络的性能故障甚至是瘫痪。过多的广播业务如果跨越多台交换机，也会造成整个网络的性能下降。通过将VLAN范围限制在单台接入交换机上，使故障域的范围缩小。综合自动化控制网络支持以下VLANS划分方式： 基于端口的VLAN 基于MAC地址的VLAN 用户组管理 安全性通过对综合自动化控制网络实施VLANS配置，可实现： 将端口分组，也就是将连接到端口的工作站分组。 同组的工作站能够进行通讯，不同组的工作站之间不能够相互通讯。不同自动化子系统VLANS组隔离/互访示意图1.11 设备部署及光缆敷设（1）系统设备部署 采用环网组网设计，单环链路断点保护，50ms可靠性倒换保护，实现设备单点故障切换，环与环之间双链路连接，实现环环冗余耦合； 结合矿井自动化业务的接入及现场地理位置，优化交换机的部署位置； 调度控制指挥中心核心环网部署2台MACH4002-24G-L3P交换机，实现数据热备与负载均衡，实现冗余连接自动化各子系统服务器、操作员站、控制主机及环网上联链路；满足系统后期扩展需求； 地面环网交换机部署2套赫斯曼MS4128-L2P网管型工业以太网交换机，设计布置在地面变电站和通风机房，形成地面千兆工业控制环网，满足地面综合自动化各子系统就近接入需求，满足各子系统后期扩展需求； 井下环网交换机部署2套隔爆KJJ83型工业以太网交换机，设计布置在中央变电所和采区变电所，满足井下千兆综合自动化各子系统接入设计，满足各子系统后期扩展需求。（2）工业环网光缆敷设 光缆要求 光缆敷设全局考虑，统一部署，充分考虑矿井综合自动化网络系统各子系统接入设计，满足系统后期扩展需求；光缆均采用单模，解决今后扩展问题，均符合标准，使用寿命25年； 网络平台地面主干光纤选用24芯屏蔽、防水单膜光纤； 井下环网主干光纤选用24芯阻燃铠装光纤（MA认证）； 地面工业环网光纤敷设地面环网主要覆盖以下生产过程自动化区域：主平硐带式输送机、通风机房通风设备、压风机房、35kV变电所、污水处理站、井下水处理站、地面生产系统、锅炉房、工业电视系统、地面各10 kV变电所等。以上综合自动化监测监控子系统通讯分站、PLC、后台机或者其他接入设备通过百兆电口（或转换成RS-485接口）接入工业网络平台，并上传数据，工业环网同时给工业电视视频业务留有网络接口，相关子系统在符合煤矿安全规程的情况下，可以轻松实现接入地面工业级冗余千兆骨干网络。光缆的敷设以调度中心控制室为起点，经过地面各生产过程监控子系统。环网节点附近的各监测、监控通讯分站、PLC等就近接入到环网交换机上，连接方式根据可靠性、灵活性、实用性原则组建，敷设光缆依据地面业务需求及未来扩展性选用24芯及6芯单模光缆。 井下工业环网光缆敷设根据矿井自动化接入子系统及井下巷道布置图，经过对自动化控制网络井下部分优化设计，井下工业以太网环网部署2台工业以太网交换机。覆盖井下主变电所、胶带机头配电硐室、井下大巷胶带机、综采工作面、综采工作面顺槽胶带机、井下工业电视系统等，上述子系统通讯分站、PLC可以通过百兆电口接入工业网络平台，并上传数据，相关子系统在符合煤矿安全规程的情况下，可以轻松实现接入井下工业级冗余千兆骨干网络。井下工业以太网连接节连接方式根据可靠性、灵活性、实用性原则组建，敷设光缆根据井下环境需求和扩展性选用矿用阻燃24芯及6芯单模光缆。 实施步骤 光纤施工布线图的绘制 地面光缆的敷设、入户保护 井下光缆敷设、上挂钩 光缆终端盒、ODF安装 地面光缆光纤的接续与熔接 井下光缆光纤的接续与熔接 光纤的测试 光纤跳线的安装 网络设备安装1.12 设备清单序号设备名称规格型号性能指标单位数量生产厂家1工业以太网核心交换机MACH4002-24G-L3P每台配置4个千兆单模光接口，20个