礦井綜合信息化及自動化網(wǎng)絡技術方案

1、第一章 綜合自動化監(jiān)控網(wǎng)絡平臺1.1 概述隨著工業(yè)以太網(wǎng)技術的不斷完善與發(fā)展，工業(yè)以太網(wǎng)在工業(yè)自動化領域得到了越來越廣泛的應用與認可。許多控制器、plc、智能儀表、dcs系統(tǒng)已經(jīng)帶有以太網(wǎng)接口，這些都標志著工業(yè)以太網(wǎng)已經(jīng)成為真正開放互連的工業(yè)網(wǎng)絡的發(fā)展方向。采用基于工業(yè)以太網(wǎng)的集成式全分布控制系統(tǒng)，具有高度的分散性、實時性、可靠性、開放性和互操作性的特點。綜合自動化監(jiān)控網(wǎng)絡平臺把各個自動化子系統(tǒng)有機地整合在一起，所有的監(jiān)測監(jiān)控管理操作都在一個平臺中運行，提高了礦井綜合自動化水平，實現(xiàn)了減員增效和礦井機電設備的安全運行，提高了煤礦的生產(chǎn)效率。根據(jù)礦井綜合自動化系統(tǒng)建設的需求，礦井綜合自動化平臺的

2、主干網(wǎng)絡結構采用1000m環(huán)形工業(yè)以太網(wǎng)，傳輸介質為單模光纖，采用工業(yè)以太網(wǎng)交換機進行數(shù)據(jù)交換。通過工業(yè)以太網(wǎng)連接井上、井下各個子系統(tǒng)，把所有系統(tǒng)設備控制和監(jiān)控信息傳輸?shù)郊锌刂剖?，通過服務器的數(shù)據(jù)采集，使工程師完成各個子系統(tǒng)的組態(tài)，達到監(jiān)測和控制的目的。礦井綜合自動化監(jiān)控網(wǎng)絡系統(tǒng)的建設內容包括：（1）工業(yè)以太環(huán)網(wǎng)建設，連接各個子系統(tǒng)的plc或上位機；（2）調度控制指揮中心的網(wǎng)絡建設，部署工業(yè)以太網(wǎng)的核心交換機并連接設備控制層的工業(yè)以太環(huán)網(wǎng)和數(shù)據(jù)采集服務器，部署操作員站和工程師站；（3）網(wǎng)絡安全建設，劃分vlan，使礦井的綜合自動化控制網(wǎng)絡系統(tǒng)穩(wěn)定、可靠、安全運行；（4）網(wǎng)絡管理建設，建設綜合

3、自動化控制網(wǎng)絡系統(tǒng)的網(wǎng)絡管理平臺，對所有工控網(wǎng)絡設備、進行集中管理，提高管理水平，降低管理成本。1.2 設計原則自動化監(jiān)控網(wǎng)絡平臺是煤礦現(xiàn)代化生產(chǎn)控制和管理信息系統(tǒng)的基礎設施，其可靠性和可擴展性對煤礦企業(yè)的安全生產(chǎn)至關重要，必須遵循以下設計原則： 可靠性煤礦行業(yè)的特點決定了整個系統(tǒng)必須具有很高的可靠性，保障生產(chǎn)活動的正常進行和井下工作人員的生命安全。因此在選型時必須考慮所選技術在冗余、出錯處理和容錯方面的能力，所選產(chǎn)品能夠適應井下惡劣的工作環(huán)境和防爆要求。 先進性與實用性相結合既要保證系統(tǒng)設計的先進性，又要保證系統(tǒng)設計的實用性。所選設備必須是成熟可靠、性價比高的產(chǎn)品，同時使用符合發(fā)展趨勢的、具

4、有良好發(fā)展前景的、先進的技術和設備，延長系統(tǒng)的使用壽命，提高系統(tǒng)的實用性。 可擴展性隨著新技術的出現(xiàn)以及企業(yè)的不斷發(fā)展，會對現(xiàn)有的系統(tǒng)提出更高的通信帶寬需求。網(wǎng)絡通信系統(tǒng)作為整個生產(chǎn)管理系統(tǒng)的基礎，應在系統(tǒng)容量、處理能力等方面具有可擴充性，可以方便地進行產(chǎn)品的升級換代。 開放性網(wǎng)絡通信系統(tǒng)應具有開放性，符合相應的國際標準和協(xié)議。同時提供開放的互連接口，保證現(xiàn)有的系統(tǒng)和新系統(tǒng)能夠協(xié)同運行，方便數(shù)據(jù)交換、信息共享。 可維護性井下環(huán)境惡劣，為設備的維護保養(yǎng)帶來較大困難，本系統(tǒng)將提供有效的網(wǎng)絡管理和系統(tǒng)監(jiān)控、調試、診斷技術，保證系統(tǒng)維護管理簡明、方便、有效。在設備發(fā)生故障時能夠方便及時的發(fā)現(xiàn)故障、排除

5、故障。 安全性系統(tǒng)的安全性包含了煤礦設備、網(wǎng)絡及軟件等多方面的內容。井下設備必須經(jīng)過相關部門檢測，取得合格證、防爆證、安標證；網(wǎng)絡和軟件必須配備完善的安全保密措施，以保證系統(tǒng)安全、穩(wěn)定地運行，必要時可以犧牲一定的帶寬或速度來保證安全性。對于一個工業(yè)系統(tǒng)來說，高安全性、高可靠性是設計的第一要素，任意時刻的系統(tǒng)故障都有可能給生產(chǎn)帶來不可估量的損失，而且如何在開放的同時嚴格保證系統(tǒng)的安全性也是要充分考慮的，這些在追求統(tǒng)一、集成的今天顯得尤為重要。 可管理性通過管理軟件可以對ip與mac地址捆綁、vlan的劃分，可以改變隨意篡改ip地址的現(xiàn)象，同時可以偵測基于端口網(wǎng)絡的異常流量。礦井綜合自動化網(wǎng)絡平臺

6、設計原則1.3 網(wǎng)絡拓撲結構設計目前，采用以太網(wǎng)技術構建的大型控制系統(tǒng)大多為分布式控制系統(tǒng)。因此，多采用總線結構或星型結構設計，為了將礦井綜合自動化控制網(wǎng)絡系統(tǒng)設計的可靠性進一步提高，我們可以采用雙星型、環(huán)型、雙環(huán)形等組網(wǎng)技術。以下是幾種典型的工業(yè)以太網(wǎng)結構的比較：（1）總線型組網(wǎng)拓撲結構在總線型組網(wǎng)拓撲結構下（可理解為星型結構），一個網(wǎng)絡核心節(jié)點下聯(lián)各個分節(jié)點，布線簡單，管理方便，直接通過背板交換，交換速度快。主要在網(wǎng)絡業(yè)務比較簡單、可靠性要求不高的網(wǎng)絡環(huán)境下組網(wǎng)，不適合于煤礦自動化網(wǎng)絡多業(yè)務平臺的需求。 工業(yè)總型組網(wǎng)結構（2）環(huán)型組網(wǎng)拓撲結構環(huán)形組網(wǎng)拓撲結構，屬于分布式網(wǎng)絡，各個網(wǎng)絡節(jié)點串

7、聯(lián)成閉環(huán)結構，允許某一傳輸鏈路或網(wǎng)絡節(jié)點出現(xiàn)一處斷點。發(fā)生連路故障時，環(huán)網(wǎng)自動在一定時間內能切換到總線，屬于簡單而又實用的冗余組網(wǎng)方式，性價比高、可靠性較高。適合于煤礦多業(yè)務自動化網(wǎng)絡平臺，可以進一步提高網(wǎng)絡的可靠性及安全性。 工業(yè)環(huán)型組網(wǎng)結構（3）雙環(huán)型組網(wǎng)拓撲結構在雙環(huán)形組網(wǎng)拓撲結構下，每個網(wǎng)絡節(jié)點具有2套網(wǎng)絡設備，各個節(jié)點串聯(lián)成2套環(huán)網(wǎng)，冗余網(wǎng)絡，允許交換機、兩處光纖、網(wǎng)線（網(wǎng)卡）四種故障。是常用的高級工業(yè)冗余網(wǎng)絡系統(tǒng)，主要用于電信核心級網(wǎng)絡。在煤礦行業(yè)，同一井筒或巷道的雙環(huán)型光纜敷設時，和單環(huán)網(wǎng)的可靠性一樣，不適合煤礦的實際情況，且雙環(huán)網(wǎng)布線復雜，如網(wǎng)絡設備、網(wǎng)絡光（電）纜、網(wǎng)卡均為雙

8、份，成本很非常高。 工業(yè)雙環(huán)型組網(wǎng)結構根據(jù)以上三種組網(wǎng)結構的對比，設計礦井綜合自動化內網(wǎng)中各骨干網(wǎng)絡均采用單環(huán)網(wǎng)絡的方式組網(wǎng)，保證整個自動化內網(wǎng)的可靠性及在突發(fā)情況下的生存能力。如果環(huán)網(wǎng)中某個交換設備或連接鏈路發(fā)生意外中斷的情況，環(huán)網(wǎng)傳輸路徑將選擇反方向正常傳輸，傳輸路徑倒換時間小于50ms，如圖所示： 工業(yè)以太網(wǎng)單環(huán)網(wǎng)平臺故障自愈根據(jù)礦井的實際生產(chǎn)現(xiàn)狀，設計采用工業(yè)以太環(huán)網(wǎng)和環(huán)間耦合技術，地面各子系統(tǒng)、井下各子系統(tǒng)、集控中心網(wǎng)絡設備分別組成1000m單環(huán)網(wǎng)絡，地面環(huán)網(wǎng)、井下環(huán)網(wǎng)分別連接到集控中心的核心網(wǎng)絡設備上，這樣整體自動化工業(yè)以太環(huán)網(wǎng)就形成了以二臺核心交換機（環(huán)網(wǎng)）、井下環(huán)網(wǎng)、地面環(huán)網(wǎng)組

9、成的相互獨立的環(huán)型網(wǎng)絡，并且每個網(wǎng)絡都是兩條鏈路連接到核心環(huán)網(wǎng)設備上，防止單點故障的出現(xiàn)。整個系統(tǒng)由3個環(huán)網(wǎng)組成，其中井下及地面控制環(huán)網(wǎng)與控制中心環(huán)網(wǎng)之間構成千兆骨干網(wǎng)絡，實現(xiàn)環(huán)網(wǎng)冗余的同時，又實現(xiàn)環(huán)網(wǎng)鏈路之間雙鏈路耦合，網(wǎng)絡現(xiàn)場設備層包括：工業(yè)電視監(jiān)控系統(tǒng)、各自動化監(jiān)測監(jiān)控子系統(tǒng)的設備，形成了綜合自動化控制內網(wǎng)的二級網(wǎng)絡。在調度指揮控制中心布置兩臺支持三層動態(tài)路由功能的核心交換機。兩臺核心交換機啟用vrrp協(xié)議實現(xiàn)冗余配置，為終端設備提供無縫隙的路由交換服務，兩臺交換機互為備份。在交換機正常時，兩臺交換機各自分擔一部分數(shù)據(jù)流量；當其中一臺交換機出現(xiàn)故障時,另一臺交換機就會自動分擔起所有數(shù)據(jù)流

10、量,數(shù)據(jù)的傳輸不會受到任何的影響。這樣，既達到了負載均衡，又實現(xiàn)了相互備份的目的。井下工業(yè)環(huán)網(wǎng)布置2臺千兆防爆型工業(yè)以太網(wǎng)交換機，分別位于中央變電所和采區(qū)變電所；地面工業(yè)環(huán)網(wǎng)共配置2臺千兆地面環(huán)網(wǎng)交換機，分別位于地面變電站和通風機房。其他地面監(jiān)控以及輔助生產(chǎn)子系統(tǒng)就近接入地面環(huán)網(wǎng)交換機。調度指揮控制中心機房設備連接包括：數(shù)據(jù)采集服務器、實時/歷史數(shù)據(jù)服務器、關系數(shù)據(jù)庫服務器、web發(fā)布服務器、操作員站、工程師站、網(wǎng)絡打印機、硬盤錄像機等。多環(huán)網(wǎng)通信的冗余切換時間：由于采用了工業(yè)以太網(wǎng)頂級廠商的超級冗余環(huán)技術，使得多環(huán)網(wǎng)通信的故障切換時間得以保證，無論是骨干環(huán)網(wǎng)內部、二級環(huán)網(wǎng)內部還是多環(huán)之間的通

11、信，故障切換時間均50ms。整體網(wǎng)絡拓撲結構圖如圖所示：礦井自動化監(jiān)控網(wǎng)絡平臺拓撲圖1.4 網(wǎng)絡設備選型1.4.1 工業(yè)級以太網(wǎng)交換機1）核心交換機核心環(huán)網(wǎng)交換機設置于集控中心機房，用于提供接入環(huán)網(wǎng)的上聯(lián)，以及大量服務器及操作員站的接入，同時，核心網(wǎng)絡通過安全措施與信息管理網(wǎng)絡網(wǎng)互聯(lián)。核心設備選用赫思曼mach 4000系列全千兆工業(yè)以太網(wǎng)交換機。新一代的mach 4000系列三層交換機專為滿足骨干網(wǎng)絡高速高負載傳輸音頻、視頻和控制數(shù)據(jù)的需要而設計，完全能夠滿足礦井煤礦所有自動化系統(tǒng)接入的需要及未來的業(yè)務擴展。設計核心環(huán)網(wǎng)采用2臺赫思曼mach 4000系列交換機中mach 4002-24g-

12、l3p全千兆交換機，mach 4002-24g-l3p采用模塊化設計，端口密度高，外觀緊湊，在保持工業(yè)產(chǎn)品的高度靈活性和可靠性的同時提供了更為強大的處理能力。同時，l3p版的mach 4000系列產(chǎn)品提供動態(tài)路由和多播路由，支持hiper-ring，redundant coupling等冗余機制、也滿足gl認證及相關的抗沖擊、抗振動標準。每臺核心交換機技術參數(shù)： 4路sfp光纖100/1000m端口，20路10/100/1000m rj45千兆電口； 軟件版本為三層專業(yè)版； 配置雙電源保護； 工作溫度范圍0度60度； 高集成設計，19寸機架安裝； 安裝、維護、維修簡便； 符合相關工業(yè)標準； 高

13、速環(huán)網(wǎng)冗余機制。技術特點： 故障自動恢復 網(wǎng)絡故障時（如斷線或交換機故障），網(wǎng)絡重構時間小于50ms； 網(wǎng)絡間冗余連接 任何拓撲結構的網(wǎng)段或環(huán)網(wǎng)都可通過兩個交換機實現(xiàn)網(wǎng)絡間的冗余連接； 快速網(wǎng)絡故障定位和診斷 支持snmp協(xié)議和基于web的管理，當網(wǎng)絡發(fā)生故障后，可迅速發(fā)現(xiàn)故障，并實現(xiàn)故障的定位和診斷，為故障的快速排出提供了保障； 虛擬局域網(wǎng)技術 支持vlan技術，通過將網(wǎng)絡劃分為幾個虛擬的子網(wǎng)，有效地減輕網(wǎng)絡負荷； 支持hiper-ring（超級冗余環(huán)）、dual-homing冗余連接； 采用無源背板，完全模塊化的設計，基板、電源、風扇模塊允許熱插拔； 每塊基板都是獨立的交換引擎和獨立的網(wǎng)管

14、agent； 支持第三層交換和hirrp快速路由切換； 基板配置靈活，能夠安裝多種傳輸速率的介質模塊（包括10/100/1000mbps的線速度）； 交換機還支持802.1q，802.1d，802.1p，802.3x協(xié)議，支持端口聚集，端口鏡像，多播（igmp）、廣播限制、vlan、用戶組管理以及全面的安全功能。2）地面環(huán)網(wǎng)節(jié)點交換機設計選用的mice 4128-l2p模塊化工業(yè)以太網(wǎng)交換機，保留了工業(yè)級設備高度的靈活性和可靠性，將大型以太網(wǎng)交換機各種功能融合在工業(yè)級的設計中，基于導軌方式安裝并具有千兆以太網(wǎng)接口，提供了新的工業(yè)級冗余千兆骨干網(wǎng)絡解決方案。mice 4128-l2p設備配置：

15、高性能的模塊化工業(yè)骨干路由交換機； 支持最多4個千兆端口； 支持最多28個fe端口，配置8個百兆以太網(wǎng)電口（可轉換成rs-485接口）； 工作溫度范圍0度60度； 高集成設計，導軌安裝； 安裝、維護、維修簡便； 符合相關工業(yè)標準； 高速環(huán)網(wǎng)冗余機制。技術特點： micemodular industrial communication equipment，即模塊化工業(yè)通信設備，采用模塊化結構，便于擴展、端口配置靈活； 采用導軌方式安裝，無風扇散熱方式，工作溫度范圍為060； 支持多種冗余機制，包括hiper-ring（超級冗余環(huán)），rstp ieee 802.1w（快速生成樹），冗余環(huán)-環(huán)之間耦

16、合，dual homing，雙24vdc電源冗余，冗余狀態(tài)信號輸出，鏈路聚合（多達7個trunk，每個trunk允許8個端口，lacp）； 采用hiper-ring（超級冗余環(huán)）技術可以組建100mbps/1000mbps快速自愈環(huán)網(wǎng)，環(huán)上最多可串接50臺交換機，并允許光纖和雙絞線等多種介質，當發(fā)生鏈路斷點時，環(huán)網(wǎng)可以在瞬間自愈，并在500毫秒內恢復正常工作； 管理方式包括串口、基于web的網(wǎng)管、snmp v1/v2/v3和hivision網(wǎng)絡管理，采用hivision或者hiopc，可以將網(wǎng)絡設備的狀態(tài)信息以opc方式傳遞到hmi/scada軟件中，從而將網(wǎng)絡監(jiān)控與其他智能設備的監(jiān)控集成一體

17、； 支持基于端口的vlan設置，多播（igmp snooping/querier），ieee 802.3x流控制，廣播限制器，fast aging，sntp協(xié)議（簡單網(wǎng)絡時間協(xié)議），ptp client（精確時間協(xié)議，ieee 1588），tos（type of service）diff.-serv，tos-prio-mapping，protocoll based vlans，traffic shaping，mstp-802.1s等； 可提供l3功能的交換機版本，支持各類路由協(xié)議，包括靜態(tài)路由，動態(tài)路由（rip v1/2，ospf），acl，vrrp，多播路由等； 千兆模塊支持端口級sfp光纖

18、模塊，可以方便地更換，1000mbps以太網(wǎng)支持的傳輸距離達到120km。3）井下環(huán)網(wǎng)節(jié)點交換機井下環(huán)網(wǎng)交換機選用煤炭科學研究總院的kjj83礦用隔爆兼本安網(wǎng)絡交換機。該機型是煤科總院生產(chǎn)的新一代礦用工業(yè)環(huán)網(wǎng)交換機產(chǎn)品，交換設備選用赫斯曼公司ms4128-l2p模塊化工業(yè)以太網(wǎng)交換機，可組建高性能的千兆以太網(wǎng)骨干網(wǎng)絡、冗余環(huán)網(wǎng)。該機型采用隔爆兼本安設計，電源可直接引入，機體內裝有后備電池，即使外部斷電設備也能正常工作2小時以上。kjj83交換機技術特點： kjj83礦用隔爆兼本質安全型網(wǎng)絡接口把光信號轉換成以太網(wǎng)電信號和rs485總線電信號，提供3個具有冗余及可自愈功能的環(huán)網(wǎng)單模光纖sfp接口

19、，4個百兆光口，8個10/100m自適應以太網(wǎng)接口，rs485總線接口，2路can總線接口，具有后備電池，工作時間不小于2小時； 光纖接口的發(fā)射光功率：-9dbm-6dbm、波長：1310nm；接收靈敏度：-25.4dbm-9.2dbm；通訊速率：100m/1000mbps；最大傳輸距離：20千米； rj45以太網(wǎng)接口采用交換的通訊方式，100m/1000mbps自適應，最大傳輸距離100米； rs485總線接口采用異步、半雙工的通訊方式，最大傳輸距離1.2千米； can總線接口通訊速率為5000bps，最大傳輸距離為5千米。主要技術指標： 防爆形式：礦用隔爆兼本質安全型，其標志為exdibi

20、； 供電電源：ac 127/380/660v，電壓波動范圍75%110%； 整機功率：50w； 光接口：3個以太網(wǎng)光接口，可以組成冗余光纖環(huán)網(wǎng)，具有自愈功能，恢復時間50ms，速率1000mbps。采用單模光纖，波長1310nm，最大傳輸距離20km，多模最大傳輸距離2km； 以太網(wǎng)接口：6個本安以太網(wǎng)接口，傳輸距離100m，速率10/100/1000mbps自適應； rs485總線接口：4個本安rs485接口，速率4800bps，最大傳輸距離1.2km； can總線接口：2個本安can總線接口，速率5000bps，最大傳輸距離5km； 備用電源：網(wǎng)絡接口內部備有電池，交流停電時，自動切換至電

21、池供電，并保證工作時間不小于2小時； 外形尺寸：680mm（長）426mm（寬）284mm（高）； 重量：70kg。1.4.2 網(wǎng)絡隔離安全網(wǎng)閘設計選用北京聯(lián)想網(wǎng)御安全網(wǎng)絡公司sis-3000-ge11安全隔離網(wǎng)閘與企業(yè)信息化網(wǎng)絡進行交換“隔離”。安全隔離網(wǎng)閘由內網(wǎng)主機系統(tǒng)、外網(wǎng)主機系統(tǒng)、隔離交換矩陣三部分組成。內/外網(wǎng)主機系統(tǒng)分別具有獨立的運算和存儲單元，并依托vsp（versatile security platform）通用安全平臺作為系統(tǒng)支撐；隔離交換矩陣由lead asic高速交換硬件和時分多路隔離交換邏輯算法組成，其不受主機系統(tǒng)控制，并能獨立完成應用數(shù)據(jù)的封包、擺渡、拆包。系統(tǒng)采用

22、vsp高效協(xié)議處理和lead sec多路固化數(shù)據(jù)通道技術，解決了安全控制和隔離交換性能低的業(yè)內難題。安全隔離網(wǎng)閘以vsp為基礎，優(yōu)化傳統(tǒng)引擎，抽象數(shù)據(jù)模型、構造統(tǒng)一內容檢查接口，有效地將anti-spam、內容過濾、反病毒等多類別安全引擎集成為統(tǒng)一的安全引擎，顯著提升了安全產(chǎn)品的安全防御能力?；跇藴驶慕涌谠O計，對內提供統(tǒng)一服務接口，使安全功能易于擴展，充分滿足安全需求的快速發(fā)展；對外實現(xiàn)安全策略的統(tǒng)一配置，給用戶帶來可管理的等級化安全，實現(xiàn)面向業(yè)務的全面保障。use以自定義的、開放的aci（application checking interface）應用檢查接口為基礎，支持內容檢查模塊的

23、擴展，實現(xiàn)了對私有協(xié)議的應用內容的數(shù)據(jù)格式、完整性、關鍵字、內容安全的檢查?；趍rp（multi-layers redundant protocol）多重冗余協(xié)議實現(xiàn)多重冗余方案，支持自身端口冗余、鏈路聚合、雙機熱備、232臺安全隔離網(wǎng)閘負載均衡，保障了用戶網(wǎng)絡和應用的高可靠性。設備主要技術參數(shù)如下：技術參數(shù)詳細描述機型千兆標準型，2u機箱，單電源（可擴展為熱插拔冗余電源）網(wǎng)絡接口內網(wǎng)標配：網(wǎng)絡接口：1個10/100/1000mbps管 理 口：1個10/100mbps雙機熱備口：1個10/100mbps外網(wǎng)標配：網(wǎng)絡接口：1個10/100/1000mbps管 理 口：1個10/100mbp

24、s雙機熱備口：1個10/100mbps交換/傳輸帶寬內部交換帶寬：2g，網(wǎng)絡傳輸帶寬：150m（單向）并發(fā)連接數(shù)20000每秒新建連接1300系統(tǒng)延遲時間 1msmtbf50000小時功能點功能描述產(chǎn)品架構系統(tǒng)結構采用 “2+1”架構，即兩個主機系統(tǒng)和一個專用加速隔離交換矩陣，主機系統(tǒng)采用vsp通用安全平臺， 隔離交換矩陣基于leadsec asic專用安全芯片，自主研發(fā)的硬件，無操作系統(tǒng)，外界無法編程控制。功能模塊具備文件交換、ftp訪問、數(shù)據(jù)庫傳輸、郵件傳輸和安全瀏覽功能，并根據(jù)tcp和udp定制訪問攻擊防御入侵檢測功能具有實時入侵檢測與防御機制。攻擊特征庫規(guī)則1600條以上，可自定義檢測

25、規(guī)則和掃描攻擊檢測閾值抗ddos攻擊具有抗dos、ddos攻擊功能，當拒絕服務攻擊發(fā)生時能保障對正常應用請求的應答。關聯(lián)安全應用內網(wǎng)/設備管理聯(lián)動遵循csc關聯(lián)安全標準，實現(xiàn)與本次設計所選的內網(wǎng)安全管理系統(tǒng)聯(lián)動，并可通過leadsec安全管理系統(tǒng)實現(xiàn)集中安全管理適應性多網(wǎng)隔離能力外網(wǎng)主機系統(tǒng)上可連接多于2個相同安全級別的網(wǎng)絡，內網(wǎng)主機系統(tǒng)上可連接多于1個相同安全級別的網(wǎng)絡。ip/mac地址綁定支持ip/mac地址綁定，具有自動學習功能?？煽啃噪p機熱備支持mrp多重冗余協(xié)議，通過獨立的ha端口實現(xiàn)雙機熱備。負載均衡支持2-32臺設備負載均衡。日志審計日志管理日志實現(xiàn)按功能模塊分組管理，支持web

26、trends格式。日志審計實現(xiàn)對日志的瀏覽、查詢、導出、刪除等操作。證書取得公安部計算機安全產(chǎn)品銷售許可證、國家保密局涉密信息系統(tǒng)產(chǎn)品檢測證書、解放軍軍用信息安全產(chǎn)品認證證書、國家信息安全認證等證書。1.5 網(wǎng)絡可靠性設計可靠性是衡量網(wǎng)絡系統(tǒng)的一個重要的性能指標，對于綜合自動化工業(yè)控制網(wǎng)絡來說，更需要一個高可靠性的網(wǎng)絡系統(tǒng)。我們從以下幾方面對我院設計的網(wǎng)絡方案可靠性加以說明。（1）網(wǎng)絡設備可靠性煤礦行業(yè)的特點決定了整個系統(tǒng)必須具有很高的可靠性和可用性，以此保障生產(chǎn)活動的正常進行和井下工作人員的安全。因此在選型時考慮所選技術的在冗余性，出錯處理和容錯方面的能力，所選的產(chǎn)品能夠適應井下惡劣的工作環(huán)

27、境和防爆要求。本方案設計從網(wǎng)絡拓撲結構、網(wǎng)絡交換機、服務器、電源設計等方面，著重體現(xiàn)系統(tǒng)的可靠性： 網(wǎng)絡拓撲結構選用環(huán)網(wǎng)冗余技術； 選用國際知名品牌德國赫斯曼工業(yè)網(wǎng)絡交換機，可靠、穩(wěn)定； 在設計時引入低功耗的設計理念，因為高溫本身會對芯片等電子元器件產(chǎn)生致命的影響，會極大的降低其芯片的使用壽命，盡量降低它的功耗，使交換機在工作時盡量減少熱量的產(chǎn)生； 良好的電磁兼容性，交換機滿足工業(yè)四級抗擾度的要求； 數(shù)據(jù)中心采用美國ibm公司服務器，可靠穩(wěn)定； 為核心交換配置2套赫斯曼工業(yè)全千兆工業(yè)網(wǎng)絡交換機； 為數(shù)據(jù)采集配置了2臺生產(chǎn)數(shù)據(jù)采集服務器，冗余可靠； 配置數(shù)據(jù)中心安全存儲系統(tǒng)、可靠穩(wěn)定； 地面配置

28、了在線式ups電源，提供2路供電，提高系統(tǒng)供電可靠性； 井下的防爆交換機也采用了雙電源供電，提高供電的可靠性。交換機供電可靠性設計（2）鏈路可靠性網(wǎng)絡通信線路可靠性設計來保證整個網(wǎng)絡系統(tǒng)的的傳輸可靠性。核心交換設備之間采用雙鏈路實現(xiàn)熱備冗余，環(huán)網(wǎng)交換設備采用千兆雙鏈路光纖用于環(huán)節(jié)點的冗余連接，環(huán)網(wǎng)之間采用千兆雙鏈路光纖用于環(huán)間耦合冗余連接，調度中心服務器及操作員站采用雙鏈路連接網(wǎng)絡交換設備。整個自動化系統(tǒng)網(wǎng)絡平臺，當其中某一段工作中的光纖線路被破壞或網(wǎng)絡設備發(fā)生故障時，整個網(wǎng)絡實現(xiàn)快速自愈，并保證在50ms內恢復正常的通訊。網(wǎng)絡控制層光纜敷設時，使用多芯單模備份光纖，當其中兩芯出現(xiàn)問題時，可以

29、使用其他備份光纖傳輸。同時，不定期地派工作人員對通信線路進行安全性的檢查，以保證各信息點訪問的暢通。1.6 網(wǎng)絡安全性設計網(wǎng)絡安全是綜合自動化網(wǎng)絡方案的一個重要的設計內容。網(wǎng)絡安全主要實現(xiàn)在網(wǎng)絡tcp/ip及以下層次上，設計控制只有獲得授權的用戶與系統(tǒng)中允許他訪問的節(jié)點，在指定的tcp或udp端口上進行通信。構建一個安全的網(wǎng)絡環(huán)境，就是針對非法入侵者采用的手段以及網(wǎng)絡環(huán)境中存在的漏洞，并結合實際的網(wǎng)絡環(huán)境，建立起一套安全的防范系統(tǒng)，補上系統(tǒng)中各個級別的漏洞，切斷非法用戶的入侵渠道。（1）網(wǎng)絡不安全性因素分析隨著網(wǎng)絡、通信技術的發(fā)展，網(wǎng)絡豐富的信息資源給用戶帶來了方便，同時也給網(wǎng)絡帶來了安全問題

30、的隱患。計算機網(wǎng)絡不僅要保護計算機網(wǎng)絡設備安全和計算機網(wǎng)絡系統(tǒng)安全，還要保護數(shù)據(jù)安全。礦井綜合自動化系統(tǒng)網(wǎng)絡平臺中，調度數(shù)據(jù)中心各個數(shù)據(jù)服務器系統(tǒng)是關鍵系統(tǒng)，需要不間斷為個生產(chǎn)環(huán)節(jié)及調度中心提供服務。即使發(fā)生短暫的業(yè)務中斷，也會導致難以估量的經(jīng)濟和名譽損失。在網(wǎng)絡系統(tǒng)中，經(jīng)常可能會導致業(yè)務系統(tǒng)中斷的主要原因有一下幾類： 系統(tǒng)硬件故障如數(shù)據(jù)/系統(tǒng)磁盤的損壞將導致數(shù)據(jù)不能訪問，并進而可能導致應用進程終止或系統(tǒng)停機，甚至系統(tǒng)不能重啟動；網(wǎng)卡的損壞可使終端用戶無法訪問系統(tǒng)服務；cpu或內存的失效則會導致系統(tǒng)的死機； 應用程序或操作系統(tǒng)出錯由于操作系統(tǒng)或應用程序中可能存在不完善的地方，當碰到某種激發(fā)事件

31、時，應用程序非正常終止或系統(tǒng)崩潰（只能通過改善程序或系統(tǒng)來解決）； 人為錯誤一些人工的誤操作，如刪除系統(tǒng)或應用文件，終止系統(tǒng)或應用服務進程，也會導致系統(tǒng)服務的無法訪問； 電腦病毒/駭客入侵由于目前的大多數(shù)計算機系統(tǒng)均連接在網(wǎng)絡上，若缺少有效的防范機制，很容易遭受病毒的感染或駭客的入侵，輕者數(shù)據(jù)被損壞，重者系統(tǒng)癱瘓（只能通過加強管理杜絕）； 自然災害由于一些意外的不可抗拒的因素，如雷擊、火災、洪災等導致的計算機系統(tǒng)破壞，將會使一般系統(tǒng)的恢復非常困難和耗時，導致業(yè)務系統(tǒng)長時間的中斷（通過容災系統(tǒng)來解決）； 正常的停機主要指計劃內的系統(tǒng)升級、安裝軟件、系統(tǒng)備份等過程。由上可見，影響系統(tǒng)正常運行的因素

32、有很多，因為在系統(tǒng)中斷時能夠在最短的時間內恢復數(shù)據(jù)是最重要的，所以需要采用一套離線存儲系統(tǒng)對數(shù)據(jù)庫中的數(shù)據(jù)進行儲存?zhèn)浞荼Ｗo。通過以上分析，結合礦井的實際情況，設計一系列軟硬件安全措施，部署網(wǎng)絡安全系統(tǒng)，保證整個自動化網(wǎng)絡平臺及所有子系統(tǒng)接入數(shù)據(jù)傳輸?shù)陌踩裕ＷC綜合自動化內部網(wǎng)絡與企業(yè)辦公網(wǎng)絡平臺的安全隔離。為確保全礦井綜合自動化內部網(wǎng)絡平臺的安全性，采用了以下網(wǎng)絡安全措施來構建網(wǎng)絡安全體系，包括設備安全、網(wǎng)絡安全、數(shù)據(jù)安全、數(shù)據(jù)存儲、災難備份與恢復、與企業(yè)信息管理網(wǎng)絡安全聯(lián)網(wǎng)安全等內容。（2）設備安全性在綜合自動化網(wǎng)絡系統(tǒng)與企業(yè)信息化網(wǎng)絡系統(tǒng)之間使用的sis-3000-ge11安全隔離網(wǎng)閘設

33、備是聯(lián)想網(wǎng)御公司專門針對國家安全企業(yè)網(wǎng)絡間網(wǎng)絡安全設計的解決方案，具有基于dmz的ids入侵監(jiān)測功能，通過安全設置，可防御網(wǎng)絡和應用層攻擊、拒絕服務（dos）攻擊，提供了先進、高性能的保護。該安全自適應設備除具備防止常規(guī)防攻擊外、通過擴展安全模塊，具備文件交換、ftp訪問、數(shù)據(jù)庫傳輸、郵件傳輸和安全瀏覽功能，并根據(jù)tcp和udp定制訪問功能。 系統(tǒng)架構：采用“2+1”系統(tǒng)架構，即由兩個主機系統(tǒng)和一個隔離交換矩陣組成，主機系統(tǒng)采用vsp通用安全平臺，隔離交換矩陣基于leadasic專用芯片實現(xiàn)主機系統(tǒng)間采用自有協(xié)議擺渡數(shù)據(jù)，確保信任網(wǎng)絡和非信任網(wǎng)絡之間任何連接的斷開，徹底阻斷tcp/ip協(xié)議及其

34、他網(wǎng)絡協(xié)議； 隔離交換矩陣：自主研發(fā)的硬件，無操作系統(tǒng)，外界無法編程控制，而不是采用低安全性的通用可編程硬件，如網(wǎng)線、scsi、usb等； 文件交換：實現(xiàn)文件的安全交換，支持nfs、smbfs等文件系統(tǒng)和多種細粒度檢測控制功能，支持改名傳輸方式，可實現(xiàn)對源文件改名，標明傳輸狀態(tài)支持增量傳輸方式，可實現(xiàn)只傳輸修改和增加了的源文件支持傳輸后刪除方式，可實現(xiàn)傳輸結束后刪除源文件； ftp訪問：實現(xiàn)安全的ftp訪問，支持對用戶、命令、文件類型等細粒度訪問控制支持動態(tài)建立數(shù)據(jù)通道，并可對訪問端口號自由定義； 數(shù)據(jù)庫傳輸：實現(xiàn)對多種主流數(shù)據(jù)庫系統(tǒng)的安全訪問和同步，支持tns協(xié)議，支持對訪問數(shù)據(jù)庫的用戶進行

35、控制； 郵件傳輸：實現(xiàn)用戶安全訪問郵件服務器，訪問過濾選項涵蓋郵件地址、主題、正文內容、附件等； 安全瀏覽：實現(xiàn)內網(wǎng)用戶安全瀏覽外網(wǎng)資源，支持本地、radius、ldap等認證方式，提供對url、activex、cookie、javaapplet等的過濾功能； 定制訪問：實現(xiàn)特定tcp、udp協(xié)議的數(shù)據(jù)隔離交換，可合作定制開發(fā)針對特定協(xié)議的安全檢測，實現(xiàn)如黑白名單控制、關鍵字過濾等； 專業(yè)檢測引擎：主機系統(tǒng)內置use統(tǒng)一安全引擎入侵檢測功能：具有實時入侵檢測機制，可設置阻斷規(guī)則，實時阻斷入侵攻擊特征庫規(guī)則1600條以上，并可自定義檢測規(guī)則和掃描攻擊檢測閾值；抗ddos攻擊：具有抗dos、ddo

36、s攻擊功能，當拒絕服務攻擊發(fā)生時能保障對正常應用請求的應答；內網(wǎng)管理聯(lián)動：遵循csc關聯(lián)安全標準，實現(xiàn)與內網(wǎng)安全管理系統(tǒng)聯(lián)動；設備管理聯(lián)動：遵循csc關聯(lián)安全標準，通過leadsec安全管理系統(tǒng)實現(xiàn)集中安全管理； 靈活多樣的管理方式：支持https的web方式管理，實現(xiàn)了遠程管理信息加密傳輸，支持命令行方式管理，可通過命令行完成全部管理配置工作； 高效的集中管理：支持通過leadsec安全管理系統(tǒng)實現(xiàn)全局拓撲生成、集中日志審計、集中設備監(jiān)控等安全管理； 高安全的管理形式：內/外網(wǎng)主機系統(tǒng)分別具有獨立管理接口，管理員分級管理，而不是采用低安全的管理方式，如通過網(wǎng)絡接口管理、通過內網(wǎng)一個管理接口完

37、成全部管理等； 多網(wǎng)隔離能力：外網(wǎng)主機系統(tǒng)可連接4個相同安全級別的網(wǎng)絡，內網(wǎng)主機系統(tǒng)可連接2個相同安全級別的網(wǎng)絡接入方式，支持相同網(wǎng)絡地址的網(wǎng)絡間部署，網(wǎng)絡部署適應性強支持ip/mac地址綁定，具有自動學習功能，支持自由定制時間策略，支持域名訪問控制策略； 支持mrp多重冗余協(xié)議，保障設備的高可靠性，通過獨立的熱備端口實現(xiàn)雙機熱備，支持232臺設備實現(xiàn)負載均衡，無需第三方軟硬件支持，支持設備自身物理端口冗余功能，物理端口支持802.3ad標準，實現(xiàn)鏈路聚合功能； 日志實現(xiàn)按功能模塊分組管理，支持webtrends格式，實現(xiàn)對日志的瀏覽、查詢、導出、刪除等操作。設計在綜合自動化控制網(wǎng)絡系統(tǒng)工業(yè)交

38、換設備、數(shù)據(jù)中心設備上設定用戶和口令，控制非特權方式和特權方式的訪問權，并且通過設定口令的加密鑰和網(wǎng)絡設備的單向加密機制，使用權口令在配置中以加密方式出現(xiàn)，保證口令的安全性。設定設備訪問空間時限，如果管理員在設定的一段時間內（如5秒）不使用，安全設備將自動終止訪問連接。保證所有綜合自動化控制網(wǎng)絡系統(tǒng)網(wǎng)絡設備的物理安全性，防止無關人員接觸網(wǎng)絡設備。在綜合自動化控制網(wǎng)絡系統(tǒng)數(shù)據(jù)中心服務器、各子系統(tǒng)上位機、后臺機、操作員站設備bios安全設置，杜絕設備“病由口入”，設置bios安全密碼，禁用所有上位機及調度中心操作站usb、com等數(shù)據(jù)接口（除鼠標、鍵盤、顯示接口外）。設置系統(tǒng)管理人員及技術操作人員

39、、網(wǎng)絡管理人員的網(wǎng)絡設備訪問權限、管理密碼。提高管理人員及技術操作人員、網(wǎng)絡管理人員的整體網(wǎng)絡安全意識。通過這些措施，本系統(tǒng)網(wǎng)絡設備可以實現(xiàn)其安全、正常運行，完成這些網(wǎng)絡設備應該完成的功能，為其它的安全措施提供一個安全基礎。（3）網(wǎng)絡安全性除了telnet服務外，在設備上取消全部ip服務器功能，包括rlogin、rsh、http服務器等。限制所有來自企業(yè)內部網(wǎng)絡及internet的用戶對設備本身的訪問（包括ping、telnet、discard、echo、snmp等）；限制內部網(wǎng)絡上，只有網(wǎng)管工作站可以使用snmp訪問。在綜合自動化控制網(wǎng)絡系統(tǒng)內部設計采用常規(guī)的網(wǎng)絡安全手段vlan劃分（劃分數(shù)

40、量支持大于256個），在設備上配置訪問控制表，限制內部網(wǎng)絡上只有維護工作站和網(wǎng)管工作站可以登錄網(wǎng)絡設備；在綜合自動化控制網(wǎng)絡系統(tǒng)與企業(yè)信息化網(wǎng)絡系統(tǒng)之間，設計采用網(wǎng)絡“物理”隔離網(wǎng)閘自適應隔離，防止不可預測的具有潛在破壞性的侵入，外網(wǎng)用戶訪問由自適應進行控制，只有經(jīng)過身份認證的用戶才可以訪問自動化網(wǎng)絡。在綜合自動化控制網(wǎng)絡系統(tǒng)內部數(shù)據(jù)中心采用系統(tǒng)漏洞掃描系統(tǒng)定期對網(wǎng)絡進行安全分析發(fā)現(xiàn)并修正存在的漏洞。（4）數(shù)據(jù)流準入控制設計中采用聯(lián)想網(wǎng)御物理“隔離”網(wǎng)閘，具有高度防止常規(guī)、抗ddos攻擊、入侵檢測功能內網(wǎng)/設備管理聯(lián)動、ip/mac地址綁定及針對網(wǎng)絡安全的專用數(shù)據(jù)流控制功能。網(wǎng)絡物理“隔離”網(wǎng)

41、閘設備將自動化內部網(wǎng)絡和外部網(wǎng)絡安全隔離開來，在設備端口上設定數(shù)據(jù)流過濾，防止網(wǎng)絡內部的ip地址欺騙及攻擊性數(shù)據(jù)流。moxa工業(yè)以太網(wǎng)交換設備本身支持虛擬局域網(wǎng)技術（vlan），質量服務（qos），多播過濾功能（igmp），具備基于端口的流量控制功能。綜合自動化控制網(wǎng)絡平臺設備嚴格控制ping、telnet、discard、echo、snmp、rsh、rlogin、rcp、tracert等數(shù)據(jù)流通過網(wǎng)絡設備，原則上只允許本系統(tǒng)應用需要的應用數(shù)據(jù)流才能通過網(wǎng)絡設備。通過按業(yè)務和網(wǎng)絡結構劃分虛擬網(wǎng)絡，將不同的業(yè)務分別放在不同的虛擬網(wǎng)內，隔離開來。虛擬之間，可以通過路由器的訪問控制表來控制對某個特定

42、網(wǎng)絡和主機的訪問。通過防火墻設置不同訪問權限，限制非法授權用戶訪問自動化網(wǎng)絡。使內部管理信息網(wǎng)絡的辦公用戶依據(jù)不同權限訪問自動化系統(tǒng)。保障系統(tǒng)的安全訪問。在工業(yè)以太網(wǎng)內部部署的web服務器提供對企業(yè)網(wǎng)的訪問功能，對于web訪問數(shù)據(jù)庫的數(shù)據(jù)時采用只讀授權模式，保證了web服務器對于數(shù)據(jù)庫只有查看瀏覽的權力，沒有修改和添加的權力，并且數(shù)據(jù)庫對web服務器只提供只讀數(shù)據(jù)端口，對于其他的系統(tǒng)操作不予授權。工業(yè)網(wǎng)絡安全授權策略訪問示意圖通過數(shù)據(jù)流的控制，使數(shù)據(jù)流沿著系統(tǒng)功能預定的方式流動，極大地限制非法數(shù)據(jù)的流動，相關業(yè)務部室只能通過web服務器有權限的分級瀏覽自動化內網(wǎng)數(shù)據(jù)信息，從而非常有效地提高系統(tǒng)

43、的安全性。（5）網(wǎng)絡防/殺毒安全病毒的入口點非常多，在一個具有多個網(wǎng)絡入口的連接點的企業(yè)網(wǎng)絡環(huán)境中，病毒可以由軟盤、光盤、u盤等傳統(tǒng)介質進入，也可能由企業(yè)信息網(wǎng)等進入，還有可能從外部網(wǎng)絡中通過文件傳輸?shù)确绞竭M入。所以不僅要注重單機的防毒，更要重要網(wǎng)絡的整體防毒措施。任何一點沒有部署防病毒系統(tǒng)，對整個網(wǎng)絡都是一個安全的威脅。所以，一個好的防病毒系統(tǒng)應該能夠覆蓋到每一種需要的平臺。設計在調度中心部署卡巴斯基防/殺毒系統(tǒng)企業(yè)版防病毒系統(tǒng)，在所有重要服務器、工控機及操作終端安裝殺毒軟件，通過煤礦企業(yè)信息管理網(wǎng)絡殺毒服務器既是更新病毒庫及殺毒引擎，保證自動化內部網(wǎng)絡安全、穩(wěn)定的運行。整個綜合自動化控制網(wǎng)

44、絡系統(tǒng)比較多，各系統(tǒng)的現(xiàn)場接入層設備種類比較多樣，作為工業(yè)控制網(wǎng)絡，本身安全系數(shù)比較高，接入的網(wǎng)絡各系統(tǒng)的設備要有嚴格的要求，比如工控機，除鼠標鍵盤外，其他的硬件的外接設備，比如usb接口等數(shù)據(jù)通訊的接口全部禁用，以防止網(wǎng)絡感染病毒等。此外在網(wǎng)絡環(huán)境中，一個功能強大，能夠對整個單位網(wǎng)絡中防病毒軟件進行管理的集中控制臺對于一個管理規(guī)范的企業(yè)來講是必不可少的組成部分。借助這個控制臺，管理員就可以輕松地完成病毒軟件和最新病毒代碼的自動分發(fā)、自動升級、集中配置和管理、統(tǒng)一事件和告警處理這些簡單而又繁瑣的工作，更可以保證整個單位范圍內病毒防護體系的一致性和完整性。礦井綜合自動化控制網(wǎng)絡平臺，我們選擇國際

45、著名的安全產(chǎn)品廠商卡巴斯基的防殺/病毒解決方案設計。該產(chǎn)品是卡巴斯基實驗室繼卡巴斯基6.0企業(yè)版后推出的最新企業(yè)版殺毒軟件。卡巴斯基開放空間安全解決方案是為各種不同規(guī)模的企業(yè)而設計的保護方案，為客戶提供全方位的保護，包括防御病毒，黑客，間諜軟件和垃圾郵件等惡意程序的攻擊。同時，該方案還為移動使用的設備提供全面安全保護。無論在是在辦公室，家中或旅行途中，該技術均可以隨時隨地保護筆記本電腦安全，讓其免受病毒困擾。另一方面，它的移動安全保護技術還可以為外部返回的計算機和訪客計算機提供保護。整套軟件分為三部分：卡巴斯基反病毒7.0工作站版、卡巴斯基反病毒7.0文件服務器版、卡巴斯基管理工具7.0?？ò?/p>

46、斯基管理工具7.0是一個動態(tài)的、操作靈活的管理工具，它可以集中管理企業(yè)網(wǎng)絡中所使用的卡巴斯基實驗室出品的產(chǎn)品程序。它的作用是管理網(wǎng)絡中所有工作站端和文件服務器端的反病毒程序的任務、策略、日志等。安裝過程非常簡單，不過要保證計算機上已經(jīng)安裝sql server 2000 + sql server 2000 sp3或msde 2000 + msde 2000 sp3，其它一路按提示安裝即可?？ò退够床《?.0工作站版是為企業(yè)網(wǎng)絡中的所有工作站提供集中的保護，同時將保護從本地網(wǎng)絡延伸至遠程網(wǎng)絡和筆記本計算機用戶。該解決方案針對當前所有類型的網(wǎng)絡攻擊(包括病毒、間諜軟件、黑客攻擊和垃圾郵件)都提供了

47、完全的保護?？ò退够床《?.0文件服務器版是為windows文件服務器(包括最新的64位操作系統(tǒng))上的數(shù)據(jù)提供有效的文件保護。該解決方案可以保證高可靠性并且適合于負載較大的服務器。卡巴斯基網(wǎng)絡版7.0整個防病毒體系結構清晰，共由管理工具、服務器端、工作站端組成。管理工具是信息管理和病毒防護的自動控制核心，它可以實時記錄防護體系內每臺計算機上的病毒監(jiān)控、檢測和清除信息。管理工具的界面是標準的兩分欄結構，左邊功能列表，右邊具體功能。網(wǎng)絡管理員在管理工具使用全網(wǎng)同步殺毒、遠程操作，全網(wǎng)遠程報警等功能，感覺操作很方便。所有客戶機安全一手掌控?？梢酝瑫r操作多個客戶機，客戶機的狀態(tài)會反應在表格中。通過管

48、理工具對客戶端進行設置后，客戶機用戶根本不必再進行設置。簡單明了的安全狀態(tài)界面，讓用戶方便的進行各種安全操作?？蛻舳藷o需用戶干預，管理員遠程即可完成全部的操作，完全自動化?？蛻舳说慕缑嫣峁┝宋募Ｗo、郵件保護、web 反病毒保護、主動防御、反間諜保護、反黑客和發(fā)垃圾郵件幾個組件，為工作站和文件服務器提供了實時全面的保護。并且卡巴斯基反病毒7.0能夠自動檢查更新源，將其下載并安裝到計算機中?？ò退够ぷ髡局鹘缑鏆⒍拒浖暮脡淖钪匾囊稽c就是對于病毒的查殺能力，卡巴斯基對于文件的掃描設置非常詳細，關鍵區(qū)域中囊括了系統(tǒng)內存、啟動對象、引導扇區(qū)等重點掃描區(qū)域。統(tǒng)計區(qū)域包含任務執(zhí)行的詳細信息，已檢測的到

49、危險對象數(shù)、沒有處理的對象數(shù)和任務運行的時間。是為企業(yè)網(wǎng)絡提供信息安全保障的組合解決方案，可使企業(yè)內的工作站、文件服務器免受各種網(wǎng)絡威脅，包括：病毒、黑客攻擊、垃圾郵件及間諜軟件確保系統(tǒng)高效運行。既然是網(wǎng)絡版殺毒，卡巴斯基在這款軟件的集中控制方面做得還是可圈可點，在管理工具上，管理員可以通過控制平臺實時監(jiān)控每一個用戶的殺毒軟件版本及是否打開了實時監(jiān)控等情況，并可以強制執(zhí)行掃描任務。通過卡巴斯基開放空間安全解決方案的全面保護，可以為所有網(wǎng)絡節(jié)點和平臺提供安全防護，防御所有類型的網(wǎng)絡威脅并且快速做出響應，滿足對企業(yè)網(wǎng)絡進行綜合保護的核心要求;另外，卡巴斯基開放空間安全解決方案在anti-rootk

50、it技術、保護個人信息不被盜竊、修復惡意軟件所作的非法篡改、反惡意攻擊的自我防護技術等方面均有卓越表現(xiàn)。此外，在服務器系統(tǒng)安全配置方面，服務器關閉不需要的服務；為需要的服務打補丁，系統(tǒng)安全化設置、記錄關鍵事件。同時，建立整套安全策略，提供全體員工的安全防范意思，保護好每臺接入網(wǎng)絡中的設備，才能實現(xiàn)高速穩(wěn)定安全的信息化網(wǎng)絡系統(tǒng)。1.7 網(wǎng)絡實時性設計選用赫斯曼工業(yè)以太網(wǎng)交換機具備以下幾點功能，確保網(wǎng)絡的實時性： 采用交換式數(shù)據(jù)傳輸方式，沒有數(shù)據(jù)碰撞，數(shù)據(jù)傳輸實時性有保證； 網(wǎng)絡設備端口延時低，典型值小于32微秒，能滿足實時性應用的要求； 設置優(yōu)先級隊列qos，遵循ieee 802.1d/p標準，

51、保證了系統(tǒng)的實時性； 支持工業(yè)網(wǎng)絡必須的時鐘同步sntp（簡單網(wǎng)絡時鐘協(xié)議）功能，全網(wǎng)時鐘統(tǒng)一，實時性高； 當其中某一段工作中的光纖線路被破壞或網(wǎng)絡設備發(fā)生故障時，整個網(wǎng)絡實現(xiàn)快速自愈，并保證在50ms 內恢復正常的通訊。1.8 網(wǎng)絡開放性設計設計自動化網(wǎng)絡以標準的tcp/ip協(xié)議建設，網(wǎng)絡通信協(xié)議、網(wǎng)絡接口、軟件符合現(xiàn)有相應的國際標準和協(xié)議，全球通用；同時提供開放及擴展的網(wǎng)絡接口和數(shù)據(jù)接口，保證現(xiàn)有的各類產(chǎn)品以及未來出現(xiàn)的新產(chǎn)品能夠協(xié)同運行，方便數(shù)據(jù)交換、信息共享。設計建設的網(wǎng)絡平臺符合國際公認的網(wǎng)絡標準iec61158，具有完全開放的，具備成熟的第三方連接能力。1.9 網(wǎng)絡可管理性設計礦井

52、綜合自動化控制網(wǎng)絡平臺，屬于地面、井下分布式網(wǎng)絡系統(tǒng)，各接入子系統(tǒng)分站之間的距離較遠，在選擇冗余網(wǎng)絡方案的同時，采用網(wǎng)絡管理軟件對整個綜合自動化網(wǎng)絡的通訊和設備進行監(jiān)控和管理是非常必要的。通過對網(wǎng)絡的全面監(jiān)視，能夠實現(xiàn)綜合的負載和故障分析，也能發(fā)現(xiàn)網(wǎng)絡中可能存在的隱患并及時采取措施，監(jiān)視結果還可以利用e-mail，sms或參考視窗來顯示或傳送。綜合自動化控制網(wǎng)絡管理軟件界面圖本設計選用hirschmann公司hivision網(wǎng)絡管理軟件。hivision網(wǎng)絡管理軟件，采用圖形交互式用戶界面以及設備圖案化方式使工作更直接、更容易理解，還完善的幫助功能和集成的提示功能提示、在線使用手冊、在線幫助、

53、在線指南和自動配置校驗。hivision可以對各種故障報警、歷史故障查詢，查看每個交換機的端口狀態(tài)、通訊流量、交換機設置、系統(tǒng)的安全維護等，具有良好的易操作性。hivision網(wǎng)絡管理軟件界面圖 自動發(fā)現(xiàn)綜合自動化控制網(wǎng)絡系統(tǒng)所有icmp和snmp的設備，支持snmp、rmon網(wǎng)絡管理功能，自動識別所有的hirschmann網(wǎng)絡產(chǎn)品，顯示ip地址與mac地址之間的關系等； 通過標準mib集成oem設備； 方便查詢綜合自動化控制網(wǎng)絡系統(tǒng)hirschmann網(wǎng)絡設備的狀態(tài)，并具有故障自陷（trap）處理功能，可對于整個網(wǎng)絡或單一設備的故障自陷歷史進行精確跟蹤； 用高品質的圖像真實地表示所監(jiān)控的設備

54、； 具有對標準rmon 1-3 & 9參數(shù)（統(tǒng)計、歷史、報警和事件）的圖形化顯示； 多設備配置功能，能夠對多臺設備同時進行軟件升級等操作； 多端口管理功能，可同時對不同設備的端口進行操作； 多端口分析器提供對不同設備的多個端口同時進行全面的負載和故障分析功能； vlan管理器功能； 集成snmp mib瀏覽器； 可將各類列表以ascii文件形式導出； 監(jiān)視結果可以利用e-mail，sms或參考視窗來顯示或傳送； 完善的幫助功能和集成的提示功能提示、在線使用手冊、在線幫助、在線指南和自動配置校驗； 集成了opc2.0支持，可按opc服務器的方式將hivision監(jiān)控的所有代理（交換機）的狀態(tài)信息

55、和trap報警直接傳到hmi/scada軟件中去。1.10 ip地址與路由設計1.10.1 網(wǎng)絡ip地址規(guī)劃ip地址的合理規(guī)劃是整個自動化系統(tǒng)平臺設計中的重要一環(huán)，ip地址的合理分配，要與網(wǎng)絡拓撲層次結構相適應，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡的可擴展性和靈活性，同時要滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變化的收斂速度，同時還要考慮到網(wǎng)絡地址的可管理性。對礦井綜合自動化系統(tǒng)平臺ip地址規(guī)劃時，遵循以下幾個原則：1、唯一性：一個ip網(wǎng)絡中不能有兩個主機采用相同的ip地址；2、簡單性：地址分配應簡單易于管理，降低網(wǎng)絡擴展的復雜性，簡化路由表的款項；3、連續(xù)性：連續(xù)地址在層次結構網(wǎng)

56、絡中易于進行路由聚合（route summarization），大大縮減路由表，提高路由算法的效率；4、可擴展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡規(guī)模擴展時能保證地址疊合所需的連續(xù)性；5、靈活性：地址分配應具有靈活性，可借助可變長子網(wǎng)掩碼技術vlsm（variable-length subnet mask），以滿足多種路由策略的優(yōu)化，充分利用地址空間。由于整個自動化系統(tǒng)網(wǎng)絡的信息節(jié)點較多、業(yè)務較多，但是這個網(wǎng)絡中的數(shù)據(jù)信息點較少。在項目設計中，我們不需要采用vlsm技術。最合理的ip地址應分配c類ip地址段，每個業(yè)務分配一個c類地址段，最大有254個主機地址，足夠滿足礦井綜合自動化子系

57、統(tǒng)未來不斷擴大的網(wǎng)絡需求。按照對網(wǎng)絡總體規(guī)劃設計需求，依據(jù)簡單、易維護原則，結合礦井礦目前網(wǎng)絡環(huán)境及地理位置分布情況，我們提出如下ip分配方案，按照生產(chǎn)業(yè)務環(huán)節(jié)類型來劃分，實施時依據(jù)招標方具體需求來決定選用可行性方式。本方案中以各生產(chǎn)監(jiān)控環(huán)節(jié)通訊數(shù)據(jù)業(yè)務類型劃分原則為例。1.10.2 網(wǎng)絡vlan規(guī)劃vlan作為一種網(wǎng)絡分段技術，可將廣播風暴限制在一個vlan內部，避免影響其他網(wǎng)段。與傳統(tǒng)局域網(wǎng)相比，vlan能夠更加有效地利用帶寬。在vlan中，網(wǎng)絡被邏輯地分割成廣播域，由vlan成員所發(fā)送的信息幀或數(shù)據(jù)包僅在vlan內的成員之間傳送，而不是向網(wǎng)上的所有工作站發(fā)送。這樣可減少主干網(wǎng)的流量，提高網(wǎng)絡速度。采用vlan提供的安全機制，可以限制特定用戶的訪問，控制廣播組的大小和位置，甚至鎖定網(wǎng)絡成員的mac地址，這樣