基于邊界隔離與系統(tǒng)防護(hù)的礦井網(wǎng)絡(luò)安全系統(tǒng)研究

賀胤杰，李晨鑫，魏春賢

（1.煤炭科學(xué)技術(shù)研究院有限公司，北京 100013；2.煤炭智能開采與巖層控制全國重點(diǎn)實(shí)驗(yàn)室，北京 100013；3.煤礦應(yīng)急避險(xiǎn)技術(shù)裝備工程研究中心，北京 100013；4.北京市煤礦安全工程技術(shù)研究中心，北京 100013）

0 引言

近年來，隨著智能礦山信息基礎(chǔ)設(shè)施不斷建設(shè)推廣，信息技術(shù)與自動(dòng)控制技術(shù)依托礦井網(wǎng)絡(luò)建設(shè)不斷融合應(yīng)用[1-2]。一方面，礦井各類終端設(shè)備功能不斷拓展，井下使用的礦用本安型手機(jī)等設(shè)備同時(shí)支持礦井專網(wǎng)和公網(wǎng)成為趨勢(shì)，不同網(wǎng)絡(luò)間的切換接入為礦井專網(wǎng)帶來了一定的信息安全風(fēng)險(xiǎn)[3-5]。另一方面，傳統(tǒng)的礦井網(wǎng)絡(luò)安全主要注重井上網(wǎng)絡(luò)、服務(wù)器等方面的安全防護(hù)，井下網(wǎng)絡(luò)通常被認(rèn)為是物理隔離，不存在顯著的安全隱患[6-8]。隨著智能礦山信息基礎(chǔ)設(shè)施的不斷應(yīng)用，礦井網(wǎng)絡(luò)信息化及控制面采用越來越多的通用硬件、軟件和協(xié)議，網(wǎng)絡(luò)漏洞和潛在的信息安全隱患需高度重視[9-10]。目前，國內(nèi)礦山企業(yè)雖然在井上網(wǎng)絡(luò)采取了一定的防護(hù)措施，但缺乏針對(duì)井下工業(yè)控制網(wǎng)絡(luò)的安全防護(hù)手段[11-12]。2022 年4 月，中國煤炭工業(yè)協(xié)會(huì)聯(lián)合多家單位發(fā)布了《基于工業(yè)互聯(lián)網(wǎng)的煤炭企業(yè)信息化基礎(chǔ)設(shè)施建設(shè)白皮書（2022 版）》[13]，其中指出：部分煤炭企業(yè)缺乏必要的網(wǎng)絡(luò)安全管控措施，未達(dá)到相關(guān)政策、規(guī)范要求，存在網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)。

目前研究人員開展了關(guān)于礦井網(wǎng)絡(luò)安全的研究。連龍飛等[14]研究了煤炭企業(yè)網(wǎng)絡(luò)安全管理策略，通過對(duì)遠(yuǎn)程辦公進(jìn)行訪問控制，建立網(wǎng)絡(luò)安全管理制度，完善了煤炭企業(yè)網(wǎng)絡(luò)安全管理策略。顧闖[15]研究了煤炭企業(yè)工業(yè)控制網(wǎng)絡(luò)安全防護(hù)與預(yù)測(cè)方法，應(yīng)用LM（Levenberg-Marquardt）神經(jīng)網(wǎng)絡(luò)建立了網(wǎng)絡(luò)異常預(yù)測(cè)系統(tǒng)架構(gòu)并完成了模型程序設(shè)計(jì)，實(shí)現(xiàn)了監(jiān)控系統(tǒng)網(wǎng)絡(luò)異常分類及預(yù)測(cè)預(yù)警功能。張立亞等[16]研究了礦山物聯(lián)網(wǎng)區(qū)塊鏈機(jī)制，通過部署承載了區(qū)塊鏈核心功能的邊緣計(jì)算單元，設(shè)計(jì)可信、可溯源的礦山物聯(lián)網(wǎng)數(shù)據(jù)傳輸流程，降低了礦山物聯(lián)網(wǎng)對(duì)集中化運(yùn)維的需求。張春坡[17]提出了露天煤礦工業(yè)控制網(wǎng)絡(luò)安全防護(hù)和數(shù)據(jù)采集設(shè)計(jì)方案，分布式部署采集服務(wù)器以匯總流量，然后集中進(jìn)行審計(jì)分析，實(shí)現(xiàn)了工業(yè)控制區(qū)的數(shù)據(jù)采集傳輸和安全防護(hù)。孫磊等[18]研究了煤礦企業(yè)數(shù)據(jù)中心網(wǎng)絡(luò)安全服務(wù)鏈技術(shù)，設(shè)計(jì)了數(shù)據(jù)中心安全設(shè)備的并行部署方式，實(shí)現(xiàn)了安全設(shè)備的健康狀況檢測(cè)和無感知上下線。崔文等[19]開展了露天煤礦5G 網(wǎng)絡(luò)安全研究，通過部署邊緣計(jì)算服務(wù)器來保證數(shù)據(jù)無鏈路上傳至公網(wǎng)的安全性，解決了數(shù)據(jù)泄露問題。上述研究取得了一定的成果，但主要針對(duì)露天礦山或井上環(huán)境，井下由于地理位置和特殊工作條件等因素，其網(wǎng)絡(luò)安全防護(hù)面臨不同的挑戰(zhàn)，需要對(duì)礦井網(wǎng)絡(luò)關(guān)鍵的防護(hù)隔離邊界和防護(hù)手段進(jìn)行系統(tǒng)性和針對(duì)性研究。

本文分析了礦井網(wǎng)絡(luò)安全主要風(fēng)險(xiǎn)，提出了一種基于網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)4 個(gè)子系統(tǒng)防護(hù)手段的礦井網(wǎng)絡(luò)安全系統(tǒng)，設(shè)計(jì)了相應(yīng)網(wǎng)絡(luò)架構(gòu)、安全傳輸流程、防護(hù)思路，研發(fā)了井下網(wǎng)絡(luò)安全關(guān)鍵接口設(shè)備并開展測(cè)試、認(rèn)證，構(gòu)建了礦井網(wǎng)絡(luò)安全系統(tǒng)性技術(shù)方案。

1 礦井網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

礦井網(wǎng)絡(luò)由經(jīng)營管理網(wǎng)絡(luò)和工業(yè)控制網(wǎng)絡(luò)組成，工業(yè)控制網(wǎng)絡(luò)又分為井上、井下兩部分。隨著礦用5G 等新一代移動(dòng)通信系統(tǒng)建設(shè)，礦井終端存在井下專網(wǎng)、井上公網(wǎng)的各自接入，使得礦井面臨遭受內(nèi)外部網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)，具體包括以下4 個(gè)方面：

1）隨著數(shù)據(jù)傳輸能力的提高，更多的設(shè)備和應(yīng)用被納入礦井網(wǎng)絡(luò)，導(dǎo)致更多的入口點(diǎn)供攻擊者入侵。同時(shí)，增強(qiáng)的傳輸能力意味著更大的數(shù)據(jù)流量，使得網(wǎng)絡(luò)監(jiān)控和流量分析變得更為復(fù)雜。

2）隨著智能化信息基礎(chǔ)設(shè)施建設(shè)，礦井終端具備了井上接入公網(wǎng)、井下接入專網(wǎng)的技術(shù)基礎(chǔ)，當(dāng)終端在公專網(wǎng)間切換應(yīng)用時(shí)，會(huì)將井上公網(wǎng)的安全和攻擊隱患引入井下專網(wǎng)，形成對(duì)專網(wǎng)的攻擊。

3）井下工業(yè)控制網(wǎng)絡(luò)普遍采用規(guī)范、公開的通信協(xié)議，隨著數(shù)據(jù)傳輸和自動(dòng)化控制系統(tǒng)的融合，各系統(tǒng)間缺乏有效隔離手段，攻擊者只需要入侵其中一個(gè)系統(tǒng)，就能對(duì)整個(gè)網(wǎng)絡(luò)造成破壞。

4）目前主要的網(wǎng)絡(luò)安全防護(hù)注重井上，井下特殊環(huán)境（如易爆、高濕度和封閉空間等）限制了安全設(shè)備的部署，井下網(wǎng)絡(luò)缺少防護(hù)手段和措施。

基于上述風(fēng)險(xiǎn)，定義隔離邊界和增強(qiáng)系統(tǒng)防護(hù)手段顯示出其關(guān)鍵性。通過明確隔離邊界，不僅可以有效限制潛在的入侵點(diǎn)，降低整體系統(tǒng)的攻擊面，還能確保單一系統(tǒng)部分受到攻擊時(shí)，其余關(guān)鍵部分不受影響。此外，增強(qiáng)系統(tǒng)防護(hù)手段，如分組過濾、數(shù)據(jù)加密和訪問控制，可進(jìn)一步確保數(shù)據(jù)的安全性和完整性。

同時(shí)，考慮到井下獨(dú)特的環(huán)境和工作條件，針對(duì)該環(huán)境研發(fā)設(shè)備尤為必要。這些設(shè)備應(yīng)具備高度的環(huán)境適應(yīng)性，以在易爆、高濕度及封閉環(huán)境中穩(wěn)定工作，并具備適配井下工業(yè)場(chǎng)景的安全特性，確保與工業(yè)控制系統(tǒng)和設(shè)備有效協(xié)同。

2 礦井網(wǎng)絡(luò)安全隔離邊界及系統(tǒng)架構(gòu)

2.1 礦井網(wǎng)絡(luò)安全隔離邊界

在礦井信息系統(tǒng)的3 個(gè)主要網(wǎng)絡(luò)（經(jīng)營管理網(wǎng)絡(luò)、井下工業(yè)控制網(wǎng)絡(luò)、井上工業(yè)控制網(wǎng)絡(luò)）中，數(shù)據(jù)通過傳輸網(wǎng)絡(luò)流動(dòng)，并最終存儲(chǔ)在中心的服務(wù)器區(qū)域，其邏輯架構(gòu)如圖1 所示。

圖1 礦井網(wǎng)絡(luò)傳輸邏輯架構(gòu)Fig.1 Logical architecture of mine network transmission

為確保礦井網(wǎng)絡(luò)的安全性和穩(wěn)定性，定義3 個(gè)隔離邊界，自上至下分別為經(jīng)營管理網(wǎng)絡(luò)與工業(yè)控制網(wǎng)絡(luò)隔離邊界、傳輸網(wǎng)絡(luò)與服務(wù)器區(qū)域隔離邊界、井下工業(yè)控制網(wǎng)絡(luò)與井上工業(yè)控制網(wǎng)絡(luò)隔離邊界。

1）經(jīng)營管理網(wǎng)絡(luò)與工業(yè)控制網(wǎng)絡(luò)隔離邊界。經(jīng)營管理網(wǎng)絡(luò)主要應(yīng)對(duì)日常行政任務(wù)和管理事務(wù)，如郵件和文檔管理，而工業(yè)控制網(wǎng)絡(luò)則涉及礦井的實(shí)際操作和數(shù)據(jù)收集。2 個(gè)網(wǎng)絡(luò)的性質(zhì)、用途和數(shù)據(jù)敏感性存在顯著差異，將它們隔離能夠防止惡意軟件等在網(wǎng)絡(luò)間的傳播或非授權(quán)訪問重要數(shù)據(jù)。

2）傳輸網(wǎng)絡(luò)與服務(wù)器區(qū)域隔離邊界。傳輸網(wǎng)絡(luò)是數(shù)據(jù)流動(dòng)的主要通道，而服務(wù)器區(qū)域作為數(shù)據(jù)的核心存儲(chǔ)地，包含許多敏感和關(guān)鍵數(shù)據(jù)。如果傳輸網(wǎng)絡(luò)受到攻擊，隔離策略可以保護(hù)服務(wù)器區(qū)域不受影響，反之亦然。這樣，即便某一環(huán)節(jié)出現(xiàn)安全問題，也不會(huì)影響整體系統(tǒng)的穩(wěn)定性和數(shù)據(jù)的安全性。

3）井下工業(yè)控制網(wǎng)絡(luò)與井上工業(yè)控制網(wǎng)絡(luò)隔離邊界。由于井下具有特殊的環(huán)境和工作條件，其工業(yè)控制網(wǎng)絡(luò)需求和風(fēng)險(xiǎn)與井上工業(yè)控制網(wǎng)絡(luò)有很大的差異。隔離這2 個(gè)網(wǎng)絡(luò)意味著當(dāng)井上工業(yè)控制網(wǎng)絡(luò)受到某種影響或故障時(shí)，井下操作和數(shù)據(jù)傳輸仍可以獨(dú)立穩(wěn)定地運(yùn)行，以保證礦井生產(chǎn)的連續(xù)性。另外，針對(duì)公網(wǎng)與專網(wǎng)公用的移動(dòng)終端接入，也可防護(hù)相應(yīng)的安全隱患不被轉(zhuǎn)移至井上工業(yè)控制網(wǎng)絡(luò)。

定義隔離邊界和實(shí)施安全保障對(duì)于確保礦井網(wǎng)絡(luò)的整體安全性、穩(wěn)定性和高效性具有關(guān)鍵作用。它們之間的明確分界不僅可大大減少安全威脅的潛在傳播，而且使得網(wǎng)絡(luò)管理和故障定位更為高效和明確。

2.2 礦井網(wǎng)絡(luò)安全系統(tǒng)防護(hù)架構(gòu)

本文設(shè)計(jì)從網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等風(fēng)險(xiǎn)管理角度對(duì)礦井網(wǎng)絡(luò)進(jìn)行保護(hù)，結(jié)合等級(jí)保護(hù)2.0 相關(guān)要求[20-22]，通過在工業(yè)控制網(wǎng)絡(luò)、服務(wù)器區(qū)域、井下業(yè)務(wù)網(wǎng)絡(luò)的流量出口部署網(wǎng)絡(luò)安全防護(hù)設(shè)備、網(wǎng)絡(luò)安全傳輸設(shè)備和網(wǎng)閘，來保護(hù)礦井網(wǎng)絡(luò)邊界；在礦井網(wǎng)絡(luò)中的工業(yè)主機(jī)上安裝主機(jī)衛(wèi)士軟件，實(shí)時(shí)監(jiān)控和防護(hù)主機(jī)及應(yīng)用程序；在服務(wù)器區(qū)域部署數(shù)據(jù)安全服務(wù)器（具有數(shù)據(jù)資產(chǎn)管理、數(shù)據(jù)脫敏、數(shù)據(jù)備份等功能），為礦井?dāng)?shù)據(jù)安全提供業(yè)務(wù)支持，采用網(wǎng)絡(luò)隔離、數(shù)據(jù)加密、分組過濾等技術(shù)，保障礦井場(chǎng)景下的信息安全。礦井網(wǎng)絡(luò)安全系統(tǒng)拓?fù)淙鐖D2 所示。

圖2 礦井網(wǎng)絡(luò)安全系統(tǒng)拓?fù)銯ig.2 Topology of mine network security system

2.2.1 網(wǎng)絡(luò)安全子系統(tǒng)

為了提高整體的網(wǎng)絡(luò)安全水平，針對(duì)網(wǎng)絡(luò)安全子系統(tǒng)設(shè)計(jì)了3 個(gè)分區(qū)防護(hù)模塊——經(jīng)營管理網(wǎng)絡(luò)與工業(yè)控制網(wǎng)絡(luò)分區(qū)防護(hù)模塊、傳輸網(wǎng)絡(luò)與服務(wù)器區(qū)域分區(qū)防護(hù)模塊、井下工業(yè)控制網(wǎng)絡(luò)與井上工業(yè)控制網(wǎng)絡(luò)分區(qū)防護(hù)模塊，在確保數(shù)據(jù)傳輸完整性和機(jī)密性的同時(shí)，有效隔離不同網(wǎng)絡(luò)之間的物理和邏輯連接。

1）經(jīng)營管理網(wǎng)絡(luò)與工業(yè)控制網(wǎng)絡(luò)分區(qū)防護(hù)模塊。采用網(wǎng)絡(luò)安全傳輸設(shè)備和工業(yè)網(wǎng)閘承載分區(qū)防護(hù)模塊的功能，將設(shè)備部署于經(jīng)營管理網(wǎng)絡(luò)與工業(yè)控制網(wǎng)絡(luò)的流量節(jié)點(diǎn)之間。當(dāng)經(jīng)營管理網(wǎng)絡(luò)向工業(yè)控制網(wǎng)絡(luò)傳輸數(shù)據(jù)時(shí)，數(shù)據(jù)會(huì)經(jīng)由網(wǎng)閘完成信息擺渡，然后經(jīng)網(wǎng)絡(luò)安全傳輸設(shè)備加密后流入工業(yè)控制網(wǎng)絡(luò)，確保工業(yè)控制網(wǎng)絡(luò)與非工業(yè)控制網(wǎng)絡(luò)間的物理隔離和網(wǎng)絡(luò)傳輸安全，反之亦然，如圖3 所示。

圖3 工業(yè)控制網(wǎng)絡(luò)與經(jīng)營管理網(wǎng)絡(luò)安全傳輸拓?fù)銯ig.3 Security transmission topology of industrial control network and business management network

2）傳輸網(wǎng)絡(luò)與服務(wù)器區(qū)域分區(qū)防護(hù)模塊。采用網(wǎng)絡(luò)安全傳輸設(shè)備和網(wǎng)絡(luò)安全防護(hù)設(shè)備承載分區(qū)防護(hù)模塊的功能，將設(shè)備部署于服務(wù)器區(qū)域的流量出口。當(dāng)服務(wù)器接收來自傳輸網(wǎng)絡(luò)的數(shù)據(jù)時(shí)，加密數(shù)據(jù)會(huì)經(jīng)由網(wǎng)絡(luò)安全傳輸設(shè)備完成解密處理，然后經(jīng)網(wǎng)絡(luò)安全防護(hù)設(shè)備過濾后上傳到服務(wù)器中，實(shí)現(xiàn)服務(wù)器區(qū)域和傳輸網(wǎng)絡(luò)之間的邊界防護(hù)和網(wǎng)絡(luò)傳輸安全，反之亦然，如圖4 所示。

圖4 傳輸網(wǎng)絡(luò)與服務(wù)器區(qū)域安全傳輸拓?fù)銯ig.4 Security transmission topology of transmission network and server area

3）井下工業(yè)控制網(wǎng)絡(luò)與井上工業(yè)控制網(wǎng)絡(luò)分區(qū)防護(hù)模塊。采用隔爆兼本安型網(wǎng)絡(luò)安全防護(hù)設(shè)備和隔爆兼本安型網(wǎng)絡(luò)安全傳輸設(shè)備承載分區(qū)防護(hù)模塊的功能。井下空氣含有瓦斯、粉塵等易爆物質(zhì)，需要對(duì)井下設(shè)備進(jìn)行防爆處理。通過在井下業(yè)務(wù)網(wǎng)絡(luò)的流量出口部署防爆型網(wǎng)絡(luò)安全設(shè)備，實(shí)現(xiàn)井下與井上網(wǎng)絡(luò)之間及不同井下網(wǎng)絡(luò)之間的邊界防護(hù)和網(wǎng)絡(luò)傳輸安全，如圖5 所示。

圖5 井下終端安全傳輸拓?fù)銯ig.5 Security transmission topology of underground terminals

2.2.2 主機(jī)安全子系統(tǒng)

采用主機(jī)衛(wèi)士軟件承載主機(jī)安全子系統(tǒng)的功能。在礦井網(wǎng)絡(luò)的工業(yè)主機(jī)上安裝主機(jī)衛(wèi)士，實(shí)時(shí)監(jiān)控和防護(hù)主機(jī)，確保工業(yè)主機(jī)在各個(gè)環(huán)節(jié)得到有效防護(hù)，從而維護(hù)整個(gè)工業(yè)系統(tǒng)的安全穩(wěn)定。防護(hù)思路如下：

1）對(duì)工業(yè)主機(jī)的接口實(shí)施嚴(yán)格管控，防止未經(jīng)授權(quán)的設(shè)備接入，降低病毒傳播的風(fēng)險(xiǎn)。

2）對(duì)外接設(shè)備實(shí)施讀寫權(quán)限管控，防止外設(shè)濫用和數(shù)據(jù)泄露。

3）通過對(duì)工業(yè)主機(jī)的核心參數(shù)配置進(jìn)行保護(hù)，防止非法操作或惡意軟件對(duì)其進(jìn)行篡改。這有助于確保工業(yè)主機(jī)正常運(yùn)行，維持生產(chǎn)過程的穩(wěn)定性和安全性。

2.2.3 應(yīng)用安全子系統(tǒng)

采用應(yīng)用安全管理程序承載應(yīng)用安全子系統(tǒng)的功能。在主機(jī)衛(wèi)士軟件上集成應(yīng)用安全管理程序，一并安裝在礦井網(wǎng)絡(luò)的工業(yè)主機(jī)上。當(dāng)應(yīng)用安全管理程序運(yùn)行時(shí)，應(yīng)用數(shù)據(jù)被上傳到服務(wù)器，由管理員統(tǒng)一進(jìn)行配置，實(shí)現(xiàn)對(duì)各個(gè)應(yīng)用程序安全的集中管理，防護(hù)思路如下：

1）采用應(yīng)用程序白名單技術(shù)，確保只有白名單內(nèi)的受信任程序被允許執(zhí)行，這更好地適應(yīng)了工業(yè)應(yīng)用的單一性操作，將木馬、病毒等非法程序隔離在外。

2）通過簽名機(jī)制，確保經(jīng)過簽名的可信應(yīng)用程序可以正常更新，防止更新補(bǔ)丁被非法篡改。

3）對(duì)應(yīng)用程序進(jìn)行全面的安全管理，包括設(shè)置管理、補(bǔ)丁管理、漏洞管理和版本管理等，這有助于及時(shí)發(fā)現(xiàn)并修復(fù)安全漏洞，確保應(yīng)用程序的安全穩(wěn)定運(yùn)行。

2.2.4 數(shù)據(jù)安全子系統(tǒng)

采用數(shù)據(jù)安全服務(wù)器承載數(shù)據(jù)安全子系統(tǒng)的功能，將設(shè)備部署于工業(yè)網(wǎng)服務(wù)器區(qū)域，為數(shù)據(jù)安全服務(wù)提供業(yè)務(wù)支持，防護(hù)思路如下：

1）對(duì)工業(yè)控制網(wǎng)絡(luò)中的網(wǎng)絡(luò)安全設(shè)備及軟件進(jìn)行統(tǒng)一配置和管理，并為其提供數(shù)據(jù)庫支持。

2）對(duì)用戶賬戶、授權(quán)、認(rèn)證、審計(jì)等安全元數(shù)據(jù)進(jìn)行統(tǒng)一管理，并依據(jù)資產(chǎn)安全屬性和用戶屬性設(shè)置訪問控制，確保管理權(quán)限嚴(yán)格可控。

3）在數(shù)據(jù)共享的過程中進(jìn)行脫敏、標(biāo)注、水印等處理，保障數(shù)據(jù)公開安全。

4）進(jìn)行數(shù)據(jù)備份管理，采用定時(shí)備份和增量備份等策略，確保能夠及時(shí)恢復(fù)數(shù)據(jù)。

3 井下網(wǎng)絡(luò)安全設(shè)備研制及測(cè)試

目前井下環(huán)境中缺乏針對(duì)網(wǎng)絡(luò)安全防護(hù)的專用設(shè)備。盡管常規(guī)應(yīng)用領(lǐng)域有大量的網(wǎng)絡(luò)安全設(shè)備可供選擇，但由于井下環(huán)境中存在瓦斯、粉塵、振動(dòng)、高溫、高濕等因素，這些設(shè)備無法滿足特殊需求。對(duì)此，筆者所在研究團(tuán)隊(duì)開展了井下隔爆兼本安型網(wǎng)絡(luò)安全防護(hù)設(shè)備的研發(fā)、測(cè)試、認(rèn)證工作。

3.1 KJJ83（A）礦用隔爆兼本安型網(wǎng)絡(luò)接口設(shè)計(jì)

針對(duì)有網(wǎng)絡(luò)安全需求的礦井，研發(fā)了KJJ83（A）礦用隔爆兼本安型網(wǎng)絡(luò)接口，如圖6 所示。將網(wǎng)絡(luò)安全防護(hù)設(shè)備集成于環(huán)網(wǎng)交換機(jī)中，以此組建井下光纖環(huán)網(wǎng)，作為井下集成式網(wǎng)絡(luò)安全設(shè)備，對(duì)環(huán)網(wǎng)之下的工業(yè)控制網(wǎng)絡(luò)進(jìn)行邊界隔離保護(hù)，如圖7 所示。

圖6 KJJ83（A）礦用隔爆兼本安型網(wǎng)絡(luò)接口設(shè)計(jì)Fig.6 Design of KJJ83（A）mine explosion-proof and intrinsically safety network interface

圖7 井下集成式網(wǎng)絡(luò)安全防護(hù)設(shè)備部署網(wǎng)絡(luò)拓?fù)銯ig.7 Network topology of underground integrated network security protection equipment deployment

3.2 KJJ83（G）礦用隔爆兼本安型網(wǎng)絡(luò)接口設(shè)計(jì)

針對(duì)已經(jīng)建成工業(yè)環(huán)網(wǎng)、需要升級(jí)改造、增加網(wǎng)絡(luò)安全功能的礦井，研發(fā)了KJJ83（G）礦用隔爆兼本安型網(wǎng)絡(luò)接口，如圖8 所示。設(shè)計(jì)將其部署于井下不同業(yè)務(wù)網(wǎng)絡(luò)的流量出口，作為井下獨(dú)立式網(wǎng)絡(luò)安全防護(hù)設(shè)備，對(duì)井下工業(yè)控制網(wǎng)絡(luò)的業(yè)務(wù)流進(jìn)行邊界隔離保護(hù)，如圖9 所示。

圖8 KJJ83（G）礦用隔爆兼本安型網(wǎng)絡(luò)接口設(shè)計(jì)Fig.8 Design of KJJ83（G）mine explosion-proof and intrinsically safety network interface

圖9 井下獨(dú)立式網(wǎng)絡(luò)安全防護(hù)設(shè)備部署網(wǎng)絡(luò)拓?fù)銯ig.9 Network topology of underground stand-alone network security protection equipment deployment

3.3 安全防護(hù)機(jī)制

在設(shè)計(jì)井下網(wǎng)絡(luò)安全接口設(shè)備的安全防護(hù)機(jī)制時(shí)，通過井下終端發(fā)送的數(shù)據(jù)包頭來確定目標(biāo)工業(yè)協(xié)議，基于Modbus、Profibus、IEC 61850、RTSP 等井下終端常用的工業(yè)協(xié)議，制定對(duì)應(yīng)的防護(hù)規(guī)則，對(duì)數(shù)據(jù)采集、控制信號(hào)、視頻監(jiān)控等業(yè)務(wù)流進(jìn)行安全防護(hù)，如圖10 所示。

圖10 安全防護(hù)機(jī)制設(shè)計(jì)Fig.10 Design of security protection mechanism

3.3.1 針對(duì)Modbus 協(xié)議的防護(hù)規(guī)則

Modbus 協(xié)議通常被用于數(shù)據(jù)采集，例如從各種傳感器（溫度傳感器、壓力傳感器等）獲取讀數(shù)，其防護(hù)規(guī)則如下：

1）檢測(cè)深度包。對(duì)Modbus 的報(bào)文格式進(jìn)行檢查，驗(yàn)證功能碼、寄存器值及連接狀態(tài)等信息。

2）配置白名單規(guī)則。只允許特定設(shè)備（如PLC，RTU）使用Modbus 協(xié)議與控制服務(wù)器通信。

3）監(jiān)測(cè)異常行為。對(duì)Modbus 流工控行為和協(xié)議規(guī)則進(jìn)行自學(xué)習(xí)，如果發(fā)現(xiàn)頻繁的讀寫請(qǐng)求、不符合正常工作模式的設(shè)備行為等，自動(dòng)發(fā)出警報(bào)。

4）防止DOS 攻擊。配置來自同一地址的連接數(shù)上限，限制單個(gè)設(shè)備的并發(fā)連接數(shù)。

3.3.2 針對(duì)Profibus 協(xié)議的防護(hù)規(guī)則

Profibus 協(xié)議常用于現(xiàn)場(chǎng)設(shè)備間的通信，例如傳輸自動(dòng)化設(shè)備（帶式輸送帶、提升機(jī)等）的控制信號(hào)，其防護(hù)規(guī)則如下：

1）檢測(cè)深度包。對(duì)Profibus 的報(bào)文進(jìn)行檢查，驗(yàn)證報(bào)文的格式和完整性。

2）配置白名單規(guī)則。限制特定的設(shè)備（如傳感器、執(zhí)行器）使用Profibus 協(xié)議。

3）監(jiān)測(cè)異常行為。對(duì)Profibus 流工控行為和協(xié)議規(guī)則進(jìn)行自學(xué)習(xí)，并對(duì)異常行為進(jìn)行檢測(cè)和告警。

4）防止DOS 攻擊。配置來自同一地址的連接數(shù)上限，限制單個(gè)設(shè)備的并發(fā)連接數(shù)。

3.3.3 針對(duì)IEC 61850 協(xié)議的防護(hù)規(guī)則

IEC 61850 協(xié)議廣泛應(yīng)用于電力系統(tǒng)自動(dòng)化領(lǐng)域，特別是變電站自動(dòng)化中，其防護(hù)規(guī)則如下：

1）檢測(cè)深度包。對(duì)GOOSE，SV 等IEC 61850的消息進(jìn)行檢查，防止惡意或格式錯(cuò)誤的消息傳播。

2）配置白名單規(guī)則。只允許特定設(shè)備（如保護(hù)繼電器）使用IEC 61850 協(xié)議。

3）監(jiān)測(cè)異常行為。對(duì)IEC 61850 流工控行為和協(xié)議規(guī)則進(jìn)行自學(xué)習(xí)，并對(duì)異常行為進(jìn)行檢測(cè)和告警。

4）防止DOS 攻擊。配置來自同一地址的連接數(shù)上限，限制單個(gè)設(shè)備的并發(fā)連接數(shù)。

3.3.4 針對(duì)RTSP 協(xié)議的防護(hù)規(guī)則

RTSP 協(xié)議通常用于實(shí)時(shí)系統(tǒng)中控制音頻或視頻播放，例如從監(jiān)控?cái)z像頭獲取實(shí)時(shí)視頻流，其防護(hù)規(guī)則如下：

1）檢測(cè)深度包。對(duì)RTSP 的報(bào)文進(jìn)行解析和檢查，驗(yàn)證RTSP 請(qǐng)求和響應(yīng)的格式和完整性。

2）配置白名單規(guī)則。只允許特定設(shè)備（如監(jiān)控?cái)z像頭和監(jiān)控中心）使用RTSP 協(xié)議，其他設(shè)備（如普通工作站）不允許發(fā)送或接收RTSP 流。

3）管理帶寬。對(duì)RTSP 流的帶寬進(jìn)行限制，防止其占用過多的網(wǎng)絡(luò)資源，影響其他重要業(yè)務(wù)。

4）監(jiān)測(cè)異常行為。對(duì)RTSP 流工控行為和協(xié)議規(guī)則進(jìn)行自學(xué)習(xí)，如果檢測(cè)到異常的RTSP 行為（如頻繁的播放請(qǐng)求、超出正常范圍的播放速度等），立即發(fā)出警報(bào)。

3.4 關(guān)鍵指標(biāo)測(cè)試

根據(jù)井下場(chǎng)景的應(yīng)用需求，對(duì)井下網(wǎng)絡(luò)安全接口設(shè)備進(jìn)行網(wǎng)絡(luò)攻擊識(shí)別與防護(hù)、吞吐量測(cè)試，以評(píng)估設(shè)備的安全性能和傳輸性能。

3.4.1 網(wǎng)絡(luò)攻擊識(shí)別與防護(hù)測(cè)試

發(fā)送多輪隨機(jī)種類的攻擊流量，逐步增加每輪攻擊數(shù)量，利用設(shè)備日志和網(wǎng)絡(luò)流量分析工具記錄每輪攻擊后的識(shí)別與防護(hù)結(jié)果，計(jì)算網(wǎng)絡(luò)攻擊識(shí)別率和防護(hù)率平均值，以此評(píng)估設(shè)備的安全性能。測(cè)試結(jié)果如圖11、圖12 所示。

圖11 網(wǎng)絡(luò)攻擊識(shí)別測(cè)試結(jié)果Fig.11 Test result of network attack reeognition

圖12 網(wǎng)絡(luò)攻擊防護(hù)測(cè)試結(jié)果Fig.12 Test result of network attack protection

經(jīng)計(jì)算，井下網(wǎng)絡(luò)安全接口設(shè)備的平均網(wǎng)絡(luò)攻擊識(shí)別率為98.8%，平均網(wǎng)絡(luò)攻擊防護(hù)率為98.0%，攻擊包通過的比例不大于5%。測(cè)試結(jié)果符合GB/T 20281-2020《信息安全技術(shù) 防火墻安全技術(shù)要求和測(cè)試評(píng)價(jià)方法 》中攻擊防護(hù)的性能要求，滿足井下網(wǎng)絡(luò)安全需求。

3.4.2 吞吐量測(cè)試

根據(jù)井下網(wǎng)絡(luò)安全接口設(shè)備的基礎(chǔ)參數(shù)和應(yīng)用場(chǎng)景，選擇可以滿負(fù)載運(yùn)轉(zhuǎn)的千兆接口進(jìn)行測(cè)試。在設(shè)備只有1 條允許規(guī)則和不丟包的情況下，記錄接口傳輸數(shù)據(jù)包的雙向吞吐量。

經(jīng)測(cè)試，對(duì)于常用的512 byte 數(shù)據(jù)包，網(wǎng)絡(luò)安全接口設(shè)備千兆接口的吞吐量為976.58 Mbit/s，不低于線速的95%，符合GB/T 37933-2019《信息安全技術(shù)工業(yè)控制系統(tǒng)專用防火墻技術(shù)要求》中吞吐量的性能要求，滿足井下網(wǎng)絡(luò)傳輸需求。

4 結(jié)論

1）對(duì)礦井網(wǎng)絡(luò)施行分區(qū)防護(hù)，確保了經(jīng)營管理網(wǎng)絡(luò)與工業(yè)控制網(wǎng)絡(luò)、傳輸網(wǎng)絡(luò)與服務(wù)器區(qū)域、井下與井上網(wǎng)絡(luò)及不同井下網(wǎng)絡(luò)之間的邊界隔離和網(wǎng)絡(luò)傳輸安全，減少了攻擊者找到入侵途徑的可能性。

2）對(duì)工業(yè)主機(jī)進(jìn)行接口管控及核心參數(shù)配置防篡改，并采用應(yīng)用程序白名單和簽名機(jī)制，對(duì)應(yīng)用程序的設(shè)置、補(bǔ)丁、漏洞和版本更新進(jìn)行統(tǒng)一管理，降低了工業(yè)主機(jī)及應(yīng)用面臨的安全風(fēng)險(xiǎn)。

3）對(duì)礦井?dāng)?shù)據(jù)資產(chǎn)及用戶賬戶進(jìn)行統(tǒng)一訪問控制和審計(jì)，并采用數(shù)據(jù)脫敏、標(biāo)注、水印、備份管理等措施，防止信息被泄露和篡改，確保意外情況下數(shù)據(jù)能夠及時(shí)恢復(fù)，實(shí)現(xiàn)了礦井?dāng)?shù)據(jù)的安全管理。

4）研制了KJJ83（A），KJJ83（G）2 種礦用隔爆兼本安型網(wǎng)絡(luò)接口，設(shè)計(jì)了相應(yīng)的安全防護(hù)機(jī)制，并針對(duì)接口的網(wǎng)絡(luò)攻擊識(shí)別與防護(hù)性能、吞吐量性能進(jìn)行了測(cè)試，結(jié)果表明2 種網(wǎng)絡(luò)接口在安全性能和傳輸性能方面表現(xiàn)優(yōu)異，填補(bǔ)了井下網(wǎng)絡(luò)安全防護(hù)設(shè)備的缺失。