基于邊界隔離與系統防護的礦井網絡安全系統研究

賀胤杰，李晨鑫，魏春賢

（1.煤炭科學技術研究院有限公司，北京 100013；2.煤炭智能開采與巖層控制全國重點實驗室，北京 100013；3.煤礦應急避險技術裝備工程研究中心，北京 100013；4.北京市煤礦安全工程技術研究中心，北京 100013）

0 引言

近年來，隨著智能礦山信息基礎設施不斷建設推廣，信息技術與自動控制技術依托礦井網絡建設不斷融合應用[1-2]。一方面，礦井各類終端設備功能不斷拓展，井下使用的礦用本安型手機等設備同時支持礦井專網和公網成為趨勢，不同網絡間的切換接入為礦井專網帶來了一定的信息安全風險[3-5]。另一方面，傳統的礦井網絡安全主要注重井上網絡、服務器等方面的安全防護，井下網絡通常被認為是物理隔離，不存在顯著的安全隱患[6-8]。隨著智能礦山信息基礎設施的不斷應用，礦井網絡信息化及控制面采用越來越多的通用硬件、軟件和協議，網絡漏洞和潛在的信息安全隱患需高度重視[9-10]。目前，國內礦山企業雖然在井上網絡采取了一定的防護措施，但缺乏針對井下工業控制網絡的安全防護手段[11-12]。2022 年4 月，中國煤炭工業協會聯合多家單位發布了《基于工業互聯網的煤炭企業信息化基礎設施建設白皮書（2022 版）》[13]，其中指出：部分煤炭企業缺乏必要的網絡安全管控措施，未達到相關政策、規范要求，存在網絡信息安全風險。

目前研究人員開展了關于礦井網絡安全的研究。連龍飛等[14]研究了煤炭企業網絡安全管理策略，通過對遠程辦公進行訪問控制，建立網絡安全管理制度，完善了煤炭企業網絡安全管理策略。顧闖[15]研究了煤炭企業工業控制網絡安全防護與預測方法，應用LM（Levenberg-Marquardt）神經網絡建立了網絡異常預測系統架構并完成了模型程序設計，實現了監控系統網絡異常分類及預測預警功能。張立亞等[16]研究了礦山物聯網區塊鏈機制，通過部署承載了區塊鏈核心功能的邊緣計算單元，設計可信、可溯源的礦山物聯網數據傳輸流程，降低了礦山物聯網對集中化運維的需求。張春坡[17]提出了露天煤礦工業控制網絡安全防護和數據采集設計方案，分布式部署采集服務器以匯總流量，然后集中進行審計分析，實現了工業控制區的數據采集傳輸和安全防護。孫磊等[18]研究了煤礦企業數據中心網絡安全服務鏈技術，設計了數據中心安全設備的并行部署方式，實現了安全設備的健康狀況檢測和無感知上下線。崔文等[19]開展了露天煤礦5G 網絡安全研究，通過部署邊緣計算服務器來保證數據無鏈路上傳至公網的安全性，解決了數據泄露問題。上述研究取得了一定的成果，但主要針對露天礦山或井上環境，井下由于地理位置和特殊工作條件等因素，其網絡安全防護面臨不同的挑戰，需要對礦井網絡關鍵的防護隔離邊界和防護手段進行系統性和針對性研究。

本文分析了礦井網絡安全主要風險，提出了一種基于網絡、主機、應用、數據4 個子系統防護手段的礦井網絡安全系統，設計了相應網絡架構、安全傳輸流程、防護思路，研發了井下網絡安全關鍵接口設備并開展測試、認證，構建了礦井網絡安全系統性技術方案。

1 礦井網絡安全風險分析

礦井網絡由經營管理網絡和工業控制網絡組成，工業控制網絡又分為井上、井下兩部分。隨著礦用5G 等新一代移動通信系統建設，礦井終端存在井下專網、井上公網的各自接入，使得礦井面臨遭受內外部網絡攻擊的風險，具體包括以下4 個方面：

1）隨著數據傳輸能力的提高，更多的設備和應用被納入礦井網絡，導致更多的入口點供攻擊者入侵。同時，增強的傳輸能力意味著更大的數據流量，使得網絡監控和流量分析變得更為復雜。

2）隨著智能化信息基礎設施建設，礦井終端具備了井上接入公網、井下接入專網的技術基礎，當終端在公專網間切換應用時，會將井上公網的安全和攻擊隱患引入井下專網，形成對專網的攻擊。

3）井下工業控制網絡普遍采用規范、公開的通信協議，隨著數據傳輸和自動化控制系統的融合，各系統間缺乏有效隔離手段，攻擊者只需要入侵其中一個系統，就能對整個網絡造成破壞。

4）目前主要的網絡安全防護注重井上，井下特殊環境（如易爆、高濕度和封閉空間等）限制了安全設備的部署，井下網絡缺少防護手段和措施。

基于上述風險，定義隔離邊界和增強系統防護手段顯示出其關鍵性。通過明確隔離邊界，不僅可以有效限制潛在的入侵點，降低整體系統的攻擊面，還能確保單一系統部分受到攻擊時，其余關鍵部分不受影響。此外，增強系統防護手段，如分組過濾、數據加密和訪問控制，可進一步確保數據的安全性和完整性。

同時，考慮到井下獨特的環境和工作條件，針對該環境研發設備尤為必要。這些設備應具備高度的環境適應性，以在易爆、高濕度及封閉環境中穩定工作，并具備適配井下工業場景的安全特性，確保與工業控制系統和設備有效協同。

2 礦井網絡安全隔離邊界及系統架構

2.1 礦井網絡安全隔離邊界

在礦井信息系統的3 個主要網絡（經營管理網絡、井下工業控制網絡、井上工業控制網絡）中，數據通過傳輸網絡流動，并最終存儲在中心的服務器區域，其邏輯架構如圖1 所示。

圖1 礦井網絡傳輸邏輯架構Fig.1 Logical architecture of mine network transmission

為確保礦井網絡的安全性和穩定性，定義3 個隔離邊界，自上至下分別為經營管理網絡與工業控制網絡隔離邊界、傳輸網絡與服務器區域隔離邊界、井下工業控制網絡與井上工業控制網絡隔離邊界。

1）經營管理網絡與工業控制網絡隔離邊界。經營管理網絡主要應對日常行政任務和管理事務，如郵件和文檔管理，而工業控制網絡則涉及礦井的實際操作和數據收集。2 個網絡的性質、用途和數據敏感性存在顯著差異，將它們隔離能夠防止惡意軟件等在網絡間的傳播或非授權訪問重要數據。

2）傳輸網絡與服務器區域隔離邊界。傳輸網絡是數據流動的主要通道，而服務器區域作為數據的核心存儲地，包含許多敏感和關鍵數據。如果傳輸網絡受到攻擊，隔離策略可以保護服務器區域不受影響，反之亦然。這樣，即便某一環節出現安全問題，也不會影響整體系統的穩定性和數據的安全性。

3）井下工業控制網絡與井上工業控制網絡隔離邊界。由于井下具有特殊的環境和工作條件，其工業控制網絡需求和風險與井上工業控制網絡有很大的差異。隔離這2 個網絡意味著當井上工業控制網絡受到某種影響或故障時，井下操作和數據傳輸仍可以獨立穩定地運行，以保證礦井生產的連續性。另外，針對公網與專網公用的移動終端接入，也可防護相應的安全隱患不被轉移至井上工業控制網絡。

定義隔離邊界和實施安全保障對于確保礦井網絡的整體安全性、穩定性和高效性具有關鍵作用。它們之間的明確分界不僅可大大減少安全威脅的潛在傳播，而且使得網絡管理和故障定位更為高效和明確。

2.2 礦井網絡安全系統防護架構

本文設計從網絡安全、主機安全、應用安全、數據安全等風險管理角度對礦井網絡進行保護，結合等級保護2.0 相關要求[20-22]，通過在工業控制網絡、服務器區域、井下業務網絡的流量出口部署網絡安全防護設備、網絡安全傳輸設備和網閘，來保護礦井網絡邊界；在礦井網絡中的工業主機上安裝主機衛士軟件，實時監控和防護主機及應用程序；在服務器區域部署數據安全服務器（具有數據資產管理、數據脫敏、數據備份等功能），為礦井數據安全提供業務支持，采用網絡隔離、數據加密、分組過濾等技術，保障礦井場景下的信息安全。礦井網絡安全系統拓撲如圖2 所示。

圖2 礦井網絡安全系統拓撲Fig.2 Topology of mine network security system

2.2.1 網絡安全子系統

為了提高整體的網絡安全水平，針對網絡安全子系統設計了3 個分區防護模塊——經營管理網絡與工業控制網絡分區防護模塊、傳輸網絡與服務器區域分區防護模塊、井下工業控制網絡與井上工業控制網絡分區防護模塊，在確保數據傳輸完整性和機密性的同時，有效隔離不同網絡之間的物理和邏輯連接。

1）經營管理網絡與工業控制網絡分區防護模塊。采用網絡安全傳輸設備和工業網閘承載分區防護模塊的功能，將設備部署于經營管理網絡與工業控制網絡的流量節點之間。當經營管理網絡向工業控制網絡傳輸數據時，數據會經由網閘完成信息擺渡，然后經網絡安全傳輸設備加密后流入工業控制網絡，確保工業控制網絡與非工業控制網絡間的物理隔離和網絡傳輸安全，反之亦然，如圖3 所示。

圖3 工業控制網絡與經營管理網絡安全傳輸拓撲Fig.3 Security transmission topology of industrial control network and business management network

2）傳輸網絡與服務器區域分區防護模塊。采用網絡安全傳輸設備和網絡安全防護設備承載分區防護模塊的功能，將設備部署于服務器區域的流量出口。當服務器接收來自傳輸網絡的數據時，加密數據會經由網絡安全傳輸設備完成解密處理，然后經網絡安全防護設備過濾后上傳到服務器中，實現服務器區域和傳輸網絡之間的邊界防護和網絡傳輸安全，反之亦然，如圖4 所示。

圖4 傳輸網絡與服務器區域安全傳輸拓撲Fig.4 Security transmission topology of transmission network and server area

3）井下工業控制網絡與井上工業控制網絡分區防護模塊。采用隔爆兼本安型網絡安全防護設備和隔爆兼本安型網絡安全傳輸設備承載分區防護模塊的功能。井下空氣含有瓦斯、粉塵等易爆物質，需要對井下設備進行防爆處理。通過在井下業務網絡的流量出口部署防爆型網絡安全設備，實現井下與井上網絡之間及不同井下網絡之間的邊界防護和網絡傳輸安全，如圖5 所示。

圖5 井下終端安全傳輸拓撲Fig.5 Security transmission topology of underground terminals

2.2.2 主機安全子系統

采用主機衛士軟件承載主機安全子系統的功能。在礦井網絡的工業主機上安裝主機衛士，實時監控和防護主機，確保工業主機在各個環節得到有效防護，從而維護整個工業系統的安全穩定。防護思路如下：

1）對工業主機的接口實施嚴格管控，防止未經授權的設備接入，降低病毒傳播的風險。

2）對外接設備實施讀寫權限管控，防止外設濫用和數據泄露。

3）通過對工業主機的核心參數配置進行保護，防止非法操作或惡意軟件對其進行篡改。這有助于確保工業主機正常運行，維持生產過程的穩定性和安全性。

2.2.3 應用安全子系統

采用應用安全管理程序承載應用安全子系統的功能。在主機衛士軟件上集成應用安全管理程序，一并安裝在礦井網絡的工業主機上。當應用安全管理程序運行時，應用數據被上傳到服務器，由管理員統一進行配置，實現對各個應用程序安全的集中管理，防護思路如下：

1）采用應用程序白名單技術，確保只有白名單內的受信任程序被允許執行，這更好地適應了工業應用的單一性操作，將木馬、病毒等非法程序隔離在外。

2）通過簽名機制，確保經過簽名的可信應用程序可以正常更新，防止更新補丁被非法篡改。

3）對應用程序進行全面的安全管理，包括設置管理、補丁管理、漏洞管理和版本管理等，這有助于及時發現并修復安全漏洞，確保應用程序的安全穩定運行。

2.2.4 數據安全子系統

采用數據安全服務器承載數據安全子系統的功能，將設備部署于工業網服務器區域，為數據安全服務提供業務支持，防護思路如下：

1）對工業控制網絡中的網絡安全設備及軟件進行統一配置和管理，并為其提供數據庫支持。

2）對用戶賬戶、授權、認證、審計等安全元數據進行統一管理，并依據資產安全屬性和用戶屬性設置訪問控制，確保管理權限嚴格可控。

3）在數據共享的過程中進行脫敏、標注、水印等處理，保障數據公開安全。

4）進行數據備份管理，采用定時備份和增量備份等策略，確保能夠及時恢復數據。

3 井下網絡安全設備研制及測試

目前井下環境中缺乏針對網絡安全防護的專用設備。盡管常規應用領域有大量的網絡安全設備可供選擇，但由于井下環境中存在瓦斯、粉塵、振動、高溫、高濕等因素，這些設備無法滿足特殊需求。對此，筆者所在研究團隊開展了井下隔爆兼本安型網絡安全防護設備的研發、測試、認證工作。

3.1 KJJ83（A）礦用隔爆兼本安型網絡接口設計

針對有網絡安全需求的礦井，研發了KJJ83（A）礦用隔爆兼本安型網絡接口，如圖6 所示。將網絡安全防護設備集成于環網交換機中，以此組建井下光纖環網，作為井下集成式網絡安全設備，對環網之下的工業控制網絡進行邊界隔離保護，如圖7 所示。

圖6 KJJ83（A）礦用隔爆兼本安型網絡接口設計Fig.6 Design of KJJ83（A）mine explosion-proof and intrinsically safety network interface

圖7 井下集成式網絡安全防護設備部署網絡拓撲Fig.7 Network topology of underground integrated network security protection equipment deployment

3.2 KJJ83（G）礦用隔爆兼本安型網絡接口設計

針對已經建成工業環網、需要升級改造、增加網絡安全功能的礦井，研發了KJJ83（G）礦用隔爆兼本安型網絡接口，如圖8 所示。設計將其部署于井下不同業務網絡的流量出口，作為井下獨立式網絡安全防護設備，對井下工業控制網絡的業務流進行邊界隔離保護，如圖9 所示。

圖8 KJJ83（G）礦用隔爆兼本安型網絡接口設計Fig.8 Design of KJJ83（G）mine explosion-proof and intrinsically safety network interface

圖9 井下獨立式網絡安全防護設備部署網絡拓撲Fig.9 Network topology of underground stand-alone network security protection equipment deployment

3.3 安全防護機制

在設計井下網絡安全接口設備的安全防護機制時，通過井下終端發送的數據包頭來確定目標工業協議，基于Modbus、Profibus、IEC 61850、RTSP 等井下終端常用的工業協議，制定對應的防護規則，對數據采集、控制信號、視頻監控等業務流進行安全防護，如圖10 所示。

圖10 安全防護機制設計Fig.10 Design of security protection mechanism

3.3.1 針對Modbus 協議的防護規則

Modbus 協議通常被用于數據采集，例如從各種傳感器（溫度傳感器、壓力傳感器等）獲取讀數，其防護規則如下：

1）檢測深度包。對Modbus 的報文格式進行檢查，驗證功能碼、寄存器值及連接狀態等信息。

2）配置白名單規則。只允許特定設備（如PLC，RTU）使用Modbus 協議與控制服務器通信。

3）監測異常行為。對Modbus 流工控行為和協議規則進行自學習，如果發現頻繁的讀寫請求、不符合正常工作模式的設備行為等，自動發出警報。

4）防止DOS 攻擊。配置來自同一地址的連接數上限，限制單個設備的并發連接數。

3.3.2 針對Profibus 協議的防護規則

Profibus 協議常用于現場設備間的通信，例如傳輸自動化設備（帶式輸送帶、提升機等）的控制信號，其防護規則如下：

1）檢測深度包。對Profibus 的報文進行檢查，驗證報文的格式和完整性。

2）配置白名單規則。限制特定的設備（如傳感器、執行器）使用Profibus 協議。

3）監測異常行為。對Profibus 流工控行為和協議規則進行自學習，并對異常行為進行檢測和告警。

4）防止DOS 攻擊。配置來自同一地址的連接數上限，限制單個設備的并發連接數。

3.3.3 針對IEC 61850 協議的防護規則

IEC 61850 協議廣泛應用于電力系統自動化領域，特別是變電站自動化中，其防護規則如下：

1）檢測深度包。對GOOSE，SV 等IEC 61850的消息進行檢查，防止惡意或格式錯誤的消息傳播。

2）配置白名單規則。只允許特定設備（如保護繼電器）使用IEC 61850 協議。

3）監測異常行為。對IEC 61850 流工控行為和協議規則進行自學習，并對異常行為進行檢測和告警。

4）防止DOS 攻擊。配置來自同一地址的連接數上限，限制單個設備的并發連接數。

3.3.4 針對RTSP 協議的防護規則

RTSP 協議通常用于實時系統中控制音頻或視頻播放，例如從監控攝像頭獲取實時視頻流，其防護規則如下：

1）檢測深度包。對RTSP 的報文進行解析和檢查，驗證RTSP 請求和響應的格式和完整性。

2）配置白名單規則。只允許特定設備（如監控攝像頭和監控中心）使用RTSP 協議，其他設備（如普通工作站）不允許發送或接收RTSP 流。

3）管理帶寬。對RTSP 流的帶寬進行限制，防止其占用過多的網絡資源，影響其他重要業務。

4）監測異常行為。對RTSP 流工控行為和協議規則進行自學習，如果檢測到異常的RTSP 行為（如頻繁的播放請求、超出正常范圍的播放速度等），立即發出警報。

3.4 關鍵指標測試

根據井下場景的應用需求，對井下網絡安全接口設備進行網絡攻擊識別與防護、吞吐量測試，以評估設備的安全性能和傳輸性能。

3.4.1 網絡攻擊識別與防護測試

發送多輪隨機種類的攻擊流量，逐步增加每輪攻擊數量，利用設備日志和網絡流量分析工具記錄每輪攻擊后的識別與防護結果，計算網絡攻擊識別率和防護率平均值，以此評估設備的安全性能。測試結果如圖11、圖12 所示。

圖11 網絡攻擊識別測試結果Fig.11 Test result of network attack reeognition

圖12 網絡攻擊防護測試結果Fig.12 Test result of network attack protection

經計算，井下網絡安全接口設備的平均網絡攻擊識別率為98.8%，平均網絡攻擊防護率為98.0%，攻擊包通過的比例不大于5%。測試結果符合GB/T 20281-2020《信息安全技術 防火墻安全技術要求和測試評價方法 》中攻擊防護的性能要求，滿足井下網絡安全需求。

3.4.2 吞吐量測試

根據井下網絡安全接口設備的基礎參數和應用場景，選擇可以滿負載運轉的千兆接口進行測試。在設備只有1 條允許規則和不丟包的情況下，記錄接口傳輸數據包的雙向吞吐量。

經測試，對于常用的512 byte 數據包，網絡安全接口設備千兆接口的吞吐量為976.58 Mbit/s，不低于線速的95%，符合GB/T 37933-2019《信息安全技術工業控制系統專用防火墻技術要求》中吞吐量的性能要求，滿足井下網絡傳輸需求。

4 結論

1）對礦井網絡施行分區防護，確保了經營管理網絡與工業控制網絡、傳輸網絡與服務器區域、井下與井上網絡及不同井下網絡之間的邊界隔離和網絡傳輸安全，減少了攻擊者找到入侵途徑的可能性。

2）對工業主機進行接口管控及核心參數配置防篡改，并采用應用程序白名單和簽名機制，對應用程序的設置、補丁、漏洞和版本更新進行統一管理，降低了工業主機及應用面臨的安全風險。

3）對礦井數據資產及用戶賬戶進行統一訪問控制和審計，并采用數據脫敏、標注、水印、備份管理等措施，防止信息被泄露和篡改，確保意外情況下數據能夠及時恢復，實現了礦井數據的安全管理。

4）研制了KJJ83（A），KJJ83（G）2 種礦用隔爆兼本安型網絡接口，設計了相應的安全防護機制，并針對接口的網絡攻擊識別與防護性能、吞吐量性能進行了測試，結果表明2 種網絡接口在安全性能和傳輸性能方面表現優異，填補了井下網絡安全防護設備的缺失。