贺胤杰，李晨鑫，魏春贤

（1.煤炭科学技术研究院有限公司，北京 100013；2.煤炭智能开采与岩层控制全国重点实验室，北京 100013；3.煤矿应急避险技术装备工程研究中心，北京 100013；4.北京市煤矿安全工程技术研究中心，北京 100013）

0 引言

近年来，随着智能矿山信息基础设施不断建设推广，信息技术与自动控制技术依托矿井网络建设不断融合应用[1-2]。一方面，矿井各类终端设备功能不断拓展，井下使用的矿用本安型手机等设备同时支持矿井专网和公网成为趋势，不同网络间的切换接入为矿井专网带来了一定的信息安全风险[3-5]。另一方面，传统的矿井网络安全主要注重井上网络、服务器等方面的安全防护，井下网络通常被认为是物理隔离，不存在显著的安全隐患[6-8]。随着智能矿山信息基础设施的不断应用，矿井网络信息化及控制面采用越来越多的通用硬件、软件和协议，网络漏洞和潜在的信息安全隐患需高度重视[9-10]。目前，国内矿山企业虽然在井上网络采取了一定的防护措施，但缺乏针对井下工业控制网络的安全防护手段[11-12]。2022 年4 月，中国煤炭工业协会联合多家单位发布了《基于工业互联网的煤炭企业信息化基础设施建设白皮书（2022 版）》[13]，其中指出：部分煤炭企业缺乏必要的网络安全管控措施，未达到相关政策、规范要求，存在网络信息安全风险。

目前研究人员开展了关于矿井网络安全的研究。连龙飞等[14]研究了煤炭企业网络安全管理策略，通过对远程办公进行访问控制，建立网络安全管理制度，完善了煤炭企业网络安全管理策略。顾闯[15]研究了煤炭企业工业控制网络安全防护与预测方法，应用LM（Levenberg-Marquardt）神经网络建立了网络异常预测系统架构并完成了模型程序设计，实现了监控系统网络异常分类及预测预警功能。张立亚等[16]研究了矿山物联网区块链机制，通过部署承载了区块链核心功能的边缘计算单元，设计可信、可溯源的矿山物联网数据传输流程，降低了矿山物联网对集中化运维的需求。张春坡[17]提出了露天煤矿工业控制网络安全防护和数据采集设计方案，分布式部署采集服务器以汇总流量，然后集中进行审计分析，实现了工业控制区的数据采集传输和安全防护。孙磊等[18]研究了煤矿企业数据中心网络安全服务链技术，设计了数据中心安全设备的并行部署方式，实现了安全设备的健康状况检测和无感知上下线。崔文等[19]开展了露天煤矿5G 网络安全研究，通过部署边缘计算服务器来保证数据无链路上传至公网的安全性，解决了数据泄露问题。上述研究取得了一定的成果，但主要针对露天矿山或井上环境，井下由于地理位置和特殊工作条件等因素，其网络安全防护面临不同的挑战，需要对矿井网络关键的防护隔离边界和防护手段进行系统性和针对性研究。

本文分析了矿井网络安全主要风险，提出了一种基于网络、主机、应用、数据4 个子系统防护手段的矿井网络安全系统，设计了相应网络架构、安全传输流程、防护思路，研发了井下网络安全关键接口设备并开展测试、认证，构建了矿井网络安全系统性技术方案。

1 矿井网络安全风险分析

矿井网络由经营管理网络和工业控制网络组成，工业控制网络又分为井上、井下两部分。随着矿用5G 等新一代移动通信系统建设，矿井终端存在井下专网、井上公网的各自接入，使得矿井面临遭受内外部网络攻击的风险，具体包括以下4 个方面：

1）随着数据传输能力的提高，更多的设备和应用被纳入矿井网络，导致更多的入口点供攻击者入侵。同时，增强的传输能力意味着更大的数据流量，使得网络监控和流量分析变得更为复杂。

2）随着智能化信息基础设施建设，矿井终端具备了井上接入公网、井下接入专网的技术基础，当终端在公专网间切换应用时，会将井上公网的安全和攻击隐患引入井下专网，形成对专网的攻击。

3）井下工业控制网络普遍采用规范、公开的通信协议，随着数据传输和自动化控制系统的融合，各系统间缺乏有效隔离手段，攻击者只需要入侵其中一个系统，就能对整个网络造成破坏。

4）目前主要的网络安全防护注重井上，井下特殊环境（如易爆、高湿度和封闭空间等）限制了安全设备的部署，井下网络缺少防护手段和措施。

基于上述风险，定义隔离边界和增强系统防护手段显示出其关键性。通过明确隔离边界，不仅可以有效限制潜在的入侵点，降低整体系统的攻击面，还能确保单一系统部分受到攻击时，其余关键部分不受影响。此外，增强系统防护手段，如分组过滤、数据加密和访问控制，可进一步确保数据的安全性和完整性。

同时，考虑到井下独特的环境和工作条件，针对该环境研发设备尤为必要。这些设备应具备高度的环境适应性，以在易爆、高湿度及封闭环境中稳定工作，并具备适配井下工业场景的安全特性，确保与工业控制系统和设备有效协同。

2 矿井网络安全隔离边界及系统架构

2.1 矿井网络安全隔离边界

在矿井信息系统的3 个主要网络（经营管理网络、井下工业控制网络、井上工业控制网络）中，数据通过传输网络流动，并最终存储在中心的服务器区域，其逻辑架构如图1 所示。

图1 矿井网络传输逻辑架构Fig.1 Logical architecture of mine network transmission

为确保矿井网络的安全性和稳定性，定义3 个隔离边界，自上至下分别为经营管理网络与工业控制网络隔离边界、传输网络与服务器区域隔离边界、井下工业控制网络与井上工业控制网络隔离边界。

1）经营管理网络与工业控制网络隔离边界。经营管理网络主要应对日常行政任务和管理事务，如邮件和文档管理，而工业控制网络则涉及矿井的实际操作和数据收集。2 个网络的性质、用途和数据敏感性存在显著差异，将它们隔离能够防止恶意软件等在网络间的传播或非授权访问重要数据。

2）传输网络与服务器区域隔离边界。传输网络是数据流动的主要通道，而服务器区域作为数据的核心存储地，包含许多敏感和关键数据。如果传输网络受到攻击，隔离策略可以保护服务器区域不受影响，反之亦然。这样，即便某一环节出现安全问题，也不会影响整体系统的稳定性和数据的安全性。

3）井下工业控制网络与井上工业控制网络隔离边界。由于井下具有特殊的环境和工作条件，其工业控制网络需求和风险与井上工业控制网络有很大的差异。隔离这2 个网络意味着当井上工业控制网络受到某种影响或故障时，井下操作和数据传输仍可以独立稳定地运行，以保证矿井生产的连续性。另外，针对公网与专网公用的移动终端接入，也可防护相应的安全隐患不被转移至井上工业控制网络。

定义隔离边界和实施安全保障对于确保矿井网络的整体安全性、稳定性和高效性具有关键作用。它们之间的明确分界不仅可大大减少安全威胁的潜在传播，而且使得网络管理和故障定位更为高效和明确。

2.2 矿井网络安全系统防护架构

本文设计从网络安全、主机安全、应用安全、数据安全等风险管理角度对矿井网络进行保护，结合等级保护2.0 相关要求[20-22]，通过在工业控制网络、服务器区域、井下业务网络的流量出口部署网络安全防护设备、网络安全传输设备和网闸，来保护矿井网络边界；在矿井网络中的工业主机上安装主机卫士软件，实时监控和防护主机及应用程序；在服务器区域部署数据安全服务器（具有数据资产管理、数据脱敏、数据备份等功能），为矿井数据安全提供业务支持，采用网络隔离、数据加密、分组过滤等技术，保障矿井场景下的信息安全。矿井网络安全系统拓扑如图2 所示。

图2 矿井网络安全系统拓扑Fig.2 Topology of mine network security system

2.2.1 网络安全子系统

为了提高整体的网络安全水平，针对网络安全子系统设计了3 个分区防护模块——经营管理网络与工业控制网络分区防护模块、传输网络与服务器区域分区防护模块、井下工业控制网络与井上工业控制网络分区防护模块，在确保数据传输完整性和机密性的同时，有效隔离不同网络之间的物理和逻辑连接。

1）经营管理网络与工业控制网络分区防护模块。采用网络安全传输设备和工业网闸承载分区防护模块的功能，将设备部署于经营管理网络与工业控制网络的流量节点之间。当经营管理网络向工业控制网络传输数据时，数据会经由网闸完成信息摆渡，然后经网络安全传输设备加密后流入工业控制网络，确保工业控制网络与非工业控制网络间的物理隔离和网络传输安全，反之亦然，如图3 所示。

图3 工业控制网络与经营管理网络安全传输拓扑Fig.3 Security transmission topology of industrial control network and business management network

2）传输网络与服务器区域分区防护模块。采用网络安全传输设备和网络安全防护设备承载分区防护模块的功能，将设备部署于服务器区域的流量出口。当服务器接收来自传输网络的数据时，加密数据会经由网络安全传输设备完成解密处理，然后经网络安全防护设备过滤后上传到服务器中，实现服务器区域和传输网络之间的边界防护和网络传输安全，反之亦然，如图4 所示。

图4 传输网络与服务器区域安全传输拓扑Fig.4 Security transmission topology of transmission network and server area

3）井下工业控制网络与井上工业控制网络分区防护模块。采用隔爆兼本安型网络安全防护设备和隔爆兼本安型网络安全传输设备承载分区防护模块的功能。井下空气含有瓦斯、粉尘等易爆物质，需要对井下设备进行防爆处理。通过在井下业务网络的流量出口部署防爆型网络安全设备，实现井下与井上网络之间及不同井下网络之间的边界防护和网络传输安全，如图5 所示。

图5 井下终端安全传输拓扑Fig.5 Security transmission topology of underground terminals

2.2.2 主机安全子系统

采用主机卫士软件承载主机安全子系统的功能。在矿井网络的工业主机上安装主机卫士，实时监控和防护主机，确保工业主机在各个环节得到有效防护，从而维护整个工业系统的安全稳定。防护思路如下：

1）对工业主机的接口实施严格管控，防止未经授权的设备接入，降低病毒传播的风险。

2）对外接设备实施读写权限管控，防止外设滥用和数据泄露。

3）通过对工业主机的核心参数配置进行保护，防止非法操作或恶意软件对其进行篡改。这有助于确保工业主机正常运行，维持生产过程的稳定性和安全性。

2.2.3 应用安全子系统

采用应用安全管理程序承载应用安全子系统的功能。在主机卫士软件上集成应用安全管理程序，一并安装在矿井网络的工业主机上。当应用安全管理程序运行时，应用数据被上传到服务器，由管理员统一进行配置，实现对各个应用程序安全的集中管理，防护思路如下：

1）采用应用程序白名单技术，确保只有白名单内的受信任程序被允许执行，这更好地适应了工业应用的单一性操作，将木马、病毒等非法程序隔离在外。

2）通过签名机制，确保经过签名的可信应用程序可以正常更新，防止更新补丁被非法篡改。

3）对应用程序进行全面的安全管理，包括设置管理、补丁管理、漏洞管理和版本管理等，这有助于及时发现并修复安全漏洞，确保应用程序的安全稳定运行。

2.2.4 数据安全子系统

采用数据安全服务器承载数据安全子系统的功能，将设备部署于工业网服务器区域，为数据安全服务提供业务支持，防护思路如下：

1）对工业控制网络中的网络安全设备及软件进行统一配置和管理，并为其提供数据库支持。

2）对用户账户、授权、认证、审计等安全元数据进行统一管理，并依据资产安全属性和用户属性设置访问控制，确保管理权限严格可控。

3）在数据共享的过程中进行脱敏、标注、水印等处理，保障数据公开安全。

4）进行数据备份管理，采用定时备份和增量备份等策略，确保能够及时恢复数据。

3 井下网络安全设备研制及测试

目前井下环境中缺乏针对网络安全防护的专用设备。尽管常规应用领域有大量的网络安全设备可供选择，但由于井下环境中存在瓦斯、粉尘、振动、高温、高湿等因素，这些设备无法满足特殊需求。对此，笔者所在研究团队开展了井下隔爆兼本安型网络安全防护设备的研发、测试、认证工作。

3.1 KJJ83（A）矿用隔爆兼本安型网络接口设计

针对有网络安全需求的矿井，研发了KJJ83（A）矿用隔爆兼本安型网络接口，如图6 所示。将网络安全防护设备集成于环网交换机中，以此组建井下光纤环网，作为井下集成式网络安全设备，对环网之下的工业控制网络进行边界隔离保护，如图7 所示。

图6 KJJ83（A）矿用隔爆兼本安型网络接口设计Fig.6 Design of KJJ83（A）mine explosion-proof and intrinsically safety network interface

图7 井下集成式网络安全防护设备部署网络拓扑Fig.7 Network topology of underground integrated network security protection equipment deployment

3.2 KJJ83（G）矿用隔爆兼本安型网络接口设计

针对已经建成工业环网、需要升级改造、增加网络安全功能的矿井，研发了KJJ83（G）矿用隔爆兼本安型网络接口，如图8 所示。设计将其部署于井下不同业务网络的流量出口，作为井下独立式网络安全防护设备，对井下工业控制网络的业务流进行边界隔离保护，如图9 所示。

图8 KJJ83（G）矿用隔爆兼本安型网络接口设计Fig.8 Design of KJJ83（G）mine explosion-proof and intrinsically safety network interface

图9 井下独立式网络安全防护设备部署网络拓扑Fig.9 Network topology of underground stand-alone network security protection equipment deployment

3.3 安全防护机制

在设计井下网络安全接口设备的安全防护机制时，通过井下终端发送的数据包头来确定目标工业协议，基于Modbus、Profibus、IEC 61850、RTSP 等井下终端常用的工业协议，制定对应的防护规则，对数据采集、控制信号、视频监控等业务流进行安全防护，如图10 所示。

图10 安全防护机制设计Fig.10 Design of security protection mechanism

3.3.1 针对Modbus 协议的防护规则

Modbus 协议通常被用于数据采集，例如从各种传感器（温度传感器、压力传感器等）获取读数，其防护规则如下：

1）检测深度包。对Modbus 的报文格式进行检查，验证功能码、寄存器值及连接状态等信息。

2）配置白名单规则。只允许特定设备（如PLC，RTU）使用Modbus 协议与控制服务器通信。

3）监测异常行为。对Modbus 流工控行为和协议规则进行自学习，如果发现频繁的读写请求、不符合正常工作模式的设备行为等，自动发出警报。

4）防止DOS 攻击。配置来自同一地址的连接数上限，限制单个设备的并发连接数。

3.3.2 针对Profibus 协议的防护规则

Profibus 协议常用于现场设备间的通信，例如传输自动化设备（带式输送带、提升机等）的控制信号，其防护规则如下：

1）检测深度包。对Profibus 的报文进行检查，验证报文的格式和完整性。

2）配置白名单规则。限制特定的设备（如传感器、执行器）使用Profibus 协议。

3）监测异常行为。对Profibus 流工控行为和协议规则进行自学习，并对异常行为进行检测和告警。

4）防止DOS 攻击。配置来自同一地址的连接数上限，限制单个设备的并发连接数。

3.3.3 针对IEC 61850 协议的防护规则

IEC 61850 协议广泛应用于电力系统自动化领域，特别是变电站自动化中，其防护规则如下：

1）检测深度包。对GOOSE，SV 等IEC 61850的消息进行检查，防止恶意或格式错误的消息传播。

2）配置白名单规则。只允许特定设备（如保护继电器）使用IEC 61850 协议。

3）监测异常行为。对IEC 61850 流工控行为和协议规则进行自学习，并对异常行为进行检测和告警。

4）防止DOS 攻击。配置来自同一地址的连接数上限，限制单个设备的并发连接数。

3.3.4 针对RTSP 协议的防护规则

RTSP 协议通常用于实时系统中控制音频或视频播放，例如从监控摄像头获取实时视频流，其防护规则如下：

1）检测深度包。对RTSP 的报文进行解析和检查，验证RTSP 请求和响应的格式和完整性。

2）配置白名单规则。只允许特定设备（如监控摄像头和监控中心）使用RTSP 协议，其他设备（如普通工作站）不允许发送或接收RTSP 流。

3）管理带宽。对RTSP 流的带宽进行限制，防止其占用过多的网络资源，影响其他重要业务。

4）监测异常行为。对RTSP 流工控行为和协议规则进行自学习，如果检测到异常的RTSP 行为（如频繁的播放请求、超出正常范围的播放速度等），立即发出警报。

3.4 关键指标测试

根据井下场景的应用需求，对井下网络安全接口设备进行网络攻击识别与防护、吞吐量测试，以评估设备的安全性能和传输性能。

3.4.1 网络攻击识别与防护测试

发送多轮随机种类的攻击流量，逐步增加每轮攻击数量，利用设备日志和网络流量分析工具记录每轮攻击后的识别与防护结果，计算网络攻击识别率和防护率平均值，以此评估设备的安全性能。测试结果如图11、图12 所示。

图11 网络攻击识别测试结果Fig.11 Test result of network attack reeognition

图12 网络攻击防护测试结果Fig.12 Test result of network attack protection

经计算，井下网络安全接口设备的平均网络攻击识别率为98.8%，平均网络攻击防护率为98.0%，攻击包通过的比例不大于5%。测试结果符合GB/T 20281-2020《信息安全技术 防火墙安全技术要求和测试评价方法 》中攻击防护的性能要求，满足井下网络安全需求。

3.4.2 吞吐量测试

根据井下网络安全接口设备的基础参数和应用场景，选择可以满负载运转的千兆接口进行测试。在设备只有1 条允许规则和不丢包的情况下，记录接口传输数据包的双向吞吐量。

经测试，对于常用的512 byte 数据包，网络安全接口设备千兆接口的吞吐量为976.58 Mbit/s，不低于线速的95%，符合GB/T 37933-2019《信息安全技术工业控制系统专用防火墙技术要求》中吞吐量的性能要求，满足井下网络传输需求。

4 结论

1）对矿井网络施行分区防护，确保了经营管理网络与工业控制网络、传输网络与服务器区域、井下与井上网络及不同井下网络之间的边界隔离和网络传输安全，减少了攻击者找到入侵途径的可能性。

2）对工业主机进行接口管控及核心参数配置防篡改，并采用应用程序白名单和签名机制，对应用程序的设置、补丁、漏洞和版本更新进行统一管理，降低了工业主机及应用面临的安全风险。

3）对矿井数据资产及用户账户进行统一访问控制和审计，并采用数据脱敏、标注、水印、备份管理等措施，防止信息被泄露和篡改，确保意外情况下数据能够及时恢复，实现了矿井数据的安全管理。

4）研制了KJJ83（A），KJJ83（G）2 种矿用隔爆兼本安型网络接口，设计了相应的安全防护机制，并针对接口的网络攻击识别与防护性能、吞吐量性能进行了测试，结果表明2 种网络接口在安全性能和传输性能方面表现优异，填补了井下网络安全防护设备的缺失。