《煤矿井下以太环网方案讲解.doc》由会员分享,可在线阅读,更多相关《煤矿井下以太环网方案讲解.doc(54页珍藏版)》请在三一办公上搜索。
1、山西金地煤焦有限公司赤峪煤矿工业以太环网系统建设方案建设单位:山西金地煤焦有限公司赤峪煤矿供货单位:中煤科工集团重庆研究院日期:2011年8月目录前言 3第一章 系统实施原则及建设内容规划 31.1系统设计原则 31.2系统设计依据 51.3总体结构设计 61.4项目达到的效果 6第二章 千兆工业以太环网平台 82.1网络拓扑结构设计 82.2其他技术要求 102.3主要设备技术参数 122.3.1 核心交换机(MACH4002-48G-L3PEHC) 122.3.2 地面环网交换机(MS4128-L2P) 132.3.3 井下环网防爆交换机(KJJ137) 132.3.4 N3200入侵检测
2、系统 152.3.5 防火墙H3C NS-SecPath U200-CA-AC 172.3.6 路由器H3C NS-SecPath U200-CA-AC 192.3.7 网闸(ViGapV6.5-300S-MK) 202.3.8 磁盘阵列柜(DS3500) 23第三章 软件集成平台 243.1软件平台的架构 243.2子系统汇接方式 253.2.1 上位机接入方式 253.2.2 PLC接入方式 253.2.3 嵌入式控制器接入方式 263.2.4 扩展接入方式 273.3数据交互方式 283.3.1 OPC方式 283.3.2 DDE/NetDDE方式 283.3.3 ODBC方式 283.
3、3.4 FTP文件方式 293.4子系统接入 293.5功能 293.5.1 综合自动化模块功能 293.5.2 综合分析模块功能 303.5.3 平台配置管理功能 31第四章 技术培训 32第五章 售后服务承诺 325.1质保期内 325.2 质保期外 32附件:设备配置清单 34前言1 本技术方案的使用范围仅限于山西金地集团赤峪煤矿综合自动化系统。2 我方保证提供设备符合国家标准、规范和本规格书的优质产品及其相应的优质服务。3 由于山西金地集团赤峪煤矿正在扩建中,本技术方案为山西金地集团赤峪煤矿综合自动化系统初步设计方案,井下子系统接入综合自动化系统时需结合实际情况制定子系统接入实施方案。
4、第一章 系统实施原则及建设内容规划1 系统设计、实施始终遵循山西金地集团综合自动化系统相关企业标准。2 系统建设采用“统筹规划,统一组织,分步实施,急用先建,突出重点,慎重投入”的指导思想。3 结合山西金地集团赤峪煤矿实际情况以及山西金地集团赤峪煤矿现在使用运行的设备、目前已订购待安装的机电设备部分已具有的通信接口、通信协议、设备工况等进行综合设计。4 为山西金地集团赤峪煤矿建设一个稳定、高效的1000M环网平台,能可靠传输数据、语音、图像等信息以满足日益复杂的安全生产管理需要,提高安全生产管理水平。5 提供多种子系统接入方式以满足现场各种异构设备接入,保护已有投资。1.1系统设计原则考虑到山
5、西金地集团赤峪煤矿综合自动化系统工程的实际需要和将来的发展趋势,各系统的实际需求及具体的使用特性,同时兼顾技术新旧更替不断加快的特点,项目的设计原则为:“先进性、成熟性、实用性、安全性、实时性、易操作性、完整性、可查询性、互联性和可扩展性、经济性”。为了使所设计的方案尽可能满足矿方实际的需求,使系统正常、高效地运转,整体方案设计遵循以下设计原则: 先进性、成熟性使用先进、成熟、实用和具有良好发展前景的技术,使得各个子系统具有较长的生命周期,不盲目追求高档次,既能满足当前的需求,又能适应未来的发展。 实用性由于现代煤矿企业的安全、生产监控及调度任务、各职能部门之间业务的联系在很大程度上是以网络为
6、基础,而安全、生产监控则对数据的实时性要求很高。因此,在设计上应保证网络的处理能力和带宽。 可靠性高效稳定的系统,能提供全年365 天,一天24 小时的不停顿运作。对于安装的服务器、终端设备、网络设备、控制设备与布线系统,必须能适应严格的工作环境,特别考虑要适应煤矿井下高温、高湿、高瓦斯的客观环境,以确保系统稳定。实时监控的不可间断性决定了在网络设计中(尤其是网络主干)必须考虑提高网络运行的可靠性,保证系统在一个节点出现意外时整个系统仍能运行。因此,在硬件选型、线路、支撑环境及结构上都必须高质量,并保证核心网络设备具备冗余。同时,采用先进的防火墙+网闸技术保证系统的安全。 安全性网络的各个环节
7、要尽可能多的提供安全保密措施,来保证网络的性能。安全措施应包括:防病毒、防黑客、防止非法或越权访问、传输加密、安全策略控制等。 易操作性先进且易于使用的图形人机界面功能,提供信息共享与交流、信息资源查询与检索等有效工具。 实时性设备和终端必须反应快速,充分配合实时性的需求。 完整性提供与各种外界系统的通信功能,确保信息的完整性并充分利用在整体系统的运作上。 可查询性提供易于使用的数据库功能,让使用者能随时查询信息及制作所需的报表。 互联性和可扩展性把各子系统有机结合起来,满足信息层结构中各层之间信息沟通,增加各子系统之间的互联性和可扩展性。充分考虑将来需求的成长空间,所提供的系统平台与技术将充
8、分配合未来功能及扩充项目的需求,以避免将来重复的投资。标准化、结构化、模块化的设计思想贯彻始终,奠定了系统开放性、可扩展性、可维护性、可靠性和经济性的基础。 经济性在一定的资金资源下,尽量有效地利用,以适当的投入,建立一个尽可能高水平的、完善的网络系统。所有设备的选型配置和采购订货,坚持性能价格比最优的原则,同时兼顾供货商的资信度和维修服务能力。1.2系统设计依据1 煤矿安全规程;2 煤炭工业矿井设计规范;3 煤矿安全装备基本要求;4 煤矿监控系统总体设计规范;5 煤矿监控系统中心站软件开发规范;6 爆炸性环境用防爆电气设备本质安全型电路和电气设备要求;7 爆炸性环境用防爆电气设备通用要求;8
9、 煤矿通信、检测、控制用电工产品通用技术条件;9 设备可靠性试验;10 电气设备的抗干扰特性基本测量方法;11 煤炭调度信息化装备技术规范;12 监测监控质量标准化实施标准;13 智能调度室装备规范;14 电子计算机房设计规范;1.3总体结构设计系统分为管理层、控制层和设备层三层结构。其中管理层为矿地面局域网,控制层采用高速工业以太环网,设备层采用现场总线,保证了现场子系统的实时性和可靠性。在管理层,管理网服务器系统负责收集全矿的生产、管理、经营等方面的信息,并为管理网与国际互联网的连接提供服务;在管理网的各PC终端,可以在统一的界面下根据权限和等级查看全矿的所有信息。控制层分为过程控制和集中
10、监控层,在过程控制层,PLC分站、电机智能控制器、其它智能监控分站等对现场设备实现运行参数的采集,并负责传达集中控制信号至现场设备;各子系统通过其现场总线采集各自所控制设备的运行参数,并实现对整个子系统设备的集中控制。设备层主要包括:传感器、执行器、开关柜等现场设备。1.4项目达到的效果系统建成后,能把各个子系统有机整合在一起,能使山西金地集团赤峪煤矿井上下各生产环节的生产工况信息在现有条件下进行有效集成,能够将各子系统的数据进行深入挖掘,进而实现相关联业务数据的综合分析以及生产状态的实时评估,达到“管控一体化”和统一调度指挥决策的目标。系统可在地面中央监控室实现对矿井主要生产环节如:煤流、采
11、、运、供电、排水、压风等生产环节的集中监控,部分系统实现可靠无人值守运行,有效提高矿井生产效率;另外可将环境监测、工业电视、主副井提升、通风机、调度通信等系统的信息集中于统一的数据库管理、存档、检索。同时可实现整个矿井的综合自动化网络和管理信息网络的的无缝连接,矿各级领导和有关职能部门均可以通过网络终端进行数字化矿山系统的实时监测、数据报表显示查询,矿调度人员及相关管理人员同步掌握生产设备运行状态、产量及安全情况,便于快速做出反应,及时调度。系统能通过矿的网络统一出口,与数据中心完成无缝对接,实现山西金地集团赤峪煤矿生产信息、安全信息和管理信息实时交换,远程显示、查看相关数据。系统将矿井的环境
12、安全监测系统、人员定位系统、电网监控系、各主要环节自动化控制系统等信息集成到统一的平台软件上进行综合分析处理,能实现矿井生产设备的优化运行控制和瓦斯等灾害的预警及联动控制。山西金地集团赤峪煤矿建成的基于工业以太环网+现场总线技术的数字化矿山系统,信息汇接能力强大,留有充分的扩展端口以适应系统今后扩容发展的需要。第二章 千兆工业以太环网平台2.1网络拓扑结构设计本次工业以太网系统建设地面、井下2个1000M环网,采用地面网络和井下环网方式。地面调度指挥中心的各种服务器、上位机、操作站、工程师站等均直接接入中心的两台核心交换机上,核心交换机接入矿方管理网络,但需矿方管理网络提供足够的网络接口。井下
13、各监控设备就近接入环网交换机。这种布局网络结构清晰,网络层次分明,数据采集服务器直接连到核心交换机上,链路路径最直接,采集数据快捷。WEB服务器对企业网的用户提供访问,接在防火墙的DMZ区,其他的设备都在防火墙的内部区域,被防火墙保护起来,整体网络结构非常安全。平台主要由核心交换机、地面光纤环网交换机、井下环网交换机、防火墙、UPS电源、打印机等组成。全网建成后的性能可以保证达到以下水平:全网交换机连接均可基于单、多模光纤或铜介质,可按需要任意选择;光纤网络中的任何位置发生一个断点事故均可在瞬间内完成链路通信的恢复;全网基于统一、简洁的网络管理。机房核心交换机:在调度室中心机房配置2台赫斯曼公
14、司的MACH4002-24G-L3EHCP三层交换机,工作方式:双机热备。地面环网:在主井提升机房配电室、副井井口房变电所、北通风机房、中央通风机房、10KV变电所共5个节点,配置5台赫斯曼公司的MS4128-L2PHC地面环网交换机,组成地面1000M环网。井下环网:在中央采区泵房变电所、140M水平泵房变电所、北一采区变电所、北一采区泵房变电所、中央采区变电所共5个节点配置5台KJJ137(MS4128-L2PHC模块)1000M环网交换机,组成井下环网。采集服务器:在中心机房部署两台IBM 3650 M3机架式服务器,作为各子系统数据采集服务器用。工作方式:双机热备。数据服务器:在中心机
15、房部署两台IBM 3650 M3机架式服务器,作为数据库数据管理服务器。工作方式:双机热备。WEB服务器:在中心机房部署一台IBM 3650 M3机架式服务器,作为网络浏览服务器,工作方式:提供系统内网页浏览服务。应用服务器:在中心机房部署一台IBM 3650 M3机架式服务器,在服务器上部署KJ90综合系统平台系统。工作方式:系统生产业务处理。磁盘阵列:在中心机房部署IBM DS3500 双控光纤磁盘阵列柜,系统所有采集数据和业务数据全部在本磁盘阵列做存储。环网拓扑图图 01网络拓扑结构图2.2其他技术要求1 整个自动化综合控制网采用赫斯曼工业级的设备,实现井下高温、高湿等恶劣环境的稳定运行
16、;2 系统支持光纤冗余环网工作模式,接节故障不影响整个系统性能,故障自恢复时间短(0.05S),通信更加可靠;所有交换机采用高性能的赫思曼模块化千兆交换机,避免网络中部分节点故障,同时满足以后的扩容和升级;3 矿井工业以太环网光纤冗余环网传输平台运行稳定、可靠性好、线路机械强度高矿井工业以太环网光纤冗余环网传输平台通讯协议采用标准的TCP/IP网络协议;4 平台传输速率高、带宽容量大、传输距离远、抗干扰和雷击能力加强。为数据、视频、语音三网合一提供了足够的带宽;5 整个网管系统可对所有的综合自动化网的网络设备进行实时监控,出现故障实时报警。6 在矿信息网与监控网中采用天融信防火墙连接,实现监控
17、网的安全隔离。7 采用先进的多主并发通讯模式,系统检测速度快,实时性强。核心交换机提供OPC协议,支持监控软件的集成;8 整个宽带传输网彻底突破了低速总线下的技术瓶颈,系统节点容量大大增加,稳定性提高;9 由于以Internet/Intranet/Infranet为整体构架,具有开放的传输接入平台,系统集成能力显著提高,今后矿井各种自动化监测监控系统均可方便就近接入,易于扩展,无须重复布线,节约投资;10 平台同时支持光纤多模、单模、超五类双绞线传输介质,结构灵活;可方便与局域网企业综合管理信息系统连接,实现信息共享;11 井下交换机经过防爆认证,具有MA,同时增加UPS电源保护,在市电停电后
18、,可运行四个小时以上。12 支持多种网络拓扑结构和多重冗余方式,如(单)环网冗余、单环双节点冗余、双总线冗余、双环网冗余和环间冗余,本次投标方案采用单环单节点双冗余环网。13 环网核心交换机具有路由功能的卡轨式模块交换机。核心交换机有相对独立的模块插槽,每个模块插槽能够配置一块引擎模块,引擎模块上的子卡插槽,可以配置不同种类的网络接口卡。14 环网交换机支持多光口、电口混合连接,支持Web管理,支持SNTP简单网络时间协议,准确记录故障时间。15 交换机管理软件要求能统一配置、管理、监视所有交换机,可监视所有具有SNMP(简单网络管理协议功能的设备;支持通讯故障自诊断、定位、报警;在更改设备配
19、置时只要在网管工作站对相关设备进行合适配置,通过网管工作站对网络设备进行日常管理、流量统计、故障分析等。16 交换机支持流量控制功能,防止广播风暴;支持端口的优先级划分和VLAN划分;支持端口和MAC地址的绑定,提高系统安全性。2.3主要设备技术参数2.3.1 核心交换机(MACH4002-48G-L3PEHC)1 端口转发速率:1.488Mpps,背板带宽40Gbps;2 端口配置:千兆电口(10/100/1000Mbps自适应):24个;千兆光口(单模、10Km、SFP、LC):8个。3 端口延时:32ms。4 支持SNTP简单网络时钟协议协议。5 支持端口优先级IEEE802.1D/p协
20、议。6 支持静态路由、RIP V1/2、OSPF等路由协议,支持VRRP路由冗余。7 支持组播IGMP Snooping、GMRP,支持组播路由DVMRP/PIM DIM。8 支持1024个IEEE802.1Q VLAN。9 支持4个以上链路聚合。10 支持DHCP Option 82、DHCP Realy、Hidiscovery。11 冗余保护:支持HIPPER-RING协议、支持RSTP协议;光纤环冗余:单环支持50台以上节点交换机,自愈保护50ms;冗余耦合:切换时间1s。12 网管:支持串口、WEB界面、SNMP V1/ V2/ V3;支持拓朴自动发现;支持命令行、V.24、Telne
21、t、BootP;提供交换机的集中和功能管理软件工业及企业版,图形化实时监控软件,可通过图形画面实时监测环网状态,应监测到每一端口;13 提供OPC Server软件,环网状态信息可集成至集控软件平台。2.3.2 地面环网交换机(MS4128-L2P)1 端口转发速率:1.488Mpps,背板带宽5Gbps;2 端口配置:百兆电口(10/100Mbps自适应):12个;千兆光口(单模、10Km、SFP、LC):4个;3 工业标准导轨安装4 采用存储-转发技术,支持自动协商功能、自适应全双工/半双工、自适应10/100Base-TX(5)端口、自适应MDI/MDIX。5 MTBF(平均无故障时间不
22、小于100万小时管理:6 所有交换机提供 OPC通讯方式对交换机进行监控、故障诊断和趋势图分析的功能。7 支持RSTP、SNMPV1/V2/V3、IGMP snooping、VLAN、QOS、TRUNKING、MIRRORING、(9)DHCP等功能。8 网络距离:单模10/20/80KM9 相对湿度:10% 95%(非凝结10 工作温度:0 C+70 C11 支持光纤环网冗余,自愈时间低于50ms;支持环间耦合,耦合时间小于1s。12 保护等级IP20,全封闭式金属钢质外壳,无需风扇散热2.3.3 井下环网防爆交换机(KJJ137)选用德国赫斯曼MS4128交换机为隔爆交换机核心,其单台交换
23、机技术指标如下: 光信号接口1 传输方式:全双工TCP/IP传输协议,波长为1310nm的单模光纤;2 传输速率: 1000 Mbps;3 光发射功率:-10-5dBm;4 光接收灵敏度:-20dBm;5 最大传输距离:10km(使用单模光缆);6 采用模块化结构,配置4个千兆光口(单模、10Km、SFP、LC)。以太网电信号接口(本安接口)1 传输方式:全双工TCP/IP传输协议;2 传输速率:10/100 Mbps自适应;3 信号工作电压峰峰值:1V5V; 4 传输距离:RJ45接口传输距离:100m(使用矿用阻燃通信网线);5 12个10/100Mbps自适应RJ45口,可扩展为20口R
24、S485信号接口1 传输方式:半双工RS485信号,双极性;2 传输速率:1200bps-115200 bps;3 信号工作电压峰峰值:2V10V;4 信号工作电流峰值:50mA;5 传输距离:5000m使用矿用阻燃屏蔽通信电缆6 提供4以太网转485总线转换器;电源:1 额定工作电压:AC127V/220V/380V/660V;2 输入功率:不大于64W;3 在电源波动范围内工作电流:不大于0.5A;4 提供不小于4时后备电源;其他:1 端口转发速率:1.488Mpps,背板带宽10G。2 端口延时:1600种支持用户自定义攻击事件与国际上标准的漏洞库CVE、Whitehats、等保持兼容,
25、保证知识库的更新速度。另外,通过和国家反入侵及病毒防范中心合作共享共建特征库抗攻击能力可实现抗针对IDS的Dos/Ddos攻击表现优秀,针对主流的攻击手段进行有效的抵抗和防范。其他必备安全特性支持会话管理,可以手动切换是否使用会话分析技术,可以选择是否使用会话分析技术 支持会话管理,可以手动切换是否使用会话分析技术,可以对类似MSN的加密会话进行解密分析提供对原始数据的分析工具,可对网络传输数据进行深层次分析,提供类sniffer的网络数据分析工具,可以对网络原始数据进行分析支持会话会放,对常见的会话如HTTP/MSN/QQ等能够进行回放,支持自定义回放所有TCP/IP的会话类型,提供了对几乎
26、所有TCP/IP协议的会话记录,可以根据环境不同,设置分析种类 提供对控制台关键文件、注册表键值、数据库表等的完整性检查,防止系统本身被非法篡改,提供了完整性检查工具,可以对控制台的关键文件、注册表键值、数据库表进行完整性的检查,一旦发现篡改将及时提出报警。性能指标包检测率:=2 GBps每秒碎片重组数:=120,000设备资质要求公安部销售许可证中国信息安全测评认证中心证书中国人民解放军信息安全测评认证中心军B级证书国家保密局涉密产品检测证书具有公安部的检测证书(三级)厂商资质要求具有计算机信息系统集成一级资质具有信息安全服务一级风险评估资质具有涉及国家秘密的计算机系统集成甲级资质具有ISC
27、CC应急安全服务一级资质具有安全服务工程类二级资质是微软的MAPP计划合作伙伴国家级网络安全应急服务支撑单位2.3.5 防火墙H3C NS-SecPath U200-CA-AC 产品概述:H3C SecPath U200-CA是H3C公司面向中小型企业/分支机构设计的新一代UTM(United Threat Management,统一威胁管理)设备,采用高性能的多核、多线程安全平台,保障全部安全功能开启时不降低性能,产品具有极高的性价比。在提供传统防火墙、VPN功能基础上,同时提供病毒防护、URL过滤、漏洞攻击防护、垃圾邮件防护、P2P/IM应用层流量控制和用户行为审计等安全功能。H3C公司的
28、SecPath U200-CA不仅能够全面有效的保证用户网络的安全,还支持SNMP和TR-069网管方式,最大化减少设备运营成本和维护复杂性。产品特点:市场领先的安全防护功能 完善的防火墙功能:提供安全区域划分、静态/动态黑名单功能、MAC和IP绑定、访问控制列表(ACL)和攻击防范等基本功能,还提供基于状态的检测过滤、虚拟防火墙、VLAN透传等功能。能够防御ARP欺骗、TCP报文标志位不合法、Large ICMP报文、SYN flood、地址扫描和端口扫描等多种恶意攻击。 丰富的VPN特性:支持L2TP VPN、GRE VPN、IPSec等远程安全接入方式,同时设备集成硬件加密引擎实现高性能
29、的VPN处理。 实时的病毒防护:采用Kaspersky公司的流引擎查毒技术,从而迅速、准确查杀网络流量中的病毒等恶意代码。 实时的垃圾邮件防护:可以拦截垃圾邮件,净化邮件系统,解决垃圾邮件对正常工作的干扰问题。 先进的URL过滤:实现基于用户的URL访问控制,防止因浏览恶意或未授权的网站(如网络钓鱼攻击网站而带来的安全威胁。 全面的流量管理:能精确检测BitTorrent、Thunder(迅雷)、QQ等P2P/IM应用,提供告警、限速、干扰或阻断等多种方式,保障网络核心业务正常应用。 细致的行为审计:可对各种P2P/IM、网络游戏、邮件和数据传输等行为提供细致的监控和记录,实现细粒度的网络行为
30、审计管理。 NAT应用:提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射等NAT应用方式;支持多种应用协议正确穿越NAT,提供DNS、FTP、H.323、NBT等NAT ALG功能。电信级设备高可靠性 采用H3C公司拥有自主知识产权的软、硬件平台。产品应用从电信运营商到中小企业用户,经历了多年的市场考验。 支持双机状态热备功能,支持Active/Active和Active/Passive两种工作模式,实现负载分担和业务备份 36年的平均无故障时间(MTBF智能图形化的管理 简单易用的Web UI管理 支持基于SNMP和TR-069协议的管理 通过H3C UTM管理软件实现统
31、一管理 通过H3C SecCenter安全管理中心实现统一管理2.3.6 路由器H3C NS-SecPath U200-CA-AC产品概述:MSR(Multiple Services Router)多业务开放路由器是H3C公司专门面向行业分支机构和大中型企业而推出的新一代网络产品。MSR先进的软件结构与硬件平台,能够在最小的投资范围内为企业边缘网络提供一体化解决方案,更能充分满足未来业务扩展的多元化应用需求,符合企业IT建设的现状与趋势。企业信息架构正在由C/S模式向B/S模式转变,MSR具备高数据转发能力与高加密能力,很好的解决了转变过程中凸现的网络带宽压力与安全隐患,保障企业关键业务流可以
32、高速、机密的通过广域网传输。MSR集数据安全、语音通信、视频交互、业务定制等功能于一体,能够在企业网络应用不断丰富的形势下将多元业务方便的部署于同一节点,不仅能够最大程度的避免网络中多设备繁杂异构问题,而且极大降低了企业网络建设的初期投资与长期运维成本。针对企业用户日益个性化的应用需求,MSR领先集成了可以定制开发的高性能开放业务平台,任何人都可以基于该平台开发自身需要的高级网络业务,企业用户只需安装软件便能在网络中方便的部署相应业务,节省了购置各类高昂专用网络设备的投资。MSR在突破性提高数据处理能力与插槽扩展性的同时,还能完全兼容原AR系列的硬件模块与软件功能,为客户提供了最为经济的网络升
33、级方案。H3C MSR 3020产品内置的硬件加密功能可以为中小型分支机构提供与总部安全的数据连接,MSR 30也可以作为中小企业核心设备,承担公司广域路由、局域交换、IP语音、视频交互等综合应用。通过在单一平台集成多种网络功能,不仅能够减少业务扩展给企业带来的无尽投资,更能实现总部对众多分支的统一管理和控制,免去了大量的运维成本,让企业在信息化进程中更具竞争力。MSR 3020产品采用H3C公司成熟商用的操作系统平台,提供丰富的QoS特性,全面支持IPv6,同时大大地增强部署MPLS VPN业务的能力。MSR50采用OAA(Open Application Architecture)开放应用
34、体系架构,产品提供了一个公开软硬件接口及标准规范的开放平台,任何厂商与合作伙伴均可以基于此平台开发更为深层智能的网络应用功能,以形成业务定制、优势互补、深度集成、合作共赢。2.3.7 网闸(ViGapV6.5-300S-MK)性能指标:机箱外形及安装机柜式机型,2U高,标准机柜安装网络吞吐量网络吞吐量600Mbps;隔离反射GAP交换总线速率5Gbps并发连接数20,000内部数据总线交换带宽5Gbps系统延时20ns用户数支持无限制固定端口数量4个10/100M/1000 RJ-45以太网接口仅内网唯一1个RS232接口,外网不能有任何管理控制接口架构2+1架构,隔离区必须包含基于ASIC设
35、计的电子开关隔离芯片,不采用SCSI、加密矩阵、网卡以及任何加/解密等方式,具有不可编程特性协议支持支持各类通用应用协议(HTTP、FTP、SMTP、SAMBA、NFS、DNS、SQL等),包括支持数据库同步、数据库访问、文件访问、文件同步、视频会议、流媒体以及VPN等特殊应用代理以及用户定制协议攻击识别与过滤智能识别并过滤大量基于应用层协议的攻击行为,全面防护各类应用系统安全风险,包括:HTTP、FTP、SMTP、POP3、IMAP、DNS等协议分析模块网络隔离基于ASIC芯片设计的硬件隔离部件实现可信、不可信网络间的物理断开,保护可信网络免遭黑客攻击防病毒、IDS入侵检测系统内嵌防病毒引擎
36、、IDS入侵检测引擎,可实现对内外网摆渡数据的病毒查杀,可有效保护系统自身及受保护网络免受攻击者的频繁攻击SAT(服务器地址映射)具备完善的SAT功能,访问者仅能访问虚拟端口而无法直接连接服务器,从而对外屏蔽服务器,防止服务器遭到攻击安全访问控制服务可以应用代理方式访问不可信网络,可根据身份认证、IPMAC绑定等多种安全策略实现用户控制,在应用层进行更细的粒度和检查元素,以保证安全控制能力服务定时功能内置定时功能,可设置多个时间点来控制(非断电,加电网闸网络服务的启动和终止, 如果不对定时功能进行设置,在默认情况下网闸可正常使用客户端认证控制严格控制上网用户和邮件发送,采用专用认证客户端浏览网
37、页、收发邮件,用户列表存储在网闸设备上,未经授权的用户和使用普通IE浏览器、Outlook客户端的用户无法上网和收发邮件。数据库应用支持各种类型的数据库应用,支持数据库的访问,支持数据库间全表复制、增量更新、全表更新等多种条件数据库同步方式,支持单双向、断点续传等同步功能身份认证除了提供基本的用户名/口令身份认证功能以外,还可与外部认证系统集成支持扩展的Radius、PKI数字证书、SecureID等多种强身份认证功能AI安全过滤AI智能应用能够根据来源、目的地、用户特权和时间来控制对特定的 HTTP、SMTP 或 FTP 等资源的访问,提供应用级的安全过滤以保护数据和应用服务器免受恶意 Ja
38、va 和 ActiveX applet 的攻击内容及格式检测具备内容过滤及文件格式检查功能,对管理员指定格式的文件或指定内容关键字的邮件、网页、FTP文件等具有安全过滤功能,能够阻止敏感的信息外泄或恶意程序的入侵WEB站点保护分析了来自WEB服务的漏洞,抵御黑客对WEB、MAIL以及FTP系统服务系统发动的攻击。包括:Cookie安全签名、URL字段细粒度过滤、输入参数检测、操作系统屏蔽、WebService函数等功能安全要求平均无故障时间60,000小时高可用性最大支持32台设备的负载平衡系统来实现高可用性日志及审计全面审计网络活动、入侵活动、管理员的配置操作、系统错误信息、违反规则的过滤信
39、息等日志信息,支持日志管理分析和第三方日志导出系统工作状态检测与报警提供液晶显示屏,液晶面板上可直观显示系统运行状态信息、故障信息和报警信息,管理员可针对故障信息迅速并做出响应管理要求管理功能允许管理员进行集中式管理,提供了一个良好的图形化用户界面,支持以GUI专用图形管理软件或CONSOLE方式管理支持,PKI证书等多种认证方式进行安全管理。图形化网络行为监控,管理平台采用图形化的网络行为监控,可实时监控网络流量、并发连接数、违反规则尝试次数等统计信息认证客户端管理采用认证客户端方式进行设备管理,且仅能在内网管理。外网默认不能开放HTTP/HTTPS服务用于管理。资质证书要求1、 拥有公安部
40、销售许可证、国家保密局涉密产品认证、军队信息安全产品认证2、 获得中华人民共和国公安部网监网闸入围产品;3、 设备制造厂商注册资金1000万以上(含1000万);4、 设备制造厂商拥有ISO9001:2008质量管理体系认证证书5、 设备制造厂商拥有生产科技型企业资质证书6、 从事网闸产品研发生产时间超过6年,并提交相关证明文件7、 产品自主研发,具有自主产权软件著作权认证证书2.3.8 磁盘阵列柜(DS3500)IBM System Storage DS3500主要性能平均传输率6Gbps高速缓存每个控制器1GB缓存,可升级至2GB(电池供电)外接主机通道三种选项:4个或8个6Gbps SA
41、S端口;8个8Gbps FC端口和4个6Gbps SAS端口;8个1Gbps iSCSI端口和4个6Gbps SAS端口RAID支持双活动型热插拔控制器,RAID0、1、3、5、6、10单机磁盘数量12个内置硬盘接口2个 6Gb SAS 驱动器端口风扇双冗余可热插拔式其它参数管理软件:IBM System Storage DS Storage ManagerSAN支持:受支持的IBM FC交换机、导向器和IP交换机IBM System Storage DS3500(1746A2D一般性能产品电源双冗余可热插拔式长度551.6mm宽度482.47mm高度86.16mm第三章 软件集成平台3.1软
42、件平台的架构整个系统采用C/S与B/S相结合架构设计。平台框架及综合分析执行模块、安全管理及预警模块采用基于.NET平台开发。使用微软最新的智能客户端(Smart Client)技术,实现无接触部署、离线应用、自动更新、个性化用户界面,最大程度上解决了B/S与C/S结构在使用习惯与性能的差异。结合Click Once技术有效解决了C/S结构在部署上所带来的不方便。保证了任何授权用户,不受时间、空间在网络互通情况下访问属于他的数据资源。平台核心支撑:主要由德国西门子wincc引擎、Gis图形引擎、业务引擎和分析预警引擎构成。系统体系结构图3.2子系统汇接方式3.2.1 上位机接入方式对于已建且相
43、对独立的一些自动化监测监控子系统,特别是较早运行的系统,其底层技术协议难以找到,技术支持不能保证,将采取上位机接入方式,通过其以太网接口(如没有则增加通讯网卡支持),与附近的硬件平台环网交换机进行物理上的连接接入。对于煤矿专业性较强的子系统(如安全监控、人员监测及瓦斯抽放系统等),多采用此种接入集成方式。采集服务器通过以太环网及OPC/DDE/ODBC/FTP接口协议规范与该类型的子系统主机进行数据交互。该方式须具备两个条件:一是该上位机具有以太网通讯模块;二是配套厂家能支持OPC/DDE/ODBC/FTP等方式。上位机接入方式结构示意图3.2.2 PLC接入方式对于一些自动化控制子系统,多采用PLC进行控制。PLC已具备以太网接口,或具备扩
