★ 吳錦濤，王敏，白凱文北京啟明星辰信息安全技術(shù)有限公司

1 項目概況

1.1 項目背景

智慧港口作為智慧交通在港口領(lǐng)域的延伸，也稱(chēng)智能港口、物聯(lián)網(wǎng)港口等。港口場(chǎng)景復雜龐大，有港口區、物流區、口岸區等業(yè)務(wù)場(chǎng)景，并且隨著(zhù)智能化程度提升，其控制系統風(fēng)險暴露面逐漸增加。同時(shí)，由于疫情影響，港口在進(jìn)出口貿易層面承擔了核心運輸角色，其網(wǎng)絡(luò )安全保障亟需重視。

“十三五”期間，全國港口重點(diǎn)圍繞港口作業(yè)自動(dòng)化、港口陸運業(yè)務(wù)協(xié)同、信息互聯(lián)共享、港口物流鏈、創(chuàng )新技術(shù)應用五大方向發(fā)展轉型，智慧港口工程建設在全國范圍內有序開(kāi)展，并在示范港口重點(diǎn)實(shí)施。上海港、青島港、天津港、廣州港等全國主要示范港口在港口作業(yè)自動(dòng)化、港口陸運業(yè)務(wù)協(xié)同、信息互聯(lián)共享、港口物流鏈、創(chuàng )新技術(shù)應用等方面取得一系列成果。

東南某港口近年來(lái)在智慧港口建設方面處在領(lǐng)先位置，其先進(jìn)的機械設備、優(yōu)良的航道水深環(huán)境和完善的碼頭基礎設施為碼頭集團成為國際集裝箱良港創(chuàng )造了條件，其業(yè)務(wù)重要性不言而喻。為了確保碼頭整體網(wǎng)絡(luò )安全，需要根據當前信息安全建設情況參照法律法規、政策發(fā)文等網(wǎng)絡(luò )安全要求進(jìn)行安全評估，根據業(yè)務(wù)特性設計網(wǎng)絡(luò )安全建設方案，通過(guò)安全產(chǎn)品、安全服務(wù)、安全管理制度等措施全面提高碼頭的網(wǎng)絡(luò )安全建設水平。

1.2 項目簡(jiǎn)介

此項目中集裝箱碼頭堆場(chǎng)擁有8組電動(dòng)龍門(mén)吊（簡(jiǎn)稱(chēng)“電龍”）。在新建的集裝箱碼頭堆場(chǎng)部署了新型的遠程龍門(mén)吊系統，擁有3個(gè)15萬(wàn)噸級深水集裝箱船舶專(zhuān)用泊位，可接納目前世界上最大的集裝箱船舶，并且在所有集裝箱碼頭中最靠近主航道且泊位條件最為優(yōu)越，可同時(shí)靠泊兩艘20萬(wàn)噸級集裝箱船舶。新型龍門(mén)吊將采用新型的統一集管、遠程控制的操作模式，在全球范圍內屬于新技術(shù)應用試點(diǎn)。遠控電龍的控制系統與信息系統相對復雜，是典型的IT+OT+IOT三網(wǎng)融合的應用場(chǎng)景，具有多重典型性與創(chuàng )新性，安全要素較多，后續可擴展空間較大。

1.3 項目目標

（1）滿(mǎn)足監管單位以及港務(wù)集團信息安全規劃的相關(guān)安全建設要求；

（2）部署在龍門(mén)吊上的安全設備應當滿(mǎn)足外部環(huán)境測試，并且串行防護設備必須滿(mǎn)足通信低時(shí)延的性能要求；

（3）滿(mǎn)足港務(wù)集團信息安全團隊對于日常攻防演練分析與學(xué)習的需求；

（4）龍門(mén)吊遠控系統在堆場(chǎng)工作區內部署大量的物聯(lián)網(wǎng)設備，需要將其安全管控納入整體安全建設中；

（5）滿(mǎn)足當前控制系統對主機防護、安全通信、邊界防護、入侵監測等方面的安全需求。

2 項目實(shí)施

2.1 項目總體架構

由圖1可知，集裝箱碼頭堆場(chǎng)的遠控龍門(mén)吊場(chǎng)景從系統功能層面可分為碼頭管理系統、龍門(mén)吊遠控系統、遠程通信系統三部分。

圖1 堆場(chǎng)龍門(mén)吊遠控系統架構圖

第一層為碼頭管理系統（TOS），主要包含堆場(chǎng)計劃、船舶配載、作業(yè)控制、無(wú)線(xiàn)終端、遠程控制等核心模塊，可與智能閘口、智能理貨、GIS可視化等系統實(shí)現信息交互，是碼頭管理的核心業(yè)務(wù)控制系統。

第二層為龍門(mén)吊遠控系統，主要由遠控機房、龍門(mén)吊單機控制系統、視頻監控系統三部分組成。遠控機房?jì)劝ú僮飨?、控制臺、音視頻監控監聽(tīng)設備。其中，工控上位機為主要設備，接受港口TOS（碼頭管理系統）的任務(wù)并且對碼頭龍門(mén)吊進(jìn)行遠程控制。其業(yè)務(wù)模式為一個(gè)操作員占據一個(gè)操作席位，對應控制單個(gè)或多個(gè)電龍，其席位上方為現場(chǎng)環(huán)境與電龍周?chē)渴鸬亩鄠€(gè)視頻閉路電視，方便操作員依據視頻信息執行操作。操作席位（上位機）主要以Win7/XP系統為主，并且安裝組態(tài)軟件對接OPC服務(wù)器。

視頻監控系統在作用上與操作席位共同工作，但其視頻監控網(wǎng)絡(luò )屬于現場(chǎng)專(zhuān)網(wǎng)，與遠控龍門(mén)吊系統不在一張網(wǎng)里。其主要設備為部署在碼頭以及電龍上方的高清攝像頭與拾音器，以及在控制機房?jì)鹊囊曨l服務(wù)器。目前攝像頭的通訊方式為光纖通信，今后將與遠控系統共同并入5G專(zhuān)網(wǎng)。

龍門(mén)吊單機控制系統的主要控制設備為PLC（羅克韋爾、西門(mén)子為主）、通信卷軸電纜（承擔供電、通信職能）及各類(lèi)傳感器（激光測距、北斗定位、風(fēng)速測量、角震動(dòng)傳感器等）。PLC通信接口為485口，并且傳感器數據均通過(guò)PLC實(shí)現數據采集，OPC服務(wù)器從PLC收集實(shí)時(shí)監控數據傳輸給控制席位的組態(tài)軟件。

第三層為遠程通信系統，遠控電龍普遍采用卷纜通信為遠控系統提供光纖傳輸，或者在PLC前端架設無(wú)線(xiàn)通信設備與協(xié)議轉換網(wǎng)關(guān)，實(shí)現集裝箱碼頭堆場(chǎng)作業(yè)區的無(wú)線(xiàn)網(wǎng)絡(luò )應用。

2.2 項目主要內容

針對港口的工控業(yè)務(wù)系統安全風(fēng)險防范設計，在滿(mǎn)足網(wǎng)絡(luò )安全需求下進(jìn)行，重點(diǎn)實(shí)現工控系統網(wǎng)絡(luò )的安全防護、安全運維和安全改進(jìn)，并建立安全態(tài)勢感知的能力。

（1）合規性設計：設計方案需滿(mǎn)足《網(wǎng)絡(luò )安全法》框架下關(guān)鍵信息基礎設施保護要求、網(wǎng)絡(luò )安全等級保護制度和技術(shù)要求。

（2）對系統最小干擾的設計：為了不影響作業(yè)系統的正常運行，對生產(chǎn)業(yè)務(wù)引入新的風(fēng)險，所有安全組件均采用非侵入式安全監測與防護工作方式，確保安全設備對工控網(wǎng)絡(luò )幾乎無(wú)干擾。

（3）可視化設計：資產(chǎn)安全管理是網(wǎng)絡(luò )安全的重要部分，實(shí)現工控網(wǎng)絡(luò )資產(chǎn)的可視化管理，動(dòng)態(tài)識別非法接入設備，做到直觀(guān)展示工控網(wǎng)絡(luò )安全威脅的效果。

（4）全面防護設計：增加工控網(wǎng)絡(luò )的安全防護能力，有效抵御病毒、木馬等惡意代碼、網(wǎng)絡(luò )攻擊、員工操作等破壞工控系統安全生產(chǎn)的行為。從網(wǎng)絡(luò )、終端、通信、數據、運維、管理等多個(gè)層面進(jìn)行安全防護與管理，實(shí)現工控網(wǎng)絡(luò )全面的安全保護。

（5）安全運維：實(shí)現圖形化的工控網(wǎng)絡(luò )安全運維管理方式，直觀(guān)展示工業(yè)控制網(wǎng)絡(luò )的運行狀態(tài)，提高工控網(wǎng)絡(luò )對安全威脅的反應能力和應對能力。

（6）安全改進(jìn)：發(fā)現工控網(wǎng)絡(luò )潛在的安全風(fēng)險，通過(guò)對安全策略的不斷改進(jìn)和實(shí)施，持續提升工控網(wǎng)絡(luò )的抗攻擊能力。

（7）安全感知：提升該港對威脅的感知能力，全面提升安全生產(chǎn)管理水平、工作效率和管理效率，降低人力投入成本，提升港口的精益化管理水平。

結合現場(chǎng)調研情況與客戶(hù)需求，本案例將堆場(chǎng)遠控場(chǎng)景的安全建設分為統一安全管理、堆場(chǎng)安全監測、生產(chǎn)邊界防護三個(gè)部分，并結合實(shí)際業(yè)務(wù)情況，制定部署內容，如圖2所示。

圖2 港口龍門(mén)吊遠控系統防護部署圖

（1）邊界防護：?jiǎn)闻_龍門(mén)吊部署工業(yè)防火墻做訪(fǎng)問(wèn)控制防護，學(xué)習流量情況，制定流量基線(xiàn)。部署工業(yè)網(wǎng)閘將生產(chǎn)網(wǎng)與辦公網(wǎng)之間做單向/雙向隔離傳輸。

（2）主機防護需求：在監控主機與控制主機上部署工業(yè)主機安全防護系統，建立主機白名單進(jìn)程，防止違規使用，管控主機的外設介質(zhì)，掃描主機漏洞、病毒，接受統一策略下發(fā)與特征庫更新。

（3）資產(chǎn)管控：部署物聯(lián)網(wǎng)接入防護系統對堆場(chǎng)基于IP的設備（工控設備、物聯(lián)網(wǎng)設備）進(jìn)行統一管控，梳理資產(chǎn)拓撲圖，監控單點(diǎn)設備狀態(tài)，聯(lián)動(dòng)交換機、安全設備對異常資產(chǎn)進(jìn)行管控，及時(shí)掌握資產(chǎn)整體情況。

（4）統一管理：技術(shù)方面，通過(guò)合規要求，設立安全管理中心，部署工業(yè)漏掃系統、日志審計、堡壘機、工業(yè)主機安全防護系統服務(wù)器、工業(yè)安全管理平臺等系統，對所有工控安全設備進(jìn)行統一管理，了解安全整體態(tài)勢。

3 案例亮點(diǎn)及創(chuàng )新性

（1）安全場(chǎng)景化防護

區別于傳統的合規建設思路，通過(guò)分析堆場(chǎng)龍門(mén)吊遠控系統的業(yè)務(wù)場(chǎng)景及其所需的安全需求，構建出多維度、深層次的安全場(chǎng)景化方案，追求安全防護與業(yè)務(wù)深度耦合以及最終的有效落地。

（2）滿(mǎn)足合規需求

安全建設的合規性將有力保障智慧港口安全和持續運營(yíng)，通過(guò)降低風(fēng)險的方式減少相關(guān)支出。

（3）OT與IOT的整體防護

通過(guò)龍門(mén)吊遠控系統進(jìn)行防護；通過(guò)對傳統信息網(wǎng)和工控網(wǎng)同步防護，避免出現安全短板；通過(guò)保護傳感器與物聯(lián)網(wǎng)設備，保障堆場(chǎng)智能化運營(yíng)的基本需求。

《自動(dòng)化博覽》2023年1月刊暨《工業(yè)控制系統信息安全專(zhuān)刊（第九輯）》