★ 吳錦濤，王敏，白凱文北京啟明星辰信息安全技術(shù)有限公司

1 項(xiàng)目概況

1.1 項(xiàng)目背景

智慧港口作為智慧交通在港口領(lǐng)域的延伸，也稱智能港口、物聯(lián)網(wǎng)港口等。港口場(chǎng)景復(fù)雜龐大，有港口區(qū)、物流區(qū)、口岸區(qū)等業(yè)務(wù)場(chǎng)景，并且隨著智能化程度提升，其控制系統(tǒng)風(fēng)險(xiǎn)暴露面逐漸增加。同時(shí)，由于疫情影響，港口在進(jìn)出口貿(mào)易層面承擔(dān)了核心運(yùn)輸角色，其網(wǎng)絡(luò)安全保障亟需重視。

“十三五”期間，全國港口重點(diǎn)圍繞港口作業(yè)自動(dòng)化、港口陸運(yùn)業(yè)務(wù)協(xié)同、信息互聯(lián)共享、港口物流鏈、創(chuàng)新技術(shù)應(yīng)用五大方向發(fā)展轉(zhuǎn)型，智慧港口工程建設(shè)在全國范圍內(nèi)有序開展，并在示范港口重點(diǎn)實(shí)施。上海港、青島港、天津港、廣州港等全國主要示范港口在港口作業(yè)自動(dòng)化、港口陸運(yùn)業(yè)務(wù)協(xié)同、信息互聯(lián)共享、港口物流鏈、創(chuàng)新技術(shù)應(yīng)用等方面取得一系列成果。

東南某港口近年來在智慧港口建設(shè)方面處在領(lǐng)先位置，其先進(jìn)的機(jī)械設(shè)備、優(yōu)良的航道水深環(huán)境和完善的碼頭基礎(chǔ)設(shè)施為碼頭集團(tuán)成為國際集裝箱良港創(chuàng)造了條件，其業(yè)務(wù)重要性不言而喻。為了確保碼頭整體網(wǎng)絡(luò)安全，需要根據(jù)當(dāng)前信息安全建設(shè)情況參照法律法規(guī)、政策發(fā)文等網(wǎng)絡(luò)安全要求進(jìn)行安全評(píng)估，根據(jù)業(yè)務(wù)特性設(shè)計(jì)網(wǎng)絡(luò)安全建設(shè)方案，通過安全產(chǎn)品、安全服務(wù)、安全管理制度等措施全面提高碼頭的網(wǎng)絡(luò)安全建設(shè)水平。

1.2 項(xiàng)目簡(jiǎn)介

此項(xiàng)目中集裝箱碼頭堆場(chǎng)擁有8組電動(dòng)龍門吊（簡(jiǎn)稱“電龍”）。在新建的集裝箱碼頭堆場(chǎng)部署了新型的遠(yuǎn)程龍門吊系統(tǒng)，擁有3個(gè)15萬噸級(jí)深水集裝箱船舶專用泊位，可接納目前世界上最大的集裝箱船舶，并且在所有集裝箱碼頭中最靠近主航道且泊位條件最為優(yōu)越，可同時(shí)靠泊兩艘20萬噸級(jí)集裝箱船舶。新型龍門吊將采用新型的統(tǒng)一集管、遠(yuǎn)程控制的操作模式，在全球范圍內(nèi)屬于新技術(shù)應(yīng)用試點(diǎn)。遠(yuǎn)控電龍的控制系統(tǒng)與信息系統(tǒng)相對(duì)復(fù)雜，是典型的IT+OT+IOT三網(wǎng)融合的應(yīng)用場(chǎng)景，具有多重典型性與創(chuàng)新性，安全要素較多，后續(xù)可擴(kuò)展空間較大。

1.3 項(xiàng)目目標(biāo)

（1）滿足監(jiān)管單位以及港務(wù)集團(tuán)信息安全規(guī)劃的相關(guān)安全建設(shè)要求；

（2）部署在龍門吊上的安全設(shè)備應(yīng)當(dāng)滿足外部環(huán)境測(cè)試，并且串行防護(hù)設(shè)備必須滿足通信低時(shí)延的性能要求；

（3）滿足港務(wù)集團(tuán)信息安全團(tuán)隊(duì)對(duì)于日常攻防演練分析與學(xué)習(xí)的需求；

（4）龍門吊遠(yuǎn)控系統(tǒng)在堆場(chǎng)工作區(qū)內(nèi)部署大量的物聯(lián)網(wǎng)設(shè)備，需要將其安全管控納入整體安全建設(shè)中；

（5）滿足當(dāng)前控制系統(tǒng)對(duì)主機(jī)防護(hù)、安全通信、邊界防護(hù)、入侵監(jiān)測(cè)等方面的安全需求。

2 項(xiàng)目實(shí)施

2.1 項(xiàng)目總體架構(gòu)

由圖1可知，集裝箱碼頭堆場(chǎng)的遠(yuǎn)控龍門吊場(chǎng)景從系統(tǒng)功能層面可分為碼頭管理系統(tǒng)、龍門吊遠(yuǎn)控系統(tǒng)、遠(yuǎn)程通信系統(tǒng)三部分。

圖1 堆場(chǎng)龍門吊遠(yuǎn)控系統(tǒng)架構(gòu)圖

第一層為碼頭管理系統(tǒng)（TOS），主要包含堆場(chǎng)計(jì)劃、船舶配載、作業(yè)控制、無線終端、遠(yuǎn)程控制等核心模塊，可與智能閘口、智能理貨、GIS可視化等系統(tǒng)實(shí)現(xiàn)信息交互，是碼頭管理的核心業(yè)務(wù)控制系統(tǒng)。

第二層為龍門吊遠(yuǎn)控系統(tǒng)，主要由遠(yuǎn)控機(jī)房、龍門吊單機(jī)控制系統(tǒng)、視頻監(jiān)控系統(tǒng)三部分組成。遠(yuǎn)控機(jī)房?jī)?nèi)包括操作席位、控制臺(tái)、音視頻監(jiān)控監(jiān)聽設(shè)備。其中，工控上位機(jī)為主要設(shè)備，接受港口TOS（碼頭管理系統(tǒng)）的任務(wù)并且對(duì)碼頭龍門吊進(jìn)行遠(yuǎn)程控制。其業(yè)務(wù)模式為一個(gè)操作員占據(jù)一個(gè)操作席位，對(duì)應(yīng)控制單個(gè)或多個(gè)電龍，其席位上方為現(xiàn)場(chǎng)環(huán)境與電龍周圍部署的多個(gè)視頻閉路電視，方便操作員依據(jù)視頻信息執(zhí)行操作。操作席位（上位機(jī)）主要以Win7/XP系統(tǒng)為主，并且安裝組態(tài)軟件對(duì)接OPC服務(wù)器。

視頻監(jiān)控系統(tǒng)在作用上與操作席位共同工作，但其視頻監(jiān)控網(wǎng)絡(luò)屬于現(xiàn)場(chǎng)專網(wǎng)，與遠(yuǎn)控龍門吊系統(tǒng)不在一張網(wǎng)里。其主要設(shè)備為部署在碼頭以及電龍上方的高清攝像頭與拾音器，以及在控制機(jī)房?jī)?nèi)的視頻服務(wù)器。目前攝像頭的通訊方式為光纖通信，今后將與遠(yuǎn)控系統(tǒng)共同并入5G專網(wǎng)。

龍門吊單機(jī)控制系統(tǒng)的主要控制設(shè)備為PLC（羅克韋爾、西門子為主）、通信卷軸電纜（承擔(dān)供電、通信職能）及各類傳感器（激光測(cè)距、北斗定位、風(fēng)速測(cè)量、角震動(dòng)傳感器等）。PLC通信接口為485口，并且傳感器數(shù)據(jù)均通過PLC實(shí)現(xiàn)數(shù)據(jù)采集，OPC服務(wù)器從PLC收集實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)傳輸給控制席位的組態(tài)軟件。

第三層為遠(yuǎn)程通信系統(tǒng)，遠(yuǎn)控電龍普遍采用卷纜通信為遠(yuǎn)控系統(tǒng)提供光纖傳輸，或者在PLC前端架設(shè)無線通信設(shè)備與協(xié)議轉(zhuǎn)換網(wǎng)關(guān)，實(shí)現(xiàn)集裝箱碼頭堆場(chǎng)作業(yè)區(qū)的無線網(wǎng)絡(luò)應(yīng)用。

2.2 項(xiàng)目主要內(nèi)容

針對(duì)港口的工控業(yè)務(wù)系統(tǒng)安全風(fēng)險(xiǎn)防范設(shè)計(jì)，在滿足網(wǎng)絡(luò)安全需求下進(jìn)行，重點(diǎn)實(shí)現(xiàn)工控系統(tǒng)網(wǎng)絡(luò)的安全防護(hù)、安全運(yùn)維和安全改進(jìn)，并建立安全態(tài)勢(shì)感知的能力。

（1）合規(guī)性設(shè)計(jì)：設(shè)計(jì)方案需滿足《網(wǎng)絡(luò)安全法》框架下關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)要求、網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和技術(shù)要求。

（2）對(duì)系統(tǒng)最小干擾的設(shè)計(jì)：為了不影響作業(yè)系統(tǒng)的正常運(yùn)行，對(duì)生產(chǎn)業(yè)務(wù)引入新的風(fēng)險(xiǎn)，所有安全組件均采用非侵入式安全監(jiān)測(cè)與防護(hù)工作方式，確保安全設(shè)備對(duì)工控網(wǎng)絡(luò)幾乎無干擾。

（3）可視化設(shè)計(jì)：資產(chǎn)安全管理是網(wǎng)絡(luò)安全的重要部分，實(shí)現(xiàn)工控網(wǎng)絡(luò)資產(chǎn)的可視化管理，動(dòng)態(tài)識(shí)別非法接入設(shè)備，做到直觀展示工控網(wǎng)絡(luò)安全威脅的效果。

（4）全面防護(hù)設(shè)計(jì)：增加工控網(wǎng)絡(luò)的安全防護(hù)能力，有效抵御病毒、木馬等惡意代碼、網(wǎng)絡(luò)攻擊、員工操作等破壞工控系統(tǒng)安全生產(chǎn)的行為。從網(wǎng)絡(luò)、終端、通信、數(shù)據(jù)、運(yùn)維、管理等多個(gè)層面進(jìn)行安全防護(hù)與管理，實(shí)現(xiàn)工控網(wǎng)絡(luò)全面的安全保護(hù)。

（5）安全運(yùn)維：實(shí)現(xiàn)圖形化的工控網(wǎng)絡(luò)安全運(yùn)維管理方式，直觀展示工業(yè)控制網(wǎng)絡(luò)的運(yùn)行狀態(tài)，提高工控網(wǎng)絡(luò)對(duì)安全威脅的反應(yīng)能力和應(yīng)對(duì)能力。

（6）安全改進(jìn)：發(fā)現(xiàn)工控網(wǎng)絡(luò)潛在的安全風(fēng)險(xiǎn)，通過對(duì)安全策略的不斷改進(jìn)和實(shí)施，持續(xù)提升工控網(wǎng)絡(luò)的抗攻擊能力。

（7）安全感知：提升該港對(duì)威脅的感知能力，全面提升安全生產(chǎn)管理水平、工作效率和管理效率，降低人力投入成本，提升港口的精益化管理水平。

結(jié)合現(xiàn)場(chǎng)調(diào)研情況與客戶需求，本案例將堆場(chǎng)遠(yuǎn)控場(chǎng)景的安全建設(shè)分為統(tǒng)一安全管理、堆場(chǎng)安全監(jiān)測(cè)、生產(chǎn)邊界防護(hù)三個(gè)部分，并結(jié)合實(shí)際業(yè)務(wù)情況，制定部署內(nèi)容，如圖2所示。

圖2 港口龍門吊遠(yuǎn)控系統(tǒng)防護(hù)部署圖

（1）邊界防護(hù)：?jiǎn)闻_(tái)龍門吊部署工業(yè)防火墻做訪問控制防護(hù)，學(xué)習(xí)流量情況，制定流量基線。部署工業(yè)網(wǎng)閘將生產(chǎn)網(wǎng)與辦公網(wǎng)之間做單向/雙向隔離傳輸。

（2）主機(jī)防護(hù)需求：在監(jiān)控主機(jī)與控制主機(jī)上部署工業(yè)主機(jī)安全防護(hù)系統(tǒng)，建立主機(jī)白名單進(jìn)程，防止違規(guī)使用，管控主機(jī)的外設(shè)介質(zhì)，掃描主機(jī)漏洞、病毒，接受統(tǒng)一策略下發(fā)與特征庫更新。

（3）資產(chǎn)管控：部署物聯(lián)網(wǎng)接入防護(hù)系統(tǒng)對(duì)堆場(chǎng)基于IP的設(shè)備（工控設(shè)備、物聯(lián)網(wǎng)設(shè)備）進(jìn)行統(tǒng)一管控，梳理資產(chǎn)拓?fù)鋱D，監(jiān)控單點(diǎn)設(shè)備狀態(tài)，聯(lián)動(dòng)交換機(jī)、安全設(shè)備對(duì)異常資產(chǎn)進(jìn)行管控，及時(shí)掌握資產(chǎn)整體情況。

（4）統(tǒng)一管理：技術(shù)方面，通過合規(guī)要求，設(shè)立安全管理中心，部署工業(yè)漏掃系統(tǒng)、日志審計(jì)、堡壘機(jī)、工業(yè)主機(jī)安全防護(hù)系統(tǒng)服務(wù)器、工業(yè)安全管理平臺(tái)等系統(tǒng)，對(duì)所有工控安全設(shè)備進(jìn)行統(tǒng)一管理，了解安全整體態(tài)勢(shì)。

3 案例亮點(diǎn)及創(chuàng)新性

（1）安全場(chǎng)景化防護(hù)

區(qū)別于傳統(tǒng)的合規(guī)建設(shè)思路，通過分析堆場(chǎng)龍門吊遠(yuǎn)控系統(tǒng)的業(yè)務(wù)場(chǎng)景及其所需的安全需求，構(gòu)建出多維度、深層次的安全場(chǎng)景化方案，追求安全防護(hù)與業(yè)務(wù)深度耦合以及最終的有效落地。

（2）滿足合規(guī)需求

安全建設(shè)的合規(guī)性將有力保障智慧港口安全和持續(xù)運(yùn)營，通過降低風(fēng)險(xiǎn)的方式減少相關(guān)支出。

（3）OT與IOT的整體防護(hù)

通過龍門吊遠(yuǎn)控系統(tǒng)進(jìn)行防護(hù)；通過對(duì)傳統(tǒng)信息網(wǎng)和工控網(wǎng)同步防護(hù)，避免出現(xiàn)安全短板；通過保護(hù)傳感器與物聯(lián)網(wǎng)設(shè)備，保障堆場(chǎng)智能化運(yùn)營的基本需求。

《自動(dòng)化博覽》2023年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊（第九輯）》