日本在线www-日本在线播放一区-日本在线不卡免费视频一区-日本在线不卡视频-成人影院久久久久久影院-成人影院一区二区三区

★ 吳錦濤，王敏，白凱文北京啟明星辰信息安全技術有限公司

1 項目概況

1.1 項目背景

智慧港口作為智慧交通在港口領域的延伸，也稱智能港口、物聯網港口等。港口場景復雜龐大，有港口區、物流區、口岸區等業務場景，并且隨著智能化程度提升，其控制系統風險暴露面逐漸增加。同時，由于疫情影響，港口在進出口貿易層面承擔了核心運輸角色，其網絡安全保障亟需重視。

“十三五”期間，全國港口重點圍繞港口作業自動化、港口陸運業務協同、信息互聯共享、港口物流鏈、創新技術應用五大方向發展轉型，智慧港口工程建設在全國范圍內有序開展，并在示范港口重點實施。上海港、青島港、天津港、廣州港等全國主要示范港口在港口作業自動化、港口陸運業務協同、信息互聯共享、港口物流鏈、創新技術應用等方面取得一系列成果。

東南某港口近年來在智慧港口建設方面處在領先位置，其先進的機械設備、優良的航道水深環境和完善的碼頭基礎設施為碼頭集團成為國際集裝箱良港創造了條件，其業務重要性不言而喻。為了確保碼頭整體網絡安全，需要根據當前信息安全建設情況參照法律法規、政策發文等網絡安全要求進行安全評估，根據業務特性設計網絡安全建設方案，通過安全產品、安全服務、安全管理制度等措施全面提高碼頭的網絡安全建設水平。

1.2 項目簡介

此項目中集裝箱碼頭堆場擁有8組電動龍門吊（簡稱“電龍”）。在新建的集裝箱碼頭堆場部署了新型的遠程龍門吊系統，擁有3個15萬噸級深水集裝箱船舶專用泊位，可接納目前世界上最大的集裝箱船舶，并且在所有集裝箱碼頭中最靠近主航道且泊位條件最為優越，可同時靠泊兩艘20萬噸級集裝箱船舶。新型龍門吊將采用新型的統一集管、遠程控制的操作模式，在全球范圍內屬于新技術應用試點。遠控電龍的控制系統與信息系統相對復雜，是典型的IT+OT+IOT三網融合的應用場景，具有多重典型性與創新性，安全要素較多，后續可擴展空間較大。

1.3 項目目標

（1）滿足監管單位以及港務集團信息安全規劃的相關安全建設要求；

（2）部署在龍門吊上的安全設備應當滿足外部環境測試，并且串行防護設備必須滿足通信低時延的性能要求；

（3）滿足港務集團信息安全團隊對于日常攻防演練分析與學習的需求；

（4）龍門吊遠控系統在堆場工作區內部署大量的物聯網設備，需要將其安全管控納入整體安全建設中；

（5）滿足當前控制系統對主機防護、安全通信、邊界防護、入侵監測等方面的安全需求。

2 項目實施

2.1 項目總體架構

由圖1可知，集裝箱碼頭堆場的遠控龍門吊場景從系統功能層面可分為碼頭管理系統、龍門吊遠控系統、遠程通信系統三部分。

圖1 堆場龍門吊遠控系統架構圖

第一層為碼頭管理系統（TOS），主要包含堆場計劃、船舶配載、作業控制、無線終端、遠程控制等核心模塊，可與智能閘口、智能理貨、GIS可視化等系統實現信息交互，是碼頭管理的核心業務控制系統。

第二層為龍門吊遠控系統，主要由遠控機房、龍門吊單機控制系統、視頻監控系統三部分組成。遠控機房內包括操作席位、控制臺、音視頻監控監聽設備。其中，工控上位機為主要設備，接受港口TOS（碼頭管理系統）的任務并且對碼頭龍門吊進行遠程控制。其業務模式為一個操作員占據一個操作席位，對應控制單個或多個電龍，其席位上方為現場環境與電龍周圍部署的多個視頻閉路電視，方便操作員依據視頻信息執行操作。操作席位（上位機）主要以Win7/XP系統為主，并且安裝組態軟件對接OPC服務器。

視頻監控系統在作用上與操作席位共同工作，但其視頻監控網絡屬于現場專網，與遠控龍門吊系統不在一張網里。其主要設備為部署在碼頭以及電龍上方的高清攝像頭與拾音器，以及在控制機房內的視頻服務器。目前攝像頭的通訊方式為光纖通信，今后將與遠控系統共同并入5G專網。

龍門吊單機控制系統的主要控制設備為PLC（羅克韋爾、西門子為主）、通信卷軸電纜（承擔供電、通信職能）及各類傳感器（激光測距、北斗定位、風速測量、角震動傳感器等）。PLC通信接口為485口，并且傳感器數據均通過PLC實現數據采集，OPC服務器從PLC收集實時監控數據傳輸給控制席位的組態軟件。

第三層為遠程通信系統，遠控電龍普遍采用卷纜通信為遠控系統提供光纖傳輸，或者在PLC前端架設無線通信設備與協議轉換網關，實現集裝箱碼頭堆場作業區的無線網絡應用。

2.2 項目主要內容

針對港口的工控業務系統安全風險防范設計，在滿足網絡安全需求下進行，重點實現工控系統網絡的安全防護、安全運維和安全改進，并建立安全態勢感知的能力。

（1）合規性設計：設計方案需滿足《網絡安全法》框架下關鍵信息基礎設施保護要求、網絡安全等級保護制度和技術要求。

（2）對系統最小干擾的設計：為了不影響作業系統的正常運行，對生產業務引入新的風險，所有安全組件均采用非侵入式安全監測與防護工作方式，確保安全設備對工控網絡幾乎無干擾。

（3）可視化設計：資產安全管理是網絡安全的重要部分，實現工控網絡資產的可視化管理，動態識別非法接入設備，做到直觀展示工控網絡安全威脅的效果。

（4）全面防護設計：增加工控網絡的安全防護能力，有效抵御病毒、木馬等惡意代碼、網絡攻擊、員工操作等破壞工控系統安全生產的行為。從網絡、終端、通信、數據、運維、管理等多個層面進行安全防護與管理，實現工控網絡全面的安全保護。

（5）安全運維：實現圖形化的工控網絡安全運維管理方式，直觀展示工業控制網絡的運行狀態，提高工控網絡對安全威脅的反應能力和應對能力。

（6）安全改進：發現工控網絡潛在的安全風險，通過對安全策略的不斷改進和實施，持續提升工控網絡的抗攻擊能力。

（7）安全感知：提升該港對威脅的感知能力，全面提升安全生產管理水平、工作效率和管理效率，降低人力投入成本，提升港口的精益化管理水平。

結合現場調研情況與客戶需求，本案例將堆場遠控場景的安全建設分為統一安全管理、堆場安全監測、生產邊界防護三個部分，并結合實際業務情況，制定部署內容，如圖2所示。

圖2 港口龍門吊遠控系統防護部署圖

（1）邊界防護：單臺龍門吊部署工業防火墻做訪問控制防護，學習流量情況，制定流量基線。部署工業網閘將生產網與辦公網之間做單向/雙向隔離傳輸。

（2）主機防護需求：在監控主機與控制主機上部署工業主機安全防護系統，建立主機白名單進程，防止違規使用，管控主機的外設介質，掃描主機漏洞、病毒，接受統一策略下發與特征庫更新。

（3）資產管控：部署物聯網接入防護系統對堆場基于IP的設備（工控設備、物聯網設備）進行統一管控，梳理資產拓撲圖，監控單點設備狀態，聯動交換機、安全設備對異常資產進行管控，及時掌握資產整體情況。

（4）統一管理：技術方面，通過合規要求，設立安全管理中心，部署工業漏掃系統、日志審計、堡壘機、工業主機安全防護系統服務器、工業安全管理平臺等系統，對所有工控安全設備進行統一管理，了解安全整體態勢。

3 案例亮點及創新性

（1）安全場景化防護

區別于傳統的合規建設思路，通過分析堆場龍門吊遠控系統的業務場景及其所需的安全需求，構建出多維度、深層次的安全場景化方案，追求安全防護與業務深度耦合以及最終的有效落地。

（2）滿足合規需求

安全建設的合規性將有力保障智慧港口安全和持續運營，通過降低風險的方式減少相關支出。

（3）OT與IOT的整體防護

通過龍門吊遠控系統進行防護；通過對傳統信息網和工控網同步防護，避免出現安全短板；通過保護傳感器與物聯網設備，保障堆場智能化運營的基本需求。

《自動化博覽》2023年1月刊暨《工業控制系統信息安全?？ǖ诰泡嫞?/span>