★ 吴锦涛，王敏，白凯文北京启明星辰信息安全技术有限公司

1 项目概况

1.1 项目背景

智慧港口作为智慧交通在港口领域的延伸，也称智能港口、物联网港口等。港口场景复杂庞大，有港口区、物流区、口岸区等业务场景，并且随着智能化程度提升，其控制系统风险暴露面逐渐增加。同时，由于疫情影响，港口在进出口贸易层面承担了核心运输角色，其网络安全保障亟需重视。

“十三五”期间，全国港口重点围绕港口作业自动化、港口陆运业务协同、信息互联共享、港口物流链、创新技术应用五大方向发展转型，智慧港口工程建设在全国范围内有序开展，并在示范港口重点实施。上海港、青岛港、天津港、广州港等全国主要示范港口在港口作业自动化、港口陆运业务协同、信息互联共享、港口物流链、创新技术应用等方面取得一系列成果。

东南某港口近年来在智慧港口建设方面处在领先位置，其先进的机械设备、优良的航道水深环境和完善的码头基础设施为码头集团成为国际集装箱良港创造了条件，其业务重要性不言而喻。为了确保码头整体网络安全，需要根据当前信息安全建设情况参照法律法规、政策发文等网络安全要求进行安全评估，根据业务特性设计网络安全建设方案，通过安全产品、安全服务、安全管理制度等措施全面提高码头的网络安全建设水平。

1.2 项目简介

此项目中集装箱码头堆场拥有8组电动龙门吊（简称“电龙”）。在新建的集装箱码头堆场部署了新型的远程龙门吊系统，拥有3个15万吨级深水集装箱船舶专用泊位，可接纳目前世界上最大的集装箱船舶，并且在所有集装箱码头中最靠近主航道且泊位条件最为优越，可同时靠泊两艘20万吨级集装箱船舶。新型龙门吊将采用新型的统一集管、远程控制的操作模式，在全球范围内属于新技术应用试点。远控电龙的控制系统与信息系统相对复杂，是典型的IT+OT+IOT三网融合的应用场景，具有多重典型性与创新性，安全要素较多，后续可扩展空间较大。

1.3 项目目标

（1）满足监管单位以及港务集团信息安全规划的相关安全建设要求；

（2）部署在龙门吊上的安全设备应当满足外部环境测试，并且串行防护设备必须满足通信低时延的性能要求；

（3）满足港务集团信息安全团队对于日常攻防演练分析与学习的需求；

（4）龙门吊远控系统在堆场工作区内部署大量的物联网设备，需要将其安全管控纳入整体安全建设中；

（5）满足当前控制系统对主机防护、安全通信、边界防护、入侵监测等方面的安全需求。

2 项目实施

2.1 项目总体架构

由图1可知，集装箱码头堆场的远控龙门吊场景从系统功能层面可分为码头管理系统、龙门吊远控系统、远程通信系统三部分。

图1 堆场龙门吊远控系统架构图

第一层为码头管理系统（TOS），主要包含堆场计划、船舶配载、作业控制、无线终端、远程控制等核心模块，可与智能闸口、智能理货、GIS可视化等系统实现信息交互，是码头管理的核心业务控制系统。

第二层为龙门吊远控系统，主要由远控机房、龙门吊单机控制系统、视频监控系统三部分组成。远控机房内包括操作席位、控制台、音视频监控监听设备。其中，工控上位机为主要设备，接受港口TOS（码头管理系统）的任务并且对码头龙门吊进行远程控制。其业务模式为一个操作员占据一个操作席位，对应控制单个或多个电龙，其席位上方为现场环境与电龙周围部署的多个视频闭路电视，方便操作员依据视频信息执行操作。操作席位（上位机）主要以Win7/XP系统为主，并且安装组态软件对接OPC服务器。

视频监控系统在作用上与操作席位共同工作，但其视频监控网络属于现场专网，与远控龙门吊系统不在一张网里。其主要设备为部署在码头以及电龙上方的高清摄像头与拾音器，以及在控制机房内的视频服务器。目前摄像头的通讯方式为光纤通信，今后将与远控系统共同并入5G专网。

龙门吊单机控制系统的主要控制设备为PLC（罗克韦尔、西门子为主）、通信卷轴电缆（承担供电、通信职能）及各类传感器（激光测距、北斗定位、风速测量、角震动传感器等）。PLC通信接口为485口，并且传感器数据均通过PLC实现数据采集，OPC服务器从PLC收集实时监控数据传输给控制席位的组态软件。

第三层为远程通信系统，远控电龙普遍采用卷缆通信为远控系统提供光纤传输，或者在PLC前端架设无线通信设备与协议转换网关，实现集装箱码头堆场作业区的无线网络应用。

2.2 项目主要内容

针对港口的工控业务系统安全风险防范设计，在满足网络安全需求下进行，重点实现工控系统网络的安全防护、安全运维和安全改进，并建立安全态势感知的能力。

（1）合规性设计：设计方案需满足《网络安全法》框架下关键信息基础设施保护要求、网络安全等级保护制度和技术要求。

（2）对系统最小干扰的设计：为了不影响作业系统的正常运行，对生产业务引入新的风险，所有安全组件均采用非侵入式安全监测与防护工作方式，确保安全设备对工控网络几乎无干扰。

（3）可视化设计：资产安全管理是网络安全的重要部分，实现工控网络资产的可视化管理，动态识别非法接入设备，做到直观展示工控网络安全威胁的效果。

（4）全面防护设计：增加工控网络的安全防护能力，有效抵御病毒、木马等恶意代码、网络攻击、员工操作等破坏工控系统安全生产的行为。从网络、终端、通信、数据、运维、管理等多个层面进行安全防护与管理，实现工控网络全面的安全保护。

（5）安全运维：实现图形化的工控网络安全运维管理方式，直观展示工业控制网络的运行状态，提高工控网络对安全威胁的反应能力和应对能力。

（6）安全改进：发现工控网络潜在的安全风险，通过对安全策略的不断改进和实施，持续提升工控网络的抗攻击能力。

（7）安全感知：提升该港对威胁的感知能力，全面提升安全生产管理水平、工作效率和管理效率，降低人力投入成本，提升港口的精益化管理水平。

结合现场调研情况与客户需求，本案例将堆场远控场景的安全建设分为统一安全管理、堆场安全监测、生产边界防护三个部分，并结合实际业务情况，制定部署内容，如图2所示。

图2 港口龙门吊远控系统防护部署图

（1）边界防护：单台龙门吊部署工业防火墙做访问控制防护，学习流量情况，制定流量基线。部署工业网闸将生产网与办公网之间做单向/双向隔离传输。

（2）主机防护需求：在监控主机与控制主机上部署工业主机安全防护系统，建立主机白名单进程，防止违规使用，管控主机的外设介质，扫描主机漏洞、病毒，接受统一策略下发与特征库更新。

（3）资产管控：部署物联网接入防护系统对堆场基于IP的设备（工控设备、物联网设备）进行统一管控，梳理资产拓扑图，监控单点设备状态，联动交换机、安全设备对异常资产进行管控，及时掌握资产整体情况。

（4）统一管理：技术方面，通过合规要求，设立安全管理中心，部署工业漏扫系统、日志审计、堡垒机、工业主机安全防护系统服务器、工业安全管理平台等系统，对所有工控安全设备进行统一管理，了解安全整体态势。

3 案例亮点及创新性

（1）安全场景化防护

区别于传统的合规建设思路，通过分析堆场龙门吊远控系统的业务场景及其所需的安全需求，构建出多维度、深层次的安全场景化方案，追求安全防护与业务深度耦合以及最终的有效落地。

（2）满足合规需求

安全建设的合规性将有力保障智慧港口安全和持续运营，通过降低风险的方式减少相关支出。

（3）OT与IOT的整体防护

通过龙门吊远控系统进行防护；通过对传统信息网和工控网同步防护，避免出现安全短板；通过保护传感器与物联网设备，保障堆场智能化运营的基本需求。

《自动化博览》2023年1月刊暨《工业控制系统信息安全专刊（第九辑）》