5G智慧港口行業應用安全解決方案

薄明霞 白 冰

1(中國電信北京研究院 北京 102209)

2(中國電信集團公司 北京 100033)

(bomx@chinatelecom.cn)

1 5G智慧港口的典型業務場景

港口作為現代交通運輸的樞紐在國際貿易中起著舉足輕重的作用.傳統港口高度依賴人力近端操作集裝箱起重機械，工作環境惡劣、工人勞動強度大、人力短缺，已無法滿足全球海運快速發展的需求，港口自動化、智能化建設已成為全球港口共同的訴求.5G技術的應用在智慧港口改造中無處不在，包括龍門吊遠控、無人集卡、智能理貨、高清視頻監控等，極大地提高生產率和效率并確保競爭優勢，為港口自動化提供了新的動力[1].

1.1 龍門吊遠控

門式起重機(又稱龍門吊)是橋架通過兩側支腿支撐在地面軌道上的橋架型起重機，主要用于室外的貨場、料場貨、散貨的裝卸作業.門式起重機具有場地利用率高、作業范圍大、適應面廣、通用性強等特點，在港口貨場得到廣泛使用.

龍門吊工作區域靈活,需要頻繁“過街”和“轉場”,自身卷盤電纜無光纖,所以龍門吊遠控改造優先選用無線連接方案.港機遠程控制需要將多路視頻高速回傳與低時延控制，因此5G網絡是最佳選擇.

通過在碼頭龍門吊上安裝多路高清攝像機,同時采集龍門吊主要運行機構、吊具等關鍵設備PLC運行狀態數據,部署大車糾偏系統和吊具防搖系統,由遠控人員在控制臺實時觀測設備運行情況,判定操作并下發控制命令,實現在控制臺工位1對N靈活控制輪胎吊.

1.2 AGV集卡

AGV集卡是現階段自動化碼頭水平運輸的主要設備,AGV集卡車依據地下磁釘定位,根據AGV調度系統指令完成編隊自動駕駛.隨著港口自動化的發展，AGV集卡向IGV集卡的演進也是一個明顯趨勢，未來自動駕駛集卡上也將具有遠程控制能力，當自動駕駛集卡在作業場中出現故障，操作人員可通過攝像頭查看周邊環境，進行故障判斷，并可遠程操作自動集卡退出故障區.

通過將AGV集卡5G智能化改造，AGV遠程調度指令可得到快速下發和響應,網絡更加穩定,車輛更高效完成作業任務.基于5G和高精度定位的港區無人集卡單車測試,實現在岸橋、輪胎吊下精確定點停車、裝箱和卸箱,自動識別避障和遠程控制等功能，實現5G無人駕駛集卡自動駕駛作業.

1.3 智能理貨

港口原有智能理貨系統均通過4G回傳圖片方式完成遠程理貨業務,不能實時獲取監控視頻,識別異常時的處置耗時長.將理貨系統通信鏈路改造為5G后可滿足高清視頻的大帶寬速率回傳要求,省去原先與PLC控制系統對接觸發的流程,更快完成理貨流程與數據保存.

通過5G高清視頻回傳+AI視覺分析技術,完成集裝箱信息自動采集、船邊集裝箱作業全程監控、裝卸信息實時比對、自動核銷、驗殘電子化等理貨全業務流程.通過5G網絡+AI智能方式實現理貨操作,既降低人工成本也使得碼頭理貨更加高效和安全.

1.4 高清視頻監控

視頻監控在港口應用場景：

1) 吊車攝像頭對集裝箱編碼ID的AI識別，自動理貨.

2) 安全防護.對司機面部表情、駕駛狀態進行智能分析，對疲勞、瞌睡等異常現象預警.

3) 運營管理.車牌號識別、人臉識別、貨物識別管理.

4) 智能巡檢.利用無人機、機器人快速智能巡檢.

目前港區很多區域無法部署光纖.對于臨時部署場景和移動場景，無線回傳作為光纖補充具有部署靈活、調整便捷、低成本的優勢.5G大帶寬廣連接能力有效支持多路高清視頻和傳感器信息回傳.結合邊緣計算+AI能力，5G將幫助港口設備和生產系統同步協調，自動高效地完成任務，從而提升港口作業效率和智能化運作水平.

綜上所述，未來智慧港口建設對網絡的要求主要體現在高速度、低時延、廣連接等幾個方面.

5G網絡具備高連接速率、低時延和大帶寬等特性，有效支持增強移動寬帶(eMBB)、超高可靠低時延(uRLLC)、海量連接通信(mMTC)三大業務場景.其中增強型移動寬帶可應用在港口的高清視頻監控、龍門吊運控視頻回傳等場景；超高可靠低時延連接特性支持毫秒級的連接時延和高速移動(500 km/h)情況下的高可靠性(99.999%)連接，可應用在港口龍門吊運控和無人集卡等場景.海量連接通信為海量港口物聯網連接提供新一代的網絡技術支撐，這些特性使得5G強大的連接能力可以快速促進港口行業深度融合，有效滿足港口業務苛刻的安全性、傳輸時延及可靠性要求，支撐智慧港口建設快速落地.

2 智慧港口安全需求

新業務提出更高的通信保障需求.智慧港口的發展推動了港口專網、物聯網、互聯網之間的深度融合，尤其視頻回傳、影像類數據對網絡帶寬、傳輸質量、傳輸速率、可靠性等都提出了新的要求.傳統網絡難以滿足如遠程操作、無人集卡等場景需求.同時3GPP/ITU等多個國際標準及行業組織展開對智慧港口場景及應用的研究.未來將有很多新業務入駐新型港口生態，新技術衍生的新應用對通信網絡提出更高要求.

信息化是港口改革的重要內容和必由之路，而港口的黑客攻擊、信息泄露等網絡信息安全事件層出不窮.如果沒有配套的安全監測手段，很容易對安全生產和基礎設施產生巨大影響，進而影響整個港口的正常運轉.

隨著海上事件激增港口越來越成為網絡攻擊的目標.據不完全統計，2020年以來，針對航運業運營技術系統的重大網絡安全事件已達到創紀錄的500起，是2007年的10倍.

港口業務同時具有連接終端數量大、類型多的特點.

1) 港口作業要求365×24 h不間斷作業，大型船舶租金數百萬元/天.轉運效率低會帶來直接的經濟損失.

2) 港口運輸設備種類繁多，各類起重機、輪胎吊同時作業，對安全作業敏感，任何安全生產事故都會嚴重影響港口的運轉效率.

3) 港口可能有幾萬個甚至幾十萬個集裝箱，還有大量的攝像頭、車輛和人，接入的終端形態和數量都比較多.

4) 在5G助力智慧港口提高效率、降低成本的同時，將港口碼頭的貨物吊裝、視頻監控、資源調度、設備運轉等工作都承載于5G網絡之上，網絡的穩定與安全將直接影響港口業務的正常運轉.引入5G技術后勢必將帶來一些新的安全問題，包括MEP平臺安全、編排和管理安全、邊緣基礎設施安全等.

5) 為了適應未來無人化碼頭的趨勢，需要RTG進行遠控改造.改造采用移動5G網絡，需要保證低延時和大帶寬的網絡特性；同時滿足港口業務數據不離開港口MEC網絡的要求.

6) 如何保障5G網絡在傳輸中的鏈路、路由的可靠性和穩定性，當5G網絡某個鏈路或者路由出現問題時，如何保障港口業務正常有序進行.

7) 當龍門吊移動到某個5G網絡覆蓋弱區域，如何保障原有的WiFi能夠及時提供網絡通信服務.

8) 如何檢測防御網絡攻擊者通過核心網對港口內部系統發起攻擊，如何讓港口直觀地看到5G帶來的一些網絡安全問題，進行應急處置.

9) 實現5G業務質量感知、5G業務網絡安全監測、5G資產的風險管理、5G數據安全防護.

3 5G智慧港口安全整體方案

5G通信安全的總體設計目標是保障用戶與網絡自身安全，為港口5G應用提供基礎的網絡安全防護能力.

針對5G+智慧港口面臨的安全新風險，堅持頂層設計與落地實施相結合，針對不同場景和業務需求，中國電信提出了業務感知、靈活彈性的5G安全管理運營體系.即針對5G MEC的分級服務化架構，結合零信任理念和ASA自適應架構，網邊端協同多級聯動的全方位安全保護模式下，面向不同客戶不同業務需求特點提供彈性靈活的安全服務，并提供持續化安全運營服務，為5G+智慧港口提供新的安全治理模式與解決方案：

云是5G+智慧港口全場景安全聚能平臺，具有更多的運算存儲能力，豐富的數據資源(比如動態規則庫、模型庫、威脅情報庫、基礎資源庫)，強大的AI學習能力、關聯分析能力、沙箱研判能力和威脅情報分析能力[2-3]；

邊緣和網是安全業務賦能節點，更貼近本地業務網絡，提供高效實時的安全防護能力(比如信令回注、封堵處置功能、數據采集、協議分析、內容識別、規則模型匹配等)；

多級協同體現在云側安全管理分析平臺進行大數據分析挖掘、數據共享、安全算法模型的訓練和升級，云側將升級后的安全算法依據邊緣節點業務特點和安全需求推送到邊端，使邊端設備更新和升級，完成安全能力自主學習閉環；

云網邊端協同多級聯動的全方位安全解決方案可以同時滿足5G+智慧港口建設中終端接入與認證防護、網絡設備安全防護、網絡切片安全防護、MEC邊緣計算安全防護、應用數據安全防護等安全需求.

3.1 終端接入與認證安全防護

3.1.1 用戶終端安全防護

基于安全隔離的終端架構構建可信執行環境，其中包含2個平行的執行環境：非安全執行環境和需要認證的安全執行環境，同時通過對CPU架構和內存子系統的安全設計升級，提供多層API適應不同目標應用的需求.

1) 采用安全芯片為終端提供安全配置、數據加密、安全存儲、密鑰管理和數字簽名等安全功能；

2) 支持端到端數據加密保護能力，支持網絡層、應用層安全隧道；

3) 利用設備管控技術，對終端設備、應用、內容進行統一管控，支持外設管控、行為監控、內容管控、遠程鎖定、遠程數據擦除、軟件升級維護等功能.

3.1.2 終端接入與認證基礎防護

1) 提供用戶接入切片的認證，防止非授權終端接入港口切片.具備5G通信能力的港口終端在接入5G網絡時，5G核心網將基于5G AKA安全認證機制對終端進行身份認證，確保只有運營商認可的合法終端能夠接入5G網絡.認證的同時，5G AKA機制能夠為終端及網絡協商出加密及完整性保護密鑰，用于在網絡接入層面和非接入層面對終端信令及用戶數據進行加密，防止用戶信息被篡改、竊聽.

2) 提供切片選擇輔助信息的隱私保護.切片選擇輔助信息NSSAI(network slice selection assistance information)可以區分不同類型、不同用途的切片.在用戶初始接入網絡時，NSSAI指示基站及核心網網元將其路由到正確的切片網元.切片選擇輔助信息對于垂直行業屬于敏感信息，5G網絡可對NSSAI進行隱私保護.

3) 提供針對港口終端的攻擊防護.5G采用雙向鑒權認證機制，使用了經過驗證的標準機密算法，可防止非授權終端接入與發起攻擊；基站對數據僅作隧道封裝并轉發至核心網用戶面轉發網元，其他終端無法基于空口直接發起對港口終端的攻擊；其他終端若需要對港口終端發起攻擊，必須先攻破核心網.

4) 提供針對港口業務的攻擊防護.對于上層港口業務，5G網絡可開放二次認證能力.通過網絡開放能力接口，5G網絡允許提供港口業務服務的MEC節點將應用層用戶身份認證結果反饋給5G核心網絡.在發現用戶非法訪問的情況下，5G網絡能夠根據業務層指示中斷終端與MEC邊緣節點的網絡連接，確保MEC服務節點不被非法用戶訪問.

3.2 網絡設備安全防護

采用下沉、入駐港口方式部署的本地分流網元設備(如UPF)是實現5G+智慧港口的關鍵節點，同時也是安全防護的重要節點.然而本地分流網元設備面臨著遠程攻擊以及DDoS攻擊的風險.

3.2.1 DDoS攻擊防護

首先實現基于特征和DPI分析的異常流量檢測識別，然后通過路由牽引策略和回注策略實施基于異常流量清洗的DDoS攻擊防護.

DDoS攻擊防護系統在系統核心實現了防御拒絕服務攻擊的算法，創造性地將算法實現在協議棧的最底層，避開了IP/TCP/UDP等高層系統網絡堆棧的處理，使整個運算代價大大降低.并采用自主研發的高效防護算法，效率極高.

抗拒絕服務系統主要采用了攻擊檢測、主機識別、指紋識別、協議分析、攻擊過濾、流量控制、端口保護、連接控制、連接跟蹤和日志審計，來達到拒絕服務攻擊的防護.

若有條件則采用前置串聯的DDoS檢測清洗設備，實現對本地分流網元設備網絡的DDoS攻擊的檢測清洗的方案.

如果不具備部署前置檢測清洗設備的條件，則通過MEC網絡中部署的虛擬或者物理探針獲得網絡中用戶面數據流量，基于DDoS微服務下發的特征規則進行深度分析檢測，并報送DDoS事件，在MANO編排下由清洗中心對檢測出的異常流量進行清洗，并將清洗后的流量回注網絡.

3.2.2 攻擊誘捕防御

攻擊誘捕防御系統基于欺騙防御技術，通過布置模擬網元/主機、網絡服務或者信息，從網絡和主機2個層面誘使攻擊者實施攻擊，從而對攻擊行為進行捕獲和分析，了解攻擊工具與方法，推測攻擊意圖和動機，追溯攻擊來源，最終在保護真實資產的同時使用戶清晰地了解所面對的安全威脅.

1) 系統產生大量仿真網元/主機，降低真實主機被網元/主機的可能性；同時在真實網元/主機上，投放數十種誘餌信標，進一步保障真實資產的安全.

2) 將攻擊流量引入蜜罐，保護真實網絡環境，延緩攻擊者攻擊流程，爭取應急響應時間.

3) 實時預警，迅速識別攻擊者，并以syslog、郵件以及短信等形式實時通知管理員，提供應急響應支持，降低資產受損的風險.

4) 捕獲、分析攻擊行為，詳細記錄攻擊工具、攻擊方法以及攻擊過程，采集攻擊數據，精準預測攻擊意圖，協助用戶感知當前威脅，支持攻擊回放和攻擊取證.

攻擊誘捕防御系統根據攻擊信息和攻擊記錄，結合威脅情報系統，對比分析攻擊者的攻擊習慣和技術特點，進行攻擊畫像和溯源.

3.3 網絡切片安全防護

5G網絡切片支持在統一基礎設施平臺上提供邏輯隔離、定制化的專用網絡，提供完備的安全機制與功能：

1) 切片安全定制.

基于安全需求等級不同，提供多種類型的切片滿足客戶對不同業務場景的需求.在面向港口的切片中可采用中高安全級別的切片，基于獨立的虛擬機/硬件服務器部署切片，實現不同業務之間的有效隔離.

2) 定制優先接入.

基于服務可靠性的考慮，不同類型的終端接入網絡時，基于終端接入的切片類型，對高保障的終端進行優先接入，保障港口終端、港口設施的優先接入.

3) 切片安全管理.

使用虛擬化技術，可構建安全資源池，實現安全能力服務化，提供安全服務的動態按需部署.當接收到來自垂直行業應用的安全需求時，網絡切片實例中的管理服務器會基于NFV技術，并進行安全策略配置，快速地為具有特定安全需求的垂直行業應用提供多樣化且恰當的安全服務.

4) 切片防護定制.

針對特定切片，中國電信安全資源池可提供的安全服務包括：認證、入侵檢測和入侵防護、抗DDoS攻擊、反病毒、反惡意軟件/間諜軟件、安全事件管理等.

網絡切片、MEC技術已經具備基本的安全機制和能力，同時中國電信還提供安全資源池等安全增值能力，協助港口行業用戶滿足高要求安全需求，根據業務需求提供定制化安全能力.

3.4 MEC邊緣計算安全防護

采用入駐方式部署的MEC是港口業務處理的核心，它由MEC邊緣計算平臺、MEC編排系統、ME APP等部分構成.MEC邊緣計算節點作為新型的計算模式，靠近用戶，引入第三方APP，暴露面增加，邊緣計算會引入新的安全威脅風險.為此，MEC邊緣計算節點在部署時應支持如下安全機制與能力，從而確保MEC系統的安全.

3.4.1 基于流量分析的攻擊溯源

基于流量分析的攻擊溯源和威脅監測系統，對MEC的信令交互實時流量的捕獲和分析，全方位檢測流量異常、網絡資產變化、事件行為特征、攻擊來源行為，并以可視化的界面展示，對于成功的攻擊行為能夠進行攻擊鏈回放展示，快速溯源攻擊過程.主要功能包括:

1) 全流量分析.

系統支持人工分析和自動化方式定位異常流量.基于人工的數據下鉆分析，可以利用協議、應用對數據層層下鉆，最終查看數據對應的原始PCAP包對應的詳情信息.利用系統自帶的數據分析功能對選定的批量數據進行數據自動化任務分析，通過執行任務分析篩選到最終想要的情報信息.

2) 全流量回溯.

流量回溯對接入的流量進行實時的存儲、分析和監管，并通過流量趨勢、時間段、數據統計功能，結合數據查詢、數據挖掘等操作進行在線流量數據的回溯與PCAP取證分析.

3) 威脅檢測.

系統威脅檢測能力橫向覆蓋Web攻擊類、僵木蠕類、病毒類、網絡攻擊類、網絡探測類等九大類安全威脅場景.檢測類型包含SQL注入、XSS跨站、WebShell、文件操作、弱口令、權限許可、訪問控制、配置錯誤、目錄遍歷、命令執行、敏感信息、設計錯誤、跨站請求偽造、后門程序、權限繞過、代碼執行、系統配置不當等.支持識別SYNFlood,UDPFlood,HTTPFFlood,ACK_FLOOD等DDoS網絡攻擊.幫助安全客戶更加有效地發現威脅事件，鎖定失陷資產以及定位威脅源頭.

與此同時，系統基于“Kill-Chain”設計理念，創新地以攻擊視角展示威脅狀態和攻擊過程.“Kill-Chain”支持匯聚不同層次的攻擊事件，并將所有的事件按攻擊鏈的不同階段進行歸類和統計，并展示到可視化的Kill- Chain圖中，同時提供豐富的篩選條件.

4) 未知威脅分析.

網絡攻擊是動態升級的，新的攻擊往往是未知的，很多高級的未知攻擊行為沒有明顯特征，采用DPI方式很難實現發現及預警.系統獨創智庫應用可以基于靈活的策略組合，篩選出符合條件的數據信息.幫助安全分析師從海量數據中快速發現網絡中的高級攻擊和未知威脅.

3.4.2 主機安全防護

主機安全防護系統通過主動探針+輕量級agent代理技術實現對MEC資產全生命周期的可視化安全管理，建立全面動態的資產清單庫，具備快速發現資產變更、不斷完善資產指紋信息、異常資產稽核、漏洞風險影響感知等監測能力.主要功能包括:

1) 資產清點.

MEC資產清點是后續資產分析獲取在網資產脆弱性功能的基礎.資產清點功能用于確定所有在網資產，即網絡可達、配置了IP且操作系統處于啟動狀態的資產.實現對MEC資產普查以及對目標IP地址段所有存活設備進行大規模探測，范圍覆蓋設備類型、設備廠商、設備品牌、設備型號、操作系統、開放端口、使用軟件和版本等，并可通過周期性監控及時發現資產信息變更，對因資產變更而發生的網絡空間威脅有據可依.

2) 安全巡檢.

安全巡檢旨在為用戶檢查MEC網絡環境內部的各項安全問題，并且協助用戶對于這些問題提出相應的解決方案，讓用戶可以更好地了解MEC的安全狀態.MEC內部的安全風險和漏洞勢必給攻擊者帶來可利用的“窗口”，攻擊MEC資產給用戶帶來損失.MEC安全巡檢主要包括：基線檢查、漏洞掃描、弱口令檢測、高位漏洞驗證等功能.

3) 入侵檢測.

針對MEC主機安全防御設計了入侵檢測模塊，旨在防止主機受到各種來自于內部和外部的攻擊,能夠提前感知來自不同渠道的異常操作,主要包含以下子項功能：反彈shell、異常登入、網站后門、異常操作、暴力破解、Web攻擊.

3.4.3 病毒及僵木蠕、釣魚查殺

基于5G網絡流量對文件在網絡中的傳輸進行監測，對文件進行樣本檢測和還原，捕獲威脅文件(如病毒、木馬、蠕蟲、釣魚、惡意程序等文件).通過整合9款自主研發的反病毒、靜態數據提取子引擎，形成高效的查殺引擎，最終完成MEC網絡中病毒、木馬、蠕蟲、釣魚、惡意程序等威脅的查殺.

3.5 應用/數據安全防護

3.5.1 應用安全防護

應用安全防護主要實現對ME APP的安全防護.通過對ME APP軟件進行安全評估和加固、使用HMAC等機制對ME APP軟件或者鏡像進行完整性保護、對敏感數據加密存儲和完整性保護、對訪問ME APP的用戶進行認證等，從而防止ME APP軟件本身的漏洞被利用、ME APP軟件或者鏡像被篡改、敏感數據泄露、用戶非法訪問APP等.

其中ME APP安全評估包括：

1) 惡意代碼檢測.靜態廣譜特征、動態沙箱檢測.

2) 代碼安檢.APK代碼是否混淆、SQL注入風險、重打包檢測、代碼權限檢查、獲取ROOT權限、加固檢測等.

3) 數據安檢.內容數據存儲安全性、賬號等敏感數據存儲安全性,配置文件數據存儲安全性,支付SDK檢測.

4) 漏洞檢測.Janus漏洞檢測,WebView組件遠程代碼執行漏洞檢測,簽名漏洞、中間人攻擊漏洞、Content Provider文件目錄遍歷漏洞等主流漏洞檢測.

5) 交互與通信安全檢測.SSL通信檢測、網絡數據傳輸檢測、業務接口惡意調用檢測、業務數據篡改檢測、業務授權安全檢測等.

3.5.2 數據安全防護

3.5.2.1 數據安全基礎防護

MEC邊緣計算節點部署在港口本地，承載港口業務應用，這種架構允許醫療行業用戶能夠自行管理各類業務數據，由用戶確保業務數據使用及管理的安全性.MEC安全方案通過以下幾個方面機制保證數據的安全.

1) 港口本地部署的UPF是MEC邊緣設備的唯一接入點，基于業務流量處理策略，UPF將港口業務的訪問流量分流至專用MEC邊緣計算節點，使業務數據不出港口本地環境，不在公網傳輸，防止數據暴露；

2) 本地UPF與5G基站之間的傳輸鏈路基于IP傳輸隧道實現，各隧道相互獨立，實現數據的相互隔離，能夠確保業務數據不在公網上暴露.

網絡切片技術支持設定切片最大的接入用戶數，切片會限制接入數量，從而有效保護了業務安全，提升業務可用性.當無線接入的信令面和用戶面終結點位于5G核心網切片內部時，可為不同切片生成獨立的切片控制面或用戶面密鑰，在資源隔離的基礎上實現切片信令、用戶面數據隔離.對于持久存儲數據的隔離防護主要包括以下幾個方面：

1) 數據隔離.確保虛擬機不能直接或間接訪問其他虛擬機的數據.

2) 數據訪問控制.對存儲資源進行訪問時，采用強身份認證和細粒度授權等訪問控制.

3) 數據加密存儲.根據數據不同的安全級別采用不同的存儲加密機制.

4) 數據備份與恢復.提供完備的數據備份和恢復機制來保障數據的可用性.

5) 數據殘留與銷毀.虛擬機遷移后存儲資源上原有的數據應徹底刪除，防止數據被非法恢復.

3.5.2.2 數據安全風險監控

通過在港口本地部署數據安全風險監控系統，系統基于數據識別、分類分級、防護策略、數字地圖等基礎功能，構建數據安全基礎能力，通過AI+行為模型，從數據采集、供應鏈等發現數據安全問題，構建數據安全運營能力，最終以閉環管理為目標，對數據全生命周期安全事件檢測、分析、處置，構建數據安全管控能力，保障數據資產的“機密、完整、可用、可知、可控、可管”.

系統核心能力為：從日志信息中發現潛在的安全風險，不斷完善和增加安全規則.對數據風險進行行為畫像、UEBA分析、數據溯源分析、關聯分析等.發現數據安全違規并調查取證，核實制度規范，監督安全策略的執行情況，為趨勢分析輔助決策.

1) 數據異常流傳分析

對數據訪問行為進行還原并詳細記錄數據接口的被訪問情況，實現對重要和敏感數據通過應用流動的細節的全面監控.

2) 數據異常跨境及通聯分析

對數據流量，實現實時異常數據流感知、跨境不明數據識別、數據非法跨境流動溯源取證、違規數據提取等，發現違規出境數據，實現提前告警和實時響應.

3) 數據疑似泄露分析

數據泄露、數據濫用等異常數據流動時，通過對搜集到的所有線索同時進行交互式的深入分析溯源，完成還原數據訪問鏈路，定位泄露源.

4) 異常文件外發分析

對文件操作進行掃描和監控，并根據預設的策略進行告警，能夠對通過終端外設端口傳送的文件或內容進行掃描和監控，并根據預設的策略進行告警.

5) 惡意代碼及入侵事件分析

數據流量進行監測、分析、告警、曰志留存、網絡審計，可及時發現網絡內部的病毒感染、病毒傳播、網站后門、網頁篡改、惡意URL訪問等數據安全事件.

3.6 安全測評與防護

采用入駐方式的MEC部署在港口側的數據中心，是港口業務系統、數據的處理核心，港口應加強對數據中心MEC的安全防護.同時加強各個安全防護系統的管理運營才能更好地發揮各系統自身的價值，為5G+智慧港口業務安全保駕護航.

基于中國電信多年來豐富的安全防護增值服務經驗，可以根據客戶業務場景提供各種安全服務能力，周期性地進行安全測評服務以及持續性的安全防護服務，實現業務縱深防御、數據分級管控.主要包括：

1) 安全測評.

① 漏洞掃描：對用戶網絡設備、安全設備、應用系統、數據庫、中間件、Web應用系統進行掃描；

② 基線合規性檢查：結合監管要求、加固經驗和業務要求制定網絡設備、安全設備、主機、數據庫、中間件等基線規范進行配置檢查；

③ 滲透測試：模擬黑客可能使用的攻擊技術和漏洞發現技術識別系統脆弱性；

④ 業務邏輯測試：對用戶業務系統的業務流程、業務邏輯設計、支撐系統以及相關接口存在的風險進行測試.

⑤ 源代碼審計：檢查源代碼中的安全缺陷及程序源代碼是否存在安全隱患，或者是否有編碼不規范的地方，通過自動化工具或者人工審查的方式，對程序源代碼逐條進行檢查和分析，發現這些源代碼缺陷引發的安全漏洞，并提供代碼修訂措施和建議.

2) 安全防護.

① DDoS攻擊防護：基于中國電信全網DDoS防護設備資源與協同技術，為業務提供來自網絡側的DDoS流量攻擊防護能力；同時可以協助港口建立接入側的DDoS防護體系，防止從接入側發起的DDoS攻擊；

② Web攻擊檢測與防護：可為港口行業客戶提供全面的網站防護服務，包括SQL注入、跨站腳本、命令注入、文件上傳、Webshell、信息泄露、CC攻擊等在內的針對網站的攻擊實現檢測與防護；

③ 數據安全防護：為在MEC中部署大數據平臺的港口行業用戶提供集中認證、細粒度授權、數據脫敏、敏感數據發現和保護、日志審計、數據分類分級、實時監控、態勢感知等安全防護措施，實現對大數據的可視可管可控.

3.7 基于自適應的持續運營[4-5]

中國電信不僅為港口行業提供5G+智慧港口安全防護體系建設、安全測評與防護外，同時也為港口行業提供基于自適應的持續運營機制.根據港口的不同業務場景、不同的運營需求提供相關的運營服務.

1) 自適應SOAR：將多個安全應用按照一定的邏輯配合，實現多種安全業務功能，自動化編排進而提高安全運營效率.幫助港口將繁雜安全運行過程梳理為任務和劇本，把分散的安全工具與功能轉化為可編程的應用和動作，并且借助編排和自動化技術，將團隊、工具和流程高度協同起來，覆蓋安全運行的防護、檢測、響應等各個環節.

2) 零信任：基于先進的零信任理念，采用SDP軟件定義邊界網絡安全架構，通過服務隱藏及單包敲門技術、細顆粒度最小授權管理及風險動態識別能力，通過微隔離、防數據泄露等手段，提供安全可靠的網絡接入與訪問控制，重點解決港口行業遠程網絡接入安全，以及港口工業設備的南北向數據接入安全以及東西向數據訪問安全；

3) 持續運營：提供持續運營服務，包括安全駐場、應急響應、應急演練、重保服務、安全培訓、攻防演練等，滿足港口全方面的安全運營需求.

4 結束語

綜上中國電信通過打造“云-網-邊-端”技術路線下的5G+智慧港口安全治理新模式，圍繞資產+網絡+流量+數據構建基于零信任架構的持續運營的安全生態，面向行業客戶的、全流程的、預先防護的全方位安全防護機制，保障港口的網絡安全與數據安全，為5G應用于垂直行業、壯大垂直行業賦能，助力國家智慧港口的建設.