自動化碼頭岸邊集裝箱起重機工控系統信息網絡安全防護設計

顧志華 樓 立 王小棟 王 巧

上海國際港務(集團)股份有限公司尚東集裝箱碼頭分公司

1 引言

全自動化集裝箱碼頭作為國家重大基礎設施項目，承載著國際航運中心的國家戰略樞紐的重任[1]。其現場岸邊集裝箱起重機(以下簡稱岸橋)全部采用自動化控制技術，在大量自動化控制和數字信息化處理過程中，存在較大的信息安全隱患，因此是整個自動化碼頭整體安全建設的先期重點建設對象[2-3]。

對自動化碼頭業務流程、業務架構、安全管理、控制系統和業務主機等資產信息，從脆弱性和威脅性方面進行定性和量化評估，發現當前碼頭在安全管理運營和安全防護層面，缺乏針對性建設，甚至在部分層面的建設呈現空白狀態，總體風險等級較高。

部分已采取的技術防護措施，如運維管控和惡意代碼防護，仍存在一些使用問題，甚至衍生出新的安全隱患，普遍存在諸如高權限賬號、弱口令、高危漏洞、弱配置、惡意代碼等其他問題。

岸橋業務在當前自動化碼頭整個作業流程中占據核心位置，岸橋單機系統也是本次評估工作的重點。目前該自動化碼頭共有21臺岸橋單機系統，系統的自動化程度較高，在單個岸橋單機系統中，有近百個涉及到自動化控制和輔助控制的單機設備主機。本次風險評估對象包含全部21臺岸橋單機系統，并覆蓋單個單機系統中的每一臺控制和輔助控制單機設備主機。

經前期現場風險評估，并依據國家風險評估規范和國際權威的CVSS風險等級評分標準，定義岸橋單機目前所處的安全等級為非常危險。內外部攻擊者可輕易攻破此部分設備主機，且只需較低的技術水平和較小的時間經濟成本，即可造成單臺岸橋業務異常或停止等嚴重后果；而在網絡層面沒有單點或局部范圍內的訪問控制安全措施下，攻擊者或惡意代碼(病毒、蠕蟲、異常流量、惡意操作等)便可以單點系統為跳板控制整個控制網絡，進而造成不可估量的業務風險隱患。

2 安全防護系統設計

2.1 安全防護思路

2.1.1 契合工控特征的安全建設模式

與傳統的以系統保密性為優先原則的信息防護方式不同，工業控制安全首要考慮的是業務系統的可用性。同時，自動化碼頭正面臨國家政策法規的合規性問題，故在設計岸橋業務系統安全防護方案時，應充分結合相關合規性標準要求，避免因合規問題導致的重復投入和重復建設等現象發生。如何在不影響岸橋系統業務運行的情況下，既保障整個岸橋系統的安全性，也滿足相應的合規標準，是一個重要問題。

2.1.2 以政策標準合規性建設為出發點

結合其他行業的合規建設經驗和模式，本次自動化碼頭整體和各主要子系統的安全建設標準，將以等級保護三級作為主要參考要求，在系統安全規劃、設計、建設和管理保障時，將以該標準為主要參考依據。

2.1.3 安全建設基本原則

依據業務優先、合規優先的要求，對單岸橋控制系統進行安全規劃建設。以網絡訪問控制、主機和設備安全及惡意代碼防護、監測審計為主要建設目標，在安全部署層面以監測為主、攔截為輔、合規建設作為整個自動化碼頭控制系統層面安全建設的基本原則。而對于諸如入侵防護、身份認證等安全控制點，則有選擇地對建設對象進行取舍，在保障合規性的基礎上，避免不必要的、不切實際的、不合業務的建設和投入。

自動化集裝箱碼頭的安全合規工作面向的是整個自動化碼頭控制系統，而非單一或部分范圍內的控制系統，故在控制系統的整個安全建設過程中，應視碼頭控制系統主體為安全測量對象，以進行整體全局的安全規劃、整改、建設和合規審計工作，避免將單一系統或業務進行過度安全建設而導致碼頭整體的安全建設不均衡，甚至在成本資源投入和安全防護等層面造成資源未優化配置和使用。

2.2 安全防護方案

目前，該自動化碼頭已建成且投入運營的岸橋共21臺，所有的岸橋的網絡架構和控制系統一致，單個岸橋的安全設計可較易復制至其他岸橋單機設備上。防護方案將以岸橋系統作為建設對象進行具體闡述。

綜合前期的風險評估結果，就風險評估報告中提到的安全問題，設計岸橋系統安全建設示意圖(見圖1)。本次岸橋在安全建設層面主要采取以下措施：

圖1 安全建設示意圖

(1)網絡邊界訪問控制。訪問控制是最基礎也是最重要的安全防護手段，主要包括岸橋單機網絡與碼頭現場網絡的邊界訪問控制，避免非法未授權的網絡連接，以及覆蓋到業務層面的異常控制操作指令，并有效阻止惡意代碼和異常流量的跨網段傳播和傳輸。

(2)岸橋主機基線配置與漏洞管理。多數單機設備自身基線配置存在各種安全隱患，碼頭現場系統設備的漏洞問題是導致高風險的重要因素之一。該措施主要包括岸橋和岸橋遠程操作臺(以下簡稱ROS)主機設備的安全防護，以及惡意代碼防護、主機身份認證、安全審計和漏洞基線管理等層面的安全防護。

(3)異常流量監測。碼頭現場設備主機種類、用途、數量和規格相對于單一IT環境更加龐雜，面臨的安全管理也更加復雜。通過異常流量監測，可實現對碼頭現場所有設備主機資產的安全接入管理和端口策略管理；并通過對流量協議分析，判斷相應的指令操作是否安全；同時基于自學習判斷模式，智能化呈現當前碼頭現場業務流量的異常情況。

(4)惡意代碼防護。對于岸橋單機系統來說，無任何安全防御措施的岸橋ROS與業務直接相關，ROS缺乏足夠的安全防護對系統來說是極大的風險。岸橋主機和ROS設備主機的惡意代碼防護包括病毒、木馬和蠕蟲等常見惡意代碼腳本等。

(5)運維管控。目前碼頭現場雖已使用了運維管控系統進行系統運維工作，但只接入了少數運維對象，且只作遠程運維使用，現場業務系統仍處于較為粗獷的安全運維模式，需要覆蓋到岸橋部分主機的運維管控措施。

(6)岸橋ROS設備主機安全防護。岸橋ROS為岸橋提供遠程操作，對于ROS的安全防護主要為設備系統的防護，包括一些PC設備主機的安全防護設計。工業防火墻與傳統防火墻相比，具有更強的環境適應性、可靠性、穩定性和實時性[4]。通過在岸橋單機網絡與碼頭現場核心網絡邊界部署工業防火墻，實現岸橋生產控制網絡與現場網絡的邊界訪問控制，過濾并攔截非授權、非相關的網絡訪問。同時也能避免惡意流量和惡意代碼跨網間傳播，將風險影響面降至最小的可控制范圍之內。另外，工業防火墻可以實現對岸橋作業時的非法指令攔截。

岸橋網絡邊界流量同時包括對網絡負載、延時較高的CCTV視頻流量和岸橋現場作業的業務指令控制流量，在此混合流量的場景下，工業防火墻能較好地針對不同類型的流量采取不同處理方式和顆粒度的訪問控制手段，并同時滿足高吞吐量和低延時的現場要求[5]。

2.3 系統評價

岸橋安全規劃設計過程中，充分參考了前期碼頭現場風險評估的結果，有選擇性和目的性地進行規劃設計，而非通用全覆蓋型方案，避免了無針對性的、過度的和不平衡的安全規劃和建設。

在岸橋安全設計過程中，充分考慮了與碼頭現場業務的緊密結合，避免了水桶式、孤島式等傳統信息化安全建設過程中最容易出現的安全建設問題。

方案技術措施規劃設計過程中，著重參考了技術方案等級保護2.0三級標準，滿足未來對合規性的要求，最大程度地避免了未來在合規建設過程中的二次投入和建設。

3 結語

全自動化集裝箱碼頭安全建設面向整個自動化碼頭控制系統，以岸橋單機系統作為重要突破口，系統綜合權衡安全防護要求與業務可用性，有選擇性和目的性地進行規劃設計，有效保障了自動化碼頭系統安全性能。