港口码头行业工控安全解决方案

2024-05-24

港口码头行业工控安全解决方案

背景概述

自动化集装箱码头具有作业效率高、安全可靠性高、环境污染小、节约人力等优点，是目前各集装箱码头的发展趋势。自动化集装箱码头实现自动化作业，离不开码头操作系统（TOS）和设备控制系统（ECS）的密切配合，作为2个独立的异构系统，TOS与ECS的信息交换依赖于接口通信。规范的接口有利于降低各种自动化软件开发维护的时间和成本、提高软件兼容性。然而，作为传统行业，自动化码头中相关的软件技术较为封闭，行业标准也并不成熟。
港口码头行业工控系统的智能化建设极有可能引入信息安全风险，且港口码头行业工控安全建设往往滞后于智能化、智慧化建设，无法应对日益增长的网络威胁，可能导致其遭受网络攻击而使生产停滞。因此需加快港口码头行业工控安全建设，保障港口码头行业工控系统安全稳定运行。
需求分析
标准合规性需求
港口码头行业要加快完成工控安全防护体系的建设工作，使之符合《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）、《工业控制系统信息安全防护指南》及港口码头行业工控安全相关要求。
业务安全性需求
从港口码头行业生产管理层、生产线等2个层面进行需求分析：

生产线：

港口码头行业的工控系统种类较多，如翻车机系统、装船机系统、堆取料机系统、皮带机系统等。这些系统在建设初期主要考虑易用性和快速部署，因此存在数据流向不清晰、隔离措施不完善、隔离强度不达标等问题，容易引发各跨网交换非授权访问风险以及系统间病毒横向传播风险。
各工控系统的上位机、服务器等主机，可能存在系统及工控应用漏洞、管理员不允许打补丁、身份鉴别过于单一等情况；同时主机无针对已知、未知病毒的防护措施，容易发生误操作、非法攻击、勒索病毒感染等安全事件，港口码头企业迫切需要提升工控主机安全防御能力。
各工控系统内部缺少对工业流量监测审计的手段，无法针对工控系统协议层面存在的恶意攻击、异常流量进行审计，更无法对工控指令攻击和控制参数篡改进行实时监测和告警，极易产生网络入侵事件，最终导致安全生产事故的发生。

生产管理层
生产管理层中运行着MES系统等重要业务系统。办公网层运行ERP、OA等系统，同时连接互联网。因此需加强边界安全、入侵检测、日志审计、终端保护、运维审计、态势分析等防护能力。

解决方案
针对港口码头企业的网络架构特点及相关标准规范要求，进行分层、分区、划域，各层次、区域之间采用合理的安全防护措施。

港口码头企业工控安全防护拓扑示意图

生产线
翻车机系统、装船机系统、堆取料机系统、皮带机系统

（一）分别在各生产线及生产线分流程到厂区生产网边界部署工业防火墙。精准按域进行防护。
（二）采用工业应用审计系统对工控网络中的全流量通信、操作行为、异常行为等进行审计及预警；通过部署入侵检测系统实时监测工控网络异常流量，对异常的、入侵行为的数据进行检测和报警。对异常操作行为与数据进行实时检测和报警。
（三）在生产线部署的工控主机等部署工控主机卫士软件。以白名单方式阻止非法进程运行及非法USB等外设接入，防止工业主机被破坏。

生产管理层

（一）分别在生产管理层到办公网边界部署工业网闸。提升外联安全接入区隔离强度，实现接近于物理隔离的高安全隔离目标。
（二）在生产管理层操作员站、工程师站、服务器等部署工控主机卫士软件。以白名单方式阻止非法进程运行及非法USB等外设接入，防止工业主机被破坏。

安全管理中心
建设港口码头企业安全管理中心，实现终端保护、运维安全管控、日志审计、安全管理平台、态势感知等系统。在集团也需要建设态势感知系统与生产管理层安全管理中心联动。
对工业生产全景进行安全态势感知、分析、预警及准入控制，并对异常报警行为形成工单分配给人工进行干预处理，同时与相应防护设备进行协同防御。

方案价值
满足标准合规性要求
符合《信息安全技术网络安全等级保护基本要求》 (GBT22239-2019)、《工业控制系统信息安全防护指南》等港口码头企业工控安全相关政策、标准及监管要求。
构建港口码头企业体系化安全
通过强化港口码头企业区域内网络、主机及数据的安全防护，大大增强了港口码头企业的整体安全防护能力，确保强化港口码头企业生产可持续运营，构建边界安全、物联设备安全的纵深防护体系。
提升港口码头企业生产安全性
方案深度融合港口码头企业工控设施，降低港口码头企业的安全运营风险，提高安全运维效率，为港口码头企业智能化、智慧化建设提供可靠的安全保障。
促进港口码头企业智能化发展
通过建设港口码头企业工控安全防护体系，可解决港口码头企业智能化建设过程中带来的信息安全风险，保障港口码头企业工控设施、智能化系统安全及设备可靠运转的目标。

关闭

上一篇：无

下一篇：无

相关新闻