顧志華 樓 立 王小棟 王 巧

上海國(guó)際港務(wù)(集團(tuán))股份有限公司尚東集裝箱碼頭分公司

1 引言

全自動(dòng)化集裝箱碼頭作為國(guó)家重大基礎(chǔ)設(shè)施項(xiàng)目，承載著國(guó)際航運(yùn)中心的國(guó)家戰(zhàn)略樞紐的重任[1]。其現(xiàn)場(chǎng)岸邊集裝箱起重機(jī)(以下簡(jiǎn)稱岸橋)全部采用自動(dòng)化控制技術(shù)，在大量自動(dòng)化控制和數(shù)字信息化處理過程中，存在較大的信息安全隱患，因此是整個(gè)自動(dòng)化碼頭整體安全建設(shè)的先期重點(diǎn)建設(shè)對(duì)象[2-3]。

對(duì)自動(dòng)化碼頭業(yè)務(wù)流程、業(yè)務(wù)架構(gòu)、安全管理、控制系統(tǒng)和業(yè)務(wù)主機(jī)等資產(chǎn)信息，從脆弱性和威脅性方面進(jìn)行定性和量化評(píng)估，發(fā)現(xiàn)當(dāng)前碼頭在安全管理運(yùn)營(yíng)和安全防護(hù)層面，缺乏針對(duì)性建設(shè)，甚至在部分層面的建設(shè)呈現(xiàn)空白狀態(tài)，總體風(fēng)險(xiǎn)等級(jí)較高。

部分已采取的技術(shù)防護(hù)措施，如運(yùn)維管控和惡意代碼防護(hù)，仍存在一些使用問題，甚至衍生出新的安全隱患，普遍存在諸如高權(quán)限賬號(hào)、弱口令、高危漏洞、弱配置、惡意代碼等其他問題。

岸橋業(yè)務(wù)在當(dāng)前自動(dòng)化碼頭整個(gè)作業(yè)流程中占據(jù)核心位置，岸橋單機(jī)系統(tǒng)也是本次評(píng)估工作的重點(diǎn)。目前該自動(dòng)化碼頭共有21臺(tái)岸橋單機(jī)系統(tǒng)，系統(tǒng)的自動(dòng)化程度較高，在單個(gè)岸橋單機(jī)系統(tǒng)中，有近百個(gè)涉及到自動(dòng)化控制和輔助控制的單機(jī)設(shè)備主機(jī)。本次風(fēng)險(xiǎn)評(píng)估對(duì)象包含全部21臺(tái)岸橋單機(jī)系統(tǒng)，并覆蓋單個(gè)單機(jī)系統(tǒng)中的每一臺(tái)控制和輔助控制單機(jī)設(shè)備主機(jī)。

經(jīng)前期現(xiàn)場(chǎng)風(fēng)險(xiǎn)評(píng)估，并依據(jù)國(guó)家風(fēng)險(xiǎn)評(píng)估規(guī)范和國(guó)際權(quán)威的CVSS風(fēng)險(xiǎn)等級(jí)評(píng)分標(biāo)準(zhǔn)，定義岸橋單機(jī)目前所處的安全等級(jí)為非常危險(xiǎn)。內(nèi)外部攻擊者可輕易攻破此部分設(shè)備主機(jī)，且只需較低的技術(shù)水平和較小的時(shí)間經(jīng)濟(jì)成本，即可造成單臺(tái)岸橋業(yè)務(wù)異?；蛲Ｖ沟葒?yán)重后果；而在網(wǎng)絡(luò)層面沒有單點(diǎn)或局部范圍內(nèi)的訪問控制安全措施下，攻擊者或惡意代碼(病毒、蠕蟲、異常流量、惡意操作等)便可以單點(diǎn)系統(tǒng)為跳板控制整個(gè)控制網(wǎng)絡(luò)，進(jìn)而造成不可估量的業(yè)務(wù)風(fēng)險(xiǎn)隱患。

2 安全防護(hù)系統(tǒng)設(shè)計(jì)

2.1 安全防護(hù)思路

2.1.1 契合工控特征的安全建設(shè)模式

與傳統(tǒng)的以系統(tǒng)保密性為優(yōu)先原則的信息防護(hù)方式不同，工業(yè)控制安全首要考慮的是業(yè)務(wù)系統(tǒng)的可用性。同時(shí)，自動(dòng)化碼頭正面臨國(guó)家政策法規(guī)的合規(guī)性問題，故在設(shè)計(jì)岸橋業(yè)務(wù)系統(tǒng)安全防護(hù)方案時(shí)，應(yīng)充分結(jié)合相關(guān)合規(guī)性標(biāo)準(zhǔn)要求，避免因合規(guī)問題導(dǎo)致的重復(fù)投入和重復(fù)建設(shè)等現(xiàn)象發(fā)生。如何在不影響岸橋系統(tǒng)業(yè)務(wù)運(yùn)行的情況下，既保障整個(gè)岸橋系統(tǒng)的安全性，也滿足相應(yīng)的合規(guī)標(biāo)準(zhǔn)，是一個(gè)重要問題。

2.1.2 以政策標(biāo)準(zhǔn)合規(guī)性建設(shè)為出發(fā)點(diǎn)

結(jié)合其他行業(yè)的合規(guī)建設(shè)經(jīng)驗(yàn)和模式，本次自動(dòng)化碼頭整體和各主要子系統(tǒng)的安全建設(shè)標(biāo)準(zhǔn)，將以等級(jí)保護(hù)三級(jí)作為主要參考要求，在系統(tǒng)安全規(guī)劃、設(shè)計(jì)、建設(shè)和管理保障時(shí)，將以該標(biāo)準(zhǔn)為主要參考依據(jù)。

2.1.3 安全建設(shè)基本原則

依據(jù)業(yè)務(wù)優(yōu)先、合規(guī)優(yōu)先的要求，對(duì)單岸橋控制系統(tǒng)進(jìn)行安全規(guī)劃建設(shè)。以網(wǎng)絡(luò)訪問控制、主機(jī)和設(shè)備安全及惡意代碼防護(hù)、監(jiān)測(cè)審計(jì)為主要建設(shè)目標(biāo)，在安全部署層面以監(jiān)測(cè)為主、攔截為輔、合規(guī)建設(shè)作為整個(gè)自動(dòng)化碼頭控制系統(tǒng)層面安全建設(shè)的基本原則。而對(duì)于諸如入侵防護(hù)、身份認(rèn)證等安全控制點(diǎn)，則有選擇地對(duì)建設(shè)對(duì)象進(jìn)行取舍，在保障合規(guī)性的基礎(chǔ)上，避免不必要的、不切實(shí)際的、不合業(yè)務(wù)的建設(shè)和投入。

自動(dòng)化集裝箱碼頭的安全合規(guī)工作面向的是整個(gè)自動(dòng)化碼頭控制系統(tǒng)，而非單一或部分范圍內(nèi)的控制系統(tǒng)，故在控制系統(tǒng)的整個(gè)安全建設(shè)過程中，應(yīng)視碼頭控制系統(tǒng)主體為安全測(cè)量對(duì)象，以進(jìn)行整體全局的安全規(guī)劃、整改、建設(shè)和合規(guī)審計(jì)工作，避免將單一系統(tǒng)或業(yè)務(wù)進(jìn)行過度安全建設(shè)而導(dǎo)致碼頭整體的安全建設(shè)不均衡，甚至在成本資源投入和安全防護(hù)等層面造成資源未優(yōu)化配置和使用。

2.2 安全防護(hù)方案

目前，該自動(dòng)化碼頭已建成且投入運(yùn)營(yíng)的岸橋共21臺(tái)，所有的岸橋的網(wǎng)絡(luò)架構(gòu)和控制系統(tǒng)一致，單個(gè)岸橋的安全設(shè)計(jì)可較易復(fù)制至其他岸橋單機(jī)設(shè)備上。防護(hù)方案將以岸橋系統(tǒng)作為建設(shè)對(duì)象進(jìn)行具體闡述。

綜合前期的風(fēng)險(xiǎn)評(píng)估結(jié)果，就風(fēng)險(xiǎn)評(píng)估報(bào)告中提到的安全問題，設(shè)計(jì)岸橋系統(tǒng)安全建設(shè)示意圖(見圖1)。本次岸橋在安全建設(shè)層面主要采取以下措施：

圖1 安全建設(shè)示意圖

(1)網(wǎng)絡(luò)邊界訪問控制。訪問控制是最基礎(chǔ)也是最重要的安全防護(hù)手段，主要包括岸橋單機(jī)網(wǎng)絡(luò)與碼頭現(xiàn)場(chǎng)網(wǎng)絡(luò)的邊界訪問控制，避免非法未授權(quán)的網(wǎng)絡(luò)連接，以及覆蓋到業(yè)務(wù)層面的異?？刂撇僮髦噶?，并有效阻止惡意代碼和異常流量的跨網(wǎng)段傳播和傳輸。

(2)岸橋主機(jī)基線配置與漏洞管理。多數(shù)單機(jī)設(shè)備自身基線配置存在各種安全隱患，碼頭現(xiàn)場(chǎng)系統(tǒng)設(shè)備的漏洞問題是導(dǎo)致高風(fēng)險(xiǎn)的重要因素之一。該措施主要包括岸橋和岸橋遠(yuǎn)程操作臺(tái)(以下簡(jiǎn)稱ROS)主機(jī)設(shè)備的安全防護(hù)，以及惡意代碼防護(hù)、主機(jī)身份認(rèn)證、安全審計(jì)和漏洞基線管理等層面的安全防護(hù)。

(3)異常流量監(jiān)測(cè)。碼頭現(xiàn)場(chǎng)設(shè)備主機(jī)種類、用途、數(shù)量和規(guī)格相對(duì)于單一IT環(huán)境更加龐雜，面臨的安全管理也更加復(fù)雜。通過異常流量監(jiān)測(cè)，可實(shí)現(xiàn)對(duì)碼頭現(xiàn)場(chǎng)所有設(shè)備主機(jī)資產(chǎn)的安全接入管理和端口策略管理；并通過對(duì)流量協(xié)議分析，判斷相應(yīng)的指令操作是否安全；同時(shí)基于自學(xué)習(xí)判斷模式，智能化呈現(xiàn)當(dāng)前碼頭現(xiàn)場(chǎng)業(yè)務(wù)流量的異常情況。

(4)惡意代碼防護(hù)。對(duì)于岸橋單機(jī)系統(tǒng)來說，無任何安全防御措施的岸橋ROS與業(yè)務(wù)直接相關(guān)，ROS缺乏足夠的安全防護(hù)對(duì)系統(tǒng)來說是極大的風(fēng)險(xiǎn)。岸橋主機(jī)和ROS設(shè)備主機(jī)的惡意代碼防護(hù)包括病毒、木馬和蠕蟲等常見惡意代碼腳本等。

(5)運(yùn)維管控。目前碼頭現(xiàn)場(chǎng)雖已使用了運(yùn)維管控系統(tǒng)進(jìn)行系統(tǒng)運(yùn)維工作，但只接入了少數(shù)運(yùn)維對(duì)象，且只作遠(yuǎn)程運(yùn)維使用，現(xiàn)場(chǎng)業(yè)務(wù)系統(tǒng)仍處于較為粗獷的安全運(yùn)維模式，需要覆蓋到岸橋部分主機(jī)的運(yùn)維管控措施。

(6)岸橋ROS設(shè)備主機(jī)安全防護(hù)。岸橋ROS為岸橋提供遠(yuǎn)程操作，對(duì)于ROS的安全防護(hù)主要為設(shè)備系統(tǒng)的防護(hù)，包括一些PC設(shè)備主機(jī)的安全防護(hù)設(shè)計(jì)。工業(yè)防火墻與傳統(tǒng)防火墻相比，具有更強(qiáng)的環(huán)境適應(yīng)性、可靠性、穩(wěn)定性和實(shí)時(shí)性[4]。通過在岸橋單機(jī)網(wǎng)絡(luò)與碼頭現(xiàn)場(chǎng)核心網(wǎng)絡(luò)邊界部署工業(yè)防火墻，實(shí)現(xiàn)岸橋生產(chǎn)控制網(wǎng)絡(luò)與現(xiàn)場(chǎng)網(wǎng)絡(luò)的邊界訪問控制，過濾并攔截非授權(quán)、非相關(guān)的網(wǎng)絡(luò)訪問。同時(shí)也能避免惡意流量和惡意代碼跨網(wǎng)間傳播，將風(fēng)險(xiǎn)影響面降至最小的可控制范圍之內(nèi)。另外，工業(yè)防火墻可以實(shí)現(xiàn)對(duì)岸橋作業(yè)時(shí)的非法指令攔截。

岸橋網(wǎng)絡(luò)邊界流量同時(shí)包括對(duì)網(wǎng)絡(luò)負(fù)載、延時(shí)較高的CCTV視頻流量和岸橋現(xiàn)場(chǎng)作業(yè)的業(yè)務(wù)指令控制流量，在此混合流量的場(chǎng)景下，工業(yè)防火墻能較好地針對(duì)不同類型的流量采取不同處理方式和顆粒度的訪問控制手段，并同時(shí)滿足高吞吐量和低延時(shí)的現(xiàn)場(chǎng)要求[5]。

2.3 系統(tǒng)評(píng)價(jià)

岸橋安全規(guī)劃設(shè)計(jì)過程中，充分參考了前期碼頭現(xiàn)場(chǎng)風(fēng)險(xiǎn)評(píng)估的結(jié)果，有選擇性和目的性地進(jìn)行規(guī)劃設(shè)計(jì)，而非通用全覆蓋型方案，避免了無針對(duì)性的、過度的和不平衡的安全規(guī)劃和建設(shè)。

在岸橋安全設(shè)計(jì)過程中，充分考慮了與碼頭現(xiàn)場(chǎng)業(yè)務(wù)的緊密結(jié)合，避免了水桶式、孤島式等傳統(tǒng)信息化安全建設(shè)過程中最容易出現(xiàn)的安全建設(shè)問題。

方案技術(shù)措施規(guī)劃設(shè)計(jì)過程中，著重參考了技術(shù)方案等級(jí)保護(hù)2.0三級(jí)標(biāo)準(zhǔn)，滿足未來對(duì)合規(guī)性的要求，最大程度地避免了未來在合規(guī)建設(shè)過程中的二次投入和建設(shè)。

3 結(jié)語(yǔ)

全自動(dòng)化集裝箱碼頭安全建設(shè)面向整個(gè)自動(dòng)化碼頭控制系統(tǒng)，以岸橋單機(jī)系統(tǒng)作為重要突破口，系統(tǒng)綜合權(quán)衡安全防護(hù)要求與業(yè)務(wù)可用性，有選擇性和目的性地進(jìn)行規(guī)劃設(shè)計(jì)，有效保障了自動(dòng)化碼頭系統(tǒng)安全性能。