在这个数字化飞速发展的时代,港口不仅是货物的集散地,更是信息交汇的枢纽。港口的每一次货物装卸、每一条物流信息的背后,都隐藏着一个复杂而精密的网络世界。而这个网络世界,正面临着前所未有的安全挑战。今天,为大家分享北京威努特技术有限公司(以下简称“威努特”)如何用创新科技为港口网络安全保驾护航。
图1 智慧港口现场图
1
洞察港口安全事件,评估网络安全态势
近年来,港口行业网络安全事件频繁发生。2020年5月,伊朗阿巴斯港的业务系统遭到了黑客攻击,导致大量货物积压和运输延迟;2023年11月,澳大利亚多个港口遭到网络攻击,导致3万集装箱滞留。这些事件警示我们必须加强港口网络安全建设,以应对不断增长的安全威胁。
据国际海事组织(IMO)统计,全球80%以上的贸易依赖于海运,而港口作为海运的关键节点,其网络安全直接关系到全球贸易的安全。
根据全球网络安全指数(GCI)统计,港口网络安全在全球范围内的平均得分仅为5.5/10,表明大多数港口在网络安全方面还有很大的提升空间。
国家也高度重视网络安全,相继出台了一系列法律法规和指导方针,如《中华人民共和国网络安全法》、《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 关键信息基础设施安全保护要求》、《工业控制系统网络安全防护指南》等,旨在加强关键行业和基础设施的网络安全防护能力,提高智慧港口等重要行业网络安全管理水平。
图2 现行主要法规和标准
2
透视智慧港口业务,洞悉网络安全挑战
智慧港口系统是将先进的信息技术和自动化技术包括GPS、GIS、RFID、实时监控系统(AIS)、自动化装卸系统、物流搬运机器人(AGV)、智能监控技术、智能运输系统(ITS)通过网络的连接应用到整个港口物流作业、运输服务及港口管理中去,实现各个功能系统之间无缝连接与协同联动。智慧港口主要包含以下三个业务平台:
1、码头作业应用平台:实现码头作业区内的任务调度、货物装卸、车辆监控、称重理货、箱务管理等工作的电子化和自动化。
2、港口物流服务管理平台:整合港口、海关、检验检疫、物流园区、运输、仓储等业务数据和监管数据。
3、综合服务平台:提供港口生产功能、政府监督功能、商务功能和其他功能。
以码头作业应用平台中货物自动化装卸和箱务管理部分业务为例,进行安全风险分析,发现主要存在以下风险:
图3 智慧港口业务网络安全风险分析
此外,以下从威胁、防护 、软件、运维、设备、预警六个方面,剖析智慧港口目前的整体网络安全情况:
图4 智慧港口整体网络安全分析
3
全面防护,
威努特智慧港口网络安全解决方案概览
威努特针对智慧港口行业的网络安全现状,以GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》为依据,提出基于“白名单”机制的工业控制系统网络安全“白环境”解决方案,形成基于“一个中心、三重防护”的纵深安全防护体系,全面守护智慧港口网络安全。
图5 威努特智慧港口网络安全方案示意图
1
网络分区分域,筑起安全的第一道防线
▪️ 横向分区:划出“应用范围”
首先,需要明确“应用范围”。通过“横向分区”,将智慧港口的网络划分成不同的区域。每个区域都能有自己的安全策略,互不干扰,确保整个网络的安全。
▪️ 纵向分层:构建“防御层次”
然后,构建起“防御层次”。根据职责和功能不同,将网络进一步细分。比如,可以将内部控制区域划分成集控区域和具体控制区域,每个区域都有其独特的安全需求和措施。
图6 智慧港口网络分区方案示意图
2
区域边界防护,守护网络的每一寸土地
▪️ 工控安全隔离与信息交换系统:信息的“净化池”
工控安全隔离与信息交换系统位于管理系统网络与控制系统网络之间,就像一个神奇的“净化池”,确保只有纯净、安全的信息能够通过,所有进入的信息都要经过它的“净化”,确保安全无虞。
▪️ 工业防火墙:工控网络的“守卫者”
仅有“净化池”还不够,还需要一位“守卫者”,能识别出每一个“访客”,只允许信任的人进入。威努特工业防火墙就像这样一个“守卫”,通过深度学习工业协议,建立工业网络白名单,能够有效地防御网络攻击和未授权访问,确保只有安全的流量能够通过。
3
安全通信网络,让信息传递更安心
▪️ 工控安全监测与审计系统:网络行为的“侦探”
智慧港口工控网络存在许多工业协议,如果把每种工业协议比作“一门外语”,那工控安全监测与审计系统就可以比作会“多国语言”的高级“侦探”,能够深度解析几十种工业协议,洞察每一个细节,监测网络中的异常行为,并对关键事件进行审计,确保每一次信息传递都是清晰、透明的。
▪️ 高级威胁检测系统:未知威胁的探测“雷达”
在网络中,总有一些看不见的“冰山”——高级持续性威胁(APT)和未知威胁,它们悄无声息,却可能给智慧港口带来巨大的风险。为了及时发现这些威胁,我们在控制系统交换机上旁路部署了高级威胁检测系统。这就像是在智慧港口网络上安装了先进的“雷达”,能够敏锐地捕捉到任何异常的信号。
4
安全计算环境,打造坚不可摧的主机堡垒
▪️ 工控主机卫士:终端安全的守护者
在智慧港口的数字世界里,工程师站、操作员站和服务器控制着整个智慧港口的运作,但这些关键的节点也最容易受到恶意软件的攻击。通过在终端设备上安装工控主机卫士,建立主机白名单库,确保只有经过验证的软件和程序才能运行,任何未授权的恶意软件都无法运行。此外,工控主机卫士还有一系列安全加固措施,能够有效防御恶意软件的执行与扩散,保护智慧港口的网络安全。
▪️ 移动介质安检站:移动介质的“安检员”
在智慧港口的日常工作中,移动存储介质的使用是不可避免的,但也可能成为病毒和恶意软件的传播途径。因此,需要部署移动介质安检站,对每一个接入的移动介质进行严格的安全检查,确保移动介质安全。这就像是机场的安检员,确保每一个“行李”都是安全的。
▪️ 数据备份与恢复系统:为关键数据提供“保险”
在数字世界里,任何数据的丢失都可能导致业务的中断。因此,通过数据备份与恢复系统,可以为智慧港口的关键数据提供一份“保险”。无论是意外删除还是系统故障,都能确保数据的安全和业务的连续性。
5
安全管理中心,
建立智慧港口网络安全的“作战中心”
▪️ 统一安全管理平台:安全护卫队的“指挥中心”
在安全管理中心通过部署统一安全管理平台,如同建立了一个智慧港口的“指挥中心”,将所有的安全域、设备和安全策略集中在一处管理,让管理变得更加高效和简单。不再需要在各个系统间来回切换,所有的安全操作都能在这里一站完成。
▪️ 日志审计与分析系统:安全事件的“警报员”
在网络安全的世界里,每一个日志都可能隐藏着重要的线索。日志审计与分析系统就像是一位经验丰富的“警报员”,能够对网络设备日志进行集中收集和分析,及时发现和追踪安全事件的蛛丝马迹。
▪️ 安全运维管理系统:运维管理的“入口”
安全运维管理系统是运维操作的入口,能够统一管理账号、资源,统一分配权限,确保运维操作的安全审计,让每一次运维操作都更加安全、可靠。
▪️ 工控漏洞扫描平台:漏洞的“猎手”
工控漏洞扫描平台就像是一位敏锐的“猎手”,能够深入系统内部,发现潜在的漏洞和安全风险,这就像是对智慧港口的数字世界进行定期的“体检”,帮助企业用户掌握系统的安全现状。
▪️ 工业安全态势感知平台:网络安全的“大脑”
智慧港口的网络安全需要一个“大脑”来指挥。威努特的工业安全态势感知平台就是这样一个“大脑”,它能够实时监控网络的每一个角落,一旦发现威胁,立即发出警报,形成一体化工业安全运营分析中心。
威努特智慧港口网络安全解决方案中所用到的安全产品,已经在市场上经过了严格的检验,并以其出色的表现赢得了客户的信任和好评,众多明星产品长期引领着市场潮流。
4
优势方案,贴合港口业务场景
▪️ 化繁为简的安全防护体系
统一安全管理平台可以通过对工控网络内全部安全产品进行集中管理、全网安全信息的可视化展示、安全设备的统一配置等功能,简化工业控制网络内网络安全的防护工作流程,帮助港口提升工控安全防护工作效率。
▪️ 完全自主的知识产权
工业防火墙、工控安全监测与审计系统、工控主机卫士、统一安全管理平台等产品具有完全自主的知识产权,已经申请到多项发明专利,确保技术可控,避免受制于人,降低潜在的安全风险。
▪️ 全面体系化的方案
方案覆盖工业网络边界、主机、PLC及DCS工控设备、工控组态软件等全方位安全的纵深防护,覆盖检测、防护、响应、审计的全过程,不留安全死角,实现港口网络的全方位安全防护。
▪️ 高度适配港口工控网络系统
方案无需频繁升级安全特征库,安全设备符合工控环境标准且可靠实用,方案实施不会对港口业务遭成任何影响。
▪️ 深度理解港口的工控协议和操作行为
深度理解工控系统广泛使用的Modbus、 DNP3、IEC104、 Profinet、OPC等几十种工业协议,智能学习各类操作行为和参数,更好地识别攻击行为,真正为港口行业做到工业级网络安全防护。
▪️ 安全合规
方案设计遵循等保“一个中心、三重防护”技术路线,可确保在提升港口工业控制系统安全防护能力的同时,满足国家层面、行业层面的合规性建设要求。
网络安全是智慧港口行业数字化转型的重要保障,更是关乎社会稳定和经济发展的重大课题。威努特智慧港口网络安全防护方案通过实施网络分区分域策略、强化区域边界防护、构建安全通信网络、保障安全计算环境、实现数据备份与恢复、集中安全管理等,为智慧港口网络构建了全面的防护体系,帮助智慧港口企业构建坚固的网络安全防线,确保了智慧港口网络的安全性和业务的连续性。威努特已经完成了十年征程,展望未来,威努特将持续创新和技术升级,为智慧港口的稳定运营和全球贸易的畅通保驾护航。
渠道合作咨询 田先生 15611262709
稿件合作 微信:shushu12121
?发表于:中国 北京
