随着商业社会信息化的发展，传统港口码头由原来的单一设备独立作业逐步转型为信息化的设备集群作业，并且发展出建立在信息化集群基础上的自动化设备集群。原来所没有面临的和对生产不会造成重大影响的网络安全问题也逐渐呈现出来。码头现场开始出现由于网络安全问题造成的设备大面积故障或者作业停滞，对正常生产运营产生严重的影响。因此，码头的信息化安全要求被提升到更高的高度。但目前大量的网络安全方案主要基于金融业、数据中心等非工业环境，其手段措施过于严格而导致无法在工业领域进行有效实施。本文通过自动化码头的网络建设和部署，综合经济性和可行性，总结适合港口自动化工业场景的手段和思路。

总体思路

2016年，为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》（以下简称《意见》），工信部制定《工业控制系统信息安全防护指南》（以下简称《指南》）。本文以《意见》和《指南》为指导思想，在“统筹规划、区域管理、分级防御、纵深防范”原则的指导下，从设计开始，构建出安全、可靠、可扩展的自动化码头工业控制安全体系。首先，根据自动化码头系统的组成特点和相关功能模块，对整体自动化码头网络进行IP地址和VLAN的划分，并且针对不同使用场景进行权限设置和行政管控。其次，在系统部署、调试、交付、运营过程中执行相关的策略，形成一套符合自动化码头场景、经济有效的网络安全措施。最后，完成一套可最大限度预防非主观性网络攻击和病毒攻击的网络安全防护手段。

自动化码头网络安全分析

自动化码头主要网络结构

自动化码头主要是在传统码头业务办公网络的基础上增设码头设备生产网络。另外，工控网络在网络硬件上与码头业务办公网是相互独立的，但由于在业务上有所联系，所以有部分通信的需求存在。自动化码头网络结构见图1。

自动化码头主要网络分类

按照网络位置分类

码头现场：码头现场主要包含水平运输区域（AGV、自动化跨运车和无人集卡等）、岸边作业区（桥吊、门机和卸船机等）、堆场作业区（轮胎吊、轨道吊和堆取料机等）、码头闸道口、海陆侧交互区域和其他辅助作业区域（换电功能区、充电功能区、OCR识别及其他辅助系统等）。   

码头办公楼：码头办公楼主要包括远程操作室（桥吊、轨道吊和轮胎吊远程操作室等）和远程维修诊断室（码头前沿值班室、码头中控值班室和技术主管办公室等）。   

自动化核心集群：自动化核心集群主要包括中心机房网络（TOS服务器集群、自动化系统服务器集群、辅助系统服务器集群和核心交换机网络等）和汇聚机房网络（交换机等）。

按照网络管控分类

非可控生产网络：主要是单一设备所在网络，主要包括单机设备电气房、设备各子系统和远程操作台等。   

有限管控生产网络：维修工程师工作站点等。   

可管控生产网络：中控机房网络和汇聚机房网络等。

自动化码头网络风险识别

网络安全设计必须依托网络特点进行有针对性的网络风险识别。自动化码头网络安全风险来源见图2。自动化码头的网络结构主要有2个方面的网络安全风险：一是来自港口外部的攻击与感染，主要类似于常见的网络攻击和黑客行为；二是来自港口内部的感染和违规操作，主要为在办公楼内相关业务员的失误或违规网络操作造成的病毒感染，再或者是码头现场设备由于人员接触造成病毒感染。

综合网络所属位置和网络管控特点，可以采取以下措施：   

对于可以完全管控的区域（如机房内部等）进行严格的行政和物理措施，杜绝一切可能接触的网络和人员。   

对于有限管控的区域，可以对其进行一定的网络防护安全措施，配合一定的方式进行网络监管。   

对于非可控区域，需要进行严格的网络安全隔离手段，通过设置严格的网络安全防护手段，防止网络安全问题扩散。

自动化码头网络安全措施

根据自动化码头的网络安全风险识别，采取VLAN划分、白名单化、堡垒机审计、端口管理等防护措施。

VLAN划分

在设计过程中，根据现场业务将相对独立的单机、功能模块或者工作群进行VLAN网络划分，可分为VLAN A 维修业务网络、VLAN B/C核心业务网络、VLAN D操作工作站网络、VLAN M1/M2/M3单机设备网络等4类。网络VLAN划分示意见图3。

VLAN A维修业务网络。维修业务网络可以让现场维修人员通过此网络连入现场设备或者核心业务模块，在线检查和维护码头设备。根据维修人员的种类，为其规划不同的虚拟机，由虚拟机来自动进行补丁升级、病毒和网络防火墙集中防护。   

VLAN B/C核心业务网络。核心业务网络根据不同的模块功能可以切分为多个网络VLAN（网络在细化的同时也会造成核心路由压力变大，所以需要进行合适的网络隔离和硬件设备选型，而不是一味地追求细化），并且相互间通过网络白名单进行隔离。核心网络与维修人员之间不具备直接通信能力，需要通过维修业务网的防护才可以连入。   

VLAN D操作工站网络。操作工作站网络是专门为远程操作站使用的网络，在网络交换机网口进行Mac地址与IP地址绑定，保障不出现异常非可控设备的接入。   

VLAN M1/M2/M3单机设备网络。以单机设备为个体，为每个单机划分1个独立的VLAN网络，并在设备上加装网络硬件防火墙，对其连入的核心业务和维修业务网络进行通信端口与网络VLAN段的限制，并建立单机与单机间的网络隔离。

白名单化

在设备与设备之间、设备与功能模块之间、设备与工作群体之间、功能模块与工作群之间进行业务梳理和白名单化。通过对各业务模块的网络需求梳理，根据不同模块网络通信需求和工作特点，进行重点防护或部分防护。网络间的白名单化可以最大程度地减少接触风险。网络白名单示意图见图4。

网络隔离主要有2种方式：一是整体上对没有业务诉求的网络进行完全隔离（例如单机与单机之间、非关联的核心业务与核心业务之间）；二是对人员进行网络隔离，使维修和操作人员无法直接接触到生产网络，生产网络在网络物理通信口做Mac地址绑定。

堡垒机审计

针对人员操作的站点，使用位于堡垒机上通过审计的虚拟机进行人工操作。网络堡垒机示意图见图5。对于日常系统维护人员进行堡垒机审计功能部署，确保对任何生产网络的方位都能做到：

登录ID认证。每个员工根据自己的ID进行登录，ID用户名密码归个人保管，所有操作以ID为识别标志并对其操作内容负责。   

操作历史记录。对每个ID进行的网络和远程桌面操作进行历史记录，以便后续进行回放。   

访问权限管理。对不同的访问人员进行相关的访问权限限制；对日常业务必须经过虚拟机集群进行访问；对某些技术主管可以授权对设备的直接访问权限。   

防护病毒和定期检查还原。日常操作员使用的虚拟机由于安装有特殊的工作软件，需要在测试后安装相应的病毒和网络防火墙，并且在固化业务后针对注册表进行相关锁定。此外，还要对操作系统做定期系统升级、重启和还原，重要虚拟机采用定制化的操作系统。

端口管理

物理端口关闭

整理出整个系统中所有非堡垒机或固定工作台的物理网口，关闭所有可以直接接触到单机设备的非管控区域网络物理端口，限制Mac地址或直接关闭其网络，从而保证整个网络入口处于审计或者可控状态。

端口定制化

在全网设计和使用过程中，任何基于TCP/IP的协议都要求使用可自定义的协议端口，例如相关系统维护的远程桌面，工业通信协议的通信端口、日志访问和上传端口等，并在项目实行初期进行端口定制与测试，在调试过程中进行相关论证，从而在项目交付过程中形成一套成熟的私有化端口体系。