智慧港口网络安全保障体系框架_杨惠云.pdf

0引言作为航运业的重要节点，港口行业的数字化建设正朝着自动化、智能化和智慧化方向发展。针对港口发起网络攻击并获取既得利益的网络威胁活动，已经成为世界港口行业普遍的痛点。据 IAPH收集的来自世界各地港口和港口设施利益相关者报告，自新冠疫情暴发以来，网络威胁活动显著增加，仅在 2022 年 25 月期间，港口行业整体遭受的网络攻击数量增加了 4 倍，而对 OT（工业控制网络）系统的攻击数量自 2017 年以来增加了 900%。1辽港集团作为我国东北最重要的港口企业之一，庞大的货物集散装卸运输需要高效的信息系统作为支撑。伴随辽港集团数字化转型和智慧港口建设运营，网络安全体系建设将面临长期的挑战。1港口网络安全1.1港口行业网络安全形势近年来，航运业发生多起严重的网络攻击事件，国际海事局、法国达飞海运集团、航运巨头MSC 等纷纷遭到网络攻击。多起港口网络安全攻击事件说明，对港口计算机系统的网络攻击可能产生多米诺骨牌效应。目前，针对港口行业的网络威胁主要有 2 类。一是无目标的攻击，内网操作系统和第三方软件漏洞是潜在的被攻击目标，攻击者利用零日漏洞（即零时差攻击，是指被发现后立即被恶意利用的安全漏洞）进行广撒网式的无差别化攻击。二是有针对性的攻击，将某个港口系统设置为预定攻击渗透目标，攻击者为躲避网络安全设备的防御机制，利用专门开发的更复杂的绕过技术和工具，实施多步骤攻击，其影响力和破坏力较前者更大。此外，由于港口网络覆盖面广，设施设备地理位置较分散，易造成某些缺乏管控的端口设施或设备未经授权被物理访问，让攻击者直接通过网络访问到目标计算机或系统。1.2辽港集团网络安全需求辽港集团的企业愿景是打造具有百年招商文化底色、独具辽港特色的“世界一流强港”，即创新辽港、绿色辽港、智慧辽港、开放辽港、共享辽港。基于企业愿景，立足双轮驱动、3 大平台和 1 个中心的“2-3-1”数字化建设规划，辽港集团全面推动智慧港口 2.0 建设，利用新一代信息技术，构建数据的采集、传输、存储、处理和使用的高速通道，打通不同层级与不同业务间的数据壁垒，提高港口整体的管理、运行和服务效率，构建全新的数字化运营体系。辽港集团在数字化转型和智慧港口建设过程智慧港口网络安全保障体系框架摘要：为应对辽宁港口集团有限公司（以下简称“辽港集团”）在数字化转型和智慧港口建设运营中面临的网络安全风险，在“建安同步”思路指引下，参考 PPDR、PDCA等管理模型，规划编制辽港集团网络安全保障体系框架。在框架指引下，结合辽港集团业务实际，通过逐年落实各项网络安全防护措施，打造辽港集团网络安全管理、技术防护和安全运行能力，构建全方位的网络安全保障体系，为智慧港口建设提供多元立体化的安全防护，实现保障辽港集团整体网络安全的目标。关键词：智慧港口；数字化；网络安全保障体系框架；网络安全管理杨惠云，邱云鹏，刘广会，卢志峰（辽宁港口集团有限公司，辽宁大连116601）港口科技 智慧港口22中，必然面临不同的网络安全问题，如顶层体系规划缺失、安全管理权责不清、技术防护能力不足、安全运行缺乏统一协管等。因此，辽港集团必须加强整体的网络安全保障。2辽港集团网络安全保障体系规划针对辽港集团面临的网络安全形势，结合当前存在的网络安全问题，在“建安同步”思路指引下，确立“体面线点”的网络安全保障体系建设思路，通过打造安全管理、技术防护、安全运行等 3个能力体系，落实管理、技术、运行等 3 个层面的安全防护，遵从合规、保障、监管路线，制定重点安全防御措施。网络安全体系建设思路示意图见图 1。港口科技 智慧港口图 1网络安全体系建设思路示意图2.1网络安全体系框架辽港集团网络安全保障体系框架主要包括网络安全管理、网络安全技术和网络安全运行等 3个层面，以保障资产、数据和运行安全为核心目标，以合规遵从、业务保障、安全监管为指导路线，合理布局安全能力，落实重点防护场景安全措施，为智慧港口建设提供多元立体化的安全防护。网络安全保障体系框架示意图见图 2。建安同步体面线点能力体系防护层面落实路线重点措施安全管理能力管理层面组织架构运行管理建设管理协作管理合规遵从法规等保关基密评边界安全应用安全数据安全工控安全接入安全终端安全业务保障边界终端数据工控安全监管执法监督网信监管上级检查内部自查技术防护能力安全运行能力技术层面运行层面网络通信设备计算应用数据生产运行平台流程团队服务图 2网络安全保障体系框架示意图数字化转型保障团队智慧港口 2.0智能操作智链生态智慧运营智感环境数字基建业务基建招商云边缘计算物联网集疏运网络专项物流铁路港口衔接保税功能3 大平台 1 个中心网络安全保障体系计划执行检查改进联防联控组织保障流程机制运营平台安全保障运行网络安全防护场景物理安全边界安全终端安全应用安全数据安全接入安全工控安全物联安全网络安全防护路线安全保障技术指导完善监督管理制度标准安全团队等级保护密码安全应用安全开发数据全生命周期安全防护考核评价安全通报制度规范流程宣贯培训人才培养安全保障管理管理组织运行管理建设管理安全协作232.2网络安全保障管理辽港集团网络安全保障管理是指依据落实路线建立起对标国内外一流港口的网络安全管理体系，将网络安全各项要求融入生产、运行、协同等各个领域，使辽港集团在数字化转型和建设过程中的网络安全管理水平满足国内外网络安全法律法规的要求，能够保护业务、客户和相关方的网络安全、数据安全、商业秘密等，为智慧港口建设提供有效的管理保障。在制度保障方面，辽港集团对标四级制度管理分级体系，形成一级方针策略、二级制度规范、三级操作指引和四级执行表单的全体系保障制度，全面规范安全管理。2.3网络安全保障技术在招商局集团的统一赋能下，参照等级保护2.0 要求，融合自适应安全架构等成熟方法论，结合辽港集团网络安全现状，设计贯穿物理、网络、系统、应用和终端的安全保障技术体系，形成防御、检测、响应和处置的闭环流程。辽港集团网络安全保障技术主要包括以下 8 个方面：（1）边界安全。依据“统一监测、集中展示、本地处置、协同溯源”的原则构建一中心多区域的纵深防御体系，建立 3 道防线，覆盖全集团范围内的3 类典型场景的安全防护。第 1 道防线为外部边界防线。以网络威胁情报联防处置系统、抗 DDOS为核心，配合边界防火墙、上网行为管理设备等，建立起网络层防御体系，对攻击进行初步感知和阻断拦截。第 2 道防线为内部边界防线。以应用防火墙为核心，配合应用高级威胁防御系统等应用层防御设备，建立应用层防御体系，对攻击进行深度识别和检测，防御有针对性的漏洞攻击。第 3 道防线为主机安全防线。以终端 EDR 为核心，部署主机加固软件，配合反病毒、人工主机加固等措施，建立主机层防御体系，阻止攻击载荷的落地执行。另外，部署全流量覆盖的网络安全态势感知系统，进行实时检测和分析，配合 3 道防线建立起立体式纵深防御体系。（2）应用安全。基于因应用开发过程中的安全观念落后导致上线后才暴露出诸多安全风险和漏洞的现实状况和“建安同步”思路，通过对应用安全管理体系、应用安全技术活动进行整体规划和设计，全面灌输安全开发生命周期管理理念，进行全流程应用安全能力建设。在系统上线前，须由专业软件代码安全审计机构和专业安全服务机构执行严格代码审计和安全基线检查，并在出具合格报告后方可上线。（3）数据安全。在数据安全规划和分类分级落实责任的基础上，遵循最小权限和动态授权原则，在数据全生命周期各个阶段采取数据可信接入、数据备份、数据加密、数据脱敏、认证授权、数据操作审计等措施，实现数据可见、可控、可管，为各项业务的稳定、可靠运行保驾护航。（4）工控安全。辽港集团工控系统安全正在完成从被动安全向主动安全转变。按照“生产优先、有限影响、提前预警、适度建设”的原则，建设辽港集团工控主动安全体系，严格落实“安全分区、网络专用、横向隔离、纵向认证”的工控系统隔离要求，将工控安全防护体系的安全能力扩展到识别、防御、监测、响应的全周期，最终实现工控安全标准化、集中化、自动化、智能化、可视化。（5）5G 接入安全。通过 5G+MEC 打造高可靠、高安全专网，实现融合通信和移动办公。辽港集团已建设 5G 专网，港区 5G AAU、BBU 通过内部专用光纤汇聚至数据中心，UPF 下沉至弱电间，通过DNN、网络切片等技术实现数据隔离、数据不出港区，保证数据传输的安全性；利用 USIM 卡实现接入认证、终端授权、IP 地址分配等；通过港口内部信息安全防护系统，对访问进行精细化权限管控，保证网络访问安全。（6）终端安全。建立统一管理的终端安全防护体系，完成对辽港集团各部门的终端覆盖，通过主机杀毒和准入控制，实现终端安全威胁的全生命周期管理等，主要包括事前预警防范、事中应急处置、事后追责溯源，形成闭环管理，实时监测和分析终端安全状态，统一配置终端安全策略，提供终端的安全保障能力，确保辽港集团终端系统正常、高效运行。（7）物联网安全。辽宁港口物联网安全防护划分为终端层、网络层、平台层、协作层等 4 个层次，建设统一物联网接入管理平台，各港口作业面和仓储基地结合业务目标，通过 4G、5G、NB-IOT 等不同接入模式，分布建设 FRID、视频等物联网设备。辽港集团通过管理平台实现技术和运行管理协作，实时进行监测、调度、运维、预警等管理工作，构建运行稳定的物联网安全防护体系。港口科技 智慧港口24（8）区块链安全。利用区块链数据难以篡改和去中心化等 2 大核心特点，辽港集团打造链接船公司、货代、监管机构、重点大客户和金融机构等的全程区块链服务体系，实现全程物流信息可视、可控，记录信息更加真实可靠，有效解决各个合作主体之间信任的问题。同时，辽港集团区块链平台还可实现防止信息擦除和篡改，防止数据泄露和认证失败，抵抗恶意节点攻击，强化网络弹性、透明度和加密等安全能力。2.4网络安全保障运行辽港集团打造面向多区域、多公司、多部门的一体化安全运维服务平台，构建“1 个入口、1套标准流程和 1 个平台”的一体化安全运维管理模式，保障内部各级组织的高效沟通和安全运行。3辽港集团网络安全保障体系落实辽港集团通过持续强化网信安全建设管理，循序渐进开展网络安全体系建设，确保网络安全工作逐年得到落实并取得一定的成果，实现网络安全工作的常态化，并规划未来几年内的网络安全工作重点，为辽港集团智慧港口建设和数字化转型提供有力的安全保障。3.1工作成果（1）文化助力管理。定期组织数字化转型管理沙龙主题文化活动，开展网络安全培训，宣贯提升全员网络安全防护意识；推出数字化助力员工主题文化活动，通过实操学习，掌握基础安全防护能力；多措并举，采用微信公众号、随行内容号、数字化社区等不同文化宣传形式，营造良好的网络安全学习氛围。（2）形成管理抓手。制定发布 辽港集团 IT 重要资源安全运行管理指引，指导网信安全建设和管理工作；制定发布 辽港集团软件产品发布安全基线，规范软件产品上线安全管理；持续对辽港集团网络安全管理规定进行修订、完善，增加补全重点防御措施；建立网信安全资产管理清单，动态跟踪安全管理落实情况。（3）网信安全管理。根据 党委（党组）网络安全工作责任制实施办法，建立辽港集团各级网信安全管理组织；利用辽港集团可视化运维平台，及时处置突发安全事件，每月发布网络安全和系统运行分析报告，指导网信安全管理工作；每年开展 2 次覆盖辽港集团 5 大区域的网信安全专项检查行动，形成检查通报，追踪漏洞整改情况。（4）网信安全保障。建立安全事件双重响应机制，整体宣贯，落实到人；全面整改系统和网络漏洞，进行安全设备系统升级和补丁加固，配置有针对性的安全防护策略；采取全面监测、收缩边界和高效处置等严格措施，精心准备，完成各项重保任务。（5）信创生态打造。各单位网信安全遵守辽港集团网信安全架构，重要业务系统根据实际情况，采用适用的网络安全防控等级或方案；各单位应用软件、硬件等采购遵循辽港集团信创工作要求。3.2工作常态化2020 年，辽港集团网络安全工作常态化机制初步形成。定期开展资产梳理，实时更新资产变化，实现资产梳理常态化；实时监测分