码头网络设计大纲:
1、参考其他码头的建设 此次新建码头整体网络整体规划如下:
三网总体设计
生产网络(工控网络)部分:
办公网络区:
IT和OT边界:
视频网到生产网边界:
OT内部流量模型:
从流量模型分析和子网VLAN规划分析,每个节点单独划分子网,核心交换机上面做ACL,节点之间因为没有东西向流量访问需求,所以在核心交换机上面做ACL,阻止东西向流量,从而避免在每个节点上面部署工业防火墙。
2、基础网络建设
基础网络是所有应用的"高速公路",关键在于高可靠、广覆盖、低时延、可扩展、易管理。
网络架构选择:应该根据现场实际场景,结合各码头宝贵经验,统一规划,综合考虑,从全局的角度规划网络建设,在保障基础网络的同时同步进行网络安全建设。
有线网络保证千兆接入,万兆上行;采用塌缩的核心设计(接入到核心),直接接入到核心,接入层采用双万兆口双归接入核心。
光纤采用不同的物理路由,保障在中断一路光纤的情况下,不影响通信。
机房建设标准参照B级机房建设,双市电引入,UPS动力间和设备间分开建设等。
无线网络优先采用5G-A网络;建设本地5G网络,包括5G专用设备,宏基站,微基站,信号在本地进行处理,降低延迟;同时利用5G路由器的无线接入功能,利用现场AP进行无线备用链路连接,当5G链路故障,则通过无线回传信号。
具体吊具场景建设:针对岸桥这种固定的吊具,采用有线接入;针对轨道吊采用有线接入为主,微波、毫米波通过导波管(波导管)接入/随行电缆为辅;针对轮胎吊这种移动吊具,则采用5G无线接入为主,无线WIFI接入为辅的接入做法。
5G专网部署:需规划足够的5G宏基站(例如梅山港区部署了69个)并利用灯塔等高架设施部署微基站,以规避集装箱遮挡,实现信号无死角覆盖性能上需满足传输时延低于50毫秒、支持海量视频数据实时回传的要求精准定位与车路协同:必须集成"5G+北斗"高精度定位技术,为无人集卡和车辆调度提供厘米级定位服务同时,建设车路协同(V2X)平台,通过在关键路口部署智能感知设备,实现对所有车辆的全局监控与协同调度。
3、网络分层分区:
按照功能划分:可以划分为企业资源层-运营管理层-监控控制层-基本控制层-过程层-现场设备层设计网络。
按照区域划分可以分为:服务器区,终端接入区,安全运维区,互联网出口区,灾备区,生产区设计功能区域。
按照物理网络划分可以分为:工控网络,生产和办公网络,监控网络,独立设计网络要素,并做到互联互通。
4、工控基础网络建设
工控网络是码头的"中枢神经系统",核心是安全和高效。
工业网络与平台:生产控制网需采用工业以太网、工业无线等可靠技术,并部署边缘计算(MEC)节点,实现数据本地即时处理,满足龙门吊远控等场景的极低时延要求。
统一智慧管控平台:这是工控网络的"大脑"。应建设一个类似梅山港区"双芯智慧大脑"的统一平台 ,能够集成设备控制、智能调度(TOS)、堆场管理、智能理货等所有子系统,实现从指令下达到设备执行的全程自动化闭环。
5、工控网络安全系统建设
港口作为关键信息基础设施,需遵守国家《关键基础设施保护条例》和GBT 22239-2019《网络安全等级保护基本要求》,需加强码头自动化控制、生产作业、通航建筑物运行调度等重要信息系统的网络安全管理、安全检测与风险评估。依法严格落实信息安全等级保护制度。因此新建港口码头需要按照网络安全等级保护2.0三级为建设目标,设计建设一套稳定、先进、高效、可靠的工控网络安全监测防护体系,集中展现工控安全态势,提升港口整体工控安全监管水平和防御能力,针对系统的特点、专业性、稳定性进行设计,以国家等级保护的"一个中心、三重防护"为整体防护思想,构建港口行业工控网络安全防护体系,并完善安全管理体系,形成技术+管理的综合安全防护体系,满足实际安全防护需求。
等保2.0的核心思想是要求新建港口码头应建立基于主动防御的信息安全策略,边界控制与入侵检测结合,安全审计与管理平台结合,账户管理与数据安全结合,恶意代码防范与终端准入控制,工控安全防护,全面的信息安全防御措施,筑牢内外防御工事,建立实时行为审计,建立管理控制平台,制定运维管理制度,防止黑客、病毒、恶意代码、非法入侵对港口码头造成的严重危害。工控网络安全是一整套防御体系,必须统一设计,统一部署,统一推进,统一实施。实现工业网络和信息系统安全可控可防,制止网络攻击、网络入侵、网络窃密等行为,保障港口码头高效、文明、安全生产,促进码头自动化信息化工作健康发展。
为全面提升新建码头业务系统整体安全防护能力,切实满足等保2.0 三级 "一个中心,三重防护"的合规建设要求,将从码头业务系统网络分区分域设计、安全区域边界防护、安全通信网络防护、安全计算环境防护、安全管理中心建设等方面给出详细设计规划。
一、 网络分区分域设计(核心基础)
分区分域是工控网络安全防护的基石,遵循"业务分区、功能分域、纵向分层"原则,实现安全隔离与受控互通。
顶层分区设计:
企业信息管理区: 承载ERP、OA、邮件、客户服务门户等IT系统。与工控网络之间必须进行强逻辑隔离。
生产监控与管理区(DMZ区): 作为IT与OT的缓冲区域。部署TOS服务器、计划系统、数据库服务器等。这是IT与OT数据交换的集中点。
工控生产核心区: 承载码头核心生产控制功能。
设备控制域: 划分给场桥(RMG/RTG)、岸桥(STS)、集卡(AGV/ICT)等关键设备的PLC、控制器、ECS工作站/服务器。不同大类设备建议划分子域。
智能闸口域: 承载OCR识别、箱号识别、RFID、地磅等闸口子系统。
远程运维域: 为设备供应商提供专用的、严格管控的接入通道,用于远程诊断和维护,严禁直连设备控制域。
安全感知与管理区: 部署工控安全态势感知平台、日志审计系统、运维堡垒机、工控安全管理平台等。
外联接入区: 为海关、海事、港口集团、船公司等外部单位的数据交换提供专用通道。
关键设计要点:
横向隔离: 各区域/域之间采用工业防火墙或具备访问控制功能的工业网闸进行隔离,仅开放必需的端口和应用协议(如OPC UA、S7、Modbus TCP等),并配置严格的白名单策略。
纵向分层: 从现场设备层(L0/L1)到生产监控层(L2)、操作调度层(L3)之间的数据流与控制流,在各层边界部署防护。
无线网络独立分区: 为AGV、无人机巡检、无线终端等设立独立的"无线接入区",经强认证和加密后,仅能访问指定资源。
二、 安全区域边界防护
边界是防护的关键节点,重点在于访问控制与入侵防范。
IT与OT边界(最核心边界):
部署工业网闸,实现生产监控与管理区与企业信息管理区之间的物理隔离、协议剥离、数据单向/双向可控传输。确保OPC数据只能由OT向IT推送,阻断从IT发向OT的非法指令。
工控区域内部边界:
在各功能域(如设备控制域与闸口域)之间部署工业防火墙。策略基于"最小权限"原则,仅允许授权的IP、MAC地址和工控协议通过,深度解析Modbus、S7、DNP3等协议字段,防止非法参数读写和异常指令。
互联网及外联边界:
部署下一代防火墙(NGFW)、入侵防御系统(IPS),防范来自外部的网络攻击和恶意代码。
对外提供服务的Web系统(如预约平台)应部署Web应用防火墙(WAF)。
无线边界:
采用企业级无线控制器和AP,实施WPA3-Enterprise认证,结合802.1x与AD/RADIUS服务器,实现用户和设备的严格准入。
三、 安全通信网络防护
保障数据传输过程中的机密性、完整性和可用性。
网络架构冗余: 核心层、汇聚层采用双机热备、环网或Trunking技术(如工业以太环网协议),防止单点故障导致生产中断。
通信加密:
对于远程运维、跨广域网的数据传输(如集团与分码头之间),必须采用IPSec VPN或SSL VPN进行加密。
在条件允许的子系统内,推动使用具备原生加密功能的工控协议(如OPC UA over TLS)。
网络恶意代码防范: 在关键网络汇聚点旁路部署工业网络流量审计与威胁检测系统,通过流量镜像分析,及时发现APT攻击、异常扫描、蠕虫扩散等行为。
网络资源管控: 采用网络准入控制(NAC)技术,确保只有授权的设备(通过MAC/IP/证书认证)才能接入工控网络,防止非法设备接入。
四、 安全计算环境防护
保护主机、服务器、控制器、智能终端等实体安全。
主机安全加固:
操作系统加固: 对Windows工控主机、服务器进行最小化安装,关闭无关服务和端口,定期安装经严格测试的补丁(在测试环境验证后)。
应用程序白名单: 部署工控主机卫士,启用应用程序白名单功能,只允许运行预先许可的进程(如组态软件、OPC客户端),彻底杜绝未知病毒、勒索软件运行。
移动介质管控: 对所有工控主机实施严格的USB端口管理,或使用专用安全U盘。
设备安全:
PLC/控制器加固: 修改默认密码,禁用不必要的编程接口和服务;对控制逻辑进行完整性保护,防止非法篡改。
智能终端安全: 对场桥司机终端、手持终端进行统一管理和应用推送,限制其功能。
身份认证与访问控制: 关键系统(如TOS、ECS操作员站)实施账号分级管理,强制使用强密码或双因素认证。遵循"权限分离"原则。
安全审计: 启用并集中收集操作系统、数据库、关键应用的日志,为事后追溯提供依据。
五、 安全管理中心建设(安全运维大脑)
实现技术、流程、人员的统一管理,变被动防御为主动运营。
集中安全监测(工业互联网态势感知平台):
建设工控安全态势感知平台,作为安全管理中心的核心。平台应能纳管所有安全设备(防火墙、审计、主机卫士等)和网络设备,实现日志归一化采集、存储与分析。
利用大数据关联分析技术,建立码头业务特有的安全场景(如"闸口系统异常频繁登录"、"场桥PLC被未知IP扫描"),实现可视化预警和事件闭环处置。
统一运维管控:
部署运维堡垒机,对所有技术人员(包括内部员工和第三方供应商)访问生产系统的操作进行身份鉴别、权限控制、操作审计和会话录屏。实现"人"的管控。
资产与风险管理:
建立动态的工控资产指纹库,自动识别网络中的PLC、HMI、控制器型号、固件版本、漏洞信息。
与漏洞扫描系统联动,定期开展非侵入式的工控漏洞扫描与风险评估,形成整改工单。
安全管理制度与流程:
制定《码头工控网络安全管理办法》、《变更管理流程》、《应急响应预案》并定期演练。
建立与生产调度相协调的安全事件应急响应团队,明确流程,确保安全事件不影响生产作业效率。
6、生产和办公网络设计
生产和办公网络从业务多样性,管理方便性角度考虑设计
7、监控网络
包含门禁 监控 道闸 人行 安防 等周边网络,通过防火墙或者网闸和办公网络互联互通
8、服务器区 采用云计算形态部署 建议部署GPU集群 通用计算集群 云桌面集群 分布式计算集群 通用服务器包括NAS,网管软件,身份认证和准入。
终端接入区 需要考虑接入认证,DDI管理,推荐采用云桌面终端部署;
安全运维区需要从等保关保要求的角度选择网络安全产品,至少应该包括堡垒机,数据库审计,日志审计,态势感,主机安全,备份产品等。
互联网出口区要从高可用和负载均衡角度出发选择至少2家ISP互联网业务,并配合上网行为管理,防火墙设备做到上网行为审计,上网权限限制,QoS限速与保障,零信任或者SSLVPN远程接入等。
灾备区需要在考虑备份办公服务器区虚拟机的同时,还要做到容灾的功能。
9、关键实施步骤与保障
为确保项目成功,建议按以下阶段推进,并注重关键保障措施:
实施路径
规划与设计阶段:详细调研码头业务需求,完成融合网络架构的顶层设计和方案论证。
基础设施部署阶段:同步开展光纤骨干网、5G专网、北斗增强基站等基础物理设施的建设。
系统平台搭建阶段:部署智慧管控平台、车路协同平台,并完成与桥吊、龙门吊等主要设备的系统对接与联调。
应用试点与推广阶段:在选定堆场或作业线开展远控、无人集卡等应用试点,成熟后逐步推广至全港区。
核心保障措施
安全与可靠性:网络设计需遵循等保三级要求,通过物理隔离、防火墙、入侵检测等技术保障工控网络安全
标准化与开放性:平台和接口应采用标准化设计(可参考基于WinCC OA等平台的标准化经验),确保未来能兼容不同厂商的设备与系统。
分步投资与演进:初期可聚焦核心作业区(如集装箱码头)的自动化需求,后期再向散货、滚装等码头及物流配套区域扩展。同时为5G-A(5.5G)、通感一体等新技术的引入预留演进空间。