2025, Vol. 47
2. 中国船级社科创试验中心,北京 100007
2. China Classification Society Science and Technology Innovation and Test Center, Beijing 10007, China
船舶智能化已成为全球航运业发展的必然趋势,随着船舶智能化水平的提升,船舶控制系统、通信导航系统、信息管理系统及设备不断接入船舶网络,为对外信息交互提供便利,与此同时,船舶遭受网络威胁的隐患在不断加剧,船舶网络安全的重视程度越来越高,并成为确保船舶安全不可或缺的一环[1]。由于船舶网络是船舶自动化、数字化、信息化智能化的关键基础,具有涉及的系统多、影响范围广、贯穿整个船舶生命周期的特点,同时面临着船舶型式多样、系统及设备种类多,智能化程度各不相同,网络通信及控制标准不统一等问题[2]。针对航运业面临的网络安全形势,各机构积极采取措施,近几年涌现出大量的研究成果。国际海事组织(International Maritime Organization,IMO)在98届海上安全委员会通过并发布了MSC-FAL.1/Circ3通函[3],指出风险管理对于航运安全非常重要,传统的风险管理主要关注物理实体的操作,但随着对数字化、集成化、自动化和网络系统依赖性的增加,航运业对网络风险管理的需求日益增加,要求主管机关、船级社、船东、船舶经营人、船舶代理、设备制造方、服务供应方、港口、港口设施以及其他利益相关方,应致力于保障航运业远离当前和新兴的网络威胁和漏洞,增强网络安全意识,保障航运业安全稳定,鼓励船公司在安全管理体系中纳入网络风险管理相关内容。波罗的海航运公会(The Baltic and International Maritime Council,BIMCO)、国际航运公会(International Chamber of Shipping,ICS)等组织联合发布了全球首个船舶网络安全指南[4],该指南根据有关法规及船上最佳实践,面向航运业各利益相关者,聚焦工作程序、设备管理、培训、事故响应及恢复等方面提出了网络风险管理策略。国际船级社协会(International Association of Classification Societies,IACS)发布的统一要求UR E26 [5]和UR E27 [6] 分别从船舶和系统2个层面,采用基于目标的标准(Goal Based Standards,GBS)结构,从识别、保护、检测、响应、恢复这5个方面提出了船舶网络系统的功能要求,其包含船舶网络风险的管理和技术措施,明确了供应商、集成商、船东、船级社等相关方在船舶设计、建造、测试、运营各阶段应履行的职责,覆盖了船舶网络和系统的整个生命周期。数字集装箱运输协会(Digital Container Shipping Association,DCSA)以BIMCO发布的船舶网络安全指南为基础,发布了船舶网络安全实施指南,详细阐述了如何有效地将网络风险管理纳入船公司安全管理系统中[7]。由于现阶段航运业内对于船舶网络安全的整体认知仍处于较低的层面,这些研究成果也基本属于目标性要求,关于如何识别船舶网络风险,开展船舶网络设计并提供切实可行的网络安全解决方案仍是当前各方亟待解决的难题。
结合当前形势,本文主要从以下2个方面开展论述:1)针对船舶网络系统特点,分析其主要风险点;2)以某国际航行的化学品船舶的网络系统作为案例,从合规、合理、切实可行的角度阐述设计思路,为其他同类船舶网络系统设计提供参考。
1 船舶网络系统的特点及其风险船舶原本是一个孤岛系统,船上计算机系统之间也相对独立。所以在这些系统的设计之初,网络安全因素往往未被充分考虑,导致许多管理和技术上的缺陷无意中被引入到系统之中。首先,船舶系统本身的运行环境相较于典型的工业系统更具挑战性,大多数船舶都依赖目前低带宽、高延迟的卫星通信作为通信手段,虽可传输少量数据信息,例如电子邮件、导航数据、气象数据等,但可靠性欠佳。其次,由于行业特性决定了船舶只能短时间内在港口停留,在带宽有限的情况下,软件更新总是排在优先列表的后列,无法及时维护。此外,由于船舶网络相关的负责人通常由船长或其他船员兼职,专业性欠缺且精力分散,无法及时响应安全事件。随着船舶的智能化转型,系统集成化成为常态,导致原本存在的网络安全问题越发凸显[8 − 9]。船舶网络系统本身的脆弱性为网络罪犯提供了可乘之机。近年来,以马士基为代表的航运频繁遭受网络攻击,这尤其吸引黑客们的注意,他们意识到针对航运公司的攻击不仅有利可图,而且轻而易举[10]。
从风险评估角度来说,船舶网络系统本身的脆弱性和外部威胁同时存在为网络事件的发生提供可能性,当系统发生的网络事件进一步对船舶安全、人员安全以及环境造成影响时,就说明系统存在网络风险。
对船舶网络系统造成威胁的因素可分为人为因素和环境因素。根据动机,可分为恶意和非恶意。威胁的作用形式是对计算机系统直接或间接的攻击,在保密性、完整性和可用性等方面造成损害。表1和表2总结了船舶网络系统自身的脆弱性和可能面临的网络威胁[11 − 12]。
|
表 1 船舶网络系统的脆弱性 Tab.1 Inherent vulnerabilities of ship network |
|
|
表 2 船舶网络系统可能面临的网络威胁 Tab.2 Possible cyber attacks faced by ship network |
船舶网络的安全需要供应商、集成商、船厂和船东共同参与。从产品端加强网络安全功能的开发,减少被攻击面,到船舶设计、建造、运行全阶段进行风险控制,才能有效抑制网络风险,提升船舶网络韧性。为使船舶有效应对网络风险,本文以IMO发布的通函和IACS发布的统一要求为船舶网络系统设计的主要依据,结合“纵深防护”理念,从系统和设备的内在功能安全和船舶网络的识别、保护、检测、响应和恢复共6个方面制定防护策略。当前阶段,船舶网络系统的设计主要遵循两大原则。一是安全性原则,通过防火墙、防病毒软件等一系列技术手段,保护船舶网络免受外部攻击,确保船舶计算机系统的可用性、完整性和保密性。二是实用性原则,结合船东需求和实际应用场景,在合规的前提下,尽量控制成本。
3 船舶网络系统设计本文以某国际航行化学品船为例,船舶网络安全防护的总体框架如图1所示。
|
图 1 船舶网络安全防护的总体框架 Fig. 1 Overall framework of ship network security protection |
在船舶设计之前,供应商/集成商应在系统和设备开发生命周期中各个阶段考虑网络安全功能。IACS URE27从标识和鉴别、使用控制、系统完整性、数据保密性、事件及时响应、资源可用性6个方面对船载计算机系统和设备的内在安全功能提出要求。所有依靠软件实现其功能的计算机系统均按IACS UR E27的要求进行测试验证。但对于一些非重要的、独立的、没有可访问的物理接口的计算机系统,如火警探测系统,可通过风险评估的方式替代UR E27的测试验证,风险评估主要从其预期运行环境、脆弱性、外部威胁、网络事件的后果等方面进行分析。
3.2 船舶网络系统识别识别的目的是建立被保护的对象,通常以网络拓扑图和资产清单的方式呈现。网络拓扑图是一种能够识别各船载计算机系统之间、计算机系统与外部设备或网络之间的物理或逻辑连接的框图。网络拓扑图能够直观地展示网络中的系统和设备的布局、连接方式以及数据流向,帮助设计者更好地理解和规划网络架构。资产清单是对网络中所有资产的详细描述,包括系统软件、硬件的详细信息、通信协议、与其他系统或设备连接情况、物理接口、更新维护记录等。资产清单的梳理过程有助于设计者识别系统潜在的漏洞和风险点,从而采取相应的保护措施。表3为船舶资产清单典型信息。
|
|
表 3 船舶资产清单典型信息 Tab.3 Typical information of the ship assets inventory |
在船舶网络设计阶段,采用“纵深防御”策略,从安全区域划分、边界防护、访问控制、身份鉴别、恶意代码防护、移动介质管理、无线通信管理、远程运维管理、网络安全培训等多方面来保护网络系统的可用性、完整性、保密性。
3.3.1 安全区域划分首先结合资产清单以及网络拓扑图,按照系统的类别、功能、连接情况等将船舶网络划分为多个安全区域。安全区域的划分是船舶网络安全防护中最基础也是最重要的手段之一,其主要目的是缩小受攻击面,防止攻击者利用漏洞进行横向传播,从而有效地隔离风险。同一安全区域内的系统具有相同的安全等级,默认相互之间的数据流动不存在风险,因而不需要实施额外的安全策略。而不同安全区域之间的通信则需通过网络安全设备(如防火墙)进行严格的访问控制。区域之间的系统不相互依赖运行,例如,当其中一个安全区域受到网络事件影响与其他安全区域隔离时,该安全区域的系统依旧能够正常运行。
船舶的网络拓扑图如图2所示。全船部署2个L3交换机和多个L2交换机,分别负责船岸之间和安全区域内部系统之间的数据交换,其中部署于网络管理区的L3交换机支持VLAN功能,其中之一为冗余配置,确保在网络设备或链路出现故障时系统能够自动切换到备用设备,从而提高网络的可靠性和稳定性。全船网络共划分为5个安全区域,分别是桥楼区域、控制区域、安全系统区域、办公区域、无线区域,分属于不同的VLAN。其中,桥楼区域主要包括GMDSS、集成导航系统和船内通信系统。GMDSS包含VHF无线电装置、MF/HF无线电装置、Inmarsat-C船舶地面站等,分别与VHF岸台、MF/HF岸台、Inmarsat卫星进行双向通信;集成导航系统包含各类导航设备,如航行记录数据仪、电子海图、驾控信息显示系统等;控制区域中主要包含机集成自动化系统和货物自动化系统,通过交换机与桥楼和安全系统区域进行数据通信。其中,集成自动化系统包含机舱监测报警系统、设备控制系统和电站管理系统,货物自动化系统包括货物监测报警系统和货物控制系统,通过CAN协议进行连接。安全系统区域包括火灾探测系统、应急切断系统、气体探测系统等。其中,火灾探测系统和气体探测系统与控制区域通过网络连接,用于传输报警数据。办公区域和无线区域都为非控制区域,仅包含IT系统,使用防火墙进行隔离。办公区域主要包含电脑客户端、打印机、CCTV等设备。无线区域主要为船员提供日常上网服务,包含各类移动客户端。全船的网络设备主要集中在网络管理区域,包含L3交换机、防火墙、邮件服务器、应用服务器以及部署的终端管理安全系统、安全监测与审计系统等。
|
图 2 船舶网络系统拓扑图 Fig. 2 Topology diagram of ship network system |
船上区域之间以及船岸之间采用防火墙作为边界保护设备,通过设置不同的策略,实现访问控制及流量监测。防火墙规则配置采用“白名单”策略,启动“白名单”后,只有明确列在“白名单”中的IP地址、域名或服务才能通过防火墙,其他所有流量都被阻止。所有部署于船舶网路和安全区域边界的网络防火墙的安全策略中都存在一条缺省策略,默认禁止所有的安全区域间的流量,且永远位于策略列表的最底端,不可删除。
防火墙的带宽管理、流量整形和防 Dos/DDos 攻击等功能对船舶业务流量分类后进行精细化管理,确保安全区域内的网络不发生数据流量过高和其他可能影响网络服务资源的事件。根据船舶网络带宽并结合各安全区域数据流量需求量,设计带宽管理策略及设定业务优先级。首先,按业务类型的重要性进行优先级划分。其次,为了将 Dos/DDos 攻击、网络风暴和高流量风险降至最低,通过带宽管理策略为每个IP设置最大带宽,并预留出最大带宽的10%作为冗余带宽以备不时之需。如有突发情况,岸基维护人员可以通过远程维护的方式对船舶带宽管理策略进行临时调整。表4为船舶带宽策略表。
|
|
表 4 船舶带宽策略表 Tab.4 Bandwidth strategy of the ship |
访问控制策略分为物理访问控制策略和基于角色的访问控制的2个部分。物理访问控制策略主要借助船舶网络管理规定对船载计算机系统的使用进行约束,具体措施为:1)船上重要计算机系统或设备布置在受控空间或上锁的机柜,前提是不影响正常的操作维护;2)船上访客如主管当局、技术人员、代理、港口和码头官员、船东代表等进出集控室及重要资产布置房间需登记;3)访客如有终端上网需求时,因优先考虑向其提供无线网络的临时访客上网账号,严禁连接船舶网络接口。如有打印文件的需要,需在供访客使用的专用打印计算机上进行操作(该计算机不与船舶网络相连)。
基于角色的访问控制通过防火墙的用户认证功能或在计算机系统的交互接口上为所有人员分配权限,以控制系统的使用,遵循“最小特权原则”,根据职责需要设置账户权限,谨慎设置管理员账户,禁用不必要的系统默认账户,定期清理过期账户。所有登录用户需进行身份鉴别,常用的鉴别方式包括口令、密码技术、生物技术等,需要强访问控制的系统可能需要使用强加密密钥或多因素身份验证来防护。
3.3.4 恶意代码防护对于具有标准操作系统的船载计算机系统,采用 EDR(终端管理安全系统)的方式作为终端安全解决方案。对于无法安装防恶意代码软件的计算机系统,主要由边界防火墙的恶意代码防护功能或采用操作程序、物理防护以及厂商推荐的方式进行防护。
3.3.5 移动介质管理移动介质的管理采用硬件和软件相结合的方式,辅以相关的管理规定。其中,硬件方式针对访客用打印机计算机之外具有外联USB 接口的船载计算机系统,使用诸如 USB 锁等物理硬件方式限制移动介质的随意使用。软件方式通过移动介质注册管理实现只有注册的移动介质才能在客户端识别,非注册介质禁止读写,杜绝移动介质随意接入;对移动介质的读写权限进行细化控制,将未注册介质设置成只读模式,禁止写入;对于移动介质使用情况进行记录,包括介质的连接信息、文件的复制、粘贴等行为。管理方面,由相关人员对所有移动介质进行统一集中管理,利用船舶的 EDR 终端软件对移动介质内的数据和文件进行定期恶意代码的扫描,如发现恶意代码需立即对检测设备进行网络隔离,防止恶意代码扩散。
3.3.6 无线通信管理无线通信网络通过网络防火墙的安全策略及区域功能设置与其他所有船载计算机系统相独立,属于单独的安全区域内。无线网络通信使用强加密协议WPA2,以保护数据的机密性,采用 WPA2-PSK 认证,增加对无线网络的保护。无线网络的访问需要通过对应的账户密码授权登录,无许可人员不得访问无线网络。与船舶网络插口直接通过网线连线的终端禁止使用无线通信网络。
3.3.7 远程运维管理部署运维安全管理系统,用于对岸端运维人员进行身份鉴别,实现岸基远程访问和远程维护。为确保远程访问或维护过程中数据传输的安全性,运维安全管理系统通过船岸之间搭建的 IPSec VPN 隧道进行数据交换。船岸边界网络防火墙内进行 NAT 策略的设置,以确保 IP 地址不暴露给不可信网络。在远程访问和远程维护阶段,任意人员不得在 OT 系统上随意上随意安装软件及补丁。运维安全管理系统常时处于关闭状态,仅当岸上人员对船载计算机系统有远程访问或维护的需求时,经船端相关人员确认无误后再行开启。如远程访问或过程中遭遇网络事件,可由船方主动关闭运维安全管理系统进行网络隔离。
3.3.8 网络安全培训除上述技术措施外,还通过制定网络安全培训计划来加强船员的网络安全意识、增加网络安全知识、约束其日常行为,减少来自操作失误、越权滥用、社会工程等人为因素造成的网络威胁。
3.4 船舶网络系统检测部署安全监测与审计系统实现船舶网络的监测与审计,该系统连接交换机的镜像口,通过镜像被动方式实现针对船舶网络的异常攻击、异常流量、违规操作、误操作、非法指令等异常行为的审计与实时监测,并对安全事件详情进行记录和报文留存,为安全事件调查提供基础依据。
3.5 船舶网络事件响应通过制定和采取适当的方法,控制船舶网络和船载计算机系统的受损范围,将网络事件的影响降至最低。事件响应流程由4个部分组成:事件发生、事件报告、事件处置和事件关闭,形成流程闭环,船舶按需设立相关岗位的负责人,必要时上报船公司,寻求岸基专家支持。事件响应计划一般由船东结合系统/设备供应商、船厂等相关方提供的信息事先制定,主要包含:1)描述网络事件或异常报警的含义;2)描述网络事件可能产生的后果;3)处置方案,一般包括启用冗余单元、转至本地控制、网络隔离、回退到最低风险状态等方式。
3.6 船舶网络系统恢复事件响应程序是系统恢复的重要组成部分,恢复通常是在船舶网络和系统在遭受网络事件后造成中断或故障后采取的措施。与响应计划相同,恢复计划一般由船东结合系统/设备供应商、船厂等相关方提供的信息事先制定,主要信息包括:1)指定相关负责人;2)设定恢复的目标;3)恢复方案,一般采取受控关机、重置、回滚、重启等操作。系统恢复通常需要用到备份数据,备份的目的是防止数据丢失,并在数据丢失后重建数据库。为保证恢复时有可用的备份数据,通常需要船东事先制定备份计划,内容包括备份范围、方式、频率、存储介质和保留期限等。网络事件发生引起系统故障后,船上的应急响应和系统恢复流程如图3所示。
|
图 3 船上网络事件响应和系统恢复流程 Fig. 3 Response to cyber incidents and system recovery process onboard |
本文结合当前船舶网络系统的普遍特点及其面临的风险,以化学品船为典型案例,从系统和设备的安全功能、船舶网络的识别、保护、检测、响应和恢复这6个方面,阐述了船舶网络系统的设计和防护策略,符合安全性和实用性两大原则,可为船东、船厂、设计院等相关单位提供参考。
在船舶智能化程度不断攀升的当下,自主航行船舶正逐步迈向市场。由于自主航行船舶的网络系统由多个子系统相互交织构成,网络节点星罗棋布,通信协议种类繁杂,致使系统复杂程度呈几何倍数增长,极大增加了被黑客利用的风险。与此同时,勒索软件、高级持续威胁攻击等新型网络攻击手段层出不穷,导致传统的网络安全防护手段在应对这些新威胁时显得力不从心。加之安全管理与维护的难度日益增大,专业人才匮乏,远程维护又存在安全隐患,这些技术挑战迫切需要得到有效解决。综上,要应对船舶网络安全领域愈发严峻的技术挑战,可从“完善法规体系、更新系统设备、提升防护手段、吸纳专业人才、加强国际合作” 这几个关键方面着手,多管齐下,形成全方位的网络安全防护体系。
| [1] |
邓林义. 远洋商用船舶网络安全防护法规规范[J]. 船舶工程, 2023, 45(11): 43-47. |
| [2] |
吴中岱, 王振辉, 韩德志, 等. 智能船舶网络安全及防护技术研究综述[J]. 舰船科学技术, 2024, 46(10): 1-8. |
| [3] |
IMO. MSC-FAL. 1/Circ. 3 Guidelines on maritime cyber risk management [S]. 2017.
|
| [4] |
BIMCO. The guidelines on cyber security onboard ships 2020 [S]. 2020.
|
| [5] |
IACS. UR E26 Cyber resilience of ships [S]. 2023.
|
| [6] |
IACS. UR E27 Cyber resilience of on-board systems and equipment [S]. 2023.
|
| [7] |
DCSA. Implementation Guide for cyber security on vessels v1.0 [S]. 2020.
|
| [8] |
周毅, 李萌, 张海涛, 等. 船岸一体化数据管理系统的网络安全技术[J]. 船海工程, 2021, 50(3): 73-76. DOI:10.3963/j.issn.1671-7953.2021.03.018 |
| [9] |
吴中岱, 韩德志, 蒋海豹, 等. 海洋船舶通信网络安全综述[J]. 计算机应用, 2024, 44(7): 2123-2136. |
| [10] |
刘冬, 于盟, 刘阳, 等. 我国航运网络安全风险分析及防护建议[J]. 工业信息安全, 2022(6): 60-64. |
| [11] |
IACS. REC. 171 Recommendation on incorporating cyber risk management into Safety Management Systems [S]. 2022.
|
| [12] |
ISO. ISO 23799 - Ships and marine technology -Assessment of onboard cyber safety [S]. 2024.
|