孫輝

摘 要：國際海事組織要求船公司在2021年1月1日前參考BIMCO推出的船舶網(wǎng)絡(luò)安全指南，將網(wǎng)絡(luò)風險管理方針納入安全管理體系。如未在規(guī)定日期前實施新政，船只將被扣留，業(yè)務(wù)陷入停滯。實際上，網(wǎng)絡(luò)與信息安全工作的重要性符合冪次定律，是繼航線規(guī)劃、造船投入和人才培養(yǎng)之后，決定船公司生死存亡的“第四種生產(chǎn)要素”。我們相信船公司積極實施船岸網(wǎng)絡(luò)分層防御措施，建立健全網(wǎng)絡(luò)信息安全體系，最終能夠幫助企業(yè)實現(xiàn)躲避惡意攻擊，防范船岸網(wǎng)絡(luò)安全及信息泄露事故于未然的目標。

關(guān)鍵詞：船岸；網(wǎng)絡(luò)；安全信息；泄露

0 概 述

領(lǐng)先的船公司因長期實踐“數(shù)字化+互聯(lián)網(wǎng)”戰(zhàn)略，船舶一切運營參數(shù)及管理量化指標被移到了更加透明的互聯(lián)網(wǎng)信息平臺上，船舶所有人可以隨時隨地對資產(chǎn)進行監(jiān)控。船舶所有人把船舶全權(quán)委托給第三方船管機構(gòu)打理，但這又帶來一個全新的課題——隨著船岸數(shù)字化程度越來越高，信息系統(tǒng)遭受攻擊導致數(shù)據(jù)泄露的風險越大。近年來我們聽到多起船員私人信息泄露導致的詐騙事件，不用懷疑，這些泄露的源頭90%來自船管公司的信息系統(tǒng)。此外，馬士基公司遭遇勒索病毒損失3億美金的案例告訴我們，無論船岸員工及IT專員是惡意還是疏忽，亦或是“不知情的幫兇”，都可能會給企業(yè)帶來嚴重的危害。我們知道，數(shù)據(jù)對業(yè)務(wù)的價值是有期限的，而船公司要做的就是充分了解其系統(tǒng)所掌握的信息，以及誰有訪問系統(tǒng)獲取信息的權(quán)限，確保數(shù)據(jù)及使用人員在有效期限內(nèi)的安全受控。

1 船岸通訊網(wǎng)絡(luò)管理現(xiàn)狀

航運互聯(lián)網(wǎng)技術(shù)的運用和發(fā)展非常迅速，特別是海上衛(wèi)星通訊服務(wù)商（見圖1）提供的海上高速帶寬套餐資費日益下降，極大地促進了船舶與管理當局、服務(wù)供應(yīng)商、租船人和船舶所有人之間的信息交換頻率，這也給船舶管理公司帶來更大的壓力。網(wǎng)絡(luò)沒有物理國界，任何擁有基礎(chǔ)網(wǎng)絡(luò)安全攻防經(jīng)驗及熟悉船舶扁平化網(wǎng)絡(luò)架構(gòu)（見圖2）的人都可以對海上聯(lián)網(wǎng)船舶進行遠程滲透，可能只需一杯咖啡的時間航行在海上的船舶就可能陷入斷網(wǎng)、信息系統(tǒng)被加密鎖定，甚至船舶主機、自動舵系統(tǒng)失去控制的恐怖景象，以上情景并非危言聳聽。筆者對某船舶衛(wèi)星通訊商ip地址段（148.*.*.*）掃描發(fā)現(xiàn)，眾多安裝VSAT、FBB設(shè)備船舶未經(jīng)審核就向公網(wǎng)開放了21/80/445/3389等弱口令TCP或UDP端口，且絕大部分船舶沒有配置專業(yè)的硬件防火墻，導致訪問控制策略失效，這也為船舶內(nèi)網(wǎng)遭受外部威脅開啟了潘朵拉魔盒。常見漏洞利用端口如下：

HTTP：80，8080，8888，8000，8001，8088；

VNC：5900，5901，5902，5903；

MySQL：3306

Memcached：11211

MySQL/MariaDB：3309，3308，33603306，3307，9806，1433

FTP：21

Telnet：23，2323

PostgreSQL：5432

Redis：6379，2379

ElasticSearch：9200

MongoDB：27017

RDP：3389

UPnP/SSDP：1900

NTP：123

DNS：53

SNMP：161

LDAP：389

Rexec：512

Rlogin：513

Rsh：514

Rsync：873

Oracledatabase：1521

TeamViewer：53，5938

CouchDB：5984

2 常見網(wǎng)絡(luò)攻擊手段

影響船公司和船舶的網(wǎng)絡(luò)攻擊主要有兩類：一是無目標的攻擊，岸基或船舶內(nèi)網(wǎng)操作系統(tǒng)及第三方軟件漏洞是許多潛在的受攻擊目標之一，攻擊者利用0day漏洞進行廣撒網(wǎng)式無差別化攻擊；二是有針對性的攻擊，將某船公司或船舶信息系統(tǒng)設(shè)置為預定滲透目標，攻擊者為躲避網(wǎng)絡(luò)安全設(shè)備的防御機制，利用專門開發(fā)的更復雜的繞過技術(shù)和工具，實施多步驟攻擊，其殺傷力、破壞力較前者較大。針對性攻擊我們又分為以下幾種類型：

（1）主動攻擊。攻擊者試圖突破網(wǎng)絡(luò)安全防線。這種攻擊涉及到數(shù)據(jù)流的修改或創(chuàng)建錯誤流，主要攻擊形式有假冒、重放、欺騙、消息纂改和拒絕服務(wù)等等。

（2）被動攻擊。攻擊者簡單地監(jiān)視所有信息流以獲得某些秘密。這種攻擊可以是基于網(wǎng)絡(luò)跟蹤通訊鏈路或基于系統(tǒng)用秘密抓取數(shù)據(jù)的特洛伊木馬代替系統(tǒng)部件。

（3）物理攻擊。在物理臨近攻擊中，未授權(quán)者可物理接近網(wǎng)絡(luò)、系統(tǒng)或設(shè)備，目的是修改、收集或拒絕訪問信息。

（4）內(nèi)部攻擊。當內(nèi)部人員被授權(quán)在信息安全處理系統(tǒng)的物理范圍內(nèi)，或?qū)π畔踩幚硐到y(tǒng)具有直接訪問權(quán)，主動將獲取的信息進行非法傳播。

（5）邊界攻擊。網(wǎng)絡(luò)邊界包括路由器、防火墻、入侵檢測系統(tǒng)IDS、虛擬專用網(wǎng)VPN、DMZ和被屏蔽的子網(wǎng)等，上述硬件內(nèi)部安裝的OS與其他軟件一樣，也無法逃避存在安全缺陷的命運，攻擊者則可利用其協(xié)議缺陷、OS及固件漏洞繞過已知安全策略。

（6）持續(xù)性威脅。商業(yè)APT組織可能會通過釣魚手法進行欺詐，例如：以“XX船公司2020中期戰(zhàn)略企劃書”為關(guān)鍵詞投放電子誘餌，通過Scribble等Office文檔追蹤工具進行精準定位，騙取企業(yè)受害人打開附件或點擊郵件鏈接從而入侵或破壞對方的信息系統(tǒng)。

3 船舶易受攻擊的系統(tǒng)

1）綜合船橋和ECDIS系統(tǒng)

2）配載儀和船舶維修保養(yǎng)系統(tǒng)

3）主機遙控和能效系統(tǒng)

4）保安限制區(qū)域CCTV和各重點艙室門禁

5）乘員服務(wù)和管理系統(tǒng)

6）面向船員娛樂的公共網(wǎng)絡(luò)

7）船岸網(wǎng)絡(luò)通信系統(tǒng)

8）操作系統(tǒng)及常用軟件

4 處理網(wǎng)絡(luò)事件的基本步驟

1）風險識別：定義相關(guān)人員角色和職責，確保在日常管理中能夠發(fā)現(xiàn)可疑風險

2）事件預防：采取風險控制流程和應(yīng)急計劃，阻止網(wǎng)絡(luò)風險演化成網(wǎng)絡(luò)事件

3）事件發(fā)現(xiàn)：通過檢查確認網(wǎng)絡(luò)事件發(fā)生，評估損失及后續(xù)恢復方案

4）事件恢復：有計劃響應(yīng)并使系統(tǒng)恢復正常運行

5）免疫措施：制定措施避免遭受同類網(wǎng)絡(luò)事件再次發(fā)生

5 安全組織架構(gòu)設(shè)計

網(wǎng)絡(luò)信息安全問題從根本上說是人的問題，如何讓人守規(guī)則，不違反規(guī)則，技術(shù)上如何減少和避免人為惡意使用技術(shù)，這是船公司網(wǎng)絡(luò)信息安全組織架構(gòu)設(shè)計的初心。我們可以把組織的總體目標定義為：針對船岸網(wǎng)絡(luò)及信息安全需要，構(gòu)建系統(tǒng)的網(wǎng)絡(luò)安全技術(shù)和信息防護策略及其措施，通過制度管理和技術(shù)防范，雙管齊下，規(guī)范員工行為，以達到網(wǎng)絡(luò)和信息資產(chǎn)安全可控的總體目標。最終達到“外人進不來，進來看不到、看到拿不走、拿走用不了、操作可追溯”的效果。組織實際領(lǐng)導者——首席信息安全官（CISO）的基本職責是：建立船岸網(wǎng)絡(luò)與信息安全團隊并確保成員各司其職。團隊成員既要包含企業(yè)內(nèi)部的計算機安全專家，也要包含外部資深律師、會計師、技術(shù)專家等。

6 安全團隊成員崗位職責

1）對船舶VSAT/FBB設(shè)備端口映射以及防火墻規(guī)則進行審核分發(fā)及監(jiān)控，熟悉Infinity，XchangeBOX等通信管理系統(tǒng)的后臺設(shè)置，監(jiān)控內(nèi)網(wǎng)可疑流量。

2）對船岸內(nèi)網(wǎng)信息設(shè)備及辦公電腦軟硬件及時更新維護，熟悉GTMailPlus、SkyfileMail、Super-Hub、RYDEX、AmosConnect等軟件操作知識。

3）對船岸防火墻訪問規(guī)則進行定期維護，定期更新船岸病毒及漏洞補丁庫，不斷豐富船岸網(wǎng)絡(luò)信息事故應(yīng)急預案。

4）收集供應(yīng)商技術(shù)文件集中存儲，向設(shè)備及服務(wù)供應(yīng)商提交并跟蹤審核信息類保修工單（KVH，Marlink，GEE，OneNet等）。

5）跟蹤記錄新造船F(xiàn)BB，銥星和VSAT以及船載物聯(lián)網(wǎng)設(shè)備安裝調(diào)試情況，對船隊VSAT/FBB網(wǎng)絡(luò)流量及費用情況進行跟蹤，分配船員適當?shù)男畔⒃L問級別和安全訪問許可。

6）參與船舶網(wǎng)絡(luò)基礎(chǔ)建設(shè)及信息系統(tǒng)迭代開發(fā)，提出必要的安全策略規(guī)范要求。

7）具備防火墻/路由器/入侵檢測系統(tǒng)和交換機的豐富知識；具備Mac、Windows、Linux三大操作系統(tǒng)及域控服務(wù)器的豐富知識；具備數(shù)據(jù)庫基礎(chǔ)知識，能夠使用SQL查詢語言，Crystal Reports提取分析數(shù)據(jù)。

8）具備網(wǎng)絡(luò)安全事件調(diào)查能力，獨立撰寫網(wǎng)絡(luò)安全事件調(diào)查報告并提出改進措施。

7 經(jīng)驗交流

網(wǎng)絡(luò)信息安全領(lǐng)域?qū)τ诖蟛糠秩硕约饶吧覍I(yè)性較強，在實踐中，大部分船公司是總裁辦（行政事務(wù)部）或保密部門來牽頭，而網(wǎng)絡(luò)信息安全職能又隸屬話語權(quán)不高的IT部門，最終導致企業(yè)網(wǎng)絡(luò)信息安全工作進展遲滯，制度落實緩慢。因此，我們建議由公司領(lǐng)導牽頭作為“一把手”工程，由技術(shù)保障部門負責具體實施。有條件的船公司應(yīng)該定期針對船岸網(wǎng)絡(luò)信息系統(tǒng)進行白帽滲透以及布置網(wǎng)絡(luò)信息安全審計設(shè)備，當船岸系統(tǒng)被攻破時，此舉能夠有助于迅速做出應(yīng)急反應(yīng)，恢復可以預知的破壞和損失。此外在員工手冊、船員上船協(xié)議中應(yīng)該賦予公司相關(guān)職能部門通過技術(shù)手段來獲取內(nèi)部威脅的權(quán)利，此舉有利于打擊船岸隱蔽性較強的職務(wù)犯罪。

以筆者所在單位為例，2018年初由公司領(lǐng)導牽頭與CCS聯(lián)合成立了船岸網(wǎng)絡(luò)信息安全專項課題組，針對我司船岸網(wǎng)絡(luò)特殊性制定了一套通用船舶網(wǎng)絡(luò)安全管理體系，并在超大型集裝箱船試行了《船舶網(wǎng)絡(luò)信息安全實施指南（征求意見稿）》及配套制度如《船舶網(wǎng)絡(luò)信息資產(chǎn)管理辦法》《船舶VSAT、局域網(wǎng)及防火墻設(shè)置規(guī)范》《船舶網(wǎng)絡(luò)信息安全員崗位職責》《船員網(wǎng)絡(luò)信息安全應(yīng)知手冊》等，除此之外，還對試點船舶就域控服務(wù)器（解決內(nèi)網(wǎng)信息審計問題）、KMS激活服務(wù)器（解決操作系統(tǒng)、辦公軟件授權(quán)問題）、自建CA頒發(fā)SSL證書（解決SHA256數(shù)據(jù)加密問題）、某開源安全軟件企業(yè)版部署（解決病毒庫、補丁離線升級問題）等項目進行技術(shù)驗證，為下一步網(wǎng)絡(luò)信息安全課題成果的推廣應(yīng)用奠定良好基礎(chǔ)。

8 結(jié)束語

早在2014年2月，我國便成立了中央網(wǎng)絡(luò)安全和信息化領(lǐng)導小組。2015年黨的十八屆五中全會提出“網(wǎng)絡(luò)強國”戰(zhàn)略，2016年11月頒布了《中華人民共和國網(wǎng)絡(luò)安全法》，同年12月頒布了《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》?？梢哉f“沒有網(wǎng)絡(luò)安全就沒有國家安全”已然成為舉國上下的共識；同理，沒有網(wǎng)絡(luò)安全就沒有航運安全。2018年9月22日，美國在最新頒布的《國家網(wǎng)絡(luò)戰(zhàn)略》中明確指出，美國的經(jīng)濟和國家安全建立在全球貿(mào)易和運輸?shù)幕A(chǔ)之上，隨著交通運輸部門的現(xiàn)代化，它們很容易受到網(wǎng)絡(luò)攻擊。鑒于海上運輸?shù)闹匾裕Ｉ暇W(wǎng)絡(luò)安全尤為令人擔憂，美國將迅速采取行動，確定海上網(wǎng)絡(luò)安全的責任，加強國際協(xié)調(diào)和信息共享機制，加速下一代具有網(wǎng)絡(luò)彈性的海上基礎(chǔ)設(shè)施的發(fā)展?！八街梢怨ビ瘛?，未來的航運業(yè)，誰站在網(wǎng)絡(luò)信息安全的制高點掌握核心科技，誰就能實現(xiàn)贏家通吃。如果網(wǎng)絡(luò)信息安全出現(xiàn)紕漏，就會出現(xiàn)一著不慎，滿盤皆輸?shù)木置?。作為航運從業(yè)者，我們要以清醒的頭腦，未雨綢繆，有步驟有計劃地提升我國航企網(wǎng)絡(luò)信息安全建設(shè)，持續(xù)為我國智能航運、智能船舶等“政產(chǎn)學研用”創(chuàng)新項目落地，實現(xiàn)我國從航運大國走向航運強國的目標努力奮斗。