孫輝

【摘 要】 為保障航運(yùn)企業(yè)船岸網(wǎng)絡(luò)信息安全，維護(hù)航運(yùn)企業(yè)利益，分析船岸網(wǎng)絡(luò)安全現(xiàn)狀，總結(jié)常見的網(wǎng)絡(luò)攻擊形式和安全漏洞，歸納處理網(wǎng)絡(luò)攻擊事件的基本步驟，提出船岸網(wǎng)絡(luò)安全管理目標(biāo)和安全團(tuán)隊(duì)成員崗位職責(zé)，并結(jié)合具體案例分析船岸網(wǎng)絡(luò)信息安全管理的應(yīng)用，為航運(yùn)企業(yè)做好船岸網(wǎng)絡(luò)信息安全工作提出建議。

【關(guān)鍵詞】 船岸網(wǎng)絡(luò);信息安全;航運(yùn)企業(yè)

0 引 言

一些航運(yùn)企業(yè)已開始實(shí)施“數(shù)字化+互聯(lián)網(wǎng)”戰(zhàn)略，船舶運(yùn)營參數(shù)及管理量化指標(biāo)被轉(zhuǎn)移至信息更加透明的互聯(lián)網(wǎng)平臺(tái)，船舶所有人可以通過互聯(lián)網(wǎng)平臺(tái)隨時(shí)隨地查看船舶動(dòng)態(tài)。航運(yùn)企業(yè)將船舶全權(quán)委托給第三方船舶管理公司管理，并通過互聯(lián)網(wǎng)平臺(tái)監(jiān)控船舶動(dòng)態(tài)。這種管理模式帶來一個(gè)全新的課題：船岸網(wǎng)絡(luò)信息化程度越高，信息系統(tǒng)遭受攻擊導(dǎo)致數(shù)據(jù)泄露的風(fēng)險(xiǎn)越大。近年來已發(fā)生多起船員個(gè)人信息泄露導(dǎo)致的詐騙案件。這些個(gè)人信息泄露的源頭是船舶管理公司的信息系統(tǒng)。信息泄露會(huì)給個(gè)人造成損失，而信息系統(tǒng)遭受病毒攻擊則會(huì)給航運(yùn)企業(yè)造成巨大損失。因此，信息安全對(duì)航運(yùn)企業(yè)而言極為重要。

1 船岸網(wǎng)絡(luò)管理現(xiàn)狀

船岸網(wǎng)絡(luò)技術(shù)的發(fā)展非常迅速，特別是海上衛(wèi)星通信服務(wù)商提供的海上高速網(wǎng)絡(luò)在資費(fèi)下降后極大地提高了船舶與管理方、服務(wù)供應(yīng)商、租船人和船舶所有人/經(jīng)營人之間的信息交換頻率。海上高速網(wǎng)絡(luò)的普及給信息安全帶來更大的隱患。網(wǎng)絡(luò)沒有物理界限，任何具有網(wǎng)絡(luò)攻防知識(shí)并熟悉船舶扁平化網(wǎng)絡(luò)架構(gòu)的人或組織都可以通過Shodan搜索引擎獲得相關(guān)信息，對(duì)船岸網(wǎng)絡(luò)實(shí)施遠(yuǎn)程攻擊。通過對(duì)衛(wèi)星通信服務(wù)商IP地址段批量掃描發(fā)現(xiàn)：眾多安裝VSAT、FBB設(shè)備的船舶未加安全措施就向公網(wǎng)開放了21/80/445/3389等弱口令TCP、UDP端口;供應(yīng)商為節(jié)約成本、方便遠(yuǎn)程維護(hù)管理，將Cobham、KVH CommBox、Inmarsat、Marlink等產(chǎn)品內(nèi)建的管理后臺(tái)映射到外網(wǎng);絕大部分船舶沒有配置專業(yè)的硬件防火墻，岸基管理人員缺乏專業(yè)技能，最終導(dǎo)致船舶網(wǎng)絡(luò)安全得不到保障。

要做好船岸網(wǎng)絡(luò)安全工作，首先要了解船岸網(wǎng)絡(luò)設(shè)備運(yùn)行機(jī)制和原理。船舶內(nèi)網(wǎng)GPS、ECDIS、主機(jī)監(jiān)控系統(tǒng)服務(wù)器等多網(wǎng)卡設(shè)備既通過串口總線和CANBUS、MODBUS等協(xié)議控制舵機(jī)、智能電站及壓載水調(diào)平系統(tǒng)等設(shè)備，又通過網(wǎng)卡和SNMP、NMEA等協(xié)議進(jìn)行網(wǎng)絡(luò)通信，從而形成了一個(gè)可以網(wǎng)絡(luò)遠(yuǎn)程控制的船舶物聯(lián)網(wǎng)。由于某些船用通信協(xié)議存在設(shè)計(jì)缺陷，例如NMEA 0183協(xié)議通過明文傳輸，缺乏加密、身份認(rèn)證和校驗(yàn)機(jī)制，為實(shí)施網(wǎng)絡(luò)攻擊制造了機(jī)會(huì)――攻擊者只需遠(yuǎn)程更改一兩個(gè)字符就可以命令船舶轉(zhuǎn)向。

2 常見的網(wǎng)絡(luò)攻擊方式

廣義上對(duì)船岸網(wǎng)絡(luò)的攻擊主要有兩類：（1）無目標(biāo)的攻擊。岸基或船舶內(nèi)網(wǎng)操作系統(tǒng)和第三方軟件漏洞是潛在受攻擊目標(biāo)之一，攻擊者利用0day漏洞進(jìn)行廣撒網(wǎng)式的無差別化攻擊，近幾年馬士基航運(yùn)集團(tuán)和中遠(yuǎn)海運(yùn)集運(yùn)北美公司遭遇的網(wǎng)絡(luò)攻擊屬于此類。（2）有針對(duì)性的攻擊。攻擊者將某船岸信息系統(tǒng)設(shè)定為滲透目標(biāo)，利用專門開發(fā)的繞過技術(shù)和工具躲避網(wǎng)絡(luò)防御機(jī)制（如震網(wǎng)病毒事件），實(shí)施多步驟攻擊，其破壞程度較無目標(biāo)的攻擊更大。

有針對(duì)性攻擊又分為以下6種類型：

（1）主動(dòng)攻擊。攻擊者主動(dòng)攻擊網(wǎng)絡(luò)安全防線。主動(dòng)攻擊的方式為修改或創(chuàng)建錯(cuò)誤的數(shù)據(jù)流，主要攻擊形式有假冒、重放、篡改消息和使網(wǎng)絡(luò)拒絕服務(wù)等。

（2）被動(dòng)攻擊。攻擊者監(jiān)視相關(guān)信息流以獲得某些信息。被動(dòng)攻擊基于網(wǎng)絡(luò)跟蹤通信鏈路或系統(tǒng)，用秘密抓取數(shù)據(jù)的木馬程序代替系統(tǒng)部件。

（3）物理攻擊。未被授權(quán)者在物理上接入網(wǎng)絡(luò)、系統(tǒng)或設(shè)備，以達(dá)到修改、收集信息或使網(wǎng)絡(luò)拒絕訪問的目的。

（4）內(nèi)部攻擊。被授權(quán)修改信息安全處理系統(tǒng)，或具有直接訪問信息安全處理系統(tǒng)權(quán)力的內(nèi)部人員，主動(dòng)傳播非法獲取的信息。

（5）邊界攻擊。網(wǎng)絡(luò)邊界由路由器、防火墻、入侵檢測(cè)系統(tǒng)（IDS）、虛擬專用網(wǎng)（VPN、DMZ）和被屏蔽的子網(wǎng)等硬件和軟件組成。硬件的操作系統(tǒng)與其他軟件一樣存在安全漏洞，攻擊者可利用操作系統(tǒng)漏洞，繞過已知安全協(xié)議達(dá)到攻擊的目的。

（6）持續(xù)性威脅。商業(yè)間諜組織可能會(huì)通過“釣魚手法”進(jìn)行攻擊。如以“某某船公司2020中期戰(zhàn)略企劃書”為關(guān)鍵詞投放電子誘餌，通過文檔追蹤工具進(jìn)行精準(zhǔn)定位，誘騙受害人打開附件或點(diǎn)擊郵件鏈接從而入侵或破壞其信息系統(tǒng)。

3 船岸網(wǎng)絡(luò)中易受攻擊的系統(tǒng)

船岸網(wǎng)絡(luò)中易受攻擊的系統(tǒng)有綜合船橋和電子海圖系統(tǒng)、配載儀和船舶維修保養(yǎng)系統(tǒng)、主機(jī)遙控和能效系統(tǒng)、保安限制區(qū)域閉路電視監(jiān)控系統(tǒng)和各重點(diǎn)艙室門禁系統(tǒng)、乘員服務(wù)和管理系統(tǒng)、面向船員娛樂的公共網(wǎng)絡(luò)系統(tǒng)、船岸網(wǎng)絡(luò)通信系統(tǒng)、計(jì)算機(jī)操作系統(tǒng)及常用軟件等。

4 船舶網(wǎng)絡(luò)安全配置建議

（1）禁用公網(wǎng)IP，使用URA系統(tǒng)遠(yuǎn)程管理。

（2）修改系統(tǒng)默認(rèn)密碼并使用高強(qiáng)度密碼。

（3）將船岸網(wǎng)絡(luò)操作系統(tǒng)和第三方軟件補(bǔ)丁、病毒特征庫升級(jí)至最新版本。

（4）對(duì)工控網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)、娛樂網(wǎng)絡(luò)實(shí)施網(wǎng)絡(luò)隔離和訪問控制。

（5）通過策略制定公用電腦進(jìn)程白名單，禁用USB接口。

（6）向船員普及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范知識(shí)。

（7）要求設(shè)備供應(yīng)商提供必要的網(wǎng)絡(luò)安全事件應(yīng)對(duì)措施。

（8）不過度依賴遠(yuǎn)程網(wǎng)絡(luò)監(jiān)控技術(shù)，增加現(xiàn)場(chǎng)勘查頻率。

5 網(wǎng)絡(luò)攻擊事件的處置步驟

（1）風(fēng)險(xiǎn)識(shí)別。定義相關(guān)人員的崗位和職責(zé)，確保在日常管理中能夠及時(shí)發(fā)現(xiàn)可疑風(fēng)險(xiǎn)。

（2）事件預(yù)防。制定風(fēng)險(xiǎn)控制流程和應(yīng)急計(jì)劃，降低網(wǎng)絡(luò)風(fēng)險(xiǎn)，防范網(wǎng)絡(luò)攻擊。

（3）事件發(fā)現(xiàn)。檢查已確認(rèn)的網(wǎng)絡(luò)攻擊事件，評(píng)估損失并制定后續(xù)恢復(fù)方案。

（4）事件恢復(fù)。制定計(jì)劃使系統(tǒng)恢復(fù)正常運(yùn)行。

（5）免疫措施。制定措施避免類似網(wǎng)絡(luò)攻擊事件再次發(fā)生。

6 網(wǎng)絡(luò)信息安全團(tuán)隊(duì)崗位職責(zé)

航運(yùn)企業(yè)應(yīng)設(shè)立信息安全官（CISO）崗位，其職責(zé)為：建立船岸網(wǎng)絡(luò)安全團(tuán)隊(duì)并管理成員，牽頭制定全面的船舶網(wǎng)絡(luò)安全應(yīng)急保護(hù)計(jì)劃（CSP），以持續(xù)保障船岸網(wǎng)絡(luò)安全。團(tuán)隊(duì)成員崗位職責(zé)如下：

（1）對(duì)船舶VSAT/FBB設(shè)備端口映射及防火墻規(guī)則進(jìn)行審核、分發(fā)、監(jiān)控，熟悉Infinity、Xchange Box等通信管理系統(tǒng)的后臺(tái)設(shè)置，監(jiān)控船岸網(wǎng)絡(luò)的可疑流量。

（2）對(duì)船岸內(nèi)網(wǎng)信息設(shè)備和辦公電腦軟硬件及時(shí)更新維護(hù)，熟悉GTMailPlus、SkyfileMail、Super- Hub、RYDEX、AmosConnect等軟件操作知識(shí)。

（3）定期優(yōu)化單船拓?fù)浣Y(jié)構(gòu)和更新船岸網(wǎng)絡(luò)病毒特征庫和漏洞補(bǔ)丁庫，不斷完善船岸網(wǎng)絡(luò)信息事故應(yīng)急預(yù)案。

（4）收集供應(yīng)商技術(shù)文件并集中存儲(chǔ)，向設(shè)備和服務(wù)供應(yīng)商提交并跟蹤審核通導(dǎo)信息類設(shè)備保修工單（如KVH、Marlink、GEE、OneNet等）。

（5）跟蹤記錄新造船F(xiàn)BB、銥星移動(dòng)通信系統(tǒng)、VSAT和船載物聯(lián)網(wǎng)設(shè)備安裝調(diào)試情況，審核通信類費(fèi)用憑證。

（6）具備防火墻、路由器、入侵檢測(cè)系統(tǒng)、交換機(jī)的豐富知識(shí)，MacOS、Windows、Linux等3大操作系統(tǒng)及域控、數(shù)據(jù)庫的基礎(chǔ)知識(shí)，并能熟練使用SQL、Crystal Reports提取分析數(shù)據(jù)。

（7）參與船岸網(wǎng)絡(luò)的設(shè)計(jì)開發(fā)和信息系統(tǒng)的迭代開發(fā)，提出必要的安全策略規(guī)范要求。

（8）具備妥善監(jiān)控并處理網(wǎng)絡(luò)安全事件的能力和獨(dú)立撰寫網(wǎng)絡(luò)安全事件調(diào)查報(bào)告的能力，并提出改進(jìn)措施。

7 船岸網(wǎng)絡(luò)信息安全管理目標(biāo)

船岸網(wǎng)絡(luò)信息安全問題從根本上說是人的問題，如何在制度上讓人遵守規(guī)則，如何在技術(shù)上減少或避免人為惡意攻擊，這是船岸網(wǎng)絡(luò)信息安全組織架構(gòu)設(shè)計(jì)的目標(biāo)。船岸網(wǎng)絡(luò)信息安全組織架構(gòu)設(shè)計(jì)的總體目標(biāo)可定義為：針對(duì)船岸網(wǎng)絡(luò)和信息安全需要，構(gòu)建系統(tǒng)的網(wǎng)絡(luò)安全技術(shù)和信息防護(hù)策略及措施，通過制度管理和技術(shù)防范來規(guī)范員工行為，達(dá)到網(wǎng)絡(luò)和信息資產(chǎn)安全可控的目的，最終達(dá)到“外人進(jìn)不來、進(jìn)來看不到、看到拿不走、拿走用不了、操作可追溯”的目的。首席信息安全總監(jiān)的基本職責(zé)是建立船岸網(wǎng)絡(luò)和信息安全團(tuán)隊(duì)并確保團(tuán)隊(duì)成員各司其職。團(tuán)隊(duì)成員既包括企業(yè)內(nèi)部的計(jì)算機(jī)安全專家，也包括企業(yè)外部的資深律師、會(huì)計(jì)師、技術(shù)專家等。

8 經(jīng)驗(yàn)交流

網(wǎng)絡(luò)信息安全對(duì)于大部分人而言比較陌生。在實(shí)踐中，大部分航運(yùn)企業(yè)由總裁辦（行政事務(wù)部）或保密部門負(fù)責(zé)網(wǎng)絡(luò)信息安全，而網(wǎng)絡(luò)信息安全職能又隸屬話語權(quán)不高的IT部門，最終導(dǎo)致企業(yè)網(wǎng)絡(luò)信息安全工作進(jìn)展遲滯，制度實(shí)施緩慢。因此，建議由公司領(lǐng)導(dǎo)牽頭，技術(shù)保障部門負(fù)責(zé)具體實(shí)施。有條件的航運(yùn)公司應(yīng)該定期針對(duì)船岸網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行安全演習(xí)并配置網(wǎng)絡(luò)信息安全設(shè)備，以便當(dāng)船岸網(wǎng)絡(luò)信息系統(tǒng)被攻擊時(shí)，能夠迅速作出應(yīng)急反應(yīng)，盡快恢復(fù)網(wǎng)絡(luò)系統(tǒng)，盡可能挽回?fù)p失。此外，在員工手冊(cè)、船員上船協(xié)議中應(yīng)該賦予航運(yùn)公司相關(guān)職能部門通過技術(shù)手段來防止內(nèi)部威脅的權(quán)力，打擊隱蔽性較強(qiáng)的涉及船岸網(wǎng)絡(luò)的職務(wù)犯罪。

以某航運(yùn)企業(yè)為例，2018年初由公司領(lǐng)導(dǎo)牽頭與某船級(jí)社聯(lián)合成立了船岸網(wǎng)絡(luò)信息安全專項(xiàng)課題組，針對(duì)公司船岸網(wǎng)絡(luò)的特殊性制定了一套通用船舶網(wǎng)絡(luò)安全管理體系，并在超大型集裝箱船試行《船舶網(wǎng)絡(luò)信息安全實(shí)施指南（征求意見稿）》和相關(guān)配套制度，如《船舶網(wǎng)絡(luò)信息資產(chǎn)管理辦法》《船舶VSAT、局域網(wǎng)及防火墻設(shè)置規(guī)范》《船舶網(wǎng)絡(luò)信息安全員崗位職責(zé)》《船員網(wǎng)絡(luò)信息安全應(yīng)知手冊(cè)》等。此外，還對(duì)試點(diǎn)船舶就域控服務(wù)器（解決內(nèi)網(wǎng)信息審計(jì)問題）、KMS激活服務(wù)器（解決操作系統(tǒng)、辦公軟件授權(quán)問題）、自建CA授權(quán)機(jī)構(gòu)頒發(fā)數(shù)字證書（解決SHA256數(shù)據(jù)加密問題）、某開源局域網(wǎng)遠(yuǎn)程管理軟件以及等級(jí)保護(hù)一體機(jī)硬件部署（解決病毒庫、補(bǔ)丁庫離線升級(jí)問題）等項(xiàng)目進(jìn)行技術(shù)驗(yàn)證，為下一步推廣應(yīng)用船岸網(wǎng)絡(luò)信息安全課題研究成果奠定了良好基礎(chǔ)。

9 結(jié) 語

沒有船岸網(wǎng)絡(luò)信息安全就沒有航運(yùn)安全。隨著數(shù)字化航運(yùn)戰(zhàn)略的推進(jìn)，航運(yùn)企業(yè)越來越依賴網(wǎng)絡(luò)信息技術(shù)，網(wǎng)絡(luò)信息安全事關(guān)航運(yùn)企業(yè)根本利益，加強(qiáng)網(wǎng)絡(luò)信息安全建設(shè)，必須通過加強(qiáng)制度建設(shè)和技術(shù)防范，從根本上消除信息安全隱患，促進(jìn)航運(yùn)企業(yè)的發(fā)展。