王 洋

一、背景

美國(guó)海岸警衛(wèi)隊(duì)（USCG）于2020年10月27日發(fā)布了《船舶網(wǎng)絡(luò)風(fēng)險(xiǎn)管理工作須知》，明確了自2021年1月1日起，在港口國(guó)監(jiān)督（PSC） 檢查中關(guān)注網(wǎng)絡(luò)風(fēng)險(xiǎn)管理問題。該須知強(qiáng)調(diào)：港口國(guó)監(jiān)督官員（PSCO）在檢查中若發(fā)現(xiàn)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理未被納入SMS或雖被納入但卻嚴(yán)重違反體系文件規(guī)定，則可開出代碼為30的缺陷并滯留船舶。中國(guó)船級(jí)社（CCS）也于2020年發(fā)布技術(shù)通告——《（2020年）技術(shù)通告第68號(hào)總第502 號(hào)》，要求各公司高度重視國(guó)際海事組織MSC.428（98）號(hào)決議的落實(shí)工作，盡快將網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的內(nèi)容納入公司安全管理體系，并監(jiān)督其在公司和船舶得到有效實(shí)施。

事實(shí)上，網(wǎng)絡(luò)安全威脅已成為航運(yùn)公司面臨的關(guān)鍵風(fēng)險(xiǎn)點(diǎn)。據(jù)公開報(bào)道，2017年6月，航運(yùn)巨頭馬士基因受到勒索病毒攻擊，損失了2億~3億美元。2017年6月，國(guó)際海事組織在MSC96屆大會(huì)上通過并發(fā)布了《海事網(wǎng)絡(luò)風(fēng)險(xiǎn)管理暫行指南》（MSC.1/Circ.1526通函），提出了對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的應(yīng)對(duì)措施。同年7月，CCS發(fā)布《船舶網(wǎng)絡(luò)系統(tǒng)要求及安全評(píng)估指南》，進(jìn)一步規(guī)范了船舶網(wǎng)絡(luò)建設(shè)工作，并對(duì)船舶網(wǎng)絡(luò)安全實(shí)施了有效評(píng)估；2019年又發(fā)布了《海事網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估與管理體系指南》（已于2020年2月1日生效）。IACS、BIMCO等組織也先后發(fā)布了相關(guān)指南。隨著USCG本次通知的發(fā)布，將網(wǎng)絡(luò)風(fēng)險(xiǎn)管理納入PSC檢查內(nèi)容終于正式落地。相信在一段時(shí)間內(nèi)，各國(guó)均會(huì)跟進(jìn)此項(xiàng)工作。

根據(jù)CCS的《海事網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估與管理體系指南》，建立海事網(wǎng)絡(luò)安全體系分為三個(gè)階段，分別為風(fēng)險(xiǎn)評(píng)估、體系建立和體系運(yùn)行，如表1所示。風(fēng)險(xiǎn)評(píng)估依賴于基于海事網(wǎng)絡(luò)調(diào)研的風(fēng)險(xiǎn)識(shí)別，識(shí)別網(wǎng)絡(luò)中的風(fēng)險(xiǎn)點(diǎn)，有針對(duì)性地做出相應(yīng)的改進(jìn)措施并將其制度化，是體系建立的必由之路。

表1 網(wǎng)絡(luò)安全體系建立的三個(gè)階段

二、中遠(yuǎn)海運(yùn)散貨運(yùn)輸有限公司船舶網(wǎng)絡(luò)安全現(xiàn)狀

中遠(yuǎn)海運(yùn)散貨運(yùn)輸有限公司（中遠(yuǎn)海運(yùn)散運(yùn)）船舶局域網(wǎng)建設(shè)得較早，但在設(shè)計(jì)之初并未充分考慮網(wǎng)絡(luò)安全問題，沒有按功能將網(wǎng)絡(luò)劃分為不同的、相互隔離的安全區(qū)域，也缺乏有效的防護(hù)手段，無法滿足新規(guī)范的各項(xiàng)要求。典型的船舶局域網(wǎng)拓?fù)淙鐖D1所示。

圖1 典型船舶局域網(wǎng)拓?fù)鋱D

對(duì)照CCS 2020版的《船舶網(wǎng)絡(luò)系統(tǒng)要求及安全評(píng)估指南》，中遠(yuǎn)海運(yùn)散運(yùn)主要存在以下船舶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)：

1.網(wǎng)絡(luò)未實(shí)現(xiàn)隔離

生產(chǎn)網(wǎng)絡(luò)（駕駛臺(tái)的關(guān)鍵IT系統(tǒng)）與辦公網(wǎng)絡(luò)（工作IT網(wǎng)絡(luò)）未做隔離，船員的娛樂網(wǎng)絡(luò)與生產(chǎn)網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)未做隔離。生產(chǎn)網(wǎng)絡(luò)包括航標(biāo)系統(tǒng)、能效系統(tǒng)（部分船舶有）、CCTV系統(tǒng)、通信報(bào)文系統(tǒng)等，辦公網(wǎng)絡(luò)包括干部船員辦公筆記本、打印機(jī)等，娛樂網(wǎng)絡(luò)包括船員個(gè)人電腦及智能手機(jī)等。

由于歷史原因，船舶的生產(chǎn)網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)并未做嚴(yán)格區(qū)分，建設(shè)之初就堆砌在一起。而隨著VSAT（一種基于通信衛(wèi)星傳輸?shù)木W(wǎng)絡(luò)寬帶）技術(shù)的不斷發(fā)展和應(yīng)用，船員的個(gè)人電腦和智能手機(jī)也逐步接入船舶的娛樂網(wǎng)絡(luò)。這就對(duì)船舶的網(wǎng)絡(luò)安全發(fā)起了更大的挑戰(zhàn)。

各種網(wǎng)絡(luò)設(shè)備混雜在一起、缺乏有效隔離的一個(gè)突出風(fēng)險(xiǎn)就是從網(wǎng)絡(luò)內(nèi)的任意一點(diǎn)均可對(duì)全網(wǎng)發(fā)起（無論是主動(dòng)發(fā)起還是被動(dòng)發(fā)起）黑客或病毒攻擊。

2.網(wǎng)絡(luò)未實(shí)施有效防護(hù)

不論是在各個(gè)網(wǎng)絡(luò)的邊界還是在網(wǎng)內(nèi)的電腦、服務(wù)器，均缺乏有效的防護(hù)手段。絕大多數(shù)船舶的局域網(wǎng)僅部署了簡(jiǎn)單的帶有防火墻功能的路由器，且是防火墻的默認(rèn)功能，并未針對(duì)性地啟用白名單功能——只對(duì)安全的網(wǎng)絡(luò)流量放行。由于防火墻僅能防護(hù)泛洪攻擊（一種在短時(shí)間內(nèi)向目標(biāo)設(shè)備發(fā)送大量的虛假報(bào)文導(dǎo)致目標(biāo)設(shè)備忙于應(yīng)付無用報(bào)文而無法為用戶提供正常服務(wù)的攻擊方式）等少數(shù)攻擊，對(duì)病毒、黑客入侵等高級(jí)攻擊無法防護(hù)。也就是說，各船舶的局域網(wǎng)相當(dāng)于直接不設(shè)防地暴露在互聯(lián)網(wǎng)上。而對(duì)于船上的服務(wù)器、電腦來說，雖然普遍安裝了殺毒軟件，但是由于無法及時(shí)升級(jí)病毒庫(kù)、移動(dòng)U盤未經(jīng)查殺就插入使用等原因，時(shí)常感染病毒，甚至是反復(fù)感染，導(dǎo)致不同種類的病毒并存。筆者就曾經(jīng)在工作中發(fā)現(xiàn)，某輪輪機(jī)長(zhǎng)的辦公電腦上感染了多種病毒（總計(jì)700余個(gè)），可執(zhí)行文件（exe文件）無一幸免，全部中毒。該電腦雖然安裝了殺毒軟件，但是由于病毒庫(kù)未及時(shí)更新，殺毒軟件形同虛設(shè)。

由于船上輪班工作的特點(diǎn)，船上的業(yè)務(wù)系統(tǒng)、辦公電腦大部分使用通用密碼、固定密碼、簡(jiǎn)單密碼，從而導(dǎo)致其安全性極低。

3.網(wǎng)絡(luò)未采用冗余架構(gòu)

不論是網(wǎng)絡(luò)線路還是網(wǎng)內(nèi)設(shè)備，基本都是單線、單機(jī)工作，沒有備份機(jī)制，也沒有容災(zāi)機(jī)制。目前，中遠(yuǎn)海運(yùn)散運(yùn)船舶大部分都安裝了VSAT、FBB（部分船舶是1套，部分船舶有2套）和銥星線路。表面上看有多條通信鏈路，但是由于各套系統(tǒng)均為獨(dú)立線路，因此在日常使用過程中依賴于船員自行根據(jù)信號(hào)情況決定使用某條線路并手動(dòng)切換。由于船員并不具備準(zhǔn)確判斷線路質(zhì)量的能力，導(dǎo)致了在某些情況下雖然有便宜的線路可用，卻仍舊使用了費(fèi)用昂貴的線路。

船舶局域網(wǎng)內(nèi)的服務(wù)器、電腦基本上都是單機(jī)、單硬盤工作，沒有任何備份，一旦損壞，就只能待靠港后更換或者維修。若是硬盤故障，其中存儲(chǔ)的數(shù)據(jù)將徹底丟失?？傮w來看數(shù)據(jù)的安全性非常脆弱。

從上述幾點(diǎn)可以看出，目前中遠(yuǎn)海運(yùn)散運(yùn)多數(shù)船舶的局域網(wǎng)處于高風(fēng)險(xiǎn)狀態(tài)。

三、提高船舶網(wǎng)絡(luò)安全管理水平的措施

CCS《海事網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估與管理體系指南》明確指出，安全措施主要包括技術(shù)型措施和程序型措施。技術(shù)型措施主要通過技術(shù)改造、加裝安全設(shè)備和軟件等方式提升網(wǎng)絡(luò)安全性，程序型措施主要是通過培訓(xùn)、宣貫以及設(shè)置恰當(dāng)?shù)臋?quán)限等方式避免網(wǎng)絡(luò)風(fēng)險(xiǎn)。

從2019年起，中遠(yuǎn)海運(yùn)散運(yùn)根據(jù)CCS 2019版《海事網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估與管理體系指南》和2020版《船舶網(wǎng)絡(luò)系統(tǒng)要求及安全評(píng)估指南》進(jìn)行了大量的探索，并最終選定了A輪、B輪進(jìn)行試驗(yàn)改造。2019版《海事網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估與管理體系指南》主要是從風(fēng)險(xiǎn)識(shí)別、體系建立、體系運(yùn)行三個(gè)環(huán)節(jié)將海事網(wǎng)絡(luò)風(fēng)險(xiǎn)管理納入SMS內(nèi)進(jìn)行指導(dǎo)，對(duì)船舶網(wǎng)絡(luò)系統(tǒng)從硬件到技術(shù)提出了一定的要求；2020版《船舶網(wǎng)絡(luò)系統(tǒng)要求及安全評(píng)估指南》則在技術(shù)層面上對(duì)于前述要求進(jìn)行指導(dǎo)。在A輪、B輪的試驗(yàn)改造中，主要依據(jù)的是2020版《船舶網(wǎng)絡(luò)系統(tǒng)要求及安全評(píng)估指南》。

1.改造前船舶的網(wǎng)絡(luò)拓?fù)?/h3>

A輪、B輪均為典型的建設(shè)得較早的傳統(tǒng)局域網(wǎng)，即航標(biāo)系統(tǒng)、能效系統(tǒng)、CCTV系統(tǒng)、通信電腦、船長(zhǎng)辦公電腦、輪機(jī)長(zhǎng)辦公電腦、政委辦公電腦、大副辦公電腦等均混雜在同一個(gè)局域網(wǎng)內(nèi)；兩輪均加裝了VSAT、FBB、銥星三種通信線路，并在生活區(qū)各層加裝了Wi-Fi天線，船員個(gè)人電腦和智能手機(jī)可以通過分配的VSAT賬號(hào)和VSAT訪問互聯(lián)網(wǎng)，另有配載儀電腦、海圖筆記本不聯(lián)網(wǎng)使用。其改造前的拓?fù)鋱D如圖2所示。

從圖中可以看出，改造前，生產(chǎn)網(wǎng)絡(luò)（航標(biāo)系統(tǒng)、能效系統(tǒng)、CCTV系統(tǒng)、通信電腦）與辦公網(wǎng)絡(luò)（各辦公電腦）直接混雜在同一個(gè)網(wǎng)絡(luò)內(nèi)，而船員的娛樂網(wǎng)絡(luò)（個(gè)人電腦和智能手機(jī)）雖然與生產(chǎn)網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)并未直接處于同一網(wǎng)絡(luò)內(nèi)，但是通過VSAT交換機(jī)互聯(lián)，邊界處卻未做隔離與防護(hù)，而全網(wǎng)的邊界處也沒有任何反入侵、反病毒防護(hù)措施。這在僅有FBB和銥星線路、船岸主要通過郵件通信的時(shí)代，并無不妥。但隨著VSAT的普及，船舶局域網(wǎng)帶寬越來越大，在線時(shí)間越來越長(zhǎng)，日趨接近于公司小型分支機(jī)構(gòu)的網(wǎng)絡(luò)已明顯不合時(shí)宜；同時(shí)，局域網(wǎng)內(nèi)的生產(chǎn)系統(tǒng)均為單機(jī)工作狀態(tài)——航標(biāo)系統(tǒng)為普通商用臺(tái)式機(jī)，能效系統(tǒng)雖然是工控服務(wù)器卻不具備數(shù)據(jù)備份功能?？梢哉f，全網(wǎng)所有的生產(chǎn)系統(tǒng)都極易出現(xiàn)單點(diǎn)故障，無冗余備份。

圖2 改造前的拓?fù)鋱D

2.改造后船舶的網(wǎng)絡(luò)拓?fù)?/h3>

對(duì)照2019版《海事網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估與管理體系指南》中技術(shù)型措施的相關(guān)指導(dǎo)和2020版《船舶網(wǎng)絡(luò)系統(tǒng)要求及安全評(píng)估指南》的要求，我們對(duì)A輪、B輪的網(wǎng)絡(luò)和系統(tǒng)架構(gòu)進(jìn)行了改造。改造后的拓?fù)鋱D如圖3所示。

從圖中可以看出，改造后生產(chǎn)網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)、船員的娛樂網(wǎng)絡(luò)全部從邏輯上進(jìn)行了隔離：生產(chǎn)網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)處于不同的VLAN（虛擬局域網(wǎng)）中，IP地址不在同一網(wǎng)段內(nèi)，能夠有效防止網(wǎng)絡(luò)風(fēng)暴和病毒蔓延，且共同處于UTM（多功能網(wǎng)關(guān)）的保護(hù)之下。該網(wǎng)啟用了IPS（入侵檢測(cè)）、反病毒、防火墻功能，并具有白名單功能——只有指定的安全的業(yè)務(wù)數(shù)據(jù)流量才放行。船員的娛樂網(wǎng)絡(luò)位于UTM外部非信任區(qū)，雖然可以上網(wǎng)，但無法訪問生產(chǎn)網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)。

圖3 改造后的拓?fù)鋱D

在改造中，我們還采用了超融合技術(shù)，以規(guī)避航標(biāo)、能效等關(guān)鍵生產(chǎn)系統(tǒng)的單點(diǎn)故障風(fēng)險(xiǎn)。各系統(tǒng)部署在四節(jié)點(diǎn)的超融合工控服務(wù)器上。該服務(wù)器能夠穩(wěn)定地工作在高濕高鹽、溫差較大的惡劣環(huán)境中，且加裝了UPS（持續(xù)不間斷電源系統(tǒng)）。其最大的特點(diǎn)是具有自愈功能：航標(biāo)、能效等關(guān)鍵生產(chǎn)系統(tǒng)在該服務(wù)器上部署后，任意一個(gè)節(jié)點(diǎn)的軟、硬件故障的發(fā)生，均可以實(shí)時(shí)地將其自動(dòng)地遷移到其他的節(jié)點(diǎn)上，實(shí)現(xiàn)用戶無感知自愈。該服務(wù)器采用最小化授權(quán)原則，即用戶僅可訪問生產(chǎn)系統(tǒng)，無法訪問航標(biāo)、能效操作系統(tǒng)。所有服務(wù)器的維護(hù)均采用岸端技術(shù)人員遠(yuǎn)程操作的形式，一方面降低了船端的維護(hù)量，另一方面也有效地避免了船員誤操作導(dǎo)致的人為損壞。

生產(chǎn)網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)中的服務(wù)器、計(jì)算機(jī)均安裝了統(tǒng)一防護(hù)終端軟件（EDR），并納入船岸一體化防護(hù)策略，可以根據(jù)岸端統(tǒng)一部署的安全策略對(duì)船舶局域網(wǎng)中的網(wǎng)絡(luò)終端進(jìn)行安全防護(hù)。通過UTM的VPN（虛擬專網(wǎng)）功能，開啟了船岸通信隧道，所有的船岸通信均加密傳輸，且岸端可實(shí)時(shí)通過該隧道對(duì)船端進(jìn)行遠(yuǎn)程運(yùn)維和監(jiān)控。部署在船舶局域網(wǎng)最外層的智能路由器，通過預(yù)設(shè)策略，可以進(jìn)行自動(dòng)鏈路選擇——實(shí)時(shí)選擇性價(jià)比最高且可用的線路：當(dāng)VSAT可用時(shí)，優(yōu)先使用VSAT線路；當(dāng)VSAT不可用時(shí)，采用FBB或銥星線路并拒絕除郵件之外的一切流量。

3.改造效果

經(jīng)過對(duì)網(wǎng)絡(luò)和服務(wù)器部署方式的改造，A、B兩輪的網(wǎng)絡(luò)在硬件、技術(shù)上都符合CCS 2020版《船舶網(wǎng)絡(luò)系統(tǒng)要求及安全評(píng)估指南》關(guān)于物理安全、網(wǎng)絡(luò)架構(gòu)、區(qū)域邊界、計(jì)算環(huán)境方面的相關(guān)要求。其對(duì)照關(guān)系如表2所示。

表2 改造措施對(duì)照簡(jiǎn)表

續(xù)表2

從表中可以看出，對(duì)于網(wǎng)絡(luò)安全管理來說，技術(shù)型措施（表中的設(shè)備、技術(shù)）均已符合，但程序型措施尚需進(jìn)一步完善。

四、結(jié)論

船舶網(wǎng)絡(luò)化、智能化已是大勢(shì)所趨，而隨著各國(guó)海事部門對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的認(rèn)識(shí)不斷提升，對(duì)于網(wǎng)絡(luò)安全管理的要求也勢(shì)必愈發(fā)嚴(yán)格。隨著USCG率先將網(wǎng)絡(luò)安全管理納入SMS，各航運(yùn)企業(yè)在船舶網(wǎng)絡(luò)安全管理方面的建設(shè)已由自發(fā)自愿階段進(jìn)入對(duì)照整改階段。為此，要對(duì)安全風(fēng)險(xiǎn)進(jìn)行識(shí)別，并根據(jù)相關(guān)指南采取應(yīng)對(duì)措施進(jìn)行改造。筆者認(rèn)為，借船舶網(wǎng)絡(luò)安全管理納入PSC檢查的契機(jī)，對(duì)船舶網(wǎng)絡(luò)進(jìn)行改造，一方面可以確保船舶網(wǎng)絡(luò)安全，降低滯留風(fēng)險(xiǎn)，另一方面可以為日后的智能船舶建設(shè)奠定堅(jiān)實(shí)基礎(chǔ)，減少重復(fù)建設(shè)和資源浪費(fèi)，可謂一舉多得。

本文在中遠(yuǎn)海運(yùn)散運(yùn)前期試驗(yàn)改造并取得一定成效的基礎(chǔ)上提出一種技術(shù)型措施改造方案。在后續(xù)的網(wǎng)絡(luò)安全管理升級(jí)改造實(shí)踐中，將進(jìn)一步完善程序型措施。