船舶計算機網(wǎng)絡(luò)系統(tǒng)與網(wǎng)絡(luò)安全管理防護路徑分析

摘要：船舶計算機網(wǎng)絡(luò)系統(tǒng)由于其工作特性，所面臨的風(fēng)險也存在一定特殊性。為進一步提高安全管理效果，優(yōu)化防護路徑，本文從網(wǎng)絡(luò)入侵檢測與防火墻配置、安全風(fēng)險評估系統(tǒng)建設(shè)、通信協(xié)議配置三方面出發(fā)，通過引入蜜罐系統(tǒng)、構(gòu)建基于層次分析法和加權(quán)法的安全風(fēng)險評估系統(tǒng)、應(yīng)用基于IEEE 802.11i協(xié)議和MQTT協(xié)議的通信加密技術(shù)，綜合制定防護方案，并通過系統(tǒng)性能測試、網(wǎng)絡(luò)安全性測試、安全風(fēng)險評估系統(tǒng)測試，驗證了新方案在提升數(shù)據(jù)傳輸安全性、增強系統(tǒng)穩(wěn)定性、應(yīng)對復(fù)雜網(wǎng)絡(luò)安全威脅方面的有效性。測試結(jié)果表明，新方案在網(wǎng)絡(luò)延遲、數(shù)據(jù)吞吐量和攻擊防護能力等方面均顯著優(yōu)于傳統(tǒng)方案，整體風(fēng)險評分大幅降低，能夠有效改善現(xiàn)代船舶計算機網(wǎng)絡(luò)系統(tǒng)運行安全性。

關(guān)鍵詞：船舶計算機網(wǎng)絡(luò)系統(tǒng)；網(wǎng)絡(luò)安全

引言

隨著信息技術(shù)的迅猛發(fā)展，船舶計算機網(wǎng)絡(luò)系統(tǒng)在現(xiàn)代船舶運營中的作用日益重要。然而，船舶網(wǎng)絡(luò)系統(tǒng)面臨的安全威脅也日益復(fù)雜多樣，傳統(tǒng)的網(wǎng)絡(luò)安全防護措施已難以應(yīng)對當(dāng)前的挑戰(zhàn)。現(xiàn)代船舶依賴于計算機網(wǎng)絡(luò)系統(tǒng)進行導(dǎo)航、通信、監(jiān)控、管理，任何安全漏洞都可能導(dǎo)致嚴重的航行事故，并產(chǎn)生經(jīng)濟損失?；诖?，研究通過開發(fā)高效、可靠的網(wǎng)絡(luò)安全防護技術(shù)十分有必要，以此改善船舶網(wǎng)絡(luò)系統(tǒng)安全威脅，為相關(guān)技術(shù)的發(fā)展提供科學(xué)依據(jù)。

1. 船舶計算機網(wǎng)絡(luò)系統(tǒng)安全威脅分析

1.1 常見網(wǎng)絡(luò)安全威脅

船舶計算機網(wǎng)絡(luò)系統(tǒng)面臨的主要安全威脅包括網(wǎng)絡(luò)入侵、病毒與惡意軟件。網(wǎng)絡(luò)入侵通過系統(tǒng)漏洞、弱密碼或社會工程學(xué)手段非法訪問系統(tǒng)，可能導(dǎo)致導(dǎo)航和通信系統(tǒng)癱瘓，影響航行安全。病毒和惡意軟件通過惡意郵件或下載文件傳播，破壞系統(tǒng)、篡改數(shù)據(jù)或竊取信息，導(dǎo)致系統(tǒng)崩潰、數(shù)據(jù)泄露或運營中斷。

1.2 船舶特定網(wǎng)絡(luò)安全威脅

船舶特定的網(wǎng)絡(luò)安全威脅包括GPS（global positioning system，全球定位系統(tǒng)）欺騙攻擊、AIS（automatic identification system，自動識別系統(tǒng)）攻擊和通信終端干擾。GPS欺騙通過虛假信號使導(dǎo)航系統(tǒng)接收錯誤信息，可能導(dǎo)致航線偏離、碰撞或擱淺。AIS攻擊通過偽造信號篡改船舶位置信息，干擾海上交通管理，可能引發(fā)交通擁堵或安全事故。通信終端干擾通過無線電干擾或信號阻塞中斷通信，影響航行指令傳達。為防范這些威脅，須采用抗干擾技術(shù)、加密通信和多重驗證等措施。

2. 網(wǎng)絡(luò)安全管理防護路徑分析

2.1 網(wǎng)絡(luò)入侵檢測與防火墻配置

網(wǎng)絡(luò)入侵檢測方面，研究對現(xiàn)有系統(tǒng)進行優(yōu)化，部署蜜罐系統(tǒng)，其功能在于創(chuàng)建虛擬的易受攻擊系統(tǒng)，誘使攻擊者發(fā)起攻擊，并在攻擊過程中收集詳細的日志、數(shù)據(jù)[1]。蜜罐系統(tǒng)能夠識別網(wǎng)絡(luò)掃描、漏洞利用、惡意軟件傳播等多種攻擊形式，提供早期預(yù)警，并有助于制定針對性的防護策略。技術(shù)應(yīng)用具體原理為：設(shè)蜜罐系統(tǒng)中的誘餌主機數(shù)量為，每臺誘餌主機的日志記錄為Li，其中t=1，2，...，n。每個日志記錄包含多種數(shù)據(jù)項，如時間戳t、攻擊源IP、目標(biāo)端口Pdst、攻擊類型Atype等。定義攻擊行為集合A為A｛（t，IPsrc，Pdst，Atyoe）｜i=1，2，…，n｝，通過分析集合A中的模式與頻率，可以識別常見攻擊手法，并利用數(shù)據(jù)挖掘技術(shù)提取特征用于防御策略優(yōu)化。

在防火墻配置方面，須配置訪問控制列表（ACL），定義允許與拒絕的流量規(guī)則。ACL應(yīng)根據(jù)船舶網(wǎng)絡(luò)的具體需求，嚴格限制進出網(wǎng)絡(luò)的數(shù)據(jù)包，確保只有授權(quán)的通信能夠通過。具體配置原理為：設(shè)網(wǎng)絡(luò)中的流量為F，流量中的每個數(shù)據(jù)包包含源地址IPSTC、目的地址IPdst、端口號P、協(xié)議類型T，訪問控制列表ACL定義為一組規(guī)則R，每條規(guī)則包含允許或拒絕的條件，如式（1）：

（1）

每條規(guī)則Rj定義如（2）：

（2）

式中，a表示“allow”或“deny”，每個數(shù)據(jù)包只有滿足某條規(guī)則Rj的允許條件時，才能通過防火墻，否則會被拒絕。

在此基礎(chǔ)上啟用狀態(tài)檢測功能，跟蹤網(wǎng)絡(luò)連接的狀態(tài)信息，識別并阻止異常連接請求。狀態(tài)檢測通過記錄與分析每個連接的狀態(tài)，能夠有效防御TCP/IP協(xié)議棧攻擊。在狀態(tài)檢測表T中，包含所有活動的連接狀態(tài)，如式（3）：

（3）

此外，防火墻配置還應(yīng)包括包過濾規(guī)則，基于數(shù)據(jù)包的源地址、目的地址、端口號、協(xié)議類型進行過濾，阻止?jié)撛诘墓袅髁窟M入網(wǎng)絡(luò)[2]。結(jié)合蜜罐系統(tǒng)的入侵檢測與防火墻的多層次配置，可以有效提升船舶計算機網(wǎng)絡(luò)的安全性，防止各種形式的網(wǎng)絡(luò)攻擊。

2.2 特定安全威脅應(yīng)對策略

2.2.1 安全風(fēng)險評估系統(tǒng)結(jié)構(gòu)說明

針對特定安全威脅，此次研究通過構(gòu)建船舶安全風(fēng)險評估云計算平臺，采用層次分析法（AHP）和加權(quán)平均法（WA）建立評估模型。平臺分為五個層次：數(shù)據(jù)采集層、數(shù)據(jù)預(yù)處理層、數(shù)據(jù)分析層、應(yīng)用服務(wù)層、展示層，具體如下：

（1）數(shù)據(jù)采集層——通過多種手段（如Corbe采集、視頻采集、人工輸入等）收集船舶運營中的各類數(shù)據(jù)，包括業(yè)務(wù)庫、配置庫、日志庫、附件庫等。

（2）數(shù)據(jù)處理層——對收集的數(shù)據(jù)進行清洗、轉(zhuǎn)換、集成，形成可用的元數(shù)據(jù)集。

（3）數(shù)據(jù)分析層——是平臺的核心，通過評估指標(biāo)體系構(gòu)建、評估模型構(gòu)建、數(shù)據(jù)挖掘技術(shù)以及數(shù)據(jù)分析技術(shù)，對預(yù)處理后的數(shù)據(jù)進行深入分析。

（4）應(yīng)用服務(wù)層——提供查詢與分析服務(wù)、用戶與權(quán)限服務(wù)、搜索引擎服務(wù)等功能，通過界面組件與視頻組件，實現(xiàn)對評估結(jié)果的可視化展示[3]。

（5）展示層——包括個性化定義、故障分析、評估結(jié)果可視化等模塊，使用戶能夠直觀地了解船舶安全風(fēng)險評估結(jié)果與相關(guān)分析。

2.2.2 安全風(fēng)險評估系統(tǒng)建設(shè)過程

安全風(fēng)險評估系統(tǒng)建設(shè)主要依賴層次分析法，構(gòu)建評估指標(biāo)體系，將復(fù)雜的安全評估問題分解為多個層次與因素，逐級進行比較，并分配權(quán)重。過程如下：

（1）建立層次結(jié)構(gòu)模型：將安全風(fēng)險評估問題分解為目標(biāo)層、準(zhǔn)則層、方案層。目標(biāo)層為總目標(biāo)，即船舶安全風(fēng)險評估；準(zhǔn)則層包括各類風(fēng)險因素，如網(wǎng)絡(luò)入侵、病毒攻擊、GPS欺騙、AIS攻擊等；方案層為各風(fēng)險因素具體評估指標(biāo)。

（2）構(gòu)建判斷矩陣：對準(zhǔn)則層、方案層的各因素進行兩兩比較，確定它們在各自層次中的相對重要性，構(gòu)建判斷矩陣A=[aij]，其中aij表示因素i與j因素的相對重要性[4]。

（3）計算權(quán)重向量：通過計算判斷矩陣的特征向量，確定各因素的權(quán)重。先進行矩陣歸一化處理，如式（4）：

（4）

式中，aij'表示歸一化后的判斷矩陣元素，表示因素i與j相對重要性歸一化值。

再計算歸一化矩陣的特征向量W，如式（5）：

（5）

式中，W表示權(quán)重向量；n表示矩陣維度。

（4）一致性檢驗：對判斷矩陣進行一致性檢驗，確保判斷矩陣的合理性與一致性。計算一致性比率CR，如式（6）：

（6）

式中，CI表示一致性指數(shù)，用于判斷矩陣的偏差程度；RI表示隨機一致性指標(biāo)，當(dāng)CR＜0.1時，判斷矩陣具有一致性。

（5）加權(quán)平均法進行最終風(fēng)險評估，如式（7）：

（7）

式中，S為最終評估結(jié)果；wi表示第i個指標(biāo)權(quán)重；xi表示第i個指標(biāo)具體數(shù)值[5]。

通過構(gòu)建船舶安全風(fēng)險評估云計算平臺，利用層次分析法與加權(quán)平均法，能夠系統(tǒng)化、精確化地評估船舶面臨的各類安全風(fēng)險，為制定有效的安全防護策略提供科學(xué)依據(jù)。

2.2.3 通信安全加密技術(shù)

本次設(shè)計采用更為綜合且靈活的加密策略，通過結(jié)合IEEE 802.11i協(xié)議與實時數(shù)據(jù)通信協(xié)議，不僅提升數(shù)據(jù)傳輸?shù)陌踩?，還增強系統(tǒng)的穩(wěn)定性與實時性，確保船舶通信網(wǎng)絡(luò)的全方位保護[6]。該協(xié)議采用高級加密標(biāo)準(zhǔn)（AES）進行加密，并通過802.1X認證框架實現(xiàn)端到端的安全性。具體步驟如下：

（1）身份驗證：利用802.1X協(xié)議，通過RADIUS服務(wù)器驗證客戶端身份。

（2）密鑰管理：通過四次握手協(xié)議生成并分發(fā)臨時密鑰（TKIP）[7-9]。

（3）數(shù)據(jù)加密：使用AES對數(shù)據(jù)進行加密，確保數(shù)據(jù)的機密性。

（4）完整性保護：通過消息完整性代碼（MIC）防止數(shù)據(jù)包被篡改。

IEEE 802.11i協(xié)議通過上述步驟確保無線通信的安全性，防止未授權(quán)訪問與數(shù)據(jù)篡改，保障船舶網(wǎng)絡(luò)系統(tǒng)的通信安amYHbr1QBQXyb/bX0eznUQ==全[10-11]。

除了IEEE 802.11i協(xié)議外，研究還引入MQTT輕量級的發(fā)布/訂閱消息傳輸協(xié)議，廣泛應(yīng)用于物聯(lián)網(wǎng)（IoT）設(shè)備間的實時通信，適用于帶寬有限或不穩(wěn)定的網(wǎng)絡(luò)環(huán)境，適合船舶網(wǎng)絡(luò)系統(tǒng)中的實時數(shù)據(jù)通信需求。其特點如表1所示。

3. 性能測試與分析

本次性能測試在一艘配備綜合計算機網(wǎng)絡(luò)系統(tǒng)的大型商用船舶上進行。該船舶網(wǎng)絡(luò)系統(tǒng)包括導(dǎo)航、通信、監(jiān)控和管理系統(tǒng)，采用多項優(yōu)化措施，包括網(wǎng)絡(luò)架構(gòu)調(diào)整、硬件升級以及新通信協(xié)議的應(yīng)用，如IEEE 802.11i和MQTT協(xié)議。測試分為三個階段：系統(tǒng)性能測試、網(wǎng)絡(luò)安全性測試和安全風(fēng)險評估系統(tǒng)測試。

在系統(tǒng)性能測試中，測試網(wǎng)絡(luò)延遲和吞吐量，此次測試吞吐量主要用于船舶主控制室的核心交換機與船橋?qū)Ш较到y(tǒng)。測試結(jié)果如表2所示。

性能測試結(jié)果表明，優(yōu)化后的系統(tǒng)網(wǎng)絡(luò)延遲保持在5ms以內(nèi)，數(shù)據(jù)吞吐量達到1Gbps，這一結(jié)果主要由于將核心交換機從1Gbps端口升級到10Gbps端口，并升級了網(wǎng)絡(luò)線纜，在多項優(yōu)化促使條件下有效提高數(shù)據(jù)吞吐量。研究還使用iperf3工具進行了30min的持續(xù)測試，在不同時間段和網(wǎng)絡(luò)負載下都能穩(wěn)定達到接近1Gbps的吞吐量。網(wǎng)絡(luò)安全性測試中，研究模擬DDoS攻擊、MITM攻擊和惡意軟件植入等攻擊，驗證了系統(tǒng)防護能力。

結(jié)語

本文對船舶計算機網(wǎng)絡(luò)系統(tǒng)安全防護路徑的優(yōu)化研究，通過引入蜜罐技術(shù)、構(gòu)建安全風(fēng)險評估系統(tǒng)、引入IEEE 802.11i協(xié)議與MQTT協(xié)議，能夠有效預(yù)防安全風(fēng)險問題，提高網(wǎng)絡(luò)系統(tǒng)運行效率和質(zhì)量，保證系統(tǒng)能夠快速響應(yīng)，減小控制誤差，嚴防惡意軟件攻擊。

參考文獻：

[1]王棟耀.“5G+工業(yè)互聯(lián)網(wǎng)”賦能船舶建造數(shù)字化轉(zhuǎn)型[J].船舶標(biāo)準(zhǔn)化工程師，2024，57（4）：5-9.

[2]韓佳霖，楊奕廷.國際海事組織海上安全委員會第108屆會議簡報[J].世界海運，2024，47（6）：1-6，10.

[3]凌海生.船舶交通數(shù)據(jù)實時傳輸可靠性評估系統(tǒng)[J].艦船科學(xué)技術(shù)，2024， 46（11）：165-168.

[4]涂芳，周華濤.基于人工智能的船舶故障檢測結(jié)果智能推薦系統(tǒng)[J].艦船科學(xué)技術(shù)，2024，46（11）：173-176.

[5]李尚偉.船舶信息系統(tǒng)的設(shè)計及研究[J].船電技術(shù)，2024，44（6）：1-5.

[6]熊先華，賓進寬，姜飛.基于卷積神經(jīng)網(wǎng)絡(luò)的過閘船舶越限識別方式[J].西部交通科技，2024（5）：186-189.

[7]桑家軍，嚴忠偉.智能船舶對船舶保險條款的適用性研究[J].中國海事，2024（5）： 21-24.

[8]索雙武，劉學(xué)良，李永杰，等.船員異常行為識別與分析方法策略及應(yīng)用[J].珠江水運，2024（9）：99-103.

[9]屈寶莉，薛云.水上交通運輸網(wǎng)絡(luò)規(guī)劃與優(yōu)化研究[J].珠江水運，2024（9）：79-81.

[10]謝金濤，許曉賦.AES算法的通信網(wǎng)絡(luò)防御數(shù)據(jù)全同態(tài)加密方法[J].三明學(xué)院學(xué)報，2021，38（3）：32-37，91.

[11]雷福寶，高娜，孟臘梅.基于固定密文長度的船舶通信加密控制方案[J].科技風(fēng)，2020（7）：106，126.

作者簡介：賴顯凌，本科，工程師，Kai_shui@hotmail.com，研究方向：船舶系統(tǒng)安全。