海上網絡安全：航運與船舶工業的跨界挑戰

中船重工第七一四研究所海事研究中心 吳笑風 許 攸

海上網絡安全：航運與船舶工業的跨界挑戰

中船重工第七一四研究所海事研究中心 吳笑風 許 攸

隨著整個航運系統的信息化和智能化程度加深，以及E-航海、智慧海洋等戰略的實施，IMO對海上網絡安全問題的關注很有可能會逐步向岸基設施進而向整個航運產業鏈擴展。

目前，船舶智能化風暴正深刻影響著航運業和造船業，它對航運業上下游整條產業鏈——研發、制造、運營等都帶來了巨大變革，并創造出新的價值。不可否認，智能化在帶給業界巨大便利、創造新的價值的同時，船舶的安全邊際也在不斷外延，其中網絡安全就對航運和船舶工業的未來發展提出了巨大挑戰。

網絡空間威脅正不斷加劇

近年來，信息技術革命在全球范圍內如火如荼，為工業界各領域帶來深刻的變革。在裝備制造業中，大量基于信息化的生產和服務手段被有機地集成到產品的整個生命周期中。同時，產品本身的信息化和智能化程度提升也對產品的制造和運營服務模式提出了更高的要求。在英國勞氏船級社等機構發布的《全球海洋技術趨勢2030》和DNV GL發布的《航運業的未來》報告中，智能船舶都被列為未來船舶和海洋領域的關鍵趨勢之一。

隨著信息化和智能化時代的來臨，網絡空間風險作為一種新的海上安全風險被海事立法機構和船舶工業界所關注。網絡安保公司CyberKeel研究表明，造成海上網絡攻擊的主要動機包括四類：直接盜取金錢、（非法）移動船只、竊取數據資料、造成航期延誤。如2011年8月，伊朗航運公司受到網絡攻擊，大量貨物清單、貨物號、送貨日期和地點等信息流失，遭受了巨大的損失；2012年，伊朗位于波斯灣的油氣開采平臺間的通訊系統受到網絡攻擊，直接促使伊朗當局斥巨資加強網絡防御能力；2011年至2013年間，荷蘭毒販通過入侵集裝箱運輸系統在南美和比利時間偷運可卡因；澳大利亞海關也曾查獲通過入侵航運物流信息系統實施違法行為的案件……

“不存在對網絡威脅自然免疫的信息系統”，是網絡安全領域中的一條論斷。在信息化和智能化的大背景下，各工業行業都開始采取技術和管理手段應對網絡安全威脅。著名信息安全咨詢公司NCC Group針對日益嚴峻的海上網絡安全風險曾指出：海上網絡攻擊的潛在損失包括收益損失、環境破壞甚至人員傷亡，因此有必要制定并應用一系列行動指南或標準作為防護手段，還應對海上信息系統、網絡、硬件設備、軟件等進行安全測試，將網絡安全因素納入相關設備和系統的生命周期中。

海事界開始行動

隨著信息化和智能化時代的來臨，網絡空間風險作為一種新的海上安全風險被海事立法機構和船舶工業界所關注。

國際海事組織（IMO）曾在海上安全委員會（MSC）第95屆會議對網絡安全問題進行了初步討論，明確提出了國際海事業界需要引起對網絡空間威脅的重視并做出適當響應。2016年2月，波羅的海航運公會（BIMCO）發布了全球首部《船載網絡安全指南》，受到了海事業界的廣泛關注。IMO各成員國和國際組織在MSC96屆會議上經過熱烈討論后達成共識，一致認為應對網絡空間威脅已成為國際海事界面臨的長期挑戰。2016年6月，IMO以通函形式正式發布了《海上網絡風險管理臨時導則》，作為指導船東和船員進行船載網絡風險管理的頂層管理指南。在MSC97屆會議上，有代表團建議IMO考慮針對網絡空間安全管理問題制定強制性的行動計劃。但最終大會討論認為目前的工作重點應集中在對現有臨時性導則的研究、理解和實施。而在這期間，多個國家和航運組織、業界組織都針對網絡安全問題開展了專門研究。

在剛剛結束的MSC98屆會議上，各國再次關注對網絡安全管理相關文件的強制性問題，并討論了將網絡風險管理納入安全管理體系的問題。對此，大會進行了熱烈討論，并在工作組中對相關提案進行了詳細審議。多達39個國家代表團、2個政府間國際組織及13個非政府組織觀察員代表參與了工作組工作。海事界一致認為海事網絡風險管理已成為緊迫需要，有必要通過IMO提高各國對海事網絡安全的意識，保障海事活動的安全和高效。基于此，IMO將發布決議，在維持相關文件非強制性的基礎上，進一步提出提升應對海上網絡風險意識的手段。

工業標準仍缺失

相比于海事界，船舶工業界在應對網絡威脅的方面響應有所滯后。雖然海事界已經發布了多份規范性文件，但由于關注點不同，各類規范性文件只能在整個航運系統中的特定環節發揮有限的作用。例如，IMO臨時性導則更多面向主管機關、船東、船舶運營商的管理方面；航運組織的指南性文件注重船舶運營中的操作方面。而從船舶工業角度來看，目前還沒有規范性的技術手段對船載網絡系統的安全性進行評估和管理的方法。因此，須考慮不同規則的作用域差異及互補方式。工業標準是這一規范體系中的重要組成部分。

廣泛地看，在關于網絡和信息安全的工業標準中，國際標準化組織（ISO）和國際電工組織（IEC）聯合發布的ISO/IEC27000系列標準具有較強的影響力。ISO/IEC 27000是專門為信息安全管理體系發布的一系列相關標準的總稱，主要包含基本要求和支持性指南、認證認可和審核指南、面向行業的信息安全管理要求三類國際標準。目前，在一些行業門類中已有基于ISO/IEC27000系列標準編制專用信息安全管理標準的案例，但在船舶海洋工業領域的網絡安全標準仍處于空白狀態。此外，ISO31000《風險管理原則和實施導則》提供了通用的風險管理辦法，可為船舶網絡風險管理提供參考。

正是基于此，自MSC96屆會議后，ISO/TC8（船舶與海洋技術委員會）開啟了船載網絡安全管理和風險評估的初步研究。這也充分體現了ISO/TC8一直以來“超前和及時響應IMO和市場需求、緊跟技術趨勢”的思路。ISO/TC8的網絡安全標準側重于為信息化設備廠商、系統集成商等工業界主體提供參考。目前，中國、美國、日本、英國、丹麥等國家表現出了對船載網絡安全問題的高度關注并有所參與。對于國內設備廠商和系統集成商而言，積極布局，在產品生命周期中融入對網絡安全手段的考量，在加強安全技術研發的同時，積極參與到相關的標準和國際規則制定中，對未來市場競爭力的提升將具有促進作用。

同時值得注意的是，盡管目前國際海事界對于網絡安全問題的關注點仍集中于船舶自身，但隨著整個航運系統的信息化和智能化程度加深，以及E-航海、智慧海洋等戰略的實施，IMO對海上網絡安全問題的關注很有可能會逐步向岸基設施進而向整個航運產業鏈擴展。網絡安全將成為名副其實的“跨界挑戰”。