我國航海保障網絡安全工作淺析

文/交通運輸部北海航海保障中心 李建平

中國交通通信信息中心 王勝

21世紀，人類進入了大規模開發利用海洋的時期，海洋在國家經濟發展格局和對外開放中的作用更加重要，在維護國家主權、安全、發展利益中的地位更加突出，在國家生態文明建設中的角色更加顯著。中共中央政治局在2017年7月30日下午就建設海洋強國研究進行第八次集體學習，中共中央總書記習近平在主持學習時強調，建設海洋強國是中國特色社會主義事業的重要組成部分，是中華民族永續發展、走向世界強國的必由之路。航海保障事業是海洋強國戰略中必不可少的一部分，2014年國務院印發《關于促進海運業健康發展的若干意見》，促進海運業健康發展上升為國家戰略。

交通運輸部北海航海保障中心作為我國北方海區的航海保障單位，主要承擔轄區范圍內航標建設養護、港口航道測量繪圖、水上安全通信以及航海保障應急處置等技術支持與服務保障職責，為海事行政執法、航海保障經濟發展及其他海洋活動提供綜合航海保障服務。北海航海保障中心認真貫徹落實黨的十九大精神，進一步整合航標、測繪、通信業務和各種航海保障資源，通過構建內部綜合管理和對外保障服務平臺，加快形成以“信息全面、裝備先進、反應快速、服務高效”為特征的綜合航海保障體系，為北方海區航海保障經濟發展提供綜合性航海保障服務。

“互聯網+”技術正在引發通信信息技術的快速更新，加快推進移動互聯網信息化建設，是適應“智慧交通”建設的必然要求，是提升航海保障對外服務水平的有效途徑，也是推動航海保障轉型發展的重要支撐，航海保障工作正在面臨著移動化、網絡化和智能化的新局面，我國航海保障信息化水平不僅是衡量我國海上保障力量的標志，也成為國家和地區現代化程度的重要標志。同時隨著我國經濟的復蘇，海洋強國戰略的提出，對北方海區航海保障工作提出了更高的要求。航海保障信息化作為航海保障工作的重要支撐，將在綜合航海保障體系建設和航海保障工作機制完善中發揮不可替代作用。

航海保障工作需要運用信息和通信技術手段，結合移動互聯網技術，整合航海保障工作的各類公共服務數據信息，實現了對航海保障數據的統一管理，提升航海保障公共服務能力。交通運輸部提出了加快推進“四個交通”的戰略部署，其中，綜合交通是核心，智慧交通是關鍵，綠色交通是引領，平安交通是基礎。在服務“四個交通”建設的進程中，必須更加注重發揮水上交通安全保障與綜合助航服務職能，做好水上綜合信息服務，有效防治船舶污染、保護水域環境，借助“互聯網+航海保障”以及不斷發展的信息化手段，不斷提升航海保證事業應急安全保障能力，確保轄區水上交通安全。

航海保障信息化作為航海保障工作的重要支撐，將在綜合航海保障體系建設和航海保障工作機制完善中發揮不可替代作用。我國航海保障事業信息化水平是衡量航海保障現代化發展水平的重要標志，解決北海航保中心各種信息數據在信息傳輸、信息系統建設、信息服務等各類環節中遇到的威脅，確保信息安全，加強網絡與信息系統安全防護，建立長效可行的安全防護機制勢在必行，對于我國航海保障信息化事業具有重要意義。

近年來，我國海事信息化發展勢頭迅猛，已逐漸成為國外“網絡黑客”關注的攻擊目標之一。由于航海保障工作信息化水平的不斷提高，并且我國航海保障中心存儲各種港口航道測量信息、船只水上航路信息、船只水上通訊信息、應急處置信息、應急救援物資信息等大量重要、敏感、機密信息，同時我國航海保障工作又缺乏對網絡安全的風險意識，所以成為了黑客的理想攻擊對象。境外敵對勢力多次對我國海事機構、海域建設部門、科研院所和航海保障企業發起有組織有預謀的網絡攻擊，該黑客組織被命名為“海蓮花(OceanLotus)”,自2012年4月起,有針對性的對我國開展具有精密組織的網絡攻擊,很明顯是一個有國外政府支持的APT(高級持續性威脅)行動。網絡攻擊導致的嚴重的后果，不僅會影響業務受理和辦理，還會影響設備運轉，涉及大量的數據資產安全，甚至對整個海上運輸系統產生威脅。

通過近年境外敵對勢力利用漏洞信息輕易的對我國航海保障事業進行各種破壞打擊工作，攻擊者利用SQL漏洞可向系統數據庫提交惡意數據，得到有效數據結果，進而查看數據庫中敏感數據；利用該漏洞在網頁里嵌入惡意代碼，進行資料竊取、滲透入侵、網頁掛馬和蠕蟲病毒傳播；利用弱口令直接獲取服務器權限，對網站系統文章內容進行隨意更改；利用授權訪問漏洞，普通用戶可繞過站點身份驗證，直接訪問后臺并進行操作，獲得操作控制權限，造成信息泄露等等

網絡攻擊對于我國航海保障信息化事業影響巨大，如不加以正視，勢必會嚴重影響我國航海保障信息化事業的發展，甚至會影響我國的國家安全。面對境外勢力的攻擊我們并非束手無策，我國當前航海保障領域的網絡安全及信息化工作可以從如下幾方面進行統籌考慮：

1、提升人員安全意識

當前數字經濟高速發展的背景下，互聯網、大數據時代，航海保障工作所產生的各種數據應被看作是資產或資源的一部分加以保護。不能心存僥幸，攻擊無時無刻不在發生，無時不刻不在進行，攻擊對抗工作沒有懈怠可言。在研究中發現，很多工作人員對于系統本身安全防護意識不高、對于信息系統數據保護意識不強造成。因此加大投入信息安全費用，不能有信息化預算只為業務系統開發服務的狹隘思想。增強管理者的自身的安全意識，明確對信息系統的安全防護是非常必要的。

2、加快交通運輸行業航海保障領域的頂層設計

雖然國家以及部級層面出臺一些相關法律規定，但是針對我國海上航海保障領域網絡安全及信息化發展的文件仍然比較少，文件具有宏觀指導意義，缺少可落地執行的文件。在研究國外相關法律法規的基礎上可以看出，我國航海保障事業應借鑒國外優秀經驗，取其精華去其糟粕，盡早制定一部切實可行的文件，指導我國航海保障網絡安全及信息化工作。

3、加強網絡安全防護技術

隨著我國海上強國戰略的不斷實施，航海保障事業的不斷發展，針對我國網絡攻擊近些年來呈現上升趨勢，目前而言，境外敵對勢力具有組織強、技術強、手段強等特點，我們應該完善行業網絡安全防護技術，提高網絡安全防護水平，著重提高系統安全防護能力。數據傳輸和存儲過程中，可以根據數據的重要程度，分別采用不同的措施進行加密，并采用防火墻技術，隔離加固保護數據的安全。航海保障業信息化需求有自身的特點，用戶通常有固定的地理分布和時段特點，船舶通過海事衛星傳輸的數據有特定的類型等，針對這些特點，我們應當選取適當的技術手段來實現網絡應用安全。

[1]交通運輸部海事局，第一次全國海事系統信息化工作會議報告，2003

[2]徐婷婷、陳永劍，浙江海事信息化發展及趨勢研究[J]，水運工程，2009(08)

[3]袁宗祥，關于海事信息化發展的幾點思考[J]，中國海事，2011(01)

[4]盧道琦，航海保障信息化發展策略探討[N]，信息系統工程，2014.5.20

[5]盧道琦，北方海區航海保障信息化發展策略研究[D]，天津大學，2013

[6]中國交通通信信息中心，交通運輸部北海航海保障中心信息系統運行監測報告，2017

[7]楊磊，移動互聯網時代航海保障工作的發展[N]，電子技術與軟件工程