船岸網(wǎng)絡(luò)信息安全管理

孫輝

【摘 要】 為保障航運企業(yè)船岸網(wǎng)絡(luò)信息安全，維護航運企業(yè)利益，分析船岸網(wǎng)絡(luò)安全現(xiàn)狀，總結(jié)常見的網(wǎng)絡(luò)攻擊形式和安全漏洞，歸納處理網(wǎng)絡(luò)攻擊事件的基本步驟，提出船岸網(wǎng)絡(luò)安全管理目標(biāo)和安全團隊成員崗位職責(zé)，并結(jié)合具體案例分析船岸網(wǎng)絡(luò)信息安全管理的應(yīng)用，為航運企業(yè)做好船岸網(wǎng)絡(luò)信息安全工作提出建議。

【關(guān)鍵詞】 船岸網(wǎng)絡(luò);信息安全;航運企業(yè)

0 引 言

一些航運企業(yè)已開始實施“數(shù)字化+互聯(lián)網(wǎng)”戰(zhàn)略，船舶運營參數(shù)及管理量化指標(biāo)被轉(zhuǎn)移至信息更加透明的互聯(lián)網(wǎng)平臺，船舶所有人可以通過互聯(lián)網(wǎng)平臺隨時隨地查看船舶動態(tài)。航運企業(yè)將船舶全權(quán)委托給第三方船舶管理公司管理，并通過互聯(lián)網(wǎng)平臺監(jiān)控船舶動態(tài)。這種管理模式帶來一個全新的課題：船岸網(wǎng)絡(luò)信息化程度越高，信息系統(tǒng)遭受攻擊導(dǎo)致數(shù)據(jù)泄露的風(fēng)險越大。近年來已發(fā)生多起船員個人信息泄露導(dǎo)致的詐騙案件。這些個人信息泄露的源頭是船舶管理公司的信息系統(tǒng)。信息泄露會給個人造成損失，而信息系統(tǒng)遭受病毒攻擊則會給航運企業(yè)造成巨大損失。因此，信息安全對航運企業(yè)而言極為重要。

1 船岸網(wǎng)絡(luò)管理現(xiàn)狀

船岸網(wǎng)絡(luò)技術(shù)的發(fā)展非常迅速，特別是海上衛(wèi)星通信服務(wù)商提供的海上高速網(wǎng)絡(luò)在資費下降后極大地提高了船舶與管理方、服務(wù)供應(yīng)商、租船人和船舶所有人/經(jīng)營人之間的信息交換頻率。海上高速網(wǎng)絡(luò)的普及給信息安全帶來更大的隱患。網(wǎng)絡(luò)沒有物理界限，任何具有網(wǎng)絡(luò)攻防知識并熟悉船舶扁平化網(wǎng)絡(luò)架構(gòu)的人或組織都可以通過Shodan搜索引擎獲得相關(guān)信息，對船岸網(wǎng)絡(luò)實施遠程攻擊。通過對衛(wèi)星通信服務(wù)商IP地址段批量掃描發(fā)現(xiàn)：眾多安裝VSAT、FBB設(shè)備的船舶未加安全措施就向公網(wǎng)開放了21/80/445/3389等弱口令TCP、UDP端口;供應(yīng)商為節(jié)約成本、方便遠程維護管理，將Cobham、KVH CommBox、Inmarsat、Marlink等產(chǎn)品內(nèi)建的管理后臺映射到外網(wǎng);絕大部分船舶沒有配置專業(yè)的硬件防火墻，岸基管理人員缺乏專業(yè)技能，最終導(dǎo)致船舶網(wǎng)絡(luò)安全得不到保障。

要做好船岸網(wǎng)絡(luò)安全工作，首先要了解船岸網(wǎng)絡(luò)設(shè)備運行機制和原理。船舶內(nèi)網(wǎng)GPS、ECDIS、主機監(jiān)控系統(tǒng)服務(wù)器等多網(wǎng)卡設(shè)備既通過串口總線和CANBUS、MODBUS等協(xié)議控制舵機、智能電站及壓載水調(diào)平系統(tǒng)等設(shè)備，又通過網(wǎng)卡和SNMP、NMEA等協(xié)議進行網(wǎng)絡(luò)通信，從而形成了一個可以網(wǎng)絡(luò)遠程控制的船舶物聯(lián)網(wǎng)。由于某些船用通信協(xié)議存在設(shè)計缺陷，例如NMEA 0183協(xié)議通過明文傳輸，缺乏加密、身份認(rèn)證和校驗機制，為實施網(wǎng)絡(luò)攻擊制造了機會――攻擊者只需遠程更改一兩個字符就可以命令船舶轉(zhuǎn)向。

2 常見的網(wǎng)絡(luò)攻擊方式

廣義上對船岸網(wǎng)絡(luò)的攻擊主要有兩類：（1）無目標(biāo)的攻擊。岸基或船舶內(nèi)網(wǎng)操作系統(tǒng)和第三方軟件漏洞是潛在受攻擊目標(biāo)之一，攻擊者利用0day漏洞進行廣撒網(wǎng)式的無差別化攻擊，近幾年馬士基航運集團和中遠海運集運北美公司遭遇的網(wǎng)絡(luò)攻擊屬于此類。（2）有針對性的攻擊。攻擊者將某船岸信息系統(tǒng)設(shè)定為滲透目標(biāo)，利用專門開發(fā)的繞過技術(shù)和工具躲避網(wǎng)絡(luò)防御機制（如震網(wǎng)病毒事件），實施多步驟攻擊，其破壞程度較無目標(biāo)的攻擊更大。

有針對性攻擊又分為以下6種類型：

（1）主動攻擊。攻擊者主動攻擊網(wǎng)絡(luò)安全防線。主動攻擊的方式為修改或創(chuàng)建錯誤的數(shù)據(jù)流，主要攻擊形式有假冒、重放、篡改消息和使網(wǎng)絡(luò)拒絕服務(wù)等。

（2）被動攻擊。攻擊者監(jiān)視相關(guān)信息流以獲得某些信息。被動攻擊基于網(wǎng)絡(luò)跟蹤通信鏈路或系統(tǒng)，用秘密抓取數(shù)據(jù)的木馬程序代替系統(tǒng)部件。

（3）物理攻擊。未被授權(quán)者在物理上接入網(wǎng)絡(luò)、系統(tǒng)或設(shè)備，以達到修改、收集信息或使網(wǎng)絡(luò)拒絕訪問的目的。

（4）內(nèi)部攻擊。被授權(quán)修改信息安全處理系統(tǒng)，或具有直接訪問信息安全處理系統(tǒng)權(quán)力的內(nèi)部人員，主動傳播非法獲取的信息。

（5）邊界攻擊。網(wǎng)絡(luò)邊界由路由器、防火墻、入侵檢測系統(tǒng)（IDS）、虛擬專用網(wǎng)（VPN、DMZ）和被屏蔽的子網(wǎng)等硬件和軟件組成。硬件的操作系統(tǒng)與其他軟件一樣存在安全漏洞，攻擊者可利用操作系統(tǒng)漏洞，繞過已知安全協(xié)議達到攻擊的目的。

（6）持續(xù)性威脅。商業(yè)間諜組織可能會通過“釣魚手法”進行攻擊。如以“某某船公司2020中期戰(zhàn)略企劃書”為關(guān)鍵詞投放電子誘餌，通過文檔追蹤工具進行精準(zhǔn)定位，誘騙受害人打開附件或點擊郵件鏈接從而入侵或破壞其信息系統(tǒng)。

3 船岸網(wǎng)絡(luò)中易受攻擊的系統(tǒng)

船岸網(wǎng)絡(luò)中易受攻擊的系統(tǒng)有綜合船橋和電子海圖系統(tǒng)、配載儀和船舶維修保養(yǎng)系統(tǒng)、主機遙控和能效系統(tǒng)、保安限制區(qū)域閉路電視監(jiān)控系統(tǒng)和各重點艙室門禁系統(tǒng)、乘員服務(wù)和管理系統(tǒng)、面向船員娛樂的公共網(wǎng)絡(luò)系統(tǒng)、船岸網(wǎng)絡(luò)通信系統(tǒng)、計算機操作系統(tǒng)及常用軟件等。

4 船舶網(wǎng)絡(luò)安全配置建議

（1）禁用公網(wǎng)IP，使用URA系統(tǒng)遠程管理。

（2）修改系統(tǒng)默認(rèn)密碼并使用高強度密碼。

（3）將船岸網(wǎng)絡(luò)操作系統(tǒng)和第三方軟件補丁、病毒特征庫升級至最新版本。

（4）對工控網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)、娛樂網(wǎng)絡(luò)實施網(wǎng)絡(luò)隔離和訪問控制。

（5）通過策略制定公用電腦進程白名單，禁用USB接口。

（6）向船員普及網(wǎng)絡(luò)安全風(fēng)險防范知識。

（7）要求設(shè)備供應(yīng)商提供必要的網(wǎng)絡(luò)安全事件應(yīng)對措施。

（8）不過度依賴遠程網(wǎng)絡(luò)監(jiān)控技術(shù)，增加現(xiàn)場勘查頻率。

5 網(wǎng)絡(luò)攻擊事件的處置步驟

（1）風(fēng)險識別。定義相關(guān)人員的崗位和職責(zé)，確保在日常管理中能夠及時發(fā)現(xiàn)可疑風(fēng)險。

（2）事件預(yù)防。制定風(fēng)險控制流程和應(yīng)急計劃，降低網(wǎng)絡(luò)風(fēng)險，防范網(wǎng)絡(luò)攻擊。

（3）事件發(fā)現(xiàn)。檢查已確認(rèn)的網(wǎng)絡(luò)攻擊事件，評估損失并制定后續(xù)恢復(fù)方案。

（4）事件恢復(fù)。制定計劃使系統(tǒng)恢復(fù)正常運行。

（5）免疫措施。制定措施避免類似網(wǎng)絡(luò)攻擊事件再次發(fā)生。

6 網(wǎng)絡(luò)信息安全團隊崗位職責(zé)

航運企業(yè)應(yīng)設(shè)立信息安全官（CISO）崗位，其職責(zé)為：建立船岸網(wǎng)絡(luò)安全團隊并管理成員，牽頭制定全面的船舶網(wǎng)絡(luò)安全應(yīng)急保護計劃（CSP），以持續(xù)保障船岸網(wǎng)絡(luò)安全。團隊成員崗位職責(zé)如下：

（1）對船舶VSAT/FBB設(shè)備端口映射及防火墻規(guī)則進行審核、分發(fā)、監(jiān)控，熟悉Infinity、Xchange Box等通信管理系統(tǒng)的后臺設(shè)置，監(jiān)控船岸網(wǎng)絡(luò)的可疑流量。

（2）對船岸內(nèi)網(wǎng)信息設(shè)備和辦公電腦軟硬件及時更新維護，熟悉GTMailPlus、SkyfileMail、Super- Hub、RYDEX、AmosConnect等軟件操作知識。

（3）定期優(yōu)化單船拓?fù)浣Y(jié)構(gòu)和更新船岸網(wǎng)絡(luò)病毒特征庫和漏洞補丁庫，不斷完善船岸網(wǎng)絡(luò)信息事故應(yīng)急預(yù)案。

（4）收集供應(yīng)商技術(shù)文件并集中存儲，向設(shè)備和服務(wù)供應(yīng)商提交并跟蹤審核通導(dǎo)信息類設(shè)備保修工單（如KVH、Marlink、GEE、OneNet等）。

（5）跟蹤記錄新造船F(xiàn)BB、銥星移動通信系統(tǒng)、VSAT和船載物聯(lián)網(wǎng)設(shè)備安裝調(diào)試情況，審核通信類費用憑證。

（6）具備防火墻、路由器、入侵檢測系統(tǒng)、交換機的豐富知識，MacOS、Windows、Linux等3大操作系統(tǒng)及域控、數(shù)據(jù)庫的基礎(chǔ)知識，并能熟練使用SQL、Crystal Reports提取分析數(shù)據(jù)。

（7）參與船岸網(wǎng)絡(luò)的設(shè)計開發(fā)和信息系統(tǒng)的迭代開發(fā)，提出必要的安全策略規(guī)范要求。

（8）具備妥善監(jiān)控并處理網(wǎng)絡(luò)安全事件的能力和獨立撰寫網(wǎng)絡(luò)安全事件調(diào)查報告的能力，并提出改進措施。

7 船岸網(wǎng)絡(luò)信息安全管理目標(biāo)

船岸網(wǎng)絡(luò)信息安全問題從根本上說是人的問題，如何在制度上讓人遵守規(guī)則，如何在技術(shù)上減少或避免人為惡意攻擊，這是船岸網(wǎng)絡(luò)信息安全組織架構(gòu)設(shè)計的目標(biāo)。船岸網(wǎng)絡(luò)信息安全組織架構(gòu)設(shè)計的總體目標(biāo)可定義為：針對船岸網(wǎng)絡(luò)和信息安全需要，構(gòu)建系統(tǒng)的網(wǎng)絡(luò)安全技術(shù)和信息防護策略及措施，通過制度管理和技術(shù)防范來規(guī)范員工行為，達到網(wǎng)絡(luò)和信息資產(chǎn)安全可控的目的，最終達到“外人進不來、進來看不到、看到拿不走、拿走用不了、操作可追溯”的目的。首席信息安全總監(jiān)的基本職責(zé)是建立船岸網(wǎng)絡(luò)和信息安全團隊并確保團隊成員各司其職。團隊成員既包括企業(yè)內(nèi)部的計算機安全專家，也包括企業(yè)外部的資深律師、會計師、技術(shù)專家等。

8 經(jīng)驗交流

網(wǎng)絡(luò)信息安全對于大部分人而言比較陌生。在實踐中，大部分航運企業(yè)由總裁辦（行政事務(wù)部）或保密部門負(fù)責(zé)網(wǎng)絡(luò)信息安全，而網(wǎng)絡(luò)信息安全職能又隸屬話語權(quán)不高的IT部門，最終導(dǎo)致企業(yè)網(wǎng)絡(luò)信息安全工作進展遲滯，制度實施緩慢。因此，建議由公司領(lǐng)導(dǎo)牽頭，技術(shù)保障部門負(fù)責(zé)具體實施。有條件的航運公司應(yīng)該定期針對船岸網(wǎng)絡(luò)信息系統(tǒng)進行安全演習(xí)并配置網(wǎng)絡(luò)信息安全設(shè)備，以便當(dāng)船岸網(wǎng)絡(luò)信息系統(tǒng)被攻擊時，能夠迅速作出應(yīng)急反應(yīng)，盡快恢復(fù)網(wǎng)絡(luò)系統(tǒng)，盡可能挽回?fù)p失。此外，在員工手冊、船員上船協(xié)議中應(yīng)該賦予航運公司相關(guān)職能部門通過技術(shù)手段來防止內(nèi)部威脅的權(quán)力，打擊隱蔽性較強的涉及船岸網(wǎng)絡(luò)的職務(wù)犯罪。

以某航運企業(yè)為例，2018年初由公司領(lǐng)導(dǎo)牽頭與某船級社聯(lián)合成立了船岸網(wǎng)絡(luò)信息安全專項課題組，針對公司船岸網(wǎng)絡(luò)的特殊性制定了一套通用船舶網(wǎng)絡(luò)安全管理體系，并在超大型集裝箱船試行《船舶網(wǎng)絡(luò)信息安全實施指南（征求意見稿）》和相關(guān)配套制度，如《船舶網(wǎng)絡(luò)信息資產(chǎn)管理辦法》《船舶VSAT、局域網(wǎng)及防火墻設(shè)置規(guī)范》《船舶網(wǎng)絡(luò)信息安全員崗位職責(zé)》《船員網(wǎng)絡(luò)信息安全應(yīng)知手冊》等。此外，還對試點船舶就域控服務(wù)器（解決內(nèi)網(wǎng)信息審計問題）、KMS激活服務(wù)器（解決操作系統(tǒng)、辦公軟件授權(quán)問題）、自建CA授權(quán)機構(gòu)頒發(fā)數(shù)字證書（解決SHA256數(shù)據(jù)加密問題）、某開源局域網(wǎng)遠程管理軟件以及等級保護一體機硬件部署（解決病毒庫、補丁庫離線升級問題）等項目進行技術(shù)驗證，為下一步推廣應(yīng)用船岸網(wǎng)絡(luò)信息安全課題研究成果奠定了良好基礎(chǔ)。

9 結(jié) 語

沒有船岸網(wǎng)絡(luò)信息安全就沒有航運安全。隨著數(shù)字化航運戰(zhàn)略的推進，航運企業(yè)越來越依賴網(wǎng)絡(luò)信息技術(shù)，網(wǎng)絡(luò)信息安全事關(guān)航運企業(yè)根本利益，加強網(wǎng)絡(luò)信息安全建設(shè)，必須通過加強制度建設(shè)和技術(shù)防范，從根本上消除信息安全隱患，促進航運企業(yè)的發(fā)展。