筑牢船舶網絡安全屏障

本刊記者 胥苗苗

船舶網絡空間風險作為一種新的海上安全風險日益受到業界關注，加強網絡風險管理刻不容緩。

近年來，隨著船舶智能化水平的不斷提升，船舶越來越多地處于“在線”狀態，也使其遭受網絡安全威脅的風險逐漸加大，網絡安全成為大家越來越關心的話題。為應對網絡安全的挑戰，國際海事組織（IMO）、國際船級社協會（IACS）、波羅的海航運公會（BIMCO）等組織和機構積極開展海事網絡風險研究。中國船級社（CCS）也在應對網絡安全方面積極作為，幫助船公司構建網絡安全體系以及船舶網絡安全防控技術實操全面發力。

加強船舶網絡安全刻不容緩

從席卷全球的“WannaCry”勒索病毒，到卷土重來的“暗云Ⅲ”病毒，再到升級傳播手段的“Petya”勒索病毒，計算機黑客利用計算機系統、工控系統、網絡系統的漏洞對電力、供水、航運乃至國家部門的通信和網絡系統發起攻擊，因此，快速識別網絡威脅并降低風險變得越發重要，船舶網絡空間風險作為一種新的海上安全風險被海事立法機構、航運業界和船舶工業界所關注，目前各層面已開始采取相應措施加強海事網絡風險管理。

國際海事組織海上安全委員會（MSC）96屆會議通過了《海事網絡風險管理暫行指南》，2017年6月，98屆海安會批準《海事網絡風險管理指南》，并替代了之前的暫行指南，為業界應對船舶網絡安全提供了指導。同時根據第98屆會議通過的《安全管理體系中的海事網絡風險管理》決議，強調了船公司的安全管理體系應結合ISM規則的目標和功能要求考慮網絡風險管理，鼓勵各國政府不遲于2021年1月1日之后的首次DOC初次審核、換證審核或年度審核時，應核查安全管理體系是否包括了網絡風險管理的相關內容，這是國際海事界為應對海事網絡風險開展的實質性行動。國際船級社協會（IACS）方面也積極應對船舶網絡安全，于2015年12月成立第六個專業委員會，目前正在編制有關船舶網絡安全的12份指南。未來，監管船舶網絡安全將成為IACS的第三大支柱性工作，這標志著IACS在船舶安全領域的工作從硬件向軟件方面延伸。

我國于2016年11月7日頒布了《網絡安全法》，并于2017年6月1日起施行。這是我國第一部全面規范網絡空間安全管理方面問題的基礎性法律，是我國網絡空間法治建設的重要里程碑，也是依法治網、化解網絡風險的法律重器。此外，國家標準《網絡安全等級保護基本要求》已于2019年12月1日開始實施，標志著網絡安全等級保護進入2.0時代，適應了云計算、移動互聯、物聯網、工業控制和大數據等新技術、新應用領域網絡安全保護需求。一系列法律和國家標準的相繼出臺，也為船舶網絡安全管理提供了切實的法律保障和根本遵循。與此同時，2019年5月16日，交通運輸部等七部門聯合印發了《智能航運發展指導意見》，對防范智能航運安全風險提出了明確的要求。

近年來，國際和國內行業相關的機構相繼開展了船舶網絡安全的研究，并相繼發布了應對船舶網絡安全風險的指導性文件。為了向行業提供清晰全面的網絡安全風險信息，以助力相關方采取恰當措施，應對網絡威脅事件，波羅的海航運公會（BIMCO）2016年2月發布全球首份《船舶網絡安全指南》（第一版），受到了國際海事界的廣泛關注，隨后BIMCO聯合業界有關航運組織和船公司發布的第三版指南，進一步細化了IMO指南，為業界提供了操作性非常強的指導；與此同時，BIMCO還發布了針對網絡安全的合同條款，明確各方的責任，規避因網絡安全風險帶來的損失。

助力船公司構建網絡安全管理體系

中國船級社（CCS）作為國家船檢主力軍，持續在網絡安全技術與管理體系方面展開研究，為航運企業提供系統的網絡檢測、評估及技術咨詢服務。

為幫助船公司建立海事網絡風險管理體系，CCS依據IMO海上安全委員會在其第98屆會議批準的《海事網絡風險管理指南》（MSCFAL.1/Circ.3）編寫了《海事網絡風險評估與管理體系指南》，為業界執行第98屆會議通過的決議提供指導。該指南于2020年2月1日準時生效。

海事網絡風險管理是船東、管理公司和船舶綜合考慮成本和收益后，通過制定和執行各種措施和計劃，采用規避、轉移、降低或容忍的方式，將網絡風險降低到各方認為可以接受水平的活動過程。當網絡范圍有限時，可采用較為簡潔的方式；當網絡范圍較廣且系統復雜時，應采用更綜合的方案，并盡力尋求業界、主管機關及合作方的支持。CCS出臺的《海事網絡風險評估與管理體系指南》通過介紹海事網絡的基礎知識，提出進行海事網絡風險評估的方法，給出海事網絡管理體系的制定、執行和改進的建議，為業界提供盡可能全面的、有效的、可操作的指南，以便業界根據實際情況在決策前參考，幫助業界保護船舶免于或減少受到當前以及未來的網絡威脅。

據CCS相關專家表示，該指南為建議性指南。指南適用范圍與《國際安全管理（ISM）規則》一致。從海事網絡的角度來講，指南適用船舶網絡及公司網絡中涉及船舶安全管理的部分。如果船舶（尤其是網絡程度化高的船舶）的網絡受到攻擊后會出現船舶被遠程挾持的情況，在執行網絡風險管理時，還需符合《國際船舶和港口設施保安（ISPS）規則》的要求。從操作實踐的角度講，CCS發布的指南建議公司不遲于2021年1月1日之后的首次DOC臨時審核、初次審核、年度審核和換證審核時，完成海事網絡風險管理的實施。同時，指南的相關規定對于不適用《國際安全管理（ISM）規則》的情況，可參照執行。航運業界的各個組織可根據該指南開展網絡風險管理。

海事網絡風險管理是安全管理體系的組成部分，并與之協調一致。對于網絡風險管理中涉及的商業敏感信息或保密的數據，公司應當注意保護，尤其是避免在體系文件中述及。同時，還應注意ISPS規則A部分第8章關于“船舶保安評估”的強制性要求，和ISPS規則B部分第8.4.11條關于“無線電和無線通信系統，包括計算機系統和網絡”的非強制性要求。

CCS專家表示，該指南建議船公司按照三個階段進行體系建設，具體為風險評估、體系建立以及體系運行三個階段。在第一個風險評估階段，船公司需要進行海事網絡調研，識別和熟悉海事網絡連接范圍和特性；進行風險識別，尋找由于海事網絡的使用而產生的風險；進行風險評估，對識別出的風險，進行量化評估。在第二個體系建立階段，船公司需要制定措施，避免和降低風險的發生和危害；制定應急計劃，網絡事件發生后，減少和降低產生的危害；及時響應及恢復，網絡事件發生后，有效響應和恢復的能力。在第三個體系運行階段，船公司需要制定體系，將措施、計劃、響應及恢復納入體系；實施體系，體系發布后，開始實施，并保存相關記錄；改進體系，根據業界信息、反饋和險情等，改進體系。

CCS專家強調，為確保實施效果，在具體實踐中，各相關方應充分考慮船旗國政府的要求，以及相關的國際標準、行業標準和最佳實踐。同時，需要注意的是，海事網絡風險管理應覆蓋從高級管理層到每一位船員或員工。高級管理層應注重采取各種措施將網絡風險意識宣貫到公司的每個層面，并通過有效的反饋機制，確保網絡風險管理能得到持續的運行并被定期評估，從而建立起全面的、有效的、靈活的、可操作的管理體系。

全面提升船舶網絡安全技術防護

在幫助船公司建立網絡安全管理體系的基礎上，CCS還在船舶網絡安全技術防護方面給予船公司技術上的實操指導。早在2017年，CCS就發布了《船舶網絡系統要求及安全評估指南》。據CCS專家介紹，該指南面向船舶網絡系統的設計、實施、運行、退役等環節，為船東、船舶管理公司、系統開發方等提供網絡系統的建設要求，旨在規范船舶網絡的建設工作，針對操作、集成、維護、設計、安全意識、管理水平等方面的風險點對其實施有效評估，使有關的管理人員和技術人員理解船舶網絡安全的重要性，形成綜合提升船舶網絡系統建設水平、威脅防御能力的新觀念，保障船舶網絡環境的穩定性，為智能船舶的功能應用建立基本的條件與保障。該指南從資源、程序及風險三個要素，闡述了船舶網絡系統建設中需滿足的要求。

指南發布后，CCS與船公司合作完成了針對散貨船的首次船舶網絡安全評估工作，此次評估是遵循“指南”開展的首次船舶網絡安全評估檢驗，同時也是國內首次針對船舶網絡安全的評估實踐活動。通過本次評估CCS不僅對指南的有效性與可執行性進行了驗證，同時也完成了對于船舶管理公司軟硬件環境及網絡安全管理水平的摸底調研。在評估過程中，主要從兩個角度來識別網絡風險，一方面從管理要求、規章制度上，企業在管理體系中有關網絡管理的要求，如人員培訓，人員安全意識培養，訪問管理控制等方面；另一方面是技術方面，如網絡端口控制與使用，通信協議及其服務、船舶防火墻、路由器和交換機等網絡設備的配置，電子郵件和網頁瀏覽器的保護、衛星和無線通訊的保護、惡意軟件防護、無線接口的控制、應用軟件的安全性管理、數據恢復能力等方面，另外，與外界有數據傳輸的船舶設備和系統是入侵船舶的通道，通過控制這些通道可以控制船舶，因此對這些系統進行風險分析，識別系統脆弱性，提高船舶風險防御能力。

為了更好地應對及防御網絡安全事件，CCS建議船舶及管理公司從以下幾個具體方面著手，提高船舶防御能力，主要包括：智能船舶在系統設計時，應充分考慮網絡安全的風險管理問題，同時遵循CCS智能船舶規范和CCS船舶網絡系統及安全評估指南的技術要求，合理進行設計；船舶管理公司或航運企業應建立健全船舶網絡安全管理體系；充分利用現代化信息技術對船舶網絡安全進行感知、監測以及應急響應；對船舶網絡安全進行技術防護和安全加固。

2019年，為更好地為船公司提供網絡安全的技術支持，CCS在2017年指南的基礎之上進行了全新改版，針對網絡安全技術實操的指導從原來的十幾項增加到了現在的五十多項，范圍更廣，涉及領域更多，規定更為詳盡，從多個方面為船舶（包括船舶及海上設施）網絡及系統的建設、運維、評估和檢驗提供操作指導，保障船舶網絡及系統具備安全性及必要的威脅防御能力。改版后的指南將于今年3月1日正式上線。

為貫徹落實國家與相關部委關于提升網絡安全的政策和技術要求，CCS在IMO、BIMCO、IACS等海事組織研究成果的基礎上，一直在積極開展船舶網絡安全方面的探索與研究。據了解，CCS籌建船舶網絡安全實驗室，對船舶網絡安全進行風險評估、評測、咨詢、培訓以及跟蹤國內外在船舶網絡安全方面的最新動態、相關技術的研究與應用，為CCS及行業單位提供網絡安全相關服務支持，解決智能船舶發展過程中船舶網絡安全的技術問題。2019年5月8日，CCS級首艘13500TEU智能集裝箱船“中遠海運荷花”輪首次通過了IACS網絡安全建議案整船網絡安全評估后交付使用，CCS為該輪簽發了首份“船舶網絡安全符合證明”，標志著智能船舶發展進入與網絡安全并重的階段。下一步，CCS還將進一步深入開展網絡安全方面的探索，指導企業建立健全網絡安全管理體系，提高防御能力，為智能制造、智慧航運、綠色航運、平安航運持續保駕護航。

歐盟欲推行航運業碳排放配額制度，引發業界強烈反對

近期，歐洲海洋排放報告員、歐洲議會綠黨議員Jutta Paulus起草了一份法規提案，呼吁歐盟從2021年1月開始對使用歐盟港口的船舶實行碳排放配額相關的規定。這項法規將迫使船舶在碳排放限制和交易體系下運營，提高其碳強度表現，并為歐洲海洋脫碳基金作出貢獻。