郵輪網絡安全關注要點

中船郵輪科技發展有限公司 李 凱 林 麟 董良志

2020年4月10日，世界第二大集裝箱航運公司地中海航運MSC于日內瓦的總部數據中心遭遇黑客惡意軟件攻擊。2020年5月19日，世界最大的船舶管理公司之一中英船管Anglo-Eastern官方網站被發現不能打開。后經確認，這家管理著600多艘船舶的世界級航運公司遭到了勒索軟件的攻擊，但好在事態很快就被控制，并沒有發生數據丟失。

網絡威脅正把目標從陸地轉向海洋，從IT系統轉向OT系統。對于航運業，尤其是郵輪行業，新型網絡病毒的防御已經成為迫切的需求，網絡威脅的應對已迫在眉睫。

網絡威脅特點

伴隨著科技的進步，網絡威脅也呈現出新的特點，不僅新的惡意軟件和厲害的黑客不斷增加，威脅的主體也從傳統信息技術系統延伸到操作技術系統，生產環境和關鍵基礎設施也成為了網絡攻擊的目標。信息技術系統和操作技術系統從系統運行的環境、要求和面對的風險都存在巨大的差異（如下表），也要求技術人員提供更有針對性的安全解決方案。

操作技術系統包含直接監視，控制物理設備及進程的硬件和軟件。IT涵蓋了信息處理的技術范圍，包括軟件、硬件和通信技術等。傳統上，操作技術系統和信息技術系統是分離的，但隨著互聯網的出現，操作技術系統和信息技術系統的界限已經變的越來越模糊。

郵輪面臨的網絡威脅

郵輪面臨的網絡安全風險，不僅涉及到信息技術系統，還涉及到操作技術系統，這也給郵輪的網絡安全服務帶來了一定的挑戰。

綜合橋樓系統。隨著數字化和網絡化導航系統的使用日益增多，以及用于系統服務和更新的船岸間網絡接口的增加，該系統受到網絡攻擊的危險性也隨之增加。沒有連接到網絡的橋樓系統也面臨著同樣的威脅，因為移動介質（U盤、光盤、移動硬盤等）常被用來從其他受控或非受控網絡更新系統。網絡威脅可以通過影響服務的操作，進而影響與橋樓系統相關的系統和設備，包括ECDIS、GNSS、AIS、VDR和ARPA等。

通信導航系統。郵輪的通信導航系統包含大量的電子設備，例如GPS、測深儀、電子海圖和雷達等，這些設備終端提供的數據為郵輪的安全航行提供支持，保證了郵輪的安全航行。攻擊者可以通過篡改相關的數據，直接影響郵輪航線的制定，造成碰撞和擱淺等風險。

機艙監控、推進控制和電站管理等系統。使用數字化系統來監測和控制郵輪設備、推進和操舵等功能，使得這些系統也容易受到網絡攻擊。當這些系統具有遠程監控的功能或與通信導航系統相連接，那么這更增加了系統遭受網絡攻擊的危險。

門禁控制系統。數字化的門禁系統在郵輪上的應用越來越廣泛，用于管理乘客房間訪問，以確保郵輪上乘客人身和財產安全。該系統被連接到安全管理平臺，也增加了遭受網絡攻擊的危險。

酒店管理系統。郵輪的酒店管理系統，具有酒店管理、乘客消費、乘客登離船控制等功能，儲存了乘客的姓名、年齡、護照、銀行卡等大量的私人信息。為了滿足財務管理的需要，該系統一般被連接到岸上網絡，這就給網絡襲擊提供了可能。同時，智能終端設備(平板電腦、手持掃描儀等)也可以作為一個攻擊途徑，具有遭受網絡襲擊的潛在威脅。

乘客網絡通信系統。郵輪上為了提高乘客的娛樂體驗，布置了網絡通信系統，乘客不僅可以使用電子設備通過內部局域網相互交流，也可以連接到外部通信網絡，這都增加了郵輪的安全隱患。在郵輪上安裝的連接到互聯網的固定或無線網絡，應該被認為是不受控制的，并且不應該與郵輪上的任何安全關鍵系統相連接。

郵輪上配備了大量的計算機，分別布置在駕駛室、集控室、會議室、酒店前臺等區域，用于郵輪的日常管理，更新ISM體系文件，船岸間的溝通，記錄和更新PMS信息，存儲乘客信息，存儲郵輪營銷數據等。在遭遇網絡威脅后，這些數據都有被竊取、篡改和刪除的風險。不法分子以此進行敲詐勒索，出售郵輪公司運營數據等商業機密，不僅給郵輪公司的運營帶來潛在的風險，并且給乘客的個人信息泄露帶來隱患。

郵輪的自動化程度越來越高，涉及到郵輪上設備的監測、控制和保護等各方面的功能，并控制著郵輪的安全操縱和安全航行。在遭受網絡襲擊后，攻擊者可以偽造數據信息，給設備提供錯誤的信號，進而影響郵輪的正常航行，甚至造成設備損壞和人員傷亡。

隨著大量新技術在郵輪上應用，包括智能艙室、遠程遙控和遠程診斷等技術在郵輪上推廣，攻擊者將會更容易通過網絡漏洞，直接影響到郵輪的安全航行和乘客的生命安全。

保護措施

郵輪的安全解決方案需要考慮到它所面對的特殊風險，在物理保護、實時監控和人員培訓等多方面采取應對措施。

1、物理保護

郵輪的網絡安全依賴于郵輪IT和OT系統的設計和配備，網絡接口和物理網絡的控制是網絡安全管理的核心，在郵輪的建造階段就需要合理的考慮郵輪網絡的布置和控制措施，并通過合理的布置，降低網絡威脅發生的等級。

1） 物理鋪設

郵輪網絡建造應該仔細考慮網絡的物理布局，尤其是要考慮基本網絡設備的物理位置，包括服務器、交換機、防火墻和電纜等。這將有助于限制不安全的訪問和維護網絡的物理安全，控制網絡的接入點。

2） 網絡管理

任何網絡設計都需要考慮管理網絡內的基礎設施，在向網絡提供文件共享、電子郵件和其它服務的專用工作站和服務器上安裝網絡管理軟件。

3） 網絡隔離

通常情況下，船上的網絡應該具有以下功能：

·OT設備之間的必要溝通

·OT設備的配置和監控

·實現船上行政管理和商業目標，包括電子郵件、共享與業務相關的文件或文件夾(IT網絡)

·為船上的船員、乘客和訪客提供娛樂互聯網接入

有效的網絡隔離是“縱深防御”的關鍵環節，OT、IT、辦公網絡及公共網絡應以適當的保護措施隔離。采用的措施可包括：

·船上網絡和互聯網之間設置外圍防火墻

·每個網段間設置網絡交換機

·每個網段間設置內部防火墻

·建立虛擬局域網管理分割的域

4） 設備選擇

為了實現最高級別的安全，每個網絡可以使用不同的硬件交換機。這將減少攻擊者因錯誤配置或獲取交換機配置而在網絡間跳轉的機會。

2、實時監控

了解網絡的狀態，監控和管理郵輪的IT和OT系統，檢測任何未經授權的數據流量，可以在網絡襲擊的前期就發現相關的線索。

網絡入侵檢測系統(IDS)或入侵保護系統(IPS)可以向系統管理員實時警告網絡系統受到的任何攻擊。IDS和IPS檢查數據流量、入口點或兩者同時檢查以識別已知威脅或拒絕不符合安全策略的流量。同時，可以在面向internet的部分放置傳感器，因為公共服務器是攻擊者的可見目標。另一個傳感器放置在防火墻后面，以監視internet和內部網絡之間的通信。

3、人員培訓

人為因素永遠是網絡安全重要的一環，人的行為可以保護IT和OT系統，但也可能因為粗心大意造成了惡意軟件的傳播，引發網絡安全事件。例如使用移動介質在系統之間傳輸數據，而沒有采取預防措施。網絡安全相關人員包括：

·郵輪的船員，包括船長、輪機長等高級船員和普通船員

·岸基支持人員，為郵輪提供岸基管理和支持的人員

·其他人員，包括代理、船檢、碼頭工作人員和PSC等

應為網絡安全相關的人員進行網絡安全意識和基本技能的相關培訓，培訓應關注：

·與電子郵件相關的風險和安全的操作行為，例如釣魚攻擊就是用戶點擊一個危險鏈接，登錄惡意網站

·與互聯網使用相關的風險，包括社交媒體、聊天論壇和基于云的文件存儲。在這些地方，數據移動受到較少的控制和監控

·與使用自有設備相關的風險，這些設備可能缺少安全補丁和控制，并且可能將風險轉移到它們所連接的環境中

·在硬件上使用受感染的存儲設備（移動硬盤等）安裝和維護軟件的相關風險

·與安全措施不到位的數據或軟件有關的風險，包括沒有進行病毒檢查或沒有真實性驗證

·保護用戶信息、密碼和數字證書

·與非船上操作人員有關的網絡風險，例如第三方技術人員在沒有監督的情況下對設備進行操作

·發現可疑活動或設備，以及如何報告可能的網絡事件。例如通常不可見的奇怪連接，或者有人插入了船舶網絡上的未知設備

·意識到網絡事件對郵輪安全和操作的后果或影響

·了解如何實施預防性維護程序，如防病毒和防惡意軟件、補丁、備份以及事件響應計劃和測試

·在連接到船舶系統之前防止來自服務提供商可移動介質的風險的程序

此外，相關人員應該知道計算機被入侵的跡象，包括系統響應速度變得遲鈍，意外的密碼更改，程序中出現的意外錯誤，郵件意外的被退回，頻繁的系統崩潰等。

代理、港口和碼頭工作人員等訪客在登船時應限制電腦的訪問。禁止未經授權進入敏感的OT網絡電腦。如果需要并允許訪問者訪問某個網絡，則應該根據用戶權限加以限制。

4、程序制定

IMO決議MSC.428(98)將網絡威脅定義為特定威脅，要求公司應盡可能像處理可能影響船舶安全運行和環境保護的任何其它風險一樣處理網絡威脅。

網絡安全管理應成為船舶安全管理體系的內在組成部分，制定相應的安全管理程序和應急反應程序，并應涉及到公司和船上的各級人員，包括岸上管理人員和各級船上人員。具體內容包括：

·確定相關人員的責任和授權

·開展關于網絡安全培訓的程序

·識別突然故障可能導致危險情況發生的設備和系統

·風險評估程序，對可能引發事故的操作開展風險評估，并采取措施，把風險控制在公司可以接受的范圍內

·識別影響郵輪、人員和環境安全的關鍵操作

·制定應急計劃，當郵輪因網絡事件而受損時，迅速采取措施，恢復郵輪操作和服務的程序

·對于郵輪上出現的影響網絡安全的事件的報告程序

·維護和提升郵輪網絡安全系統可靠性的程序，包括軟件維護

·維護和測試船舶設備和系統的備份安排的程序

5、風險評估

雖然風險評估主要關注物理世界，但是物理世界和數字世界現在是交織在一起的。公司需要評估郵輪上運行IT和OT系統產生的風險，并通過ISM規則和SMS體系建立基于風險評估的保護措施，以防范網絡安全事件的發生。公司網絡風險管理計劃和程序應考慮到ISM規范和ISPS規范中現有的安全風險管理要求。

每個郵輪公司都具有自己特點，包括它的營業額、船隊情況、市場占有率、目標旅客群體、不同的旅游產品和定位等，這些特點決定了每個郵輪公司所能承受的風險等級，以及為降低風險等級所采取措施的花費都不盡相同。這就要求郵輪公司根據自己的特點制訂適合自己的風險評估策略。風險評估需要考慮到以下幾點：

·考慮對郵輪操作、安全和環境保護重要的系統

·確定負責制定網絡政策、程序和執行監控的人員

·考慮哪些遠程訪問使用多重防御層，哪些網絡應該從互聯網斷開

·考慮需要培訓的人員

網絡威脅的危害需要綜合考慮機密性、完整性和可靠性因素，這些因素的相對重要性取決于信息或數據的使用情況。例如，評估與商業操作相關的IT系統的漏洞可能關注機密性和完整性，而不是可靠性。相反，評估船上OT系統的脆弱性，特別是關鍵安全系統，可能關注可靠性和完整性，而不是機密性。

6、系統恢復

系統恢復能力是指從安全副本恢復系統或數據的能力，從而允許恢復干凈的系統。郵輪建造期間，應給必要的信息和軟件提供足夠的備份安排，以幫助確保網絡事故后的恢復。

應確定保留期和恢復場景，以確定哪些關鍵系統需要快速恢復功能以減少影響，具有高數據可用性要求的系統應該具有彈性。OT系統對郵輪的安全航行和操作至關重要，它應該有后備系統，使郵輪在網絡襲擊后能夠快速、安全地恢復航行和操作能力。

郵輪的網絡安全解決方案需要綜合考慮乘客的娛樂需求、網絡的安全需求、郵輪的運營需求三方面因素，在保證網絡安全的前提下，又不會影響到乘客的網絡娛樂體驗和郵輪的運營管理。這就要求把物理保護、實時監控、程序制定、人員培訓、風險評估和系統恢復幾大措施積極融入到事前預防、事中應對和事后恢復三個環節，在郵輪網絡襲擊前構筑三道防線，做到把發生網絡襲擊的可能性降到最低，網絡襲擊發生后的損失降到最低，給乘客一個安全放心的假期。