船舶網絡安全領域主要國際標準分析

吳笑風，石 瑤，岳 宏，馮書桓

（中國船舶信息中心，北京 100101）

0 引言

近年來，信息和通信技術（Information and Communication Technology，簡稱：ICT）為工業界各領域帶來深刻的變革。ICT的廣泛和深度應用使得工業產品（特別是復雜產品，如高端裝備等）有能力獲得、存儲和傳輸更多數據和信息，同時也為產品和服務的運營模式帶來了更多可能。作為傳統行業，船舶工業和航運業在“智能時代”中正在經歷產品特性和生產經營模式上的深刻變革，面臨前所未有的新考驗。

對先進ICT的依賴使信息系統的安全脆弱性在“智能時代”的大量網絡化的信息傳輸過程中可能被暴露出來。安聯公司一項于2018年開展的調查項目顯示，網絡安全風險在全球工業界所公認的重大威脅中的排名已升至第2位，而5年前的排名是第15位，甚至已經有11個國家已將網絡風險列為首要風險。英國勞氏船級社的研究也認為網絡安全已經成為了全球性的普遍問題。英國勞式船級社在2017年曾發布報告，在航運業中有44%的航運公司認為需要升級信息系統，其中的大多數已實際遭受了網絡攻擊。這不僅已經成為業界中迫在眉睫的實際問題，同時也成為船舶與航運智能化和自主化發展的核心問題之一。以自主船舶為例，有研究針對其經濟效益進行分析，認為無人化的船舶運營可帶來高達90%的成本節約。但實際上這一估算并沒有考慮因網絡安全事件所導致的潛在損失。

提升網絡安全管理水平和風險防范意識已經在諸多工業門類中成為共識，特別在“智能革命”的背景下，高效的信息互聯互通、云計算云服務的擴展應用都將成倍放大網絡風險的潛在危害。對于航運業而言，正開始“自上而下”地加強網絡安全風險的管理實踐。國際海事組織（International Maritime Organization，簡稱：IMO）作為立法機構給出了宏觀準則，并提出可將波羅的海航運公會（Baltic and International Maritime Council，簡稱：BIMCO）發布的《網絡安全指南》、國際標準化組織（International Organization for Standardization，簡稱：ISO）和國際電工組織（International Electrotechnical Organization，簡稱：IEC）發布的ISO/IEC 27001《信息安全管理系統》和美國國家標準研究院（National Institute of Standards and Technology，簡稱：NIST）《提升關鍵基礎設施網絡安全框架》等文件納入參考的建議。本文對NIST框架文件、ISO和IEC中網絡安全相關的標準從主要內容、作用域、主要用戶和應用前景等角度進行分析，結合ISO 23806和ISO 23799這2項船舶領域專用網絡安全標準的研發，考察相關國際標準的適用性。

1 NIST《提升關鍵基礎設施網絡安全框架》

1.1 主要內容

《提升關鍵基礎設施網絡安全框架》（簡稱：《框架》）由NIST于2014年2月12日發布。《框架》提出了一個基于風險的網絡安全管理的標準化方法思路，即基于識別、保護、檢測、響應和恢復5個要素形成網絡安全管理標準映射框架，可用于描述特定網絡空間安全活動的當前狀態或期望目標，如表1所示?！犊蚣堋返臉嫵桑?）依賴于現有的各種標準、指南和最佳實踐文件；2）依賴于國際性標準文件，使得實現框架效果的工具和方法具有廣泛的適用性。

表1 《提升關鍵基礎設施網絡安全框架》與已有標準文件的映射情況[4]

1.2 作用域

《框架》的實質是一份安全風險管控的標準化實施指南，將組織機構要求、風險容限和組織資源等一一對應。它提出的目的是促使企業仔細分析現有的業務特點及網絡安全風險管控需求，梳理現行安全風險管理舉措，并與《框架》對照，對自身網絡安全風險管理體系進行優化或建立新的個性化的網絡安全風險管理體系。見表1。

1.3 目標用戶

《框架》為關鍵基礎設施的運營商提供了一套用于制定和優化網絡安全實踐方案的指南性框架文件。

1.4 應用前景

《框架》本身即為一個網絡安全領域的標準系統，提出了關鍵基礎設施利益相關方的新型參與模式，本身具有中立性，同時具有靈活性和擴展性。從理念上看，《框架》所采用的框架映射式的思路，在各行業制定、修訂和優化網絡信息安全領域指南性文件和制訂實施方案的工作中都值得借鑒。

2 ISO/IEC 27001《信息安全管理體系要求》

2.1 主要內容

ISO/IEC 27000標準是ISO和IEC專門為信息安全管理體系建立的系列標準。ISO/IEC 27000系列標準可分為以下幾類：

1）要求和支持性指南類標準，即信息安全管理體系的基本要求，主要包括ISO/IEC 27000～27005；

2）有關認證認可和審核的指南類標準，面向認證機構和審核人員，主要包括 ISO/IEC 27006～27008；

3）面向專門行業（如金融業、電信業等）的信息安全管理要求，或專門應用于具體安全領域（如數字證據）的標準；

這同樣適用于統治者，其應做的是以辯證思維合理運用自身的危機意識，在主觀上樹立正確的思維去引導客觀實踐，避免制度的局限性所帶來的負面效應。 在老子看來，那樣無法適應多變的社會形勢，反而會造成國力的損耗，引起不利的局面。 這不是對于社會的關鍵因素的忽視，更不是單純地肯定空想社會形態的復歸而否定社會形態進化的現實性、復雜性、特殊性。

4）由ISO或IEC其他專業技術委員會單獨制定的面向具體信息安全應用的標準。

ISO/IEC 27001《信息技術安全技術信息安全管理體系要求》是該系列中的總體性文件，規定了在實施主體（組織）范圍內建立、實施、維護和持續改進信息安全管理系統的要求，以及評估和處理信息安全風險的要求。其2005版已于2008年6月等同轉化為我國的國家標準GB/T 22080—2008，并于2008年11月1日正式實施。其最新版本在2013年發布。

2.2 作用域

ISO/IEC 27001為有以下需求的組織機構提供建立、實施、保持和持續改進信息安全管理體系的要求指導：

1）需要證實自己具備穩定地提供滿足顧客信息安全要求和適用信息安全法律法規要求的產品和服務的能力；

2）希望通過信息安全管理體系的有效應用，包括確定信息安全管理體系所涉及的過程以及保證符合顧客和適用法律法規的信息安全要求，增強顧客滿意度。

ISO/IEC 27001是信息安全管理體系（Information Security Management System，簡稱：ISMS）的規范性標準，具有與ISO 9001標準相似的性質。它著眼于對組織機構的整體業務風險的管控，通過對業務進行風險評估來建立、實施、運行、監視、評審、保持和改進其 ISMS，確保信息資產的保密性、可用性和完整性。ISO/IEC 27001也為獨立第三方開展認證及實施貫標審核提供依據。

2.3 目標用戶

作為ISMS中的要求和支持性指南，該標準的要求是通用性質的，可以適用于各種類型、不同規模和提供各種產品或服務的組織。但是達到標準要求的方法、途徑和措施會因組織的需要和目標、安全要求、所采用的過程以及組織的規模和結構而不同。也就是說，信息安全管理體系的策劃和實施除了滿足標準的要求外，還應符合組織的實際情況，提出個性化的解決方案。

2.4 應用前景

ISO 27001在設計上與ISO 9001和ISO 14001等管理標準體系相兼容，使得應用的組織機構可建立起一套綜合的管理體系。作為目前國際上具有代表性的信息安全管理體系標準，ISO 27001已在全球得到廣泛應用，使用者包括政府機構、商業機構、跨國公司等，可幫助企業建立起有效且具有針對性的安全控制方法和工作流程，進一步規范企業相關的信息管理工作。ISO/IEC 27000標準家族也日益龐大，為全球各類組織和機構提供網絡安全風險防控保障。

3 ISO 31000《風險管理原則和實施導則》

3.1 主要內容

《風險管理原則和實施導則》（以下簡稱：《導則》）于2009年發布第1版。2018年ISO對該標準進行了更新。新版《導則》將“價值的創造和保護”確定為風險管理最核心的理念，圍繞其提出了：整合、結構化和全面性、定制化、包容、動態、最佳可用信息、人員與文化因素和持續改進等8個原則。這些原則為管理框架和實施流程的設置提供了依據?！秾t》在開篇就提出風險管理應與組織機構的所有活動相結合。這也表明了風險管理應當是組織機構所有活動的組成部分，而不應獨立考慮。

3.2 作用域

ISO 31000標準應用于組織機構的整個管理過程。雖然ISO 31000標準內提供了通用性的應用指南，但應用的組織機構在實施時還需針對自身特定的組織結構、產品、服務項目、業務流程等要素設計定制化的風險管理要求，并與相關的風險管理具體措施相融合（并非簡單取代）。

3.3 目標用戶

ISO 31000標準制定的風險管理原則和通用的實施指南已在多個行業和部門中開展了應用，能夠在各類公共、私有或社會企業、協會、和團體中發揮作用。

3.4 應用前景

ISO 31000自2009年發布以來，得到了全球各個國家的支持和響應。據不完全統計，全球已經有近 60個國家采納該標準并在此基礎上發布了其國家風險管理標準，如我國的GB/T 24353，應用十分廣泛。

4 IEC 62443《工控網絡與系統信息安全》

4.1 主要內容

IEC 62443《工控網絡與系統信息安全》由IEC/TC 65（工業過程的測量、控制和自動化技術委員會）發布。IEC 62443針對工控系統信息安全的定義是：保護系統所采取的措施；由建立和維護保護系統的措施所得到的系統狀態；能夠免于對系統資源的非授權訪問和非授權或意外的變更、破壞或者損失；基于計算機系統的能力，能夠保證非授權人員和系統既無法修改軟件及其數據也無法訪問系統功能，保證授權人員和系統不被阻止；以及防止對工控系統的非法或有害入侵，或者干擾其正確和計劃的操作。IEC 62443標準由4個部分組成，如圖2所示。

圖2 IEC 62443系列標準構成

1）總體要求：即62443-1部分，涵蓋一般概念、術語和方法。

2）政策和程序：即62443-2部分，規定了結構措施，并針對自動化解決方案的操作員和維護者。還載有根據關鍵工業基礎設施的具體特點（IEC-62443-2-3）對系統組件進行修正和更新的建議（IEC-62443-2-3）。

3）系統：即62443-3部分，重點介紹ICS（工業控制系統）——或更確切地說，IACS（工業自動化和控制系統）——的操作安全方法，提供對各種網絡安全工具的最新評估，描述了將其體系結構構建到區域和通道的方法和資源，并提供網絡攻擊防護技術清單。

4）組件：即62443-4部分，面向指揮和控制解決方案的制造商，如PLC、監控系統、工程站和其他交換設備，給出了此類設備的安全要求，并規定了產品開發的最佳實踐。

4.2 作用域

IEC 62443中提出的概念、方法和模型已經在多個國家和行業工控相關標準的制定中得到采納和認可，已成為工控系統網絡安全的參考基準，而實施過程中有所缺失的細節部分可通過引入其他專用性的網絡安全標準進行補充。

4.3 目標用戶

IEC 62443對工業環境中的多種角色適用，包括資產所有者、維護服務商、集成服務商、產品供應商等，如圖3所示。

圖3 不同類型的角色對IEC 62443標準的適用情況

4.4 應用前景

IEC和ISA 99正在聯合制定一系列國際標準IEC 62443，以滿足在工業自動化和控制系統中設計網絡安全穩健性和彈性的需要，涵蓋系統生命周期內安全性的組織和技術方面。雖然這套網絡安全標準最初側重于工業自動化，但能源部門也采用了這套網絡安全標準，因為它為在網絡物理系統的運營和現場環境中應用安全性提供了一種方法。它可以與 ISO/IEC 27000系列（特別是用于能源領域的ISO/IEC 27019）和IEC 62351配合使用，該系列可提供一些安全解決方案。

5 ISO/IEC 19086-4《云計算服務級別協議框架安全和保護個人身份信息組件》

5.1 主要內容

ISO/IEC 19086是基于 ISO/IEC 17788和ISO/IEC 17789中定義的云計算概念，針對服務級別協議（Service Level Agreement，簡稱：SLA）框架開發的系列國際標準，其相關性見圖4。在該系列中：

圖4 ISO/IEC 19086與其他云計算相關標準間關系

1）ISO/IEC 19086-1提供云SLA框架的概述、基本概念和定義；

2）ISO/IEC 19086-2提供用于創建SLA和服務質量目標（Service Quality Objects，簡稱：SQOs）中使用的指標的指標模型；

3）ISO/IEC 19086-3提供從服務水平目標（Service Level Objects，簡稱：SLOs）和SQOs派生的核心符合性要求；

4）ISO/IEC 19086-4以基本概念和定義為基礎，通過描述特定組件以及SLOs和SQOs在安全和隱私領域的一致性要求。

5.2 作用域

該標準對云 SLA的個人身份信息組件、SLA和SQOs的安全性和保護進行了規范，包括提出要求和應用指南。

5.3 目標用戶

參與創建、修改或理解符合ISO/IEC 19086的云服務級別協議的任何組織或個人都可以適用本標準。

5.4 應用前景

隨著航運業中云計算服務需求的增加，ISO/IEC 19086系列標準也將受到更多的重視。但是否需要面向航運和船舶行業的專門化標準制定，還需要在實踐中積累和評估。

6 專用網絡安全標準的開發

在航運業和船舶工業進入“智能時代”的背景下，網絡安全管理是維護航運和船舶系統穩定高效運營的重要手段。船舶工業界關注從技術上對船舶系統以及各分系統的安全風險進行評估和防控，因此需要從技術層面開發普遍適用的系統網絡安全評估方法，以對船舶網絡安全管理提供有效支撐。IMO和各大船級社目前已有相關的指南性文件；ISO和IEC中已有工業界中通用的網絡風險管理標準，但對于船舶工業而言適用性仍然偏弱。

在關于網絡和信息安全的工業標準中，ISO和IEC聯合發布的ISO/IEC 27000系列標準具有較強的影響力。ISO/IEC 27000是專門為信息安全管理體系發布的一系列相關標準的總稱，主要包含基本要求和支持性指南、認證認可和審核指南、面向行業的信息安全管理要求3類國際標準。目前，在一些行業門類中已有基于ISO/IEC 27000系列標準編制專用信息安全管理標準的案例，但在船舶海洋工業領域的網絡安全標準仍處于空白狀態。此外，ISO 31000《風險管理原則和實施導則》提供了通用的風險管理辦法，可為船舶網絡風險管理提供參考。但也正是由于相關標準的高通用性，專門面向航運和船舶工業界網絡安全管理實踐的標準仍然處于空白。ISO/TC 8/WG 4（“網絡安保”工作組）中正在開發的2項網絡安全國際標準ISO/CD 23806《船舶與海洋技術網絡安全》和ISO/AWI 23799《船舶與海洋技術船載網絡安全風險評估方法》正是船舶工業界為填補這個空白做出的努力。ISO 23806提出船舶網絡風險管理的一般性要求；ISO 23799作為《網絡安全》標準的第二部分，將為船舶系統的風險評估指南。后續，關于船載網絡安全的標準研發也將有望得到體系化發展。

7 結論

網絡安全成為國際海事和船舶工業界的熱點問題已有一段時間，業界仍在尋找合理的網絡安全標準方案。通過對NIST框架、ISO和IEC中網絡安全相關的標準進行分析，發現ISO、IEC中現有的網絡安全類國際標準多為通用類，可在一定的指導框架（如NIST《框架》）下供各類航運和船舶工業機構選用以（在一定程度上）提升自身或產品應對網絡風險的水平。然而這種通用性使得相關標準在應用中仍然不夠“精準”。因此對于船舶工業而言，經過適當“剪裁”和優化，開發出專用的標準，比如ISO/TC 8中曾提出用“Marine and Lean”（面向船舶且精煉）理念開發船舶行業專用的網絡安全標準。這將對IMO要求的落地和航運業安全安保水平的提升有積極意義。ISO 23806和ISO 23799這2項國際標準的研究正是這一理念下的有益嘗試。