將船舶網絡安全管理納入SMS的技術措施

王 洋

一、背景

美國海岸警衛隊（USCG）于2020年10月27日發布了《船舶網絡風險管理工作須知》，明確了自2021年1月1日起，在港口國監督（PSC） 檢查中關注網絡風險管理問題。該須知強調：港口國監督官員（PSCO）在檢查中若發現網絡風險管理未被納入SMS或雖被納入但卻嚴重違反體系文件規定，則可開出代碼為30的缺陷并滯留船舶。中國船級社（CCS）也于2020年發布技術通告——《（2020年）技術通告第68號總第502 號》，要求各公司高度重視國際海事組織MSC.428（98）號決議的落實工作，盡快將網絡風險管理的內容納入公司安全管理體系，并監督其在公司和船舶得到有效實施。

事實上，網絡安全威脅已成為航運公司面臨的關鍵風險點。據公開報道，2017年6月，航運巨頭馬士基因受到勒索病毒攻擊，損失了2億~3億美元。2017年6月，國際海事組織在MSC96屆大會上通過并發布了《海事網絡風險管理暫行指南》（MSC.1/Circ.1526通函），提出了對網絡風險的應對措施。同年7月，CCS發布《船舶網絡系統要求及安全評估指南》，進一步規范了船舶網絡建設工作，并對船舶網絡安全實施了有效評估；2019年又發布了《海事網絡風險評估與管理體系指南》（已于2020年2月1日生效）。IACS、BIMCO等組織也先后發布了相關指南。隨著USCG本次通知的發布，將網絡風險管理納入PSC檢查內容終于正式落地。相信在一段時間內，各國均會跟進此項工作。

根據CCS的《海事網絡風險評估與管理體系指南》，建立海事網絡安全體系分為三個階段，分別為風險評估、體系建立和體系運行，如表1所示。風險評估依賴于基于海事網絡調研的風險識別，識別網絡中的風險點，有針對性地做出相應的改進措施并將其制度化，是體系建立的必由之路。

表1 網絡安全體系建立的三個階段

二、中遠海運散貨運輸有限公司船舶網絡安全現狀

中遠海運散貨運輸有限公司（中遠海運散運）船舶局域網建設得較早，但在設計之初并未充分考慮網絡安全問題，沒有按功能將網絡劃分為不同的、相互隔離的安全區域，也缺乏有效的防護手段，無法滿足新規范的各項要求。典型的船舶局域網拓撲如圖1所示。

圖1 典型船舶局域網拓撲圖

對照CCS 2020版的《船舶網絡系統要求及安全評估指南》，中遠海運散運主要存在以下船舶網絡安全風險：

1.網絡未實現隔離

生產網絡（駕駛臺的關鍵IT系統）與辦公網絡（工作IT網絡）未做隔離，船員的娛樂網絡與生產網絡、辦公網絡未做隔離。生產網絡包括航標系統、能效系統（部分船舶有）、CCTV系統、通信報文系統等，辦公網絡包括干部船員辦公筆記本、打印機等，娛樂網絡包括船員個人電腦及智能手機等。

由于歷史原因，船舶的生產網絡、辦公網絡并未做嚴格區分，建設之初就堆砌在一起。而隨著VSAT（一種基于通信衛星傳輸的網絡寬帶）技術的不斷發展和應用，船員的個人電腦和智能手機也逐步接入船舶的娛樂網絡。這就對船舶的網絡安全發起了更大的挑戰。

各種網絡設備混雜在一起、缺乏有效隔離的一個突出風險就是從網絡內的任意一點均可對全網發起（無論是主動發起還是被動發起）黑客或病毒攻擊。

2.網絡未實施有效防護

不論是在各個網絡的邊界還是在網內的電腦、服務器，均缺乏有效的防護手段。絕大多數船舶的局域網僅部署了簡單的帶有防火墻功能的路由器，且是防火墻的默認功能，并未針對性地啟用白名單功能——只對安全的網絡流量放行。由于防火墻僅能防護泛洪攻擊（一種在短時間內向目標設備發送大量的虛假報文導致目標設備忙于應付無用報文而無法為用戶提供正常服務的攻擊方式）等少數攻擊，對病毒、黑客入侵等高級攻擊無法防護。也就是說，各船舶的局域網相當于直接不設防地暴露在互聯網上。而對于船上的服務器、電腦來說，雖然普遍安裝了殺毒軟件，但是由于無法及時升級病毒庫、移動U盤未經查殺就插入使用等原因，時常感染病毒，甚至是反復感染，導致不同種類的病毒并存。筆者就曾經在工作中發現，某輪輪機長的辦公電腦上感染了多種病毒（總計700余個），可執行文件（exe文件）無一幸免，全部中毒。該電腦雖然安裝了殺毒軟件，但是由于病毒庫未及時更新，殺毒軟件形同虛設。

由于船上輪班工作的特點，船上的業務系統、辦公電腦大部分使用通用密碼、固定密碼、簡單密碼，從而導致其安全性極低。

3.網絡未采用冗余架構

不論是網絡線路還是網內設備，基本都是單線、單機工作，沒有備份機制，也沒有容災機制。目前，中遠海運散運船舶大部分都安裝了VSAT、FBB（部分船舶是1套，部分船舶有2套）和銥星線路。表面上看有多條通信鏈路，但是由于各套系統均為獨立線路，因此在日常使用過程中依賴于船員自行根據信號情況決定使用某條線路并手動切換。由于船員并不具備準確判斷線路質量的能力，導致了在某些情況下雖然有便宜的線路可用，卻仍舊使用了費用昂貴的線路。

船舶局域網內的服務器、電腦基本上都是單機、單硬盤工作，沒有任何備份，一旦損壞，就只能待靠港后更換或者維修。若是硬盤故障，其中存儲的數據將徹底丟失。總體來看數據的安全性非常脆弱。

從上述幾點可以看出，目前中遠海運散運多數船舶的局域網處于高風險狀態。

三、提高船舶網絡安全管理水平的措施

CCS《海事網絡風險評估與管理體系指南》明確指出，安全措施主要包括技術型措施和程序型措施。技術型措施主要通過技術改造、加裝安全設備和軟件等方式提升網絡安全性，程序型措施主要是通過培訓、宣貫以及設置恰當的權限等方式避免網絡風險。

從2019年起，中遠海運散運根據CCS 2019版《海事網絡風險評估與管理體系指南》和2020版《船舶網絡系統要求及安全評估指南》進行了大量的探索，并最終選定了A輪、B輪進行試驗改造。2019版《海事網絡風險評估與管理體系指南》主要是從風險識別、體系建立、體系運行三個環節將海事網絡風險管理納入SMS內進行指導，對船舶網絡系統從硬件到技術提出了一定的要求；2020版《船舶網絡系統要求及安全評估指南》則在技術層面上對于前述要求進行指導。在A輪、B輪的試驗改造中，主要依據的是2020版《船舶網絡系統要求及安全評估指南》。

1.改造前船舶的網絡拓撲

A輪、B輪均為典型的建設得較早的傳統局域網，即航標系統、能效系統、CCTV系統、通信電腦、船長辦公電腦、輪機長辦公電腦、政委辦公電腦、大副辦公電腦等均混雜在同一個局域網內；兩輪均加裝了VSAT、FBB、銥星三種通信線路，并在生活區各層加裝了Wi-Fi天線，船員個人電腦和智能手機可以通過分配的VSAT賬號和VSAT訪問互聯網，另有配載儀電腦、海圖筆記本不聯網使用。其改造前的拓撲圖如圖2所示。

從圖中可以看出，改造前，生產網絡（航標系統、能效系統、CCTV系統、通信電腦）與辦公網絡（各辦公電腦）直接混雜在同一個網絡內，而船員的娛樂網絡（個人電腦和智能手機）雖然與生產網絡、辦公網絡并未直接處于同一網絡內，但是通過VSAT交換機互聯，邊界處卻未做隔離與防護，而全網的邊界處也沒有任何反入侵、反病毒防護措施。這在僅有FBB和銥星線路、船岸主要通過郵件通信的時代，并無不妥。但隨著VSAT的普及，船舶局域網帶寬越來越大，在線時間越來越長，日趨接近于公司小型分支機構的網絡已明顯不合時宜；同時，局域網內的生產系統均為單機工作狀態——航標系統為普通商用臺式機，能效系統雖然是工控服務器卻不具備數據備份功能?？梢哉f，全網所有的生產系統都極易出現單點故障，無冗余備份。

圖2 改造前的拓撲圖

2.改造后船舶的網絡拓撲

對照2019版《海事網絡風險評估與管理體系指南》中技術型措施的相關指導和2020版《船舶網絡系統要求及安全評估指南》的要求，我們對A輪、B輪的網絡和系統架構進行了改造。改造后的拓撲圖如圖3所示。

從圖中可以看出，改造后生產網絡、辦公網絡、船員的娛樂網絡全部從邏輯上進行了隔離：生產網絡、辦公網絡處于不同的VLAN（虛擬局域網）中，IP地址不在同一網段內，能夠有效防止網絡風暴和病毒蔓延，且共同處于UTM（多功能網關）的保護之下。該網啟用了IPS（入侵檢測）、反病毒、防火墻功能，并具有白名單功能——只有指定的安全的業務數據流量才放行。船員的娛樂網絡位于UTM外部非信任區，雖然可以上網，但無法訪問生產網絡和辦公網絡。

圖3 改造后的拓撲圖

在改造中，我們還采用了超融合技術，以規避航標、能效等關鍵生產系統的單點故障風險。各系統部署在四節點的超融合工控服務器上。該服務器能夠穩定地工作在高濕高鹽、溫差較大的惡劣環境中，且加裝了UPS（持續不間斷電源系統）。其最大的特點是具有自愈功能：航標、能效等關鍵生產系統在該服務器上部署后，任意一個節點的軟、硬件故障的發生，均可以實時地將其自動地遷移到其他的節點上，實現用戶無感知自愈。該服務器采用最小化授權原則，即用戶僅可訪問生產系統，無法訪問航標、能效操作系統。所有服務器的維護均采用岸端技術人員遠程操作的形式，一方面降低了船端的維護量，另一方面也有效地避免了船員誤操作導致的人為損壞。

生產網絡、辦公網絡中的服務器、計算機均安裝了統一防護終端軟件（EDR），并納入船岸一體化防護策略，可以根據岸端統一部署的安全策略對船舶局域網中的網絡終端進行安全防護。通過UTM的VPN（虛擬專網）功能，開啟了船岸通信隧道，所有的船岸通信均加密傳輸，且岸端可實時通過該隧道對船端進行遠程運維和監控。部署在船舶局域網最外層的智能路由器，通過預設策略，可以進行自動鏈路選擇——實時選擇性價比最高且可用的線路：當VSAT可用時，優先使用VSAT線路；當VSAT不可用時，采用FBB或銥星線路并拒絕除郵件之外的一切流量。

3.改造效果

經過對網絡和服務器部署方式的改造，A、B兩輪的網絡在硬件、技術上都符合CCS 2020版《船舶網絡系統要求及安全評估指南》關于物理安全、網絡架構、區域邊界、計算環境方面的相關要求。其對照關系如表2所示。

表2 改造措施對照簡表

續表2

從表中可以看出，對于網絡安全管理來說，技術型措施（表中的設備、技術）均已符合，但程序型措施尚需進一步完善。

四、結論

船舶網絡化、智能化已是大勢所趨，而隨著各國海事部門對網絡安全風險的認識不斷提升，對于網絡安全管理的要求也勢必愈發嚴格。隨著USCG率先將網絡安全管理納入SMS，各航運企業在船舶網絡安全管理方面的建設已由自發自愿階段進入對照整改階段。為此，要對安全風險進行識別，并根據相關指南采取應對措施進行改造。筆者認為，借船舶網絡安全管理納入PSC檢查的契機，對船舶網絡進行改造，一方面可以確保船舶網絡安全，降低滯留風險，另一方面可以為日后的智能船舶建設奠定堅實基礎，減少重復建設和資源浪費，可謂一舉多得。

本文在中遠海運散運前期試驗改造并取得一定成效的基礎上提出一種技術型措施改造方案。在后續的網絡安全管理升級改造實踐中，將進一步完善程序型措施。