船岸一體化數據管理系統的網絡安全技術

周毅,李萌,張海濤,夏華波,梁斌

(中海油能源發展股份有限公司 采油服務分公司，天津 300452)

隨著船舶信息化、智能化進程的不斷發展，越來越多的控制系統、通信導航系統、信息管理系統及設備不斷接入船舶網絡并且逐漸轉變需與岸端信息交互。船舶越來越多的“在線”，使船舶遭受網絡威脅的隱患不斷加劇，船舶網絡安全重要性逐漸提升，各船級社相繼發布了船舶網絡安全相關指南[1]、規范等，對船舶信息安全保障體系設計、實現方法和運維管理體系提出了相應要求。基于智能化關鍵技術研究基礎，對某氣體船的貨物系統、動力系統、通信導航系統等全船系統數據進行采集、處理、存儲和交互，通過統一通信協議匯總傳輸到船端的數據集成平臺。通過升級船舶通信系統和建立岸基數據接收系統形成智能化船岸一體數據管理平臺，實現岸端的信息平臺與船端的信息平臺、船端的局域網系統的數據交互。

對某氣體船的數據分發管理系統(智能船舶集成平臺系統)，從船基系統本體安全、終端安全、邊界安全、管理安全4個層次進行設計。4個層次安全注重點的不同，安全加固方式也不同，船基系統本體安全應注重權限驗證等方面；終端安全應注重各個局域網終端的漏洞、病毒、木馬防護[2]等方面；邊界安全應加注重船岸傳輸的安全性、保密性；管理安全應注重船員網絡安全意識。

1 系統本體安全

1.1 應用認證

數據分發管理系統通過設計安全管控模塊以保證用戶身份的合法性并保障系統的安全性。用戶必須提供有效的用戶賬號及密碼來登入系統，以防止非法使用，在此基礎上用戶管控模塊增加以下4個特性。

1)所有的用戶賬號均具有唯一性。

2)賬戶超時5 min后，系統自動退出未活動的賬戶。

3)密碼的復雜度必須符合系統要求(需包括大小寫字母、數字、特殊字符)。

4)單用戶只允許在一處工作站登陸。

基于增加的4個特性，可以防止簡單的暴力破解行為，并且可防止船員因個人忘記退出操作界面導致他人誤操作所帶來的風險。

1.2 用戶權限

數據分發管理系統安全管控模塊除用戶認證外，還包括用戶存取及各種用戶權限管理。用戶登入系統后，系統將執行一系列的用戶權限控制包括讀取、操作等各種權限。系統管理員將船員劃分入不同用戶組中，不同用戶組擁有不同的操作權限，系統管理員擁有最高權限，如①菜單控制；②數據權限；③操作功能權限。

系統管理員可對系統操作員進行權限分配。為防止系統管理員密碼長時間使用，產生泄漏風險，系統每3個月要求系統管理員更改密碼。

1.3 訪問策略

船員訪問數據分發管理系統時將會被安全管控模塊及安全訪問策略所管控，見圖1。

圖1 數據分發管理系統安全訪問策略示意

只有安全訪問策略預設的智能工作站可以訪問數據分發管理系統頁面，其他工作站的訪問申請將會被系統拒絕。智能工作站登陸系統驗證頁面成功后要輸入正確的用戶名、密碼后才可登陸到系統業務界面進行操作或瀏覽，當多次驗證失敗后，將會鎖定當前工作站IP，并在一定時間內屏蔽該IP地址的訪問請求。

2 系統終端安全

數據分發管理系統的終端安全防護通過部署船基防護管理平臺實現，囊括私有云安全控制中心和安全防護客戶端兩部分。見圖2。

圖2 數據分發管理系統終端安全防護示意

2.1 安全控制中心

船基防護平臺的終端安全防護的核心是安全控制中心，安全控制中心作為服務端部署于船基高性能服務器，其功能主要包括船舶終端安全管控和船舶終端安全事件收集告警兩大功能。

船基安全控制中心采用B/S架構，船員可以通過智能工作站的瀏覽器訪問無需安裝客戶端，對安全防護平臺終端進行管理和控制。船基安全控制中心主要包括組管理、策略制定與下發、全網終端健康監控、全網一鍵殺毒、全網一鍵漏洞修復、終端網絡流量管理、全網終端軟件與硬件資產管理等。此外船基安全控制中心針對船基防護平臺還提供了基礎的運維服務，如：云查殺服務、病毒/漏洞/服務端升級服務等。

船員可通過控制中心的安全事件收集來了解全網終端的告警信息及安全事件，通過報表分析船員可以掌握安全風險及全網威脅狀況。

安全控制中心的病毒庫、漏洞庫也會隨著新病毒、新漏洞的發現，通過云平臺可持續的提供更新服務，使船基的終端不會受到新病毒的侵害。

2.2 客戶端

安全防護客戶端可以無間斷地保護已被部署的終端或服務器上，由客戶端先向服務端發送木馬病毒、漏洞的查詢，再由客戶端執行木馬病毒查殺、漏洞修復、安全防護等安全操作。并與船基安全控制中心通信，向船基控制中心提供管理所需的相關安全告警信息。整個岸基的網絡安全由DMZ區防火墻和船基防護管理平臺提供安全防護，一方面只允許船基數據通過防火墻進入應用服務中，另一方面提供終端病毒查殺和漏洞掃描。

3 系統邊界安全

數據分發管理系統通過部署防火墻[3]，并啟用國密功能、內容安全組合、入侵防御、反病毒、云沙箱檢測等功能模塊及對船岸傳輸數據加密，實現系統邊界安全防護。如圖2所示，對于外部會話，包括未知會話，攻擊會話，數據傳輸會話，防火墻將進行過濾。攻擊回話的過濾基于防火墻的入侵防御模塊、反病毒模塊分辨出訪問船基的會話是否為攻擊行為，如判定為攻擊行為則將其直接禁止訪問；數據傳輸會話的過濾包括：先基于源IP及目的IP判定數據是否來自于岸基數據中心或者發送至岸基數據心，再根據SSL加解密方式判斷數據是否被篡改，當上述2條過濾規則均通過時，該數據傳輸會話才會被防火墻放行，進入到船基局域網中。

為保證數據的隱私性，船基系統在進行數據傳輸時采用內容+傳輸信道雙重加密模式。在數據傳輸前，待傳輸數據經過自定義數據序列化和壓縮算法壓縮的兩個過程，使得常規明文數據轉換為非常規明文。該處理手段能夠杜絕在非安全傳輸通道中通過非法手段對傳輸數據的有效解析[4]，保證僅有知曉既定解析規則的數據接收端能夠進行有效反序列化和解壓縮；在數據傳輸中，通過SSL安全協議，保證TCP通訊的發送端和接收端間的完整性和私密性。發送端首先向接收端發出安全會話請求，并使用非對稱加密方式分發公鑰加密的對稱密鑰(會話密鑰)，接收端使用私鑰解密接收到的會話密鑰。至此，發送端和接收端便可通過對稱密鑰實現安全通訊。在傳輸過程中，即使非法攔截公鑰加密的會話密鑰也不能夠解密會話密鑰(因為非對稱加密的會話密鑰只有使用接收端的私鑰才能解密)，會話密鑰的私密性可保障兩端間數據的私密性。見圖3。

圖3 系統邊界安全防護原理示意

4 系統安全實施方法

4.1 網絡安全防護

通過合理的邊界安全部署及配置，將會話進行過濾只放行可信任的會話并對可信任的會話進行更進一步的檢查。為避免誤將安全信息過濾，需對船岸通信不斷測試，壓縮可通信空間，平衡安全防護與船岸通信速率，保障只對攻擊會話進行過濾。邊界防護可視為防護的第一道關卡，可為終端防護降低算力需求，減少終端防護壓力。

終端安全防護需進行黑白名單配置，安全盤及安全文件夾劃分，使特定區域的程序或文件為可信任文件，其他區域均需進行安全盤查或不可信任。針對不可信任文件及程序一律視為病毒不可運行，只有通過安全盤查的程序及文件才可運行，并設置定期自動全盤掃描，定期更新病毒庫等安全策略，使終端時刻處于安全可信任狀態。

4.2 訪問權限管控

智能系統無法跨越導航平臺直接訪問各子系統，統一導航平臺作為智能系統的人機交互部分，通過合理的權限分級設置，為不同級別船員提供不同的系統訪問賬號，涉及系統配置僅管理員可訪問，實現智能應用分權限訪問。針對安全訪問權限管控，設置密碼復雜度策略無法設置簡單密碼，并針對多次密碼輸入錯誤進行鎖賬戶設置，為針對密碼被他人記錄，設定定期修改密碼策略。

4.3 身份鑒別防護

統一導航平臺采用相應身份鑒別手段，確保所有智能應用僅能通過導航平臺訪問，不能通過其他方式訪問。防止有人為得到更高權限實施暴力密碼破解及偷記密碼等行為，采取相應的策略管控措施。

4.4 數據保密性安全防護

針對數據庫中的數據[5]，采用限制賬戶訪問、限制ip訪問、限制訪問權限、限制讀寫權限等方式確保數據安全性，針對數據安全性采用數據備份、采用備份路徑權限管控、采用備份數據加密、備份數據異地存儲等方式確保數據安全性，所有已落盤的數據均采用加密存儲，船岸傳輸的數據均采用對稱加密方式發送確保數據保密性的同時保證數據發送速率。

4.5 網絡安全檢查

在系統部署到該氣體船，在連接船舶各功能系統并成功采集到全船數據的同時，對處于實際運行狀態的船載數據管理系統進行網絡安全檢查，核對每一個安全策略的到位和有效性，進行必要的基礎模擬(如簡單口令登陸嘗試等)。通過檢查確認網絡安全措施的落實。

5 結論

船級社或相關船舶法規針對于智能化船舶的網絡安全的要求還處于發展階段，對特殊船舶并不適用，還無法實施網絡安全管理與網絡安全系統相適宜的結合。

某氣體船船岸一體數據管理系統的網絡安全技術在滿足船級社相關規范的基礎上分別采用本體安全、終端安全、邊界安全、管理安全4個維度來保障網絡空間安全；本體安全、終端安全、邊界安全的網絡安全策略使船舶網絡安全更加自動化，降低了船員誤操作引發的網絡安全事故率，網絡安全管理與網絡安全系統結合相宜，使網絡安全的防護更加自動化，更加簡易。

未來船舶向智能化發展的趨勢越來越明顯，保障船舶網絡空間安全將等同于保障船舶安全。伴隨智能船舶的發展與普及，智能氣體船的船岸一體化的數據管理系統(集成平臺系統)的網絡安全技術將成為航運界的又一個標桿性技術。