船舶信息系統(tǒng)融合集成及網(wǎng)絡(luò)安全合規(guī)改造

繆政

（中遠(yuǎn)海運散貨運輸有限公司，廣東 廣州 510220）

引言

IMO 于2017 年6 月MSC98 通過有關(guān)海事安全相關(guān)決議，將船舶網(wǎng)絡(luò)安全列為2021 年首次DOC 審核內(nèi)容。船舶局域網(wǎng)從設(shè)計之初就未充分考慮網(wǎng)絡(luò)安全，安全隔離不到位，防護(hù)手段缺失，難以滿足相關(guān)規(guī)范要求。為避免由于網(wǎng)絡(luò)安全不合規(guī)導(dǎo)致船舶被滯留的情況發(fā)生，需要對船舶網(wǎng)絡(luò)安全進(jìn)行改造。同時，船舶上計算機工作環(huán)境復(fù)雜，要面對高溫、高濕、高鹽、晃動、電力不穩(wěn)定等多種復(fù)雜環(huán)境。普通的商用服務(wù)器對環(huán)境要求極其嚴(yán)格，需要工作在計算機機房環(huán)境中(溫度范圍20-25℃，相對濕度范圍40%-55%)，在船舶上運行故障率非常高。而且隨著VSAT 的成熟推廣，船舶由原來的離線狀態(tài)逐漸轉(zhuǎn)為實時在線狀態(tài)，這對船舶信息系統(tǒng)的安全性、高可用性、集中管理的要求越來越迫切。傳統(tǒng)的每部署一個信息系統(tǒng)就部署一套物理商用服務(wù)器的方式，使船舶信息系統(tǒng)的故障風(fēng)險點不斷堆砌積累，既給船舶信息系統(tǒng)運維帶來壓力，也造成了巨大的成本開銷。

針對上述兩點，我們從安全合規(guī)及服務(wù)器融合集成兩方面對“XX 海”輪的IT 信息系統(tǒng)進(jìn)行了改造。

一、船舶網(wǎng)絡(luò)安全合規(guī)改造

網(wǎng)絡(luò)安全最重要的設(shè)計原則就是隔離。對于船舶局域網(wǎng)來說，如果將服務(wù)器和用戶電腦混在一個網(wǎng)絡(luò)里，一旦某臺電腦中毒或遭受攻擊，將很快在全網(wǎng)范圍內(nèi)傳播，造成網(wǎng)絡(luò)癱瘓和數(shù)據(jù)丟失。而我司船舶局域網(wǎng)恰恰就是典型的未劃分安全區(qū)域的混雜原始網(wǎng)絡(luò)。

改造前，“XX海”輪局域網(wǎng)拓?fù)渫耆环螩CS規(guī)范要求。為解決此問題，需要將船舶局域網(wǎng)進(jìn)行安全域劃分，劃分為服務(wù)器安全域和用戶辦公安全域，各個不同的安全域之間進(jìn)行邏輯隔離，一旦某個安全域出現(xiàn)問題，可以將安全威脅控制在此安全域內(nèi)，不會造成全網(wǎng)傳播。各安全域之間配置安全策略，嚴(yán)格進(jìn)行過濾，確保數(shù)據(jù)安全傳輸，降低安全風(fēng)險，滿足監(jiān)管要求。

同時，按照CCS 的網(wǎng)絡(luò)安全指南要求，船舶需要配備具有IPS（入侵防御系統(tǒng)）、防病毒等安全功能的網(wǎng)關(guān)設(shè)備。目前船舶上使用的Netgear 路由器不具備此類功能，需要使用UTM（統(tǒng)一威脅防護(hù)）設(shè)備進(jìn)行替換[1]。UTM設(shè)備除具備傳統(tǒng)防火墻功能外，還具備IPS、防病毒等新型安全防護(hù)功能，技術(shù)成熟，性價比高，能夠提供三到七層全面的安全防護(hù)，非常適合在船上使用。

船岸數(shù)據(jù)傳輸加密隧道方面，隨著船上VSAT 網(wǎng)絡(luò)的成熟，船舶轉(zhuǎn)為實時在線狀態(tài)，為保障船岸數(shù)據(jù)傳輸?shù)陌踩?，防止業(yè)務(wù)數(shù)據(jù)被非法竊取，需要進(jìn)行加密傳輸?？赏ㄟ^船端UTM 設(shè)備與岸端建立IPSec VPN 加密隧道，所有數(shù)據(jù)均通過該隧道傳輸，有效保證業(yè)務(wù)數(shù)據(jù)傳輸?shù)陌踩訹2]。同時，利用該加密隧道，還可以進(jìn)行船舶局域網(wǎng)遠(yuǎn)程維護(hù)操作，有效降低人力成本。

終端防護(hù)方面，目前船上各個電腦均未安裝專業(yè)的殺毒軟件，存在較大安全隱患，也無法滿足監(jiān)管要求。按照統(tǒng)一規(guī)劃、統(tǒng)一管理、統(tǒng)一部署的思路，在船舶各電腦上安裝新一代EDR（終端安全防護(hù)）客戶端，岸端部署EDR服務(wù)端，客戶端安裝完成后免維護(hù)，統(tǒng)一由服務(wù)端自動進(jìn)行安全任務(wù)下發(fā)。EDR 除具備傳統(tǒng)殺毒功能外，還具備漏洞修復(fù)、資產(chǎn)管理、安全基線核查等功能。

未來，隨著船岸通信技術(shù)的進(jìn)步，我們可以考慮將船端網(wǎng)絡(luò)安全狀況納入岸端態(tài)勢感知平臺，以更加直觀的方式實時展示船舶網(wǎng)絡(luò)安全態(tài)勢，加強對船舶網(wǎng)絡(luò)的掌控力度。

根據(jù)上述思路，對“XX ?！陛喚W(wǎng)絡(luò)改造后，通過UTM 設(shè)備+EDR 終端防護(hù)，為船舶提供了一套滿足合規(guī)、輕量級、性價比高、擴(kuò)展性好的網(wǎng)絡(luò)安全拓?fù)洹?/p>

二、船舶服務(wù)器融合集成

如前文所述，目前我司船舶信息系統(tǒng)所運行的服務(wù)器來源各異，品牌各異，有商用服務(wù)器、有工控機、甚至還有普通臺式電腦充當(dāng)服務(wù)器。各個服務(wù)器均為單機運行，一旦損壞，除等待船舶靠泊期間更換以外，別無他法。尤其是商用服務(wù)器和臺式電腦，由于本身是為岸端環(huán)境所設(shè)計，運行在船上，故障率尤為高企。針對這個痛點，我們設(shè)計了通過虛擬化技術(shù)運行在工控機頂級廠商研華所生產(chǎn)的設(shè)備上的船舶超融合計算平臺方案。

船舶超融合計算平臺，采用的是目前業(yè)界前沿的超融合架構(gòu)：在一個4U（服務(wù)器物理高度單位）的高密度工控服務(wù)器內(nèi)，放入4 節(jié)點高性能計算單元（工作溫度0-60℃，相對濕度最大85%），以應(yīng)對船舶惡劣運行環(huán)境。每個單節(jié)點均搭載主頻3.2Ghz 的英特爾第八代酷睿i7-8700 處理器,6 核雙線程，16GB 內(nèi)存，1TB 固態(tài)硬盤。并配備豐富的板卡擴(kuò)展槽，滿足船舶不同信息系統(tǒng)運行的需求[3]。

在此超融合服務(wù)器內(nèi)，采用了虛擬化技術(shù)，實現(xiàn)計算能力、存儲能力、網(wǎng)絡(luò)帶寬的動態(tài)分配。在此平臺上可以通過虛擬機部署各種類型的信息系統(tǒng)，不論是基于windows或linux的何種版本開發(fā)。由于其采用4節(jié)點分布式架構(gòu)，因此可以實現(xiàn)虛擬機熱遷移，故障轉(zhuǎn)移，運行狀態(tài)檢測，虛擬機快照、實時備份等高級功能。分布式存儲保障了數(shù)據(jù)的安全性，不會因硬盤故障而丟失數(shù)據(jù)，也不會因服務(wù)器故障影響業(yè)務(wù)系統(tǒng)的正常運行。該平臺實現(xiàn)了多個船舶應(yīng)用系統(tǒng)在同一臺超融工控服務(wù)器上高效穩(wěn)定的運行，充分發(fā)揮硬件資源使用率，實現(xiàn)集中化部署，標(biāo)準(zhǔn)化管理。

改造后能效系統(tǒng)、船員培訓(xùn)系統(tǒng)、應(yīng)用系統(tǒng)遷移到此平臺，替換掉4 臺實體服務(wù)器，新增8 臺虛擬服務(wù)器，實際部署虛擬機系統(tǒng)12 臺，并還可隨著船舶信息系統(tǒng)的不斷增加在超融合工控服務(wù)器內(nèi)隨時擴(kuò)展。而對于已經(jīng)運行的12 臺虛擬服務(wù)器而言，任何一臺虛擬服務(wù)器故障，均可以隨時恢復(fù)。及時超融合工控服務(wù)器上物理硬件出現(xiàn)了故障，由于其4 節(jié)點分布式架構(gòu)，任何一個硬件上承載的虛擬服務(wù)器均可以實時自動熱遷移到其他節(jié)點上，對于用戶而言，零感知。

在經(jīng)濟(jì)性方面，超融合工控服務(wù)器更是具有無可比擬的優(yōu)勢。

原“XX ?！陛喆安渴鸬南到y(tǒng)硬件費用估算：能效系統(tǒng)采用兩臺研華工控機，大約費用3 萬元；船員培訓(xùn)系統(tǒng)采用一臺工控機一臺筆記本電腦，費用約2 萬元；航標(biāo)系統(tǒng)采用臺式辦公電腦，費用約1 萬元。傳統(tǒng)部署方式硬件成本總共約6 萬元。超融合工控服務(wù)器成本約7 萬元。

經(jīng)過對比，傳統(tǒng)物理服務(wù)器的成本與超融合工控服務(wù)器的成本基本持平，略低于超融合工控服務(wù)器成本。但是由于本次除替換原物理服務(wù)器外，還新增了8 臺虛擬服務(wù)器，若此8 臺虛擬服務(wù)器按傳統(tǒng)方式進(jìn)行物理服務(wù)器部署，新增物理服務(wù)器全部按照成本較低的商用服務(wù)器計算。

當(dāng)新增應(yīng)用系統(tǒng)增加時，傳統(tǒng)物理服務(wù)器方式的成本已經(jīng)飆升至超融合工控服務(wù)器成本的2 倍。“XX ?！陛喸形锢矸?wù)器當(dāng)中，只有能效服務(wù)器分為AB 兩臺，可以互為備份。其他服務(wù)器均為單機運行，一旦故障除更換外別無他法。若從業(yè)務(wù)連續(xù)性的角度考慮，為其配備備份服務(wù)器，則成本更是激增。

可見，若傳統(tǒng)物理服務(wù)器要實現(xiàn)超融合工控服務(wù)器同樣的安全性和穩(wěn)定性，成本將激增至3 倍以上。即使不考慮成本問題，也不考慮管理這些服務(wù)器的困難程度，單是擺放這些服務(wù)器的空間船上根本就無法提供。

有上述對比可知，超融合工控服務(wù)器無論是安全性、穩(wěn)定性、部署靈活性，還是性價比，均遠(yuǎn)超傳統(tǒng)的物理服務(wù)器部署方式。

三、總結(jié)

本次在“XX ?！陛唽嵤┑拇靶畔⑾到y(tǒng)集成項目，由安全合規(guī)改造和服務(wù)器融合集成兩部分組成。其中安全合規(guī)改造是硬性指標(biāo)，完全按照CCS指南中關(guān)于船舶網(wǎng)絡(luò)安全的規(guī)范進(jìn)行。經(jīng)過本次改造以后，“XX ?！陛喆熬W(wǎng)絡(luò)的安全性大幅提升。而服務(wù)器融合集成則充分實現(xiàn)了IT 新技術(shù)與船舶實際相結(jié)合，以絕佳的性價比，大幅提升了船舶信息系統(tǒng)的安全性、穩(wěn)定性、靈活性，為日后實施智能船舶打下了堅實的基礎(chǔ)。