高端客滾船網絡安全系統設計

莊濤,蘇錦川,李軍,代左信,荊陽,趙永波

(招商局金陵船舶(威海)有限公司,山東 威海 264200)

為了抵御船舶網絡安全所引發的隱患,2017年6月,國際海事組織(IMO)海上安全委員會第98屆會議(MSC 98)批準MSF-FAL.1聯合通函Circ.3“海上網絡風險管理指南”。同時還通過了《有關安全管理體系的海上網絡風險管理的MSC.428(98)號決議》,各國船級社陸續推出相應的規范要求。網絡攻擊包括黑客主動攻擊、無意間的病毒感染等,一般為訪問控制技術,例如,非通用物理接口或者密碼限制和空間限制。另一種利用防火墻技術,主要通過數據過濾技術驗證數據有效性。對無法避免階段性升級的設備還需要使用防病毒軟件,主要以被動防御為主。作為船舶設備的網絡安全,如何簡單有效利用各個手段完成不同廠家、不同設備的網絡安全對接,完成全船設備無安全漏洞的網絡集成,是當前船舶設計類關鍵技術。

DNV規范對網絡安全共劃分3個層級:基礎級Basic、加強級Advanced和增強級+。Basic主要用于已營運船舶,Advanced用于新造船的全過程,對資產所有者和營運方、系統集成者(如船廠)及設備制造商都有相應的要求。Basic 和Advanced 涵蓋了大量關鍵系統,包括推進、操舵、導航和發電。增強級+用于除了Basic/Advanced默認范圍之外的系統,可為船東和營運方提供更大的靈活性,以識別威脅,評估和保障對其營運具有特殊意義的額外系統。

針對配備網絡安全船級符號的船舶,整體設計流程分為設備范圍定義、設備系統分析、網絡安全設計要求、設備圖紙審核及實船檢驗等幾個關鍵流程。

1 網絡安全設備的確認

根據國際海事組織的規定,對于適用于船舶設備進行監測 控制,如受到網絡事件影響,可能會對人員安全,船舶安全及環境安全造成影響的設備約15項。結合客滾船的特點,進一步細化對應的網絡安全設備清單,見表1。

表1 網絡安全設備清單

不同船級社對安全設備的定義有不同的理解,因此具體的船舶要結合入級船舶規范的要求及船舶本身所配置的設備整理與項目對應的滿足網絡安全的設備清單。

2 網絡安全系統分析

2.1 網絡安全設備接口調查

利用清單列出最終網絡安全設備后,在技術協議簽署前需要向各企業收集相關接口信息,根據表2和圖1判斷此設備是否歸屬網絡安全管控范疇。

圖1 網絡安全管控邏輯

表2 網絡安全管控對照表

除了Q2不考慮外,上述問題共計會產生以下4種不同的答案。

A.Q1是No;Q3是No。

B.Q1是Yes;Q3是No。

C.Q1是No;Q3是Yes。

D.Q1是Yes;Q3是Yes。

2.2 網絡安全設備分類

根據以上4種不同的答案,需要讓廠家提供不同的解決方式或方案。

1)當答案選A時,需要廠家提供電氣原理圖,以證明此設備不存在接口用于升級設備的軟件或者改變原來的工作模式。

2)當答案選B和D時,需要廠家提供網絡拓撲圖,該圖要包含系統內部設備和系統對外部系統的所有的基于TCP/IP和串品的連接,以及系統內外部防火墻的配置。

3)當答案選C時,廠家需要填寫網絡調查表,提供電氣原理圖并且明確采用何種方式才能將設備進行維護更新。

4)對于能滿足Q4的設備是已經通過船級社的檢驗,在圖紙階段不需要再提供任何關于網絡安全方面的文件。

5)對于滿足Q2的設備,需要技術人員認真分析設備接口所布置的位置,考慮是否配置相關門禁系統。

2.3 網絡安全設備接口清單

當所有設備接口調查完整后,需要整理好相關設備清單,清單應詳細列出設備名稱、廠家名稱、接口類型;對于不適用網絡安全要求的設備也要列出對應問題的答復清單。網絡設備清單是用于制定船舶網絡安全設備策略的重要基礎,也是送審船級社所包含的重要內容,需要廠家認真答復相關問題。

3 網絡安全設計要求

網絡安全設計主要針對當下的攻擊目標和方式進行的防御性設計,其中網絡攻擊的目標包括:系統資源,應用程序,終端用戶和網絡設備。系統資源攻擊目標將系統核心資源利用及重要信息作為攻擊目標,從而影響系統正常運行。常見的攻擊方法有DOS攻擊,IP欺騙、IP掃描、中間人攻擊等。應用程序攻擊目標是攻擊應用程序的軟件設計缺陷,以獲取系統控制權和信息的攻擊。常見的攻擊方法有代碼注入攻擊、SQL注入攻擊、路徑遍歷攻擊等。終端用戶攻擊是攻擊目標指向終端用戶,以獲取用戶帳戶和密碼或者機密信息為目的。常見的攻擊方法有網絡釣魚攻擊及各種僵尸病毒攻擊。網絡設備攻擊目標是攻擊網絡設備,以獲得網絡安全管理的控制權。常見的攻擊方法有ARP欺騙攻擊、DHCP劫持攻擊、DNS劫持攻擊等。

網絡黑客通過以上方法可能攻擊船舶、包含港內信息系統和船上核心設備,因此對于船舶網絡的設計主要從物理層面、架構層面和邊界防護進行設計。這3個層面又可以展開為網絡風險的識別、保護、監測、恢復、響應等。

對于物理層面的設計主要考慮設備的物理處所、物理訪問以及設備安裝部署的設計要求。對船用涉及安全、推進控制等主要設備的安裝應有獨立于船舶主電源之外的備用電源供電,可以采用UPS且能持續供電30 min。物理訪問的限制主要為了避免網絡攻擊者直接接觸設備進行網絡破壞。對終端或者服務器等設備可以采用帶有密碼鎖的房間內或者控制柜內,防止網絡攻擊者直接接觸。一部分無法做到封閉處理且需要經常操作的設備采用入口專人值守或者設置電子門禁的方式進行授權訪問。

網絡架構方面主要考慮系統的持續可用性,設計上可采用獨立單元、冗余組件、冗余通信網絡和物理分割等措施。如涉及安全和需要實時控制的推進系統、貨控系統需要采用獨立的軟硬件設備,在物理層面上與其他數據網絡以及外部公共信息網絡進行安全隔離。對有信息數據傳遞需求的設備,尤其是船舶以外的數據交換、業務訪問可以設置信息隔離區,此隔離區獨立于船舶內部任何1個網絡,有信息需求時經過授權方可訪問。數據交換離不開通信,在考慮網絡架構安全的同時需要考慮通信安全。船舶系統設計的基本原則是單一設備的損害不能導致2個及2個以上的系統無法工作。對于通信設計,要求相同。在進行通信傳輸和接口的設計時應考慮采用1個系統或者設備故障不能擴展到另一個系統的阻斷設計,如增加防火墻、過濾模塊,通訊前阻斷和篩選有害通訊在系統上保持相互獨立又互相連通。

邊界防護可以實現不同網絡區域的相互連接并對邊界進行控制的設計策略。主要方式是通過代理、網關、路由器、防火墻、單向網關等措施。當外部有與船舶通訊需求時,就有可能通過無線、有線等形式傳播有害信息,邊界防火墻的作用就是阻止該情況的發生。并且涉及人身安全和船舶安全系統的通信需要設置2個邊界防火墻。如果攻擊正在進行,除了被動防御之外還應有主動防御的報警功能。

船舶網絡安全的設計還應考慮設計安全性、系統的安裝和更新,進行定期的安全檢查。有針對性地對船舶網絡的運行模擬攻擊試驗,檢測系統防護和回應,及時更新,保持系統和設備處于最新狀態。

4 網絡安全圖紙審核

根據DNVGL第6部分第5章第21部分對網絡安全圖紙的要求,對于需要滿足網絡安全的設備根據不同的網絡安全的級別,將相關文件提交船級社審批。

4.1 網絡安全設備系統配置方案

設備配置清單應詳細列出網絡硬件型號及版本、網絡接口形式、IP地址清單、防火墻及防火墻控制軟件版本、補丁等級和防病毒軟件。

4.2 網絡安全設備架構圖

設備網絡安全系統架構圖可顯示所有系統的區域和類別以及范圍涵蓋的互聯,框架圖紙應包括邏輯和物理系統拓撲圖,包含設備名稱和標識符、接入點(集成、無線及遠程訪問),外部數據流列表、連接區域和防護設備(防火墻、路由器及相關VPN)。

4.3 網絡安全設計策略

網絡安全設計策略文件應包含網絡系統的組成范圍以及互相連接信息,基本包括以下信息:系統或者域的網絡接口說明,接口安全配置文件及遠程訪問接口配置。

4.4 網絡安全設備認可圖

設備系統說明書應提供供貨范圍、網絡安全配置圖、網絡安全事件的安全狀態說明、設備系統功能介紹、系統拓普圖、電氣原理圖和軟件更新手冊、設備系統原理圖中表示系統就地及遠程控制原理圖、系統接口圖、外部船舶連接方式、電氣接線圖、設備布置圖以及系統控制軟件的操作、修改及維護說明書。

4.5 網絡安全測試大綱

此大綱將包含2套測試流程并且此測試方案應包含所有需要滿足網絡安全的每1套設備。例如,設備操作站的系統組成、防火墻的設定,以及遠程連接等。第一套流程應詳細介紹單獨設備網絡設計原則。第二套流程是整體測試大綱,大綱應介紹整套網絡組織框架及測試方法,包含設備初始狀態、如何執行測試、測試檢驗過程和驗收標準。

5 網絡安全實船檢驗

根據最終提交經認可的網絡安全測試大綱進行網絡安全測試,測試前檢查產品資產清單、安全配置、網絡拓撲及接口的符合性,特別是船舶網絡防火墻、路由器、交換機等網絡設備的安全配置,將設備的控制參數調整至正常狀態之后,模擬對設備控制系統進行網絡接入,進行安全漏洞掃描、滲透測試、壓力測試、負載測試、惡意軟件安裝等,以驗證單個設備可以滿足對應網絡安全等級的防護。網絡安全測試后需要對設備進行正常操作以驗證其系統控制沒有受到網絡攻擊的傷害。

當單一設備完成網絡測試后需要船舶網絡進行整體測試檢驗。測試主要針對不同區域的網絡防火墻布局、遠程訪問、網絡隔離及服務器攻擊進行全面測試。測試工程師可以將測試電腦接入船舶網絡系統,對網絡系統模擬發起負載測試和網絡風暴,各網絡部件將承受大量數據的流通來驗證數據過載承受能力,并查看系統是否能啟動保護機制,同時也能夠發現整個系統的最薄弱的環節,以備進行系統升級。

6 結論

當船舶入級申請中配有網絡安全船級符號時,要圍繞著網絡安全的設計要求來推進船舶設計。

1)根據船級符號的要求整理船舶所有網絡安全設備的清單,以保證所有的設備都要網絡安全框架內。

2)從廠商技術談判之初來考慮網絡安全的相關技術要求,做好設備接口調查表以便整理網絡框架圖紙。

3)根據設備的不同屬性將其歸屬在不同的網絡框架內,不同的網絡系統應增加隔離手段,例如防火墻等,最大限度保護自身網絡的安全。

4)完成所有網絡安全設計后,應向船級社送審1套完整的網絡安全實驗大綱送審,此大綱是網絡安全現場檢驗的依據。