船舶計算機網絡系統與網絡安全管理防護路徑分析

摘要：船舶計算機網絡系統由于其工作特性，所面臨的風險也存在一定特殊性。為進一步提高安全管理效果，優化防護路徑，本文從網絡入侵檢測與防火墻配置、安全風險評估系統建設、通信協議配置三方面出發，通過引入蜜罐系統、構建基于層次分析法和加權法的安全風險評估系統、應用基于IEEE 802.11i協議和MQTT協議的通信加密技術，綜合制定防護方案，并通過系統性能測試、網絡安全性測試、安全風險評估系統測試，驗證了新方案在提升數據傳輸安全性、增強系統穩定性、應對復雜網絡安全威脅方面的有效性。測試結果表明，新方案在網絡延遲、數據吞吐量和攻擊防護能力等方面均顯著優于傳統方案，整體風險評分大幅降低，能夠有效改善現代船舶計算機網絡系統運行安全性。

關鍵詞：船舶計算機網絡系統；網絡安全

引言

隨著信息技術的迅猛發展，船舶計算機網絡系統在現代船舶運營中的作用日益重要。然而，船舶網絡系統面臨的安全威脅也日益復雜多樣，傳統的網絡安全防護措施已難以應對當前的挑戰。現代船舶依賴于計算機網絡系統進行導航、通信、監控、管理，任何安全漏洞都可能導致嚴重的航行事故，并產生經濟損失。基于此，研究通過開發高效、可靠的網絡安全防護技術十分有必要，以此改善船舶網絡系統安全威脅，為相關技術的發展提供科學依據。

1. 船舶計算機網絡系統安全威脅分析

1.1 常見網絡安全威脅

船舶計算機網絡系統面臨的主要安全威脅包括網絡入侵、病毒與惡意軟件。網絡入侵通過系統漏洞、弱密碼或社會工程學手段非法訪問系統，可能導致導航和通信系統癱瘓，影響航行安全。病毒和惡意軟件通過惡意郵件或下載文件傳播，破壞系統、篡改數據或竊取信息，導致系統崩潰、數據泄露或運營中斷。

1.2 船舶特定網絡安全威脅

船舶特定的網絡安全威脅包括GPS（global positioning system，全球定位系統）欺騙攻擊、AIS（automatic identification system，自動識別系統）攻擊和通信終端干擾。GPS欺騙通過虛假信號使導航系統接收錯誤信息，可能導致航線偏離、碰撞或擱淺。AIS攻擊通過偽造信號篡改船舶位置信息，干擾海上交通管理，可能引發交通擁堵或安全事故。通信終端干擾通過無線電干擾或信號阻塞中斷通信，影響航行指令傳達。為防范這些威脅，須采用抗干擾技術、加密通信和多重驗證等措施。

2. 網絡安全管理防護路徑分析

2.1 網絡入侵檢測與防火墻配置

網絡入侵檢測方面，研究對現有系統進行優化，部署蜜罐系統，其功能在于創建虛擬的易受攻擊系統，誘使攻擊者發起攻擊，并在攻擊過程中收集詳細的日志、數據[1]。蜜罐系統能夠識別網絡掃描、漏洞利用、惡意軟件傳播等多種攻擊形式，提供早期預警，并有助于制定針對性的防護策略。技術應用具體原理為：設蜜罐系統中的誘餌主機數量為，每臺誘餌主機的日志記錄為Li，其中t=1，2，...，n。每個日志記錄包含多種數據項，如時間戳t、攻擊源IP、目標端口Pdst、攻擊類型Atype等。定義攻擊行為集合A為A｛（t，IPsrc，Pdst，Atyoe）｜i=1，2，…，n｝，通過分析集合A中的模式與頻率，可以識別常見攻擊手法，并利用數據挖掘技術提取特征用于防御策略優化。

在防火墻配置方面，須配置訪問控制列表（ACL），定義允許與拒絕的流量規則。ACL應根據船舶網絡的具體需求，嚴格限制進出網絡的數據包，確保只有授權的通信能夠通過。具體配置原理為：設網絡中的流量為F，流量中的每個數據包包含源地址IPSTC、目的地址IPdst、端口號P、協議類型T，訪問控制列表ACL定義為一組規則R，每條規則包含允許或拒絕的條件，如式（1）：

（1）

每條規則Rj定義如（2）：

（2）

式中，a表示“allow”或“deny”，每個數據包只有滿足某條規則Rj的允許條件時，才能通過防火墻，否則會被拒絕。

在此基礎上啟用狀態檢測功能，跟蹤網絡連接的狀態信息，識別并阻止異常連接請求。狀態檢測通過記錄與分析每個連接的狀態，能夠有效防御TCP/IP協議棧攻擊。在狀態檢測表T中，包含所有活動的連接狀態，如式（3）：

（3）

此外，防火墻配置還應包括包過濾規則，基于數據包的源地址、目的地址、端口號、協議類型進行過濾，阻止潛在的攻擊流量進入網絡[2]。結合蜜罐系統的入侵檢測與防火墻的多層次配置，可以有效提升船舶計算機網絡的安全性，防止各種形式的網絡攻擊。

2.2 特定安全威脅應對策略

2.2.1 安全風險評估系統結構說明

針對特定安全威脅，此次研究通過構建船舶安全風險評估云計算平臺，采用層次分析法（AHP）和加權平均法（WA）建立評估模型。平臺分為五個層次：數據采集層、數據預處理層、數據分析層、應用服務層、展示層，具體如下：

（1）數據采集層——通過多種手段（如Corbe采集、視頻采集、人工輸入等）收集船舶運營中的各類數據，包括業務庫、配置庫、日志庫、附件庫等。

（2）數據處理層——對收集的數據進行清洗、轉換、集成，形成可用的元數據集。

（3）數據分析層——是平臺的核心，通過評估指標體系構建、評估模型構建、數據挖掘技術以及數據分析技術，對預處理后的數據進行深入分析。

（4）應用服務層——提供查詢與分析服務、用戶與權限服務、搜索引擎服務等功能，通過界面組件與視頻組件，實現對評估結果的可視化展示[3]。

（5）展示層——包括個性化定義、故障分析、評估結果可視化等模塊，使用戶能夠直觀地了解船舶安全風險評估結果與相關分析。

2.2.2 安全風險評估系統建設過程

安全風險評估系統建設主要依賴層次分析法，構建評估指標體系，將復雜的安全評估問題分解為多個層次與因素，逐級進行比較，并分配權重。過程如下：

（1）建立層次結構模型：將安全風險評估問題分解為目標層、準則層、方案層。目標層為總目標，即船舶安全風險評估；準則層包括各類風險因素，如網絡入侵、病毒攻擊、GPS欺騙、AIS攻擊等；方案層為各風險因素具體評估指標。

（2）構建判斷矩陣：對準則層、方案層的各因素進行兩兩比較，確定它們在各自層次中的相對重要性，構建判斷矩陣A=[aij]，其中aij表示因素i與j因素的相對重要性[4]。

（3）計算權重向量：通過計算判斷矩陣的特征向量，確定各因素的權重。先進行矩陣歸一化處理，如式（4）：

（4）

式中，aij'表示歸一化后的判斷矩陣元素，表示因素i與j相對重要性歸一化值。

再計算歸一化矩陣的特征向量W，如式（5）：

（5）

式中，W表示權重向量；n表示矩陣維度。

（4）一致性檢驗：對判斷矩陣進行一致性檢驗，確保判斷矩陣的合理性與一致性。計算一致性比率CR，如式（6）：

（6）

式中，CI表示一致性指數，用于判斷矩陣的偏差程度；RI表示隨機一致性指標，當CR＜0.1時，判斷矩陣具有一致性。

（5）加權平均法進行最終風險評估，如式（7）：

（7）

式中，S為最終評估結果；wi表示第i個指標權重；xi表示第i個指標具體數值[5]。

通過構建船舶安全風險評估云計算平臺，利用層次分析法與加權平均法，能夠系統化、精確化地評估船舶面臨的各類安全風險，為制定有效的安全防護策略提供科學依據。

2.2.3 通信安全加密技術

本次設計采用更為綜合且靈活的加密策略，通過結合IEEE 802.11i協議與實時數據通信協議，不僅提升數據傳輸的安全性，還增強系統的穩定性與實時性，確保船舶通信網絡的全方位保護[6]。該協議采用高級加密標準（AES）進行加密，并通過802.1X認證框架實現端到端的安全性。具體步驟如下：

（1）身份驗證：利用802.1X協議，通過RADIUS服務器驗證客戶端身份。

（2）密鑰管理：通過四次握手協議生成并分發臨時密鑰（TKIP）[7-9]。

（3）數據加密：使用AES對數據進行加密，確保數據的機密性。

（4）完整性保護：通過消息完整性代碼（MIC）防止數據包被篡改。

IEEE 802.11i協議通過上述步驟確保無線通信的安全性，防止未授權訪問與數據篡改，保障船舶網絡系統的通信安amYHbr1QBQXyb/bX0eznUQ==全[10-11]。

除了IEEE 802.11i協議外，研究還引入MQTT輕量級的發布/訂閱消息傳輸協議，廣泛應用于物聯網（IoT）設備間的實時通信，適用于帶寬有限或不穩定的網絡環境，適合船舶網絡系統中的實時數據通信需求。其特點如表1所示。

3. 性能測試與分析

本次性能測試在一艘配備綜合計算機網絡系統的大型商用船舶上進行。該船舶網絡系統包括導航、通信、監控和管理系統，采用多項優化措施，包括網絡架構調整、硬件升級以及新通信協議的應用，如IEEE 802.11i和MQTT協議。測試分為三個階段：系統性能測試、網絡安全性測試和安全風險評估系統測試。

在系統性能測試中，測試網絡延遲和吞吐量，此次測試吞吐量主要用于船舶主控制室的核心交換機與船橋導航系統。測試結果如表2所示。

性能測試結果表明，優化后的系統網絡延遲保持在5ms以內，數據吞吐量達到1Gbps，這一結果主要由于將核心交換機從1Gbps端口升級到10Gbps端口，并升級了網絡線纜，在多項優化促使條件下有效提高數據吞吐量。研究還使用iperf3工具進行了30min的持續測試，在不同時間段和網絡負載下都能穩定達到接近1Gbps的吞吐量。網絡安全性測試中，研究模擬DDoS攻擊、MITM攻擊和惡意軟件植入等攻擊，驗證了系統防護能力。

結語

本文對船舶計算機網絡系統安全防護路徑的優化研究，通過引入蜜罐技術、構建安全風險評估系統、引入IEEE 802.11i協議與MQTT協議，能夠有效預防安全風險問題，提高網絡系統運行效率和質量，保證系統能夠快速響應，減小控制誤差，嚴防惡意軟件攻擊。

參考文獻：

[1]王棟耀.“5G+工業互聯網”賦能船舶建造數字化轉型[J].船舶標準化工程師，2024，57（4）：5-9.

[2]韓佳霖，楊奕廷.國際海事組織海上安全委員會第108屆會議簡報[J].世界海運，2024，47（6）：1-6，10.

[3]凌海生.船舶交通數據實時傳輸可靠性評估系統[J].艦船科學技術，2024， 46（11）：165-168.

[4]涂芳，周華濤.基于人工智能的船舶故障檢測結果智能推薦系統[J].艦船科學技術，2024，46（11）：173-176.

[5]李尚偉.船舶信息系統的設計及研究[J].船電技術，2024，44（6）：1-5.

[6]熊先華，賓進寬，姜飛.基于卷積神經網絡的過閘船舶越限識別方式[J].西部交通科技，2024（5）：186-189.

[7]桑家軍，嚴忠偉.智能船舶對船舶保險條款的適用性研究[J].中國海事，2024（5）： 21-24.

[8]索雙武，劉學良，李永杰，等.船員異常行為識別與分析方法策略及應用[J].珠江水運，2024（9）：99-103.

[9]屈寶莉，薛云.水上交通運輸網絡規劃與優化研究[J].珠江水運，2024（9）：79-81.

[10]謝金濤，許曉賦.AES算法的通信網絡防御數據全同態加密方法[J].三明學院學報，2021，38（3）：32-37，91.

[11]雷福寶，高娜，孟臘梅.基于固定密文長度的船舶通信加密控制方案[J].科技風，2020（7）：106，126.

作者簡介：賴顯凌，本科，工程師，Kai_shui@hotmail.com，研究方向：船舶系統安全。