共筑航運網(wǎng)絡(luò)安全的鐵壁銅墻

本刊記者 劉 蕭

觀 察 Observation

共筑航運網(wǎng)絡(luò)安全的鐵壁銅墻

本刊記者 劉 蕭

層出的案例映射出航運業(yè)解決網(wǎng)絡(luò)安全問題已刻不容緩。在未來，只有各方協(xié)力將網(wǎng)絡(luò)安全防護(hù)技術(shù)、影響、影響網(wǎng)絡(luò)安全的因素結(jié)合起來，采取可行性高的防護(hù)措施，建立健全防護(hù)體系，并增強(qiáng)單位內(nèi)部人員的網(wǎng)絡(luò)安全意識和技能，才能真正從源頭上解決網(wǎng)絡(luò)安全問題。

今年5月，WannaCry勒索病毒席卷全球，制造了堪稱是“史上最大規(guī)?！钡娜蛐跃W(wǎng)絡(luò)攻擊事件。據(jù)國外知名網(wǎng)絡(luò)安全機(jī)構(gòu)統(tǒng)計，僅5月12日一天，全球就有99個國家和地區(qū)發(fā)生了超7.5萬起WannaCry勒索病毒攻擊事件。由于贖金需要用比特幣支付，勒索病毒在“發(fā)力”的同時更炒熱了比特幣，導(dǎo)致短短兩周時間比特幣的價格就飆漲了63%。對于某些比特幣持有者而言，勒索病毒的蔓延無疑帶來了一筆“飛來橫財”。但對于古老的航運業(yè)而言，我們卻需要冷靜思考：面對病毒肆虐，網(wǎng)絡(luò)安全該如何強(qiáng)身健體？

隱性風(fēng)險 意識覺醒

據(jù)外媒報道：新加坡船東協(xié)會（SSA）總裁Esben Poulsson曾在2016年公開表示，目前超過90%的公司高管都說他們沒有閱讀網(wǎng)絡(luò)安全報告，也沒有做好處理網(wǎng)絡(luò)攻擊的準(zhǔn)備。盡管這一說法的準(zhǔn)確性與真實性難以考證，但其卻從側(cè)面反映出這樣一個問題：航運公司對于網(wǎng)絡(luò)安全的重視還待加強(qiáng)。

2011年，意大利某油船從阿拉伯灣啟程前往地中海途中被海盜劫持。事后調(diào)查發(fā)現(xiàn)，該船從行程、貨物、船員、地點到無武裝警衛(wèi)等信息無不都被海盜雇傭的技術(shù)人員提前獲悉。而探究海盜“有的放矢”的源頭則來自岸基的網(wǎng)絡(luò)漏洞。2017年3月的RSA安全大會上，《Verizon數(shù)據(jù)外泄匯編報告》也向外界展示了海盜捆綁黑客利用網(wǎng)絡(luò)技術(shù)搶劫某集裝箱船舶的案例。令人震驚的是，一改往常的綁架索要贖金流程，涉事海盜在登船后迅速搶走了一個內(nèi)裝昂貴貨物的集裝箱，隨后便揚長而去。海盜的背影無疑讓業(yè)界對網(wǎng)絡(luò)安全與精準(zhǔn)搶劫有了新的認(rèn)知與思考。顯然，海盜與黑客組合可能達(dá)到“1+1＞2”的效果。而且案例的出現(xiàn)也恰恰說明，航運業(yè)的網(wǎng)絡(luò)安全風(fēng)險無處不在。

而且就在記者截稿前，與WannaCry類似的勒索病毒卷土重來，發(fā)動了新一輪的全球性攻擊，重創(chuàng)了全球諸多港口。據(jù)相關(guān)媒體報道，一位Reddit用戶聲稱在紐約和新澤西州的APM碼頭系統(tǒng)崩潰，并顯示需要比特幣贖金。與此同時，業(yè)內(nèi)媒體《JOC》的報道也證實了這點，《JOC》表示此次事件對APM碼頭公司影響較大，Maasvlakte II碼頭已關(guān)閉。此外，還有一些美國碼頭包括伊麗莎白港、新澤西港的碼頭在病毒爆發(fā)后的第二天仍然關(guān)閉。印度最大集裝箱港口賈瓦哈拉爾尼赫魯港(JNPT)也宣布，已成為全球新一輪勒索病毒攻擊的目標(biāo)，三分之一的碼頭運營受到干擾。一些港口在遭受攻擊后只能試圖使用人力清理到港集裝箱，而這導(dǎo)致了港口運營能力的急速下降。據(jù)介紹，一些港口在受到病毒侵害后，運營能力僅能維持正常狀態(tài)下的三分之一。不僅如此，由于裝卸貨的延誤，也不免導(dǎo)致了大批集裝箱的堆積，催生出港區(qū)擁堵現(xiàn)象。同時“糟糕”的狀況不僅存在于港口方。港口“癱瘓”更倒逼一些航運公司的船舶只能掛靠第三方碼頭。

不可不說此次的網(wǎng)絡(luò)事件讓航運、港口方嘗盡苦頭，但伴隨著“痛苦”也有一種改變在悄然發(fā)生。就在一年前，“網(wǎng)絡(luò)安全”問題還被作為各公司的“禁忌”話題而被雪藏。當(dāng)年P(guān)anda Security公司曾邀請數(shù)十個曾經(jīng)遭受過網(wǎng)絡(luò)攻擊的油運公司協(xié)助處理，并且聲明這些服務(wù)均是免費，但卻沒有一家公司愿意協(xié)助報告入侵事件。Panda Security相關(guān)專家認(rèn)為：“究其原因，主要癥結(jié)還是在于船公司擔(dān)心自身IT安全網(wǎng)絡(luò)漏洞會被外界認(rèn)為其存在高風(fēng)險點。此外，如果此問題無法根除，則更容易讓人誤解為船公司‘默許’客戶機(jī)密信息泄露?！倍缃?，相比于一年前的“緘默”，現(xiàn)下航運業(yè)在應(yīng)對網(wǎng)絡(luò)安全問題上有了翻轉(zhuǎn)式的認(rèn)識與態(tài)度。此次病毒爆發(fā)后，我們看到了航運公司為解除客戶顧慮，力圖通過各種渠道“直播”問題解決進(jìn)程的做法。如此透明的做法，不可不說是對網(wǎng)絡(luò)安全風(fēng)險最有力的宣戰(zhàn)。而且伴隨著未來成長，我們有理由相信業(yè)界有能力妥善處理好網(wǎng)絡(luò)安全風(fēng)險問題。

Safety& Security

安聯(lián)全球企業(yè)及特殊風(fēng)險有限公司(AGCS)曾在去年的年報中表示，網(wǎng)絡(luò)攻擊已經(jīng)嚴(yán)重干擾到了現(xiàn)代化的船舶駕駛臺系統(tǒng)安全和先進(jìn)的船舶技術(shù)發(fā)展。不僅如此，報告的調(diào)研結(jié)果也流露出了外界對與船舶行業(yè)網(wǎng)絡(luò)安全問題的高度關(guān)切。當(dāng)然，這種關(guān)注也從側(cè)面衍生出了如何做才能確保在航船舶網(wǎng)絡(luò)安全這一議題。中國船級社（CCS）智能船舶工作組組長蔡玉良認(rèn)為，船公司有必要正確理解并重視船舶網(wǎng)絡(luò)安全中“Safety”與“Security”的兩層含義。

至于如何理解中文同樣被翻譯成“安全”的兩詞，蔡玉良在采訪中向記者作了細(xì)致說明：“Safety”一詞意在通過技術(shù)有效維護(hù)營運船舶的網(wǎng)絡(luò)安全。關(guān)于這一層面，也許有人會認(rèn)為如果船上不與岸基溝通，其也就相當(dāng)于一個“內(nèi)網(wǎng)”。對于管控內(nèi)網(wǎng)而言，只要管理得當(dāng)，便較難出現(xiàn)網(wǎng)絡(luò)安全問題。但實際情況卻并非如此簡單。目前，越來越多的新造船舶采用信息技術(shù)，將船舶輪機(jī)監(jiān)控系統(tǒng)、航海駕駛智能化系統(tǒng)等納入一個統(tǒng)一的網(wǎng)絡(luò)系統(tǒng)，以實現(xiàn)船舶管控一體化。以綜合橋樓系統(tǒng)為例，伴隨高度集中化、系統(tǒng)化的綜合橋樓系統(tǒng)為航運業(yè)帶來方便，其對于網(wǎng)絡(luò)安全的依賴性也越來越強(qiáng)。

談到這里，記者不禁聯(lián)想到了采訪當(dāng)中了解到的一個案例。據(jù)一位曾經(jīng)參與過船舶能效監(jiān)控項目的業(yè)內(nèi)人士介紹，當(dāng)下不少航運公司都在推進(jìn)“大數(shù)據(jù)”時代下的數(shù)據(jù)積累與挖掘工作，而想要收集這些數(shù)據(jù)則需要在船舶計算機(jī)后方接口處添加能效監(jiān)控硬件?！耙来坝嬎銠C(jī)后方接口連接了主機(jī)、GPS盒子與風(fēng)速儀等設(shè)備。一旦病毒侵入，那么整艘船舶都將陷入危險之中。所以如何保證數(shù)據(jù)以及營運船舶的網(wǎng)絡(luò)安全，這就需要在技術(shù)層面給予充分考慮?！彼忉尩剑骸盀榱朔乐共话踩F(xiàn)象出現(xiàn)，我們特意加裝了光電隔離的接口設(shè)備。其可將光信號與電信號進(jìn)行相互轉(zhuǎn)化?？梢哉f光電隔離設(shè)備保證了眾多船舶電器設(shè)備的不互相干擾，掃平了病毒所致的船舶安全風(fēng)險?！北M管這一做法僅是“Safety”一詞中的“滄海一粟”，但其理念與做法卻值得業(yè)內(nèi)借鑒。

相比于船舶網(wǎng)絡(luò)安全中較為直觀的“Safety”，“Security”的含義則偏重于概括安保、管理層面的相關(guān)內(nèi)容。在采訪中記者了解到，船舶靠港后往往存在多家配件供應(yīng)商同時上船進(jìn)行相關(guān)服務(wù)的現(xiàn)象。在此期間，相應(yīng)的軟件維護(hù)商也會上船對目標(biāo)船舶的軟件系統(tǒng)進(jìn)行檢測、維護(hù)、升級等工作。專家坦言：“如若缺乏相應(yīng)的安保管理，那么此時就較易通過外界具備數(shù)據(jù)傳輸?shù)拇霸O(shè)備和系統(tǒng)途徑使船舶計算機(jī)感染病毒。”并非空談，因為就在今年BIMCO海事安全辦公室主管Giles Noakes還曾針對此種“無意”的網(wǎng)絡(luò)威脅談到：雖然設(shè)計系統(tǒng)和不受保護(hù)的船載網(wǎng)絡(luò)令人嚴(yán)重?fù)?dān)憂，但通過USB傳輸惡意軟件仍是目前最大的威脅之一。不僅如此，其還舉例談到：“比如說，一個船員在ECDIS系統(tǒng)連接USB給手機(jī)充電，從而感染病毒導(dǎo)致整個系統(tǒng)無法運行。這是個代價昂貴的錯誤。”

安全“落地”

采訪中，CCS智能船舶工作組組長蔡玉良向記者介紹，CCS將網(wǎng)絡(luò)安全研究作為重要課題，并提供解決方案，旨在降低船舶生命周期各階段的網(wǎng)絡(luò)風(fēng)險。在國際上，CCS承擔(dān)國際船級社協(xié)會（IACS）網(wǎng)絡(luò)安全的重要議題研究工作，并積極推進(jìn)網(wǎng)絡(luò)安全要求在公約和規(guī)范體系中的落實。標(biāo)準(zhǔn)方面，CCS推出了《船舶網(wǎng)絡(luò)要求及安全評估指南》，用以幫助船東和管理公司規(guī)范化船舶網(wǎng)絡(luò)的體系建設(shè)，并提供量化評估辦法；CCS建立了一支專業(yè)化程度高，集合了檢驗、審核、IT、風(fēng)險分析等多領(lǐng)域人才的專家隊伍，為業(yè)界提供網(wǎng)絡(luò)安全的評估與咨詢服務(wù)，目前已完成了示范船舶的評估及公司審核；科研方面，CCS針對安全標(biāo)準(zhǔn)、安全態(tài)勢感知、威脅數(shù)據(jù)分析、針對性防御分析、漏洞掃描與滲透測試等網(wǎng)絡(luò)安全中的關(guān)鍵技術(shù)問題開展了專項攻關(guān)與實驗，為評估服務(wù)提供有力支撐；此外，CCS還將網(wǎng)絡(luò)安全與智能船舶測評、驗證等工作結(jié)合，與大連海事大學(xué)、中船工業(yè)系統(tǒng)工程研究院等單位開展深度合作，進(jìn)行聯(lián)合研究。

蔡玉良補(bǔ)充談到：“國際安全管理規(guī)則（ISM Code）的核心是要求船東應(yīng)該識別船舶可能存在的風(fēng)險，并采取相應(yīng)措施。鑒于目前業(yè)內(nèi)已達(dá)成網(wǎng)絡(luò)安全為高風(fēng)險的共識，未來CCS將進(jìn)一步推進(jìn)將網(wǎng)絡(luò)安全納入到ISM Code的進(jìn)程。另外，IMO第98屆海上安全委員會通過并發(fā)布了《海上網(wǎng)絡(luò)風(fēng)險管理指南》，并在有關(guān)提高海事安全措施的決議中，鼓勵各國政府確保不遲于2021年1月1日之后的首次DOC年度驗證時，反映網(wǎng)絡(luò)風(fēng)險管理的相關(guān)內(nèi)容，如加強(qiáng)人員培訓(xùn)、提高人員安全意識、規(guī)范訪問管理等方面。合力之下，相信未來航運業(yè)來自網(wǎng)絡(luò)安全層面的風(fēng)險將會得到有效遏制?！?/p>

其實，近年來CCS針對網(wǎng)絡(luò)安全威脅已經(jīng)做了大量工作。如在2015年發(fā)布的《智能船舶規(guī)范》，從智能船舶從設(shè)計、建造到運營全生命周期，全方位詮釋并解決網(wǎng)絡(luò)安全問題與智能船舶的交集；不僅如此，在擔(dān)任IACS主席期間，CCS牽頭了網(wǎng)絡(luò)系統(tǒng)委員會軟件維護(hù)指南（software maintenance）的編寫工作，同時參與網(wǎng)絡(luò)體系結(jié)構(gòu)（Network Architecture）、網(wǎng)絡(luò)安全（Network Security）、遠(yuǎn)程更新/訪問（Remote Update/ Access）指南的編寫。這些成果被視為與業(yè)界一同重視并解決網(wǎng)絡(luò)安全問題最實用的一記“組合拳”；近期，CCS發(fā)布了《船舶網(wǎng)絡(luò)系統(tǒng)及安全評估指南》，通過對軟件、硬件及風(fēng)險三方面的指導(dǎo)意見，進(jìn)一步針對網(wǎng)絡(luò)狀況及網(wǎng)絡(luò)產(chǎn)品進(jìn)行安全評估，協(xié)助航運業(yè)防范網(wǎng)絡(luò)風(fēng)險； CCS成立了船舶網(wǎng)絡(luò)空間安全研究中心，在網(wǎng)絡(luò)安全技術(shù)與管理體系方面展開研究，為航運企業(yè)提供系統(tǒng)的網(wǎng)絡(luò)測試、評估及技術(shù)咨詢服務(wù)?！氨娙耸安癫拍芑鹧娓摺薄ａ槍W(wǎng)絡(luò)安全威脅，航運企業(yè)本身也應(yīng)從微觀層面制定一套適合自身的、行之有效的管理流程，才能形成“雙保險”保證網(wǎng)絡(luò)安全“落地”。那么如何做才能充分發(fā)揮船舶計算機(jī)作用，保障船舶端信息化硬件、軟件及網(wǎng)絡(luò)設(shè)備的正常使用與安全呢？記者在采訪中也總結(jié)了一些管理示例，供業(yè)內(nèi)參考。

首先，建議船公司專門設(shè)置相關(guān)責(zé)任部門擔(dān)負(fù)起制定船舶計算機(jī)網(wǎng)絡(luò)配置規(guī)范與標(biāo)準(zhǔn)的職責(zé)。主要針對船舶計算機(jī)網(wǎng)絡(luò)，按照各船實際條件分別以小型局域網(wǎng)或工作組成網(wǎng)，保持標(biāo)準(zhǔn)配置，減少不必要的干擾因素。針對船舶上的服務(wù)器、電子郵件通訊計算機(jī)、船長辦公室計算機(jī)、輪機(jī)長辦公室計算機(jī)、甲板部辦公室計算機(jī)、輪機(jī)部辦公室計算機(jī)等連入網(wǎng)絡(luò)內(nèi)的工作用計算機(jī)責(zé)任部門，都需提供IT技術(shù)支持，并負(fù)責(zé)船舶計算機(jī)及設(shè)備的日常購置更新工作。

其次，船長是船舶計算機(jī)安全管理的責(zé)任人。應(yīng)擔(dān)負(fù)起組織船員嚴(yán)格按照公司要求使用和管理船舶計算機(jī)硬件、軟件、船舶信息系統(tǒng)和相關(guān)資料等責(zé)任。特別提示，船長應(yīng)負(fù)責(zé)監(jiān)督和檢查船舶電腦的使用狀況，未經(jīng)船長同意，任何人不得隨意更改硬件設(shè)備位置及用途。除此以外，船員應(yīng)按照授予的權(quán)限使用船舶信息系統(tǒng)，并嚴(yán)格管理用戶帳號和密碼，防止計算機(jī)泄密。船舶二副應(yīng)負(fù)責(zé)保管公司以文件、電子郵件等下發(fā)的船舶信息系統(tǒng)、應(yīng)用軟件的重要操作說明、安裝資料，計算機(jī)跟機(jī)配備的技術(shù)資料等。這其中包括使用說明、操作指南、安裝/恢復(fù)光碟、設(shè)備驅(qū)動程序、軟件使用權(quán)證等，須將有關(guān)資料分類登記做好清單、標(biāo)記并以獨立的文件盒保管，放置在備件柜。當(dāng)船舶信息系統(tǒng)、應(yīng)用軟件的操作說明或安裝光碟升級改版時，由二副負(fù)責(zé)把保管的資料與光碟及時更新，確保電報室始終保留一份完整的、更新及時的資料。

最后，公司登輪檢查人員應(yīng)利用上船檢查機(jī)會，對船舶計算機(jī)管理執(zhí)行檢查，行政人事部提供必要的技術(shù)支持。檢查范圍包括船舶計算機(jī)軟件安裝情況，信息系統(tǒng)和計算機(jī)的資料保管情況、防病毒軟件安裝更新情況以及信息系統(tǒng)的使用情況等，檢查結(jié)果分別提交公司機(jī)務(wù)部主管領(lǐng)導(dǎo)審閱，由機(jī)務(wù)部向公司行政人事部報備。

隨著船舶智能化的發(fā)展，其安全性和可靠性變得更加重要，網(wǎng)絡(luò)安全管理也變得越來越復(fù)雜。在發(fā)展過程中，業(yè)界必須正視智能化快速發(fā)展中出現(xiàn)的問題，要在問題的發(fā)現(xiàn)與改善中不斷取得更為良性的發(fā)展，發(fā)揮其最大作用。未來，只有把網(wǎng)絡(luò)安全防護(hù)技術(shù)、影響網(wǎng)絡(luò)安全的因素結(jié)合起來，采取可行性高的防護(hù)措施，建立健全防護(hù)體系，增強(qiáng)單位內(nèi)部人員的網(wǎng)絡(luò)安全意識和技能，才能真正從源頭上解決網(wǎng)絡(luò)安全問題。