郵輪網(wǎng)絡(luò)安全關(guān)注要點(diǎn)

中船郵輪科技發(fā)展有限公司 李 凱 林 麟 董良志

2020年4月10日，世界第二大集裝箱航運(yùn)公司地中海航運(yùn)MSC于日內(nèi)瓦的總部數(shù)據(jù)中心遭遇黑客惡意軟件攻擊。2020年5月19日，世界最大的船舶管理公司之一中英船管Anglo-Eastern官方網(wǎng)站被發(fā)現(xiàn)不能打開(kāi)。后經(jīng)確認(rèn)，這家管理著600多艘船舶的世界級(jí)航運(yùn)公司遭到了勒索軟件的攻擊，但好在事態(tài)很快就被控制，并沒(méi)有發(fā)生數(shù)據(jù)丟失。

網(wǎng)絡(luò)威脅正把目標(biāo)從陸地轉(zhuǎn)向海洋，從IT系統(tǒng)轉(zhuǎn)向OT系統(tǒng)。對(duì)于航運(yùn)業(yè)，尤其是郵輪行業(yè)，新型網(wǎng)絡(luò)病毒的防御已經(jīng)成為迫切的需求，網(wǎng)絡(luò)威脅的應(yīng)對(duì)已迫在眉睫。

網(wǎng)絡(luò)威脅特點(diǎn)

伴隨著科技的進(jìn)步，網(wǎng)絡(luò)威脅也呈現(xiàn)出新的特點(diǎn)，不僅新的惡意軟件和厲害的黑客不斷增加，威脅的主體也從傳統(tǒng)信息技術(shù)系統(tǒng)延伸到操作技術(shù)系統(tǒng)，生產(chǎn)環(huán)境和關(guān)鍵基礎(chǔ)設(shè)施也成為了網(wǎng)絡(luò)攻擊的目標(biāo)。信息技術(shù)系統(tǒng)和操作技術(shù)系統(tǒng)從系統(tǒng)運(yùn)行的環(huán)境、要求和面對(duì)的風(fēng)險(xiǎn)都存在巨大的差異（如下表），也要求技術(shù)人員提供更有針對(duì)性的安全解決方案。

操作技術(shù)系統(tǒng)包含直接監(jiān)視，控制物理設(shè)備及進(jìn)程的硬件和軟件。IT涵蓋了信息處理的技術(shù)范圍，包括軟件、硬件和通信技術(shù)等。傳統(tǒng)上，操作技術(shù)系統(tǒng)和信息技術(shù)系統(tǒng)是分離的，但隨著互聯(lián)網(wǎng)的出現(xiàn)，操作技術(shù)系統(tǒng)和信息技術(shù)系統(tǒng)的界限已經(jīng)變的越來(lái)越模糊。

郵輪面臨的網(wǎng)絡(luò)威脅

郵輪面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，不僅涉及到信息技術(shù)系統(tǒng)，還涉及到操作技術(shù)系統(tǒng)，這也給郵輪的網(wǎng)絡(luò)安全服務(wù)帶來(lái)了一定的挑戰(zhàn)。

綜合橋樓系統(tǒng)。隨著數(shù)字化和網(wǎng)絡(luò)化導(dǎo)航系統(tǒng)的使用日益增多，以及用于系統(tǒng)服務(wù)和更新的船岸間網(wǎng)絡(luò)接口的增加，該系統(tǒng)受到網(wǎng)絡(luò)攻擊的危險(xiǎn)性也隨之增加。沒(méi)有連接到網(wǎng)絡(luò)的橋樓系統(tǒng)也面臨著同樣的威脅，因?yàn)橐苿?dòng)介質(zhì)（U盤(pán)、光盤(pán)、移動(dòng)硬盤(pán)等）常被用來(lái)從其他受控或非受控網(wǎng)絡(luò)更新系統(tǒng)。網(wǎng)絡(luò)威脅可以通過(guò)影響服務(wù)的操作，進(jìn)而影響與橋樓系統(tǒng)相關(guān)的系統(tǒng)和設(shè)備，包括ECDIS、GNSS、AIS、VDR和ARPA等。

通信導(dǎo)航系統(tǒng)。郵輪的通信導(dǎo)航系統(tǒng)包含大量的電子設(shè)備，例如GPS、測(cè)深儀、電子海圖和雷達(dá)等，這些設(shè)備終端提供的數(shù)據(jù)為郵輪的安全航行提供支持，保證了郵輪的安全航行。攻擊者可以通過(guò)篡改相關(guān)的數(shù)據(jù)，直接影響郵輪航線(xiàn)的制定，造成碰撞和擱淺等風(fēng)險(xiǎn)。

機(jī)艙監(jiān)控、推進(jìn)控制和電站管理等系統(tǒng)。使用數(shù)字化系統(tǒng)來(lái)監(jiān)測(cè)和控制郵輪設(shè)備、推進(jìn)和操舵等功能，使得這些系統(tǒng)也容易受到網(wǎng)絡(luò)攻擊。當(dāng)這些系統(tǒng)具有遠(yuǎn)程監(jiān)控的功能或與通信導(dǎo)航系統(tǒng)相連接，那么這更增加了系統(tǒng)遭受網(wǎng)絡(luò)攻擊的危險(xiǎn)。

門(mén)禁控制系統(tǒng)。數(shù)字化的門(mén)禁系統(tǒng)在郵輪上的應(yīng)用越來(lái)越廣泛，用于管理乘客房間訪(fǎng)問(wèn)，以確保郵輪上乘客人身和財(cái)產(chǎn)安全。該系統(tǒng)被連接到安全管理平臺(tái)，也增加了遭受網(wǎng)絡(luò)攻擊的危險(xiǎn)。

酒店管理系統(tǒng)。郵輪的酒店管理系統(tǒng)，具有酒店管理、乘客消費(fèi)、乘客登離船控制等功能，儲(chǔ)存了乘客的姓名、年齡、護(hù)照、銀行卡等大量的私人信息。為了滿(mǎn)足財(cái)務(wù)管理的需要，該系統(tǒng)一般被連接到岸上網(wǎng)絡(luò)，這就給網(wǎng)絡(luò)襲擊提供了可能。同時(shí)，智能終端設(shè)備(平板電腦、手持掃描儀等)也可以作為一個(gè)攻擊途徑，具有遭受網(wǎng)絡(luò)襲擊的潛在威脅。

乘客網(wǎng)絡(luò)通信系統(tǒng)。郵輪上為了提高乘客的娛樂(lè)體驗(yàn)，布置了網(wǎng)絡(luò)通信系統(tǒng)，乘客不僅可以使用電子設(shè)備通過(guò)內(nèi)部局域網(wǎng)相互交流，也可以連接到外部通信網(wǎng)絡(luò)，這都增加了郵輪的安全隱患。在郵輪上安裝的連接到互聯(lián)網(wǎng)的固定或無(wú)線(xiàn)網(wǎng)絡(luò)，應(yīng)該被認(rèn)為是不受控制的，并且不應(yīng)該與郵輪上的任何安全關(guān)鍵系統(tǒng)相連接。

郵輪上配備了大量的計(jì)算機(jī)，分別布置在駕駛室、集控室、會(huì)議室、酒店前臺(tái)等區(qū)域，用于郵輪的日常管理，更新ISM體系文件，船岸間的溝通，記錄和更新PMS信息，存儲(chǔ)乘客信息，存儲(chǔ)郵輪營(yíng)銷(xiāo)數(shù)據(jù)等。在遭遇網(wǎng)絡(luò)威脅后，這些數(shù)據(jù)都有被竊取、篡改和刪除的風(fēng)險(xiǎn)。不法分子以此進(jìn)行敲詐勒索，出售郵輪公司運(yùn)營(yíng)數(shù)據(jù)等商業(yè)機(jī)密，不僅給郵輪公司的運(yùn)營(yíng)帶來(lái)潛在的風(fēng)險(xiǎn)，并且給乘客的個(gè)人信息泄露帶來(lái)隱患。

郵輪的自動(dòng)化程度越來(lái)越高，涉及到郵輪上設(shè)備的監(jiān)測(cè)、控制和保護(hù)等各方面的功能，并控制著郵輪的安全操縱和安全航行。在遭受網(wǎng)絡(luò)襲擊后，攻擊者可以偽造數(shù)據(jù)信息，給設(shè)備提供錯(cuò)誤的信號(hào)，進(jìn)而影響郵輪的正常航行，甚至造成設(shè)備損壞和人員傷亡。

隨著大量新技術(shù)在郵輪上應(yīng)用，包括智能艙室、遠(yuǎn)程遙控和遠(yuǎn)程診斷等技術(shù)在郵輪上推廣，攻擊者將會(huì)更容易通過(guò)網(wǎng)絡(luò)漏洞，直接影響到郵輪的安全航行和乘客的生命安全。

保護(hù)措施

郵輪的安全解決方案需要考慮到它所面對(duì)的特殊風(fēng)險(xiǎn)，在物理保護(hù)、實(shí)時(shí)監(jiān)控和人員培訓(xùn)等多方面采取應(yīng)對(duì)措施。

1、物理保護(hù)

郵輪的網(wǎng)絡(luò)安全依賴(lài)于郵輪IT和OT系統(tǒng)的設(shè)計(jì)和配備，網(wǎng)絡(luò)接口和物理網(wǎng)絡(luò)的控制是網(wǎng)絡(luò)安全管理的核心，在郵輪的建造階段就需要合理的考慮郵輪網(wǎng)絡(luò)的布置和控制措施，并通過(guò)合理的布置，降低網(wǎng)絡(luò)威脅發(fā)生的等級(jí)。

1） 物理鋪設(shè)

郵輪網(wǎng)絡(luò)建造應(yīng)該仔細(xì)考慮網(wǎng)絡(luò)的物理布局，尤其是要考慮基本網(wǎng)絡(luò)設(shè)備的物理位置，包括服務(wù)器、交換機(jī)、防火墻和電纜等。這將有助于限制不安全的訪(fǎng)問(wèn)和維護(hù)網(wǎng)絡(luò)的物理安全，控制網(wǎng)絡(luò)的接入點(diǎn)。

2） 網(wǎng)絡(luò)管理

任何網(wǎng)絡(luò)設(shè)計(jì)都需要考慮管理網(wǎng)絡(luò)內(nèi)的基礎(chǔ)設(shè)施，在向網(wǎng)絡(luò)提供文件共享、電子郵件和其它服務(wù)的專(zhuān)用工作站和服務(wù)器上安裝網(wǎng)絡(luò)管理軟件。

3） 網(wǎng)絡(luò)隔離

通常情況下，船上的網(wǎng)絡(luò)應(yīng)該具有以下功能：

·OT設(shè)備之間的必要溝通

·OT設(shè)備的配置和監(jiān)控

·實(shí)現(xiàn)船上行政管理和商業(yè)目標(biāo)，包括電子郵件、共享與業(yè)務(wù)相關(guān)的文件或文件夾(IT網(wǎng)絡(luò))

·為船上的船員、乘客和訪(fǎng)客提供娛樂(lè)互聯(lián)網(wǎng)接入

有效的網(wǎng)絡(luò)隔離是“縱深防御”的關(guān)鍵環(huán)節(jié)，OT、IT、辦公網(wǎng)絡(luò)及公共網(wǎng)絡(luò)應(yīng)以適當(dāng)?shù)谋Ｗo(hù)措施隔離。采用的措施可包括：

·船上網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間設(shè)置外圍防火墻

·每個(gè)網(wǎng)段間設(shè)置網(wǎng)絡(luò)交換機(jī)

·每個(gè)網(wǎng)段間設(shè)置內(nèi)部防火墻

·建立虛擬局域網(wǎng)管理分割的域

4） 設(shè)備選擇

為了實(shí)現(xiàn)最高級(jí)別的安全，每個(gè)網(wǎng)絡(luò)可以使用不同的硬件交換機(jī)。這將減少攻擊者因錯(cuò)誤配置或獲取交換機(jī)配置而在網(wǎng)絡(luò)間跳轉(zhuǎn)的機(jī)會(huì)。

2、實(shí)時(shí)監(jiān)控

了解網(wǎng)絡(luò)的狀態(tài)，監(jiān)控和管理郵輪的IT和OT系統(tǒng)，檢測(cè)任何未經(jīng)授權(quán)的數(shù)據(jù)流量，可以在網(wǎng)絡(luò)襲擊的前期就發(fā)現(xiàn)相關(guān)的線(xiàn)索。

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(IDS)或入侵保護(hù)系統(tǒng)(IPS)可以向系統(tǒng)管理員實(shí)時(shí)警告網(wǎng)絡(luò)系統(tǒng)受到的任何攻擊。IDS和IPS檢查數(shù)據(jù)流量、入口點(diǎn)或兩者同時(shí)檢查以識(shí)別已知威脅或拒絕不符合安全策略的流量。同時(shí)，可以在面向internet的部分放置傳感器，因?yàn)楣卜?wù)器是攻擊者的可見(jiàn)目標(biāo)。另一個(gè)傳感器放置在防火墻后面，以監(jiān)視internet和內(nèi)部網(wǎng)絡(luò)之間的通信。

3、人員培訓(xùn)

人為因素永遠(yuǎn)是網(wǎng)絡(luò)安全重要的一環(huán)，人的行為可以保護(hù)IT和OT系統(tǒng)，但也可能因?yàn)榇中拇笠庠斐闪藧阂廛浖膫鞑?，引發(fā)網(wǎng)絡(luò)安全事件。例如使用移動(dòng)介質(zhì)在系統(tǒng)之間傳輸數(shù)據(jù)，而沒(méi)有采取預(yù)防措施。網(wǎng)絡(luò)安全相關(guān)人員包括：

·郵輪的船員，包括船長(zhǎng)、輪機(jī)長(zhǎng)等高級(jí)船員和普通船員

·岸基支持人員，為郵輪提供岸基管理和支持的人員

·其他人員，包括代理、船檢、碼頭工作人員和PSC等

應(yīng)為網(wǎng)絡(luò)安全相關(guān)的人員進(jìn)行網(wǎng)絡(luò)安全意識(shí)和基本技能的相關(guān)培訓(xùn)，培訓(xùn)應(yīng)關(guān)注：

·與電子郵件相關(guān)的風(fēng)險(xiǎn)和安全的操作行為，例如釣魚(yú)攻擊就是用戶(hù)點(diǎn)擊一個(gè)危險(xiǎn)鏈接，登錄惡意網(wǎng)站

·與互聯(lián)網(wǎng)使用相關(guān)的風(fēng)險(xiǎn)，包括社交媒體、聊天論壇和基于云的文件存儲(chǔ)。在這些地方，數(shù)據(jù)移動(dòng)受到較少的控制和監(jiān)控

·與使用自有設(shè)備相關(guān)的風(fēng)險(xiǎn)，這些設(shè)備可能缺少安全補(bǔ)丁和控制，并且可能將風(fēng)險(xiǎn)轉(zhuǎn)移到它們所連接的環(huán)境中

·在硬件上使用受感染的存儲(chǔ)設(shè)備（移動(dòng)硬盤(pán)等）安裝和維護(hù)軟件的相關(guān)風(fēng)險(xiǎn)

·與安全措施不到位的數(shù)據(jù)或軟件有關(guān)的風(fēng)險(xiǎn)，包括沒(méi)有進(jìn)行病毒檢查或沒(méi)有真實(shí)性驗(yàn)證

·保護(hù)用戶(hù)信息、密碼和數(shù)字證書(shū)

·與非船上操作人員有關(guān)的網(wǎng)絡(luò)風(fēng)險(xiǎn)，例如第三方技術(shù)人員在沒(méi)有監(jiān)督的情況下對(duì)設(shè)備進(jìn)行操作

·發(fā)現(xiàn)可疑活動(dòng)或設(shè)備，以及如何報(bào)告可能的網(wǎng)絡(luò)事件。例如通常不可見(jiàn)的奇怪連接，或者有人插入了船舶網(wǎng)絡(luò)上的未知設(shè)備

·意識(shí)到網(wǎng)絡(luò)事件對(duì)郵輪安全和操作的后果或影響

·了解如何實(shí)施預(yù)防性維護(hù)程序，如防病毒和防惡意軟件、補(bǔ)丁、備份以及事件響應(yīng)計(jì)劃和測(cè)試

·在連接到船舶系統(tǒng)之前防止來(lái)自服務(wù)提供商可移動(dòng)介質(zhì)的風(fēng)險(xiǎn)的程序

此外，相關(guān)人員應(yīng)該知道計(jì)算機(jī)被入侵的跡象，包括系統(tǒng)響應(yīng)速度變得遲鈍，意外的密碼更改，程序中出現(xiàn)的意外錯(cuò)誤，郵件意外的被退回，頻繁的系統(tǒng)崩潰等。

代理、港口和碼頭工作人員等訪(fǎng)客在登船時(shí)應(yīng)限制電腦的訪(fǎng)問(wèn)。禁止未經(jīng)授權(quán)進(jìn)入敏感的OT網(wǎng)絡(luò)電腦。如果需要并允許訪(fǎng)問(wèn)者訪(fǎng)問(wèn)某個(gè)網(wǎng)絡(luò)，則應(yīng)該根據(jù)用戶(hù)權(quán)限加以限制。

4、程序制定

IMO決議MSC.428(98)將網(wǎng)絡(luò)威脅定義為特定威脅，要求公司應(yīng)盡可能像處理可能影響船舶安全運(yùn)行和環(huán)境保護(hù)的任何其它風(fēng)險(xiǎn)一樣處理網(wǎng)絡(luò)威脅。

網(wǎng)絡(luò)安全管理應(yīng)成為船舶安全管理體系的內(nèi)在組成部分，制定相應(yīng)的安全管理程序和應(yīng)急反應(yīng)程序，并應(yīng)涉及到公司和船上的各級(jí)人員，包括岸上管理人員和各級(jí)船上人員。具體內(nèi)容包括：

·確定相關(guān)人員的責(zé)任和授權(quán)

·開(kāi)展關(guān)于網(wǎng)絡(luò)安全培訓(xùn)的程序

·識(shí)別突然故障可能導(dǎo)致危險(xiǎn)情況發(fā)生的設(shè)備和系統(tǒng)

·風(fēng)險(xiǎn)評(píng)估程序，對(duì)可能引發(fā)事故的操作開(kāi)展風(fēng)險(xiǎn)評(píng)估，并采取措施，把風(fēng)險(xiǎn)控制在公司可以接受的范圍內(nèi)

·識(shí)別影響郵輪、人員和環(huán)境安全的關(guān)鍵操作

·制定應(yīng)急計(jì)劃，當(dāng)郵輪因網(wǎng)絡(luò)事件而受損時(shí)，迅速采取措施，恢復(fù)郵輪操作和服務(wù)的程序

·對(duì)于郵輪上出現(xiàn)的影響網(wǎng)絡(luò)安全的事件的報(bào)告程序

·維護(hù)和提升郵輪網(wǎng)絡(luò)安全系統(tǒng)可靠性的程序，包括軟件維護(hù)

·維護(hù)和測(cè)試船舶設(shè)備和系統(tǒng)的備份安排的程序

5、風(fēng)險(xiǎn)評(píng)估

雖然風(fēng)險(xiǎn)評(píng)估主要關(guān)注物理世界，但是物理世界和數(shù)字世界現(xiàn)在是交織在一起的。公司需要評(píng)估郵輪上運(yùn)行IT和OT系統(tǒng)產(chǎn)生的風(fēng)險(xiǎn)，并通過(guò)ISM規(guī)則和SMS體系建立基于風(fēng)險(xiǎn)評(píng)估的保護(hù)措施，以防范網(wǎng)絡(luò)安全事件的發(fā)生。公司網(wǎng)絡(luò)風(fēng)險(xiǎn)管理計(jì)劃和程序應(yīng)考慮到ISM規(guī)范和ISPS規(guī)范中現(xiàn)有的安全風(fēng)險(xiǎn)管理要求。

每個(gè)郵輪公司都具有自己特點(diǎn)，包括它的營(yíng)業(yè)額、船隊(duì)情況、市場(chǎng)占有率、目標(biāo)旅客群體、不同的旅游產(chǎn)品和定位等，這些特點(diǎn)決定了每個(gè)郵輪公司所能承受的風(fēng)險(xiǎn)等級(jí)，以及為降低風(fēng)險(xiǎn)等級(jí)所采取措施的花費(fèi)都不盡相同。這就要求郵輪公司根據(jù)自己的特點(diǎn)制訂適合自己的風(fēng)險(xiǎn)評(píng)估策略。風(fēng)險(xiǎn)評(píng)估需要考慮到以下幾點(diǎn)：

·考慮對(duì)郵輪操作、安全和環(huán)境保護(hù)重要的系統(tǒng)

·確定負(fù)責(zé)制定網(wǎng)絡(luò)政策、程序和執(zhí)行監(jiān)控的人員

·考慮哪些遠(yuǎn)程訪(fǎng)問(wèn)使用多重防御層，哪些網(wǎng)絡(luò)應(yīng)該從互聯(lián)網(wǎng)斷開(kāi)

·考慮需要培訓(xùn)的人員

網(wǎng)絡(luò)威脅的危害需要綜合考慮機(jī)密性、完整性和可靠性因素，這些因素的相對(duì)重要性取決于信息或數(shù)據(jù)的使用情況。例如，評(píng)估與商業(yè)操作相關(guān)的IT系統(tǒng)的漏洞可能關(guān)注機(jī)密性和完整性，而不是可靠性。相反，評(píng)估船上OT系統(tǒng)的脆弱性，特別是關(guān)鍵安全系統(tǒng)，可能關(guān)注可靠性和完整性，而不是機(jī)密性。

6、系統(tǒng)恢復(fù)

系統(tǒng)恢復(fù)能力是指從安全副本恢復(fù)系統(tǒng)或數(shù)據(jù)的能力，從而允許恢復(fù)干凈的系統(tǒng)。郵輪建造期間，應(yīng)給必要的信息和軟件提供足夠的備份安排，以幫助確保網(wǎng)絡(luò)事故后的恢復(fù)。

應(yīng)確定保留期和恢復(fù)場(chǎng)景，以確定哪些關(guān)鍵系統(tǒng)需要快速恢復(fù)功能以減少影響，具有高數(shù)據(jù)可用性要求的系統(tǒng)應(yīng)該具有彈性。OT系統(tǒng)對(duì)郵輪的安全航行和操作至關(guān)重要，它應(yīng)該有后備系統(tǒng)，使郵輪在網(wǎng)絡(luò)襲擊后能夠快速、安全地恢復(fù)航行和操作能力。

郵輪的網(wǎng)絡(luò)安全解決方案需要綜合考慮乘客的娛樂(lè)需求、網(wǎng)絡(luò)的安全需求、郵輪的運(yùn)營(yíng)需求三方面因素，在保證網(wǎng)絡(luò)安全的前提下，又不會(huì)影響到乘客的網(wǎng)絡(luò)娛樂(lè)體驗(yàn)和郵輪的運(yùn)營(yíng)管理。這就要求把物理保護(hù)、實(shí)時(shí)監(jiān)控、程序制定、人員培訓(xùn)、風(fēng)險(xiǎn)評(píng)估和系統(tǒng)恢復(fù)幾大措施積極融入到事前預(yù)防、事中應(yīng)對(duì)和事后恢復(fù)三個(gè)環(huán)節(jié)，在郵輪網(wǎng)絡(luò)襲擊前構(gòu)筑三道防線(xiàn)，做到把發(fā)生網(wǎng)絡(luò)襲擊的可能性降到最低，網(wǎng)絡(luò)襲擊發(fā)生后的損失降到最低，給乘客一個(gè)安全放心的假期。