本刊記者 劉 蕭

觀 察 Observation

共筑航運網絡安全的鐵壁銅墻

本刊記者 劉 蕭

層出的案例映射出航運業(yè)解決網絡安全問題已刻不容緩。在未來，只有各方協(xié)力將網絡安全防護技術、影響、影響網絡安全的因素結合起來，采取可行性高的防護措施，建立健全防護體系，并增強單位內部人員的網絡安全意識和技能，才能真正從源頭上解決網絡安全問題。

今年5月，WannaCry勒索病毒席卷全球，制造了堪稱是“史上最大規(guī)?！钡娜蛐跃W絡攻擊事件。據國外知名網絡安全機構統(tǒng)計，僅5月12日一天，全球就有99個國家和地區(qū)發(fā)生了超7.5萬起WannaCry勒索病毒攻擊事件。由于贖金需要用比特幣支付，勒索病毒在“發(fā)力”的同時更炒熱了比特幣，導致短短兩周時間比特幣的價格就飆漲了63%。對于某些比特幣持有者而言，勒索病毒的蔓延無疑帶來了一筆“飛來橫財”。但對于古老的航運業(yè)而言，我們卻需要冷靜思考：面對病毒肆虐，網絡安全該如何強身健體？

隱性風險 意識覺醒

據外媒報道：新加坡船東協(xié)會（SSA）總裁Esben Poulsson曾在2016年公開表示，目前超過90%的公司高管都說他們沒有閱讀網絡安全報告，也沒有做好處理網絡攻擊的準備。盡管這一說法的準確性與真實性難以考證，但其卻從側面反映出這樣一個問題：航運公司對于網絡安全的重視還待加強。

2011年，意大利某油船從阿拉伯灣啟程前往地中海途中被海盜劫持。事后調查發(fā)現，該船從行程、貨物、船員、地點到無武裝警衛(wèi)等信息無不都被海盜雇傭的技術人員提前獲悉。而探究海盜“有的放矢”的源頭則來自岸基的網絡漏洞。2017年3月的RSA安全大會上，《Verizon數據外泄匯編報告》也向外界展示了海盜捆綁黑客利用網絡技術搶劫某集裝箱船舶的案例。令人震驚的是，一改往常的綁架索要贖金流程，涉事海盜在登船后迅速搶走了一個內裝昂貴貨物的集裝箱，隨后便揚長而去。海盜的背影無疑讓業(yè)界對網絡安全與精準搶劫有了新的認知與思考。顯然，海盜與黑客組合可能達到“1+1＞2”的效果。而且案例的出現也恰恰說明，航運業(yè)的網絡安全風險無處不在。

而且就在記者截稿前，與WannaCry類似的勒索病毒卷土重來，發(fā)動了新一輪的全球性攻擊，重創(chuàng)了全球諸多港口。據相關媒體報道，一位Reddit用戶聲稱在紐約和新澤西州的APM碼頭系統(tǒng)崩潰，并顯示需要比特幣贖金。與此同時，業(yè)內媒體《JOC》的報道也證實了這點，《JOC》表示此次事件對APM碼頭公司影響較大，Maasvlakte II碼頭已關閉。此外，還有一些美國碼頭包括伊麗莎白港、新澤西港的碼頭在病毒爆發(fā)后的第二天仍然關閉。印度最大集裝箱港口賈瓦哈拉爾尼赫魯港(JNPT)也宣布，已成為全球新一輪勒索病毒攻擊的目標，三分之一的碼頭運營受到干擾。一些港口在遭受攻擊后只能試圖使用人力清理到港集裝箱，而這導致了港口運營能力的急速下降。據介紹，一些港口在受到病毒侵害后，運營能力僅能維持正常狀態(tài)下的三分之一。不僅如此，由于裝卸貨的延誤，也不免導致了大批集裝箱的堆積，催生出港區(qū)擁堵現象。同時“糟糕”的狀況不僅存在于港口方。港口“癱瘓”更倒逼一些航運公司的船舶只能掛靠第三方碼頭。

不可不說此次的網絡事件讓航運、港口方嘗盡苦頭，但伴隨著“痛苦”也有一種改變在悄然發(fā)生。就在一年前，“網絡安全”問題還被作為各公司的“禁忌”話題而被雪藏。當年Panda Security公司曾邀請數十個曾經遭受過網絡攻擊的油運公司協(xié)助處理，并且聲明這些服務均是免費，但卻沒有一家公司愿意協(xié)助報告入侵事件。Panda Security相關專家認為：“究其原因，主要癥結還是在于船公司擔心自身IT安全網絡漏洞會被外界認為其存在高風險點。此外，如果此問題無法根除，則更容易讓人誤解為船公司‘默許’客戶機密信息泄露?！倍缃?，相比于一年前的“緘默”，現下航運業(yè)在應對網絡安全問題上有了翻轉式的認識與態(tài)度。此次病毒爆發(fā)后，我們看到了航運公司為解除客戶顧慮，力圖通過各種渠道“直播”問題解決進程的做法。如此透明的做法，不可不說是對網絡安全風險最有力的宣戰(zhàn)。而且伴隨著未來成長，我們有理由相信業(yè)界有能力妥善處理好網絡安全風險問題。

Safety& Security

安聯(lián)全球企業(yè)及特殊風險有限公司(AGCS)曾在去年的年報中表示，網絡攻擊已經嚴重干擾到了現代化的船舶駕駛臺系統(tǒng)安全和先進的船舶技術發(fā)展。不僅如此，報告的調研結果也流露出了外界對與船舶行業(yè)網絡安全問題的高度關切。當然，這種關注也從側面衍生出了如何做才能確保在航船舶網絡安全這一議題。中國船級社（CCS）智能船舶工作組組長蔡玉良認為，船公司有必要正確理解并重視船舶網絡安全中“Safety”與“Security”的兩層含義。

至于如何理解中文同樣被翻譯成“安全”的兩詞，蔡玉良在采訪中向記者作了細致說明：“Safety”一詞意在通過技術有效維護營運船舶的網絡安全。關于這一層面，也許有人會認為如果船上不與岸基溝通，其也就相當于一個“內網”。對于管控內網而言，只要管理得當，便較難出現網絡安全問題。但實際情況卻并非如此簡單。目前，越來越多的新造船舶采用信息技術，將船舶輪機監(jiān)控系統(tǒng)、航海駕駛智能化系統(tǒng)等納入一個統(tǒng)一的網絡系統(tǒng)，以實現船舶管控一體化。以綜合橋樓系統(tǒng)為例，伴隨高度集中化、系統(tǒng)化的綜合橋樓系統(tǒng)為航運業(yè)帶來方便，其對于網絡安全的依賴性也越來越強。

談到這里，記者不禁聯(lián)想到了采訪當中了解到的一個案例。據一位曾經參與過船舶能效監(jiān)控項目的業(yè)內人士介紹，當下不少航運公司都在推進“大數據”時代下的數據積累與挖掘工作，而想要收集這些數據則需要在船舶計算機后方接口處添加能效監(jiān)控硬件?！耙来坝嬎銠C后方接口連接了主機、GPS盒子與風速儀等設備。一旦病毒侵入，那么整艘船舶都將陷入危險之中。所以如何保證數據以及營運船舶的網絡安全，這就需要在技術層面給予充分考慮?！彼忉尩剑骸盀榱朔乐共话踩F象出現，我們特意加裝了光電隔離的接口設備。其可將光信號與電信號進行相互轉化?？梢哉f光電隔離設備保證了眾多船舶電器設備的不互相干擾，掃平了病毒所致的船舶安全風險?！北M管這一做法僅是“Safety”一詞中的“滄海一粟”，但其理念與做法卻值得業(yè)內借鑒。

相比于船舶網絡安全中較為直觀的“Safety”，“Security”的含義則偏重于概括安保、管理層面的相關內容。在采訪中記者了解到，船舶靠港后往往存在多家配件供應商同時上船進行相關服務的現象。在此期間，相應的軟件維護商也會上船對目標船舶的軟件系統(tǒng)進行檢測、維護、升級等工作。專家坦言：“如若缺乏相應的安保管理，那么此時就較易通過外界具備數據傳輸的船舶設備和系統(tǒng)途徑使船舶計算機感染病毒?！辈⒎强照?，因為就在今年BIMCO海事安全辦公室主管Giles Noakes還曾針對此種“無意”的網絡威脅談到：雖然設計系統(tǒng)和不受保護的船載網絡令人嚴重擔憂，但通過USB傳輸惡意軟件仍是目前最大的威脅之一。不僅如此，其還舉例談到：“比如說，一個船員在ECDIS系統(tǒng)連接USB給手機充電，從而感染病毒導致整個系統(tǒng)無法運行。這是個代價昂貴的錯誤?！?/p>

安全“落地”

采訪中，CCS智能船舶工作組組長蔡玉良向記者介紹，CCS將網絡安全研究作為重要課題，并提供解決方案，旨在降低船舶生命周期各階段的網絡風險。在國際上，CCS承擔國際船級社協(xié)會（IACS）網絡安全的重要議題研究工作，并積極推進網絡安全要求在公約和規(guī)范體系中的落實。標準方面，CCS推出了《船舶網絡要求及安全評估指南》，用以幫助船東和管理公司規(guī)范化船舶網絡的體系建設，并提供量化評估辦法；CCS建立了一支專業(yè)化程度高，集合了檢驗、審核、IT、風險分析等多領域人才的專家隊伍，為業(yè)界提供網絡安全的評估與咨詢服務，目前已完成了示范船舶的評估及公司審核；科研方面，CCS針對安全標準、安全態(tài)勢感知、威脅數據分析、針對性防御分析、漏洞掃描與滲透測試等網絡安全中的關鍵技術問題開展了專項攻關與實驗，為評估服務提供有力支撐；此外，CCS還將網絡安全與智能船舶測評、驗證等工作結合，與大連海事大學、中船工業(yè)系統(tǒng)工程研究院等單位開展深度合作，進行聯(lián)合研究。

蔡玉良補充談到：“國際安全管理規(guī)則（ISM Code）的核心是要求船東應該識別船舶可能存在的風險，并采取相應措施。鑒于目前業(yè)內已達成網絡安全為高風險的共識，未來CCS將進一步推進將網絡安全納入到ISM Code的進程。另外，IMO第98屆海上安全委員會通過并發(fā)布了《海上網絡風險管理指南》，并在有關提高海事安全措施的決議中，鼓勵各國政府確保不遲于2021年1月1日之后的首次DOC年度驗證時，反映網絡風險管理的相關內容，如加強人員培訓、提高人員安全意識、規(guī)范訪問管理等方面。合力之下，相信未來航運業(yè)來自網絡安全層面的風險將會得到有效遏制?！?/p>

其實，近年來CCS針對網絡安全威脅已經做了大量工作。如在2015年發(fā)布的《智能船舶規(guī)范》，從智能船舶從設計、建造到運營全生命周期，全方位詮釋并解決網絡安全問題與智能船舶的交集；不僅如此，在擔任IACS主席期間，CCS牽頭了網絡系統(tǒng)委員會軟件維護指南（software maintenance）的編寫工作，同時參與網絡體系結構（Network Architecture）、網絡安全（Network Security）、遠程更新/訪問（Remote Update/ Access）指南的編寫。這些成果被視為與業(yè)界一同重視并解決網絡安全問題最實用的一記“組合拳”；近期，CCS發(fā)布了《船舶網絡系統(tǒng)及安全評估指南》，通過對軟件、硬件及風險三方面的指導意見，進一步針對網絡狀況及網絡產品進行安全評估，協(xié)助航運業(yè)防范網絡風險； CCS成立了船舶網絡空間安全研究中心，在網絡安全技術與管理體系方面展開研究，為航運企業(yè)提供系統(tǒng)的網絡測試、評估及技術咨詢服務?！氨娙耸安癫拍芑鹧娓摺薄ａ槍W絡安全威脅，航運企業(yè)本身也應從微觀層面制定一套適合自身的、行之有效的管理流程，才能形成“雙保險”保證網絡安全“落地”。那么如何做才能充分發(fā)揮船舶計算機作用，保障船舶端信息化硬件、軟件及網絡設備的正常使用與安全呢？記者在采訪中也總結了一些管理示例，供業(yè)內參考。

首先，建議船公司專門設置相關責任部門擔負起制定船舶計算機網絡配置規(guī)范與標準的職責。主要針對船舶計算機網絡，按照各船實際條件分別以小型局域網或工作組成網，保持標準配置，減少不必要的干擾因素。針對船舶上的服務器、電子郵件通訊計算機、船長辦公室計算機、輪機長辦公室計算機、甲板部辦公室計算機、輪機部辦公室計算機等連入網絡內的工作用計算機責任部門，都需提供IT技術支持，并負責船舶計算機及設備的日常購置更新工作。

其次，船長是船舶計算機安全管理的責任人。應擔負起組織船員嚴格按照公司要求使用和管理船舶計算機硬件、軟件、船舶信息系統(tǒng)和相關資料等責任。特別提示，船長應負責監(jiān)督和檢查船舶電腦的使用狀況，未經船長同意，任何人不得隨意更改硬件設備位置及用途。除此以外，船員應按照授予的權限使用船舶信息系統(tǒng)，并嚴格管理用戶帳號和密碼，防止計算機泄密。船舶二副應負責保管公司以文件、電子郵件等下發(fā)的船舶信息系統(tǒng)、應用軟件的重要操作說明、安裝資料，計算機跟機配備的技術資料等。這其中包括使用說明、操作指南、安裝/恢復光碟、設備驅動程序、軟件使用權證等，須將有關資料分類登記做好清單、標記并以獨立的文件盒保管，放置在備件柜。當船舶信息系統(tǒng)、應用軟件的操作說明或安裝光碟升級改版時，由二副負責把保管的資料與光碟及時更新，確保電報室始終保留一份完整的、更新及時的資料。

最后，公司登輪檢查人員應利用上船檢查機會，對船舶計算機管理執(zhí)行檢查，行政人事部提供必要的技術支持。檢查范圍包括船舶計算機軟件安裝情況，信息系統(tǒng)和計算機的資料保管情況、防病毒軟件安裝更新情況以及信息系統(tǒng)的使用情況等，檢查結果分別提交公司機務部主管領導審閱，由機務部向公司行政人事部報備。

隨著船舶智能化的發(fā)展，其安全性和可靠性變得更加重要，網絡安全管理也變得越來越復雜。在發(fā)展過程中，業(yè)界必須正視智能化快速發(fā)展中出現的問題，要在問題的發(fā)現與改善中不斷取得更為良性的發(fā)展，發(fā)揮其最大作用。未來，只有把網絡安全防護技術、影響網絡安全的因素結合起來，采取可行性高的防護措施，建立健全防護體系，增強單位內部人員的網絡安全意識和技能，才能真正從源頭上解決網絡安全問題。