中船重工第七一四研究所海事研究中心 吳笑風(fēng) 許 攸

海上網(wǎng)絡(luò)安全：航運(yùn)與船舶工業(yè)的跨界挑戰(zhàn)

中船重工第七一四研究所海事研究中心 吳笑風(fēng) 許 攸

隨著整個(gè)航運(yùn)系統(tǒng)的信息化和智能化程度加深，以及E-航海、智慧海洋等戰(zhàn)略的實(shí)施，IMO對(duì)海上網(wǎng)絡(luò)安全問(wèn)題的關(guān)注很有可能會(huì)逐步向岸基設(shè)施進(jìn)而向整個(gè)航運(yùn)產(chǎn)業(yè)鏈擴(kuò)展。

目前，船舶智能化風(fēng)暴正深刻影響著航運(yùn)業(yè)和造船業(yè)，它對(duì)航運(yùn)業(yè)上下游整條產(chǎn)業(yè)鏈——研發(fā)、制造、運(yùn)營(yíng)等都帶來(lái)了巨大變革，并創(chuàng)造出新的價(jià)值。不可否認(rèn)，智能化在帶給業(yè)界巨大便利、創(chuàng)造新的價(jià)值的同時(shí)，船舶的安全邊際也在不斷外延，其中網(wǎng)絡(luò)安全就對(duì)航運(yùn)和船舶工業(yè)的未來(lái)發(fā)展提出了巨大挑戰(zhàn)。

網(wǎng)絡(luò)空間威脅正不斷加劇

近年來(lái)，信息技術(shù)革命在全球范圍內(nèi)如火如荼，為工業(yè)界各領(lǐng)域帶來(lái)深刻的變革。在裝備制造業(yè)中，大量基于信息化的生產(chǎn)和服務(wù)手段被有機(jī)地集成到產(chǎn)品的整個(gè)生命周期中。同時(shí)，產(chǎn)品本身的信息化和智能化程度提升也對(duì)產(chǎn)品的制造和運(yùn)營(yíng)服務(wù)模式提出了更高的要求。在英國(guó)勞氏船級(jí)社等機(jī)構(gòu)發(fā)布的《全球海洋技術(shù)趨勢(shì)2030》和DNV GL發(fā)布的《航運(yùn)業(yè)的未來(lái)》報(bào)告中，智能船舶都被列為未來(lái)船舶和海洋領(lǐng)域的關(guān)鍵趨勢(shì)之一。

隨著信息化和智能化時(shí)代的來(lái)臨，網(wǎng)絡(luò)空間風(fēng)險(xiǎn)作為一種新的海上安全風(fēng)險(xiǎn)被海事立法機(jī)構(gòu)和船舶工業(yè)界所關(guān)注。網(wǎng)絡(luò)安保公司CyberKeel研究表明，造成海上網(wǎng)絡(luò)攻擊的主要?jiǎng)訖C(jī)包括四類：直接盜取金錢(qián)、（非法）移動(dòng)船只、竊取數(shù)據(jù)資料、造成航期延誤。如2011年8月，伊朗航運(yùn)公司受到網(wǎng)絡(luò)攻擊，大量貨物清單、貨物號(hào)、送貨日期和地點(diǎn)等信息流失，遭受了巨大的損失；2012年，伊朗位于波斯灣的油氣開(kāi)采平臺(tái)間的通訊系統(tǒng)受到網(wǎng)絡(luò)攻擊，直接促使伊朗當(dāng)局斥巨資加強(qiáng)網(wǎng)絡(luò)防御能力；2011年至2013年間，荷蘭毒販通過(guò)入侵集裝箱運(yùn)輸系統(tǒng)在南美和比利時(shí)間偷運(yùn)可卡因；澳大利亞海關(guān)也曾查獲通過(guò)入侵航運(yùn)物流信息系統(tǒng)實(shí)施違法行為的案件……

“不存在對(duì)網(wǎng)絡(luò)威脅自然免疫的信息系統(tǒng)”，是網(wǎng)絡(luò)安全領(lǐng)域中的一條論斷。在信息化和智能化的大背景下，各工業(yè)行業(yè)都開(kāi)始采取技術(shù)和管理手段應(yīng)對(duì)網(wǎng)絡(luò)安全威脅。著名信息安全咨詢公司NCC Group針對(duì)日益嚴(yán)峻的海上網(wǎng)絡(luò)安全風(fēng)險(xiǎn)曾指出：海上網(wǎng)絡(luò)攻擊的潛在損失包括收益損失、環(huán)境破壞甚至人員傷亡，因此有必要制定并應(yīng)用一系列行動(dòng)指南或標(biāo)準(zhǔn)作為防護(hù)手段，還應(yīng)對(duì)海上信息系統(tǒng)、網(wǎng)絡(luò)、硬件設(shè)備、軟件等進(jìn)行安全測(cè)試，將網(wǎng)絡(luò)安全因素納入相關(guān)設(shè)備和系統(tǒng)的生命周期中。

海事界開(kāi)始行動(dòng)

隨著信息化和智能化時(shí)代的來(lái)臨，網(wǎng)絡(luò)空間風(fēng)險(xiǎn)作為一種新的海上安全風(fēng)險(xiǎn)被海事立法機(jī)構(gòu)和船舶工業(yè)界所關(guān)注。

國(guó)際海事組織（IMO）曾在海上安全委員會(huì)（MSC）第95屆會(huì)議對(duì)網(wǎng)絡(luò)安全問(wèn)題進(jìn)行了初步討論，明確提出了國(guó)際海事業(yè)界需要引起對(duì)網(wǎng)絡(luò)空間威脅的重視并做出適當(dāng)響應(yīng)。2016年2月，波羅的海航運(yùn)公會(huì)（BIMCO）發(fā)布了全球首部《船載網(wǎng)絡(luò)安全指南》，受到了海事業(yè)界的廣泛關(guān)注。IMO各成員國(guó)和國(guó)際組織在MSC96屆會(huì)議上經(jīng)過(guò)熱烈討論后達(dá)成共識(shí)，一致認(rèn)為應(yīng)對(duì)網(wǎng)絡(luò)空間威脅已成為國(guó)際海事界面臨的長(zhǎng)期挑戰(zhàn)。2016年6月，IMO以通函形式正式發(fā)布了《海上網(wǎng)絡(luò)風(fēng)險(xiǎn)管理臨時(shí)導(dǎo)則》，作為指導(dǎo)船東和船員進(jìn)行船載網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的頂層管理指南。在MSC97屆會(huì)議上，有代表團(tuán)建議IMO考慮針對(duì)網(wǎng)絡(luò)空間安全管理問(wèn)題制定強(qiáng)制性的行動(dòng)計(jì)劃。但最終大會(huì)討論認(rèn)為目前的工作重點(diǎn)應(yīng)集中在對(duì)現(xiàn)有臨時(shí)性導(dǎo)則的研究、理解和實(shí)施。而在這期間，多個(gè)國(guó)家和航運(yùn)組織、業(yè)界組織都針對(duì)網(wǎng)絡(luò)安全問(wèn)題開(kāi)展了專門(mén)研究。

在剛剛結(jié)束的MSC98屆會(huì)議上，各國(guó)再次關(guān)注對(duì)網(wǎng)絡(luò)安全管理相關(guān)文件的強(qiáng)制性問(wèn)題，并討論了將網(wǎng)絡(luò)風(fēng)險(xiǎn)管理納入安全管理體系的問(wèn)題。對(duì)此，大會(huì)進(jìn)行了熱烈討論，并在工作組中對(duì)相關(guān)提案進(jìn)行了詳細(xì)審議。多達(dá)39個(gè)國(guó)家代表團(tuán)、2個(gè)政府間國(guó)際組織及13個(gè)非政府組織觀察員代表參與了工作組工作。海事界一致認(rèn)為海事網(wǎng)絡(luò)風(fēng)險(xiǎn)管理已成為緊迫需要，有必要通過(guò)IMO提高各國(guó)對(duì)海事網(wǎng)絡(luò)安全的意識(shí)，保障海事活動(dòng)的安全和高效?；诖耍琁MO將發(fā)布決議，在維持相關(guān)文件非強(qiáng)制性的基礎(chǔ)上，進(jìn)一步提出提升應(yīng)對(duì)海上網(wǎng)絡(luò)風(fēng)險(xiǎn)意識(shí)的手段。

工業(yè)標(biāo)準(zhǔn)仍缺失

相比于海事界，船舶工業(yè)界在應(yīng)對(duì)網(wǎng)絡(luò)威脅的方面響應(yīng)有所滯后。雖然海事界已經(jīng)發(fā)布了多份規(guī)范性文件，但由于關(guān)注點(diǎn)不同，各類規(guī)范性文件只能在整個(gè)航運(yùn)系統(tǒng)中的特定環(huán)節(jié)發(fā)揮有限的作用。例如，IMO臨時(shí)性導(dǎo)則更多面向主管機(jī)關(guān)、船東、船舶運(yùn)營(yíng)商的管理方面；航運(yùn)組織的指南性文件注重船舶運(yùn)營(yíng)中的操作方面。而從船舶工業(yè)角度來(lái)看，目前還沒(méi)有規(guī)范性的技術(shù)手段對(duì)船載網(wǎng)絡(luò)系統(tǒng)的安全性進(jìn)行評(píng)估和管理的方法。因此，須考慮不同規(guī)則的作用域差異及互補(bǔ)方式。工業(yè)標(biāo)準(zhǔn)是這一規(guī)范體系中的重要組成部分。

廣泛地看，在關(guān)于網(wǎng)絡(luò)和信息安全的工業(yè)標(biāo)準(zhǔn)中，國(guó)際標(biāo)準(zhǔn)化組織（ISO）和國(guó)際電工組織（IEC）聯(lián)合發(fā)布的ISO/IEC27000系列標(biāo)準(zhǔn)具有較強(qiáng)的影響力。ISO/IEC 27000是專門(mén)為信息安全管理體系發(fā)布的一系列相關(guān)標(biāo)準(zhǔn)的總稱，主要包含基本要求和支持性指南、認(rèn)證認(rèn)可和審核指南、面向行業(yè)的信息安全管理要求三類國(guó)際標(biāo)準(zhǔn)。目前，在一些行業(yè)門(mén)類中已有基于ISO/IEC27000系列標(biāo)準(zhǔn)編制專用信息安全管理標(biāo)準(zhǔn)的案例，但在船舶海洋工業(yè)領(lǐng)域的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)仍處于空白狀態(tài)。此外，ISO31000《風(fēng)險(xiǎn)管理原則和實(shí)施導(dǎo)則》提供了通用的風(fēng)險(xiǎn)管理辦法，可為船舶網(wǎng)絡(luò)風(fēng)險(xiǎn)管理提供參考。

正是基于此，自MSC96屆會(huì)議后，ISO/TC8（船舶與海洋技術(shù)委員會(huì)）開(kāi)啟了船載網(wǎng)絡(luò)安全管理和風(fēng)險(xiǎn)評(píng)估的初步研究。這也充分體現(xiàn)了ISO/TC8一直以來(lái)“超前和及時(shí)響應(yīng)IMO和市場(chǎng)需求、緊跟技術(shù)趨勢(shì)”的思路。ISO/TC8的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)側(cè)重于為信息化設(shè)備廠商、系統(tǒng)集成商等工業(yè)界主體提供參考。目前，中國(guó)、美國(guó)、日本、英國(guó)、丹麥等國(guó)家表現(xiàn)出了對(duì)船載網(wǎng)絡(luò)安全問(wèn)題的高度關(guān)注并有所參與。對(duì)于國(guó)內(nèi)設(shè)備廠商和系統(tǒng)集成商而言，積極布局，在產(chǎn)品生命周期中融入對(duì)網(wǎng)絡(luò)安全手段的考量，在加強(qiáng)安全技術(shù)研發(fā)的同時(shí)，積極參與到相關(guān)的標(biāo)準(zhǔn)和國(guó)際規(guī)則制定中，對(duì)未來(lái)市場(chǎng)競(jìng)爭(zhēng)力的提升將具有促進(jìn)作用。

同時(shí)值得注意的是，盡管目前國(guó)際海事界對(duì)于網(wǎng)絡(luò)安全問(wèn)題的關(guān)注點(diǎn)仍集中于船舶自身，但隨著整個(gè)航運(yùn)系統(tǒng)的信息化和智能化程度加深，以及E-航海、智慧海洋等戰(zhàn)略的實(shí)施，IMO對(duì)海上網(wǎng)絡(luò)安全問(wèn)題的關(guān)注很有可能會(huì)逐步向岸基設(shè)施進(jìn)而向整個(gè)航運(yùn)產(chǎn)業(yè)鏈擴(kuò)展。網(wǎng)絡(luò)安全將成為名副其實(shí)的“跨界挑戰(zhàn)”。