国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

船岸網(wǎng)絡(luò)與信息安全管理探究

2018-12-06 07:36孫輝
航海 2018年6期
關(guān)鍵詞:泄露網(wǎng)絡(luò)

孫輝

摘 要:國(guó)際海事組織要求船公司在2021年1月1日前參考BIMCO推出的船舶網(wǎng)絡(luò)安全指南,將網(wǎng)絡(luò)風(fēng)險(xiǎn)管理方針納入安全管理體系。如未在規(guī)定日期前實(shí)施新政,船只將被扣留,業(yè)務(wù)陷入停滯。實(shí)際上,網(wǎng)絡(luò)與信息安全工作的重要性符合冪次定律,是繼航線規(guī)劃、造船投入和人才培養(yǎng)之后,決定船公司生死存亡的“第四種生產(chǎn)要素”。我們相信船公司積極實(shí)施船岸網(wǎng)絡(luò)分層防御措施,建立健全網(wǎng)絡(luò)信息安全體系,最終能夠幫助企業(yè)實(shí)現(xiàn)躲避惡意攻擊,防范船岸網(wǎng)絡(luò)安全及信息泄露事故于未然的目標(biāo)。

關(guān)鍵詞:船岸;網(wǎng)絡(luò);安全信息;泄露

0 概 述

領(lǐng)先的船公司因長(zhǎng)期實(shí)踐“數(shù)字化+互聯(lián)網(wǎng)”戰(zhàn)略,船舶一切運(yùn)營(yíng)參數(shù)及管理量化指標(biāo)被移到了更加透明的互聯(lián)網(wǎng)信息平臺(tái)上,船舶所有人可以隨時(shí)隨地對(duì)資產(chǎn)進(jìn)行監(jiān)控。船舶所有人把船舶全權(quán)委托給第三方船管機(jī)構(gòu)打理,但這又帶來一個(gè)全新的課題——隨著船岸數(shù)字化程度越來越高,信息系統(tǒng)遭受攻擊導(dǎo)致數(shù)據(jù)泄露的風(fēng)險(xiǎn)越大。近年來我們聽到多起船員私人信息泄露導(dǎo)致的詐騙事件,不用懷疑,這些泄露的源頭90%來自船管公司的信息系統(tǒng)。此外,馬士基公司遭遇勒索病毒損失3億美金的案例告訴我們,無論船岸員工及IT專員是惡意還是疏忽,亦或是“不知情的幫兇”,都可能會(huì)給企業(yè)帶來嚴(yán)重的危害。我們知道,數(shù)據(jù)對(duì)業(yè)務(wù)的價(jià)值是有期限的,而船公司要做的就是充分了解其系統(tǒng)所掌握的信息,以及誰有訪問系統(tǒng)獲取信息的權(quán)限,確保數(shù)據(jù)及使用人員在有效期限內(nèi)的安全受控。

1 船岸通訊網(wǎng)絡(luò)管理現(xiàn)狀

航運(yùn)互聯(lián)網(wǎng)技術(shù)的運(yùn)用和發(fā)展非常迅速,特別是海上衛(wèi)星通訊服務(wù)商(見圖1)提供的海上高速帶寬套餐資費(fèi)日益下降,極大地促進(jìn)了船舶與管理當(dāng)局、服務(wù)供應(yīng)商、租船人和船舶所有人之間的信息交換頻率,這也給船舶管理公司帶來更大的壓力。網(wǎng)絡(luò)沒有物理國(guó)界,任何擁有基礎(chǔ)網(wǎng)絡(luò)安全攻防經(jīng)驗(yàn)及熟悉船舶扁平化網(wǎng)絡(luò)架構(gòu)(見圖2)的人都可以對(duì)海上聯(lián)網(wǎng)船舶進(jìn)行遠(yuǎn)程滲透,可能只需一杯咖啡的時(shí)間航行在海上的船舶就可能陷入斷網(wǎng)、信息系統(tǒng)被加密鎖定,甚至船舶主機(jī)、自動(dòng)舵系統(tǒng)失去控制的恐怖景象,以上情景并非危言聳聽。筆者對(duì)某船舶衛(wèi)星通訊商ip地址段(148.*.*.*)掃描發(fā)現(xiàn),眾多安裝VSAT、FBB設(shè)備船舶未經(jīng)審核就向公網(wǎng)開放了21/80/445/3389等弱口令TCP或UDP端口,且絕大部分船舶沒有配置專業(yè)的硬件防火墻,導(dǎo)致訪問控制策略失效,這也為船舶內(nèi)網(wǎng)遭受外部威脅開啟了潘朵拉魔盒。常見漏洞利用端口如下:

HTTP:80,8080,8888,8000,8001,8088;

VNC:5900,5901,5902,5903;

MySQL:3306

Memcached:11211

MySQL/MariaDB:3309,3308,33603306,3307,9806,1433

FTP:21

Telnet:23,2323

PostgreSQL:5432

Redis:6379,2379

ElasticSearch:9200

MongoDB:27017

RDP:3389

UPnP/SSDP:1900

NTP:123

DNS:53

SNMP:161

LDAP:389

Rexec:512

Rlogin:513

Rsh:514

Rsync:873

Oracledatabase:1521

TeamViewer:53,5938

CouchDB:5984

2 常見網(wǎng)絡(luò)攻擊手段

影響船公司和船舶的網(wǎng)絡(luò)攻擊主要有兩類:一是無目標(biāo)的攻擊,岸基或船舶內(nèi)網(wǎng)操作系統(tǒng)及第三方軟件漏洞是許多潛在的受攻擊目標(biāo)之一,攻擊者利用0day漏洞進(jìn)行廣撒網(wǎng)式無差別化攻擊;二是有針對(duì)性的攻擊,將某船公司或船舶信息系統(tǒng)設(shè)置為預(yù)定滲透目標(biāo),攻擊者為躲避網(wǎng)絡(luò)安全設(shè)備的防御機(jī)制,利用專門開發(fā)的更復(fù)雜的繞過技術(shù)和工具,實(shí)施多步驟攻擊,其殺傷力、破壞力較前者較大。針對(duì)性攻擊我們又分為以下幾種類型:

(1)主動(dòng)攻擊。攻擊者試圖突破網(wǎng)絡(luò)安全防線。這種攻擊涉及到數(shù)據(jù)流的修改或創(chuàng)建錯(cuò)誤流,主要攻擊形式有假冒、重放、欺騙、消息纂改和拒絕服務(wù)等等。

(2)被動(dòng)攻擊。攻擊者簡(jiǎn)單地監(jiān)視所有信息流以獲得某些秘密。這種攻擊可以是基于網(wǎng)絡(luò)跟蹤通訊鏈路或基于系統(tǒng)用秘密抓取數(shù)據(jù)的特洛伊木馬代替系統(tǒng)部件。

(3)物理攻擊。在物理臨近攻擊中,未授權(quán)者可物理接近網(wǎng)絡(luò)、系統(tǒng)或設(shè)備,目的是修改、收集或拒絕訪問信息。

(4)內(nèi)部攻擊。當(dāng)內(nèi)部人員被授權(quán)在信息安全處理系統(tǒng)的物理范圍內(nèi),或?qū)π畔踩幚硐到y(tǒng)具有直接訪問權(quán),主動(dòng)將獲取的信息進(jìn)行非法傳播。

(5)邊界攻擊。網(wǎng)絡(luò)邊界包括路由器、防火墻、入侵檢測(cè)系統(tǒng)IDS、虛擬專用網(wǎng)VPN、DMZ和被屏蔽的子網(wǎng)等,上述硬件內(nèi)部安裝的OS與其他軟件一樣,也無法逃避存在安全缺陷的命運(yùn),攻擊者則可利用其協(xié)議缺陷、OS及固件漏洞繞過已知安全策略。

(6)持續(xù)性威脅。商業(yè)APT組織可能會(huì)通過釣魚手法進(jìn)行欺詐,例如:以“XX船公司2020中期戰(zhàn)略企劃書”為關(guān)鍵詞投放電子誘餌,通過Scribble等Office文檔追蹤工具進(jìn)行精準(zhǔn)定位,騙取企業(yè)受害人打開附件或點(diǎn)擊郵件鏈接從而入侵或破壞對(duì)方的信息系統(tǒng)。

3 船舶易受攻擊的系統(tǒng)

1)綜合船橋和ECDIS系統(tǒng)

2)配載儀和船舶維修保養(yǎng)系統(tǒng)

3)主機(jī)遙控和能效系統(tǒng)

4)保安限制區(qū)域CCTV和各重點(diǎn)艙室門禁

5)乘員服務(wù)和管理系統(tǒng)

6)面向船員娛樂的公共網(wǎng)絡(luò)

7)船岸網(wǎng)絡(luò)通信系統(tǒng)

8)操作系統(tǒng)及常用軟件

4 處理網(wǎng)絡(luò)事件的基本步驟

1)風(fēng)險(xiǎn)識(shí)別:定義相關(guān)人員角色和職責(zé),確保在日常管理中能夠發(fā)現(xiàn)可疑風(fēng)險(xiǎn)

2)事件預(yù)防:采取風(fēng)險(xiǎn)控制流程和應(yīng)急計(jì)劃,阻止網(wǎng)絡(luò)風(fēng)險(xiǎn)演化成網(wǎng)絡(luò)事件

3)事件發(fā)現(xiàn):通過檢查確認(rèn)網(wǎng)絡(luò)事件發(fā)生,評(píng)估損失及后續(xù)恢復(fù)方案

4)事件恢復(fù):有計(jì)劃響應(yīng)并使系統(tǒng)恢復(fù)正常運(yùn)行

5)免疫措施:制定措施避免遭受同類網(wǎng)絡(luò)事件再次發(fā)生

5 安全組織架構(gòu)設(shè)計(jì)

網(wǎng)絡(luò)信息安全問題從根本上說是人的問題,如何讓人守規(guī)則,不違反規(guī)則,技術(shù)上如何減少和避免人為惡意使用技術(shù),這是船公司網(wǎng)絡(luò)信息安全組織架構(gòu)設(shè)計(jì)的初心。我們可以把組織的總體目標(biāo)定義為:針對(duì)船岸網(wǎng)絡(luò)及信息安全需要,構(gòu)建系統(tǒng)的網(wǎng)絡(luò)安全技術(shù)和信息防護(hù)策略及其措施,通過制度管理和技術(shù)防范,雙管齊下,規(guī)范員工行為,以達(dá)到網(wǎng)絡(luò)和信息資產(chǎn)安全可控的總體目標(biāo)。最終達(dá)到“外人進(jìn)不來,進(jìn)來看不到、看到拿不走、拿走用不了、操作可追溯”的效果。組織實(shí)際領(lǐng)導(dǎo)者——首席信息安全官(CISO)的基本職責(zé)是:建立船岸網(wǎng)絡(luò)與信息安全團(tuán)隊(duì)并確保成員各司其職。團(tuán)隊(duì)成員既要包含企業(yè)內(nèi)部的計(jì)算機(jī)安全專家,也要包含外部資深律師、會(huì)計(jì)師、技術(shù)專家等。

6 安全團(tuán)隊(duì)成員崗位職責(zé)

1)對(duì)船舶VSAT/FBB設(shè)備端口映射以及防火墻規(guī)則進(jìn)行審核分發(fā)及監(jiān)控,熟悉Infinity,XchangeBOX等通信管理系統(tǒng)的后臺(tái)設(shè)置,監(jiān)控內(nèi)網(wǎng)可疑流量。

2)對(duì)船岸內(nèi)網(wǎng)信息設(shè)備及辦公電腦軟硬件及時(shí)更新維護(hù),熟悉GTMailPlus、SkyfileMail、Super-Hub、RYDEX、AmosConnect等軟件操作知識(shí)。

3)對(duì)船岸防火墻訪問規(guī)則進(jìn)行定期維護(hù),定期更新船岸病毒及漏洞補(bǔ)丁庫,不斷豐富船岸網(wǎng)絡(luò)信息事故應(yīng)急預(yù)案。

4)收集供應(yīng)商技術(shù)文件集中存儲(chǔ),向設(shè)備及服務(wù)供應(yīng)商提交并跟蹤審核信息類保修工單(KVH,Marlink,GEE,OneNet等)。

5)跟蹤記錄新造船F(xiàn)BB,銥星和VSAT以及船載物聯(lián)網(wǎng)設(shè)備安裝調(diào)試情況,對(duì)船隊(duì)VSAT/FBB網(wǎng)絡(luò)流量及費(fèi)用情況進(jìn)行跟蹤,分配船員適當(dāng)?shù)男畔⒃L問級(jí)別和安全訪問許可。

6)參與船舶網(wǎng)絡(luò)基礎(chǔ)建設(shè)及信息系統(tǒng)迭代開發(fā),提出必要的安全策略規(guī)范要求。

7)具備防火墻/路由器/入侵檢測(cè)系統(tǒng)和交換機(jī)的豐富知識(shí);具備Mac、Windows、Linux三大操作系統(tǒng)及域控服務(wù)器的豐富知識(shí);具備數(shù)據(jù)庫基礎(chǔ)知識(shí),能夠使用SQL查詢語言,Crystal Reports提取分析數(shù)據(jù)。

8)具備網(wǎng)絡(luò)安全事件調(diào)查能力,獨(dú)立撰寫網(wǎng)絡(luò)安全事件調(diào)查報(bào)告并提出改進(jìn)措施。

7 經(jīng)驗(yàn)交流

網(wǎng)絡(luò)信息安全領(lǐng)域?qū)τ诖蟛糠秩硕约饶吧覍I(yè)性較強(qiáng),在實(shí)踐中,大部分船公司是總裁辦(行政事務(wù)部)或保密部門來牽頭,而網(wǎng)絡(luò)信息安全職能又隸屬話語權(quán)不高的IT部門,最終導(dǎo)致企業(yè)網(wǎng)絡(luò)信息安全工作進(jìn)展遲滯,制度落實(shí)緩慢。因此,我們建議由公司領(lǐng)導(dǎo)牽頭作為“一把手”工程,由技術(shù)保障部門負(fù)責(zé)具體實(shí)施。有條件的船公司應(yīng)該定期針對(duì)船岸網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行白帽滲透以及布置網(wǎng)絡(luò)信息安全審計(jì)設(shè)備,當(dāng)船岸系統(tǒng)被攻破時(shí),此舉能夠有助于迅速做出應(yīng)急反應(yīng),恢復(fù)可以預(yù)知的破壞和損失。此外在員工手冊(cè)、船員上船協(xié)議中應(yīng)該賦予公司相關(guān)職能部門通過技術(shù)手段來獲取內(nèi)部威脅的權(quán)利,此舉有利于打擊船岸隱蔽性較強(qiáng)的職務(wù)犯罪。

以筆者所在單位為例,2018年初由公司領(lǐng)導(dǎo)牽頭與CCS聯(lián)合成立了船岸網(wǎng)絡(luò)信息安全專項(xiàng)課題組,針對(duì)我司船岸網(wǎng)絡(luò)特殊性制定了一套通用船舶網(wǎng)絡(luò)安全管理體系,并在超大型集裝箱船試行了《船舶網(wǎng)絡(luò)信息安全實(shí)施指南(征求意見稿)》及配套制度如《船舶網(wǎng)絡(luò)信息資產(chǎn)管理辦法》《船舶VSAT、局域網(wǎng)及防火墻設(shè)置規(guī)范》《船舶網(wǎng)絡(luò)信息安全員崗位職責(zé)》《船員網(wǎng)絡(luò)信息安全應(yīng)知手冊(cè)》等,除此之外,還對(duì)試點(diǎn)船舶就域控服務(wù)器(解決內(nèi)網(wǎng)信息審計(jì)問題)、KMS激活服務(wù)器(解決操作系統(tǒng)、辦公軟件授權(quán)問題)、自建CA頒發(fā)SSL證書(解決SHA256數(shù)據(jù)加密問題)、某開源安全軟件企業(yè)版部署(解決病毒庫、補(bǔ)丁離線升級(jí)問題)等項(xiàng)目進(jìn)行技術(shù)驗(yàn)證,為下一步網(wǎng)絡(luò)信息安全課題成果的推廣應(yīng)用奠定良好基礎(chǔ)。

8 結(jié)束語

早在2014年2月,我國(guó)便成立了中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組。2015年黨的十八屆五中全會(huì)提出“網(wǎng)絡(luò)強(qiáng)國(guó)”戰(zhàn)略,2016年11月頒布了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》,同年12月頒布了《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》。可以說“沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全”已然成為舉國(guó)上下的共識(shí);同理,沒有網(wǎng)絡(luò)安全就沒有航運(yùn)安全。2018年9月22日,美國(guó)在最新頒布的《國(guó)家網(wǎng)絡(luò)戰(zhàn)略》中明確指出,美國(guó)的經(jīng)濟(jì)和國(guó)家安全建立在全球貿(mào)易和運(yùn)輸?shù)幕A(chǔ)之上,隨著交通運(yùn)輸部門的現(xiàn)代化,它們很容易受到網(wǎng)絡(luò)攻擊。鑒于海上運(yùn)輸?shù)闹匾裕I暇W(wǎng)絡(luò)安全尤為令人擔(dān)憂,美國(guó)將迅速采取行動(dòng),確定海上網(wǎng)絡(luò)安全的責(zé)任,加強(qiáng)國(guó)際協(xié)調(diào)和信息共享機(jī)制,加速下一代具有網(wǎng)絡(luò)彈性的海上基礎(chǔ)設(shè)施的發(fā)展?!八街梢怨ビ瘛?,未來的航運(yùn)業(yè),誰站在網(wǎng)絡(luò)信息安全的制高點(diǎn)掌握核心科技,誰就能實(shí)現(xiàn)贏家通吃。如果網(wǎng)絡(luò)信息安全出現(xiàn)紕漏,就會(huì)出現(xiàn)一著不慎,滿盤皆輸?shù)木置妗W鳛楹竭\(yùn)從業(yè)者,我們要以清醒的頭腦,未雨綢繆,有步驟有計(jì)劃地提升我國(guó)航企網(wǎng)絡(luò)信息安全建設(shè),持續(xù)為我國(guó)智能航運(yùn)、智能船舶等“政產(chǎn)學(xué)研用”創(chuàng)新項(xiàng)目落地,實(shí)現(xiàn)我國(guó)從航運(yùn)大國(guó)走向航運(yùn)強(qiáng)國(guó)的目標(biāo)努力奮斗。

猜你喜歡
泄露網(wǎng)絡(luò)
一浸桶機(jī)械密封改型
計(jì)算機(jī)網(wǎng)絡(luò)管理技術(shù)探析
芻議計(jì)算機(jī)網(wǎng)絡(luò)信息化管理
油氣集輸系統(tǒng)信息化發(fā)展形勢(shì)展望
基于網(wǎng)絡(luò)的信息資源組織與評(píng)價(jià)現(xiàn)狀及發(fā)展趨勢(shì)研究
基于網(wǎng)絡(luò)的中學(xué)閱讀指導(dǎo)