吳笑風(fēng)，石 瑤，岳 宏，馮書桓

（中國船舶信息中心，北京 100101）

0 引言

近年來，信息和通信技術(shù)（Information and Communication Technology，簡稱：ICT）為工業(yè)界各領(lǐng)域帶來深刻的變革。ICT的廣泛和深度應(yīng)用使得工業(yè)產(chǎn)品（特別是復(fù)雜產(chǎn)品，如高端裝備等）有能力獲得、存儲(chǔ)和傳輸更多數(shù)據(jù)和信息，同時(shí)也為產(chǎn)品和服務(wù)的運(yùn)營模式帶來了更多可能。作為傳統(tǒng)行業(yè)，船舶工業(yè)和航運(yùn)業(yè)在“智能時(shí)代”中正在經(jīng)歷產(chǎn)品特性和生產(chǎn)經(jīng)營模式上的深刻變革，面臨前所未有的新考驗(yàn)。

對先進(jìn)ICT的依賴使信息系統(tǒng)的安全脆弱性在“智能時(shí)代”的大量網(wǎng)絡(luò)化的信息傳輸過程中可能被暴露出來。安聯(lián)公司一項(xiàng)于2018年開展的調(diào)查項(xiàng)目顯示，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)在全球工業(yè)界所公認(rèn)的重大威脅中的排名已升至第2位，而5年前的排名是第15位，甚至已經(jīng)有11個(gè)國家已將網(wǎng)絡(luò)風(fēng)險(xiǎn)列為首要風(fēng)險(xiǎn)。英國勞氏船級社的研究也認(rèn)為網(wǎng)絡(luò)安全已經(jīng)成為了全球性的普遍問題。英國勞式船級社在2017年曾發(fā)布報(bào)告，在航運(yùn)業(yè)中有44%的航運(yùn)公司認(rèn)為需要升級信息系統(tǒng)，其中的大多數(shù)已實(shí)際遭受了網(wǎng)絡(luò)攻擊。這不僅已經(jīng)成為業(yè)界中迫在眉睫的實(shí)際問題，同時(shí)也成為船舶與航運(yùn)智能化和自主化發(fā)展的核心問題之一。以自主船舶為例，有研究針對其經(jīng)濟(jì)效益進(jìn)行分析，認(rèn)為無人化的船舶運(yùn)營可帶來高達(dá)90%的成本節(jié)約。但實(shí)際上這一估算并沒有考慮因網(wǎng)絡(luò)安全事件所導(dǎo)致的潛在損失。

提升網(wǎng)絡(luò)安全管理水平和風(fēng)險(xiǎn)防范意識已經(jīng)在諸多工業(yè)門類中成為共識，特別在“智能革命”的背景下，高效的信息互聯(lián)互通、云計(jì)算云服務(wù)的擴(kuò)展應(yīng)用都將成倍放大網(wǎng)絡(luò)風(fēng)險(xiǎn)的潛在危害。對于航運(yùn)業(yè)而言，正開始“自上而下”地加強(qiáng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的管理實(shí)踐。國際海事組織（International Maritime Organization，簡稱：IMO）作為立法機(jī)構(gòu)給出了宏觀準(zhǔn)則，并提出可將波羅的海航運(yùn)公會(huì)（Baltic and International Maritime Council，簡稱：BIMCO）發(fā)布的《網(wǎng)絡(luò)安全指南》、國際標(biāo)準(zhǔn)化組織（International Organization for Standardization，簡稱：ISO）和國際電工組織（International Electrotechnical Organization，簡稱：IEC）發(fā)布的ISO/IEC 27001《信息安全管理系統(tǒng)》和美國國家標(biāo)準(zhǔn)研究院（National Institute of Standards and Technology，簡稱：NIST）《提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》等文件納入?yún)⒖嫉慕ㄗh。本文對NIST框架文件、ISO和IEC中網(wǎng)絡(luò)安全相關(guān)的標(biāo)準(zhǔn)從主要內(nèi)容、作用域、主要用戶和應(yīng)用前景等角度進(jìn)行分析，結(jié)合ISO 23806和ISO 23799這2項(xiàng)船舶領(lǐng)域?qū)Ｓ镁W(wǎng)絡(luò)安全標(biāo)準(zhǔn)的研發(fā)，考察相關(guān)國際標(biāo)準(zhǔn)的適用性。

1 NIST《提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》

1.1 主要內(nèi)容

《提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》（簡稱：《框架》）由NIST于2014年2月12日發(fā)布。《框架》提出了一個(gè)基于風(fēng)險(xiǎn)的網(wǎng)絡(luò)安全管理的標(biāo)準(zhǔn)化方法思路，即基于識別、保護(hù)、檢測、響應(yīng)和恢復(fù)5個(gè)要素形成網(wǎng)絡(luò)安全管理標(biāo)準(zhǔn)映射框架，可用于描述特定網(wǎng)絡(luò)空間安全活動(dòng)的當(dāng)前狀態(tài)或期望目標(biāo)，如表1所示。《框架》的構(gòu)成：1）依賴于現(xiàn)有的各種標(biāo)準(zhǔn)、指南和最佳實(shí)踐文件；2）依賴于國際性標(biāo)準(zhǔn)文件，使得實(shí)現(xiàn)框架效果的工具和方法具有廣泛的適用性。

表1 《提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》與已有標(biāo)準(zhǔn)文件的映射情況[4]

1.2 作用域

《框架》的實(shí)質(zhì)是一份安全風(fēng)險(xiǎn)管控的標(biāo)準(zhǔn)化實(shí)施指南，將組織機(jī)構(gòu)要求、風(fēng)險(xiǎn)容限和組織資源等一一對應(yīng)。它提出的目的是促使企業(yè)仔細(xì)分析現(xiàn)有的業(yè)務(wù)特點(diǎn)及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管控需求，梳理現(xiàn)行安全風(fēng)險(xiǎn)管理舉措，并與《框架》對照，對自身網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理體系進(jìn)行優(yōu)化或建立新的個(gè)性化的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理體系。見表1。

1.3 目標(biāo)用戶

《框架》為關(guān)鍵基礎(chǔ)設(shè)施的運(yùn)營商提供了一套用于制定和優(yōu)化網(wǎng)絡(luò)安全實(shí)踐方案的指南性框架文件。

1.4 應(yīng)用前景

《框架》本身即為一個(gè)網(wǎng)絡(luò)安全領(lǐng)域的標(biāo)準(zhǔn)系統(tǒng)，提出了關(guān)鍵基礎(chǔ)設(shè)施利益相關(guān)方的新型參與模式，本身具有中立性，同時(shí)具有靈活性和擴(kuò)展性。從理念上看，《框架》所采用的框架映射式的思路，在各行業(yè)制定、修訂和優(yōu)化網(wǎng)絡(luò)信息安全領(lǐng)域指南性文件和制訂實(shí)施方案的工作中都值得借鑒。

2 ISO/IEC 27001《信息安全管理體系要求》

2.1 主要內(nèi)容

ISO/IEC 27000標(biāo)準(zhǔn)是ISO和IEC專門為信息安全管理體系建立的系列標(biāo)準(zhǔn)。ISO/IEC 27000系列標(biāo)準(zhǔn)可分為以下幾類：

1）要求和支持性指南類標(biāo)準(zhǔn)，即信息安全管理體系的基本要求，主要包括ISO/IEC 27000～27005；

2）有關(guān)認(rèn)證認(rèn)可和審核的指南類標(biāo)準(zhǔn)，面向認(rèn)證機(jī)構(gòu)和審核人員，主要包括 ISO/IEC 27006～27008；

3）面向?qū)ｉT行業(yè)（如金融業(yè)、電信業(yè)等）的信息安全管理要求，或?qū)ｉT應(yīng)用于具體安全領(lǐng)域（如數(shù)字證據(jù)）的標(biāo)準(zhǔn)；

這同樣適用于統(tǒng)治者，其應(yīng)做的是以辯證思維合理運(yùn)用自身的危機(jī)意識，在主觀上樹立正確的思維去引導(dǎo)客觀實(shí)踐，避免制度的局限性所帶來的負(fù)面效應(yīng)。 在老子看來，那樣無法適應(yīng)多變的社會(huì)形勢，反而會(huì)造成國力的損耗，引起不利的局面。 這不是對于社會(huì)的關(guān)鍵因素的忽視，更不是單純地肯定空想社會(huì)形態(tài)的復(fù)歸而否定社會(huì)形態(tài)進(jìn)化的現(xiàn)實(shí)性、復(fù)雜性、特殊性。

4）由ISO或IEC其他專業(yè)技術(shù)委員會(huì)單獨(dú)制定的面向具體信息安全應(yīng)用的標(biāo)準(zhǔn)。

ISO/IEC 27001《信息技術(shù)安全技術(shù)信息安全管理體系要求》是該系列中的總體性文件，規(guī)定了在實(shí)施主體（組織）范圍內(nèi)建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)信息安全管理系統(tǒng)的要求，以及評估和處理信息安全風(fēng)險(xiǎn)的要求。其2005版已于2008年6月等同轉(zhuǎn)化為我國的國家標(biāo)準(zhǔn)GB/T 22080—2008，并于2008年11月1日正式實(shí)施。其最新版本在2013年發(fā)布。

2.2 作用域

ISO/IEC 27001為有以下需求的組織機(jī)構(gòu)提供建立、實(shí)施、保持和持續(xù)改進(jìn)信息安全管理體系的要求指導(dǎo)：

1）需要證實(shí)自己具備穩(wěn)定地提供滿足顧客信息安全要求和適用信息安全法律法規(guī)要求的產(chǎn)品和服務(wù)的能力；

2）希望通過信息安全管理體系的有效應(yīng)用，包括確定信息安全管理體系所涉及的過程以及保證符合顧客和適用法律法規(guī)的信息安全要求，增強(qiáng)顧客滿意度。

ISO/IEC 27001是信息安全管理體系（Information Security Management System，簡稱：ISMS）的規(guī)范性標(biāo)準(zhǔn)，具有與ISO 9001標(biāo)準(zhǔn)相似的性質(zhì)。它著眼于對組織機(jī)構(gòu)的整體業(yè)務(wù)風(fēng)險(xiǎn)的管控，通過對業(yè)務(wù)進(jìn)行風(fēng)險(xiǎn)評估來建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)其 ISMS，確保信息資產(chǎn)的保密性、可用性和完整性。ISO/IEC 27001也為獨(dú)立第三方開展認(rèn)證及實(shí)施貫標(biāo)審核提供依據(jù)。

2.3 目標(biāo)用戶

作為ISMS中的要求和支持性指南，該標(biāo)準(zhǔn)的要求是通用性質(zhì)的，可以適用于各種類型、不同規(guī)模和提供各種產(chǎn)品或服務(wù)的組織。但是達(dá)到標(biāo)準(zhǔn)要求的方法、途徑和措施會(huì)因組織的需要和目標(biāo)、安全要求、所采用的過程以及組織的規(guī)模和結(jié)構(gòu)而不同。也就是說，信息安全管理體系的策劃和實(shí)施除了滿足標(biāo)準(zhǔn)的要求外，還應(yīng)符合組織的實(shí)際情況，提出個(gè)性化的解決方案。

2.4 應(yīng)用前景

ISO 27001在設(shè)計(jì)上與ISO 9001和ISO 14001等管理標(biāo)準(zhǔn)體系相兼容，使得應(yīng)用的組織機(jī)構(gòu)可建立起一套綜合的管理體系。作為目前國際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)，ISO 27001已在全球得到廣泛應(yīng)用，使用者包括政府機(jī)構(gòu)、商業(yè)機(jī)構(gòu)、跨國公司等，可幫助企業(yè)建立起有效且具有針對性的安全控制方法和工作流程，進(jìn)一步規(guī)范企業(yè)相關(guān)的信息管理工作。ISO/IEC 27000標(biāo)準(zhǔn)家族也日益龐大，為全球各類組織和機(jī)構(gòu)提供網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防控保障。

3 ISO 31000《風(fēng)險(xiǎn)管理原則和實(shí)施導(dǎo)則》

3.1 主要內(nèi)容

《風(fēng)險(xiǎn)管理原則和實(shí)施導(dǎo)則》（以下簡稱：《導(dǎo)則》）于2009年發(fā)布第1版。2018年ISO對該標(biāo)準(zhǔn)進(jìn)行了更新。新版《導(dǎo)則》將“價(jià)值的創(chuàng)造和保護(hù)”確定為風(fēng)險(xiǎn)管理最核心的理念，圍繞其提出了：整合、結(jié)構(gòu)化和全面性、定制化、包容、動(dòng)態(tài)、最佳可用信息、人員與文化因素和持續(xù)改進(jìn)等8個(gè)原則。這些原則為管理框架和實(shí)施流程的設(shè)置提供了依據(jù)?！秾?dǎo)則》在開篇就提出風(fēng)險(xiǎn)管理應(yīng)與組織機(jī)構(gòu)的所有活動(dòng)相結(jié)合。這也表明了風(fēng)險(xiǎn)管理應(yīng)當(dāng)是組織機(jī)構(gòu)所有活動(dòng)的組成部分，而不應(yīng)獨(dú)立考慮。

3.2 作用域

ISO 31000標(biāo)準(zhǔn)應(yīng)用于組織機(jī)構(gòu)的整個(gè)管理過程。雖然ISO 31000標(biāo)準(zhǔn)內(nèi)提供了通用性的應(yīng)用指南，但應(yīng)用的組織機(jī)構(gòu)在實(shí)施時(shí)還需針對自身特定的組織結(jié)構(gòu)、產(chǎn)品、服務(wù)項(xiàng)目、業(yè)務(wù)流程等要素設(shè)計(jì)定制化的風(fēng)險(xiǎn)管理要求，并與相關(guān)的風(fēng)險(xiǎn)管理具體措施相融合（并非簡單取代）。

3.3 目標(biāo)用戶

ISO 31000標(biāo)準(zhǔn)制定的風(fēng)險(xiǎn)管理原則和通用的實(shí)施指南已在多個(gè)行業(yè)和部門中開展了應(yīng)用，能夠在各類公共、私有或社會(huì)企業(yè)、協(xié)會(huì)、和團(tuán)體中發(fā)揮作用。

3.4 應(yīng)用前景

ISO 31000自2009年發(fā)布以來，得到了全球各個(gè)國家的支持和響應(yīng)。據(jù)不完全統(tǒng)計(jì)，全球已經(jīng)有近 60個(gè)國家采納該標(biāo)準(zhǔn)并在此基礎(chǔ)上發(fā)布了其國家風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)，如我國的GB/T 24353，應(yīng)用十分廣泛。

4 IEC 62443《工控網(wǎng)絡(luò)與系統(tǒng)信息安全》

4.1 主要內(nèi)容

IEC 62443《工控網(wǎng)絡(luò)與系統(tǒng)信息安全》由IEC/TC 65（工業(yè)過程的測量、控制和自動(dòng)化技術(shù)委員會(huì)）發(fā)布。IEC 62443針對工控系統(tǒng)信息安全的定義是：保護(hù)系統(tǒng)所采取的措施；由建立和維護(hù)保護(hù)系統(tǒng)的措施所得到的系統(tǒng)狀態(tài)；能夠免于對系統(tǒng)資源的非授權(quán)訪問和非授權(quán)或意外的變更、破壞或者損失；基于計(jì)算機(jī)系統(tǒng)的能力，能夠保證非授權(quán)人員和系統(tǒng)既無法修改軟件及其數(shù)據(jù)也無法訪問系統(tǒng)功能，保證授權(quán)人員和系統(tǒng)不被阻止；以及防止對工控系統(tǒng)的非法或有害入侵，或者干擾其正確和計(jì)劃的操作。IEC 62443標(biāo)準(zhǔn)由4個(gè)部分組成，如圖2所示。

圖2 IEC 62443系列標(biāo)準(zhǔn)構(gòu)成

1）總體要求：即62443-1部分，涵蓋一般概念、術(shù)語和方法。

2）政策和程序：即62443-2部分，規(guī)定了結(jié)構(gòu)措施，并針對自動(dòng)化解決方案的操作員和維護(hù)者。還載有根據(jù)關(guān)鍵工業(yè)基礎(chǔ)設(shè)施的具體特點(diǎn)（IEC-62443-2-3）對系統(tǒng)組件進(jìn)行修正和更新的建議（IEC-62443-2-3）。

3）系統(tǒng)：即62443-3部分，重點(diǎn)介紹ICS（工業(yè)控制系統(tǒng)）——或更確切地說，IACS（工業(yè)自動(dòng)化和控制系統(tǒng)）——的操作安全方法，提供對各種網(wǎng)絡(luò)安全工具的最新評估，描述了將其體系結(jié)構(gòu)構(gòu)建到區(qū)域和通道的方法和資源，并提供網(wǎng)絡(luò)攻擊防護(hù)技術(shù)清單。

4）組件：即62443-4部分，面向指揮和控制解決方案的制造商，如PLC、監(jiān)控系統(tǒng)、工程站和其他交換設(shè)備，給出了此類設(shè)備的安全要求，并規(guī)定了產(chǎn)品開發(fā)的最佳實(shí)踐。

4.2 作用域

IEC 62443中提出的概念、方法和模型已經(jīng)在多個(gè)國家和行業(yè)工控相關(guān)標(biāo)準(zhǔn)的制定中得到采納和認(rèn)可，已成為工控系統(tǒng)網(wǎng)絡(luò)安全的參考基準(zhǔn)，而實(shí)施過程中有所缺失的細(xì)節(jié)部分可通過引入其他專用性的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)進(jìn)行補(bǔ)充。

4.3 目標(biāo)用戶

IEC 62443對工業(yè)環(huán)境中的多種角色適用，包括資產(chǎn)所有者、維護(hù)服務(wù)商、集成服務(wù)商、產(chǎn)品供應(yīng)商等，如圖3所示。

圖3 不同類型的角色對IEC 62443標(biāo)準(zhǔn)的適用情況

4.4 應(yīng)用前景

IEC和ISA 99正在聯(lián)合制定一系列國際標(biāo)準(zhǔn)IEC 62443，以滿足在工業(yè)自動(dòng)化和控制系統(tǒng)中設(shè)計(jì)網(wǎng)絡(luò)安全穩(wěn)健性和彈性的需要，涵蓋系統(tǒng)生命周期內(nèi)安全性的組織和技術(shù)方面。雖然這套網(wǎng)絡(luò)安全標(biāo)準(zhǔn)最初側(cè)重于工業(yè)自動(dòng)化，但能源部門也采用了這套網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，因?yàn)樗鼮樵诰W(wǎng)絡(luò)物理系統(tǒng)的運(yùn)營和現(xiàn)場環(huán)境中應(yīng)用安全性提供了一種方法。它可以與 ISO/IEC 27000系列（特別是用于能源領(lǐng)域的ISO/IEC 27019）和IEC 62351配合使用，該系列可提供一些安全解決方案。

5 ISO/IEC 19086-4《云計(jì)算服務(wù)級別協(xié)議框架安全和保護(hù)個(gè)人身份信息組件》

5.1 主要內(nèi)容

ISO/IEC 19086是基于 ISO/IEC 17788和ISO/IEC 17789中定義的云計(jì)算概念，針對服務(wù)級別協(xié)議（Service Level Agreement，簡稱：SLA）框架開發(fā)的系列國際標(biāo)準(zhǔn)，其相關(guān)性見圖4。在該系列中：

圖4 ISO/IEC 19086與其他云計(jì)算相關(guān)標(biāo)準(zhǔn)間關(guān)系

1）ISO/IEC 19086-1提供云SLA框架的概述、基本概念和定義；

2）ISO/IEC 19086-2提供用于創(chuàng)建SLA和服務(wù)質(zhì)量目標(biāo)（Service Quality Objects，簡稱：SQOs）中使用的指標(biāo)的指標(biāo)模型；

3）ISO/IEC 19086-3提供從服務(wù)水平目標(biāo)（Service Level Objects，簡稱：SLOs）和SQOs派生的核心符合性要求；

4）ISO/IEC 19086-4以基本概念和定義為基礎(chǔ)，通過描述特定組件以及SLOs和SQOs在安全和隱私領(lǐng)域的一致性要求。

5.2 作用域

該標(biāo)準(zhǔn)對云 SLA的個(gè)人身份信息組件、SLA和SQOs的安全性和保護(hù)進(jìn)行了規(guī)范，包括提出要求和應(yīng)用指南。

5.3 目標(biāo)用戶

參與創(chuàng)建、修改或理解符合ISO/IEC 19086的云服務(wù)級別協(xié)議的任何組織或個(gè)人都可以適用本標(biāo)準(zhǔn)。

5.4 應(yīng)用前景

隨著航運(yùn)業(yè)中云計(jì)算服務(wù)需求的增加，ISO/IEC 19086系列標(biāo)準(zhǔn)也將受到更多的重視。但是否需要面向航運(yùn)和船舶行業(yè)的專門化標(biāo)準(zhǔn)制定，還需要在實(shí)踐中積累和評估。

6 專用網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的開發(fā)

在航運(yùn)業(yè)和船舶工業(yè)進(jìn)入“智能時(shí)代”的背景下，網(wǎng)絡(luò)安全管理是維護(hù)航運(yùn)和船舶系統(tǒng)穩(wěn)定高效運(yùn)營的重要手段。船舶工業(yè)界關(guān)注從技術(shù)上對船舶系統(tǒng)以及各分系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行評估和防控，因此需要從技術(shù)層面開發(fā)普遍適用的系統(tǒng)網(wǎng)絡(luò)安全評估方法，以對船舶網(wǎng)絡(luò)安全管理提供有效支撐。IMO和各大船級社目前已有相關(guān)的指南性文件；ISO和IEC中已有工業(yè)界中通用的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)，但對于船舶工業(yè)而言適用性仍然偏弱。

在關(guān)于網(wǎng)絡(luò)和信息安全的工業(yè)標(biāo)準(zhǔn)中，ISO和IEC聯(lián)合發(fā)布的ISO/IEC 27000系列標(biāo)準(zhǔn)具有較強(qiáng)的影響力。ISO/IEC 27000是專門為信息安全管理體系發(fā)布的一系列相關(guān)標(biāo)準(zhǔn)的總稱，主要包含基本要求和支持性指南、認(rèn)證認(rèn)可和審核指南、面向行業(yè)的信息安全管理要求3類國際標(biāo)準(zhǔn)。目前，在一些行業(yè)門類中已有基于ISO/IEC 27000系列標(biāo)準(zhǔn)編制專用信息安全管理標(biāo)準(zhǔn)的案例，但在船舶海洋工業(yè)領(lǐng)域的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)仍處于空白狀態(tài)。此外，ISO 31000《風(fēng)險(xiǎn)管理原則和實(shí)施導(dǎo)則》提供了通用的風(fēng)險(xiǎn)管理辦法，可為船舶網(wǎng)絡(luò)風(fēng)險(xiǎn)管理提供參考。但也正是由于相關(guān)標(biāo)準(zhǔn)的高通用性，專門面向航運(yùn)和船舶工業(yè)界網(wǎng)絡(luò)安全管理實(shí)踐的標(biāo)準(zhǔn)仍然處于空白。ISO/TC 8/WG 4（“網(wǎng)絡(luò)安保”工作組）中正在開發(fā)的2項(xiàng)網(wǎng)絡(luò)安全國際標(biāo)準(zhǔn)ISO/CD 23806《船舶與海洋技術(shù)網(wǎng)絡(luò)安全》和ISO/AWI 23799《船舶與海洋技術(shù)船載網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估方法》正是船舶工業(yè)界為填補(bǔ)這個(gè)空白做出的努力。ISO 23806提出船舶網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的一般性要求；ISO 23799作為《網(wǎng)絡(luò)安全》標(biāo)準(zhǔn)的第二部分，將為船舶系統(tǒng)的風(fēng)險(xiǎn)評估指南。后續(xù)，關(guān)于船載網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)研發(fā)也將有望得到體系化發(fā)展。

7 結(jié)論

網(wǎng)絡(luò)安全成為國際海事和船舶工業(yè)界的熱點(diǎn)問題已有一段時(shí)間，業(yè)界仍在尋找合理的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)方案。通過對NIST框架、ISO和IEC中網(wǎng)絡(luò)安全相關(guān)的標(biāo)準(zhǔn)進(jìn)行分析，發(fā)現(xiàn)ISO、IEC中現(xiàn)有的網(wǎng)絡(luò)安全類國際標(biāo)準(zhǔn)多為通用類，可在一定的指導(dǎo)框架（如NIST《框架》）下供各類航運(yùn)和船舶工業(yè)機(jī)構(gòu)選用以（在一定程度上）提升自身或產(chǎn)品應(yīng)對網(wǎng)絡(luò)風(fēng)險(xiǎn)的水平。然而這種通用性使得相關(guān)標(biāo)準(zhǔn)在應(yīng)用中仍然不夠“精準(zhǔn)”。因此對于船舶工業(yè)而言，經(jīng)過適當(dāng)“剪裁”和優(yōu)化，開發(fā)出專用的標(biāo)準(zhǔn)，比如ISO/TC 8中曾提出用“Marine and Lean”（面向船舶且精煉）理念開發(fā)船舶行業(yè)專用的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。這將對IMO要求的落地和航運(yùn)業(yè)安全安保水平的提升有積極意義。ISO 23806和ISO 23799這2項(xiàng)國際標(biāo)準(zhǔn)的研究正是這一理念下的有益嘗試。