李曉輝 周 楠

一、引言

隨著船舶數(shù)字化、智能化水平的不斷提高，接入網(wǎng)絡(luò)的數(shù)據(jù)、資產(chǎn)變得越來越有價值，船舶面臨的網(wǎng)絡(luò)安全問題日益突出，利用網(wǎng)絡(luò)攻擊入侵船舶變得更加有利可圖。 2013 年，某新加坡籍貨船GPS數(shù)據(jù)被破壞，導(dǎo)致該船在急速航行中撞翻了一艘漁船，造成兩人喪生、一人失蹤[1]；2017年2月，一艘集裝箱船在從塞浦路斯駛往吉布提的途中遭到黑客的攻擊，黑客控制了該船的導(dǎo)航系統(tǒng)，意圖將該船引至易登船控制的區(qū)域[2].。船舶面對網(wǎng)絡(luò)威脅的脆弱性，船員對抗網(wǎng)絡(luò)攻擊的無能為力，使得各方警醒。船東、船員、VTS主管機關(guān)如何識別及評估網(wǎng)絡(luò)安全所面臨的風險，事故發(fā)生后如何應(yīng)對，這些都是船舶網(wǎng)絡(luò)安全領(lǐng)域亟待深入研究的問題。

針對船舶數(shù)字化、智能化發(fā)展過程中帶來的網(wǎng)絡(luò)安全風險，IMO（國際海事組織）、IALA（國際航標協(xié)會）高度重視并積極響應(yīng)。2015年6月，IMO海上安全委員會（MSC）第95屆會議上對網(wǎng)絡(luò)安全問題進行了初步討論，明確提出國際海事業(yè)界需要加強對網(wǎng)絡(luò)空間威脅的重視并做出適當響應(yīng)；2017年6月，MSC第98屆大會上通過了MSC.428（98）“安全管理系統(tǒng)之海上網(wǎng)絡(luò)風險管理”決議，確認將“船舶網(wǎng)絡(luò)風險管理”納入“船舶安全管理體系”；2017年7月，IMO通過了正式的MSCFAL.1/Circ.3《海事網(wǎng)絡(luò)風險管理導(dǎo)則》，對海事網(wǎng)絡(luò)風險管理提供了指導(dǎo)。IALA將“網(wǎng)絡(luò)犯罪的易發(fā)性和網(wǎng)絡(luò)安全”確定為未來全球海事發(fā)展的趨勢（細化為三個方向：隨著船舶的數(shù)字化、智能化，船舶受到網(wǎng)絡(luò)攻擊的風險越來越大；網(wǎng)絡(luò)安全預(yù)計將成為海事主管機關(guān)、船東和航運公司高度優(yōu)先關(guān)注的領(lǐng)域；分析對AtoN（助航）和VTS當局以及IALA成員的威脅，并提出采取適當?shù)拇胧┦欠浅Ｖ匾模?，基于此IALA考慮提供與AtoN相關(guān)的應(yīng)對網(wǎng)絡(luò)安全威脅和程序的指南以實現(xiàn)其宗旨。

二、船舶網(wǎng)絡(luò)安全風險分析

隨著ISM規(guī)則（國際船舶安全營運和防污染管理規(guī)則）的實施，船上配備的計算機從滿足日常通信、配貨需要逐步擴大到實現(xiàn)各類系統(tǒng)設(shè)備維護保養(yǎng)和管理，應(yīng)用涵蓋了通信、貨運、船舶管理、維護保養(yǎng)、航線設(shè)計、培訓(xùn)、娛樂等各個方面。為方便船員與外界的聯(lián)系，船舶通過VSAT、Inmarsat或銥星等衛(wèi)星網(wǎng)絡(luò)實現(xiàn)對外連接，船上的GPS、AIS等導(dǎo)助航系統(tǒng)雖不連接互聯(lián)網(wǎng)，但需要通過專用網(wǎng)絡(luò)與外部實現(xiàn)數(shù)據(jù)接收與交換。船舶網(wǎng)絡(luò)系統(tǒng)由各大計算機系統(tǒng)組成，能夠與外界實現(xiàn)傳輸數(shù)據(jù)的每個計算機都面臨著網(wǎng)絡(luò)安全風險。通過對船舶網(wǎng)絡(luò)結(jié)構(gòu)的薄弱環(huán)節(jié)進行分析，進而找到網(wǎng)絡(luò)安全的風險源，對防控船舶網(wǎng)絡(luò)安全風險具有重要意義。

1.船舶網(wǎng)絡(luò)結(jié)構(gòu)

船舶網(wǎng)絡(luò)結(jié)構(gòu)根據(jù)應(yīng)用層級的不同分為用戶層、控制層和管理層，基本結(jié)構(gòu)如圖1所示。用戶層主要包括郵件服務(wù)、打印服務(wù)、個人PC等，控制層主要包括推進系統(tǒng)、操舵系統(tǒng)、鍋爐控制系統(tǒng)等，管理層主要包括ECDIS、GPS、AIS、貨物管理系統(tǒng)等。

圖1 船舶網(wǎng)絡(luò)結(jié)構(gòu)示意圖

由于船舶整體設(shè)計和建造的周期較長，船舶網(wǎng)絡(luò)系統(tǒng)軟硬件更新升級頻率較低。根據(jù)調(diào)查統(tǒng)計，目前大部分船舶沒有配備隨船負責網(wǎng)絡(luò)安全的IT人員，導(dǎo)致船舶網(wǎng)絡(luò)結(jié)構(gòu)存在較多薄弱環(huán)節(jié)。

2.船舶網(wǎng)絡(luò)風險源

船舶網(wǎng)絡(luò)可能遭受威脅的設(shè)備分為信息技術(shù)系統(tǒng)（IT）和操作技術(shù)系統(tǒng)（OT）。信息技術(shù)系統(tǒng)（IT）主要是將數(shù)據(jù)作為信息使用，目前船上應(yīng)用的各種計算機包括電子郵件系統(tǒng)計算機、配載儀計算機、電子航海出版物計算機、船舶維修保養(yǎng)計劃計算機、各辦公計算機等。只要將數(shù)據(jù)作為信息使用，都屬于信息技術(shù)系統(tǒng)。操作技術(shù)系統(tǒng)（OT）則通過數(shù)據(jù)來操控或監(jiān)控物理過程，主要包括GPS、AIS及與其相關(guān)聯(lián)的雷達、電子海圖、VDR等用于監(jiān)控船舶運動的設(shè)備。

信息技術(shù)系統(tǒng)主要面臨信息被竊取、數(shù)據(jù)被篡改或破壞以及被敲詐勒索等安全風險。操作技術(shù)系統(tǒng)主要面臨GPS受到干擾甚至信號被覆蓋替換，ECDIS中文件被刪除、替換，AIS數(shù)據(jù)被偽造迫使船舶改變航線，冒充VTS主管機關(guān)發(fā)送AIS信息，船舶控制系統(tǒng)遭受攻擊被遠程操縱等安全風險。

識別、確定船舶網(wǎng)絡(luò)安全風險源，對于加強防護、防止船舶網(wǎng)絡(luò)安全事件的發(fā)生具有重要意義。根據(jù)系統(tǒng)安全工程特點，船舶網(wǎng)絡(luò)風險可以用可能性和嚴重性來表示，即：R=f（F，C），其中R表示網(wǎng)絡(luò)安全風險，F(xiàn)表示發(fā)生網(wǎng)絡(luò)安全事件的可能性，C表示發(fā)生網(wǎng)絡(luò)安全事件的嚴重性。船舶網(wǎng)絡(luò)安全風險評估需要確定發(fā)生網(wǎng)絡(luò)安全事件的可能性、嚴重性的影響因子，主要涉及威脅識別、脆弱性識別、資產(chǎn)識別三個方面。網(wǎng)絡(luò)威脅是指船舶網(wǎng)絡(luò)系統(tǒng)中的威脅因素等，包括人為因素和自然因素，網(wǎng)絡(luò)脆弱性是指船舶網(wǎng)絡(luò)系統(tǒng)中被威脅對象存在的弱點的等級或者嚴重程度，資產(chǎn)是指網(wǎng)絡(luò)系統(tǒng)中被威脅對象的價值，包括有形資產(chǎn)、無形資產(chǎn)。通過對威脅、脆弱性、資產(chǎn)的識別分析，對其結(jié)果進行一定的賦值，得出安全事件發(fā)生的可能性和造成的嚴重性，進而計算出船舶網(wǎng)絡(luò)安全的風險值。

克羅地亞里耶卡大學(xué)B. Svilicic等人通過模擬黑客攻擊船舶IT、OT系統(tǒng)，發(fā)現(xiàn)船舶網(wǎng)絡(luò)易遭受攻擊的部位分別為GPS、ECDIS、AIS和船舶貨物管理系統(tǒng)[3]，進而得出結(jié)論船舶網(wǎng)絡(luò)安全的主要風險源是GPS、ECDIS、AIS和船舶貨物管理系統(tǒng)。

（1）GPS（全球定位系統(tǒng)）。GPS是船舶在海上航行時提供導(dǎo)航定位信息的關(guān)鍵技術(shù)系統(tǒng)，是ECDIS的重要組成部分。GPS所用的GNSS（全球?qū)Ш叫l(wèi)星系統(tǒng)）通常信號微弱，而且沒有較強的安全認證措施，很容易受到干擾，導(dǎo)致信號中斷或者被覆蓋[4]，進而對船舶安全造成重大威脅。

（2）ECDIS。ECDIS包含電子海圖和船舶航行狀態(tài)實時信息，并集成了GPS、雷達、測深儀、AIS等系統(tǒng)信息。攻擊者可以通過破壞GPS信號來干擾ECDIS的正常工作，同時也可以通過訪問ECDIS軟件系統(tǒng)來修改船舶航行狀態(tài)信息或者篡改存儲文件以實現(xiàn)非法目的。攻擊者可以利用ECDIS系統(tǒng)存在的漏洞讀取、下載、替換或者刪除ECDIS中的任何文件，并可以訪問與ECDIS連接的其他系統(tǒng)，這類攻擊往往因船員使用USB存儲裝置、系統(tǒng)下載被感染的文件或系統(tǒng)中存在未及時修補的軟件漏洞而引起[5]。

（3）AIS （船舶自動識別系統(tǒng)）。AIS、GPS將船位、船速及航向等船舶動態(tài)結(jié)合船名、呼號、吃水及危險貨物等船舶靜態(tài)資料由VHF（甚高頻）頻道向附近水域船舶及岸臺廣播，使鄰近船舶及岸臺能及時掌握附近海面所有船舶的動靜態(tài)資訊并得以立刻互相通話協(xié)調(diào)，采取必要避讓行動，對船舶安全有很大幫助。由于沒有內(nèi)置的安全措施，AIS采用廣播式信息發(fā)布，很容易被攻擊者利用和控制。目前針對AIS的攻擊主要有三種：第一種是通過偽造AIS數(shù)據(jù)創(chuàng)造虛擬船舶與目標船造成緊迫局面，導(dǎo)致目標船改變航線；第二種是冒充VTS主管機關(guān)發(fā)出虛假AIS報文信息，使得目標船脫離監(jiān)控；第三種是提高附近船舶AIS數(shù)據(jù)交換頻率，導(dǎo)致AIS數(shù)據(jù)溢出，進而使目標船舶不能獲取有效的AIS數(shù)據(jù)。

（4）船舶貨物管理系統(tǒng)。船舶貨物管理系統(tǒng)因得不到及時更新和升級，普遍存在漏洞。攻擊者對船舶貨物管理系統(tǒng)的入侵主要有三種：第一種是通過調(diào)取貨物運輸?shù)男畔?，伺機盜竊貨物；第二種是通過篡改貨物跟蹤系統(tǒng)記錄，夾帶危險品甚至進行販毒等犯罪活動；第三種是刪除貨物管理系統(tǒng)記錄，導(dǎo)致貨物跟蹤混亂、配送錯誤。

3.船舶網(wǎng)絡(luò)攻擊類型

攻擊者利用船舶網(wǎng)絡(luò)系統(tǒng)存在的漏洞，破壞船舶各類系統(tǒng)以實現(xiàn)其非法目的，獲取直接或者間接的經(jīng)濟利益甚至進行恐怖主義活動。船舶網(wǎng)絡(luò)面臨的攻擊主要分為以下三類。

（1）盜取、走私貨物。攻擊者通過船舶貨物管理系統(tǒng)漏洞，讀取修改船上貨物類型、存放位置和裝卸計劃，在貨物裝卸期間快速定位高價值貨物，進而實施盜竊。攻擊者也可以通過修改貨物管理系統(tǒng)記錄隱藏含有毒品等違禁品的貨柜，進行走私活動。

（2）遠程劫持船舶。攻擊者通過干擾船舶的GPS信號或者入侵ECDIS來破壞船舶的導(dǎo)助航系統(tǒng)甚至加密海圖等重要航行信息，使船舶無法正常航行，以勒索金錢。攻擊者也可以利用虛假的導(dǎo)助航信息使得船舶偏離設(shè)定航線，甚至冒充VTS主管機關(guān)發(fā)出AIS報文信息，使船舶進入攻擊者易于登輪的區(qū)域。

（3）恐怖主義行為。攻擊者通過入侵船舶控制網(wǎng)絡(luò)，直接對船舶的推進系統(tǒng)、操舵控制系統(tǒng)等進行控制，導(dǎo)致船舶碰撞、擱淺、觸礁等事故發(fā)生。

三、各方應(yīng)對船舶網(wǎng)絡(luò)安全風險的策略

隨著船舶數(shù)字化、智能化水平的不斷提升，甚至無人船的逐步成熟應(yīng)用，船舶網(wǎng)絡(luò)安全面臨的威脅日益嚴峻，然而船舶基本上仍處于未防范或低防范狀態(tài)，船員普遍缺乏網(wǎng)絡(luò)安全意識，VTS主管機關(guān)缺乏應(yīng)對網(wǎng)絡(luò)安全的有效措施，應(yīng)對船舶網(wǎng)絡(luò)安全風險需要各方高度重視，齊抓共管，共同發(fā)力。

1.船東及船公司

船東及船舶管理公司應(yīng)通過采取以下措施應(yīng)對船舶網(wǎng)絡(luò)安全風險。應(yīng)制定船舶網(wǎng)絡(luò)安全管理手冊，將網(wǎng)絡(luò)風險意識文化滲透到組織的各個層次和部門，確保網(wǎng)絡(luò)風險管理體系的整體性和靈活性，并通過有效的反饋機制不斷進行評估；應(yīng)加強網(wǎng)絡(luò)安全與風險管理培訓(xùn)，全面提高岸基人員與船員的網(wǎng)絡(luò)安全意識；應(yīng)建立船舶網(wǎng)絡(luò)安全檢測程序，確保能夠準確識別船舶內(nèi)部和外部面臨的網(wǎng)絡(luò)安全威脅，及時監(jiān)測到網(wǎng)絡(luò)事件的發(fā)生；應(yīng)增強船舶網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)，在布設(shè)船舶信息、數(shù)字系統(tǒng)時，采用由不同供應(yīng)商產(chǎn)品組成的多架構(gòu)冗余系統(tǒng)，降低網(wǎng)絡(luò)安全風險；應(yīng)配備專兼職的船舶網(wǎng)絡(luò)安全員，隨時監(jiān)控各系統(tǒng)運行狀態(tài)，并負責及時更新升級軟件系統(tǒng)、修補漏洞；應(yīng)制訂船舶網(wǎng)絡(luò)風險應(yīng)急預(yù)案，隨時應(yīng)對船舶網(wǎng)絡(luò)安全事件的發(fā)生。

2.船員

船員應(yīng)從思想上提高網(wǎng)絡(luò)安全意識，通過參加培訓(xùn)、自學(xué)等方式掌握網(wǎng)絡(luò)安全的各類知識；在日常工作中，不隨意將個人U盤等存儲介質(zhì)接入船上各大系統(tǒng)計算機，不隨意關(guān)掉甚至卸載船上計算機防火墻、安全檢測防護軟件等，不將船上OT、IT系統(tǒng)計算機作為個人計算機使用。同時，要加強船舶網(wǎng)絡(luò)安全事件應(yīng)急演習，不斷提升應(yīng)對網(wǎng)絡(luò)安全事件的應(yīng)急處置能力。

3.VTS主管機關(guān)

VTS系統(tǒng)涉及雷達、AIS、CCTV、VHF等多源數(shù)據(jù)的融合及應(yīng)用，同時系統(tǒng)服務(wù)范圍除主管機關(guān)外，還包括引航、港口調(diào)度管理、搜救、航運公司等部門，系統(tǒng)的網(wǎng)絡(luò)邊界和數(shù)據(jù)交互接口較多，隨之而來的安全風險也越高。VTS主管機關(guān)應(yīng)建設(shè)網(wǎng)絡(luò)安全管理中心，對VTS網(wǎng)絡(luò)安全進行統(tǒng)一管理，并負責安全事件的協(xié)調(diào)處置；應(yīng)加強網(wǎng)絡(luò)安全系統(tǒng)工程建設(shè)，制定包括物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、應(yīng)用軟件和數(shù)據(jù)安全的VTS網(wǎng)絡(luò)安全防護措施。同時，應(yīng)制定內(nèi)部和外部的網(wǎng)絡(luò)安全應(yīng)急計劃，確保VTS系統(tǒng)正常運行，確保船舶交通服務(wù)不受影響。

四、展望

網(wǎng)絡(luò)安全將成為未來影響海上安全的核心因素，IALA VTS第47次會議正式啟動了“制定關(guān)于網(wǎng)絡(luò)安全的建議案”的工作，我國也提出了“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”的重大論斷。船舶數(shù)字化、智能化的發(fā)展需要不斷優(yōu)化的安全治理架構(gòu)和堅實的網(wǎng)絡(luò)安全防護能力體系支撐。船舶網(wǎng)絡(luò)安全防護工作是一項系統(tǒng)工程，需要不斷開闊視野，提高認識，夯實船舶網(wǎng)絡(luò)安全基礎(chǔ)，大力提升網(wǎng)絡(luò)安全防護的技術(shù)和管理水平，構(gòu)建全面、牢固的防御體系，持續(xù)提升網(wǎng)絡(luò)安全防護能力。