近日，一艘深吃水船舶遭遇了網(wǎng)絡(luò )惡意軟件入侵事件并對船上網(wǎng)絡(luò )造成了嚴重影響，這一事件暴露了商船上存在的潛在安全漏洞，美國海岸警衛隊(USCG)就此發(fā)布下附06-19號海上安全警報。從這次的調查結果來(lái)看，USCG認為此次事故并不是一個(gè)簡(jiǎn)單的IT問(wèn)題。他們指出，在21世紀的海運環(huán)境中，確保網(wǎng)絡(luò )安全是一項基本的操作。USCG強烈建議所有船舶、船舶所有者及其經(jīng)營(yíng)人進(jìn)行網(wǎng)絡(luò )安全評估，以便更好地了解其潛在的網(wǎng)絡(luò )缺陷。

典型案例有哪些

近年來(lái)，航運業(yè)界相繼出現了一些網(wǎng)絡(luò )安全的典型事件：

2011年，“耶沃利”號油船從阿拉伯灣啟程前往地中海，由于該輪的行程、貨物、船員、地點(diǎn)以及有無(wú)武裝警衛等各項信息被海盜雇傭的技術(shù)人員提前獲悉，從而被海盜鎖定并劫持；

2011、2013年，安特衛普港的信息系統遭到網(wǎng)絡(luò )攻擊，貨物數據被篡改，使得毒品走私計劃得逞；

2014年，燃料供應商全球燃料服務(wù)公司(WFS)因被保險公司指控卷入一起網(wǎng)絡(luò )攻擊事件，付出了繳納罰款約1800萬(wàn)美元的代價(jià)；

2015年，倫敦船東保賠協(xié)會(huì )發(fā)布消息稱(chēng)，船舶網(wǎng)絡(luò )詐騙數量正日益增加，其中包括攔截船舶代理商的郵件，入侵其電子郵箱賬號，以實(shí)施將原支付賬戶(hù)換成新的銀行賬戶(hù)等計劃；

2017、2018年，Petya的網(wǎng)絡(luò )病毒襲擊全球，多家著(zhù)名航運企業(yè)在全球多處辦事機構及部分業(yè)務(wù)單元的IT系統因此出現故障，遭受重大損失。

從席卷全球的“WannaCry”勒索病毒，到卷土重來(lái)的“暗云Ⅲ”病毒，再到升級傳播手段的“Petya”勒索病毒，計算機黑客們正在利用計算機系統、工控系統、網(wǎng)絡(luò )系統的漏洞對電力、供水、航運乃至國家部門(mén)的通信和網(wǎng)絡(luò )系統發(fā)起攻擊，因此，快速識別網(wǎng)絡(luò )威脅并降低風(fēng)險變得越發(fā)重要。

風(fēng)險點(diǎn)在哪里

通常，船用網(wǎng)絡(luò )可分為兩類(lèi)，第一類(lèi)是用于信息收集和信息管理服務(wù)的網(wǎng)絡(luò )，如，用于報告，調度，庫存管理，運營(yíng)和維護管理，電子郵件，電話(huà)，打印服務(wù)及船岸通信系統，這類(lèi)網(wǎng)絡(luò )通常稱(chēng)為信息網(wǎng)絡(luò )(IT網(wǎng)絡(luò ))，其組成包括船員使用的計算機、網(wǎng)關(guān)、路由器、文件服務(wù)器、數據庫服務(wù)器、應用服務(wù)器等設備；第二類(lèi)是負責采集、監視和控制全船設備的運行狀態(tài)，服務(wù)于船舶操控系統的網(wǎng)絡(luò )，稱(chēng)為控制網(wǎng)絡(luò )(OT網(wǎng)絡(luò ))，例如，分布于機艙的主推進(jìn)監控系統、輔機監控系統、電站監控系統、火災報警系統等以及駕駛臺上的導航系統、綜合船橋系統等。

隨著(zhù)網(wǎng)絡(luò )技術(shù)在航運業(yè)的廣泛應用，船舶網(wǎng)絡(luò )在許多涉及船舶安全和防污染的關(guān)鍵系統中發(fā)揮越來(lái)越重要的作用，但伴隨著(zhù)網(wǎng)絡(luò )的運用，網(wǎng)絡(luò )風(fēng)險隨之而來(lái)。網(wǎng)絡(luò )風(fēng)險來(lái)自多方面的，如程序中的操作錯誤、軟件缺陷、未經(jīng)授權訪(fǎng)問(wèn)的系統入侵、管理公司對船舶網(wǎng)絡(luò )未能采用有效的風(fēng)險控制程序等。通過(guò)調查發(fā)現，智能船舶易受網(wǎng)絡(luò )風(fēng)險攻擊的系統包括船橋系統、貨物操作和管理系統、推進(jìn)和機械設備管理以及動(dòng)力控制系統、訪(fǎng)問(wèn)控制系統、乘客服務(wù)和管理系統、乘客公共網(wǎng)絡(luò )管理及船員保障系統、通信系統等。

“保障網(wǎng)”如何搭建

如何化解可能存在的重大風(fēng)險已日益成為交通運輸行業(yè)急需解決的問(wèn)題之一。

(一) 國際層面

國際海事組織(IMO)海上安全委員會(huì )(MSC)在第96屆大會(huì )通過(guò)了《海事網(wǎng)絡(luò )風(fēng)險管理暫行指南》(MSC.1/Circ.1526)，后由第98屆大會(huì )批準的《海事網(wǎng)絡(luò )風(fēng)險管理指南》(MSC-FAL.1/Circ.3)替代，為業(yè)界應對船舶網(wǎng)絡(luò )安全提供了指導。同時(shí)根據第98屆大會(huì )通過(guò)的決議MSC.428(98)-《安全管理體系中的海事網(wǎng)絡(luò )風(fēng)險管理》，該決議強調公司的安全管理體系應結合ISM規則的目標和功能要求考慮網(wǎng)絡(luò )風(fēng)險管理，鼓勵各國政府不遲于2021年1月1日之后的首次DOC初次審核、換證審核或年度審核時(shí)，應核查安全管理體系是否包括了網(wǎng)絡(luò )風(fēng)險管理的相關(guān)內容，這是國際海事屆為應對海事網(wǎng)絡(luò )風(fēng)險開(kāi)展的實(shí)質(zhì)性行動(dòng)。

(二) 國家層面

我國于2016年11月7日頒布了《網(wǎng)絡(luò )安全法》，并于2017年6月1日起施行。這是我國第一部全面規范網(wǎng)絡(luò )空間安全管理方面問(wèn)題的基礎性法律，是我國網(wǎng)絡(luò )空間法治建設的重要里程碑，也是是依法治網(wǎng)、化解網(wǎng)絡(luò )風(fēng)險的法律重器。此外，剛剛頒布的國家標準《網(wǎng)絡(luò )安全等級保護基本要求》(GB/T 22239-2019)將于2019年12月1日開(kāi)始實(shí)施，標志著(zhù)網(wǎng)絡(luò )安全等級保護進(jìn)入2.0時(shí)代，適應了云計算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數據等新技術(shù)、新應用領(lǐng)域網(wǎng)絡(luò )安全保護需求。一系列法律和國家標準的相繼出臺，也為船舶網(wǎng)絡(luò )安全管理提供了切實(shí)的法律保障和根本遵循。2019年5月16日，交通運輸部等七部門(mén)聯(lián)合印發(fā)了《智能航運發(fā)展指導意見(jiàn)》，對防范智能航運安全風(fēng)險提出了明確的要求。

(三) 行業(yè)層面

近年來(lái)，國際和國內行業(yè)相關(guān)的機構相繼開(kāi)展了船舶網(wǎng)絡(luò )安全的研究，并相繼發(fā)布了應對船舶網(wǎng)絡(luò )安全風(fēng)險的指導性文件。如波羅的海航運公會(huì )(BIMCO)自2016年2月發(fā)布全球首份《船舶網(wǎng)絡(luò )安全指南》(第一版)以來(lái)，受到了國際海事界的廣泛關(guān)注，近日又聯(lián)合業(yè)界有關(guān)航運組織和船公司發(fā)布了第三版指南，進(jìn)一步細化了IMO指南，為業(yè)界提供了操作性非常強的指導；與此同時(shí)，BIMCO還發(fā)布了針對網(wǎng)絡(luò )安全的合同條款，明確各方的責任，規避因網(wǎng)絡(luò )安全風(fēng)險帶來(lái)的損失。

中國船級社(CCS)作為國家船檢主力軍，對網(wǎng)絡(luò )安全也進(jìn)行了深入的研究，于2017年發(fā)布了《船舶網(wǎng)絡(luò )系統要求及安全評估指南》，通過(guò)對軟件、硬件及風(fēng)險三方面的指導意見(jiàn)，進(jìn)一步針對網(wǎng)絡(luò )狀況及網(wǎng)絡(luò )產(chǎn)品進(jìn)行安全評估，協(xié)助航運業(yè)防范網(wǎng)絡(luò )風(fēng)險；CCS 同時(shí)成立了船舶網(wǎng)絡(luò )空間安全研究中心，在網(wǎng)絡(luò )安全技術(shù)與管理體系方面展開(kāi)研究，為航運企業(yè)提供系統的網(wǎng)絡(luò )測試、評估及技術(shù)咨詢(xún)服務(wù)。2019年5月8日，CCS級首艘13500TEU智能集裝箱船“中遠海運荷花”輪首次通過(guò)了CCS整船網(wǎng)絡(luò )安全評估后交付使用，CCS為該輪簽發(fā)了首份“船舶網(wǎng)絡(luò )安全符合證明”，標志著(zhù)智能船舶發(fā)展進(jìn)入與網(wǎng)絡(luò )安全并重的階段。

除此以外，業(yè)內專(zhuān)家強烈建議所有船舶、船舶所有者及其經(jīng)營(yíng)人進(jìn)行網(wǎng)絡(luò )安全評估，以便更好地了解其潛在的網(wǎng)絡(luò )缺陷。同時(shí)，美國海岸警衛隊強烈建議船舶和船舶所有人、經(jīng)營(yíng)人和其他相關(guān)方采取以下基本措施來(lái)提高其網(wǎng)絡(luò )安全:首先，建議將網(wǎng)絡(luò )分為“子網(wǎng)”，讓對手不會(huì )輕易訪(fǎng)問(wèn)到重要的系統和設備；其次，將訪(fǎng)問(wèn)/權限限制在每個(gè)員工工作所需的級別，只有在必要的時(shí)候才能謹慎使用管理員帳戶(hù)；再次，任何外部媒體在接入任一船載網(wǎng)絡(luò )之前，都必須先在獨立的系統上掃描惡意軟件。永遠不要在沒(méi)有信任證書(shū)的情況下運行可執行的文件；最后，安裝基本殺毒軟件并定期更新非常有必要，同時(shí)切記要及時(shí)修補漏洞。