亚洲熟妇av一区二区三区,日韩AV天堂,国产精品福利片亚洲,亚洲人成在线播放

當前位置:中國港口網(wǎng) > 港航動(dòng)態(tài) > 網(wǎng)絡(luò )安全成航運業(yè)致命弱點(diǎn),終極解決之道在哪里?

網(wǎng)絡(luò )安全成航運業(yè)致命弱點(diǎn),終極解決之道在哪里?

來(lái)源: 中國航務(wù)周刊 發(fā)布時(shí)間:2018-11-30 6:00:00 分享至:

提升航運業(yè)網(wǎng)絡(luò )信息安全需多管齊下,最終實(shí)現“外人進(jìn)不來(lái),進(jìn)來(lái)看不到、看到拿不走、拿走用不了、操作可追溯”的效果。

中國海事服務(wù)網(wǎng)

近日,一項由哥本哈根貿易協(xié)會(huì )全球海事論壇、大聯(lián)盟經(jīng)紀公司Marsh以及國際海事保險聯(lián)盟聯(lián)合發(fā)布的調查研究報告顯示,“網(wǎng)絡(luò )攻擊和數據竊取”正在成為航運業(yè)的致命弱點(diǎn),網(wǎng)絡(luò )安全問(wèn)題在航運業(yè)面臨的17個(gè)全球問(wèn)題中位居榜首,網(wǎng)絡(luò )攻擊被認為是最可能發(fā)生的問(wèn)題,僅次于“全球經(jīng)濟危機”和“能源價(jià)格波動(dòng)”。

伴隨著(zhù)航運業(yè)向自動(dòng)化和數字化的轉型,網(wǎng)絡(luò )安全威脅對于航運企業(yè)正常業(yè)務(wù)的開(kāi)展,影響也越來(lái)越大,輕則數據泄露,重則業(yè)務(wù)癱瘓。如何更有效地應對這些網(wǎng)絡(luò )威脅,是一個(gè)值得業(yè)界不斷思考和探索的問(wèn)題。

攻擊連連 航運業(yè)被黑客“盯上”

2017年,航運業(yè)發(fā)生了多起嚴重的網(wǎng)絡(luò )攻擊事件。先是馬士基遭到Petya病毒攻擊,造成2.5億~3億美元的財務(wù)損失,此后克拉克森又遭遇未經(jīng)授權的計算機訪(fǎng)問(wèn)系統事件,入侵者獲取數據后向克拉克森索取巨額贖金。甚至有一艘德國籍集裝箱船在行駛途中被黑客“劫持”導航系統10小時(shí),欲將該船引至控制區……

中國海事服務(wù)網(wǎng)

在某種程度上,受黑客攻擊的可能性大小與目標的價(jià)值成正比,在這一點(diǎn)上,航運業(yè)體現的更為明顯。因為一方面,航運業(yè)在國際經(jīng)濟貿易中占據著(zhù)舉足輕重的位置;另一方面和航運業(yè)的特點(diǎn)密切相關(guān),船舶使用壽命通常能達到數十年之久,而在網(wǎng)絡(luò )信息技術(shù)日新月異的今天,船岸信息交互難以滿(mǎn)足新時(shí)代網(wǎng)絡(luò )安全要求。此外,越來(lái)越多的商業(yè)調查機構、獵頭、NGO、APT組織開(kāi)始雇傭專(zhuān)家,侵入航運公司內網(wǎng)及信息系統,獲取諸如設計圖紙、客戶(hù)名錄、協(xié)議報價(jià)、企業(yè)戰略規劃等信息對外販賣(mài)。

航運信息安全專(zhuān)家孫輝在接受本刊記者采訪(fǎng)時(shí)表示,目前來(lái)看,針對航運公司的網(wǎng)絡(luò )威脅主要有兩類(lèi)?!耙皇菬o(wú)目標的攻擊,內網(wǎng)操作系統及第三方軟件漏洞是許多潛在的受攻擊目標,攻擊者利用0day(軟件破解)進(jìn)行廣撒網(wǎng)式無(wú)差別化攻擊。二是有針對性的攻擊,將某航運公司設置為預定滲透目標,攻擊者為躲避網(wǎng)絡(luò )安全設備的防御機制,利用專(zhuān)門(mén)開(kāi)發(fā)的更復雜的繞過(guò)技術(shù)和工具,實(shí)施多步驟攻擊,其破壞力較前者更大?!?/p>

此外,對于海上網(wǎng)絡(luò )安全而言,最棘手的挑戰之一就是每艘船都不盡相同,系統幾乎不存在標準化規定,尤其是很多船舶控制系統在設計之初并未考慮過(guò)網(wǎng)絡(luò )安全因素,并且隨著(zhù)時(shí)間的推移,又增加了許多其他聯(lián)網(wǎng)技術(shù),導致網(wǎng)絡(luò )安全大門(mén)洞開(kāi)。另外,航運系統的操作環(huán)境也比典型的工業(yè)設備更具挑戰性,業(yè)內曾有分析指出,大多數船舶都依賴(lài)VSAT/FBB衛星通信進(jìn)行連接,其具有低寬帶和高時(shí)延的特點(diǎn),雖可以傳遞電子郵件和導航數據等通信信息,但卻無(wú)法實(shí)現漏洞補丁的實(shí)時(shí)修復和更新,這樣顯然給了黑客鉆空子的機會(huì )。

缺乏重視 航運業(yè)“自吞苦果”

不得不說(shuō),對于網(wǎng)絡(luò )安全問(wèn)題,長(cháng)期以來(lái)航運業(yè)都未予以充分的重視。

據海事分析機構SeaIntel和海事網(wǎng)絡(luò )安全公司Cyberkeel合作對航運業(yè)的網(wǎng)絡(luò )安全防范調查結果顯示,在全球前50大船公司中,有44%的船公司網(wǎng)絡(luò )安全防范十分薄弱;2015 年Cyberkeel調查前20大船公司的系統,發(fā)現有其中8家未對系統漏洞進(jìn)行修復。在馬士基遭遇勒索病毒攻擊事件后,Cyberkeel再次進(jìn)行調查,發(fā)現仍有兩家船公司沒(méi)有修復這些漏洞。

丹麥公司Cyber Keel,是一家自2013年以來(lái)專(zhuān)注于海運行業(yè)網(wǎng)絡(luò )安全的公司。該公司首席執行官兼創(chuàng )始人拉爾斯·詹森(Lars Jensen)表示,針對馬士基的攻擊,可以說(shuō)是航運業(yè)網(wǎng)絡(luò )安全變革的催化劑?!霸隈R士基遭到攻擊之前,我們處在行業(yè)大多數人都表示在認真對待網(wǎng)絡(luò )風(fēng)險的階段,但當你從表面往下深入探討時(shí),發(fā)現很難找到大家有切實(shí)行動(dòng)?!闭采f(shuō)道。

在這一點(diǎn)上,行業(yè)組織的作用也顯得有些滯后。BIMCO此前曾發(fā)布網(wǎng)絡(luò )安全指導方針,受到了IMO的稱(chēng)贊,并被業(yè)界廣泛認為是網(wǎng)絡(luò )援助的首選。此后,BIMCO于2017年發(fā)布了第二版指南,第三版計劃在今年年底前發(fā)布。

然而,BIMCO指南也有其局限性,因為它只對海上船只提供指導,雖然有一些陸地交叉,但仍然有一些差距,這意味著(zhù)它不能被全行業(yè)采用。因此,目前仍沒(méi)有針對航運業(yè)網(wǎng)絡(luò )潛在威脅的最佳實(shí)踐和風(fēng)險緩解的官方指南。

著(zhù)名信息安全咨詢(xún)公司NCC Group針對日益嚴峻的海上網(wǎng)絡(luò )安全風(fēng)險曾指出,海上網(wǎng)絡(luò )攻擊的潛在損失包括收益損失、環(huán)境破壞甚至人員傷亡,因此有必要制定并應用一系列行動(dòng)指南或標準作為防護手段,還應對海上信息系統、網(wǎng)絡(luò )、硬件設備、軟件等進(jìn)行安全測試,將網(wǎng)絡(luò )安全因素納入相關(guān)設備和系統的生命周期中。

亡羊補牢 如何有效防御

在發(fā)生一系列攻擊事件之后,越來(lái)越多的船公司開(kāi)始投入大量資源以管控網(wǎng)絡(luò )安全風(fēng)險,這顯然是一件好事。而優(yōu)化的方向就在于提高認知、借助新技術(shù)建立防范制度、健全應急預案等。

在提高認知方面,航運企業(yè)應該充分確定哪些系統、數據和接口沒(méi)有受到保護,從而計算一旦受到損害會(huì )造成的最大風(fēng)險,最終提出解決方案。在具體操作中,可以通過(guò)系統維護、補丁或軟件升級、船員系統(例如娛樂(lè )終端或個(gè)人電子郵件)與其他系統間保持獨立、關(guān)閉未使用的數據端口等方式來(lái)實(shí)現。

制定防范制度方面,在國際機構和各個(gè)國家進(jìn)一步完善網(wǎng)絡(luò )安全指導方針的同時(shí),企業(yè)應當建立起適合自身架構及運行機制的網(wǎng)絡(luò )信息安全管控制度。

孫輝認為,網(wǎng)絡(luò )信息安全問(wèn)題從根本上說(shuō)是人的問(wèn)題,他表示:“航運公司應該建立健全內部網(wǎng)絡(luò )信息安全組織架構,明確公司內部首席信息安全官的基本職能。針對公司網(wǎng)絡(luò )架構及信息系統特征,構建網(wǎng)絡(luò )安全技術(shù)和信息防護策略及其措施,通過(guò)制度管理和技術(shù)防范,雙管齊下,規范員工行為,以達到網(wǎng)絡(luò )和信息資產(chǎn)安全可控的總體目標,最終實(shí)現‘外人進(jìn)不來(lái),進(jìn)來(lái)看不到、看到拿不走、拿走用不了、操作可追溯’的效果?!?/p>

在新技術(shù)運用方面,區塊鏈技術(shù)或將給航運業(yè)網(wǎng)絡(luò )安全帶來(lái)新的解決方案。孫輝表示,基于區塊鏈技術(shù)的網(wǎng)絡(luò )架構允許風(fēng)險誕生且發(fā)展于局部,但始終不會(huì )突破全局,這很好的解決了當前信息安全領(lǐng)域“中間人攻擊(身份竊取)、數據篡改、DDoS”等棘手問(wèn)題。因此區塊鏈技術(shù)未來(lái)的發(fā)展應用能夠提升航運業(yè)的網(wǎng)絡(luò )安全指數。

應急預案建立方面,上海國際航運研究中心航運信息化研究室主任徐凱指出,沒(méi)有能完全阻止病毒和網(wǎng)絡(luò )攻擊的方法,因此假設危機時(shí)刻會(huì )降臨并做應急預案才是終極安全之道。網(wǎng)絡(luò )安全應急預案主要由備份和容災機制構成,備份技術(shù)是將在線(xiàn)數據轉移成離線(xiàn)數據的過(guò)程,從而在數據損壞時(shí)進(jìn)行數據還原;容災則是在現有系統外設置一套數據同步的備用系統,當系統發(fā)生故障時(shí),備用系統將接替工作保障正常地向網(wǎng)絡(luò )系統提供數據和服務(wù),以使系統不致停頓。

此外,保險公司或許會(huì )助推航運業(yè)在網(wǎng)絡(luò )安全方面持續進(jìn)步。目前,已經(jīng)有專(zhuān)業(yè)的保險公司正在制定基于網(wǎng)絡(luò )攻擊風(fēng)險的政策。

科技引領(lǐng) 變挑戰為機遇

盡管有諸多優(yōu)化的方案值得借鑒,但面向航運業(yè)更加信息化的未來(lái),機遇和挑戰始終共存。

隨著(zhù)技術(shù)發(fā)展,未來(lái)的黑客可能會(huì )變得更加老練,他們將以更為巧妙的方式攻破現有的網(wǎng)絡(luò )信息安全防御架構,與此同時(shí),航運業(yè)網(wǎng)絡(luò )信息安全學(xué)習曲線(xiàn)也將變得更加陡峭。

此外,隨著(zhù)供應鏈日益網(wǎng)絡(luò )化,以及整個(gè)行業(yè)不斷朝著(zhù)無(wú)紙化的方向前進(jìn),攻擊面將日益增多,任務(wù)將變得更加艱巨。事實(shí)上,這不是某一個(gè)航運公司是否會(huì )再次受到攻擊的問(wèn)題,而是什么時(shí)候發(fā)生的問(wèn)題。

拉爾斯·詹森表示:“值得欣慰的是,至少現在這個(gè)行業(yè)終于朝著(zhù)正確的方向前進(jìn)了?!?/p>

即便如此,“因噎廢食”肯定不可取,航運業(yè)追逐信息化的腳步也不應該放緩。航運信息技術(shù)服務(wù)商Cyberlogitec有限公司CEO崔長(cháng)林認為,航運業(yè)不能錯過(guò)信息技術(shù)進(jìn)步所帶來(lái)的機遇,應當進(jìn)行深刻的變革,從改變管理實(shí)踐開(kāi)始,到采用新的技術(shù)平臺,以推動(dòng)行業(yè)的創(chuàng )新?!爸匾氖遣灰诳謶?,而是保持樂(lè )觀(guān)的態(tài)度,跟上時(shí)代的步伐,為不可避免的混亂做好準備?!?/p>

孫輝則表示,未來(lái)的航運業(yè),誰(shuí)站在網(wǎng)絡(luò )信息安全的制高點(diǎn)掌握核心科技,誰(shuí)就能實(shí)現贏(yíng)家通吃。如果因為網(wǎng)絡(luò )信息安全出現紕漏,就會(huì )出現一著(zhù)不慎,滿(mǎn)盤(pán)皆輸的局面。作為航運從業(yè)者,應該本著(zhù)清醒的頭腦,未雨綢繆,有步驟,有計劃地提升企業(yè)網(wǎng)絡(luò )信息安全建設,最終為我國航運業(yè)的健康穩定發(fā)展起到保駕護航的作用。

本文關(guān)鍵詞:網(wǎng)絡(luò )安全 標簽:網(wǎng)絡(luò )安全
聲明:凡本網(wǎng)注明稿件來(lái)源為“中國港口網(wǎng)”、“www.austinsherwood.com”的所有文字、圖片等作品,版權均屬中國港口網(wǎng)所有,轉載必究。若轉載使用,須同時(shí)注明稿件來(lái)源和作者信息,并承擔相應的法律責任。
0條評論
    相關(guān)推薦

    頭條