空運/海運
國際快遞
海運整櫃
海運拚櫃
鐵路整櫃
鐵路拚櫃
其它服務
深圳出口空運-船舶網絡安全與風險管理
海運新聞 | 摘要: 分析船舶網絡係統的現狀、麵臨的威脅、使用中存在的問題,介紹國際海事組織關於船舶網絡安全管理的決議,強調加強船舶網絡安全管理的迫切性,並提出對船舶公司應對船舶網絡安全風險的建議。 關鍵詞: 船舶網絡安全;船舶網絡風險意識;船舶網絡風險管理;國際海事組織 隨著信息技術的發展,船上計算機的配備與應用越來越廣,各種先進的航海設備不斷出現,船舶操作與管理也逐步向著數字化、網絡化發展。技術的發展帶來明顯的收益,同時也將網絡風險引入航海業。2017年國際海事組織通過了標題為“安全管理係統之海上網絡風險管理”的MSC.428 ( 98 ) 號決議,鼓勵管理公司建立船舶網絡風險管理體係,並將其納入船舶安全管理體係。 一、船舶網絡係統的現狀 目前船上配備的計算機等網絡和信息設備非常多。使用電子郵件係統的通信計算機和用做貨物配載儀的裝載計算機最早出現在船舶上。伴隨著ISM規則的實施,大量用來製作文件報表的辦公計算機、運行各種計劃維護係統和船舶管理係統軟件的計算機出現在船上,部分船舶還配備了培訓專用計算機。還有近年出現了申請電子海圖的專用計算機和電子航海出版物專用計算機等。船上計算機的應用涵蓋通信、貨運、船舶管理、維護保養、航線設計、培訓等各個方麵。除此之外,大多數船員還會攜帶私人計算機上船以作娛樂消遣之用。 在船上計算機數量並不多時,這些計算機基本都是脫網單機運行,隻有電子郵件係統專用的通信計算機可以對外連接網絡收發郵件。隨著船上計算機數量的增加,很多船東或管理公司為船上計算機組建了局域網,可以實現船舶內部各計算機的連接,以方便各電腦之間文件的傳輸,不過隻局限於船上各辦公用計算機。 隨著技術的發展,為方便船員與家人聯係,豐富船員海上生活,部分船舶通過Inmarsat、VSAT或銥星等衛星網絡實現對外連接,並作為福利開放給所有船員使用,所有私人手機、計算機均可實現互聯網連接。當前,船舶計算機已由脫網單機運行發展到局域網連接,並進一步發展到互聯網連接。 除了普通計算機和互聯網連接外,船上還有一些設備需要對外交換或接收數據以實現其功能,比如GPS或北鬥等衛星定位係統,需要來自外部的衛星網絡信號實現其定位功能。再如AIS在船與船之間交互發送和接收信息,以相互識別。而GPS或AIS接收到的外來數據信息,又通過數據線傳遞到雷達或電子海圖等設備,供船舶定位導航或輔助避讓使用。雖然這些設備並不連接互聯網,但也通過專用的網絡實現外部數據接收與交換。 二、船舶麵臨的網絡威脅 隨著信息技術的發展,船舶數字化進展迅速,船舶操作與管理也逐步涉入網絡風險之中,船舶網絡威脅已成為現實。2017年2月,一艘8 250 TEU集裝箱船在從塞浦路斯駛往吉布提的途中,遭到黑客的襲擊。突然之間船長不能對船舶進行控製,黑客控製了該船的導航係統,意圖將該船引至易登船控製的區域,船員試圖重新控製船舶未果。後經船東緊急派出IT專家進行對抗後才奪回該船的控製權。整個黑客襲擊控製過程持續了大約10個小時。 [1]
襲擊過程中,該船全部IT係統均被黑客所控製,然而黑客究竟采取的何種手段實施該次襲擊卻仍然不得而知。船舶麵對網絡威脅的脆弱性,船員對抗網絡攻擊的無能為力,值得航運業界警醒。 2.船舶可能遭受的網絡風險 船舶網絡風險是指船舶技術資產受到潛在的網絡環境或事件威脅,信息或網絡遭到破壞、損失、陷入危險,可能導致航運相關的操作、安全或保安的失敗程度的估量。 船舶上可能遭受網絡環境或事件威脅的設備分為信息技術 ( IT ) 係統和操作技術 ( OT ) 係統。信息技術係統將數據作為信息使用,操作技術係統則通過數據來操控或監控物理過程。 目前船上應用的各種計算機,包括電子郵件係統計算機、配載儀計算機、電子航海出版物計算機、PMS計算機、CBT計算機或各辦公計算機等,主要將數據作為信息使用,屬信息技術係統,可能遭遇的網絡風險為信息被竊取、數據被篡改或破壞以及被敲詐勒索等,造成的後果主要以財產損失為主。 而GPS、AIS及與其相關聯的雷達、電子海圖、VDR等設備則用於監控船舶運動,為操作技術係統,攻擊者可通過偽造的數據信號來欺騙誘導船舶,可造成碰撞、擱淺、環境汙染等嚴重事故,應對不當可導致船舶滅失、人員傷亡的後果。 隨著自主水麵船舶技術的發展,將來可出現遠程遙控船舶。船舶的遠程遙控係統屬於控製技術係統,攻擊者可能通過網絡控製甚至劫持船舶,構成保安事件。 三、船舶網絡使用中存在的問題 由於船舶環境的特殊性,船員使用船舶網絡的方式和習慣與陸地上人員的習慣也有所不同。 1.計算機密碼安全性較低 對於處於駕駛台、集控室、辦公室等場所的計算機,由於涉及多人使用,這些計算機的密碼設置通常比較簡單,甚至可能不設置密碼。而位於船長、輪機長辦公室的計算機,基本僅供船長或輪機長使用,計算機很可能不設置密碼,即使設置通常也很簡單。由於船員會定期更換,為防止密碼遺忘,一些常用的船舶數據,比如IMO編號,設置為計算機密碼的頻度相當高,也相對比較容易被猜出。雖然船員設置密碼的習慣較差,但是由於ISPS規則的實施,船舶對進出船舶生活區及辦公場所的外來人員均有監控,外來人員進入生活區或辦公場所時均有船員陪同,所以外來人員使用船舶計算機的概率很低,這也是船舶計算機密碼設置簡單的一個原因。 2.計算機殺毒軟件病毒數據庫更新滯後 對於眾多的隻有電子郵件係統可以對外聯網的船舶,船舶計算機幾乎是處於脫網狀態,而目前市麵上的殺毒軟件大多要求在線升級,船舶自身不具備離線升級的條件,需要岸基的支持。目前有些公司會定期發送升級文件給船上,但也有大量公司意識不到這個問題。而對於可通過Inmarsat、VSAT或銥星等衛星網絡聯網的計算機,由於衛星網絡費用較高,船員也未必會使用分配給自己的流量去更新殺毒軟件的病毒數據庫。 3.各種軟件版本較低 與殺毒軟件的問題類似,各種軟件得不到升級更新,係統漏洞得不到修補,甚至Windows XP這種官方已經不再維護的操作係統仍然應用於現今的船舶上。在使用國際漫遊網絡或衛星網絡聯網時,船員常常會關閉手機軟件的更新以節約流量 4.存儲媒介的使用控製不當 雖然船舶內部局域網絡的設置已經大幅減少了閃存等存儲媒介的使用,但仍然有代理或水尺計量等第三方檢驗人員等外來人員由於並未攜帶打印機登船,經常會要求使用船上打印機,這時船舶計算機不可避免地會接觸到外來存儲媒介,增大了感染病毒的概率。 5.船員網絡相關知識匱乏 目前船員接受的計算機及網絡知識普遍不足,本科院校畢業生通常會接受一些計算機的基礎知識,但專業性不足,部分新畢業的專科院校學生甚至連基本的計算機係統軟件與辦公軟件應用技能都沒有,而老船員的計算機及網絡知識也跟不上技術的發展。隻有極少數對計算機網絡有興趣的船員,通過自學了解部分知識。 6.船員對航海儀器的依賴性 隨著技術的進步,各種航海儀器越來越先進,船員對航海儀器的依賴性也越來越強。目前船舶駕駛台各種航海儀器已實現了相互之間的數據連通,一個設備的數據出現問題將導致多個設備受到牽連。特別是電子海圖取代紙質海圖後,GPS和AIS信息更加直觀地體現在電子海圖上,一些傳統的定位導航方法已經逐步被忽視遺忘。 上述船員的無意行為反映出船員網絡風險意識的不足,也揭露了船舶麵對網絡風險的脆弱性。 四、相關國際組織通過的決議和通函 目前航運業界已認識到船舶數字化、網絡化可能招致的風險,船舶網絡安全議題在近幾年的國際海事組織 ( IMO ) 的會議上引起廣泛的討論。IMO於2016年6月發布了MSC.1/Circ.1526《海事網絡風險管理暫行導則》。 考慮到關於威脅與脆弱性的網絡風險意識亟待提高的迫切需要,IMO在2017年6月召開的MSC第98屆大會上通過了MSC.428 ( 98 ) “安全管理係統之海上網絡風險管理”決議,確認應將“船舶網絡風險管理”納入“船舶安全管理體係”考慮之列,鼓勵各主管機關確保在2021年1月1日後對各管理公司“符合證明”的第一次年度審核時,將《網絡風險》相關內容納入船舶安全管理體係。 [2]
2017年7月IMO通過了正式的MSC-FAL.1/Circ.3《海事網絡風險管理導則》,對海事網絡風險管理提供了指導。 2.《海事網絡風險管理導則》的內容 IMO發布的《海事網絡風險管理導則》為海事網絡風險管理提出了高水準的建議,為海運應對當前緊迫的網絡危險與脆弱性提供保障。導則介紹了有關海事網絡風險的相關基本概念,指出了船上易受攻擊的各級主要係統,提出了針對管理的要求,並指出了建立有效網絡風險管理的幾個功能要素 [3]
: ( 1 ) 識別。定義人員角色與職責。清點可能招致網絡攻擊的船舶設備,區分信息技術係統與操作技術係統,識別其中可能幹擾船舶操作、引發風險的係統、設備和數據。 ( 2 ) 防護。加強日常的網絡安全管理,減少船員無意行為造成的薄弱性,降低網絡事件的發生概率,達到預防網絡風險的目的。 ( 3 ) 檢測。建立檢測程序,及時探測到網絡事件的發生。 ( 4 ) 反應。建立網絡風險應急方案,應對船舶網絡安全事件。 ( 5 ) 恢複。定期備份。網絡事件結束後對損毀的數據進行恢複。 3.國際航運組織關於船舶網絡風險的指導 2016年,波羅的海航運公會 ( BIMCO )、國際郵輪協會 ( CLIA )、國際航運公會 ( ICS )、國際幹散貨船獨立船東協會 ( INTERCARGO )、國際液貨船獨立船東協會 ( INTERTANKO ) 等國際航運組織聯合發布了《船上網絡安全導則》,目前已更新至第3版。 《船上網絡安全導則》依照IMO的決議與通函,介紹了網絡安全管理的相關基本知識,並為識別威脅、識別脆弱點、風險評估、防護與偵查措施、建立事故反應計劃、網絡安全事故的反應與複原等內容提供了指導。 [4]
該導則為船東和營運人員提供了程序與行動上的指導,以維持航運公司與船舶的網絡係統安全,為海事網絡風險管理提供了實用建議。 五、船舶加強網絡風險管理的迫切性 鑒於前文所述船舶網絡係統及其使用的現狀,麵對來自網絡的威脅,船舶基本上仍處於未防範或低防範狀態,船員普遍尚未具有網絡安全意識。出於現實狀況需要,船舶亟須加強網絡風險管理。 2.出於符合IMO決議的需要 據筆者調研掌握的當前的狀況,已有部分公司提前根據“ISO/IEC 27001信息安全管理體係要求”將信息安全管理納入船舶管理體係,但該管理體係要求是通用性的,沒有考慮船舶的特殊情況。此外,其隻適用於信息技術 ( IT ) 係統,對於風險更大的操作技術 ( OT ) 係統未見提及。亦有部分公司已經建立了網絡風險管理並將其納入管理體係,但不符合IMO通函中的規定,內容模糊,指導性差,最常見的問題是缺失應急反應部分,或反應計劃不具有實際指導意義。此外仍有多數公司尚未將網絡風險管理納入船舶管理體係。然而距離2021年已然時日無多,各管理公司亟須盡早出台符合IMO通函規定的網絡風險管理體係。 六、建議 為順應航海科學技術的發展,符合IMO決議與通函的要求,避免或減少網絡安全事件的發生,管理公司與船員應認識到船舶網絡安全的重要性,盡早采取應對措施: 1.及時建立符合IMO決議與通函規定的網絡風險管理體係,納入船舶管理體係 網絡風險管理體係需包括應對網絡風險的識別、防護、檢測、反應、恢複等內容。特別是船舶遭遇網絡威脅時的應急反應程序,應能夠形成對各層級管理人員與船員的應對指導。例如,當檢測到網絡安全事件發生時,應及時報告,尋求岸基技術支持;考慮安裝備用係統,如安裝北鬥係統作為GPS的備用替代係統,遭遇網絡威脅時立即切換數據源;必要時及時切斷相關網絡,隔離網絡攻擊,依靠傳統方式航行。 2.加強網絡安全與風險管理培訓,提高網絡安全意識 培訓內容應考慮:( 1 ) 網絡風險管理培訓,麵向岸基員工與船員,明確各崗位的網絡安全職責;( 2 ) 網絡安全意識培訓,麵向岸基員工與船員,提高全體人員的網絡安全意識;( 3 ) 計算機網絡基礎知識培訓,主要麵向船員,提高船員計算機基本技能,以加強日常的網絡安全防護工作;( 4 ) 情景意識培訓,麵向船員,降低船員對先進航海儀器的過分依賴,使其能夠在第一時間辨識網絡安全事件,及時響應以減少損失。 3.實施網絡安全事件演習 演習可以船岸聯合演習的形式進行,訓練提高船員與岸基管理人員麵對網絡安全事件的應急反應能力。 參考文獻: [1]一艘8250TEU箱船被黑客劫持了10多個小時![EB/OL].(2017-11-29)[2019-10-10]. [2]IMO.Maritime cyber risk management in safety management systems(MSC.428(98))[R].2017-06-16. [3]IMO.Guidelines on maritime cyber risk management(MSC-FAL.1/Circ.3)[R].2017-07-05. [4]BIMCO.The guidelines on cyber security onboard ships[EB/OL].(2018-11-29)[2019-10-10]. https://www.bimco.org/-/media/bimco/about-us-and-our-members/publications/ebooks/cyber-security-guidelines-2018.ashx,2018. 作者簡介: 楊冬立,青島遠洋船員職業學院航海係,船長,講師。 “中國遠洋海運集團有限公司科研項目“海上網絡風險及管理研究(2018-1-R-004)”。
鄭重聲明:本文版權歸原作者所有,轉載文章僅(jin) 為(wei) 傳(chuan) 播更多信息之目的,如作者信息標記有誤,請第一時間聯係我們(men) 修改或刪除,多謝。
米兰体育全站 國際空運 國際海運 國際快遞 跨境鐵路 多式聯運
起始地 目的地 45+ 100 300 詳情 深圳 → 迪拜 30 25 20 廣州 → 南非 26 22 16 上海 → 巴西 37 28 23 詳情 寧波 → 歐洲 37 27 23 詳情 香港 → 南亞 30 27 25 詳情