近日，一艘深吃水船舶遭遇了網絡惡意軟件入侵事件並對船上網絡造成了嚴(yan) 重影響，這一事件暴露了商船上存在的潛在安全漏洞，美國海岸警衛隊(USCG)就此發布下附06-19號海上安全警報。從(cong) 這次的調查結果來看，USCG認為(wei) 此次事故並不是一個(ge) 簡單的IT問題。他們(men) 指出，在21世紀的海運環境中，確保網絡安全是一項基本的操作。USCG強烈建議所有船舶、船舶所有者及其經營人進行網絡安全評估，以便更好地了解其潛在的網絡缺陷。

　　典型案例有哪些

　　近年來，航運業(ye) 界相繼出現了一些網絡安全的典型事件：

　　◈ 2011年，“耶沃利”號油船從(cong) 阿拉伯灣啟程前往地中海，由於(yu) 該輪的行程、貨物、船員、地點以及有無武裝警衛等各項信息被海盜雇傭(yong) 的技術人員提前獲悉，從(cong) 而被海盜鎖定並劫持;

　　◈ 2011、2013年，安特衛普港的信息係統遭到網絡攻擊，貨物數據被篡改，使得毒品走私計劃得逞;

　　◈ 2014年，燃料供應商全球燃料服務公司(WFS)因被保險公司指控卷入一起網絡攻擊事件，付出了繳納罰款約1800萬(wan) 美元的代價(jia) ;

　　◈ 2015年，倫(lun) 敦船東(dong) 保賠協會(hui) 發布消息稱，船舶網絡詐騙數量正日益增加，其中包括攔截船舶代理商的郵件，入侵其電子郵箱賬號，以實施將原支付賬戶換成新的銀行賬戶等計劃;

　　◈ 2017、2018年，Petya的網絡病毒襲擊全球，多家著名航運企業(ye) 在全球多處辦事機構及部分業(ye) 務單元的IT係統因此出現故障，遭受重大損失。

　　從(cong) 席卷全球的“WannaCry”勒索病毒，到卷土重來的“暗雲(yun) Ⅲ”病毒，再到升級傳(chuan) 播手段的“Petya”勒索病毒，計算機黑客們(men) 正在利用計算機係統、工控係統、網絡係統的漏洞對電力、供水、航運乃至國家部門的通信和網絡係統發起攻擊，因此，快速識別網絡威脅並降低風險變得越發重要。

　　風險點在哪裏

　　通常，船用網絡可分為(wei) 兩(liang) 類，第一類是用於(yu) 信息收集和信息管理服務的網絡，如，用於(yu) 報告，調度，庫存管理，運營和維護管理，電子郵件，電話，打印服務及船岸通信係統，這類網絡通常稱為(wei) 信息網絡(IT網絡)，其組成包括船員使用的計算機、網關(guan) 、路由器、文件服務器、數據庫服務器、應用服務器等設備;第二類是負責采集、監視和控製全船設備的運行狀態，服務於(yu) 船舶操控係統的網絡，稱為(wei) 控製網絡(OT網絡)，例如，分布於(yu) 機艙的主推進監控係統、輔機監控係統、電站監控係統、火災報警係統等以及駕駛台上的導航係統、綜合船橋係統等。

　　隨著網絡技術在航運業(ye) 的廣泛應用，船舶網絡在許多涉及船舶安全和防汙染的關(guan) 鍵係統中發揮越來越重要的作用，但伴隨著網絡的運用，網絡風險隨之而來。網絡風險來自多方麵的，如程序中的操作錯誤、軟件缺陷、未經授權訪問的係統入侵、管理公司對船舶網絡未能采用有效的風險控製程序等。通過調查發現，智能船舶易受網絡風險攻擊的係統包括船橋係統、貨物操作和管理係統、推進和機械設備管理以及動力控製係統、訪問控製係統、乘客服務和管理係統、乘客公共網絡管理及船員保障係統、通信係統等。

　　“保障網”如何搭建

　　如何化解可能存在的重大風險已日益成為(wei) 交通運輸行業(ye) 急需解決(jue) 的問題之一。

　　(一) 國際層麵

　　國際海事組織(IMO)海上安全委員會(hui) (MSC)在第96屆大會(hui) 通過了《海事網絡風險管理暫行指南》(MSC.1/Circ.1526)，後由第98屆大會(hui) 批準的《海事網絡風險管理指南》(MSC-FAL.1/Circ.3)替代，為(wei) 業(ye) 界應對船舶網絡安全提供了指導。同時根據第98屆大會(hui) 通過的決(jue) 議MSC.428(98)-《安全管理體(ti) 係中的海事網絡風險管理》，該決(jue) 議強調公司的安全管理體(ti) 係應結合ISM規則的目標和功能要求考慮網絡風險管理，鼓勵各國政府不遲於(yu) 2021年1月1日之後的首次DOC初次審核、換證審核或年度審核時，應核查安全管理體(ti) 係是否包括了網絡風險管理的相關(guan) 內(nei) 容，這是國際海事屆為(wei) 應對海事網絡風險開展的實質性行動。

　　(二) 國家層麵

　　我國於(yu) 2016年11月7日頒布了《網絡安全法》，並於(yu) 2017年6月1日起施行。這是我國第一部全麵規範網絡空間安全管理方麵問題的基礎性法律，是我國網絡空間法治建設的重要裏程碑，也是是依法治網、化解網絡風險的法律重器。此外，剛剛頒布的國家標準《網絡安全等級保護基本要求》(GB/T 22239-2019)將於(yu) 2019年12月1日開始實施，標誌著網絡安全等級保護進入2.0時代，適應了雲(yun) 計算、移動互聯、物聯網、工業(ye) 控製和大數據等新技術、新應用領域網絡安全保護需求。一係列法律和國家標準的相繼出台，也為(wei) 船舶網絡安全管理提供了切實的法律保障和根本遵循。2019年5月16日，交通運輸部等七部門聯合印發了《智能航運發展指導意見》，對防範智能航運安全風險提出了明確的要求。

　　(三) 行業(ye) 層麵

　　近年來，國際和國內(nei) 行業(ye) 相關(guan) 的機構相繼開展了船舶網絡安全的研究，並相繼發布了應對船舶網絡安全風險的指導性文件。如波羅的海航運公會(hui) (BIMCO)自2016年2月發布全球首份《船舶網絡安全指南》(第一版)以來，受到了國際海事界的廣泛關(guan) 注，近日又聯合業(ye) 界有關(guan) 航運組織和船公司發布了第三版指南，進一步細化了IMO指南，為(wei) 業(ye) 界提供了操作性非常強的指導;與(yu) 此同時，BIMCO還發布了針對網絡安全的合同條款，明確各方的責任，規避因網絡安全風險帶來的損失。

　　中國船級社(CCS)作為(wei) 國家船檢主力軍(jun) ，對網絡安全也進行了深入的研究，於(yu) 2017年發布了《船舶網絡係統要求及安全評估指南》，通過對軟件、硬件及風險三方麵的指導意見，進一步針對網絡狀況及網絡產(chan) 品進行安全評估，協助航運業(ye) 防範網絡風險;CCS 同時成立了船舶網絡空間安全研究中心，在網絡安全技術與(yu) 管理體(ti) 係方麵展開研究，為(wei) 航運企業(ye) 提供係統的網絡測試、評估及技術谘詢服務。2019年5月8日，CCS級首艘13500TEU智能集裝箱船“中遠海運荷花”輪首次通過了CCS整船網絡安全評估後交付使用，CCS為(wei) 該輪簽發了首份“船舶網絡安全符合證明”，標誌著智能船舶發展進入與(yu) 網絡安全並重的階段。

　　除此以外，業(ye) 內(nei) 專(zhuan) 家強烈建議所有船舶、船舶所有者及其經營人進行網絡安全評估，以便更好地了解其潛在的網絡缺陷。同時，美國海岸警衛隊強烈建議船舶和船舶所有人、經營人和其他相關(guan) 方采取以下基本措施來提高其網絡安全:首先，建議將網絡分為(wei) “子網”，讓對手不會(hui) 輕易訪問到重要的係統和設備;其次，將訪問/權限限製在每個(ge) 員工工作所需的級別，隻有在必要的時候才能謹慎使用管理員帳戶;再次，任何外部媒體(ti) 在接入任一船載網絡之前，都必須先在獨立的係統上掃描惡意軟件。永遠不要在沒有信任證書(shu) 的情況下運行可執行的文件;最後，安裝基本殺毒軟件並定期更新非常有必要，同時切記要及時修補漏洞。