CCS推出技术指南应对船舶网络威胁

2017-08-18 08:35 | 中国船检 船级社


2017 年7月,中国船级社(CCS)发布了《船舶网络系统要求及安全评估指南》(以下简称“指南”)。这是国内首次推出应用于船舶网络系统的技术标准。

指南围绕四个方面对网络安全问题及相关工作提出了要求。

一是通用要求与检验。

指南对其适用对象及目标范围作了明确,对于评估工作开展过程中必要的图纸及资料文件提出了具体要求。对于满足指南要求的船舶,将为其授予相应的船级附加标志“Cyber Security”。指南同时提出了结合船舶初次及年度检验,开展网络安全附加标志的检验与试验实施细则。

二是网络系统要求。

接入船舶网络的利益相关方众多,而从源头上控制威胁的办法应是对系统的开发方、管理方提出相关要求。在这一部分,CCS将船舶网络涉及的诸多要素进行划分,按照资源、风险、程序三方面分别提出要求。在资源方面,提出管理网络基础设施及协议开放的原则、虚拟局域网划分原则;提出网络中系统及设备的规范化授权要求;对船舶网络的路由器和防火墙的监控;系统密码管理;系统数据流的监测,特别是对控制系统的数据安全监控;系统配置文件的日常维护与岸基远程获取。在风险方面,提出对船公司建立风险管理的制度性要求、对船舶网络潜在漏洞的探测要求、对第三方接入系统的控制、对船岸通信的过程保护、对控制系统的局域网要求,以及网络中的防御系统、漏洞扫描系统的接入参数要求;应急情况下对网络的妥善处置要求;系统数据的备份与灾难恢复。在程序方面,提出对船公司网络安全管理程序及相关组织机构的要求、船公司对网络安全意识的培训要求、网络系统的交付实施流程要求、运行与维护过程的基本管理办法。

三是对网络系统产品的评估。

针对由船舶网络系统的开发方申请,CCS提供针对网络系统产品设计、开发、安装等环节的评估服务。对于系统产品的范围,CCS并不考虑单独评估接入网络的所有系统,而是对网络体系结构的设计与开发过程进行控制。在该部分,CCS同样围绕资源、风险、程序三个方面,对网络系统产品实施指标性评估。为能通过技术手段提升评估的针对性,CCS提出了利用专业安全测量工具,对网络系统产品进行漏洞扫描、渗透测试的要求。

四是对船舶网络系统的评估。

针对由船东/船舶管理公司申请,CCS提供针对实船网络系统运行、管理、维护等环节的评估服务。鉴于目前国内船东的网络管理水平参差不齐,在进行评估前,船东需进行一个“自评估”,以快速的了解公司管理与船舶网络的状况,对于达到自评估“门槛”的船舶,由CCS对其实施指标性评估。

CCS认为,智能船舶的发展速度已超出业界的预期,特别是2016年以来,业内的科研项目、应用实施热点不断。2017年3月,航运界已成立了无人货物运输船开发联盟、无人船技术与系统联合重点实验室等合作组织。对船舶网络的依赖逐渐增大、船舶配员的大幅减少,将使业界对船舶安全的理解很快由强调海上人命安全过渡到关注系统、网络的安全。

END

关键词: CCS中国船级社


国际船舶网微信公众号