CCS推出船舶网络系统要求及安全评估服务
2018-07-10 15:07 | 国际船舶网 船级社
近年来,随着船舶智能化水平的不断提升,船舶越来越多地处于“在线”状态,也使其遭受网络安全威胁的风险逐渐加大,网络安全成为大家越来越关心的话题。船舶面临着来自多方面的网络安全威胁,如程序中的操作错误、软件缺陷、未经授权访问的系统入侵、管理公司对船舶网络未能采用有效的风险控制程序等。通过调查发现,智能船舶易受网络风险攻击的系统包括船桥系统、货物操作和管理系统、推进和机械设备管理以及动力控制系统、访问控制系统、乘客服务和管理系统、乘客公共网络管理及船员保障系统、通信系统等。
指南及主要内容
为应对网络安全的挑战,国际海事组织(IMO)、国际船级社协会(IACS)、波罗的海航运工会(BIMCO)等组织和机构积极开展海事网络风险研究。2017年6月IMO MSC98通过有关海事安全相关决议,鼓励各成员国确保不迟于2021年1月1日之后的首次DOC年度验证时,安全管理系统应反映网络风险管理相关内容,并随后发布了《船舶网络风险管理》(MSC-FAL.1)通函。IACS也积极应对船舶网络安全,于2015年12月成立第六个专业委员会,目前,正在编制有关船舶网络安全的12份指南。未来,监管船舶网络安全将成为IACS的第三大支柱性工作,标志着IACS工作在船舶安全领域从硬件向软件的延伸。2016年初及2017年中,波罗的海国际航运公会(BIMCO)连续发布有关船舶网络安全指南。该指南旨在向行业提供清晰全面的网络安全风险信息,以助力相关方采取恰当措施,应对网络威胁事件。
结合业界的迫切需要,中国船级社(CCS)于2017年发布了《GD14-2017船舶网络系统要求及安全评估指南》。该指南面向船舶网络系统的设计、实施、运行、退役等环节,为船东/船舶管理公司、系统开发方等提供网络系统的建设要求,旨在规范船舶网络的建设工作,针对操作、集成、维护、设计、安全意识、管理水平等方面的风险点对其实施有效评估,使有关的管理人员和技术人员理解船舶网络安全的重要性,形成综合提升船舶网络系统建设水平、威胁防御能力的新观念,保障船舶网络环境的稳定性,为智能船舶的功能应用建立基本的条件与保障。该指南从资源、程序及风险三个要素,阐述了船舶网络系统建设中需满足的要求,其中:1、资源是指资产及资产的标识、对资产的访问、所处的物理环境、所产生的数据,资产使用中参数的配置要求;2、程序是指网络安全管理需要制定的管理程序、规章制度、设立的管理机构、确定人员所承担的角色及作用、业务流程的流转过程、网络建设及运维要求等;3、风险是指针对网络风险所采取的应对措施,如何规划,识别及评估,响应、恢复等。
CCS网络安全评估服务
指南发布后,CCS与船公司合作完成了针对散货船的首次船舶网络安全评估工作,此次评估是遵循“指南”开展的首次船舶网络安全评估检验,同时也是国内首次针对船舶网络安全的评估实践活动。评估小组本着公正、客观的原则与船舶管理公司进行了深入的交流,对公司在网络安全数据管理、事故响应与应急、风险评估、运维管理等方面的情况进行了评估,全面可靠地排查、纠正船舶营运过程中的隐患。
通过本次评估,CCS不仅对指南的有效性与可执行性进行了验证,同时也完成了对于船舶管理公司软硬件环境及网络安全管理水平的摸底调研。在评估过程中,主要从两个角度来识别网络风险,一方面从管理要求、规章制度上,企业在管理体系中有关网络管理的要求,如人员培训、人员安全意识培养、访问管理控制等,另一方面是从技术角度,如网络端口控制与使用,通信协议及其服务、船舶防火墙、路由器和交换机等网络设备的配置,电子邮件和网页浏览器的保护、卫星和无线通讯的保护、恶意软件防护、无线接口的控制、应用软件的安全性管理、数据恢复能力等方面,另与外界有数据传输的船舶设备和系统是入侵船舶的通道,通过控制这些通道从而控制船舶,因此对这些系统进行风险分析,识别系统脆弱性,提高船舶风险防御能力。
为了更好地应对及防御网络安全事件,建议船舶及管理公司从以下几个方面着手,提高船舶防御能力:
1、智能船舶在系统设计时,应充分考虑网络安全的风险管理问题,同时遵循CCS智能船舶规范和CCS船舶网络系统及安全评估指南的技术要求,合理进行设计。
2、船舶管理公司或航运企业应建立健全船舶网络安全管理体系;
3、充分利用现代化信息技术对船舶网络安全进行感知、监测以及应急响应;
4、对船舶网络安全进行技术防护和安全加固。
为平安航运保驾护航
从席卷全球的“WannaCry”勒索病毒,到卷土重来的“暗云Ⅲ”病毒,再到升级传播手段的“Petya”勒索病毒,计算机黑客们正在利用计算机系统、工控系统、网络系统的漏洞对电力、供水、航运乃至国家部门的通信和网络系统发起攻击,因此,快速识别网络威胁并降低风险变得越发重要。只有采用正确的技术、合适人员和流程,才能构建更强大的安全形势。当前,国家网络安全法的实施与应用,及交通运输部研究推进交通运输行业网络安全工作的指导意见,为行业网络安全发展,提供了政策引导。为落实国家与部委关于提升网络安全的政策和技术要求,CCS在IMO、BIMCO、IACS等海事组织研究成果的基础上,进一步开展船舶网络安全方面的探索与研究,正在筹建船舶网络安全实验室。核心任务是对船舶网络安全进行风险评估、评测、咨询、培训以及跟踪国内外在船舶网络安全方面的最新动态、相关技术的研究与应用,为CCS及行业单位提供网络安全相关服务支持,解决智能船舶发展过程中船舶网络安全的技术问题。通过调研国内外航运企业网络安全管理现状,指导企业建立健全网络安全管理体系,提高防御能力,为智能制造、智慧航运、绿色航运、平安航运持续保驾护航。