DNV GL:船用设备系统如何获得网络安全型式认可

2020-08-24 17:27 | 国际船舶网 船级社


随着航运业实施提高船舶和系统安全性的措施,DNV GL正在密切关注供应商如何获得型式认可。

网络安全是当今海上船舶的关注重点。未经授权甚至是授权的访问船舶系统,可能带来很大的灾难,导致声誉、财务和环境损害,抢劫、盗版或仅仅是恶意干扰。对于一艘未受保护的船舶来说,这些都是不同的风险。

考虑潜在的网络风险

当然,并非所有的威胁都是显而易见的。虽然对主推进系统的攻击会导致船舶失控漂移,但这种攻击会立即被发现。导航和定位系统可能被操纵以显示误导性信息,无意中导致船舶陷入困境。

随着行业逐渐完成现实可行的无人驾驶,对自动化系统的日益依赖加剧了人们对安全性的担忧。重要系统需要由授权人员访问,但要防止任何干扰。因此,旨在保护潜在易受攻击部件和系统的型式认可需要考虑如何降低授权和未授权访问的风险。

在网络安全的型式认证过程中,DNV GL根据IEC 62443号标准确定了四种不同的安全等级。安全级别(SL) 1是最基本的级别,提供针对偶然或巧合违规的保护。根据手段的复杂程度和潜在罪犯的资源、动机和技能的可能水平,第2级至第4级涵盖越来越严格的防范蓄意侵犯的保护级别。安全级别4可防范动机强烈、高度复杂的攻击。

海上网络安全专家Naval Dome公司一直与DNV GL合作,以提高整个海事行业的安全要求,特别是Naval Dome自身的系统。该系统之前被发现有一个问题,技术人员和制造商能够在没有船员了解和批准的情况下访问船载系统,这意味着系统可能会无意中被感染。

因此,需要一个两步的授权过程,为此必须开发新的算法,以防止未经船舶高级领导团队授权的远程访问。为了保护系统,必须验证试图获得访问权限的人是否拥有必要的授权,以及此人采取的每一项措施是否记录在安全日志中,以降低内部攻击的风险。

Naval Dome的首席技术官Ram Krishnan解释说,“为了抵御海上网络安全威胁,Naval Dome开发了一种独一无二的解决方案,因为它旨在从内到外进行保护。我们使用自己的软件来保护系统本身,从而阻止外部和内部两种主要的攻击,因为保护是在终端(个人电脑/人机界面)上完成的。”

连接到通信网络的机器特别容易受到网络安全威胁。

型式认可流程

型式认可程序始于对设备及其文件的评估,包括安装和操作手册,应用DNV GL严格且具有挑战性的评估原则。在下一阶段产品评估和测试程序开始之前,这些文件通常需要做相应的修改。

对于供应商来说,第一阶段可能是一个相当大的挑战。文档通常需要修改,可能反复多次,直到双方都对结果满意。该阶段还要求供应商起草测试程序文件,然后将其发送给船级社进行审核和批准。

一旦对所有这些文件进行了必要的评估和修改,程序就进入了物理测试阶段。如果供应商选择在DNV GL的实验室对系统进行测试,供应商将在进行测试之前安装设备和测试协议。比如Naval Dome是在DNV GL挪威特隆赫姆实验室的电子海图系统上安装了安全软件进行测试。但是,供应商也可以选择由DNV GL专家在他们自己指定的场所进行独立的第三方测试。

测试

DNV GL的测试程序基于国际标准ISA/IEC 62443-4-2 和IEC 61162-460的海事标准,包括7个章节,涵盖越来越严格的安全要求。这些测试确保网络安全设备足够强大,能够防止渗透尝试,同时还能评估加密强度等方面。该流程包括:

人类用户识别和认证

唯一标识和认证

所有接口的多因素身份验证

访问权限

软件流程和设备识别和认证

用户控制和功能

系统完整性

数据保密性

对数据流的限制

网络事件的响应时间

网络/系统细分

事件监控

资源可用性

网络安全软件必须允许受保护的应用程序不受干扰地运行

DNV GL数字化服务全球产品线负责人Mate J Csorba博士说:“这些测试非常重要,因为它们可以揭示出供应商需要更新的过时加密算法。”

测试包括远程访问,确保供应商的技术人员和经授权的船上工作人员可以访问船舶系统,但协议必须到位,以防止恶意访问。

“我们正在评估的是产品的安全能力。我们检查防火墙和系统配置等功能的能力和完整性。” Csorba博士说。

根据系统类型认证的安全级别,标准中7个章节中每一章要求数量会有所不同。级别越高,要求越严格,数量越多。

Naval Dome的系统在DNV GL为期一周的型式认可测试中证明非常有效。测试涵盖了Naval Dome解决方案所保护的运营系统的安全性,以及对船舶系统的潜在干扰。“在测试期间,无法侵入或控制船舶系统,最终也不可能控制船舶。这两个步骤的授权过程,以及网络和无线网络接入的安全性进行了测试,没有能够损害受到保护的船舶系统。“Ram说。

安全问题

根据DNV GL的说法,很少有船舶航行时配备了足够的安全系统。Csorba博士说:“如果所有的船舶都使用SL1,那也比完全没有安全措施要好,但遗憾的是,它们没有。”

如果没有足够的保护,现有船舶上的系统就会在每次数据从岸上传输到船上时受到威胁,甚至当船员或技术人员直接从光盘、u盘或技术人员的设备上更新软件(包括图表和航海通告)等简单而常规的工作时也会受到威胁。

旧船上的系统可以升级,但如果不改造新系统,就很难完全更新。DNV GL认为至少应该为新造船指定SL3。根据定义,SL3提供了“保护,防止使用复杂手段、广泛资源、IACS特定技能和适度动机的蓄意侵犯。”

为了达到这一级别的网络安全保护或最佳SL4,它提供了与SL3相似的保护措施,并增加了高攻击动机设备,供应商需要充分了解国际标准,并与型式认可机构一起参加合适的研讨会。这有助于供应商全面了解型式认可法规和要求,以及了解设备的认证权限。然后,双方可以共同确定供应商应达到的安全级别。

DNV GL 研究表明,在缺乏足够的网络保护的情况下,船舶很容易受到攻击。比如报告的船舶位置可能会发生变化,雷达显示可能会被误导。同样地,测试专家能够轻易打开和关闭机器或使其失效,并控制燃油、转向和压载水系统。

这些渗透测试表明Naval Dome开发的网络安全产品,能够抵御各种攻击,并符合SL4标准。在这一级别认证网络安全软件的关键因素是使航运和离岸设施能够快速、方便地实施网络安全,而不必重新认证现有硬件。

DNV GL是最早认识到航运和其他行业日益数字化带来的日益严重威胁的船级社之一。其网络安全类型认证于2017年推出,次年增加了网络安全等级标志“网络安全”。

对导航系统的攻击。黑客操纵导航系统来指示不正确的位置可能会导致严重的事故,如搁浅,并可能造成生命和货物的损失。

Cyber Secure符号有三个级别: Cyber Secure (基本),对应于SL1,主要用于现有船舶;针对新造船的Cyber Secure (高级),对应于SL3,具有针对海事系统的特殊适应性;以及Cyber Secure (+),它涵盖了不在其他两个级别范围内但可以与其中任何一个组合的附加系统。

Cyber Secure符号默认涵盖10个系统: 推进、转向、水密完整性、消防安全、压载、推进器(主推进除外)、辅助系统、通信、导航和发电。其他系统可以在“+”级别下进行风险评估。在该符号的所有级别,每艘船都需要一个网络安全管理系统。

END

关键词: DNV GL船用设备


国际船舶网微信公众号