国际船级社协会(IACS)对船舶网络安全的最新统一要求
2022-05-26 18:51 | 中国船检 船级社
随着网络技术在智能航运及船舶安全和防污染关键系统设备中的广泛运用,船载计算机系统互联可靠性给航行安全和水上环境带来新的挑战。如何化解可能存在的船舶重大网络安全风险日益成为水上交通运输行业急需解决的问题之一。
近日,国际船级社协会(IACS)为了使船舶能够抵御网络事故,增强船舶网络安全的韧性,发布了两项新的统一要求(Unified Requirements)——UR E26和UR E27,并将在2024年1月1日及之后签订建造合同的新造船舶上实施。这些要求需要包括船东/公司、船舶设计师/船厂、系统集成商、供应商、船级社等在内的利益相关方在船舶设计、建造和营运期间履行相关的责任。那么,这些新要求的具体内容是什么呢?
01 UR E26
UR E26以船舶作为网络弹性的集体实体为目标,旨在确保在船舶的设计、建造、调试和使用寿命期间,将操作技术(OT)和信息技术(IT)设备安全地集成到船舶网络中。其主要涵盖五个关键方面:设备识别、保护、攻击检测、响应和恢复。
● UR E26适用范围
1. 船舶操控系统(OT: Operational Technology System)。用于收集全船设备运行数据、控制或者监控设备运行进程的计算机系统(OBS:Computer-based System),其一旦遭受网络事件,可能会对海上人命、财产和环境安全带来威胁。特别是下列设备的OBS使用:
① 推进系统
② 舵机系统
③ 锚泊和系泊系统
④ 发电和配电系统
⑤ 探火和灭火系统
⑥ 货物操作系统
⑦ 污水和压载水操作系统、装卸货控制系统、配载计算机
⑧ 洗涤控制系统和其他需要遵守国际规则和船级社防止环境污染要求的设备系统
⑨ 水密完整性和进水探测系统
⑩ 灯光系统(应急照明、航行灯等)&其他船舶操控系统
另外,法定规则要求配备的航行设备、法定规则和船级社要求配备的内外部通信系统也应适用。
2. 任何通过IP(Internet Protocol)协议与CBS进行信息交换的其他系统,包括但是不限于:
① 乘客或访客服务和管理系统
② 面向乘客的网络
③ 管理网络
④ 船员福利系统
⑤ 其他与OT相连接的系统(无论是固定的还是临时的)
● UR E26在船舶网络安全方面的具体要求
1.识别(Identify)
在船舶的全生命周期,应当建立一份网络硬件和软件清单并保持更新。这份清单应包括符合URE26适用范围的所有CBSs和用于连接这些系统以及岸基CBSs的网络。
2.保护(Protection)
① 设置安全区:所有的CBSs应当集合在清楚界定的安全控制策略和安全能力安全区中。安全区可以是孤立的,也可以是与其他在不同区域之间存在数据通信控制的安全区或网络连接。
② 网络保护:与CBSs相连接的网络应当设置防火墙或采用等效的方法。这些网络还应当防止过量的数据流或其他影响网络服务质量的事件。CBSs应当执行最少功能的原则,例如当不必要的功能、端口、协议或者服务发生故障或者被禁用应能够设定只提供关键功能,并禁止或限制非关键功能的使用。
③ 防止恶意代码:CBSs应当能够防止恶意代码攻击,例如病毒、蠕虫、木马、间谍软件等。
④ 访问控制:CBSs应当提供能选择性限制用户与系统通信或者其他交互、使用系统资源操作信息、获知系统信息、控制系统组件和功能权限的措施和方法,这些措施和方法可以是物理的,也可以是逻辑的(电子的)。这些措施和方法应当不妨碍经授权的用户按照相应的权限访问CBS。
⑤ 无线通信:无线通讯网络应当按照以下要求设计、实施和维护:
a.网络安全事件不会传播到其他控制系统;
b.只有授权的人类用户能够访问无线网络;
c.只有授权的进程或者设备允许连接无线网络;
d.在无线网络上传输的信息不会被控制和泄露。
⑥ 远程访问控制和不信任的网络连接:CBSs应能防止未经授权的访问和其他来自不信任的网络的威胁。
⑦ 移动或便携设备的使用:与CBSs相连接的移动或者便携设备或与系统连接的网络应当进行物理的或者逻辑的切断,除非是为了操纵或者维护船舶而进行的连接。
3.监测(Detect)
① 网络运行监测。符合URE26适用范围的网络应当持续监测并在故障或者容量减少时发出报警。
② 计算机系统和网络诊断功能。为保证船舶的安全操作,CBSs和网络应当能够进行功能和性能测试,为系统设定的用户提供关于CBSs完整性和状态足够的诊断信息,并能维护这些CBSs的功能。
4.响应(Respond)
① 应急方案:制定一个覆盖所有网络安全意外事件,并指明如何反应的方案。该方案应当包括为发现针对CBSs的事件、响应并限制后果而预定的一套程序或说明。
② 本地、独立或者手动操作:SOLAS II-1 Reg.31要求的任何需要本地备份控制CBSs应当独立于主要的控制系统。这还包括有效实施本地控制必要的人机界面。
③ 网络隔离:应当具备手动或者自动终止同某一网络进行通信的功能。
④ 最小风险状态:在相应设备的CBS或者网络发生攻击事件时,受影响的系统或网络应当退回到最小风险状态。具体做法可以是完全停用该系统;解除系统占用;转换到另一操作系统或者人工操作。
5.恢复(Recovery)
① 恢复方案:应当制定一个帮助在受网络事件影响而中断或故障的CBSs恢复到正常操作状态的方案。
② 备份和恢复能力:CBSs和网络应当具备备份和及时、完整和安全恢复的能力。备份应当定期进行维护和测试。
③ 关闭、重置、还原和重启:CBS和网络应当能够可控的关闭、重置到初始状态,还应能还原到一种安全状态,并从关机的状态重新启动,以便于在遭受网络安全事件后能够安全快速的修复。
URE26还包含了性能评估和测试的方案以及外部CBS的风险评估。
02 UR E27
URE27旨在确保第三方设备供应商对系统完整性进行保护和加固,提供了船上系统和设备的网络韧性要求,并提供了与用户和船上基于计算机的系统之间的接口有关的附加要求,以及新设备在船上实施前的产品设计和开发要求。其适用范围与URE26相同。航行设备和无线电设备系统可以执行IEC61162-460的要求作为UR E27的替代。
URE27的第4部分列出了CBSs的安全能力要求。
|
安全能力要求 |
||
|
序号 |
目标 |
要求 |
|
1 |
人类用户识别与验证 |
CBS应能识别和验证直接或通过界面访问系统的人类用户。(IEC62443-3-3/SR 1.1) |
|
2 |
账户管理 |
CBS应支持通过授权用户管理所有账户的能力,包括增加、激活、修改、禁用、删除账户。(IEC62443-3-3/SR 1.3) |
|
3 |
标识管理 |
CBS应提供支持按用户、组和角色管理标识符的能力(IEC62443-3-3/SR 1.4) |
|
4 |
验证管理 |
CBS应提供以下能力: -初始化验证内容 -在系统安装时更改所有的默认验证符 -修改或更新所有验证符 -在存储或者传输时保证所有的验证符不被泄漏和修改 (IEC62443-3-3/SR 1.5) |
|
5 |
无线访问管理 |
CBS应提供识别所有通过无线通信的用户,包括人类、软件进程或设备。(IEC62443-3-3/SR 1.6) |
|
6 |
密码验证强度 |
CBS应提供执行设定的密码强度(基于最小长度和多种字母形式)的能力。(IEC62443-3-3/SR 1.7) |
|
7 |
验证反馈 |
CBS在验证过程中应隐藏反馈信息。 (IEC62443-3-3/SR 1.10) |
|
8 |
授权执行 |
在所有信息交互中,人类用户应根据职责权限和最小优先权进行授权。(IEC62443-3-3/SR 2.1) |
|
9 |
无线使用控制 |
CBS应能提供通过公认的安全做法授权、监控和执行系统无线连接使用限制的能力。(IEC62443-3-3/SR 2.2) |
|
10 |
便携或移动设备使用控制 |
当CBS支持便携或者无线设备使用时,系统应能提供: -便携或者移动设备的使用仅限于设计时允许的设备 -严格限制便携或者移动设备代码和数据传输 注:对特定的系统,可以使用端口限制或禁用 (IEC62443-3-3/SR 2.3) |
|
11 |
移动代码 |
CBS应控制移动代码的使用,如JAVA语言、ActiveX和PDF。(IEC62443-3-3/SR 2.4) |
|
12 |
会话锁 |
CBS应能在预设的非活动时间或手动激活会话锁后防止进一步访问。(IEC62443-3-3/SR 2.5) |
|
13 |
可审核事件 |
CBS应能至少为以下事件产生审核记录:访问控制、操作系统事件、备份和恢复事件、更改默认设置、通信故障。(IEC62443-3-3/SR 2.8) |
|
14 |
审核存储容量 |
CBS应能按照公认的日志管理建议分配审核记录存储能力。对于超出这种能力的可能性应执行审核机制。 (IEC62443-3-3/SR 2.9) |
|
15 |
审核进程故障反应 |
CBS应能提供在审核进程失败时防止关键的服务和功能丢失的能力。(IEC62443-3-3/SR 2.10) |
|
16 |
时间戳 |
CBS应为审核记录加盖时间戳。(IEC62443-3-3/SR 2.11) |
|
17 |
通信完整性 |
CBS应保护信息传输的完整性。注:无线网络应使用加密机制。(IEC62443-3-3/SR 3.1) |
|
18 |
恶意代码防护 |
CBS应提供防护能力防止、发现、减轻恶意代码或非授权软件的影响,并具有升级防护机制的特点。 (IEC62443-3-3/SR 3.2) |
|
19 |
安全功能确认 |
CBS应提供支持预设安全功能确认的能力,并在维护发生异常时报告。(IEC62443-3-3/SR 3.3) |
|
20 |
输入的有效性 |
CBS应证实来自不信任的网站的用来控制进程或者直接影响CBS行动的输入数据的语法、长度和内容。 (IEC62443-3-3/SR 3.5) |
|
21 |
确定性输出 |
CBS应提供能力以便于当遭受攻击且不能维持正常操作时将输出调整至一种预设的状态。这种预设状态应是: -无电源状态 -最后值 -固定值 (IEC62443-3-3/SR 3.6) |
|
22 |
信息保密 |
CBS应提供在支持明确的阅读权限时无论是静止还是传输状态下保障信息安全的能力。 注:对于无线网络,应采用密码机制保护所有传输信息。 (IEC62443-3-3/SR 4.1) |
|
23 |
密码使用 |
如果使用密码,CBS使用加密算法,其密码长度和机制应参照安全工业普遍接受的实践和建议。 (IEC62443-3-3/SR 4.3) |
|
24 |
审核日志可访问 |
CBS应提供能力保障经授权的人或工具基于只读方式访问审核日志。(IEC62443-3-3/SR 6.1) |
|
25 |
拒绝服务保护 |
当发生拒绝服务事件时,CBS应提供保障基本功能的最小能力。(IEC62443-3-3/SR 7.1) |
|
26 |
资源管理 |
CBS应提供能力通过安全功能限制资源的使用防止资源过度消耗。(IEC62443-3-3/SR 7.2) |
|
27 |
系统备份 |
CBS应支持关键文件的身份位置备份和执行用户和系统权限信息备份的能力,且不影响正常的操作。 (IEC62443-3-3/SR 7.3) |
|
28 |
系统恢复和重建 |
CBS应提供能力以便于在中断或者故障后恢复和重建至一种已知的安全状态。(IEC62443-3-3/SR 7.4) |
|
29 |
应急电源 |
控制系统应提供在不影响现有安全状态或降级模式情况下切换急电源供电的能力。(IEC62443-3-3/SR 7.5) |
|
30 |
网络和安全配置设置 |
CBS通信应提供根据控制系统供应商提供的指南中所述的建议和安全配置进行配置的能力。 (IEC62443-3-3/SR 7.6) |
|
31 |
最少功能 |
下列安装、可用性和访问权限应受系统功能需求的严格限制: -操作系统软件组件、进程和服务 -网络服务、端口、协议、路径和主机访问和任何软件。 (IEC62443-3-3/SR 7.7) |
本部分还列出了与不信任网络连接的CBSs的附加要求,凡是不属于UR E26适用范围的任何网络均应视作不信任网络。
|
附加要求 |
||
|
序号 |
目标 |
要求 |
|
32 |
人类用户多要素验证 |
来自或者通过不信任的网络访问CBS的人类用户需要进行多要素验证。(IEC62443-3-3/SR 1.1 RE2) |
|
33 |
软件进程和设备识别与验证 |
系统应识别和验证软件进程和设备。 (IEC62443-3-3/SR 1.2) |
|
34 |
登录失败尝试 |
在特定时期,CBS应限制来自不信任的网络进行连续的无效登录。(IEC62443-3-3/SR 1.11) |
|
35 |
系统使用通知 |
CBS在验证前应能提供显示系统使用的通知的能力。系统使用通知信息应能有经授权的用户预设。 (IEC62443-3-3/SR 1.12) |
|
36 |
不信任的网络访问 |
任何来自或通过不信任的网络对CBS的访问应当受到监测和控制。(IEC62443-3-3/SR 1.13) |
|
37 |
明确访问要求的批准 |
除经船上已授权用户的批准外,来自或者通过不信任网络的访问应当被拒绝。(IEC62443-3-3/SR 1.13 RE1) |
|
38 |
远程会话连接 |
CBS应提供在可配置的非活动时间段后自动终止远程会话或由启动会话的用户手动终止远程会话的能力。 (IEC62443-3-3/SR 2.6) |
|
39 |
密码完整性保护 |
CBS应采用密码机制识别通过不信任网络进行通信过程中的信息变化。(IEC62443-3-3/SR 3.1 RE1) |
|
40 |
会话完整性 |
CBS应保护会话的完整性,并拒绝无效的会话。 (IEC62443-3-3/SR 3.8) |
|
41 |
会话连接后无效的会话IDs |
系统应作废已经退出的会话IDs或者其他会话终端(包括浏览器会话)。(IEC62443-3-3/SR 3.8 RE1) |
信息来源:本文对URE26和UR E27进行了翻译和整理;
更多详细信息可登录IACS官方网站下载查看。
