孫輝

摘 要：國際海事組織要求船公司在2021年1月1日前參考BIMCO推出的船舶網(wǎng)絡(luò)安全指南，將網(wǎng)絡(luò)風(fēng)險(xiǎn)管理方針納入安全管理體系。如未在規(guī)定日期前實(shí)施新政，船只將被扣留，業(yè)務(wù)陷入停滯。實(shí)際上，網(wǎng)絡(luò)與信息安全工作的重要性符合冪次定律，是繼航線規(guī)劃、造船投入和人才培養(yǎng)之后，決定船公司生死存亡的“第四種生產(chǎn)要素”。我們相信船公司積極實(shí)施船岸網(wǎng)絡(luò)分層防御措施，建立健全網(wǎng)絡(luò)信息安全體系，最終能夠幫助企業(yè)實(shí)現(xiàn)躲避惡意攻擊，防范船岸網(wǎng)絡(luò)安全及信息泄露事故于未然的目標(biāo)。

關(guān)鍵詞：船岸；網(wǎng)絡(luò)；安全信息；泄露

0 概 述

領(lǐng)先的船公司因長(zhǎng)期實(shí)踐“數(shù)字化+互聯(lián)網(wǎng)”戰(zhàn)略，船舶一切運(yùn)營參數(shù)及管理量化指標(biāo)被移到了更加透明的互聯(lián)網(wǎng)信息平臺(tái)上，船舶所有人可以隨時(shí)隨地對(duì)資產(chǎn)進(jìn)行監(jiān)控。船舶所有人把船舶全權(quán)委托給第三方船管機(jī)構(gòu)打理，但這又帶來一個(gè)全新的課題——隨著船岸數(shù)字化程度越來越高，信息系統(tǒng)遭受攻擊導(dǎo)致數(shù)據(jù)泄露的風(fēng)險(xiǎn)越大。近年來我們聽到多起船員私人信息泄露導(dǎo)致的詐騙事件，不用懷疑，這些泄露的源頭90%來自船管公司的信息系統(tǒng)。此外，馬士基公司遭遇勒索病毒損失3億美金的案例告訴我們，無論船岸員工及IT專員是惡意還是疏忽，亦或是“不知情的幫兇”，都可能會(huì)給企業(yè)帶來嚴(yán)重的危害。我們知道，數(shù)據(jù)對(duì)業(yè)務(wù)的價(jià)值是有期限的，而船公司要做的就是充分了解其系統(tǒng)所掌握的信息，以及誰有訪問系統(tǒng)獲取信息的權(quán)限，確保數(shù)據(jù)及使用人員在有效期限內(nèi)的安全受控。

1 船岸通訊網(wǎng)絡(luò)管理現(xiàn)狀

航運(yùn)互聯(lián)網(wǎng)技術(shù)的運(yùn)用和發(fā)展非常迅速，特別是海上衛(wèi)星通訊服務(wù)商（見圖1）提供的海上高速帶寬套餐資費(fèi)日益下降，極大地促進(jìn)了船舶與管理當(dāng)局、服務(wù)供應(yīng)商、租船人和船舶所有人之間的信息交換頻率，這也給船舶管理公司帶來更大的壓力。網(wǎng)絡(luò)沒有物理國界，任何擁有基礎(chǔ)網(wǎng)絡(luò)安全攻防經(jīng)驗(yàn)及熟悉船舶扁平化網(wǎng)絡(luò)架構(gòu)（見圖2）的人都可以對(duì)海上聯(lián)網(wǎng)船舶進(jìn)行遠(yuǎn)程滲透，可能只需一杯咖啡的時(shí)間航行在海上的船舶就可能陷入斷網(wǎng)、信息系統(tǒng)被加密鎖定，甚至船舶主機(jī)、自動(dòng)舵系統(tǒng)失去控制的恐怖景象，以上情景并非危言聳聽。筆者對(duì)某船舶衛(wèi)星通訊商ip地址段（148.*.*.*）掃描發(fā)現(xiàn)，眾多安裝VSAT、FBB設(shè)備船舶未經(jīng)審核就向公網(wǎng)開放了21/80/445/3389等弱口令TCP或UDP端口，且絕大部分船舶沒有配置專業(yè)的硬件防火墻，導(dǎo)致訪問控制策略失效，這也為船舶內(nèi)網(wǎng)遭受外部威脅開啟了潘朵拉魔盒。常見漏洞利用端口如下：

HTTP：80，8080，8888，8000，8001，8088；

VNC：5900，5901，5902，5903；

MySQL：3306

Memcached：11211

MySQL/MariaDB：3309，3308，33603306，3307，9806，1433

FTP：21

Telnet：23，2323

PostgreSQL：5432

Redis：6379，2379

ElasticSearch：9200

MongoDB：27017

RDP：3389

UPnP/SSDP：1900

NTP：123

DNS：53

SNMP：161

LDAP：389

Rexec：512

Rlogin：513

Rsh：514

Rsync：873

Oracledatabase：1521

TeamViewer：53，5938

CouchDB：5984

2 常見網(wǎng)絡(luò)攻擊手段

影響船公司和船舶的網(wǎng)絡(luò)攻擊主要有兩類：一是無目標(biāo)的攻擊，岸基或船舶內(nèi)網(wǎng)操作系統(tǒng)及第三方軟件漏洞是許多潛在的受攻擊目標(biāo)之一，攻擊者利用0day漏洞進(jìn)行廣撒網(wǎng)式無差別化攻擊；二是有針對(duì)性的攻擊，將某船公司或船舶信息系統(tǒng)設(shè)置為預(yù)定滲透目標(biāo)，攻擊者為躲避網(wǎng)絡(luò)安全設(shè)備的防御機(jī)制，利用專門開發(fā)的更復(fù)雜的繞過技術(shù)和工具，實(shí)施多步驟攻擊，其殺傷力、破壞力較前者較大。針對(duì)性攻擊我們又分為以下幾種類型：

（1）主動(dòng)攻擊。攻擊者試圖突破網(wǎng)絡(luò)安全防線。這種攻擊涉及到數(shù)據(jù)流的修改或創(chuàng)建錯(cuò)誤流，主要攻擊形式有假冒、重放、欺騙、消息纂改和拒絕服務(wù)等等。

（2）被動(dòng)攻擊。攻擊者簡(jiǎn)單地監(jiān)視所有信息流以獲得某些秘密。這種攻擊可以是基于網(wǎng)絡(luò)跟蹤通訊鏈路或基于系統(tǒng)用秘密抓取數(shù)據(jù)的特洛伊木馬代替系統(tǒng)部件。

（3）物理攻擊。在物理臨近攻擊中，未授權(quán)者可物理接近網(wǎng)絡(luò)、系統(tǒng)或設(shè)備，目的是修改、收集或拒絕訪問信息。

（4）內(nèi)部攻擊。當(dāng)內(nèi)部人員被授權(quán)在信息安全處理系統(tǒng)的物理范圍內(nèi)，或?qū)π畔踩幚硐到y(tǒng)具有直接訪問權(quán)，主動(dòng)將獲取的信息進(jìn)行非法傳播。

（5）邊界攻擊。網(wǎng)絡(luò)邊界包括路由器、防火墻、入侵檢測(cè)系統(tǒng)IDS、虛擬專用網(wǎng)VPN、DMZ和被屏蔽的子網(wǎng)等，上述硬件內(nèi)部安裝的OS與其他軟件一樣，也無法逃避存在安全缺陷的命運(yùn)，攻擊者則可利用其協(xié)議缺陷、OS及固件漏洞繞過已知安全策略。

（6）持續(xù)性威脅。商業(yè)APT組織可能會(huì)通過釣魚手法進(jìn)行欺詐，例如：以“XX船公司2020中期戰(zhàn)略企劃書”為關(guān)鍵詞投放電子誘餌，通過Scribble等Office文檔追蹤工具進(jìn)行精準(zhǔn)定位，騙取企業(yè)受害人打開附件或點(diǎn)擊郵件鏈接從而入侵或破壞對(duì)方的信息系統(tǒng)。

3 船舶易受攻擊的系統(tǒng)

1）綜合船橋和ECDIS系統(tǒng)

2）配載儀和船舶維修保養(yǎng)系統(tǒng)

3）主機(jī)遙控和能效系統(tǒng)

4）保安限制區(qū)域CCTV和各重點(diǎn)艙室門禁

5）乘員服務(wù)和管理系統(tǒng)

6）面向船員娛樂的公共網(wǎng)絡(luò)

7）船岸網(wǎng)絡(luò)通信系統(tǒng)

8）操作系統(tǒng)及常用軟件

4 處理網(wǎng)絡(luò)事件的基本步驟

1）風(fēng)險(xiǎn)識(shí)別：定義相關(guān)人員角色和職責(zé)，確保在日常管理中能夠發(fā)現(xiàn)可疑風(fēng)險(xiǎn)

2）事件預(yù)防：采取風(fēng)險(xiǎn)控制流程和應(yīng)急計(jì)劃，阻止網(wǎng)絡(luò)風(fēng)險(xiǎn)演化成網(wǎng)絡(luò)事件

3）事件發(fā)現(xiàn)：通過檢查確認(rèn)網(wǎng)絡(luò)事件發(fā)生，評(píng)估損失及后續(xù)恢復(fù)方案

4）事件恢復(fù)：有計(jì)劃響應(yīng)并使系統(tǒng)恢復(fù)正常運(yùn)行

5）免疫措施：制定措施避免遭受同類網(wǎng)絡(luò)事件再次發(fā)生

5 安全組織架構(gòu)設(shè)計(jì)

網(wǎng)絡(luò)信息安全問題從根本上說是人的問題，如何讓人守規(guī)則，不違反規(guī)則，技術(shù)上如何減少和避免人為惡意使用技術(shù)，這是船公司網(wǎng)絡(luò)信息安全組織架構(gòu)設(shè)計(jì)的初心。我們可以把組織的總體目標(biāo)定義為：針對(duì)船岸網(wǎng)絡(luò)及信息安全需要，構(gòu)建系統(tǒng)的網(wǎng)絡(luò)安全技術(shù)和信息防護(hù)策略及其措施，通過制度管理和技術(shù)防范，雙管齊下，規(guī)范員工行為，以達(dá)到網(wǎng)絡(luò)和信息資產(chǎn)安全可控的總體目標(biāo)。最終達(dá)到“外人進(jìn)不來，進(jìn)來看不到、看到拿不走、拿走用不了、操作可追溯”的效果。組織實(shí)際領(lǐng)導(dǎo)者——首席信息安全官（CISO）的基本職責(zé)是：建立船岸網(wǎng)絡(luò)與信息安全團(tuán)隊(duì)并確保成員各司其職。團(tuán)隊(duì)成員既要包含企業(yè)內(nèi)部的計(jì)算機(jī)安全專家，也要包含外部資深律師、會(huì)計(jì)師、技術(shù)專家等。

6 安全團(tuán)隊(duì)成員崗位職責(zé)

1）對(duì)船舶VSAT/FBB設(shè)備端口映射以及防火墻規(guī)則進(jìn)行審核分發(fā)及監(jiān)控，熟悉Infinity，XchangeBOX等通信管理系統(tǒng)的后臺(tái)設(shè)置，監(jiān)控內(nèi)網(wǎng)可疑流量。

2）對(duì)船岸內(nèi)網(wǎng)信息設(shè)備及辦公電腦軟硬件及時(shí)更新維護(hù)，熟悉GTMailPlus、SkyfileMail、Super-Hub、RYDEX、AmosConnect等軟件操作知識(shí)。

3）對(duì)船岸防火墻訪問規(guī)則進(jìn)行定期維護(hù)，定期更新船岸病毒及漏洞補(bǔ)丁庫，不斷豐富船岸網(wǎng)絡(luò)信息事故應(yīng)急預(yù)案。

4）收集供應(yīng)商技術(shù)文件集中存儲(chǔ)，向設(shè)備及服務(wù)供應(yīng)商提交并跟蹤審核信息類保修工單（KVH，Marlink，GEE，OneNet等）。

5）跟蹤記錄新造船F(xiàn)BB，銥星和VSAT以及船載物聯(lián)網(wǎng)設(shè)備安裝調(diào)試情況，對(duì)船隊(duì)VSAT/FBB網(wǎng)絡(luò)流量及費(fèi)用情況進(jìn)行跟蹤，分配船員適當(dāng)?shù)男畔⒃L問級(jí)別和安全訪問許可。

6）參與船舶網(wǎng)絡(luò)基礎(chǔ)建設(shè)及信息系統(tǒng)迭代開發(fā)，提出必要的安全策略規(guī)范要求。

7）具備防火墻/路由器/入侵檢測(cè)系統(tǒng)和交換機(jī)的豐富知識(shí)；具備Mac、Windows、Linux三大操作系統(tǒng)及域控服務(wù)器的豐富知識(shí)；具備數(shù)據(jù)庫基礎(chǔ)知識(shí)，能夠使用SQL查詢語言，Crystal Reports提取分析數(shù)據(jù)。

8）具備網(wǎng)絡(luò)安全事件調(diào)查能力，獨(dú)立撰寫網(wǎng)絡(luò)安全事件調(diào)查報(bào)告并提出改進(jìn)措施。

7 經(jīng)驗(yàn)交流

網(wǎng)絡(luò)信息安全領(lǐng)域?qū)τ诖蟛糠秩硕约饶吧覍I(yè)性較強(qiáng)，在實(shí)踐中，大部分船公司是總裁辦（行政事務(wù)部）或保密部門來牽頭，而網(wǎng)絡(luò)信息安全職能又隸屬話語權(quán)不高的IT部門，最終導(dǎo)致企業(yè)網(wǎng)絡(luò)信息安全工作進(jìn)展遲滯，制度落實(shí)緩慢。因此，我們建議由公司領(lǐng)導(dǎo)牽頭作為“一把手”工程，由技術(shù)保障部門負(fù)責(zé)具體實(shí)施。有條件的船公司應(yīng)該定期針對(duì)船岸網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行白帽滲透以及布置網(wǎng)絡(luò)信息安全審計(jì)設(shè)備，當(dāng)船岸系統(tǒng)被攻破時(shí)，此舉能夠有助于迅速做出應(yīng)急反應(yīng)，恢復(fù)可以預(yù)知的破壞和損失。此外在員工手冊(cè)、船員上船協(xié)議中應(yīng)該賦予公司相關(guān)職能部門通過技術(shù)手段來獲取內(nèi)部威脅的權(quán)利，此舉有利于打擊船岸隱蔽性較強(qiáng)的職務(wù)犯罪。

以筆者所在單位為例，2018年初由公司領(lǐng)導(dǎo)牽頭與CCS聯(lián)合成立了船岸網(wǎng)絡(luò)信息安全專項(xiàng)課題組，針對(duì)我司船岸網(wǎng)絡(luò)特殊性制定了一套通用船舶網(wǎng)絡(luò)安全管理體系，并在超大型集裝箱船試行了《船舶網(wǎng)絡(luò)信息安全實(shí)施指南（征求意見稿）》及配套制度如《船舶網(wǎng)絡(luò)信息資產(chǎn)管理辦法》《船舶VSAT、局域網(wǎng)及防火墻設(shè)置規(guī)范》《船舶網(wǎng)絡(luò)信息安全員崗位職責(zé)》《船員網(wǎng)絡(luò)信息安全應(yīng)知手冊(cè)》等，除此之外，還對(duì)試點(diǎn)船舶就域控服務(wù)器（解決內(nèi)網(wǎng)信息審計(jì)問題）、KMS激活服務(wù)器（解決操作系統(tǒng)、辦公軟件授權(quán)問題）、自建CA頒發(fā)SSL證書（解決SHA256數(shù)據(jù)加密問題）、某開源安全軟件企業(yè)版部署（解決病毒庫、補(bǔ)丁離線升級(jí)問題）等項(xiàng)目進(jìn)行技術(shù)驗(yàn)證，為下一步網(wǎng)絡(luò)信息安全課題成果的推廣應(yīng)用奠定良好基礎(chǔ)。

8 結(jié)束語

早在2014年2月，我國便成立了中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組。2015年黨的十八屆五中全會(huì)提出“網(wǎng)絡(luò)強(qiáng)國”戰(zhàn)略，2016年11月頒布了《中華人民共和國網(wǎng)絡(luò)安全法》，同年12月頒布了《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》?？梢哉f“沒有網(wǎng)絡(luò)安全就沒有國家安全”已然成為舉國上下的共識(shí)；同理，沒有網(wǎng)絡(luò)安全就沒有航運(yùn)安全。2018年9月22日，美國在最新頒布的《國家網(wǎng)絡(luò)戰(zhàn)略》中明確指出，美國的經(jīng)濟(jì)和國家安全建立在全球貿(mào)易和運(yùn)輸?shù)幕A(chǔ)之上，隨著交通運(yùn)輸部門的現(xiàn)代化，它們很容易受到網(wǎng)絡(luò)攻擊。鑒于海上運(yùn)輸?shù)闹匾?，海上網(wǎng)絡(luò)安全尤為令人擔(dān)憂，美國將迅速采取行動(dòng)，確定海上網(wǎng)絡(luò)安全的責(zé)任，加強(qiáng)國際協(xié)調(diào)和信息共享機(jī)制，加速下一代具有網(wǎng)絡(luò)彈性的海上基礎(chǔ)設(shè)施的發(fā)展。“他山之石可以攻玉”，未來的航運(yùn)業(yè)，誰站在網(wǎng)絡(luò)信息安全的制高點(diǎn)掌握核心科技，誰就能實(shí)現(xiàn)贏家通吃。如果網(wǎng)絡(luò)信息安全出現(xiàn)紕漏，就會(huì)出現(xiàn)一著不慎，滿盤皆輸?shù)木置?。作為航運(yùn)從業(yè)者，我們要以清醒的頭腦，未雨綢繆，有步驟有計(jì)劃地提升我國航企網(wǎng)絡(luò)信息安全建設(shè)，持續(xù)為我國智能航運(yùn)、智能船舶等“政產(chǎn)學(xué)研用”創(chuàng)新項(xiàng)目落地，實(shí)現(xiàn)我國從航運(yùn)大國走向航運(yùn)強(qiáng)國的目標(biāo)努力奮斗。