中國船舶信息中心 吳笑風(fēng) 馮書桓 李 萍

近年來，網(wǎng)絡(luò)安全已成為船舶和航運(yùn)領(lǐng)域的高頻熱詞。根據(jù)2018年安聯(lián)的調(diào)查顯示，網(wǎng)絡(luò)安全風(fēng)險在全球工業(yè)界公認(rèn)的重大威脅中排名第2——與五年前的第15名相比，算得上“強(qiáng)勢逆襲”了。甚至已經(jīng)有11個國家將網(wǎng)絡(luò)風(fēng)險列為受邀風(fēng)險。在海事業(yè)界，2017年，有44%的航運(yùn)公司認(rèn)為他們的IT系統(tǒng)需要升級，而它們中的大多數(shù)實(shí)際遭受了網(wǎng)絡(luò)攻擊。

這讓人不得不為船舶與航運(yùn)的自主化發(fā)展產(chǎn)生擔(dān)憂。以自主船舶為例，人們已經(jīng)開始接受它的技術(shù)可行性，并對潛在的經(jīng)濟(jì)可行性也進(jìn)行了分析。有研究提出，無人化的船舶運(yùn)營可帶來高達(dá)90%的成本節(jié)約。但值得注意的是，這一估算中并沒有考慮網(wǎng)絡(luò)安全導(dǎo)致的潛在損失。事實(shí)上，無論是技術(shù)趨勢分析還是馬士基等行業(yè)巨頭的實(shí)際遭遇都在表明，對網(wǎng)絡(luò)安全風(fēng)險的討論并非杞人憂天，挑戰(zhàn)確實(shí)不容忽視。

船舶網(wǎng)絡(luò)系統(tǒng)的復(fù)雜性增強(qiáng)

網(wǎng)絡(luò)安全風(fēng)險的增加是船舶全球航行中對信息互聯(lián)依賴性增強(qiáng)的必然結(jié)果——不僅僅是自主和無人船舶的風(fēng)潮，傳統(tǒng)船舶和航運(yùn)運(yùn)營模式的數(shù)字化和信息化升級也方興未艾。信息與通信技術(shù)（ICT）在航運(yùn)領(lǐng)域中開始擁有了基礎(chǔ)設(shè)施般的地位。特別是隨著船舶的智能化，多種態(tài)勢感知技術(shù)的應(yīng)用使得傳感器數(shù)據(jù)傳輸?shù)男枨蟠蟠笤黾?，船舶根?jù)運(yùn)營場景對無線局域網(wǎng)（802.11p）、WiFi、LTE/4G、5G、VHF、HF等多種通信手段的混合使用，也使得船舶系統(tǒng)暴露于網(wǎng)絡(luò)安全風(fēng)險的可能大大提升。

面向OT系統(tǒng)的隱患出現(xiàn)

國外文獻(xiàn)資料回顧的2011至2018年間航運(yùn)領(lǐng)域典型網(wǎng)絡(luò)安全事故表明，信息（IT）系統(tǒng)網(wǎng)絡(luò)安全侵害的主要類型包括“釣魚”、惡意軟件、身份欺詐、數(shù)據(jù)竊取等。這些與一般意義上的網(wǎng)絡(luò)犯罪看起來并無二致。但是，如果考慮電子化和信息化后的船舶操控系統(tǒng)（OT），對海上網(wǎng)絡(luò)安全風(fēng)險的考量就需要更加慎重了。雖然目前針對OT系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險的研究還較少，但也有理由假設(shè)，船舶和航運(yùn)網(wǎng)絡(luò)系統(tǒng)中仍存在著未知的安全隱患。

對網(wǎng)絡(luò)侵害的誘惑增加

對于傳統(tǒng)的現(xiàn)場（如海盜）攻擊事件而言，直接登船盜竊或破壞行為產(chǎn)生的影響通常是顯式和實(shí)時的，業(yè)界對于預(yù)防和應(yīng)對這類事件也有了數(shù)百年的經(jīng)驗(yàn)，風(fēng)險相對可控。相比之下，網(wǎng)絡(luò)攻擊則要隱秘得多，不僅難以循跡且持續(xù)時間難以估量，損失往往也更加慘重。有研究認(rèn)為，對于攻擊的實(shí)施者來說，船舶的自主化程度越高（人工干預(yù)程度越低），就越容易發(fā)現(xiàn)并利用漏洞。這也不難理解。船上人員的安全意識有助于網(wǎng)絡(luò)安全事件的應(yīng)對。無人駕駛船舶的成本節(jié)約效果已經(jīng)被觀察到，但對與其相關(guān)聯(lián)的網(wǎng)絡(luò)安全所致的潛在經(jīng)濟(jì)風(fēng)險卻還沒有成熟的評估方法。

對風(fēng)險的動態(tài)化評估

幸而，船舶和海事業(yè)界對物理風(fēng)險的充分理解對于應(yīng)對網(wǎng)絡(luò)風(fēng)險有著重要意義。業(yè)界也已經(jīng)積極開展了對網(wǎng)絡(luò)安全風(fēng)險評估的研究，取得了一定的成果。但物理風(fēng)險評估與網(wǎng)絡(luò)安全要素的結(jié)合中，可能需要創(chuàng)新性的思維和方法。普利茅斯大學(xué)網(wǎng)絡(luò)安全研究團(tuán)隊(duì)在最新研究中提出，相比物理風(fēng)險，網(wǎng)絡(luò)安全領(lǐng)域可能會涉及更多的“動態(tài)風(fēng)險”，也提出了增強(qiáng)現(xiàn)有的風(fēng)險評估框架（如NIST、FMEA和MaCRA），實(shí)現(xiàn)動態(tài)和靜態(tài)風(fēng)險評估結(jié)合的設(shè)想。這在未來可能成為航運(yùn)網(wǎng)絡(luò)風(fēng)險評估研究的一個分支。對于日益嚴(yán)峻的安全挑戰(zhàn)，船舶和航運(yùn)行業(yè)的應(yīng)對總體是樂觀的。從技術(shù)上，來自其他領(lǐng)域，特別是工業(yè)控制系統(tǒng)和其他行業(yè)的解決方案可以在航運(yùn)行業(yè)得以應(yīng)用。但是值得思考的是，當(dāng)ICT已經(jīng)成為了行業(yè)基礎(chǔ)設(shè)施，行業(yè)中的特異性應(yīng)受到更多的關(guān)注。從行業(yè)實(shí)踐上，IMO、各大船級社和標(biāo)準(zhǔn)化組織也在積極行動，推出了眾多指南和標(biāo)準(zhǔn)，呈現(xiàn)出百家爭鳴的態(tài)勢。這對于行業(yè)信息化、智能化的演進(jìn)大有裨益。長遠(yuǎn)看，整個船舶和航運(yùn)業(yè)會形成自有的網(wǎng)絡(luò)安全管理體系，對技術(shù)（軟硬件）、管理和人為因素等要素實(shí)現(xiàn)合理覆蓋。百家爭鳴過后的群策群力同樣值得期待。

注：本文研究內(nèi)容受國家重點(diǎn)研發(fā)計(jì)劃課題2017YFF0208902資助