中船郵輪科技發(fā)展有限公司 李 凱 林 麟 董良志

2020年4月10日，世界第二大集裝箱航運公司地中海航運MSC于日內(nèi)瓦的總部數(shù)據(jù)中心遭遇黑客惡意軟件攻擊。2020年5月19日，世界最大的船舶管理公司之一中英船管Anglo-Eastern官方網(wǎng)站被發(fā)現(xiàn)不能打開。后經(jīng)確認，這家管理著600多艘船舶的世界級航運公司遭到了勒索軟件的攻擊，但好在事態(tài)很快就被控制，并沒有發(fā)生數(shù)據(jù)丟失。

網(wǎng)絡威脅正把目標從陸地轉(zhuǎn)向海洋，從IT系統(tǒng)轉(zhuǎn)向OT系統(tǒng)。對于航運業(yè)，尤其是郵輪行業(yè)，新型網(wǎng)絡病毒的防御已經(jīng)成為迫切的需求，網(wǎng)絡威脅的應對已迫在眉睫。

網(wǎng)絡威脅特點

伴隨著科技的進步，網(wǎng)絡威脅也呈現(xiàn)出新的特點，不僅新的惡意軟件和厲害的黑客不斷增加，威脅的主體也從傳統(tǒng)信息技術系統(tǒng)延伸到操作技術系統(tǒng)，生產(chǎn)環(huán)境和關鍵基礎設施也成為了網(wǎng)絡攻擊的目標。信息技術系統(tǒng)和操作技術系統(tǒng)從系統(tǒng)運行的環(huán)境、要求和面對的風險都存在巨大的差異（如下表），也要求技術人員提供更有針對性的安全解決方案。

操作技術系統(tǒng)包含直接監(jiān)視，控制物理設備及進程的硬件和軟件。IT涵蓋了信息處理的技術范圍，包括軟件、硬件和通信技術等。傳統(tǒng)上，操作技術系統(tǒng)和信息技術系統(tǒng)是分離的，但隨著互聯(lián)網(wǎng)的出現(xiàn)，操作技術系統(tǒng)和信息技術系統(tǒng)的界限已經(jīng)變的越來越模糊。

郵輪面臨的網(wǎng)絡威脅

郵輪面臨的網(wǎng)絡安全風險，不僅涉及到信息技術系統(tǒng)，還涉及到操作技術系統(tǒng)，這也給郵輪的網(wǎng)絡安全服務帶來了一定的挑戰(zhàn)。

綜合橋樓系統(tǒng)。隨著數(shù)字化和網(wǎng)絡化導航系統(tǒng)的使用日益增多，以及用于系統(tǒng)服務和更新的船岸間網(wǎng)絡接口的增加，該系統(tǒng)受到網(wǎng)絡攻擊的危險性也隨之增加。沒有連接到網(wǎng)絡的橋樓系統(tǒng)也面臨著同樣的威脅，因為移動介質(zhì)（U盤、光盤、移動硬盤等）常被用來從其他受控或非受控網(wǎng)絡更新系統(tǒng)。網(wǎng)絡威脅可以通過影響服務的操作，進而影響與橋樓系統(tǒng)相關的系統(tǒng)和設備，包括ECDIS、GNSS、AIS、VDR和ARPA等。

通信導航系統(tǒng)。郵輪的通信導航系統(tǒng)包含大量的電子設備，例如GPS、測深儀、電子海圖和雷達等，這些設備終端提供的數(shù)據(jù)為郵輪的安全航行提供支持，保證了郵輪的安全航行。攻擊者可以通過篡改相關的數(shù)據(jù)，直接影響郵輪航線的制定，造成碰撞和擱淺等風險。

機艙監(jiān)控、推進控制和電站管理等系統(tǒng)。使用數(shù)字化系統(tǒng)來監(jiān)測和控制郵輪設備、推進和操舵等功能，使得這些系統(tǒng)也容易受到網(wǎng)絡攻擊。當這些系統(tǒng)具有遠程監(jiān)控的功能或與通信導航系統(tǒng)相連接，那么這更增加了系統(tǒng)遭受網(wǎng)絡攻擊的危險。

門禁控制系統(tǒng)。數(shù)字化的門禁系統(tǒng)在郵輪上的應用越來越廣泛，用于管理乘客房間訪問，以確保郵輪上乘客人身和財產(chǎn)安全。該系統(tǒng)被連接到安全管理平臺，也增加了遭受網(wǎng)絡攻擊的危險。

酒店管理系統(tǒng)。郵輪的酒店管理系統(tǒng)，具有酒店管理、乘客消費、乘客登離船控制等功能，儲存了乘客的姓名、年齡、護照、銀行卡等大量的私人信息。為了滿足財務管理的需要，該系統(tǒng)一般被連接到岸上網(wǎng)絡，這就給網(wǎng)絡襲擊提供了可能。同時，智能終端設備(平板電腦、手持掃描儀等)也可以作為一個攻擊途徑，具有遭受網(wǎng)絡襲擊的潛在威脅。

乘客網(wǎng)絡通信系統(tǒng)。郵輪上為了提高乘客的娛樂體驗，布置了網(wǎng)絡通信系統(tǒng)，乘客不僅可以使用電子設備通過內(nèi)部局域網(wǎng)相互交流，也可以連接到外部通信網(wǎng)絡，這都增加了郵輪的安全隱患。在郵輪上安裝的連接到互聯(lián)網(wǎng)的固定或無線網(wǎng)絡，應該被認為是不受控制的，并且不應該與郵輪上的任何安全關鍵系統(tǒng)相連接。

郵輪上配備了大量的計算機，分別布置在駕駛室、集控室、會議室、酒店前臺等區(qū)域，用于郵輪的日常管理，更新ISM體系文件，船岸間的溝通，記錄和更新PMS信息，存儲乘客信息，存儲郵輪營銷數(shù)據(jù)等。在遭遇網(wǎng)絡威脅后，這些數(shù)據(jù)都有被竊取、篡改和刪除的風險。不法分子以此進行敲詐勒索，出售郵輪公司運營數(shù)據(jù)等商業(yè)機密，不僅給郵輪公司的運營帶來潛在的風險，并且給乘客的個人信息泄露帶來隱患。

郵輪的自動化程度越來越高，涉及到郵輪上設備的監(jiān)測、控制和保護等各方面的功能，并控制著郵輪的安全操縱和安全航行。在遭受網(wǎng)絡襲擊后，攻擊者可以偽造數(shù)據(jù)信息，給設備提供錯誤的信號，進而影響郵輪的正常航行，甚至造成設備損壞和人員傷亡。

隨著大量新技術在郵輪上應用，包括智能艙室、遠程遙控和遠程診斷等技術在郵輪上推廣，攻擊者將會更容易通過網(wǎng)絡漏洞，直接影響到郵輪的安全航行和乘客的生命安全。

保護措施

郵輪的安全解決方案需要考慮到它所面對的特殊風險，在物理保護、實時監(jiān)控和人員培訓等多方面采取應對措施。

1、物理保護

郵輪的網(wǎng)絡安全依賴于郵輪IT和OT系統(tǒng)的設計和配備，網(wǎng)絡接口和物理網(wǎng)絡的控制是網(wǎng)絡安全管理的核心，在郵輪的建造階段就需要合理的考慮郵輪網(wǎng)絡的布置和控制措施，并通過合理的布置，降低網(wǎng)絡威脅發(fā)生的等級。

1） 物理鋪設

郵輪網(wǎng)絡建造應該仔細考慮網(wǎng)絡的物理布局，尤其是要考慮基本網(wǎng)絡設備的物理位置，包括服務器、交換機、防火墻和電纜等。這將有助于限制不安全的訪問和維護網(wǎng)絡的物理安全，控制網(wǎng)絡的接入點。

2） 網(wǎng)絡管理

任何網(wǎng)絡設計都需要考慮管理網(wǎng)絡內(nèi)的基礎設施，在向網(wǎng)絡提供文件共享、電子郵件和其它服務的專用工作站和服務器上安裝網(wǎng)絡管理軟件。

3） 網(wǎng)絡隔離

通常情況下，船上的網(wǎng)絡應該具有以下功能：

·OT設備之間的必要溝通

·OT設備的配置和監(jiān)控

·實現(xiàn)船上行政管理和商業(yè)目標，包括電子郵件、共享與業(yè)務相關的文件或文件夾(IT網(wǎng)絡)

·為船上的船員、乘客和訪客提供娛樂互聯(lián)網(wǎng)接入

有效的網(wǎng)絡隔離是“縱深防御”的關鍵環(huán)節(jié)，OT、IT、辦公網(wǎng)絡及公共網(wǎng)絡應以適當?shù)谋Ｗo措施隔離。采用的措施可包括：

·船上網(wǎng)絡和互聯(lián)網(wǎng)之間設置外圍防火墻

·每個網(wǎng)段間設置網(wǎng)絡交換機

·每個網(wǎng)段間設置內(nèi)部防火墻

·建立虛擬局域網(wǎng)管理分割的域

4） 設備選擇

為了實現(xiàn)最高級別的安全，每個網(wǎng)絡可以使用不同的硬件交換機。這將減少攻擊者因錯誤配置或獲取交換機配置而在網(wǎng)絡間跳轉(zhuǎn)的機會。

2、實時監(jiān)控

了解網(wǎng)絡的狀態(tài)，監(jiān)控和管理郵輪的IT和OT系統(tǒng)，檢測任何未經(jīng)授權的數(shù)據(jù)流量，可以在網(wǎng)絡襲擊的前期就發(fā)現(xiàn)相關的線索。

網(wǎng)絡入侵檢測系統(tǒng)(IDS)或入侵保護系統(tǒng)(IPS)可以向系統(tǒng)管理員實時警告網(wǎng)絡系統(tǒng)受到的任何攻擊。IDS和IPS檢查數(shù)據(jù)流量、入口點或兩者同時檢查以識別已知威脅或拒絕不符合安全策略的流量。同時，可以在面向internet的部分放置傳感器，因為公共服務器是攻擊者的可見目標。另一個傳感器放置在防火墻后面，以監(jiān)視internet和內(nèi)部網(wǎng)絡之間的通信。

3、人員培訓

人為因素永遠是網(wǎng)絡安全重要的一環(huán)，人的行為可以保護IT和OT系統(tǒng)，但也可能因為粗心大意造成了惡意軟件的傳播，引發(fā)網(wǎng)絡安全事件。例如使用移動介質(zhì)在系統(tǒng)之間傳輸數(shù)據(jù)，而沒有采取預防措施。網(wǎng)絡安全相關人員包括：

·郵輪的船員，包括船長、輪機長等高級船員和普通船員

·岸基支持人員，為郵輪提供岸基管理和支持的人員

·其他人員，包括代理、船檢、碼頭工作人員和PSC等

應為網(wǎng)絡安全相關的人員進行網(wǎng)絡安全意識和基本技能的相關培訓，培訓應關注：

·與電子郵件相關的風險和安全的操作行為，例如釣魚攻擊就是用戶點擊一個危險鏈接，登錄惡意網(wǎng)站

·與互聯(lián)網(wǎng)使用相關的風險，包括社交媒體、聊天論壇和基于云的文件存儲。在這些地方，數(shù)據(jù)移動受到較少的控制和監(jiān)控

·與使用自有設備相關的風險，這些設備可能缺少安全補丁和控制，并且可能將風險轉(zhuǎn)移到它們所連接的環(huán)境中

·在硬件上使用受感染的存儲設備（移動硬盤等）安裝和維護軟件的相關風險

·與安全措施不到位的數(shù)據(jù)或軟件有關的風險，包括沒有進行病毒檢查或沒有真實性驗證

·保護用戶信息、密碼和數(shù)字證書

·與非船上操作人員有關的網(wǎng)絡風險，例如第三方技術人員在沒有監(jiān)督的情況下對設備進行操作

·發(fā)現(xiàn)可疑活動或設備，以及如何報告可能的網(wǎng)絡事件。例如通常不可見的奇怪連接，或者有人插入了船舶網(wǎng)絡上的未知設備

·意識到網(wǎng)絡事件對郵輪安全和操作的后果或影響

·了解如何實施預防性維護程序，如防病毒和防惡意軟件、補丁、備份以及事件響應計劃和測試

·在連接到船舶系統(tǒng)之前防止來自服務提供商可移動介質(zhì)的風險的程序

此外，相關人員應該知道計算機被入侵的跡象，包括系統(tǒng)響應速度變得遲鈍，意外的密碼更改，程序中出現(xiàn)的意外錯誤，郵件意外的被退回，頻繁的系統(tǒng)崩潰等。

代理、港口和碼頭工作人員等訪客在登船時應限制電腦的訪問。禁止未經(jīng)授權進入敏感的OT網(wǎng)絡電腦。如果需要并允許訪問者訪問某個網(wǎng)絡，則應該根據(jù)用戶權限加以限制。

4、程序制定

IMO決議MSC.428(98)將網(wǎng)絡威脅定義為特定威脅，要求公司應盡可能像處理可能影響船舶安全運行和環(huán)境保護的任何其它風險一樣處理網(wǎng)絡威脅。

網(wǎng)絡安全管理應成為船舶安全管理體系的內(nèi)在組成部分，制定相應的安全管理程序和應急反應程序，并應涉及到公司和船上的各級人員，包括岸上管理人員和各級船上人員。具體內(nèi)容包括：

·確定相關人員的責任和授權

·開展關于網(wǎng)絡安全培訓的程序

·識別突然故障可能導致危險情況發(fā)生的設備和系統(tǒng)

·風險評估程序，對可能引發(fā)事故的操作開展風險評估，并采取措施，把風險控制在公司可以接受的范圍內(nèi)

·識別影響郵輪、人員和環(huán)境安全的關鍵操作

·制定應急計劃，當郵輪因網(wǎng)絡事件而受損時，迅速采取措施，恢復郵輪操作和服務的程序

·對于郵輪上出現(xiàn)的影響網(wǎng)絡安全的事件的報告程序

·維護和提升郵輪網(wǎng)絡安全系統(tǒng)可靠性的程序，包括軟件維護

·維護和測試船舶設備和系統(tǒng)的備份安排的程序

5、風險評估

雖然風險評估主要關注物理世界，但是物理世界和數(shù)字世界現(xiàn)在是交織在一起的。公司需要評估郵輪上運行IT和OT系統(tǒng)產(chǎn)生的風險，并通過ISM規(guī)則和SMS體系建立基于風險評估的保護措施，以防范網(wǎng)絡安全事件的發(fā)生。公司網(wǎng)絡風險管理計劃和程序應考慮到ISM規(guī)范和ISPS規(guī)范中現(xiàn)有的安全風險管理要求。

每個郵輪公司都具有自己特點，包括它的營業(yè)額、船隊情況、市場占有率、目標旅客群體、不同的旅游產(chǎn)品和定位等，這些特點決定了每個郵輪公司所能承受的風險等級，以及為降低風險等級所采取措施的花費都不盡相同。這就要求郵輪公司根據(jù)自己的特點制訂適合自己的風險評估策略。風險評估需要考慮到以下幾點：

·考慮對郵輪操作、安全和環(huán)境保護重要的系統(tǒng)

·確定負責制定網(wǎng)絡政策、程序和執(zhí)行監(jiān)控的人員

·考慮哪些遠程訪問使用多重防御層，哪些網(wǎng)絡應該從互聯(lián)網(wǎng)斷開

·考慮需要培訓的人員

網(wǎng)絡威脅的危害需要綜合考慮機密性、完整性和可靠性因素，這些因素的相對重要性取決于信息或數(shù)據(jù)的使用情況。例如，評估與商業(yè)操作相關的IT系統(tǒng)的漏洞可能關注機密性和完整性，而不是可靠性。相反，評估船上OT系統(tǒng)的脆弱性，特別是關鍵安全系統(tǒng)，可能關注可靠性和完整性，而不是機密性。

6、系統(tǒng)恢復

系統(tǒng)恢復能力是指從安全副本恢復系統(tǒng)或數(shù)據(jù)的能力，從而允許恢復干凈的系統(tǒng)。郵輪建造期間，應給必要的信息和軟件提供足夠的備份安排，以幫助確保網(wǎng)絡事故后的恢復。

應確定保留期和恢復場景，以確定哪些關鍵系統(tǒng)需要快速恢復功能以減少影響，具有高數(shù)據(jù)可用性要求的系統(tǒng)應該具有彈性。OT系統(tǒng)對郵輪的安全航行和操作至關重要，它應該有后備系統(tǒng)，使郵輪在網(wǎng)絡襲擊后能夠快速、安全地恢復航行和操作能力。

郵輪的網(wǎng)絡安全解決方案需要綜合考慮乘客的娛樂需求、網(wǎng)絡的安全需求、郵輪的運營需求三方面因素，在保證網(wǎng)絡安全的前提下，又不會影響到乘客的網(wǎng)絡娛樂體驗和郵輪的運營管理。這就要求把物理保護、實時監(jiān)控、程序制定、人員培訓、風險評估和系統(tǒng)恢復幾大措施積極融入到事前預防、事中應對和事后恢復三個環(huán)節(jié)，在郵輪網(wǎng)絡襲擊前構筑三道防線，做到把發(fā)生網(wǎng)絡襲擊的可能性降到最低，網(wǎng)絡襲擊發(fā)生后的損失降到最低，給乘客一個安全放心的假期。