周毅,李萌,張海濤,夏華波,梁斌

(中海油能源發(fā)展股份有限公司 采油服務(wù)分公司，天津 300452)

隨著船舶信息化、智能化進(jìn)程的不斷發(fā)展，越來越多的控制系統(tǒng)、通信導(dǎo)航系統(tǒng)、信息管理系統(tǒng)及設(shè)備不斷接入船舶網(wǎng)絡(luò)并且逐漸轉(zhuǎn)變需與岸端信息交互。船舶越來越多的“在線”，使船舶遭受網(wǎng)絡(luò)威脅的隱患不斷加劇，船舶網(wǎng)絡(luò)安全重要性逐漸提升，各船級(jí)社相繼發(fā)布了船舶網(wǎng)絡(luò)安全相關(guān)指南[1]、規(guī)范等，對(duì)船舶信息安全保障體系設(shè)計(jì)、實(shí)現(xiàn)方法和運(yùn)維管理體系提出了相應(yīng)要求?；谥悄芑P(guān)鍵技術(shù)研究基礎(chǔ)，對(duì)某氣體船的貨物系統(tǒng)、動(dòng)力系統(tǒng)、通信導(dǎo)航系統(tǒng)等全船系統(tǒng)數(shù)據(jù)進(jìn)行采集、處理、存儲(chǔ)和交互，通過統(tǒng)一通信協(xié)議匯總傳輸?shù)酱说臄?shù)據(jù)集成平臺(tái)。通過升級(jí)船舶通信系統(tǒng)和建立岸基數(shù)據(jù)接收系統(tǒng)形成智能化船岸一體數(shù)據(jù)管理平臺(tái)，實(shí)現(xiàn)岸端的信息平臺(tái)與船端的信息平臺(tái)、船端的局域網(wǎng)系統(tǒng)的數(shù)據(jù)交互。

對(duì)某氣體船的數(shù)據(jù)分發(fā)管理系統(tǒng)(智能船舶集成平臺(tái)系統(tǒng))，從船基系統(tǒng)本體安全、終端安全、邊界安全、管理安全4個(gè)層次進(jìn)行設(shè)計(jì)。4個(gè)層次安全注重點(diǎn)的不同，安全加固方式也不同，船基系統(tǒng)本體安全應(yīng)注重權(quán)限驗(yàn)證等方面；終端安全應(yīng)注重各個(gè)局域網(wǎng)終端的漏洞、病毒、木馬防護(hù)[2]等方面；邊界安全應(yīng)加注重船岸傳輸?shù)陌踩?、保密性；管理安全?yīng)注重船員網(wǎng)絡(luò)安全意識(shí)。

1 系統(tǒng)本體安全

1.1 應(yīng)用認(rèn)證

數(shù)據(jù)分發(fā)管理系統(tǒng)通過設(shè)計(jì)安全管控模塊以保證用戶身份的合法性并保障系統(tǒng)的安全性。用戶必須提供有效的用戶賬號(hào)及密碼來登入系統(tǒng)，以防止非法使用，在此基礎(chǔ)上用戶管控模塊增加以下4個(gè)特性。

1)所有的用戶賬號(hào)均具有唯一性。

2)賬戶超時(shí)5 min后，系統(tǒng)自動(dòng)退出未活動(dòng)的賬戶。

3)密碼的復(fù)雜度必須符合系統(tǒng)要求(需包括大小寫字母、數(shù)字、特殊字符)。

4)單用戶只允許在一處工作站登陸。

基于增加的4個(gè)特性，可以防止簡(jiǎn)單的暴力破解行為，并且可防止船員因個(gè)人忘記退出操作界面導(dǎo)致他人誤操作所帶來的風(fēng)險(xiǎn)。

1.2 用戶權(quán)限

數(shù)據(jù)分發(fā)管理系統(tǒng)安全管控模塊除用戶認(rèn)證外，還包括用戶存取及各種用戶權(quán)限管理。用戶登入系統(tǒng)后，系統(tǒng)將執(zhí)行一系列的用戶權(quán)限控制包括讀取、操作等各種權(quán)限。系統(tǒng)管理員將船員劃分入不同用戶組中，不同用戶組擁有不同的操作權(quán)限，系統(tǒng)管理員擁有最高權(quán)限，如①菜單控制；②數(shù)據(jù)權(quán)限；③操作功能權(quán)限。

系統(tǒng)管理員可對(duì)系統(tǒng)操作員進(jìn)行權(quán)限分配。為防止系統(tǒng)管理員密碼長(zhǎng)時(shí)間使用，產(chǎn)生泄漏風(fēng)險(xiǎn)，系統(tǒng)每3個(gè)月要求系統(tǒng)管理員更改密碼。

1.3 訪問策略

船員訪問數(shù)據(jù)分發(fā)管理系統(tǒng)時(shí)將會(huì)被安全管控模塊及安全訪問策略所管控，見圖1。

圖1 數(shù)據(jù)分發(fā)管理系統(tǒng)安全訪問策略示意

只有安全訪問策略預(yù)設(shè)的智能工作站可以訪問數(shù)據(jù)分發(fā)管理系統(tǒng)頁(yè)面，其他工作站的訪問申請(qǐng)將會(huì)被系統(tǒng)拒絕。智能工作站登陸系統(tǒng)驗(yàn)證頁(yè)面成功后要輸入正確的用戶名、密碼后才可登陸到系統(tǒng)業(yè)務(wù)界面進(jìn)行操作或?yàn)g覽，當(dāng)多次驗(yàn)證失敗后，將會(huì)鎖定當(dāng)前工作站IP，并在一定時(shí)間內(nèi)屏蔽該IP地址的訪問請(qǐng)求。

2 系統(tǒng)終端安全

數(shù)據(jù)分發(fā)管理系統(tǒng)的終端安全防護(hù)通過部署船基防護(hù)管理平臺(tái)實(shí)現(xiàn)，囊括私有云安全控制中心和安全防護(hù)客戶端兩部分。見圖2。

圖2 數(shù)據(jù)分發(fā)管理系統(tǒng)終端安全防護(hù)示意

2.1 安全控制中心

船基防護(hù)平臺(tái)的終端安全防護(hù)的核心是安全控制中心，安全控制中心作為服務(wù)端部署于船基高性能服務(wù)器，其功能主要包括船舶終端安全管控和船舶終端安全事件收集告警兩大功能。

船基安全控制中心采用B/S架構(gòu)，船員可以通過智能工作站的瀏覽器訪問無(wú)需安裝客戶端，對(duì)安全防護(hù)平臺(tái)終端進(jìn)行管理和控制。船基安全控制中心主要包括組管理、策略制定與下發(fā)、全網(wǎng)終端健康監(jiān)控、全網(wǎng)一鍵殺毒、全網(wǎng)一鍵漏洞修復(fù)、終端網(wǎng)絡(luò)流量管理、全網(wǎng)終端軟件與硬件資產(chǎn)管理等。此外船基安全控制中心針對(duì)船基防護(hù)平臺(tái)還提供了基礎(chǔ)的運(yùn)維服務(wù)，如：云查殺服務(wù)、病毒/漏洞/服務(wù)端升級(jí)服務(wù)等。

船員可通過控制中心的安全事件收集來了解全網(wǎng)終端的告警信息及安全事件，通過報(bào)表分析船員可以掌握安全風(fēng)險(xiǎn)及全網(wǎng)威脅狀況。

安全控制中心的病毒庫(kù)、漏洞庫(kù)也會(huì)隨著新病毒、新漏洞的發(fā)現(xiàn)，通過云平臺(tái)可持續(xù)的提供更新服務(wù)，使船基的終端不會(huì)受到新病毒的侵害。

2.2 客戶端

安全防護(hù)客戶端可以無(wú)間斷地保護(hù)已被部署的終端或服務(wù)器上，由客戶端先向服務(wù)端發(fā)送木馬病毒、漏洞的查詢，再由客戶端執(zhí)行木馬病毒查殺、漏洞修復(fù)、安全防護(hù)等安全操作。并與船基安全控制中心通信，向船基控制中心提供管理所需的相關(guān)安全告警信息。整個(gè)岸基的網(wǎng)絡(luò)安全由DMZ區(qū)防火墻和船基防護(hù)管理平臺(tái)提供安全防護(hù)，一方面只允許船基數(shù)據(jù)通過防火墻進(jìn)入應(yīng)用服務(wù)中，另一方面提供終端病毒查殺和漏洞掃描。

3 系統(tǒng)邊界安全

數(shù)據(jù)分發(fā)管理系統(tǒng)通過部署防火墻[3]，并啟用國(guó)密功能、內(nèi)容安全組合、入侵防御、反病毒、云沙箱檢測(cè)等功能模塊及對(duì)船岸傳輸數(shù)據(jù)加密，實(shí)現(xiàn)系統(tǒng)邊界安全防護(hù)。如圖2所示，對(duì)于外部會(huì)話，包括未知會(huì)話，攻擊會(huì)話，數(shù)據(jù)傳輸會(huì)話，防火墻將進(jìn)行過濾。攻擊回話的過濾基于防火墻的入侵防御模塊、反病毒模塊分辨出訪問船基的會(huì)話是否為攻擊行為，如判定為攻擊行為則將其直接禁止訪問；數(shù)據(jù)傳輸會(huì)話的過濾包括：先基于源IP及目的IP判定數(shù)據(jù)是否來自于岸基數(shù)據(jù)中心或者發(fā)送至岸基數(shù)據(jù)心，再根據(jù)SSL加解密方式判斷數(shù)據(jù)是否被篡改，當(dāng)上述2條過濾規(guī)則均通過時(shí)，該數(shù)據(jù)傳輸會(huì)話才會(huì)被防火墻放行，進(jìn)入到船基局域網(wǎng)中。

為保證數(shù)據(jù)的隱私性，船基系統(tǒng)在進(jìn)行數(shù)據(jù)傳輸時(shí)采用內(nèi)容+傳輸信道雙重加密模式。在數(shù)據(jù)傳輸前，待傳輸數(shù)據(jù)經(jīng)過自定義數(shù)據(jù)序列化和壓縮算法壓縮的兩個(gè)過程，使得常規(guī)明文數(shù)據(jù)轉(zhuǎn)換為非常規(guī)明文。該處理手段能夠杜絕在非安全傳輸通道中通過非法手段對(duì)傳輸數(shù)據(jù)的有效解析[4]，保證僅有知曉既定解析規(guī)則的數(shù)據(jù)接收端能夠進(jìn)行有效反序列化和解壓縮；在數(shù)據(jù)傳輸中，通過SSL安全協(xié)議，保證TCP通訊的發(fā)送端和接收端間的完整性和私密性。發(fā)送端首先向接收端發(fā)出安全會(huì)話請(qǐng)求，并使用非對(duì)稱加密方式分發(fā)公鑰加密的對(duì)稱密鑰(會(huì)話密鑰)，接收端使用私鑰解密接收到的會(huì)話密鑰。至此，發(fā)送端和接收端便可通過對(duì)稱密鑰實(shí)現(xiàn)安全通訊。在傳輸過程中，即使非法攔截公鑰加密的會(huì)話密鑰也不能夠解密會(huì)話密鑰(因?yàn)榉菍?duì)稱加密的會(huì)話密鑰只有使用接收端的私鑰才能解密)，會(huì)話密鑰的私密性可保障兩端間數(shù)據(jù)的私密性。見圖3。

圖3 系統(tǒng)邊界安全防護(hù)原理示意

4 系統(tǒng)安全實(shí)施方法

4.1 網(wǎng)絡(luò)安全防護(hù)

通過合理的邊界安全部署及配置，將會(huì)話進(jìn)行過濾只放行可信任的會(huì)話并對(duì)可信任的會(huì)話進(jìn)行更進(jìn)一步的檢查。為避免誤將安全信息過濾，需對(duì)船岸通信不斷測(cè)試，壓縮可通信空間，平衡安全防護(hù)與船岸通信速率，保障只對(duì)攻擊會(huì)話進(jìn)行過濾。邊界防護(hù)可視為防護(hù)的第一道關(guān)卡，可為終端防護(hù)降低算力需求，減少終端防護(hù)壓力。

終端安全防護(hù)需進(jìn)行黑白名單配置，安全盤及安全文件夾劃分，使特定區(qū)域的程序或文件為可信任文件，其他區(qū)域均需進(jìn)行安全盤查或不可信任。針對(duì)不可信任文件及程序一律視為病毒不可運(yùn)行，只有通過安全盤查的程序及文件才可運(yùn)行，并設(shè)置定期自動(dòng)全盤掃描，定期更新病毒庫(kù)等安全策略，使終端時(shí)刻處于安全可信任狀態(tài)。

4.2 訪問權(quán)限管控

智能系統(tǒng)無(wú)法跨越導(dǎo)航平臺(tái)直接訪問各子系統(tǒng)，統(tǒng)一導(dǎo)航平臺(tái)作為智能系統(tǒng)的人機(jī)交互部分，通過合理的權(quán)限分級(jí)設(shè)置，為不同級(jí)別船員提供不同的系統(tǒng)訪問賬號(hào)，涉及系統(tǒng)配置僅管理員可訪問，實(shí)現(xiàn)智能應(yīng)用分權(quán)限訪問。針對(duì)安全訪問權(quán)限管控，設(shè)置密碼復(fù)雜度策略無(wú)法設(shè)置簡(jiǎn)單密碼，并針對(duì)多次密碼輸入錯(cuò)誤進(jìn)行鎖賬戶設(shè)置，為針對(duì)密碼被他人記錄，設(shè)定定期修改密碼策略。

4.3 身份鑒別防護(hù)

統(tǒng)一導(dǎo)航平臺(tái)采用相應(yīng)身份鑒別手段，確保所有智能應(yīng)用僅能通過導(dǎo)航平臺(tái)訪問，不能通過其他方式訪問。防止有人為得到更高權(quán)限實(shí)施暴力密碼破解及偷記密碼等行為，采取相應(yīng)的策略管控措施。

4.4 數(shù)據(jù)保密性安全防護(hù)

針對(duì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)[5]，采用限制賬戶訪問、限制ip訪問、限制訪問權(quán)限、限制讀寫權(quán)限等方式確保數(shù)據(jù)安全性，針對(duì)數(shù)據(jù)安全性采用數(shù)據(jù)備份、采用備份路徑權(quán)限管控、采用備份數(shù)據(jù)加密、備份數(shù)據(jù)異地存儲(chǔ)等方式確保數(shù)據(jù)安全性，所有已落盤的數(shù)據(jù)均采用加密存儲(chǔ)，船岸傳輸?shù)臄?shù)據(jù)均采用對(duì)稱加密方式發(fā)送確保數(shù)據(jù)保密性的同時(shí)保證數(shù)據(jù)發(fā)送速率。

4.5 網(wǎng)絡(luò)安全檢查

在系統(tǒng)部署到該氣體船，在連接船舶各功能系統(tǒng)并成功采集到全船數(shù)據(jù)的同時(shí)，對(duì)處于實(shí)際運(yùn)行狀態(tài)的船載數(shù)據(jù)管理系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全檢查，核對(duì)每一個(gè)安全策略的到位和有效性，進(jìn)行必要的基礎(chǔ)模擬(如簡(jiǎn)單口令登陸嘗試等)。通過檢查確認(rèn)網(wǎng)絡(luò)安全措施的落實(shí)。

5 結(jié)論

船級(jí)社或相關(guān)船舶法規(guī)針對(duì)于智能化船舶的網(wǎng)絡(luò)安全的要求還處于發(fā)展階段，對(duì)特殊船舶并不適用，還無(wú)法實(shí)施網(wǎng)絡(luò)安全管理與網(wǎng)絡(luò)安全系統(tǒng)相適宜的結(jié)合。

某氣體船船岸一體數(shù)據(jù)管理系統(tǒng)的網(wǎng)絡(luò)安全技術(shù)在滿足船級(jí)社相關(guān)規(guī)范的基礎(chǔ)上分別采用本體安全、終端安全、邊界安全、管理安全4個(gè)維度來保障網(wǎng)絡(luò)空間安全；本體安全、終端安全、邊界安全的網(wǎng)絡(luò)安全策略使船舶網(wǎng)絡(luò)安全更加自動(dòng)化，降低了船員誤操作引發(fā)的網(wǎng)絡(luò)安全事故率，網(wǎng)絡(luò)安全管理與網(wǎng)絡(luò)安全系統(tǒng)結(jié)合相宜，使網(wǎng)絡(luò)安全的防護(hù)更加自動(dòng)化，更加簡(jiǎn)易。

未來船舶向智能化發(fā)展的趨勢(shì)越來越明顯，保障船舶網(wǎng)絡(luò)空間安全將等同于保障船舶安全。伴隨智能船舶的發(fā)展與普及，智能氣體船的船岸一體化的數(shù)據(jù)管理系統(tǒng)(集成平臺(tái)系統(tǒng))的網(wǎng)絡(luò)安全技術(shù)將成為航運(yùn)界的又一個(gè)標(biāo)桿性技術(shù)。