莊濤,蘇錦川,李軍,代左信,荊陽,趙永波

(招商局金陵船舶(威海)有限公司,山東 威海 264200)

為了抵御船舶網(wǎng)絡(luò)安全所引發(fā)的隱患,2017年6月,國際海事組織(IMO)海上安全委員會(huì)第98屆會(huì)議(MSC 98)批準(zhǔn)MSF-FAL.1聯(lián)合通函Circ.3“海上網(wǎng)絡(luò)風(fēng)險(xiǎn)管理指南”。同時(shí)還通過了《有關(guān)安全管理體系的海上網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的MSC.428(98)號(hào)決議》,各國船級(jí)社陸續(xù)推出相應(yīng)的規(guī)范要求。網(wǎng)絡(luò)攻擊包括黑客主動(dòng)攻擊、無意間的病毒感染等,一般為訪問控制技術(shù),例如,非通用物理接口或者密碼限制和空間限制。另一種利用防火墻技術(shù),主要通過數(shù)據(jù)過濾技術(shù)驗(yàn)證數(shù)據(jù)有效性。對無法避免階段性升級(jí)的設(shè)備還需要使用防病毒軟件,主要以被動(dòng)防御為主。作為船舶設(shè)備的網(wǎng)絡(luò)安全,如何簡單有效利用各個(gè)手段完成不同廠家、不同設(shè)備的網(wǎng)絡(luò)安全對接,完成全船設(shè)備無安全漏洞的網(wǎng)絡(luò)集成,是當(dāng)前船舶設(shè)計(jì)類關(guān)鍵技術(shù)。

DNV規(guī)范對網(wǎng)絡(luò)安全共劃分3個(gè)層級(jí):基礎(chǔ)級(jí)Basic、加強(qiáng)級(jí)Advanced和增強(qiáng)級(jí)+。Basic主要用于已營運(yùn)船舶,Advanced用于新造船的全過程,對資產(chǎn)所有者和營運(yùn)方、系統(tǒng)集成者(如船廠)及設(shè)備制造商都有相應(yīng)的要求。Basic 和Advanced 涵蓋了大量關(guān)鍵系統(tǒng),包括推進(jìn)、操舵、導(dǎo)航和發(fā)電。增強(qiáng)級(jí)+用于除了Basic/Advanced默認(rèn)范圍之外的系統(tǒng),可為船東和營運(yùn)方提供更大的靈活性,以識(shí)別威脅,評(píng)估和保障對其營運(yùn)具有特殊意義的額外系統(tǒng)。

針對配備網(wǎng)絡(luò)安全船級(jí)符號(hào)的船舶,整體設(shè)計(jì)流程分為設(shè)備范圍定義、設(shè)備系統(tǒng)分析、網(wǎng)絡(luò)安全設(shè)計(jì)要求、設(shè)備圖紙審核及實(shí)船檢驗(yàn)等幾個(gè)關(guān)鍵流程。

1 網(wǎng)絡(luò)安全設(shè)備的確認(rèn)

根據(jù)國際海事組織的規(guī)定,對于適用于船舶設(shè)備進(jìn)行監(jiān)測 控制,如受到網(wǎng)絡(luò)事件影響,可能會(huì)對人員安全,船舶安全及環(huán)境安全造成影響的設(shè)備約15項(xiàng)。結(jié)合客滾船的特點(diǎn),進(jìn)一步細(xì)化對應(yīng)的網(wǎng)絡(luò)安全設(shè)備清單,見表1。

表1 網(wǎng)絡(luò)安全設(shè)備清單

不同船級(jí)社對安全設(shè)備的定義有不同的理解,因此具體的船舶要結(jié)合入級(jí)船舶規(guī)范的要求及船舶本身所配置的設(shè)備整理與項(xiàng)目對應(yīng)的滿足網(wǎng)絡(luò)安全的設(shè)備清單。

2 網(wǎng)絡(luò)安全系統(tǒng)分析

2.1 網(wǎng)絡(luò)安全設(shè)備接口調(diào)查

利用清單列出最終網(wǎng)絡(luò)安全設(shè)備后,在技術(shù)協(xié)議簽署前需要向各企業(yè)收集相關(guān)接口信息,根據(jù)表2和圖1判斷此設(shè)備是否歸屬網(wǎng)絡(luò)安全管控范疇。

圖1 網(wǎng)絡(luò)安全管控邏輯

表2 網(wǎng)絡(luò)安全管控對照表

除了Q2不考慮外,上述問題共計(jì)會(huì)產(chǎn)生以下4種不同的答案。

A.Q1是No;Q3是No。

B.Q1是Yes;Q3是No。

C.Q1是No;Q3是Yes。

D.Q1是Yes;Q3是Yes。

2.2 網(wǎng)絡(luò)安全設(shè)備分類

根據(jù)以上4種不同的答案,需要讓廠家提供不同的解決方式或方案。

1)當(dāng)答案選A時(shí),需要廠家提供電氣原理圖,以證明此設(shè)備不存在接口用于升級(jí)設(shè)備的軟件或者改變原來的工作模式。

2)當(dāng)答案選B和D時(shí),需要廠家提供網(wǎng)絡(luò)拓?fù)鋱D,該圖要包含系統(tǒng)內(nèi)部設(shè)備和系統(tǒng)對外部系統(tǒng)的所有的基于TCP/IP和串品的連接,以及系統(tǒng)內(nèi)外部防火墻的配置。

3)當(dāng)答案選C時(shí),廠家需要填寫網(wǎng)絡(luò)調(diào)查表,提供電氣原理圖并且明確采用何種方式才能將設(shè)備進(jìn)行維護(hù)更新。

4)對于能滿足Q4的設(shè)備是已經(jīng)通過船級(jí)社的檢驗(yàn),在圖紙階段不需要再提供任何關(guān)于網(wǎng)絡(luò)安全方面的文件。

5)對于滿足Q2的設(shè)備,需要技術(shù)人員認(rèn)真分析設(shè)備接口所布置的位置,考慮是否配置相關(guān)門禁系統(tǒng)。

2.3 網(wǎng)絡(luò)安全設(shè)備接口清單

當(dāng)所有設(shè)備接口調(diào)查完整后,需要整理好相關(guān)設(shè)備清單,清單應(yīng)詳細(xì)列出設(shè)備名稱、廠家名稱、接口類型;對于不適用網(wǎng)絡(luò)安全要求的設(shè)備也要列出對應(yīng)問題的答復(fù)清單。網(wǎng)絡(luò)設(shè)備清單是用于制定船舶網(wǎng)絡(luò)安全設(shè)備策略的重要基礎(chǔ),也是送審船級(jí)社所包含的重要內(nèi)容,需要廠家認(rèn)真答復(fù)相關(guān)問題。

3 網(wǎng)絡(luò)安全設(shè)計(jì)要求

網(wǎng)絡(luò)安全設(shè)計(jì)主要針對當(dāng)下的攻擊目標(biāo)和方式進(jìn)行的防御性設(shè)計(jì),其中網(wǎng)絡(luò)攻擊的目標(biāo)包括:系統(tǒng)資源,應(yīng)用程序,終端用戶和網(wǎng)絡(luò)設(shè)備。系統(tǒng)資源攻擊目標(biāo)將系統(tǒng)核心資源利用及重要信息作為攻擊目標(biāo),從而影響系統(tǒng)正常運(yùn)行。常見的攻擊方法有DOS攻擊,IP欺騙、IP掃描、中間人攻擊等。應(yīng)用程序攻擊目標(biāo)是攻擊應(yīng)用程序的軟件設(shè)計(jì)缺陷,以獲取系統(tǒng)控制權(quán)和信息的攻擊。常見的攻擊方法有代碼注入攻擊、SQL注入攻擊、路徑遍歷攻擊等。終端用戶攻擊是攻擊目標(biāo)指向終端用戶,以獲取用戶帳戶和密碼或者機(jī)密信息為目的。常見的攻擊方法有網(wǎng)絡(luò)釣魚攻擊及各種僵尸病毒攻擊。網(wǎng)絡(luò)設(shè)備攻擊目標(biāo)是攻擊網(wǎng)絡(luò)設(shè)備,以獲得網(wǎng)絡(luò)安全管理的控制權(quán)。常見的攻擊方法有ARP欺騙攻擊、DHCP劫持攻擊、DNS劫持攻擊等。

網(wǎng)絡(luò)黑客通過以上方法可能攻擊船舶、包含港內(nèi)信息系統(tǒng)和船上核心設(shè)備,因此對于船舶網(wǎng)絡(luò)的設(shè)計(jì)主要從物理層面、架構(gòu)層面和邊界防護(hù)進(jìn)行設(shè)計(jì)。這3個(gè)層面又可以展開為網(wǎng)絡(luò)風(fēng)險(xiǎn)的識(shí)別、保護(hù)、監(jiān)測、恢復(fù)、響應(yīng)等。

對于物理層面的設(shè)計(jì)主要考慮設(shè)備的物理處所、物理訪問以及設(shè)備安裝部署的設(shè)計(jì)要求。對船用涉及安全、推進(jìn)控制等主要設(shè)備的安裝應(yīng)有獨(dú)立于船舶主電源之外的備用電源供電,可以采用UPS且能持續(xù)供電30 min。物理訪問的限制主要為了避免網(wǎng)絡(luò)攻擊者直接接觸設(shè)備進(jìn)行網(wǎng)絡(luò)破壞。對終端或者服務(wù)器等設(shè)備可以采用帶有密碼鎖的房間內(nèi)或者控制柜內(nèi),防止網(wǎng)絡(luò)攻擊者直接接觸。一部分無法做到封閉處理且需要經(jīng)常操作的設(shè)備采用入口專人值守或者設(shè)置電子門禁的方式進(jìn)行授權(quán)訪問。

網(wǎng)絡(luò)架構(gòu)方面主要考慮系統(tǒng)的持續(xù)可用性,設(shè)計(jì)上可采用獨(dú)立單元、冗余組件、冗余通信網(wǎng)絡(luò)和物理分割等措施。如涉及安全和需要實(shí)時(shí)控制的推進(jìn)系統(tǒng)、貨控系統(tǒng)需要采用獨(dú)立的軟硬件設(shè)備,在物理層面上與其他數(shù)據(jù)網(wǎng)絡(luò)以及外部公共信息網(wǎng)絡(luò)進(jìn)行安全隔離。對有信息數(shù)據(jù)傳遞需求的設(shè)備,尤其是船舶以外的數(shù)據(jù)交換、業(yè)務(wù)訪問可以設(shè)置信息隔離區(qū),此隔離區(qū)獨(dú)立于船舶內(nèi)部任何1個(gè)網(wǎng)絡(luò),有信息需求時(shí)經(jīng)過授權(quán)方可訪問。數(shù)據(jù)交換離不開通信,在考慮網(wǎng)絡(luò)架構(gòu)安全的同時(shí)需要考慮通信安全。船舶系統(tǒng)設(shè)計(jì)的基本原則是單一設(shè)備的損害不能導(dǎo)致2個(gè)及2個(gè)以上的系統(tǒng)無法工作。對于通信設(shè)計(jì),要求相同。在進(jìn)行通信傳輸和接口的設(shè)計(jì)時(shí)應(yīng)考慮采用1個(gè)系統(tǒng)或者設(shè)備故障不能擴(kuò)展到另一個(gè)系統(tǒng)的阻斷設(shè)計(jì),如增加防火墻、過濾模塊,通訊前阻斷和篩選有害通訊在系統(tǒng)上保持相互獨(dú)立又互相連通。

邊界防護(hù)可以實(shí)現(xiàn)不同網(wǎng)絡(luò)區(qū)域的相互連接并對邊界進(jìn)行控制的設(shè)計(jì)策略。主要方式是通過代理、網(wǎng)關(guān)、路由器、防火墻、單向網(wǎng)關(guān)等措施。當(dāng)外部有與船舶通訊需求時(shí),就有可能通過無線、有線等形式傳播有害信息,邊界防火墻的作用就是阻止該情況的發(fā)生。并且涉及人身安全和船舶安全系統(tǒng)的通信需要設(shè)置2個(gè)邊界防火墻。如果攻擊正在進(jìn)行,除了被動(dòng)防御之外還應(yīng)有主動(dòng)防御的報(bào)警功能。

船舶網(wǎng)絡(luò)安全的設(shè)計(jì)還應(yīng)考慮設(shè)計(jì)安全性、系統(tǒng)的安裝和更新,進(jìn)行定期的安全檢查。有針對性地對船舶網(wǎng)絡(luò)的運(yùn)行模擬攻擊試驗(yàn),檢測系統(tǒng)防護(hù)和回應(yīng),及時(shí)更新,保持系統(tǒng)和設(shè)備處于最新狀態(tài)。

4 網(wǎng)絡(luò)安全圖紙審核

根據(jù)DNVGL第6部分第5章第21部分對網(wǎng)絡(luò)安全圖紙的要求,對于需要滿足網(wǎng)絡(luò)安全的設(shè)備根據(jù)不同的網(wǎng)絡(luò)安全的級(jí)別,將相關(guān)文件提交船級(jí)社審批。

4.1 網(wǎng)絡(luò)安全設(shè)備系統(tǒng)配置方案

設(shè)備配置清單應(yīng)詳細(xì)列出網(wǎng)絡(luò)硬件型號(hào)及版本、網(wǎng)絡(luò)接口形式、IP地址清單、防火墻及防火墻控制軟件版本、補(bǔ)丁等級(jí)和防病毒軟件。

4.2 網(wǎng)絡(luò)安全設(shè)備架構(gòu)圖

設(shè)備網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)圖可顯示所有系統(tǒng)的區(qū)域和類別以及范圍涵蓋的互聯(lián),框架圖紙應(yīng)包括邏輯和物理系統(tǒng)拓?fù)鋱D,包含設(shè)備名稱和標(biāo)識(shí)符、接入點(diǎn)(集成、無線及遠(yuǎn)程訪問),外部數(shù)據(jù)流列表、連接區(qū)域和防護(hù)設(shè)備(防火墻、路由器及相關(guān)VPN)。

4.3 網(wǎng)絡(luò)安全設(shè)計(jì)策略

網(wǎng)絡(luò)安全設(shè)計(jì)策略文件應(yīng)包含網(wǎng)絡(luò)系統(tǒng)的組成范圍以及互相連接信息,基本包括以下信息:系統(tǒng)或者域的網(wǎng)絡(luò)接口說明,接口安全配置文件及遠(yuǎn)程訪問接口配置。

4.4 網(wǎng)絡(luò)安全設(shè)備認(rèn)可圖

設(shè)備系統(tǒng)說明書應(yīng)提供供貨范圍、網(wǎng)絡(luò)安全配置圖、網(wǎng)絡(luò)安全事件的安全狀態(tài)說明、設(shè)備系統(tǒng)功能介紹、系統(tǒng)拓普圖、電氣原理圖和軟件更新手冊、設(shè)備系統(tǒng)原理圖中表示系統(tǒng)就地及遠(yuǎn)程控制原理圖、系統(tǒng)接口圖、外部船舶連接方式、電氣接線圖、設(shè)備布置圖以及系統(tǒng)控制軟件的操作、修改及維護(hù)說明書。

4.5 網(wǎng)絡(luò)安全測試大綱

此大綱將包含2套測試流程并且此測試方案應(yīng)包含所有需要滿足網(wǎng)絡(luò)安全的每1套設(shè)備。例如,設(shè)備操作站的系統(tǒng)組成、防火墻的設(shè)定,以及遠(yuǎn)程連接等。第一套流程應(yīng)詳細(xì)介紹單獨(dú)設(shè)備網(wǎng)絡(luò)設(shè)計(jì)原則。第二套流程是整體測試大綱,大綱應(yīng)介紹整套網(wǎng)絡(luò)組織框架及測試方法,包含設(shè)備初始狀態(tài)、如何執(zhí)行測試、測試檢驗(yàn)過程和驗(yàn)收標(biāo)準(zhǔn)。

5 網(wǎng)絡(luò)安全實(shí)船檢驗(yàn)

根據(jù)最終提交經(jīng)認(rèn)可的網(wǎng)絡(luò)安全測試大綱進(jìn)行網(wǎng)絡(luò)安全測試,測試前檢查產(chǎn)品資產(chǎn)清單、安全配置、網(wǎng)絡(luò)拓?fù)浼敖涌诘姆闲?特別是船舶網(wǎng)絡(luò)防火墻、路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備的安全配置,將設(shè)備的控制參數(shù)調(diào)整至正常狀態(tài)之后,模擬對設(shè)備控制系統(tǒng)進(jìn)行網(wǎng)絡(luò)接入,進(jìn)行安全漏洞掃描、滲透測試、壓力測試、負(fù)載測試、惡意軟件安裝等,以驗(yàn)證單個(gè)設(shè)備可以滿足對應(yīng)網(wǎng)絡(luò)安全等級(jí)的防護(hù)。網(wǎng)絡(luò)安全測試后需要對設(shè)備進(jìn)行正常操作以驗(yàn)證其系統(tǒng)控制沒有受到網(wǎng)絡(luò)攻擊的傷害。

當(dāng)單一設(shè)備完成網(wǎng)絡(luò)測試后需要船舶網(wǎng)絡(luò)進(jìn)行整體測試檢驗(yàn)。測試主要針對不同區(qū)域的網(wǎng)絡(luò)防火墻布局、遠(yuǎn)程訪問、網(wǎng)絡(luò)隔離及服務(wù)器攻擊進(jìn)行全面測試。測試工程師可以將測試電腦接入船舶網(wǎng)絡(luò)系統(tǒng),對網(wǎng)絡(luò)系統(tǒng)模擬發(fā)起負(fù)載測試和網(wǎng)絡(luò)風(fēng)暴,各網(wǎng)絡(luò)部件將承受大量數(shù)據(jù)的流通來驗(yàn)證數(shù)據(jù)過載承受能力,并查看系統(tǒng)是否能啟動(dòng)保護(hù)機(jī)制,同時(shí)也能夠發(fā)現(xiàn)整個(gè)系統(tǒng)的最薄弱的環(huán)節(jié),以備進(jìn)行系統(tǒng)升級(jí)。

6 結(jié)論

當(dāng)船舶入級(jí)申請中配有網(wǎng)絡(luò)安全船級(jí)符號(hào)時(shí),要圍繞著網(wǎng)絡(luò)安全的設(shè)計(jì)要求來推進(jìn)船舶設(shè)計(jì)。

1)根據(jù)船級(jí)符號(hào)的要求整理船舶所有網(wǎng)絡(luò)安全設(shè)備的清單,以保證所有的設(shè)備都要網(wǎng)絡(luò)安全框架內(nèi)。

2)從廠商技術(shù)談判之初來考慮網(wǎng)絡(luò)安全的相關(guān)技術(shù)要求,做好設(shè)備接口調(diào)查表以便整理網(wǎng)絡(luò)框架圖紙。

3)根據(jù)設(shè)備的不同屬性將其歸屬在不同的網(wǎng)絡(luò)框架內(nèi),不同的網(wǎng)絡(luò)系統(tǒng)應(yīng)增加隔離手段,例如防火墻等,最大限度保護(hù)自身網(wǎng)絡(luò)的安全。

4)完成所有網(wǎng)絡(luò)安全設(shè)計(jì)后,應(yīng)向船級(jí)社送審1套完整的網(wǎng)絡(luò)安全實(shí)驗(yàn)大綱送審,此大綱是網(wǎng)絡(luò)安全現(xiàn)場檢驗(yàn)的依據(jù)。