共筑航运网络安全的铁壁铜墙
2017-08-08
本刊记者 刘 萧
观 察 Observation
共筑航运网络安全的铁壁铜墙
本刊记者 刘 萧
层出的案例映射出航运业解决网络安全问题已刻不容缓。在未来,只有各方协力将网络安全防护技术、影响、影响网络安全的因素结合起来,采取可行性高的防护措施,建立健全防护体系,并增强单位内部人员的网络安全意识和技能,才能真正从源头上解决网络安全问题。
今年5月,WannaCry勒索病毒席卷全球,制造了堪称是“史上最大规模”的全球性网络攻击事件。据国外知名网络安全机构统计,仅5月12日一天,全球就有99个国家和地区发生了超7.5万起WannaCry勒索病毒攻击事件。由于赎金需要用比特币支付,勒索病毒在“发力”的同时更炒热了比特币,导致短短两周时间比特币的价格就飙涨了63%。对于某些比特币持有者而言,勒索病毒的蔓延无疑带来了一笔“飞来横财”。但对于古老的航运业而言,我们却需要冷静思考:面对病毒肆虐,网络安全该如何强身健体?
隐性风险 意识觉醒
据外媒报道:新加坡船东协会(SSA)总裁Esben Poulsson曾在2016年公开表示,目前超过90%的公司高管都说他们没有阅读网络安全报告,也没有做好处理网络攻击的准备。尽管这一说法的准确性与真实性难以考证,但其却从侧面反映出这样一个问题:航运公司对于网络安全的重视还待加强。
2011年,意大利某油船从阿拉伯湾启程前往地中海途中被海盗劫持。事后调查发现,该船从行程、货物、船员、地点到无武装警卫等信息无不都被海盗雇佣的技术人员提前获悉。而探究海盗“有的放矢”的源头则来自岸基的网络漏洞。2017年3月的RSA安全大会上,《Verizon数据外泄汇编报告》也向外界展示了海盗捆绑黑客利用网络技术抢劫某集装箱船舶的案例。令人震惊的是,一改往常的绑架索要赎金流程,涉事海盗在登船后迅速抢走了一个内装昂贵货物的集装箱,随后便扬长而去。海盗的背影无疑让业界对网络安全与精准抢劫有了新的认知与思考。显然,海盗与黑客组合可能达到“1+1>2”的效果。而且案例的出现也恰恰说明,航运业的网络安全风险无处不在。
而且就在记者截稿前,与WannaCry类似的勒索病毒卷土重来,发动了新一轮的全球性攻击,重创了全球诸多港口。据相关媒体报道,一位Reddit用户声称在纽约和新泽西州的APM码头系统崩溃,并显示需要比特币赎金。与此同时,业内媒体《JOC》的报道也证实了这点,《JOC》表示此次事件对APM码头公司影响较大,Maasvlakte II码头已关闭。此外,还有一些美国码头包括伊丽莎白港、新泽西港的码头在病毒爆发后的第二天仍然关闭。印度最大集装箱港口贾瓦哈拉尔尼赫鲁港(JNPT)也宣布,已成为全球新一轮勒索病毒攻击的目标,三分之一的码头运营受到干扰。一些港口在遭受攻击后只能试图使用人力清理到港集装箱,而这导致了港口运营能力的急速下降。据介绍,一些港口在受到病毒侵害后,运营能力仅能维持正常状态下的三分之一。不仅如此,由于装卸货的延误,也不免导致了大批集装箱的堆积,催生出港区拥堵现象。同时“糟糕”的状况不仅存在于港口方。港口“瘫痪”更倒逼一些航运公司的船舶只能挂靠第三方码头。
不可不说此次的网络事件让航运、港口方尝尽苦头,但伴随着“痛苦”也有一种改变在悄然发生。就在一年前,“网络安全”问题还被作为各公司的“禁忌”话题而被雪藏。当年Panda Security公司曾邀请数十个曾经遭受过网络攻击的油运公司协助处理,并且声明这些服务均是免费,但却没有一家公司愿意协助报告入侵事件。Panda Security相关专家认为:“究其原因,主要症结还是在于船公司担心自身IT安全网络漏洞会被外界认为其存在高风险点。此外,如果此问题无法根除,则更容易让人误解为船公司‘默许’客户机密信息泄露。”而如今,相比于一年前的“缄默”,现下航运业在应对网络安全问题上有了翻转式的认识与态度。此次病毒爆发后,我们看到了航运公司为解除客户顾虑,力图通过各种渠道“直播”问题解决进程的做法。如此透明的做法,不可不说是对网络安全风险最有力的宣战。而且伴随着未来成长,我们有理由相信业界有能力妥善处理好网络安全风险问题。
Safety& Security
安联全球企业及特殊风险有限公司(AGCS)曾在去年的年报中表示,网络攻击已经严重干扰到了现代化的船舶驾驶台系统安全和先进的船舶技术发展。不仅如此,报告的调研结果也流露出了外界对与船舶行业网络安全问题的高度关切。当然,这种关注也从侧面衍生出了如何做才能确保在航船舶网络安全这一议题。中国船级社(CCS)智能船舶工作组组长蔡玉良认为,船公司有必要正确理解并重视船舶网络安全中“Safety”与“Security”的两层含义。
至于如何理解中文同样被翻译成“安全”的两词,蔡玉良在采访中向记者作了细致说明:“Safety”一词意在通过技术有效维护营运船舶的网络安全。关于这一层面,也许有人会认为如果船上不与岸基沟通,其也就相当于一个“内网”。对于管控内网而言,只要管理得当,便较难出现网络安全问题。但实际情况却并非如此简单。目前,越来越多的新造船舶采用信息技术,将船舶轮机监控系统、航海驾驶智能化系统等纳入一个统一的网络系统,以实现船舶管控一体化。以综合桥楼系统为例,伴随高度集中化、系统化的综合桥楼系统为航运业带来方便,其对于网络安全的依赖性也越来越强。
谈到这里,记者不禁联想到了采访当中了解到的一个案例。据一位曾经参与过船舶能效监控项目的业内人士介绍,当下不少航运公司都在推进“大数据”时代下的数据积累与挖掘工作,而想要收集这些数据则需要在船舶计算机后方接口处添加能效监控硬件。“要知道船舶计算机后方接口连接了主机、GPS盒子与风速仪等设备。一旦病毒侵入,那么整艘船舶都将陷入危险之中。所以如何保证数据以及营运船舶的网络安全,这就需要在技术层面给予充分考虑。”他解释到:“为了防止不安全现象出现,我们特意加装了光电隔离的接口设备。其可将光信号与电信号进行相互转化。可以说光电隔离设备保证了众多船舶电器设备的不互相干扰,扫平了病毒所致的船舶安全风险。”尽管这一做法仅是“Safety”一词中的“沧海一粟”,但其理念与做法却值得业内借鉴。
相比于船舶网络安全中较为直观的“Safety”,“Security”的含义则偏重于概括安保、管理层面的相关内容。在采访中记者了解到,船舶靠港后往往存在多家配件供应商同时上船进行相关服务的现象。在此期间,相应的软件维护商也会上船对目标船舶的软件系统进行检测、维护、升级等工作。专家坦言:“如若缺乏相应的安保管理,那么此时就较易通过外界具备数据传输的船舶设备和系统途径使船舶计算机感染病毒。”并非空谈,因为就在今年BIMCO海事安全办公室主管Giles Noakes还曾针对此种“无意”的网络威胁谈到:虽然设计系统和不受保护的船载网络令人严重担忧,但通过USB传输恶意软件仍是目前最大的威胁之一。不仅如此,其还举例谈到:“比如说,一个船员在ECDIS系统连接USB给手机充电,从而感染病毒导致整个系统无法运行。这是个代价昂贵的错误。”
安全“落地”
采访中,CCS智能船舶工作组组长蔡玉良向记者介绍,CCS将网络安全研究作为重要课题,并提供解决方案,旨在降低船舶生命周期各阶段的网络风险。在国际上,CCS承担国际船级社协会(IACS)网络安全的重要议题研究工作,并积极推进网络安全要求在公约和规范体系中的落实。标准方面,CCS推出了《船舶网络要求及安全评估指南》,用以帮助船东和管理公司规范化船舶网络的体系建设,并提供量化评估办法;CCS建立了一支专业化程度高,集合了检验、审核、IT、风险分析等多领域人才的专家队伍,为业界提供网络安全的评估与咨询服务,目前已完成了示范船舶的评估及公司审核;科研方面,CCS针对安全标准、安全态势感知、威胁数据分析、针对性防御分析、漏洞扫描与渗透测试等网络安全中的关键技术问题开展了专项攻关与实验,为评估服务提供有力支撑;此外,CCS还将网络安全与智能船舶测评、验证等工作结合,与大连海事大学、中船工业系统工程研究院等单位开展深度合作,进行联合研究。
蔡玉良补充谈到:“国际安全管理规则(ISM Code)的核心是要求船东应该识别船舶可能存在的风险,并采取相应措施。鉴于目前业内已达成网络安全为高风险的共识,未来CCS将进一步推进将网络安全纳入到ISM Code的进程。另外,IMO第98届海上安全委员会通过并发布了《海上网络风险管理指南》,并在有关提高海事安全措施的决议中,鼓励各国政府确保不迟于2021年1月1日之后的首次DOC年度验证时,反映网络风险管理的相关内容,如加强人员培训、提高人员安全意识、规范访问管理等方面。合力之下,相信未来航运业来自网络安全层面的风险将会得到有效遏制。”
其实,近年来CCS针对网络安全威胁已经做了大量工作。如在2015年发布的《智能船舶规范》,从智能船舶从设计、建造到运营全生命周期,全方位诠释并解决网络安全问题与智能船舶的交集;不仅如此,在担任IACS主席期间,CCS牵头了网络系统委员会软件维护指南(software maintenance)的编写工作,同时参与网络体系结构(Network Architecture)、网络安全(Network Security)、远程更新/访问(Remote Update/ Access)指南的编写。这些成果被视为与业界一同重视并解决网络安全问题最实用的一记“组合拳”;近期,CCS发布了《船舶网络系统及安全评估指南》,通过对软件、硬件及风险三方面的指导意见,进一步针对网络状况及网络产品进行安全评估,协助航运业防范网络风险; CCS成立了船舶网络空间安全研究中心,在网络安全技术与管理体系方面展开研究,为航运企业提供系统的网络测试、评估及技术咨询服务。“众人拾柴才能火焰高”。针对网络安全威胁,航运企业本身也应从微观层面制定一套适合自身的、行之有效的管理流程,才能形成“双保险”保证网络安全“落地”。那么如何做才能充分发挥船舶计算机作用,保障船舶端信息化硬件、软件及网络设备的正常使用与安全呢?记者在采访中也总结了一些管理示例,供业内参考。
首先,建议船公司专门设置相关责任部门担负起制定船舶计算机网络配置规范与标准的职责。主要针对船舶计算机网络,按照各船实际条件分别以小型局域网或工作组成网,保持标准配置,减少不必要的干扰因素。针对船舶上的服务器、电子邮件通讯计算机、船长办公室计算机、轮机长办公室计算机、甲板部办公室计算机、轮机部办公室计算机等连入网络内的工作用计算机责任部门,都需提供IT技术支持,并负责船舶计算机及设备的日常购置更新工作。
其次,船长是船舶计算机安全管理的责任人。应担负起组织船员严格按照公司要求使用和管理船舶计算机硬件、软件、船舶信息系统和相关资料等责任。特别提示,船长应负责监督和检查船舶电脑的使用状况,未经船长同意,任何人不得随意更改硬件设备位置及用途。除此以外,船员应按照授予的权限使用船舶信息系统,并严格管理用户帐号和密码,防止计算机泄密。船舶二副应负责保管公司以文件、电子邮件等下发的船舶信息系统、应用软件的重要操作说明、安装资料,计算机跟机配备的技术资料等。这其中包括使用说明、操作指南、安装/恢复光碟、设备驱动程序、软件使用权证等,须将有关资料分类登记做好清单、标记并以独立的文件盒保管,放置在备件柜。当船舶信息系统、应用软件的操作说明或安装光碟升级改版时,由二副负责把保管的资料与光碟及时更新,确保电报室始终保留一份完整的、更新及时的资料。
最后,公司登轮检查人员应利用上船检查机会,对船舶计算机管理执行检查,行政人事部提供必要的技术支持。检查范围包括船舶计算机软件安装情况,信息系统和计算机的资料保管情况、防病毒软件安装更新情况以及信息系统的使用情况等,检查结果分别提交公司机务部主管领导审阅,由机务部向公司行政人事部报备。
随着船舶智能化的发展,其安全性和可靠性变得更加重要,网络安全管理也变得越来越复杂。在发展过程中,业界必须正视智能化快速发展中出现的问题,要在问题的发现与改善中不断取得更为良性的发展,发挥其最大作用。未来,只有把网络安全防护技术、影响网络安全的因素结合起来,采取可行性高的防护措施,建立健全防护体系,增强单位内部人员的网络安全意识和技能,才能真正从源头上解决网络安全问题。