王 洋

一、背景

美国海岸警卫队（USCG）于2020年10月27日发布了《船舶网络风险管理工作须知》，明确了自2021年1月1日起，在港口国监督（PSC） 检查中关注网络风险管理问题。该须知强调：港口国监督官员（PSCO）在检查中若发现网络风险管理未被纳入SMS或虽被纳入但却严重违反体系文件规定，则可开出代码为30的缺陷并滞留船舶。中国船级社（CCS）也于2020年发布技术通告——《（2020年）技术通告第68号总第502 号》，要求各公司高度重视国际海事组织MSC.428（98）号决议的落实工作，尽快将网络风险管理的内容纳入公司安全管理体系，并监督其在公司和船舶得到有效实施。

事实上，网络安全威胁已成为航运公司面临的关键风险点。据公开报道，2017年6月，航运巨头马士基因受到勒索病毒攻击，损失了2亿~3亿美元。2017年6月，国际海事组织在MSC96届大会上通过并发布了《海事网络风险管理暂行指南》（MSC.1/Circ.1526通函），提出了对网络风险的应对措施。同年7月，CCS发布《船舶网络系统要求及安全评估指南》，进一步规范了船舶网络建设工作，并对船舶网络安全实施了有效评估；2019年又发布了《海事网络风险评估与管理体系指南》（已于2020年2月1日生效）。IACS、BIMCO等组织也先后发布了相关指南。随着USCG本次通知的发布，将网络风险管理纳入PSC检查内容终于正式落地。相信在一段时间内，各国均会跟进此项工作。

根据CCS的《海事网络风险评估与管理体系指南》，建立海事网络安全体系分为三个阶段，分别为风险评估、体系建立和体系运行，如表1所示。风险评估依赖于基于海事网络调研的风险识别，识别网络中的风险点，有针对性地做出相应的改进措施并将其制度化，是体系建立的必由之路。

表1 网络安全体系建立的三个阶段

二、中远海运散货运输有限公司船舶网络安全现状

中远海运散货运输有限公司（中远海运散运）船舶局域网建设得较早，但在设计之初并未充分考虑网络安全问题，没有按功能将网络划分为不同的、相互隔离的安全区域，也缺乏有效的防护手段，无法满足新规范的各项要求。典型的船舶局域网拓扑如图1所示。

图1 典型船舶局域网拓扑图

对照CCS 2020版的《船舶网络系统要求及安全评估指南》，中远海运散运主要存在以下船舶网络安全风险：

1.网络未实现隔离

生产网络（驾驶台的关键IT系统）与办公网络（工作IT网络）未做隔离，船员的娱乐网络与生产网络、办公网络未做隔离。生产网络包括航标系统、能效系统（部分船舶有）、CCTV系统、通信报文系统等，办公网络包括干部船员办公笔记本、打印机等，娱乐网络包括船员个人电脑及智能手机等。

由于历史原因，船舶的生产网络、办公网络并未做严格区分，建设之初就堆砌在一起。而随着VSAT（一种基于通信卫星传输的网络宽带）技术的不断发展和应用，船员的个人电脑和智能手机也逐步接入船舶的娱乐网络。这就对船舶的网络安全发起了更大的挑战。

各种网络设备混杂在一起、缺乏有效隔离的一个突出风险就是从网络内的任意一点均可对全网发起（无论是主动发起还是被动发起）黑客或病毒攻击。

2.网络未实施有效防护

不论是在各个网络的边界还是在网内的电脑、服务器，均缺乏有效的防护手段。绝大多数船舶的局域网仅部署了简单的带有防火墙功能的路由器，且是防火墙的默认功能，并未针对性地启用白名单功能——只对安全的网络流量放行。由于防火墙仅能防护泛洪攻击（一种在短时间内向目标设备发送大量的虚假报文导致目标设备忙于应付无用报文而无法为用户提供正常服务的攻击方式）等少数攻击，对病毒、黑客入侵等高级攻击无法防护。也就是说，各船舶的局域网相当于直接不设防地暴露在互联网上。而对于船上的服务器、电脑来说，虽然普遍安装了杀毒软件，但是由于无法及时升级病毒库、移动U盘未经查杀就插入使用等原因，时常感染病毒，甚至是反复感染，导致不同种类的病毒并存。笔者就曾经在工作中发现，某轮轮机长的办公电脑上感染了多种病毒（总计700余个），可执行文件（exe文件）无一幸免，全部中毒。该电脑虽然安装了杀毒软件，但是由于病毒库未及时更新，杀毒软件形同虚设。

由于船上轮班工作的特点，船上的业务系统、办公电脑大部分使用通用密码、固定密码、简单密码，从而导致其安全性极低。

3.网络未采用冗余架构

不论是网络线路还是网内设备，基本都是单线、单机工作，没有备份机制，也没有容灾机制。目前，中远海运散运船舶大部分都安装了VSAT、FBB（部分船舶是1套，部分船舶有2套）和铱星线路。表面上看有多条通信链路，但是由于各套系统均为独立线路，因此在日常使用过程中依赖于船员自行根据信号情况决定使用某条线路并手动切换。由于船员并不具备准确判断线路质量的能力，导致了在某些情况下虽然有便宜的线路可用，却仍旧使用了费用昂贵的线路。

船舶局域网内的服务器、电脑基本上都是单机、单硬盘工作，没有任何备份，一旦损坏，就只能待靠港后更换或者维修。若是硬盘故障，其中存储的数据将彻底丢失。总体来看数据的安全性非常脆弱。

从上述几点可以看出，目前中远海运散运多数船舶的局域网处于高风险状态。

三、提高船舶网络安全管理水平的措施

CCS《海事网络风险评估与管理体系指南》明确指出，安全措施主要包括技术型措施和程序型措施。技术型措施主要通过技术改造、加装安全设备和软件等方式提升网络安全性，程序型措施主要是通过培训、宣贯以及设置恰当的权限等方式避免网络风险。

从2019年起，中远海运散运根据CCS 2019版《海事网络风险评估与管理体系指南》和2020版《船舶网络系统要求及安全评估指南》进行了大量的探索，并最终选定了A轮、B轮进行试验改造。2019版《海事网络风险评估与管理体系指南》主要是从风险识别、体系建立、体系运行三个环节将海事网络风险管理纳入SMS内进行指导，对船舶网络系统从硬件到技术提出了一定的要求；2020版《船舶网络系统要求及安全评估指南》则在技术层面上对于前述要求进行指导。在A轮、B轮的试验改造中，主要依据的是2020版《船舶网络系统要求及安全评估指南》。

1.改造前船舶的网络拓扑

A轮、B轮均为典型的建设得较早的传统局域网，即航标系统、能效系统、CCTV系统、通信电脑、船长办公电脑、轮机长办公电脑、政委办公电脑、大副办公电脑等均混杂在同一个局域网内；两轮均加装了VSAT、FBB、铱星三种通信线路，并在生活区各层加装了Wi-Fi天线，船员个人电脑和智能手机可以通过分配的VSAT账号和VSAT访问互联网，另有配载仪电脑、海图笔记本不联网使用。其改造前的拓扑图如图2所示。

从图中可以看出，改造前，生产网络（航标系统、能效系统、CCTV系统、通信电脑）与办公网络（各办公电脑）直接混杂在同一个网络内，而船员的娱乐网络（个人电脑和智能手机）虽然与生产网络、办公网络并未直接处于同一网络内，但是通过VSAT交换机互联，边界处却未做隔离与防护，而全网的边界处也没有任何反入侵、反病毒防护措施。这在仅有FBB和铱星线路、船岸主要通过邮件通信的时代，并无不妥。但随着VSAT的普及，船舶局域网带宽越来越大，在线时间越来越长，日趋接近于公司小型分支机构的网络已明显不合时宜；同时，局域网内的生产系统均为单机工作状态——航标系统为普通商用台式机，能效系统虽然是工控服务器却不具备数据备份功能。可以说，全网所有的生产系统都极易出现单点故障，无冗余备份。

图2 改造前的拓扑图

2.改造后船舶的网络拓扑

对照2019版《海事网络风险评估与管理体系指南》中技术型措施的相关指导和2020版《船舶网络系统要求及安全评估指南》的要求，我们对A轮、B轮的网络和系统架构进行了改造。改造后的拓扑图如图3所示。

从图中可以看出，改造后生产网络、办公网络、船员的娱乐网络全部从逻辑上进行了隔离：生产网络、办公网络处于不同的VLAN（虚拟局域网）中，IP地址不在同一网段内，能够有效防止网络风暴和病毒蔓延，且共同处于UTM（多功能网关）的保护之下。该网启用了IPS（入侵检测）、反病毒、防火墙功能，并具有白名单功能——只有指定的安全的业务数据流量才放行。船员的娱乐网络位于UTM外部非信任区，虽然可以上网，但无法访问生产网络和办公网络。

图3 改造后的拓扑图

在改造中，我们还采用了超融合技术，以规避航标、能效等关键生产系统的单点故障风险。各系统部署在四节点的超融合工控服务器上。该服务器能够稳定地工作在高湿高盐、温差较大的恶劣环境中，且加装了UPS（持续不间断电源系统）。其最大的特点是具有自愈功能：航标、能效等关键生产系统在该服务器上部署后，任意一个节点的软、硬件故障的发生，均可以实时地将其自动地迁移到其他的节点上，实现用户无感知自愈。该服务器采用最小化授权原则，即用户仅可访问生产系统，无法访问航标、能效操作系统。所有服务器的维护均采用岸端技术人员远程操作的形式，一方面降低了船端的维护量，另一方面也有效地避免了船员误操作导致的人为损坏。

生产网络、办公网络中的服务器、计算机均安装了统一防护终端软件（EDR），并纳入船岸一体化防护策略，可以根据岸端统一部署的安全策略对船舶局域网中的网络终端进行安全防护。通过UTM的VPN（虚拟专网）功能，开启了船岸通信隧道，所有的船岸通信均加密传输，且岸端可实时通过该隧道对船端进行远程运维和监控。部署在船舶局域网最外层的智能路由器，通过预设策略，可以进行自动链路选择——实时选择性价比最高且可用的线路：当VSAT可用时，优先使用VSAT线路；当VSAT不可用时，采用FBB或铱星线路并拒绝除邮件之外的一切流量。

3.改造效果

经过对网络和服务器部署方式的改造，A、B两轮的网络在硬件、技术上都符合CCS 2020版《船舶网络系统要求及安全评估指南》关于物理安全、网络架构、区域边界、计算环境方面的相关要求。其对照关系如表2所示。

表2 改造措施对照简表

续表2

从表中可以看出，对于网络安全管理来说，技术型措施（表中的设备、技术）均已符合，但程序型措施尚需进一步完善。

四、结论

船舶网络化、智能化已是大势所趋，而随着各国海事部门对网络安全风险的认识不断提升，对于网络安全管理的要求也势必愈发严格。随着USCG率先将网络安全管理纳入SMS，各航运企业在船舶网络安全管理方面的建设已由自发自愿阶段进入对照整改阶段。为此，要对安全风险进行识别，并根据相关指南采取应对措施进行改造。笔者认为，借船舶网络安全管理纳入PSC检查的契机，对船舶网络进行改造，一方面可以确保船舶网络安全，降低滞留风险，另一方面可以为日后的智能船舶建设奠定坚实基础，减少重复建设和资源浪费，可谓一举多得。

本文在中远海运散运前期试验改造并取得一定成效的基础上提出一种技术型措施改造方案。在后续的网络安全管理升级改造实践中，将进一步完善程序型措施。