周毅,李萌,张海涛,夏华波,梁斌

(中海油能源发展股份有限公司 采油服务分公司，天津 300452)

随着船舶信息化、智能化进程的不断发展，越来越多的控制系统、通信导航系统、信息管理系统及设备不断接入船舶网络并且逐渐转变需与岸端信息交互。船舶越来越多的“在线”，使船舶遭受网络威胁的隐患不断加剧，船舶网络安全重要性逐渐提升，各船级社相继发布了船舶网络安全相关指南[1]、规范等，对船舶信息安全保障体系设计、实现方法和运维管理体系提出了相应要求。基于智能化关键技术研究基础，对某气体船的货物系统、动力系统、通信导航系统等全船系统数据进行采集、处理、存储和交互，通过统一通信协议汇总传输到船端的数据集成平台。通过升级船舶通信系统和建立岸基数据接收系统形成智能化船岸一体数据管理平台，实现岸端的信息平台与船端的信息平台、船端的局域网系统的数据交互。

对某气体船的数据分发管理系统(智能船舶集成平台系统)，从船基系统本体安全、终端安全、边界安全、管理安全4个层次进行设计。4个层次安全注重点的不同，安全加固方式也不同，船基系统本体安全应注重权限验证等方面；终端安全应注重各个局域网终端的漏洞、病毒、木马防护[2]等方面；边界安全应加注重船岸传输的安全性、保密性；管理安全应注重船员网络安全意识。

1 系统本体安全

1.1 应用认证

数据分发管理系统通过设计安全管控模块以保证用户身份的合法性并保障系统的安全性。用户必须提供有效的用户账号及密码来登入系统，以防止非法使用，在此基础上用户管控模块增加以下4个特性。

1)所有的用户账号均具有唯一性。

2)账户超时5 min后，系统自动退出未活动的账户。

3)密码的复杂度必须符合系统要求(需包括大小写字母、数字、特殊字符)。

4)单用户只允许在一处工作站登陆。

基于增加的4个特性，可以防止简单的暴力破解行为，并且可防止船员因个人忘记退出操作界面导致他人误操作所带来的风险。

1.2 用户权限

数据分发管理系统安全管控模块除用户认证外，还包括用户存取及各种用户权限管理。用户登入系统后，系统将执行一系列的用户权限控制包括读取、操作等各种权限。系统管理员将船员划分入不同用户组中，不同用户组拥有不同的操作权限，系统管理员拥有最高权限，如①菜单控制；②数据权限；③操作功能权限。

系统管理员可对系统操作员进行权限分配。为防止系统管理员密码长时间使用，产生泄漏风险，系统每3个月要求系统管理员更改密码。

1.3 访问策略

船员访问数据分发管理系统时将会被安全管控模块及安全访问策略所管控，见图1。

图1 数据分发管理系统安全访问策略示意

只有安全访问策略预设的智能工作站可以访问数据分发管理系统页面，其他工作站的访问申请将会被系统拒绝。智能工作站登陆系统验证页面成功后要输入正确的用户名、密码后才可登陆到系统业务界面进行操作或浏览，当多次验证失败后，将会锁定当前工作站IP，并在一定时间内屏蔽该IP地址的访问请求。

2 系统终端安全

数据分发管理系统的终端安全防护通过部署船基防护管理平台实现，囊括私有云安全控制中心和安全防护客户端两部分。见图2。

图2 数据分发管理系统终端安全防护示意

2.1 安全控制中心

船基防护平台的终端安全防护的核心是安全控制中心，安全控制中心作为服务端部署于船基高性能服务器，其功能主要包括船舶终端安全管控和船舶终端安全事件收集告警两大功能。

船基安全控制中心采用B/S架构，船员可以通过智能工作站的浏览器访问无需安装客户端，对安全防护平台终端进行管理和控制。船基安全控制中心主要包括组管理、策略制定与下发、全网终端健康监控、全网一键杀毒、全网一键漏洞修复、终端网络流量管理、全网终端软件与硬件资产管理等。此外船基安全控制中心针对船基防护平台还提供了基础的运维服务，如：云查杀服务、病毒/漏洞/服务端升级服务等。

船员可通过控制中心的安全事件收集来了解全网终端的告警信息及安全事件，通过报表分析船员可以掌握安全风险及全网威胁状况。

安全控制中心的病毒库、漏洞库也会随着新病毒、新漏洞的发现，通过云平台可持续的提供更新服务，使船基的终端不会受到新病毒的侵害。

2.2 客户端

安全防护客户端可以无间断地保护已被部署的终端或服务器上，由客户端先向服务端发送木马病毒、漏洞的查询，再由客户端执行木马病毒查杀、漏洞修复、安全防护等安全操作。并与船基安全控制中心通信，向船基控制中心提供管理所需的相关安全告警信息。整个岸基的网络安全由DMZ区防火墙和船基防护管理平台提供安全防护，一方面只允许船基数据通过防火墙进入应用服务中，另一方面提供终端病毒查杀和漏洞扫描。

3 系统边界安全

数据分发管理系统通过部署防火墙[3]，并启用国密功能、内容安全组合、入侵防御、反病毒、云沙箱检测等功能模块及对船岸传输数据加密，实现系统边界安全防护。如图2所示，对于外部会话，包括未知会话，攻击会话，数据传输会话，防火墙将进行过滤。攻击回话的过滤基于防火墙的入侵防御模块、反病毒模块分辨出访问船基的会话是否为攻击行为，如判定为攻击行为则将其直接禁止访问；数据传输会话的过滤包括：先基于源IP及目的IP判定数据是否来自于岸基数据中心或者发送至岸基数据心，再根据SSL加解密方式判断数据是否被篡改，当上述2条过滤规则均通过时，该数据传输会话才会被防火墙放行，进入到船基局域网中。

为保证数据的隐私性，船基系统在进行数据传输时采用内容+传输信道双重加密模式。在数据传输前，待传输数据经过自定义数据序列化和压缩算法压缩的两个过程，使得常规明文数据转换为非常规明文。该处理手段能够杜绝在非安全传输通道中通过非法手段对传输数据的有效解析[4]，保证仅有知晓既定解析规则的数据接收端能够进行有效反序列化和解压缩；在数据传输中，通过SSL安全协议，保证TCP通讯的发送端和接收端间的完整性和私密性。发送端首先向接收端发出安全会话请求，并使用非对称加密方式分发公钥加密的对称密钥(会话密钥)，接收端使用私钥解密接收到的会话密钥。至此，发送端和接收端便可通过对称密钥实现安全通讯。在传输过程中，即使非法拦截公钥加密的会话密钥也不能够解密会话密钥(因为非对称加密的会话密钥只有使用接收端的私钥才能解密)，会话密钥的私密性可保障两端间数据的私密性。见图3。

图3 系统边界安全防护原理示意

4 系统安全实施方法

4.1 网络安全防护

通过合理的边界安全部署及配置，将会话进行过滤只放行可信任的会话并对可信任的会话进行更进一步的检查。为避免误将安全信息过滤，需对船岸通信不断测试，压缩可通信空间，平衡安全防护与船岸通信速率，保障只对攻击会话进行过滤。边界防护可视为防护的第一道关卡，可为终端防护降低算力需求，减少终端防护压力。

终端安全防护需进行黑白名单配置，安全盘及安全文件夹划分，使特定区域的程序或文件为可信任文件，其他区域均需进行安全盘查或不可信任。针对不可信任文件及程序一律视为病毒不可运行，只有通过安全盘查的程序及文件才可运行，并设置定期自动全盘扫描，定期更新病毒库等安全策略，使终端时刻处于安全可信任状态。

4.2 访问权限管控

智能系统无法跨越导航平台直接访问各子系统，统一导航平台作为智能系统的人机交互部分，通过合理的权限分级设置，为不同级别船员提供不同的系统访问账号，涉及系统配置仅管理员可访问，实现智能应用分权限访问。针对安全访问权限管控，设置密码复杂度策略无法设置简单密码，并针对多次密码输入错误进行锁账户设置，为针对密码被他人记录，设定定期修改密码策略。

4.3 身份鉴别防护

统一导航平台采用相应身份鉴别手段，确保所有智能应用仅能通过导航平台访问，不能通过其他方式访问。防止有人为得到更高权限实施暴力密码破解及偷记密码等行为，采取相应的策略管控措施。

4.4 数据保密性安全防护

针对数据库中的数据[5]，采用限制账户访问、限制ip访问、限制访问权限、限制读写权限等方式确保数据安全性，针对数据安全性采用数据备份、采用备份路径权限管控、采用备份数据加密、备份数据异地存储等方式确保数据安全性，所有已落盘的数据均采用加密存储，船岸传输的数据均采用对称加密方式发送确保数据保密性的同时保证数据发送速率。

4.5 网络安全检查

在系统部署到该气体船，在连接船舶各功能系统并成功采集到全船数据的同时，对处于实际运行状态的船载数据管理系统进行网络安全检查，核对每一个安全策略的到位和有效性，进行必要的基础模拟(如简单口令登陆尝试等)。通过检查确认网络安全措施的落实。

5 结论

船级社或相关船舶法规针对于智能化船舶的网络安全的要求还处于发展阶段，对特殊船舶并不适用，还无法实施网络安全管理与网络安全系统相适宜的结合。

某气体船船岸一体数据管理系统的网络安全技术在满足船级社相关规范的基础上分别采用本体安全、终端安全、边界安全、管理安全4个维度来保障网络空间安全；本体安全、终端安全、边界安全的网络安全策略使船舶网络安全更加自动化，降低了船员误操作引发的网络安全事故率，网络安全管理与网络安全系统结合相宜，使网络安全的防护更加自动化，更加简易。

未来船舶向智能化发展的趋势越来越明显，保障船舶网络空间安全将等同于保障船舶安全。伴随智能船舶的发展与普及，智能气体船的船岸一体化的数据管理系统(集成平台系统)的网络安全技术将成为航运界的又一个标杆性技术。