李晓辉 周 楠

一、引言

随着船舶数字化、智能化水平的不断提高，接入网络的数据、资产变得越来越有价值，船舶面临的网络安全问题日益突出，利用网络攻击入侵船舶变得更加有利可图。 2013 年，某新加坡籍货船GPS数据被破坏，导致该船在急速航行中撞翻了一艘渔船，造成两人丧生、一人失踪[1]；2017年2月，一艘集装箱船在从塞浦路斯驶往吉布提的途中遭到黑客的攻击，黑客控制了该船的导航系统，意图将该船引至易登船控制的区域[2].。船舶面对网络威胁的脆弱性，船员对抗网络攻击的无能为力，使得各方警醒。船东、船员、VTS主管机关如何识别及评估网络安全所面临的风险，事故发生后如何应对，这些都是船舶网络安全领域亟待深入研究的问题。

针对船舶数字化、智能化发展过程中带来的网络安全风险，IMO（国际海事组织）、IALA（国际航标协会）高度重视并积极响应。2015年6月，IMO海上安全委员会（MSC）第95届会议上对网络安全问题进行了初步讨论，明确提出国际海事业界需要加强对网络空间威胁的重视并做出适当响应；2017年6月，MSC第98届大会上通过了MSC.428（98）“安全管理系统之海上网络风险管理”决议，确认将“船舶网络风险管理”纳入“船舶安全管理体系”；2017年7月，IMO通过了正式的MSCFAL.1/Circ.3《海事网络风险管理导则》，对海事网络风险管理提供了指导。IALA将“网络犯罪的易发性和网络安全”确定为未来全球海事发展的趋势（细化为三个方向：随着船舶的数字化、智能化，船舶受到网络攻击的风险越来越大；网络安全预计将成为海事主管机关、船东和航运公司高度优先关注的领域；分析对AtoN（助航）和VTS当局以及IALA成员的威胁，并提出采取适当的措施是非常重要的），基于此IALA考虑提供与AtoN相关的应对网络安全威胁和程序的指南以实现其宗旨。

二、船舶网络安全风险分析

随着ISM规则（国际船舶安全营运和防污染管理规则）的实施，船上配备的计算机从满足日常通信、配货需要逐步扩大到实现各类系统设备维护保养和管理，应用涵盖了通信、货运、船舶管理、维护保养、航线设计、培训、娱乐等各个方面。为方便船员与外界的联系，船舶通过VSAT、Inmarsat或铱星等卫星网络实现对外连接，船上的GPS、AIS等导助航系统虽不连接互联网，但需要通过专用网络与外部实现数据接收与交换。船舶网络系统由各大计算机系统组成，能够与外界实现传输数据的每个计算机都面临着网络安全风险。通过对船舶网络结构的薄弱环节进行分析，进而找到网络安全的风险源，对防控船舶网络安全风险具有重要意义。

1.船舶网络结构

船舶网络结构根据应用层级的不同分为用户层、控制层和管理层，基本结构如图1所示。用户层主要包括邮件服务、打印服务、个人PC等，控制层主要包括推进系统、操舵系统、锅炉控制系统等，管理层主要包括ECDIS、GPS、AIS、货物管理系统等。

图1 船舶网络结构示意图

由于船舶整体设计和建造的周期较长，船舶网络系统软硬件更新升级频率较低。根据调查统计，目前大部分船舶没有配备随船负责网络安全的IT人员，导致船舶网络结构存在较多薄弱环节。

2.船舶网络风险源

船舶网络可能遭受威胁的设备分为信息技术系统（IT）和操作技术系统（OT）。信息技术系统（IT）主要是将数据作为信息使用，目前船上应用的各种计算机包括电子邮件系统计算机、配载仪计算机、电子航海出版物计算机、船舶维修保养计划计算机、各办公计算机等。只要将数据作为信息使用，都属于信息技术系统。操作技术系统（OT）则通过数据来操控或监控物理过程，主要包括GPS、AIS及与其相关联的雷达、电子海图、VDR等用于监控船舶运动的设备。

信息技术系统主要面临信息被窃取、数据被篡改或破坏以及被敲诈勒索等安全风险。操作技术系统主要面临GPS受到干扰甚至信号被覆盖替换，ECDIS中文件被删除、替换，AIS数据被伪造迫使船舶改变航线，冒充VTS主管机关发送AIS信息，船舶控制系统遭受攻击被远程操纵等安全风险。

识别、确定船舶网络安全风险源，对于加强防护、防止船舶网络安全事件的发生具有重要意义。根据系统安全工程特点，船舶网络风险可以用可能性和严重性来表示，即：R=f（F，C），其中R表示网络安全风险，F表示发生网络安全事件的可能性，C表示发生网络安全事件的严重性。船舶网络安全风险评估需要确定发生网络安全事件的可能性、严重性的影响因子，主要涉及威胁识别、脆弱性识别、资产识别三个方面。网络威胁是指船舶网络系统中的威胁因素等，包括人为因素和自然因素，网络脆弱性是指船舶网络系统中被威胁对象存在的弱点的等级或者严重程度，资产是指网络系统中被威胁对象的价值，包括有形资产、无形资产。通过对威胁、脆弱性、资产的识别分析，对其结果进行一定的赋值，得出安全事件发生的可能性和造成的严重性，进而计算出船舶网络安全的风险值。

克罗地亚里耶卡大学B. Svilicic等人通过模拟黑客攻击船舶IT、OT系统，发现船舶网络易遭受攻击的部位分别为GPS、ECDIS、AIS和船舶货物管理系统[3]，进而得出结论船舶网络安全的主要风险源是GPS、ECDIS、AIS和船舶货物管理系统。

（1）GPS（全球定位系统）。GPS是船舶在海上航行时提供导航定位信息的关键技术系统，是ECDIS的重要组成部分。GPS所用的GNSS（全球导航卫星系统）通常信号微弱，而且没有较强的安全认证措施，很容易受到干扰，导致信号中断或者被覆盖[4]，进而对船舶安全造成重大威胁。

（2）ECDIS。ECDIS包含电子海图和船舶航行状态实时信息，并集成了GPS、雷达、测深仪、AIS等系统信息。攻击者可以通过破坏GPS信号来干扰ECDIS的正常工作，同时也可以通过访问ECDIS软件系统来修改船舶航行状态信息或者篡改存储文件以实现非法目的。攻击者可以利用ECDIS系统存在的漏洞读取、下载、替换或者删除ECDIS中的任何文件，并可以访问与ECDIS连接的其他系统，这类攻击往往因船员使用USB存储装置、系统下载被感染的文件或系统中存在未及时修补的软件漏洞而引起[5]。

（3）AIS （船舶自动识别系统）。AIS、GPS将船位、船速及航向等船舶动态结合船名、呼号、吃水及危险货物等船舶静态资料由VHF（甚高频）频道向附近水域船舶及岸台广播，使邻近船舶及岸台能及时掌握附近海面所有船舶的动静态资讯并得以立刻互相通话协调，采取必要避让行动，对船舶安全有很大帮助。由于没有内置的安全措施，AIS采用广播式信息发布，很容易被攻击者利用和控制。目前针对AIS的攻击主要有三种：第一种是通过伪造AIS数据创造虚拟船舶与目标船造成紧迫局面，导致目标船改变航线；第二种是冒充VTS主管机关发出虚假AIS报文信息，使得目标船脱离监控；第三种是提高附近船舶AIS数据交换频率，导致AIS数据溢出，进而使目标船舶不能获取有效的AIS数据。

（4）船舶货物管理系统。船舶货物管理系统因得不到及时更新和升级，普遍存在漏洞。攻击者对船舶货物管理系统的入侵主要有三种：第一种是通过调取货物运输的信息，伺机盗窃货物；第二种是通过篡改货物跟踪系统记录，夹带危险品甚至进行贩毒等犯罪活动；第三种是删除货物管理系统记录，导致货物跟踪混乱、配送错误。

3.船舶网络攻击类型

攻击者利用船舶网络系统存在的漏洞，破坏船舶各类系统以实现其非法目的，获取直接或者间接的经济利益甚至进行恐怖主义活动。船舶网络面临的攻击主要分为以下三类。

（1）盗取、走私货物。攻击者通过船舶货物管理系统漏洞，读取修改船上货物类型、存放位置和装卸计划，在货物装卸期间快速定位高价值货物，进而实施盗窃。攻击者也可以通过修改货物管理系统记录隐藏含有毒品等违禁品的货柜，进行走私活动。

（2）远程劫持船舶。攻击者通过干扰船舶的GPS信号或者入侵ECDIS来破坏船舶的导助航系统甚至加密海图等重要航行信息，使船舶无法正常航行，以勒索金钱。攻击者也可以利用虚假的导助航信息使得船舶偏离设定航线，甚至冒充VTS主管机关发出AIS报文信息，使船舶进入攻击者易于登轮的区域。

（3）恐怖主义行为。攻击者通过入侵船舶控制网络，直接对船舶的推进系统、操舵控制系统等进行控制，导致船舶碰撞、搁浅、触礁等事故发生。

三、各方应对船舶网络安全风险的策略

随着船舶数字化、智能化水平的不断提升，甚至无人船的逐步成熟应用，船舶网络安全面临的威胁日益严峻，然而船舶基本上仍处于未防范或低防范状态，船员普遍缺乏网络安全意识，VTS主管机关缺乏应对网络安全的有效措施，应对船舶网络安全风险需要各方高度重视，齐抓共管，共同发力。

1.船东及船公司

船东及船舶管理公司应通过采取以下措施应对船舶网络安全风险。应制定船舶网络安全管理手册，将网络风险意识文化渗透到组织的各个层次和部门，确保网络风险管理体系的整体性和灵活性，并通过有效的反馈机制不断进行评估；应加强网络安全与风险管理培训，全面提高岸基人员与船员的网络安全意识；应建立船舶网络安全检测程序，确保能够准确识别船舶内部和外部面临的网络安全威胁，及时监测到网络事件的发生；应增强船舶网络安全系统架构，在布设船舶信息、数字系统时，采用由不同供应商产品组成的多架构冗余系统，降低网络安全风险；应配备专兼职的船舶网络安全员，随时监控各系统运行状态，并负责及时更新升级软件系统、修补漏洞；应制订船舶网络风险应急预案，随时应对船舶网络安全事件的发生。

2.船员

船员应从思想上提高网络安全意识，通过参加培训、自学等方式掌握网络安全的各类知识；在日常工作中，不随意将个人U盘等存储介质接入船上各大系统计算机，不随意关掉甚至卸载船上计算机防火墙、安全检测防护软件等，不将船上OT、IT系统计算机作为个人计算机使用。同时，要加强船舶网络安全事件应急演习，不断提升应对网络安全事件的应急处置能力。

3.VTS主管机关

VTS系统涉及雷达、AIS、CCTV、VHF等多源数据的融合及应用，同时系统服务范围除主管机关外，还包括引航、港口调度管理、搜救、航运公司等部门，系统的网络边界和数据交互接口较多，随之而来的安全风险也越高。VTS主管机关应建设网络安全管理中心，对VTS网络安全进行统一管理，并负责安全事件的协调处置；应加强网络安全系统工程建设，制定包括物理和环境安全、网络和通信安全、应用软件和数据安全的VTS网络安全防护措施。同时，应制定内部和外部的网络安全应急计划，确保VTS系统正常运行，确保船舶交通服务不受影响。

四、展望

网络安全将成为未来影响海上安全的核心因素，IALA VTS第47次会议正式启动了“制定关于网络安全的建议案”的工作，我国也提出了“没有网络安全就没有国家安全，没有信息化就没有现代化”的重大论断。船舶数字化、智能化的发展需要不断优化的安全治理架构和坚实的网络安全防护能力体系支撑。船舶网络安全防护工作是一项系统工程，需要不断开阔视野，提高认识，夯实船舶网络安全基础，大力提升网络安全防护的技术和管理水平，构建全面、牢固的防御体系，持续提升网络安全防护能力。