高端客滚船网络安全系统设计

2023-08-18庄涛苏锦川李军代左信荆阳赵永波

船海工程 2023年4期

庄涛,苏锦川,李军,代左信,荆阳,赵永波

(招商局金陵船舶(威海)有限公司,山东威海 264200)

为了抵御船舶网络安全所引发的隐患,2017年6月,国际海事组织(IMO)海上安全委员会第98届会议(MSC 98)批准MSF-FAL.1联合通函Circ.3“海上网络风险管理指南”。同时还通过了《有关安全管理体系的海上网络风险管理的MSC.428(98)号决议》,各国船级社陆续推出相应的规范要求。网络攻击包括黑客主动攻击、无意间的病毒感染等,一般为访问控制技术,例如,非通用物理接口或者密码限制和空间限制。另一种利用防火墙技术,主要通过数据过滤技术验证数据有效性。对无法避免阶段性升级的设备还需要使用防病毒软件,主要以被动防御为主。作为船舶设备的网络安全,如何简单有效利用各个手段完成不同厂家、不同设备的网络安全对接,完成全船设备无安全漏洞的网络集成,是当前船舶设计类关键技术。

DNV规范对网络安全共划分3个层级:基础级Basic、加强级Advanced和增强级+。Basic主要用于已营运船舶,Advanced用于新造船的全过程,对资产所有者和营运方、系统集成者(如船厂)及设备制造商都有相应的要求。Basic 和Advanced 涵盖了大量关键系统,包括推进、操舵、导航和发电。增强级+用于除了Basic/Advanced默认范围之外的系统,可为船东和营运方提供更大的灵活性,以识别威胁,评估和保障对其营运具有特殊意义的额外系统。

针对配备网络安全船级符号的船舶,整体设计流程分为设备范围定义、设备系统分析、网络安全设计要求、设备图纸审核及实船检验等几个关键流程。

1 网络安全设备的确认

根据国际海事组织的规定,对于适用于船舶设备进行监测控制,如受到网络事件影响,可能会对人员安全,船舶安全及环境安全造成影响的设备约15项。结合客滚船的特点,进一步细化对应的网络安全设备清单,见表1。

表1 网络安全设备清单

不同船级社对安全设备的定义有不同的理解,因此具体的船舶要结合入级船舶规范的要求及船舶本身所配置的设备整理与项目对应的满足网络安全的设备清单。

2 网络安全系统分析

2.1 网络安全设备接口调查

利用清单列出最终网络安全设备后,在技术协议签署前需要向各企业收集相关接口信息,根据表2和图1判断此设备是否归属网络安全管控范畴。

图1 网络安全管控逻辑

表2 网络安全管控对照表

除了Q2不考虑外,上述问题共计会产生以下4种不同的答案。

A.Q1是No;Q3是No。

B.Q1是Yes;Q3是No。

C.Q1是No;Q3是Yes。

D.Q1是Yes;Q3是Yes。

2.2 网络安全设备分类

根据以上4种不同的答案,需要让厂家提供不同的解决方式或方案。

1)当答案选A时,需要厂家提供电气原理图,以证明此设备不存在接口用于升级设备的软件或者改变原来的工作模式。

2)当答案选B和D时,需要厂家提供网络拓扑图,该图要包含系统内部设备和系统对外部系统的所有的基于TCP/IP和串品的连接,以及系统内外部防火墙的配置。

3)当答案选C时,厂家需要填写网络调查表,提供电气原理图并且明确采用何种方式才能将设备进行维护更新。

4)对于能满足Q4的设备是已经通过船级社的检验,在图纸阶段不需要再提供任何关于网络安全方面的文件。

5)对于满足Q2的设备,需要技术人员认真分析设备接口所布置的位置,考虑是否配置相关门禁系统。

2.3 网络安全设备接口清单

当所有设备接口调查完整后,需要整理好相关设备清单,清单应详细列出设备名称、厂家名称、接口类型;对于不适用网络安全要求的设备也要列出对应问题的答复清单。网络设备清单是用于制定船舶网络安全设备策略的重要基础,也是送审船级社所包含的重要内容,需要厂家认真答复相关问题。

3 网络安全设计要求

网络安全设计主要针对当下的攻击目标和方式进行的防御性设计,其中网络攻击的目标包括:系统资源,应用程序,终端用户和网络设备。系统资源攻击目标将系统核心资源利用及重要信息作为攻击目标,从而影响系统正常运行。常见的攻击方法有DOS攻击,IP欺骗、IP扫描、中间人攻击等。应用程序攻击目标是攻击应用程序的软件设计缺陷,以获取系统控制权和信息的攻击。常见的攻击方法有代码注入攻击、SQL注入攻击、路径遍历攻击等。终端用户攻击是攻击目标指向终端用户,以获取用户帐户和密码或者机密信息为目的。常见的攻击方法有网络钓鱼攻击及各种僵尸病毒攻击。网络设备攻击目标是攻击网络设备,以获得网络安全管理的控制权。常见的攻击方法有ARP欺骗攻击、DHCP劫持攻击、DNS劫持攻击等。

网络黑客通过以上方法可能攻击船舶、包含港内信息系统和船上核心设备,因此对于船舶网络的设计主要从物理层面、架构层面和边界防护进行设计。这3个层面又可以展开为网络风险的识别、保护、监测、恢复、响应等。

对于物理层面的设计主要考虑设备的物理处所、物理访问以及设备安装部署的设计要求。对船用涉及安全、推进控制等主要设备的安装应有独立于船舶主电源之外的备用电源供电,可以采用UPS且能持续供电30 min。物理访问的限制主要为了避免网络攻击者直接接触设备进行网络破坏。对终端或者服务器等设备可以采用带有密码锁的房间内或者控制柜内,防止网络攻击者直接接触。一部分无法做到封闭处理且需要经常操作的设备采用入口专人值守或者设置电子门禁的方式进行授权访问。

网络架构方面主要考虑系统的持续可用性,设计上可采用独立单元、冗余组件、冗余通信网络和物理分割等措施。如涉及安全和需要实时控制的推进系统、货控系统需要采用独立的软硬件设备,在物理层面上与其他数据网络以及外部公共信息网络进行安全隔离。对有信息数据传递需求的设备,尤其是船舶以外的数据交换、业务访问可以设置信息隔离区,此隔离区独立于船舶内部任何1个网络,有信息需求时经过授权方可访问。数据交换离不开通信,在考虑网络架构安全的同时需要考虑通信安全。船舶系统设计的基本原则是单一设备的损害不能导致2个及2个以上的系统无法工作。对于通信设计,要求相同。在进行通信传输和接口的设计时应考虑采用1个系统或者设备故障不能扩展到另一个系统的阻断设计,如增加防火墙、过滤模块,通讯前阻断和筛选有害通讯在系统上保持相互独立又互相连通。

边界防护可以实现不同网络区域的相互连接并对边界进行控制的设计策略。主要方式是通过代理、网关、路由器、防火墙、单向网关等措施。当外部有与船舶通讯需求时,就有可能通过无线、有线等形式传播有害信息,边界防火墙的作用就是阻止该情况的发生。并且涉及人身安全和船舶安全系统的通信需要设置2个边界防火墙。如果攻击正在进行,除了被动防御之外还应有主动防御的报警功能。

船舶网络安全的设计还应考虑设计安全性、系统的安装和更新,进行定期的安全检查。有针对性地对船舶网络的运行模拟攻击试验,检测系统防护和回应,及时更新,保持系统和设备处于最新状态。

4 网络安全图纸审核

根据DNVGL第6部分第5章第21部分对网络安全图纸的要求,对于需要满足网络安全的设备根据不同的网络安全的级别,将相关文件提交船级社审批。

4.1 网络安全设备系统配置方案

设备配置清单应详细列出网络硬件型号及版本、网络接口形式、IP地址清单、防火墙及防火墙控制软件版本、补丁等级和防病毒软件。

4.2 网络安全设备架构图

设备网络安全系统架构图可显示所有系统的区域和类别以及范围涵盖的互联,框架图纸应包括逻辑和物理系统拓扑图,包含设备名称和标识符、接入点(集成、无线及远程访问),外部数据流列表、连接区域和防护设备(防火墙、路由器及相关VPN)。

4.3 网络安全设计策略

网络安全设计策略文件应包含网络系统的组成范围以及互相连接信息,基本包括以下信息:系统或者域的网络接口说明,接口安全配置文件及远程访问接口配置。

4.4 网络安全设备认可图

设备系统说明书应提供供货范围、网络安全配置图、网络安全事件的安全状态说明、设备系统功能介绍、系统拓普图、电气原理图和软件更新手册、设备系统原理图中表示系统就地及远程控制原理图、系统接口图、外部船舶连接方式、电气接线图、设备布置图以及系统控制软件的操作、修改及维护说明书。

4.5 网络安全测试大纲

此大纲将包含2套测试流程并且此测试方案应包含所有需要满足网络安全的每1套设备。例如,设备操作站的系统组成、防火墙的设定,以及远程连接等。第一套流程应详细介绍单独设备网络设计原则。第二套流程是整体测试大纲,大纲应介绍整套网络组织框架及测试方法,包含设备初始状态、如何执行测试、测试检验过程和验收标准。

5 网络安全实船检验

根据最终提交经认可的网络安全测试大纲进行网络安全测试,测试前检查产品资产清单、安全配置、网络拓扑及接口的符合性,特别是船舶网络防火墙、路由器、交换机等网络设备的安全配置,将设备的控制参数调整至正常状态之后,模拟对设备控制系统进行网络接入,进行安全漏洞扫描、渗透测试、压力测试、负载测试、恶意软件安装等,以验证单个设备可以满足对应网络安全等级的防护。网络安全测试后需要对设备进行正常操作以验证其系统控制没有受到网络攻击的伤害。

当单一设备完成网络测试后需要船舶网络进行整体测试检验。测试主要针对不同区域的网络防火墙布局、远程访问、网络隔离及服务器攻击进行全面测试。测试工程师可以将测试电脑接入船舶网络系统,对网络系统模拟发起负载测试和网络风暴,各网络部件将承受大量数据的流通来验证数据过载承受能力,并查看系统是否能启动保护机制,同时也能够发现整个系统的最薄弱的环节,以备进行系统升级。