摘要：船舶计算机网络系统由于其工作特性，所面临的风险也存在一定特殊性。为进一步提高安全管理效果，优化防护路径，本文从网络入侵检测与防火墙配置、安全风险评估系统建设、通信协议配置三方面出发，通过引入蜜罐系统、构建基于层次分析法和加权法的安全风险评估系统、应用基于IEEE 802.11i协议和MQTT协议的通信加密技术，综合制定防护方案，并通过系统性能测试、网络安全性测试、安全风险评估系统测试，验证了新方案在提升数据传输安全性、增强系统稳定性、应对复杂网络安全威胁方面的有效性。测试结果表明，新方案在网络延迟、数据吞吐量和攻击防护能力等方面均显著优于传统方案，整体风险评分大幅降低，能够有效改善现代船舶计算机网络系统运行安全性。

关键词：船舶计算机网络系统；网络安全

引言

随着信息技术的迅猛发展，船舶计算机网络系统在现代船舶运营中的作用日益重要。然而，船舶网络系统面临的安全威胁也日益复杂多样，传统的网络安全防护措施已难以应对当前的挑战。现代船舶依赖于计算机网络系统进行导航、通信、监控、管理，任何安全漏洞都可能导致严重的航行事故，并产生经济损失。基于此，研究通过开发高效、可靠的网络安全防护技术十分有必要，以此改善船舶网络系统安全威胁，为相关技术的发展提供科学依据。

1. 船舶计算机网络系统安全威胁分析

1.1 常见网络安全威胁

船舶计算机网络系统面临的主要安全威胁包括网络入侵、病毒与恶意软件。网络入侵通过系统漏洞、弱密码或社会工程学手段非法访问系统，可能导致导航和通信系统瘫痪，影响航行安全。病毒和恶意软件通过恶意邮件或下载文件传播，破坏系统、篡改数据或窃取信息，导致系统崩溃、数据泄露或运营中断。

1.2 船舶特定网络安全威胁

船舶特定的网络安全威胁包括GPS（global positioning system，全球定位系统）欺骗攻击、AIS（automatic identification system，自动识别系统）攻击和通信终端干扰。GPS欺骗通过虚假信号使导航系统接收错误信息，可能导致航线偏离、碰撞或搁浅。AIS攻击通过伪造信号篡改船舶位置信息，干扰海上交通管理，可能引发交通拥堵或安全事故。通信终端干扰通过无线电干扰或信号阻塞中断通信，影响航行指令传达。为防范这些威胁，须采用抗干扰技术、加密通信和多重验证等措施。

2. 网络安全管理防护路径分析

2.1 网络入侵检测与防火墙配置

网络入侵检测方面，研究对现有系统进行优化，部署蜜罐系统，其功能在于创建虚拟的易受攻击系统，诱使攻击者发起攻击，并在攻击过程中收集详细的日志、数据[1]。蜜罐系统能够识别网络扫描、漏洞利用、恶意软件传播等多种攻击形式，提供早期预警，并有助于制定针对性的防护策略。技术应用具体原理为：设蜜罐系统中的诱饵主机数量为，每台诱饵主机的日志记录为Li，其中t=1，2，...，n。每个日志记录包含多种数据项，如时间戳t、攻击源IP、目标端口Pdst、攻击类型Atype等。定义攻击行为集合A为A｛（t，IPsrc，Pdst，Atyoe）｜i=1，2，…，n｝，通过分析集合A中的模式与频率，可以识别常见攻击手法，并利用数据挖掘技术提取特征用于防御策略优化。

在防火墙配置方面，须配置访问控制列表（ACL），定义允许与拒绝的流量规则。ACL应根据船舶网络的具体需求，严格限制进出网络的数据包，确保只有授权的通信能够通过。具体配置原理为：设网络中的流量为F，流量中的每个数据包包含源地址IPSTC、目的地址IPdst、端口号P、协议类型T，访问控制列表ACL定义为一组规则R，每条规则包含允许或拒绝的条件，如式（1）：

（1）

每条规则Rj定义如（2）：

（2）

式中，a表示“allow”或“deny”，每个数据包只有满足某条规则Rj的允许条件时，才能通过防火墙，否则会被拒绝。

在此基础上启用状态检测功能，跟踪网络连接的状态信息，识别并阻止异常连接请求。状态检测通过记录与分析每个连接的状态，能够有效防御TCP/IP协议栈攻击。在状态检测表T中，包含所有活动的连接状态，如式（3）：

（3）

此外，防火墙配置还应包括包过滤规则，基于数据包的源地址、目的地址、端口号、协议类型进行过滤，阻止潜在的攻击流量进入网络[2]。结合蜜罐系统的入侵检测与防火墙的多层次配置，可以有效提升船舶计算机网络的安全性，防止各种形式的网络攻击。

2.2 特定安全威胁应对策略

2.2.1 安全风险评估系统结构说明

针对特定安全威胁，此次研究通过构建船舶安全风险评估云计算平台，采用层次分析法（AHP）和加权平均法（WA）建立评估模型。平台分为五个层次：数据采集层、数据预处理层、数据分析层、应用服务层、展示层，具体如下：

（1）数据采集层——通过多种手段（如Corbe采集、视频采集、人工输入等）收集船舶运营中的各类数据，包括业务库、配置库、日志库、附件库等。

（2）数据处理层——对收集的数据进行清洗、转换、集成，形成可用的元数据集。

（3）数据分析层——是平台的核心，通过评估指标体系构建、评估模型构建、数据挖掘技术以及数据分析技术，对预处理后的数据进行深入分析。

（4）应用服务层——提供查询与分析服务、用户与权限服务、搜索引擎服务等功能，通过界面组件与视频组件，实现对评估结果的可视化展示[3]。

（5）展示层——包括个性化定义、故障分析、评估结果可视化等模块，使用户能够直观地了解船舶安全风险评估结果与相关分析。

2.2.2 安全风险评估系统建设过程

安全风险评估系统建设主要依赖层次分析法，构建评估指标体系，将复杂的安全评估问题分解为多个层次与因素，逐级进行比较，并分配权重。过程如下：

（1）建立层次结构模型：将安全风险评估问题分解为目标层、准则层、方案层。目标层为总目标，即船舶安全风险评估；准则层包括各类风险因素，如网络入侵、病毒攻击、GPS欺骗、AIS攻击等；方案层为各风险因素具体评估指标。

（2）构建判断矩阵：对准则层、方案层的各因素进行两两比较，确定它们在各自层次中的相对重要性，构建判断矩阵A=[aij]，其中aij表示因素i与j因素的相对重要性[4]。

（3）计算权重向量：通过计算判断矩阵的特征向量，确定各因素的权重。先进行矩阵归一化处理，如式（4）：

（4）

式中，aij'表示归一化后的判断矩阵元素，表示因素i与j相对重要性归一化值。

再计算归一化矩阵的特征向量W，如式（5）：

（5）

式中，W表示权重向量；n表示矩阵维度。

（4）一致性检验：对判断矩阵进行一致性检验，确保判断矩阵的合理性与一致性。计算一致性比率CR，如式（6）：

（6）

式中，CI表示一致性指数，用于判断矩阵的偏差程度；RI表示随机一致性指标，当CR＜0.1时，判断矩阵具有一致性。

（5）加权平均法进行最终风险评估，如式（7）：

（7）

式中，S为最终评估结果；wi表示第i个指标权重；xi表示第i个指标具体数值[5]。

通过构建船舶安全风险评估云计算平台，利用层次分析法与加权平均法，能够系统化、精确化地评估船舶面临的各类安全风险，为制定有效的安全防护策略提供科学依据。

2.2.3 通信安全加密技术

本次设计采用更为综合且灵活的加密策略，通过结合IEEE 802.11i协议与实时数据通信协议，不仅提升数据传输的安全性，还增强系统的稳定性与实时性，确保船舶通信网络的全方位保护[6]。该协议采用高级加密标准（AES）进行加密，并通过802.1X认证框架实现端到端的安全性。具体步骤如下：

（1）身份验证：利用802.1X协议，通过RADIUS服务器验证客户端身份。

（2）密钥管理：通过四次握手协议生成并分发临时密钥（TKIP）[7-9]。

（3）数据加密：使用AES对数据进行加密，确保数据的机密性。

（4）完整性保护：通过消息完整性代码（MIC）防止数据包被篡改。

IEEE 802.11i协议通过上述步骤确保无线通信的安全性，防止未授权访问与数据篡改，保障船舶网络系统的通信安amYHbr1QBQXyb/bX0eznUQ==全[10-11]。

除了IEEE 802.11i协议外，研究还引入MQTT轻量级的发布/订阅消息传输协议，广泛应用于物联网（IoT）设备间的实时通信，适用于带宽有限或不稳定的网络环境，适合船舶网络系统中的实时数据通信需求。其特点如表1所示。

3. 性能测试与分析

本次性能测试在一艘配备综合计算机网络系统的大型商用船舶上进行。该船舶网络系统包括导航、通信、监控和管理系统，采用多项优化措施，包括网络架构调整、硬件升级以及新通信协议的应用，如IEEE 802.11i和MQTT协议。测试分为三个阶段：系统性能测试、网络安全性测试和安全风险评估系统测试。

在系统性能测试中，测试网络延迟和吞吐量，此次测试吞吐量主要用于船舶主控制室的核心交换机与船桥导航系统。测试结果如表2所示。

性能测试结果表明，优化后的系统网络延迟保持在5ms以内，数据吞吐量达到1Gbps，这一结果主要由于将核心交换机从1Gbps端口升级到10Gbps端口，并升级了网络线缆，在多项优化促使条件下有效提高数据吞吐量。研究还使用iperf3工具进行了30min的持续测试，在不同时间段和网络负载下都能稳定达到接近1Gbps的吞吐量。网络安全性测试中，研究模拟DDoS攻击、MITM攻击和恶意软件植入等攻击，验证了系统防护能力。

结语

本文对船舶计算机网络系统安全防护路径的优化研究，通过引入蜜罐技术、构建安全风险评估系统、引入IEEE 802.11i协议与MQTT协议，能够有效预防安全风险问题，提高网络系统运行效率和质量，保证系统能够快速响应，减小控制误差，严防恶意软件攻击。

参考文献：

[1]王栋耀.“5G+工业互联网”赋能船舶建造数字化转型[J].船舶标准化工程师，2024，57（4）：5-9.

[2]韩佳霖，杨奕廷.国际海事组织海上安全委员会第108届会议简报[J].世界海运，2024，47（6）：1-6，10.

[3]凌海生.船舶交通数据实时传输可靠性评估系统[J].舰船科学技术，2024， 46（11）：165-168.

[4]涂芳，周华涛.基于人工智能的船舶故障检测结果智能推荐系统[J].舰船科学技术，2024，46（11）：173-176.

[5]李尚伟.船舶信息系统的设计及研究[J].船电技术，2024，44（6）：1-5.

[6]熊先华，宾进宽，姜飞.基于卷积神经网络的过闸船舶越限识别方式[J].西部交通科技，2024（5）：186-189.

[7]桑家军，严忠伟.智能船舶对船舶保险条款的适用性研究[J].中国海事，2024（5）： 21-24.

[8]索双武，刘学良，李永杰，等.船员异常行为识别与分析方法策略及应用[J].珠江水运，2024（9）：99-103.

[9]屈宝莉，薛云.水上交通运输网络规划与优化研究[J].珠江水运，2024（9）：79-81.

[10]谢金涛，许晓赋.AES算法的通信网络防御数据全同态加密方法[J].三明学院学报，2021，38（3）：32-37，91.

[11]雷福宝，高娜，孟腊梅.基于固定密文长度的船舶通信加密控制方案[J].科技风，2020（7）：106，126.

作者简介：赖显凌，本科，工程师，Kai_shui@hotmail.com，研究方向：船舶系统安全。