请扫描 微信公众号 官方微博

您的位置是 > 首页 > 规范指南 > CCS推出技术指南应对船舶网络威胁

CCS推出技术指南应对船舶网络威胁

新闻来源:中国船检    浏览量:826 于淳 邓林义 2018-01-19
  2017 年7月,中国船级社(CCS)发布了《船舶网络系统要求及安全评估指南》(以下简称“指南”)。这是国内首次推出应用于船舶网络系统的技术标准。
 
  网络安全问题离航运业并不遥远
  随着移动互联网、物联网的普及,“万物互联”的实践便利了生活,也不可避免地带来了由于网络中不断接入“组件”(系统、设备、人与机构)而出现的安全隐患。在航运业,随着新技术的应用以及通信成本的降低,接入互联网的船上系统和设备大幅增加。近几年,越来越多的业内机构和专家表示了对船舶网络安全的关注和担忧,并已对此有了行动。如2016年1月,波罗的海航运公会(BIMCO)牵头提出并发布了船用网络安全导则;国际船级社协会(IACS)于2015年12月成立了网络系统专业委员会,制定了船舶网络安全的统一要求,并将在未来的工作中将其纳入入级规范;IMO第98届海上安全委员会通过并发布了《海上网络风险管理指南》,并在有关提高海事安全措施的决议中,鼓励各国政府确保不迟于2021年1月1日之后的首次DOC年度验证时,反映网络风险管理的相关内容,帮助海事界应对来自网络安全方面的严峻挑战。CCS针对船舶网络安全问题也发出技术通告,提请有关船东及船舶管理公司对船舶和海上设施的网络及相关系统的安全予以重视。接下来,如何针对船舶网络的具体情况提供建设指导,并建立量化的评价体系将成为工作的重点,这也是CCS此次推出指南的出发点。
 
  为复杂的船舶网络系统提出具体要求
  指南围绕四个方面对网络安全问题及相关工作提出了要求。
  一是通用要求与检验。指南对其适用对象及目标范围作了明确,对于评估工作开展过程中必要的图纸及资料文件提出了具体要求。对于满足指南要求的船舶,将为其授予相应的船级附加标志“Cyber Security”。指南同时提出了结合船舶初次及年度检验,开展网络安全附加标志的检验与试验实施细则。
  二是网络系统要求。接入船舶网络的利益相关方众多,而从源头上控制威胁的办法应是对系统的开发方、管理方提出相关要求。在这一部分,CCS将船舶网络涉及的诸多要素进行划分,按照资源、风险、程序三方面分别提出要求。在资源方面,提出管理网络基础设施及协议开放的原则、虚拟局域网划分原则;提出网络中系统及设备的规范化授权要求;对船舶网络的路由器和防火墙的监控;系统密码管理;系统数据流的监测,特别是对控制系统的数据安全监控;系统配置文件的日常维护与岸基远程获取。在风险方面,提出对船公司建立风险管理的制度性要求、对船舶网络潜在漏洞的探测要求、对第三方接入系统的控制、对船岸通信的过程保护、对控制系统的局域网要求,以及网络中的防御系统、漏洞扫描系统的接入参数要求;应急情况下对网络的妥善处置要求;系统数据的备份与灾难恢复。在程序方面,提出对船公司网络安全管理程序及相关组织机构的要求、船公司对网络安全意识的培训要求、网络系统的交付实施流程要求、运行与维护过程的基本管理办法。
  三是对网络系统产品的评估。针对由船舶网络系统的开发方申请,CCS提供针对网络系统产品设计、开发、安装等环节的评估服务。对于系统产品的范围,CCS并不考虑单独评估接入网络的所有系统,而是对网络体系结构的设计与开发过程进行控制。在该部分,CCS同样围绕资源、风险、程序三个方面,对网络系统产品实施指标性评估。为能通过技术手段提升评估的针对性,CCS提出了利用专业安全测量工具,对网络系统产品进行漏洞扫描、渗透测试的要求。
  四是对船舶网络系统的评估。针对由船东/船舶管理公司申请,CCS提供针对实船网络系统运行、管理、维护等环节的评估服务。鉴于目前国内船东的网络管理水平参差不齐,在进行评估前,船东需进行一个“自评估”,以快速的了解公司管理与船舶网络的状况,对于达到自评估“门槛”的船舶,由CCS对其实施指标性评估。

  安全网络体系是未来船舶发展的基础要素
  CCS希望通过指南的推出,推动业界对船舶网络的规范化开发、管理,特别要对如下问题进行重新认识:分清船舶信息系统与控制系统之间的区别,对于涉及保证船舶及人员安全的控制系统,要严控其网络访问条件、开放端口、数据流内容。一是不仅要关注有意的网络破坏及入侵手段,由于人员操作不当、安全意识淡薄等问题引发的网络威胁同样可怕;二是不当的系统设计、集成、维护,以及网络管理规定的缺失也将导致系统漏洞和威胁;三是敏感的、隐私的信息和数据应被妥善保护,相关的系统漏洞应事先予以处理;四是虽然对网络安全的评估仅涉及船东/船舶管理公司、系统开发方,对于可能接入船舶网络的相关方,也应严格遵守船东/船舶管理公司所提出的操作程序;五是网络安全问题并不局限于智能船舶,对于存在系统、设备接入互联网的船舶,均应依据实际情况考虑并控制风险。随着指南的推出,CCS将同步推出针对船舶网络的评估和试验、认可服务。
  随着新技术的发展应用,船舶实施系统的“平台化”管控、甚至船岸实时共享数据将渐成主流。一方面,这种模式有利于岸基对船舶状况的全面掌控,提升管理透明度;另一方面,将有利于数据的采集和综合分析,为大数据应用、辅助决策等功能提供数据积累,利用船舶在航行、健康管理、货物、能效等方面集成的数据和应用,为远程遥控、甚至自主航行船舶的发展提供基础。在平台化的大趋势下,对船舶网络系统的安全问题进行优先考虑,将为新技术的发展提供基础性保障。
  CCS认为,智能船舶的发展速度已超出业界的预期,特别是2016年以来,业内的科研项目、应用实施热点不断。2017年3月,航运界已成立了无人货物运输船开发联盟、无人船技术与系统联合重点实验室等合作组织。对船舶网络的依赖逐渐增大、船舶配员的大幅减少,将使业界对船舶安全的理解很快由强调海上人命安全过渡到关注系统、网络的安全。
 
上一篇:中国-巴拿马自贸区建设进程正式启动 下一篇:CCS《邮轮规范》的乘客健康保障要求