船舶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及應(yīng)對(duì)策略

李曉輝 周 楠

一、引言

隨著船舶數(shù)字化、智能化水平的不斷提高，接入網(wǎng)絡(luò)的數(shù)據(jù)、資產(chǎn)變得越來(lái)越有價(jià)值，船舶面臨的網(wǎng)絡(luò)安全問(wèn)題日益突出，利用網(wǎng)絡(luò)攻擊入侵船舶變得更加有利可圖。 2013 年，某新加坡籍貨船GPS數(shù)據(jù)被破壞，導(dǎo)致該船在急速航行中撞翻了一艘漁船，造成兩人喪生、一人失蹤[1]；2017年2月，一艘集裝箱船在從塞浦路斯駛往吉布提的途中遭到黑客的攻擊，黑客控制了該船的導(dǎo)航系統(tǒng)，意圖將該船引至易登船控制的區(qū)域[2].。船舶面對(duì)網(wǎng)絡(luò)威脅的脆弱性，船員對(duì)抗網(wǎng)絡(luò)攻擊的無(wú)能為力，使得各方警醒。船東、船員、VTS主管機(jī)關(guān)如何識(shí)別及評(píng)估網(wǎng)絡(luò)安全所面臨的風(fēng)險(xiǎn)，事故發(fā)生后如何應(yīng)對(duì)，這些都是船舶網(wǎng)絡(luò)安全領(lǐng)域亟待深入研究的問(wèn)題。

針對(duì)船舶數(shù)字化、智能化發(fā)展過(guò)程中帶來(lái)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，IMO（國(guó)際海事組織）、IALA（國(guó)際航標(biāo)協(xié)會(huì)）高度重視并積極響應(yīng)。2015年6月，IMO海上安全委員會(huì)（MSC）第95屆會(huì)議上對(duì)網(wǎng)絡(luò)安全問(wèn)題進(jìn)行了初步討論，明確提出國(guó)際海事業(yè)界需要加強(qiáng)對(duì)網(wǎng)絡(luò)空間威脅的重視并做出適當(dāng)響應(yīng)；2017年6月，MSC第98屆大會(huì)上通過(guò)了MSC.428（98）“安全管理系統(tǒng)之海上網(wǎng)絡(luò)風(fēng)險(xiǎn)管理”決議，確認(rèn)將“船舶網(wǎng)絡(luò)風(fēng)險(xiǎn)管理”納入“船舶安全管理體系”；2017年7月，IMO通過(guò)了正式的MSCFAL.1/Circ.3《海事網(wǎng)絡(luò)風(fēng)險(xiǎn)管理導(dǎo)則》，對(duì)海事網(wǎng)絡(luò)風(fēng)險(xiǎn)管理提供了指導(dǎo)。IALA將“網(wǎng)絡(luò)犯罪的易發(fā)性和網(wǎng)絡(luò)安全”確定為未來(lái)全球海事發(fā)展的趨勢(shì)（細(xì)化為三個(gè)方向：隨著船舶的數(shù)字化、智能化，船舶受到網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)越來(lái)越大；網(wǎng)絡(luò)安全預(yù)計(jì)將成為海事主管機(jī)關(guān)、船東和航運(yùn)公司高度優(yōu)先關(guān)注的領(lǐng)域；分析對(duì)AtoN（助航）和VTS當(dāng)局以及IALA成員的威脅，并提出采取適當(dāng)?shù)拇胧┦欠浅Ｖ匾模?，基于此IALA考慮提供與AtoN相關(guān)的應(yīng)對(duì)網(wǎng)絡(luò)安全威脅和程序的指南以實(shí)現(xiàn)其宗旨。

二、船舶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

隨著ISM規(guī)則（國(guó)際船舶安全營(yíng)運(yùn)和防污染管理規(guī)則）的實(shí)施，船上配備的計(jì)算機(jī)從滿足日常通信、配貨需要逐步擴(kuò)大到實(shí)現(xiàn)各類系統(tǒng)設(shè)備維護(hù)保養(yǎng)和管理，應(yīng)用涵蓋了通信、貨運(yùn)、船舶管理、維護(hù)保養(yǎng)、航線設(shè)計(jì)、培訓(xùn)、娛樂(lè)等各個(gè)方面。為方便船員與外界的聯(lián)系，船舶通過(guò)VSAT、Inmarsat或銥星等衛(wèi)星網(wǎng)絡(luò)實(shí)現(xiàn)對(duì)外連接，船上的GPS、AIS等導(dǎo)助航系統(tǒng)雖不連接互聯(lián)網(wǎng)，但需要通過(guò)專用網(wǎng)絡(luò)與外部實(shí)現(xiàn)數(shù)據(jù)接收與交換。船舶網(wǎng)絡(luò)系統(tǒng)由各大計(jì)算機(jī)系統(tǒng)組成，能夠與外界實(shí)現(xiàn)傳輸數(shù)據(jù)的每個(gè)計(jì)算機(jī)都面臨著網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。通過(guò)對(duì)船舶網(wǎng)絡(luò)結(jié)構(gòu)的薄弱環(huán)節(jié)進(jìn)行分析，進(jìn)而找到網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)源，對(duì)防控船舶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)具有重要意義。

1.船舶網(wǎng)絡(luò)結(jié)構(gòu)

船舶網(wǎng)絡(luò)結(jié)構(gòu)根據(jù)應(yīng)用層級(jí)的不同分為用戶層、控制層和管理層，基本結(jié)構(gòu)如圖1所示。用戶層主要包括郵件服務(wù)、打印服務(wù)、個(gè)人PC等，控制層主要包括推進(jìn)系統(tǒng)、操舵系統(tǒng)、鍋爐控制系統(tǒng)等，管理層主要包括ECDIS、GPS、AIS、貨物管理系統(tǒng)等。

圖1 船舶網(wǎng)絡(luò)結(jié)構(gòu)示意圖

由于船舶整體設(shè)計(jì)和建造的周期較長(zhǎng)，船舶網(wǎng)絡(luò)系統(tǒng)軟硬件更新升級(jí)頻率較低。根據(jù)調(diào)查統(tǒng)計(jì)，目前大部分船舶沒(méi)有配備隨船負(fù)責(zé)網(wǎng)絡(luò)安全的IT人員，導(dǎo)致船舶網(wǎng)絡(luò)結(jié)構(gòu)存在較多薄弱環(huán)節(jié)。

2.船舶網(wǎng)絡(luò)風(fēng)險(xiǎn)源

船舶網(wǎng)絡(luò)可能遭受威脅的設(shè)備分為信息技術(shù)系統(tǒng)（IT）和操作技術(shù)系統(tǒng)（OT）。信息技術(shù)系統(tǒng)（IT）主要是將數(shù)據(jù)作為信息使用，目前船上應(yīng)用的各種計(jì)算機(jī)包括電子郵件系統(tǒng)計(jì)算機(jī)、配載儀計(jì)算機(jī)、電子航海出版物計(jì)算機(jī)、船舶維修保養(yǎng)計(jì)劃計(jì)算機(jī)、各辦公計(jì)算機(jī)等。只要將數(shù)據(jù)作為信息使用，都屬于信息技術(shù)系統(tǒng)。操作技術(shù)系統(tǒng)（OT）則通過(guò)數(shù)據(jù)來(lái)操控或監(jiān)控物理過(guò)程，主要包括GPS、AIS及與其相關(guān)聯(lián)的雷達(dá)、電子海圖、VDR等用于監(jiān)控船舶運(yùn)動(dòng)的設(shè)備。

信息技術(shù)系統(tǒng)主要面臨信息被竊取、數(shù)據(jù)被篡改或破壞以及被敲詐勒索等安全風(fēng)險(xiǎn)。操作技術(shù)系統(tǒng)主要面臨GPS受到干擾甚至信號(hào)被覆蓋替換，ECDIS中文件被刪除、替換，AIS數(shù)據(jù)被偽造迫使船舶改變航線，冒充VTS主管機(jī)關(guān)發(fā)送AIS信息，船舶控制系統(tǒng)遭受攻擊被遠(yuǎn)程操縱等安全風(fēng)險(xiǎn)。

識(shí)別、確定船舶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)源，對(duì)于加強(qiáng)防護(hù)、防止船舶網(wǎng)絡(luò)安全事件的發(fā)生具有重要意義。根據(jù)系統(tǒng)安全工程特點(diǎn)，船舶網(wǎng)絡(luò)風(fēng)險(xiǎn)可以用可能性和嚴(yán)重性來(lái)表示，即：R=f（F，C），其中R表示網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，F(xiàn)表示發(fā)生網(wǎng)絡(luò)安全事件的可能性，C表示發(fā)生網(wǎng)絡(luò)安全事件的嚴(yán)重性。船舶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估需要確定發(fā)生網(wǎng)絡(luò)安全事件的可能性、嚴(yán)重性的影響因子，主要涉及威脅識(shí)別、脆弱性識(shí)別、資產(chǎn)識(shí)別三個(gè)方面。網(wǎng)絡(luò)威脅是指船舶網(wǎng)絡(luò)系統(tǒng)中的威脅因素等，包括人為因素和自然因素，網(wǎng)絡(luò)脆弱性是指船舶網(wǎng)絡(luò)系統(tǒng)中被威脅對(duì)象存在的弱點(diǎn)的等級(jí)或者嚴(yán)重程度，資產(chǎn)是指網(wǎng)絡(luò)系統(tǒng)中被威脅對(duì)象的價(jià)值，包括有形資產(chǎn)、無(wú)形資產(chǎn)。通過(guò)對(duì)威脅、脆弱性、資產(chǎn)的識(shí)別分析，對(duì)其結(jié)果進(jìn)行一定的賦值，得出安全事件發(fā)生的可能性和造成的嚴(yán)重性，進(jìn)而計(jì)算出船舶網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)值。

克羅地亞里耶卡大學(xué)B. Svilicic等人通過(guò)模擬黑客攻擊船舶IT、OT系統(tǒng)，發(fā)現(xiàn)船舶網(wǎng)絡(luò)易遭受攻擊的部位分別為GPS、ECDIS、AIS和船舶貨物管理系統(tǒng)[3]，進(jìn)而得出結(jié)論船舶網(wǎng)絡(luò)安全的主要風(fēng)險(xiǎn)源是GPS、ECDIS、AIS和船舶貨物管理系統(tǒng)。

（1）GPS（全球定位系統(tǒng)）。GPS是船舶在海上航行時(shí)提供導(dǎo)航定位信息的關(guān)鍵技術(shù)系統(tǒng)，是ECDIS的重要組成部分。GPS所用的GNSS（全球?qū)Ш叫l(wèi)星系統(tǒng)）通常信號(hào)微弱，而且沒(méi)有較強(qiáng)的安全認(rèn)證措施，很容易受到干擾，導(dǎo)致信號(hào)中斷或者被覆蓋[4]，進(jìn)而對(duì)船舶安全造成重大威脅。

（2）ECDIS。ECDIS包含電子海圖和船舶航行狀態(tài)實(shí)時(shí)信息，并集成了GPS、雷達(dá)、測(cè)深儀、AIS等系統(tǒng)信息。攻擊者可以通過(guò)破壞GPS信號(hào)來(lái)干擾ECDIS的正常工作，同時(shí)也可以通過(guò)訪問(wèn)ECDIS軟件系統(tǒng)來(lái)修改船舶航行狀態(tài)信息或者篡改存儲(chǔ)文件以實(shí)現(xiàn)非法目的。攻擊者可以利用ECDIS系統(tǒng)存在的漏洞讀取、下載、替換或者刪除ECDIS中的任何文件，并可以訪問(wèn)與ECDIS連接的其他系統(tǒng)，這類攻擊往往因船員使用USB存儲(chǔ)裝置、系統(tǒng)下載被感染的文件或系統(tǒng)中存在未及時(shí)修補(bǔ)的軟件漏洞而引起[5]。

（3）AIS （船舶自動(dòng)識(shí)別系統(tǒng)）。AIS、GPS將船位、船速及航向等船舶動(dòng)態(tài)結(jié)合船名、呼號(hào)、吃水及危險(xiǎn)貨物等船舶靜態(tài)資料由VHF（甚高頻）頻道向附近水域船舶及岸臺(tái)廣播，使鄰近船舶及岸臺(tái)能及時(shí)掌握附近海面所有船舶的動(dòng)靜態(tài)資訊并得以立刻互相通話協(xié)調(diào)，采取必要避讓行動(dòng)，對(duì)船舶安全有很大幫助。由于沒(méi)有內(nèi)置的安全措施，AIS采用廣播式信息發(fā)布，很容易被攻擊者利用和控制。目前針對(duì)AIS的攻擊主要有三種：第一種是通過(guò)偽造AIS數(shù)據(jù)創(chuàng)造虛擬船舶與目標(biāo)船造成緊迫局面，導(dǎo)致目標(biāo)船改變航線；第二種是冒充VTS主管機(jī)關(guān)發(fā)出虛假AIS報(bào)文信息，使得目標(biāo)船脫離監(jiān)控；第三種是提高附近船舶AIS數(shù)據(jù)交換頻率，導(dǎo)致AIS數(shù)據(jù)溢出，進(jìn)而使目標(biāo)船舶不能獲取有效的AIS數(shù)據(jù)。

（4）船舶貨物管理系統(tǒng)。船舶貨物管理系統(tǒng)因得不到及時(shí)更新和升級(jí)，普遍存在漏洞。攻擊者對(duì)船舶貨物管理系統(tǒng)的入侵主要有三種：第一種是通過(guò)調(diào)取貨物運(yùn)輸?shù)男畔?，伺機(jī)盜竊貨物；第二種是通過(guò)篡改貨物跟蹤系統(tǒng)記錄，夾帶危險(xiǎn)品甚至進(jìn)行販毒等犯罪活動(dòng)；第三種是刪除貨物管理系統(tǒng)記錄，導(dǎo)致貨物跟蹤混亂、配送錯(cuò)誤。

3.船舶網(wǎng)絡(luò)攻擊類型

攻擊者利用船舶網(wǎng)絡(luò)系統(tǒng)存在的漏洞，破壞船舶各類系統(tǒng)以實(shí)現(xiàn)其非法目的，獲取直接或者間接的經(jīng)濟(jì)利益甚至進(jìn)行恐怖主義活動(dòng)。船舶網(wǎng)絡(luò)面臨的攻擊主要分為以下三類。

（1）盜取、走私貨物。攻擊者通過(guò)船舶貨物管理系統(tǒng)漏洞，讀取修改船上貨物類型、存放位置和裝卸計(jì)劃，在貨物裝卸期間快速定位高價(jià)值貨物，進(jìn)而實(shí)施盜竊。攻擊者也可以通過(guò)修改貨物管理系統(tǒng)記錄隱藏含有毒品等違禁品的貨柜，進(jìn)行走私活動(dòng)。

（2）遠(yuǎn)程劫持船舶。攻擊者通過(guò)干擾船舶的GPS信號(hào)或者入侵ECDIS來(lái)破壞船舶的導(dǎo)助航系統(tǒng)甚至加密海圖等重要航行信息，使船舶無(wú)法正常航行，以勒索金錢。攻擊者也可以利用虛假的導(dǎo)助航信息使得船舶偏離設(shè)定航線，甚至冒充VTS主管機(jī)關(guān)發(fā)出AIS報(bào)文信息，使船舶進(jìn)入攻擊者易于登輪的區(qū)域。

（3）恐怖主義行為。攻擊者通過(guò)入侵船舶控制網(wǎng)絡(luò)，直接對(duì)船舶的推進(jìn)系統(tǒng)、操舵控制系統(tǒng)等進(jìn)行控制，導(dǎo)致船舶碰撞、擱淺、觸礁等事故發(fā)生。

三、各方應(yīng)對(duì)船舶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的策略

隨著船舶數(shù)字化、智能化水平的不斷提升，甚至無(wú)人船的逐步成熟應(yīng)用，船舶網(wǎng)絡(luò)安全面臨的威脅日益嚴(yán)峻，然而船舶基本上仍處于未防范或低防范狀態(tài)，船員普遍缺乏網(wǎng)絡(luò)安全意識(shí)，VTS主管機(jī)關(guān)缺乏應(yīng)對(duì)網(wǎng)絡(luò)安全的有效措施，應(yīng)對(duì)船舶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)需要各方高度重視，齊抓共管，共同發(fā)力。

1.船東及船公司

船東及船舶管理公司應(yīng)通過(guò)采取以下措施應(yīng)對(duì)船舶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。應(yīng)制定船舶網(wǎng)絡(luò)安全管理手冊(cè)，將網(wǎng)絡(luò)風(fēng)險(xiǎn)意識(shí)文化滲透到組織的各個(gè)層次和部門，確保網(wǎng)絡(luò)風(fēng)險(xiǎn)管理體系的整體性和靈活性，并通過(guò)有效的反饋機(jī)制不斷進(jìn)行評(píng)估；應(yīng)加強(qiáng)網(wǎng)絡(luò)安全與風(fēng)險(xiǎn)管理培訓(xùn)，全面提高岸基人員與船員的網(wǎng)絡(luò)安全意識(shí)；應(yīng)建立船舶網(wǎng)絡(luò)安全檢測(cè)程序，確保能夠準(zhǔn)確識(shí)別船舶內(nèi)部和外部面臨的網(wǎng)絡(luò)安全威脅，及時(shí)監(jiān)測(cè)到網(wǎng)絡(luò)事件的發(fā)生；應(yīng)增強(qiáng)船舶網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)，在布設(shè)船舶信息、數(shù)字系統(tǒng)時(shí)，采用由不同供應(yīng)商產(chǎn)品組成的多架構(gòu)冗余系統(tǒng)，降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)；應(yīng)配備專兼職的船舶網(wǎng)絡(luò)安全員，隨時(shí)監(jiān)控各系統(tǒng)運(yùn)行狀態(tài)，并負(fù)責(zé)及時(shí)更新升級(jí)軟件系統(tǒng)、修補(bǔ)漏洞；應(yīng)制訂船舶網(wǎng)絡(luò)風(fēng)險(xiǎn)應(yīng)急預(yù)案，隨時(shí)應(yīng)對(duì)船舶網(wǎng)絡(luò)安全事件的發(fā)生。

2.船員

船員應(yīng)從思想上提高網(wǎng)絡(luò)安全意識(shí)，通過(guò)參加培訓(xùn)、自學(xué)等方式掌握網(wǎng)絡(luò)安全的各類知識(shí)；在日常工作中，不隨意將個(gè)人U盤等存儲(chǔ)介質(zhì)接入船上各大系統(tǒng)計(jì)算機(jī)，不隨意關(guān)掉甚至卸載船上計(jì)算機(jī)防火墻、安全檢測(cè)防護(hù)軟件等，不將船上OT、IT系統(tǒng)計(jì)算機(jī)作為個(gè)人計(jì)算機(jī)使用。同時(shí)，要加強(qiáng)船舶網(wǎng)絡(luò)安全事件應(yīng)急演習(xí)，不斷提升應(yīng)對(duì)網(wǎng)絡(luò)安全事件的應(yīng)急處置能力。

3.VTS主管機(jī)關(guān)

VTS系統(tǒng)涉及雷達(dá)、AIS、CCTV、VHF等多源數(shù)據(jù)的融合及應(yīng)用，同時(shí)系統(tǒng)服務(wù)范圍除主管機(jī)關(guān)外，還包括引航、港口調(diào)度管理、搜救、航運(yùn)公司等部門，系統(tǒng)的網(wǎng)絡(luò)邊界和數(shù)據(jù)交互接口較多，隨之而來(lái)的安全風(fēng)險(xiǎn)也越高。VTS主管機(jī)關(guān)應(yīng)建設(shè)網(wǎng)絡(luò)安全管理中心，對(duì)VTS網(wǎng)絡(luò)安全進(jìn)行統(tǒng)一管理，并負(fù)責(zé)安全事件的協(xié)調(diào)處置；應(yīng)加強(qiáng)網(wǎng)絡(luò)安全系統(tǒng)工程建設(shè)，制定包括物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、應(yīng)用軟件和數(shù)據(jù)安全的VTS網(wǎng)絡(luò)安全防護(hù)措施。同時(shí)，應(yīng)制定內(nèi)部和外部的網(wǎng)絡(luò)安全應(yīng)急計(jì)劃，確保VTS系統(tǒng)正常運(yùn)行，確保船舶交通服務(wù)不受影響。

四、展望

網(wǎng)絡(luò)安全將成為未來(lái)影響海上安全的核心因素，IALA VTS第47次會(huì)議正式啟動(dòng)了“制定關(guān)于網(wǎng)絡(luò)安全的建議案”的工作，我國(guó)也提出了“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，沒(méi)有信息化就沒(méi)有現(xiàn)代化”的重大論斷。船舶數(shù)字化、智能化的發(fā)展需要不斷優(yōu)化的安全治理架構(gòu)和堅(jiān)實(shí)的網(wǎng)絡(luò)安全防護(hù)能力體系支撐。船舶網(wǎng)絡(luò)安全防護(hù)工作是一項(xiàng)系統(tǒng)工程，需要不斷開(kāi)闊視野，提高認(rèn)識(shí)，夯實(shí)船舶網(wǎng)絡(luò)安全基礎(chǔ)，大力提升網(wǎng)絡(luò)安全防護(hù)的技術(shù)和管理水平，構(gòu)建全面、牢固的防御體系，持續(xù)提升網(wǎng)絡(luò)安全防護(hù)能力。