船岸網絡信息安全管理

孫輝

【摘 要】 為保障航運企業船岸網絡信息安全，維護航運企業利益，分析船岸網絡安全現狀，總結常見的網絡攻擊形式和安全漏洞，歸納處理網絡攻擊事件的基本步驟，提出船岸網絡安全管理目標和安全團隊成員崗位職責，并結合具體案例分析船岸網絡信息安全管理的應用，為航運企業做好船岸網絡信息安全工作提出建議。

【關鍵詞】 船岸網絡;信息安全;航運企業

0 引 言

一些航運企業已開始實施“數字化+互聯網”戰略，船舶運營參數及管理量化指標被轉移至信息更加透明的互聯網平臺，船舶所有人可以通過互聯網平臺隨時隨地查看船舶動態。航運企業將船舶全權委托給第三方船舶管理公司管理，并通過互聯網平臺監控船舶動態。這種管理模式帶來一個全新的課題：船岸網絡信息化程度越高，信息系統遭受攻擊導致數據泄露的風險越大。近年來已發生多起船員個人信息泄露導致的詐騙案件。這些個人信息泄露的源頭是船舶管理公司的信息系統。信息泄露會給個人造成損失，而信息系統遭受病毒攻擊則會給航運企業造成巨大損失。因此，信息安全對航運企業而言極為重要。

1 船岸網絡管理現狀

船岸網絡技術的發展非常迅速，特別是海上衛星通信服務商提供的海上高速網絡在資費下降后極大地提高了船舶與管理方、服務供應商、租船人和船舶所有人/經營人之間的信息交換頻率。海上高速網絡的普及給信息安全帶來更大的隱患。網絡沒有物理界限，任何具有網絡攻防知識并熟悉船舶扁平化網絡架構的人或組織都可以通過Shodan搜索引擎獲得相關信息，對船岸網絡實施遠程攻擊。通過對衛星通信服務商IP地址段批量掃描發現：眾多安裝VSAT、FBB設備的船舶未加安全措施就向公網開放了21/80/445/3389等弱口令TCP、UDP端口;供應商為節約成本、方便遠程維護管理，將Cobham、KVH CommBox、Inmarsat、Marlink等產品內建的管理后臺映射到外網;絕大部分船舶沒有配置專業的硬件防火墻，岸基管理人員缺乏專業技能，最終導致船舶網絡安全得不到保障。

要做好船岸網絡安全工作，首先要了解船岸網絡設備運行機制和原理。船舶內網GPS、ECDIS、主機監控系統服務器等多網卡設備既通過串口總線和CANBUS、MODBUS等協議控制舵機、智能電站及壓載水調平系統等設備，又通過網卡和SNMP、NMEA等協議進行網絡通信，從而形成了一個可以網絡遠程控制的船舶物聯網。由于某些船用通信協議存在設計缺陷，例如NMEA 0183協議通過明文傳輸，缺乏加密、身份認證和校驗機制，為實施網絡攻擊制造了機會――攻擊者只需遠程更改一兩個字符就可以命令船舶轉向。

2 常見的網絡攻擊方式

廣義上對船岸網絡的攻擊主要有兩類：（1）無目標的攻擊。岸基或船舶內網操作系統和第三方軟件漏洞是潛在受攻擊目標之一，攻擊者利用0day漏洞進行廣撒網式的無差別化攻擊，近幾年馬士基航運集團和中遠海運集運北美公司遭遇的網絡攻擊屬于此類。（2）有針對性的攻擊。攻擊者將某船岸信息系統設定為滲透目標，利用專門開發的繞過技術和工具躲避網絡防御機制（如震網病毒事件），實施多步驟攻擊，其破壞程度較無目標的攻擊更大。

有針對性攻擊又分為以下6種類型：

（1）主動攻擊。攻擊者主動攻擊網絡安全防線。主動攻擊的方式為修改或創建錯誤的數據流，主要攻擊形式有假冒、重放、篡改消息和使網絡拒絕服務等。

（2）被動攻擊。攻擊者監視相關信息流以獲得某些信息。被動攻擊基于網絡跟蹤通信鏈路或系統，用秘密抓取數據的木馬程序代替系統部件。

（3）物理攻擊。未被授權者在物理上接入網絡、系統或設備，以達到修改、收集信息或使網絡拒絕訪問的目的。

（4）內部攻擊。被授權修改信息安全處理系統，或具有直接訪問信息安全處理系統權力的內部人員，主動傳播非法獲取的信息。

（5）邊界攻擊。網絡邊界由路由器、防火墻、入侵檢測系統（IDS）、虛擬專用網（VPN、DMZ）和被屏蔽的子網等硬件和軟件組成。硬件的操作系統與其他軟件一樣存在安全漏洞，攻擊者可利用操作系統漏洞，繞過已知安全協議達到攻擊的目的。

（6）持續性威脅。商業間諜組織可能會通過“釣魚手法”進行攻擊。如以“某某船公司2020中期戰略企劃書”為關鍵詞投放電子誘餌，通過文檔追蹤工具進行精準定位，誘騙受害人打開附件或點擊郵件鏈接從而入侵或破壞其信息系統。

3 船岸網絡中易受攻擊的系統

船岸網絡中易受攻擊的系統有綜合船橋和電子海圖系統、配載儀和船舶維修保養系統、主機遙控和能效系統、保安限制區域閉路電視監控系統和各重點艙室門禁系統、乘員服務和管理系統、面向船員娛樂的公共網絡系統、船岸網絡通信系統、計算機操作系統及常用軟件等。

4 船舶網絡安全配置建議

（1）禁用公網IP，使用URA系統遠程管理。

（2）修改系統默認密碼并使用高強度密碼。

（3）將船岸網絡操作系統和第三方軟件補丁、病毒特征庫升級至最新版本。

（4）對工控網絡、辦公網絡、娛樂網絡實施網絡隔離和訪問控制。

（5）通過策略制定公用電腦進程白名單，禁用USB接口。

（6）向船員普及網絡安全風險防范知識。

（7）要求設備供應商提供必要的網絡安全事件應對措施。

（8）不過度依賴遠程網絡監控技術，增加現場勘查頻率。

5 網絡攻擊事件的處置步驟

（1）風險識別。定義相關人員的崗位和職責，確保在日常管理中能夠及時發現可疑風險。

（2）事件預防。制定風險控制流程和應急計劃，降低網絡風險，防范網絡攻擊。

（3）事件發現。檢查已確認的網絡攻擊事件，評估損失并制定后續恢復方案。

（4）事件恢復。制定計劃使系統恢復正常運行。

（5）免疫措施。制定措施避免類似網絡攻擊事件再次發生。

6 網絡信息安全團隊崗位職責

航運企業應設立信息安全官（CISO）崗位，其職責為：建立船岸網絡安全團隊并管理成員，牽頭制定全面的船舶網絡安全應急保護計劃（CSP），以持續保障船岸網絡安全。團隊成員崗位職責如下：

（1）對船舶VSAT/FBB設備端口映射及防火墻規則進行審核、分發、監控，熟悉Infinity、Xchange Box等通信管理系統的后臺設置，監控船岸網絡的可疑流量。

（2）對船岸內網信息設備和辦公電腦軟硬件及時更新維護，熟悉GTMailPlus、SkyfileMail、Super- Hub、RYDEX、AmosConnect等軟件操作知識。

（3）定期優化單船拓撲結構和更新船岸網絡病毒特征庫和漏洞補丁庫，不斷完善船岸網絡信息事故應急預案。

（4）收集供應商技術文件并集中存儲，向設備和服務供應商提交并跟蹤審核通導信息類設備保修工單（如KVH、Marlink、GEE、OneNet等）。

（5）跟蹤記錄新造船FBB、銥星移動通信系統、VSAT和船載物聯網設備安裝調試情況，審核通信類費用憑證。

（6）具備防火墻、路由器、入侵檢測系統、交換機的豐富知識，MacOS、Windows、Linux等3大操作系統及域控、數據庫的基礎知識，并能熟練使用SQL、Crystal Reports提取分析數據。

（7）參與船岸網絡的設計開發和信息系統的迭代開發，提出必要的安全策略規范要求。

（8）具備妥善監控并處理網絡安全事件的能力和獨立撰寫網絡安全事件調查報告的能力，并提出改進措施。

7 船岸網絡信息安全管理目標

船岸網絡信息安全問題從根本上說是人的問題，如何在制度上讓人遵守規則，如何在技術上減少或避免人為惡意攻擊，這是船岸網絡信息安全組織架構設計的目標。船岸網絡信息安全組織架構設計的總體目標可定義為：針對船岸網絡和信息安全需要，構建系統的網絡安全技術和信息防護策略及措施，通過制度管理和技術防范來規范員工行為，達到網絡和信息資產安全可控的目的，最終達到“外人進不來、進來看不到、看到拿不走、拿走用不了、操作可追溯”的目的。首席信息安全總監的基本職責是建立船岸網絡和信息安全團隊并確保團隊成員各司其職。團隊成員既包括企業內部的計算機安全專家，也包括企業外部的資深律師、會計師、技術專家等。

8 經驗交流

網絡信息安全對于大部分人而言比較陌生。在實踐中，大部分航運企業由總裁辦（行政事務部）或保密部門負責網絡信息安全，而網絡信息安全職能又隸屬話語權不高的IT部門，最終導致企業網絡信息安全工作進展遲滯，制度實施緩慢。因此，建議由公司領導牽頭，技術保障部門負責具體實施。有條件的航運公司應該定期針對船岸網絡信息系統進行安全演習并配置網絡信息安全設備，以便當船岸網絡信息系統被攻擊時，能夠迅速作出應急反應，盡快恢復網絡系統，盡可能挽回損失。此外，在員工手冊、船員上船協議中應該賦予航運公司相關職能部門通過技術手段來防止內部威脅的權力，打擊隱蔽性較強的涉及船岸網絡的職務犯罪。

以某航運企業為例，2018年初由公司領導牽頭與某船級社聯合成立了船岸網絡信息安全專項課題組，針對公司船岸網絡的特殊性制定了一套通用船舶網絡安全管理體系，并在超大型集裝箱船試行《船舶網絡信息安全實施指南（征求意見稿）》和相關配套制度，如《船舶網絡信息資產管理辦法》《船舶VSAT、局域網及防火墻設置規范》《船舶網絡信息安全員崗位職責》《船員網絡信息安全應知手冊》等。此外，還對試點船舶就域控服務器（解決內網信息審計問題）、KMS激活服務器（解決操作系統、辦公軟件授權問題）、自建CA授權機構頒發數字證書（解決SHA256數據加密問題）、某開源局域網遠程管理軟件以及等級保護一體機硬件部署（解決病毒庫、補丁庫離線升級問題）等項目進行技術驗證，為下一步推廣應用船岸網絡信息安全課題研究成果奠定了良好基礎。

9 結 語

沒有船岸網絡信息安全就沒有航運安全。隨著數字化航運戰略的推進，航運企業越來越依賴網絡信息技術，網絡信息安全事關航運企業根本利益，加強網絡信息安全建設，必須通過加強制度建設和技術防范，從根本上消除信息安全隱患，促進航運企業的發展。