船舶信息系統融合集成及網絡安全合規改造

繆政

（中遠海運散貨運輸有限公司，廣東 廣州 510220）

引言

IMO 于2017 年6 月MSC98 通過有關海事安全相關決議，將船舶網絡安全列為2021 年首次DOC 審核內容。船舶局域網從設計之初就未充分考慮網絡安全，安全隔離不到位，防護手段缺失，難以滿足相關規范要求。為避免由于網絡安全不合規導致船舶被滯留的情況發生，需要對船舶網絡安全進行改造。同時，船舶上計算機工作環境復雜，要面對高溫、高濕、高鹽、晃動、電力不穩定等多種復雜環境。普通的商用服務器對環境要求極其嚴格，需要工作在計算機機房環境中(溫度范圍20-25℃，相對濕度范圍40%-55%)，在船舶上運行故障率非常高。而且隨著VSAT 的成熟推廣，船舶由原來的離線狀態逐漸轉為實時在線狀態，這對船舶信息系統的安全性、高可用性、集中管理的要求越來越迫切。傳統的每部署一個信息系統就部署一套物理商用服務器的方式，使船舶信息系統的故障風險點不斷堆砌積累，既給船舶信息系統運維帶來壓力，也造成了巨大的成本開銷。

針對上述兩點，我們從安全合規及服務器融合集成兩方面對“XX 海”輪的IT 信息系統進行了改造。

一、船舶網絡安全合規改造

網絡安全最重要的設計原則就是隔離。對于船舶局域網來說，如果將服務器和用戶電腦混在一個網絡里，一旦某臺電腦中毒或遭受攻擊，將很快在全網范圍內傳播，造成網絡癱瘓和數據丟失。而我司船舶局域網恰恰就是典型的未劃分安全區域的混雜原始網絡。

改造前，“XX海”輪局域網拓撲完全不符合CCS規范要求。為解決此問題，需要將船舶局域網進行安全域劃分，劃分為服務器安全域和用戶辦公安全域，各個不同的安全域之間進行邏輯隔離，一旦某個安全域出現問題，可以將安全威脅控制在此安全域內，不會造成全網傳播。各安全域之間配置安全策略，嚴格進行過濾，確保數據安全傳輸，降低安全風險，滿足監管要求。

同時，按照CCS 的網絡安全指南要求，船舶需要配備具有IPS（入侵防御系統）、防病毒等安全功能的網關設備。目前船舶上使用的Netgear 路由器不具備此類功能，需要使用UTM（統一威脅防護）設備進行替換[1]。UTM設備除具備傳統防火墻功能外，還具備IPS、防病毒等新型安全防護功能，技術成熟，性價比高，能夠提供三到七層全面的安全防護，非常適合在船上使用。

船岸數據傳輸加密隧道方面，隨著船上VSAT 網絡的成熟，船舶轉為實時在線狀態，為保障船岸數據傳輸的安全，防止業務數據被非法竊取，需要進行加密傳輸。可通過船端UTM 設備與岸端建立IPSec VPN 加密隧道，所有數據均通過該隧道傳輸，有效保證業務數據傳輸的安全性[2]。同時，利用該加密隧道，還可以進行船舶局域網遠程維護操作，有效降低人力成本。

終端防護方面，目前船上各個電腦均未安裝專業的殺毒軟件，存在較大安全隱患，也無法滿足監管要求。按照統一規劃、統一管理、統一部署的思路，在船舶各電腦上安裝新一代EDR（終端安全防護）客戶端，岸端部署EDR服務端，客戶端安裝完成后免維護，統一由服務端自動進行安全任務下發。EDR 除具備傳統殺毒功能外，還具備漏洞修復、資產管理、安全基線核查等功能。

未來，隨著船岸通信技術的進步，我們可以考慮將船端網絡安全狀況納入岸端態勢感知平臺，以更加直觀的方式實時展示船舶網絡安全態勢，加強對船舶網絡的掌控力度。

根據上述思路，對“XX 海”輪網絡改造后，通過UTM 設備+EDR 終端防護，為船舶提供了一套滿足合規、輕量級、性價比高、擴展性好的網絡安全拓撲。

二、船舶服務器融合集成

如前文所述，目前我司船舶信息系統所運行的服務器來源各異，品牌各異，有商用服務器、有工控機、甚至還有普通臺式電腦充當服務器。各個服務器均為單機運行，一旦損壞，除等待船舶靠泊期間更換以外，別無他法。尤其是商用服務器和臺式電腦，由于本身是為岸端環境所設計，運行在船上，故障率尤為高企。針對這個痛點，我們設計了通過虛擬化技術運行在工控機頂級廠商研華所生產的設備上的船舶超融合計算平臺方案。

船舶超融合計算平臺，采用的是目前業界前沿的超融合架構：在一個4U（服務器物理高度單位）的高密度工控服務器內，放入4 節點高性能計算單元（工作溫度0-60℃，相對濕度最大85%），以應對船舶惡劣運行環境。每個單節點均搭載主頻3.2Ghz 的英特爾第八代酷睿i7-8700 處理器,6 核雙線程，16GB 內存，1TB 固態硬盤。并配備豐富的板卡擴展槽，滿足船舶不同信息系統運行的需求[3]。

在此超融合服務器內，采用了虛擬化技術，實現計算能力、存儲能力、網絡帶寬的動態分配。在此平臺上可以通過虛擬機部署各種類型的信息系統，不論是基于windows或linux的何種版本開發。由于其采用4節點分布式架構，因此可以實現虛擬機熱遷移，故障轉移，運行狀態檢測，虛擬機快照、實時備份等高級功能。分布式存儲保障了數據的安全性，不會因硬盤故障而丟失數據，也不會因服務器故障影響業務系統的正常運行。該平臺實現了多個船舶應用系統在同一臺超融工控服務器上高效穩定的運行，充分發揮硬件資源使用率，實現集中化部署，標準化管理。

改造后能效系統、船員培訓系統、應用系統遷移到此平臺，替換掉4 臺實體服務器，新增8 臺虛擬服務器，實際部署虛擬機系統12 臺，并還可隨著船舶信息系統的不斷增加在超融合工控服務器內隨時擴展。而對于已經運行的12 臺虛擬服務器而言，任何一臺虛擬服務器故障，均可以隨時恢復。及時超融合工控服務器上物理硬件出現了故障，由于其4 節點分布式架構，任何一個硬件上承載的虛擬服務器均可以實時自動熱遷移到其他節點上，對于用戶而言，零感知。

在經濟性方面，超融合工控服務器更是具有無可比擬的優勢。

原“XX 海”輪船舶部署的系統硬件費用估算：能效系統采用兩臺研華工控機，大約費用3 萬元；船員培訓系統采用一臺工控機一臺筆記本電腦，費用約2 萬元；航標系統采用臺式辦公電腦，費用約1 萬元。傳統部署方式硬件成本總共約6 萬元。超融合工控服務器成本約7 萬元。

經過對比，傳統物理服務器的成本與超融合工控服務器的成本基本持平，略低于超融合工控服務器成本。但是由于本次除替換原物理服務器外，還新增了8 臺虛擬服務器，若此8 臺虛擬服務器按傳統方式進行物理服務器部署，新增物理服務器全部按照成本較低的商用服務器計算。

當新增應用系統增加時，傳統物理服務器方式的成本已經飆升至超融合工控服務器成本的2 倍。“XX 海”輪原有物理服務器當中，只有能效服務器分為AB 兩臺，可以互為備份。其他服務器均為單機運行，一旦故障除更換外別無他法。若從業務連續性的角度考慮，為其配備備份服務器，則成本更是激增。

可見，若傳統物理服務器要實現超融合工控服務器同樣的安全性和穩定性，成本將激增至3 倍以上。即使不考慮成本問題，也不考慮管理這些服務器的困難程度，單是擺放這些服務器的空間船上根本就無法提供。

有上述對比可知，超融合工控服務器無論是安全性、穩定性、部署靈活性，還是性價比，均遠超傳統的物理服務器部署方式。

三、總結

本次在“XX 海”輪實施的船舶信息系統集成項目，由安全合規改造和服務器融合集成兩部分組成。其中安全合規改造是硬性指標，完全按照CCS指南中關于船舶網絡安全的規范進行。經過本次改造以后，“XX 海”輪船舶網絡的安全性大幅提升。而服務器融合集成則充分實現了IT 新技術與船舶實際相結合，以絕佳的性價比，大幅提升了船舶信息系統的安全性、穩定性、靈活性，為日后實施智能船舶打下了堅實的基礎。