淺析DNVGL 網絡安全規范

龍紅剛 ，葉文彬 ，范文婷， 胡登峰

（廣州文沖船廠有限責任公司,廣州 510727）

1 前言

近年來，隨著船舶數字化、智能化、網絡化發展水平的提升，越來越多的船舶控制系統、通訊導航系統、信息管理系統及設備不斷接入船舶網絡，使船舶遭受網絡威脅的隱患不斷加劇。在此背景下，2017 年國際海事組織通過了 “安全管理系統之海上網絡風險管理”的MSC.428(98)號決議，確認應將船舶網絡風險管理納入船舶安全管理體系之列，鼓勵各主管機關在2021 年1 月1 日后對各船舶管理公司符合聲明的第一次年度審核時，將網絡風險相關內容納入船舶安全管理體系。為了積極應對航運業網絡風險，DNVGL 于2020 年6 月推出網絡安全規范，提出4 個網絡安全符號：Cyber security、Cyber security（Essential）、Cyber security（Advanced）、Cyber security（+），為入級該船級社的船舶提供網絡安全設計及檢驗指南。

2 網絡安全等級及符號

2.1 網絡安全級別

DNVGL 根據IEC 62443 號標準，確定了5 種不同網絡安全級別：SP0、SP1、SP2、SP3、SP4。各級別的安全防護能力如下：

SP0—是安全防護能力的初始水平，它僅能保護來自岸上通信和惡意軟件的攻擊，符合MSC.428(98)文件的意圖，是取得Cyber security 的基本要求；

SP1—基于IEC62443 安全級別1，對偶然或巧合的網絡威脅防護，是取得Cyber security（Essential）符號必須達到的水平，也可以是Cyber security（+）應該達到的水平；

SP2—基于IEC62443 安全級別2，是擁有低量資源和低動機的威脅行為者故意入侵的防護，也可以是Cyber security（+）應該達到的水平；

SP3—基于IEC62443 安全級別3，對擁有中等量資源和特定的OT 系統技能的威脅行為者故意入侵的防護，是取得Cyber security（Advanced）符號必須達到的水平，也可以是Cyber security（+）應該達到的水平；

SP4—基于IEC62443安全級別4，對擁有豐富資源、高動機和特定的OT 系統技能的威脅行為者入侵防護，也可以是Cyber security（+）應該達到的水平。

2.2 網絡安全符號

對于船舶網絡安全來說，不同的船型、不同的船舶管理公司，解決方案也可能不同，所以DNVGL 推出4 個網絡安全符號：Cyber security、Cyber security（Essential）、Cyber security（Advanced）、Cyber security（+）。這主要是考慮到不同的船型有不同的安全要求，同一艘船不同的系統也有不同的要求，便于船廠進行網絡安全設計，也方便船東進行船舶網絡安全方面的管理。

不同的網絡安全符號，應具備的基本安全級別如表1 所示：

表1 安全符號和安全級別對應表

廣州文沖船廠有限公司建造的2 038TEU 集裝箱系列船，申請的是DNVGL 最基本的網絡安全符號Cyber security，安全等級SP0 級。

3 網絡安全系統

船舶網絡風險是指船舶技術資產受到潛在的網絡環境或事件威脅，信息或網絡遭到破壞、損失、陷入危險，可能導致航運相關操作、安全或保安的失敗。

DNVGL 根據《海上網絡風險管理指南》（MSCFAL.1-Circ-3）提及的標識、保護、發現、響應和恢復五大功能要素，提出以下11 個船上的設備系統可能遭受網絡攻擊：

（1）推進系統；

（2）舵機系統；

（3）水密完整性；

（4）火災探測和消防；

（5）壓載；

（6）側推；

（7）船舶電站系統；

（8）重要的輔助系統；

（9）應急切斷系統；

（10）橋樓系統；

（11）工業用途系統。

因第（11）項工業用途系統只適用某些工程船，故我司的2 038TEU 系列集裝船只考慮了前10 個系統。

4 網絡風險評估

船舶網絡風險評估應貫穿于船舶整個生命周期的各個階段，這是為了保護系統的硬件、軟件及相關數據，使之不因為偶然或者惡意侵犯而遭受破壞、更改及泄露，保證網絡控制系統能夠連續、正常、可靠運行。

DNVGL 提出11 個可能遭受網絡攻擊的設備和相關系統，從以下三個方面（見圖1）對這些系統進行評估：

圖1 網絡安全系統（Suc）選擇

（1）系統是否有基于IP 的網絡連接到其他系統；

（2）系統中的所有部件是否都位于限制區域內；

（3）系統軟件或配置不能更新，或只能由制造商使用特殊工具或專有接口更改。

只要其中有一項不滿足，就有可能存在被攻擊的可能，就要將該系統列入考慮對象，對其進行風險評估，從而明確管理的等級和防控的舉措，實現風險的可控。

經與船檢溝通，把整船看成一個有限區域，從上面三個方面對我司2 038TEU 集裝箱船10 個需要考慮風險的系統進行風險評估，除第9 項應急切斷系統外（因全部采用硬連線，而其他系統因有IP 通訊、USB接口或軟件可更新），其他9 個系統都需要進行網絡安全分析和風險評估及預防。

5 網絡安全要求

網絡安全船級符號是基于DNVGL 的網絡安全推薦操作規程（DNVGL-RP-0496），并延伸至控制系統組件，有7 個方面的要求。

5.1 網絡安全區域劃分

在確定網絡安全系統（Suc）后，應對這些系統進行網絡安全區域劃分，在內網不同區域之間使用防火墻對邊界進行控制，使得高風險的網絡安全風險被局限在相應的區域內或層次上而不至于四處蔓延；在內網與外網區域邊界處部署防火墻，通過輸入訪問限制和隔絕等技術分割網絡，防護來自外部網絡的入侵行為，同時防止一個子網感染病毒后向其他子網或上層安全域傳播的可能。

網絡安全區域劃分，應遵循以下幾個原則：

（1）OT 系統和IT 系統不劃在同一安全區；

（2）橋樓系統不和必要系統、重要系統及工業系統放在同一安全區；

（3）提供安全功能的系統，應與提供控制、監測或報警功能的系統隔離；如果這些系統之間需要通信，則隔離應包括數據流限制和專用通信通道上從安全到控制的單向通信；

（4）無線設備應與有線設備分開，任何形式的無線通訊（例如wi-fi 和藍牙）應與永久或臨時連接的有線設備區分開，用于操作目的OT 應用中的無線傳感器可以連接到包含有線設備的相關區域；無線網絡應設置獨立的接入安全域，并通過防火墻來實現與其他安全域的訪問控制，保障無線網絡區域內設備安全運行；

（5）OT 系統的遠程接入網關應劃分成一個公共的單獨區域，以提供對來自不可信網絡或船舶外網絡的任何通信的有效控制；

（6）搬運和管理移動設備的設施，應劃分為一個單獨區域，與永久安裝的設備分開；

（7）不同區域之間的通信，應由防火墻進行控制和記錄；防火墻應符合互聯區域最嚴格的安全配置文件。

5.2 遠程訪問

遠程訪問是保證網絡資源不被非法使用和非授權訪問，網絡訪問控制是建立在安全域劃分的基礎上實現的；通過部署防火墻，對流經它的數據進行掃描，過濾一些攻擊或關閉一些不使用的端口，保證訪問控制規則最小化，防止外網對內部資源的非法訪問、信息竊取和數據篡改等來自外部和內部安全探測或者威脅；對網絡系統中的用戶（人員、軟件、設備）及賬號進行標識，制定標識管理辦法；對遠程接入解決方案中的重要組件遠程訪問防火墻和服務器,要求如下：

（1）入級符號Cyber security，其遠程訪問防火墻和服務器要滿足安全級別SP1;

（2）入級符號Cyber security（Essential），其遠程訪問防火墻和服務器要滿足安全級別SP3;

（3）入級符號Cyber security（Advanced），其遠程訪問防火墻和服務器要滿足安全級別SP3,并要取得該級別的形式認可證書;

（4）入級符號Cyber security（+），其遠程訪問防火墻和服務器要滿足安全級別SP3 及以上,并要取得相應級別的形式認可證書；如果選擇的系統需要滿足安全級別SP4，其遠程訪問服務器也要滿足SP4。

5.3 移動設備

Suc 系統應僅配備必要的操作、維護和支持所需的便攜式設備，非必要的便攜式設備的連接點（USB、網口、CD 等）應進行阻塞或禁用，但操作所必須的設備端口應進行物理保護，在連接移動設備之前，需要對其惡意代碼掃描，設備位置僅授權人員到達，廠家也要對其操作軟件設置密碼；不接受從便攜式設備（包括自動運行）自動執行軟件代碼。手動執行軟件代碼需經過認證，僅限于預先驗證過的文件。

5.4 殺毒軟件

不受惡意代碼感染，在每臺船載計算機或具有標準操作系統的任何可編程設備上部署防病毒系統，防止病毒及惡意代碼肆意傳輸，并定期執行防病毒軟件程序的更新、安全審計；啟用垃圾郵件保護機制，根據策略和程序及時更新垃圾郵件保護機制。

5.5 事件處理和報告

建立和實施軟件安裝的用戶管理規則，遵循最小安裝的原則，僅安裝需要的組件和應用程序；通過部署主機監控與審計系統，定期對主機系統進行補丁更新，確保主機安全；系統更新前進行惡意代碼掃描及測試，并形成相關記錄，更新后驗證系統運行正常，形成相關信息日志。

5.6 補償對策

不能滿足所有要求的系統應采用其他補償措施加以保護，這種補償措施需經批準，根據不符合要求的程度，可能需要將系統劃分一個專用區域，與其他區域的通信非常有限且受控制。

5.7 網絡安全管理系統

對于DNVGL 的網絡安全符號，網絡安全管理系統（CSMS）是由船舶運營商實施的一個計劃，用于管理與正在考慮的系統的網絡安全的相關活動，通常使用于OT 系統；而對應的IT 系統的安全程序，通常被稱為信息安全管理系統，這里不做詳細的闡述。

CSMS 應與其他船舶管理體系（如安全管理系統、質量管理體系等）或其他船舶管理體系相協調，主要包括以下20 個方面：

（1）范圍：應建立正式的CSMS 的書面范圍，以確定受技術和組織安全屏障的信息、系統和船舶服務，確保網絡安全處于可接受水平，滿足相關方（運營方、使用方、監管方等）對網絡安全的期望；

（2）政策和程序：包括實現網絡安全的目標的政策，以及如何實現這些目標的程序，以規范安全管理活動，約束人員的行為方式，符合政策安全行為活動應有記錄、日志或其他文件的證明；

（3）風險管理：包括管理網絡安全風險管理的框架。風險管理過程應形成文件，所采取的措施應具有可追溯性；風險管理過程應包含四個步驟：風險識別、風險分析、風險評估和風險預防；

（4）管理支持：船長和船上其他相關管理人員熟悉該船CSMS 的相關內容及操作程序，對其他人員進行指導；

（5）系統文檔：Suc 中的系統文檔應保持最新，防止未經授權訪問，并在船上可用；

（6）角色與職責：與安全相關活動的責任應在策略中定義，包括分配給船上人員和外部各方（如承包商、供應商、顧問）的職責；

（7）人員安全：制定相關政策和程序，以確保船員和船上其他人員被告知有關維護安全目標的適當行為；

（8）培訓：對所有被指派負責安全相關活動的人員進行具體培訓。培訓應是相關的、更新的，并定期進行；

（9）網絡分割：建立網絡分割或分區政策，區域、管道和網絡分割的原則應在政策中描述；

（10）訪問控制：建立訪問控制政策與程序，這些政策應該為所需的安全認證和使用控制提供基礎，并且至少應包括人工訪問、遠程訪問等；

（11）可移動或便攜式設備管理：制定安全使用可移動或便攜式設備（如U 盤和筆記本電腦）政策和程序；

（12）惡意軟件保護：硬件保護系統免受惡意軟件侵害的政策和程序；

（13）安全補丁：Suc 系統需要按照政策更新安全補丁，確保安全補丁的真實性、完整性和兼容性，任何沒有更新安全補丁的系統都應該通過記錄的補償對策進行證明；

（14）物理安全：建立解決Suc 物理安全問題的政策、程序和其他文件。如工作站應位于控制室，限制人員進入該區域等；

（15）信息保密：建立政策和程序來定義和管理信息保密；

（16）變更管理：Suc 的修改應按照批準的變更程序管理進行；

（17）異常檢測：建立識別安全異常的政策和程序；

（18）事件反應：組織和網絡物理系統，應能夠響應網絡事件并從網絡事件中恢復；

（19）業務連續性：制定、保持和實施業務連續性的計劃；

（20）定期檢查；定期審查、評估和改進CSMS,以保持安全目標和應對風險變化。

如果經批準的技術安全屏障的設計，包括任何需要通過程序反措施予以補償的要求，則這些反措施應在CSMS 中進行說明。2 038TEU 船的CSMS 文件，是由船東編制并提交船級社審查。

6 網絡安全設計送審文件

廣州文沖船廠有限公司建造的2 038TEU 集裝箱船，是DNVGL 全球首艘申請Cyber security 網絡安全符號船舶，沒有現成的送審文件的模板參考。我們根據對上述規范的研究，并和審圖師多次溝通，確定網絡安全送審文件的框架，從下面11 個方面對該船每一個Suc 系統設備進行設計：

（1）網絡安全區域劃分圖；

（2）設備主控箱放置的位置；

（3）生產廠家；

（4）硬件和軟件清單；

（5）系統組成框圖；

（6）系統內部接口和通訊協議；

（7）系統與相同網絡安全區域內的其他系統之間的接口和通訊協議；

（8）系統和通導安全區域的系統的接口和通訊協議；

（9）系統與企業安全區域的接口和通訊協議；

（10）系統USB 接口描述；

（11）系統的軟件及更新方法描述。

網絡安全的實驗程序也是DNVGL 要求送審的文件，DNVGL 建議網絡安全實驗程序和實船測試由第三方執行。

7 實船測試

DNVGL 的測試程序基于國際標準IEC62443-4-2和IEC61162-460 的海事標準，包括7 個章節，涵蓋越來越嚴格的安全要求。這些測試確保網絡安全設備足夠強大，能夠防止滲透測試。測試內容主要包括以下13 個方面：

（1）人類用戶識別和認證；

（2）唯一標識和認證；

（3）所有接口的多因素身份驗證；

（4）訪問權限；

（5）軟件流程和設備識別和認證；

（6）用戶控制和功能；

（7）系統完整性；

（8）數據保密性；

（9）對數據流的限制；

（10）網絡事件的響應時間；

（11）事件監控；

（12）資源可用性；

（13）程訪問測試。

經過第三方從上述13 個方面的測試，文船2038TEU 集裝箱船完全滿DNVGL 網絡安全符號 Cyber security 的相關要求，順利取得該附加符號。其首制船于2020 年12 月31 日順利交船，是世界上第一艘按照DNVGL 網絡安全規范設計，并順利取得Cyber security符號的船舶。

8 結束語

解決船舶網絡系統安全問題，是確保建立足夠和正確的屏障，保證船岸信息交互的安全，以防止、減輕和應對船舶受到外部網絡攻擊；采取的安全措施，必須考慮現實的條件和實現的成本，總的原則是：方案簡潔、技術成熟；經濟性好、實用性強、易于實施、便于維護；要盡量利用現有設備和設施、擴充或提高計算機網絡配置，結合船上已實施的技術、組織和行為措施，可以增加必要的安全管理軟件和制度，來解決船舶計算機網絡系統的安全問題。

基于以上設計原則，文船2 038TEU 集裝箱系列船，順利通過第三方網絡安全實船測試，并得到DNVGL 認可。