近日，一艘深吃水船舶遭遇了網(wǎng)絡惡意軟件入侵事件并對船上網(wǎng)絡造成了嚴重影響，這一事件暴露了商船上存在的潛在安全漏洞，美國海岸警衛(wèi)隊(USCG)就此發(fā)布下附06-19號海上安全警報。從這次的調(diào)查結果來看，USCG認為此次事故并不是一個簡單的IT問題。他們指出，在21世紀的海運環(huán)境中，確保網(wǎng)絡安全是一項基本的操作。USCG強烈建議所有船舶、船舶所有者及其經(jīng)營人進行網(wǎng)絡安全評估，以便更好地了解其潛在的網(wǎng)絡缺陷。

　　典型案例有哪些

　　近年來，航運業(yè)界相繼出現(xiàn)了一些網(wǎng)絡安全的典型事件：

　　◈ 2011年，“耶沃利”號油船從阿拉伯灣啟程前往地中海，由于該輪的行程、貨物、船員、地點以及有無武裝警衛(wèi)等各項信息被海盜雇傭的技術人員提前獲悉，從而被海盜鎖定并劫持;

　　◈ 2011、2013年，安特衛(wèi)普港的信息系統(tǒng)遭到網(wǎng)絡攻擊，貨物數(shù)據(jù)被篡改，使得毒品走私計劃得逞;

　　◈ 2014年，燃料供應商全球燃料服務公司(WFS)因被保險公司指控卷入一起網(wǎng)絡攻擊事件，付出了繳納罰款約1800萬美元的代價;

　　◈ 2015年，倫敦船東保賠協(xié)會發(fā)布消息稱，船舶網(wǎng)絡詐騙數(shù)量正日益增加，其中包括攔截船舶代理商的郵件，入侵其電子郵箱賬號，以實施將原支付賬戶換成新的銀行賬戶等計劃;

　　◈ 2017、2018年，Petya的網(wǎng)絡病毒襲擊全球，多家著名航運企業(yè)在全球多處辦事機構及部分業(yè)務單元的IT系統(tǒng)因此出現(xiàn)故障，遭受重大損失。

　　從席卷全球的“WannaCry”勒索病毒，到卷土重來的“暗云Ⅲ”病毒，再到升級傳播手段的“Petya”勒索病毒，計算機黑客們正在利用計算機系統(tǒng)、工控系統(tǒng)、網(wǎng)絡系統(tǒng)的漏洞對電力、供水、航運乃至國家部門的通信和網(wǎng)絡系統(tǒng)發(fā)起攻擊，因此，快速識別網(wǎng)絡威脅并降低風險變得越發(fā)重要。

　　風險點在哪里

　　通常，船用網(wǎng)絡可分為兩類，第一類是用于信息收集和信息管理服務的網(wǎng)絡，如，用于報告，調(diào)度，庫存管理，運營和維護管理，電子郵件，電話，打印服務及船岸通信系統(tǒng)，這類網(wǎng)絡通常稱為信息網(wǎng)絡(IT網(wǎng)絡)，其組成包括船員使用的計算機、網(wǎng)關、路由器、文件服務器、數(shù)據(jù)庫服務器、應用服務器等設備;第二類是負責采集、監(jiān)視和控制全船設備的運行狀態(tài)，服務于船舶操控系統(tǒng)的網(wǎng)絡，稱為控制網(wǎng)絡(OT網(wǎng)絡)，例如，分布于機艙的主推進監(jiān)控系統(tǒng)、輔機監(jiān)控系統(tǒng)、電站監(jiān)控系統(tǒng)、火災報警系統(tǒng)等以及駕駛臺上的導航系統(tǒng)、綜合船橋系統(tǒng)等。

　　隨著網(wǎng)絡技術在航運業(yè)的廣泛應用，船舶網(wǎng)絡在許多涉及船舶安全和防污染的關鍵系統(tǒng)中發(fā)揮越來越重要的作用，但伴隨著網(wǎng)絡的運用，網(wǎng)絡風險隨之而來。網(wǎng)絡風險來自多方面的，如程序中的操作錯誤、軟件缺陷、未經(jīng)授權訪問的系統(tǒng)入侵、管理公司對船舶網(wǎng)絡未能采用有效的風險控制程序等。通過調(diào)查發(fā)現(xiàn)，智能船舶易受網(wǎng)絡風險攻擊的系統(tǒng)包括船橋系統(tǒng)、貨物操作和管理系統(tǒng)、推進和機械設備管理以及動力控制系統(tǒng)、訪問控制系統(tǒng)、乘客服務和管理系統(tǒng)、乘客公共網(wǎng)絡管理及船員保障系統(tǒng)、通信系統(tǒng)等。

　　“保障網(wǎng)”如何搭建

　　如何化解可能存在的重大風險已日益成為交通運輸行業(yè)急需解決的問題之一。

　　(一) 國際層面

　　國際海事組織(IMO)海上安全委員會(MSC)在第96屆大會通過了《海事網(wǎng)絡風險管理暫行指南》(MSC.1/Circ.1526)，后由第98屆大會批準的《海事網(wǎng)絡風險管理指南》(MSC-FAL.1/Circ.3)替代，為業(yè)界應對船舶網(wǎng)絡安全提供了指導。同時根據(jù)第98屆大會通過的決議MSC.428(98)-《安全管理體系中的海事網(wǎng)絡風險管理》，該決議強調(diào)公司的安全管理體系應結合ISM規(guī)則的目標和功能要求考慮網(wǎng)絡風險管理，鼓勵各國政府不遲于2021年1月1日之后的首次DOC初次審核、換證審核或年度審核時，應核查安全管理體系是否包括了網(wǎng)絡風險管理的相關內(nèi)容，這是國際海事屆為應對海事網(wǎng)絡風險開展的實質性行動。

　　(二) 國家層面

　　我國于2016年11月7日頒布了《網(wǎng)絡安全法》，并于2017年6月1日起施行。這是我國第一部全面規(guī)范網(wǎng)絡空間安全管理方面問題的基礎性法律，是我國網(wǎng)絡空間法治建設的重要里程碑，也是是依法治網(wǎng)、化解網(wǎng)絡風險的法律重器。此外，剛剛頒布的國家標準《網(wǎng)絡安全等級保護基本要求》(GB/T 22239-2019)將于2019年12月1日開始實施，標志著網(wǎng)絡安全等級保護進入2.0時代，適應了云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等新技術、新應用領域網(wǎng)絡安全保護需求。一系列法律和國家標準的相繼出臺，也為船舶網(wǎng)絡安全管理提供了切實的法律保障和根本遵循。2019年5月16日，交通運輸部等七部門聯(lián)合印發(fā)了《智能航運發(fā)展指導意見》，對防范智能航運安全風險提出了明確的要求。

　　(三) 行業(yè)層面

　　近年來，國際和國內(nèi)行業(yè)相關的機構相繼開展了船舶網(wǎng)絡安全的研究，并相繼發(fā)布了應對船舶網(wǎng)絡安全風險的指導性文件。如波羅的海航運公會(BIMCO)自2016年2月發(fā)布全球首份《船舶網(wǎng)絡安全指南》(第一版)以來，受到了國際海事界的廣泛關注，近日又聯(lián)合業(yè)界有關航運組織和船公司發(fā)布了第三版指南，進一步細化了IMO指南，為業(yè)界提供了操作性非常強的指導;與此同時，BIMCO還發(fā)布了針對網(wǎng)絡安全的合同條款，明確各方的責任，規(guī)避因網(wǎng)絡安全風險帶來的損失。

　　中國船級社(CCS)作為國家船檢主力軍，對網(wǎng)絡安全也進行了深入的研究，于2017年發(fā)布了《船舶網(wǎng)絡系統(tǒng)要求及安全評估指南》，通過對軟件、硬件及風險三方面的指導意見，進一步針對網(wǎng)絡狀況及網(wǎng)絡產(chǎn)品進行安全評估，協(xié)助航運業(yè)防范網(wǎng)絡風險;CCS 同時成立了船舶網(wǎng)絡空間安全研究中心，在網(wǎng)絡安全技術與管理體系方面展開研究，為航運企業(yè)提供系統(tǒng)的網(wǎng)絡測試、評估及技術咨詢服務。2019年5月8日，CCS級首艘13500TEU智能集裝箱船“中遠海運荷花”輪首次通過了CCS整船網(wǎng)絡安全評估后交付使用，CCS為該輪簽發(fā)了首份“船舶網(wǎng)絡安全符合證明”，標志著智能船舶發(fā)展進入與網(wǎng)絡安全并重的階段。

　　除此以外，業(yè)內(nèi)專家強烈建議所有船舶、船舶所有者及其經(jīng)營人進行網(wǎng)絡安全評估，以便更好地了解其潛在的網(wǎng)絡缺陷。同時，美國海岸警衛(wèi)隊強烈建議船舶和船舶所有人、經(jīng)營人和其他相關方采取以下基本措施來提高其網(wǎng)絡安全:首先，建議將網(wǎng)絡分為“子網(wǎng)”，讓對手不會輕易訪問到重要的系統(tǒng)和設備;其次，將訪問/權限限制在每個員工工作所需的級別，只有在必要的時候才能謹慎使用管理員帳戶;再次，任何外部媒體在接入任一船載網(wǎng)絡之前，都必須先在獨立的系統(tǒng)上掃描惡意軟件。永遠不要在沒有信任證書的情況下運行可執(zhí)行的文件;最后，安裝基本殺毒軟件并定期更新非常有必要，同時切記要及時修補漏洞。