近年來，船舶網(wǎng)絡(luò)安全逐步成為航運業(yè)關(guān)注的焦點。為此，IMO海上安全委員會通過了《安全管理系統(tǒng)之海上網(wǎng)絡(luò)風險管理》(MSC.428(98))，強調(diào)經(jīng)批準的安全管理系統(tǒng)應結(jié)合ISM規(guī)則的目標和功能要求考慮網(wǎng)絡(luò)風險管理，鼓勵各締約國政府確保在不遲于2021年1月1日之后的公司符合證明的首次年度驗證時，網(wǎng)絡(luò)風險管理相關(guān)內(nèi)容應體現(xiàn)在該航運公司的安全管理體系中。

　　就目前而言，由于船舶網(wǎng)絡(luò)安全的強制性規(guī)定不足，導致船舶網(wǎng)絡(luò)安全監(jiān)管似乎還處于真空階段，但是IMO海上安全委員會(MSC)第98次會議批準的《海上網(wǎng)絡(luò)風險管理指南》(MSC-FAL-1-Circ-3)提出了支持有效網(wǎng)絡(luò)安全風險管理的功能要素，包括標識、保護、發(fā)現(xiàn)、響應和恢復等，同時強調(diào)這些功能要素并不是按順序排列的，在實踐中經(jīng)常是同時發(fā)生且是連續(xù)的過程，應適當考慮納入風險管理的框架中。

　　筆者根據(jù)《海上網(wǎng)絡(luò)風險管理指南》(MSC-FAL-1-Circ-3)提及的標識、保護、發(fā)現(xiàn)、響應和恢復這五大功能要素，結(jié)合日常工作中的網(wǎng)絡(luò)安全基礎(chǔ)認識，分析未來可能遇到的有關(guān)船舶網(wǎng)絡(luò)安全監(jiān)管方面的檢查思路如下：

　　一、船舶辨識自身網(wǎng)絡(luò)安全風險的情況

　　從網(wǎng)絡(luò)安全視角看，船舶相當于由多個信息系統(tǒng)集成的移動網(wǎng)絡(luò)終端。雖然船舶遠離陸地航行，看似與世隔絕，但船舶通過通信系統(tǒng)、導航系統(tǒng)等無時無刻都處于“在線”狀態(tài)，這也就意味著船舶網(wǎng)絡(luò)面臨隨時被攻擊的可能。

　　所以，船舶首先需要逐一摸排自身所有可能遭受網(wǎng)絡(luò)攻擊的設(shè)備和相關(guān)聯(lián)的系統(tǒng)，如船舶通信系統(tǒng)、推進動力控制系統(tǒng)、導航系統(tǒng)，以及貨物裝卸和管理系統(tǒng)等；其次，明確船舶網(wǎng)絡(luò)安全管理人員。目前專門針對船舶網(wǎng)絡(luò)安全管理人員的要求尚屬空白，但結(jié)合智能船舶發(fā)展的實際，不排除船舶在后續(xù)階段需要配備熟悉了解網(wǎng)絡(luò)安全，具備相應船舶網(wǎng)絡(luò)管理能力的人員來承擔船上網(wǎng)絡(luò)安全管理責任；最后是要對船舶辨識出存在安全風險的船舶設(shè)備和系統(tǒng)進行風險評估，從而明確管理的等級和防控的舉措，實現(xiàn)風險的可控。

　　就此，在船舶接受相關(guān)船舶安全檢查時，檢查員可以通過了解船舶是否梳理并記錄所有資產(chǎn)(包括硬件和軟件)、資產(chǎn)所在的位置、版本號、危險性等，確認船舶所有與網(wǎng)絡(luò)安全相關(guān)的關(guān)鍵硬件設(shè)備的摸排標識情況。此外，檢查員還可能詢問船上承擔網(wǎng)絡(luò)安全管理角色的人員，了解船舶網(wǎng)絡(luò)安全管理情況，借此評估責任船員熟悉公司管理要求和政策方針的情況，以及船舶日常網(wǎng)絡(luò)安全管理和應急處置能力。

　　二、船舶網(wǎng)絡(luò)保護措施

　　在船舶網(wǎng)絡(luò)安全管理環(huán)節(jié)，船舶是否具有抵御網(wǎng)絡(luò)攻擊的能力可以從四個方面入手：

　　一是人的因素。人始終是最為薄弱的環(huán)節(jié)，網(wǎng)絡(luò)安全管理領(lǐng)域同樣如此。越復雜的網(wǎng)絡(luò)安全技術(shù)，如果人員安全意識或管理水平?jīng)]有及時跟上，就意味著越有可能犯錯誤，比如點擊電子郵件中的惡意鏈接、通過USB將惡意軟件引入船上設(shè)備或系統(tǒng)、使用弱密碼來方便自己工作卻降低了船舶整體安全級別等。無論是船舶安全管理的責任船員，還是所有的船員，網(wǎng)絡(luò)安全的意識和基本認識都不可缺少。

　　二是防護技術(shù)。根據(jù)船舶受到攻擊的來源不同，船舶具體采用哪些防護技術(shù)也非常關(guān)鍵，不同的攻擊類型應當有不同的防護技術(shù)進行防范。

　　三是網(wǎng)絡(luò)授權(quán)問題。為了防止保安事件，船舶會設(shè)置限制區(qū)域，確保只有經(jīng)過授權(quán)的人員才能進入。同樣，在船舶網(wǎng)絡(luò)安全領(lǐng)域，訪問控制也是自身防護的重要一環(huán)。

　　四是維護更新。船舶的網(wǎng)絡(luò)安全也需要得到及時有效的維護，比如定期排查船上系統(tǒng)漏洞、及時更新相關(guān)軟件版本等，需要注意的是，這也不排除未來將船舶網(wǎng)絡(luò)軟件設(shè)備的維護納入到現(xiàn)有日常操作維護要求中的可能。

　　因此，責任船員是否得到網(wǎng)絡(luò)安全能力培訓、船員是否具備基本網(wǎng)絡(luò)安全認識，船上對于數(shù)據(jù)的保護是否到位，比如對船上無線網(wǎng)絡(luò)連接限制、限速，船上網(wǎng)絡(luò)系統(tǒng)是否分級授權(quán)分配，是否設(shè)有訪問權(quán)限，外部接口是否有效管理，是否定期排查、修補漏洞并做好維護和修理記錄，是否及時授權(quán)、創(chuàng)建、監(jiān)視和刪除帳戶，比如，船舶是否及時刪除了已解職下船的船員賬戶等都會成為監(jiān)管過程中關(guān)注的重點。

　　三、船舶及時發(fā)現(xiàn)網(wǎng)絡(luò)安全事件的能力

　　網(wǎng)絡(luò)攻擊是悄無聲息的，船員在正常使用船上網(wǎng)絡(luò)設(shè)備的背后，可能正在遭受各種惡意攻擊。相較于日常工作生活中電子設(shè)備中毒，我們可以在選擇查毒、修復的同時，借用其他設(shè)備繼續(xù)開展工作和學習。但船舶處于航行之中，一旦重要設(shè)備出現(xiàn)中斷，對船舶的安全影響將是巨大的。這就要求船舶需要建立有效的、不間斷的監(jiān)控過程，能及時發(fā)現(xiàn)網(wǎng)絡(luò)安全事件，并在短時間內(nèi)發(fā)現(xiàn)原因，消除影響。當然，對于監(jiān)測能力而言，也不是一成不變的，而是需要不斷更新以提升監(jiān)測能力。