前言:尋找寫作靈感?中文期刊網(wǎng)用心挑選的淺談大型航標(biāo)船網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估,希望能為您的閱讀和創(chuàng)作帶來靈感,歡迎大家閱讀并分享。
摘要:隨著航標(biāo)作業(yè)船舶數(shù)字化、智能化程度的大幅度提高以及作業(yè)內(nèi)容、作業(yè)范圍的增加,船舶內(nèi)部系統(tǒng)、設(shè)備之間,船舶與其它船舶、岸端之間的網(wǎng)絡(luò)連接日益普及和頻繁。船載設(shè)備網(wǎng)絡(luò)化為船舶航行、作業(yè)和船員生活帶來了極大的便利,但網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的威脅也不斷加劇。本文綜合分析了國內(nèi)外多個(gè)船舶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和方法,某大型航標(biāo)船為樣本開展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估,總結(jié)并提出適合該船的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法,以發(fā)現(xiàn)風(fēng)險(xiǎn)點(diǎn),進(jìn)而建立起適合大型航標(biāo)船舶的網(wǎng)絡(luò)管理體系。
關(guān)鍵詞:航標(biāo)船舶;網(wǎng)絡(luò)安全;風(fēng)險(xiǎn)評(píng)估
1.引言
為實(shí)現(xiàn)船舶各類數(shù)據(jù)的共享、存儲(chǔ)及使用,越來越多的船舶設(shè)備、系統(tǒng)通過網(wǎng)絡(luò)連接起來,并且多數(shù)可以通過衛(wèi)星、WIFI或移動(dòng)互聯(lián)網(wǎng)技術(shù)連接到了互聯(lián)網(wǎng),實(shí)現(xiàn)對(duì)船舶的管理、通信、娛樂或開展特定業(yè)務(wù)。船舶網(wǎng)絡(luò)可分為信息網(wǎng)絡(luò)和控制網(wǎng)絡(luò)兩類。信息網(wǎng)絡(luò)用于信息收集和管理服務(wù)。控制網(wǎng)絡(luò)用于收集、監(jiān)視和控制船載設(shè)備的運(yùn)行狀態(tài)。隨著接入網(wǎng)絡(luò)的船舶數(shù)據(jù)、信息價(jià)值越來越大,網(wǎng)絡(luò)風(fēng)險(xiǎn)如病毒、網(wǎng)絡(luò)攻擊、未經(jīng)授權(quán)入侵、軟件缺陷等帶來的船舶網(wǎng)絡(luò)安全問題日益突出。隨著智慧碼頭、智能船舶和無人船舶的發(fā)展,迫切需要安全和高效的網(wǎng)絡(luò)環(huán)境來保障船舶正常航行、作業(yè)和航運(yùn)業(yè)的健康發(fā)展。2017年7月,國際海事組織(IMO)通過了《海事網(wǎng)絡(luò)風(fēng)險(xiǎn)管理導(dǎo)則》,對(duì)海事網(wǎng)絡(luò)風(fēng)險(xiǎn)管理提出了建議和指導(dǎo)。國際船級(jí)社協(xié)會(huì)(IACS)也制訂了涉及從船舶網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)到運(yùn)行全過程共12個(gè)層次的網(wǎng)絡(luò)系統(tǒng)安全框架,為識(shí)別與評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)提供了詳盡的指導(dǎo)。
2.船舶網(wǎng)絡(luò)安全標(biāo)準(zhǔn)分析
2.1相關(guān)國際標(biāo)準(zhǔn)
NIST(美國國家標(biāo)準(zhǔn)研究院)于2014年2月12日《提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》,框架包含識(shí)別、保護(hù)、檢測(cè)、響應(yīng)和恢復(fù)5個(gè)要素,能夠較好地描述網(wǎng)絡(luò)安全活動(dòng)的狀態(tài)或目標(biāo)。《框架》本身即為一個(gè)網(wǎng)絡(luò)安全領(lǐng)域的通用標(biāo)準(zhǔn)系統(tǒng),在各個(gè)領(lǐng)域中制定、優(yōu)化網(wǎng)絡(luò)信息安全指南及實(shí)施工作中都有著很高的參考價(jià)值。ISO/IEC27001《信息技術(shù)安全技術(shù)信息安全管理體系要求》提出在實(shí)施主體(組織)內(nèi)建立、實(shí)施、維護(hù)和持續(xù)改良信息安全管理系統(tǒng),以及評(píng)估和處理信息安全風(fēng)險(xiǎn)的要求。2008年6月,ISO/IEC27001的2005版已等同轉(zhuǎn)化為我國的GB/T22080—2008。
2.2船舶領(lǐng)域?qū)S镁W(wǎng)絡(luò)安全標(biāo)準(zhǔn)
截至目前,國際組織的網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)皆通用性較高,尚未制定專門面向航運(yùn)或船舶的網(wǎng)絡(luò)安全管理標(biāo)準(zhǔn)。2015年12月,國際船級(jí)社協(xié)會(huì)(IACS)成立了網(wǎng)絡(luò)系統(tǒng)專業(yè)委員會(huì),專門制訂船舶網(wǎng)絡(luò)安全統(tǒng)一要求和標(biāo)準(zhǔn)。標(biāo)準(zhǔn)分析船舶網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)到運(yùn)行的整個(gè)過程的不同層次,查找出可能的風(fēng)險(xiǎn)點(diǎn),為船舶相關(guān)方如何識(shí)別與評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)提供指導(dǎo)和參考,并要求其成為船舶入級(jí)規(guī)范。
2.3國內(nèi)標(biāo)準(zhǔn)和指南
國務(wù)院于1994年頒布了《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》,我國的等級(jí)保護(hù)工作已經(jīng)建立起完善的標(biāo)準(zhǔn)體系、流程以及實(shí)施方案。2017年《中華人民共和國網(wǎng)絡(luò)安全法》正式施行,成為我國首部全面規(guī)范網(wǎng)絡(luò)安全的基礎(chǔ)性法律。2017年7月20日,中國船級(jí)社(CCS)的《船舶網(wǎng)絡(luò)系統(tǒng)要求與安全評(píng)估指南》,是我國首部規(guī)范船舶網(wǎng)絡(luò)系統(tǒng)的技術(shù)標(biāo)準(zhǔn)。該指南明確了適用對(duì)象和目標(biāo)范圍,針對(duì)船舶網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)、實(shí)施、運(yùn)行、退役等環(huán)節(jié),查找出設(shè)計(jì)、操作、集成、維護(hù)、管理水平等網(wǎng)絡(luò)安全風(fēng)險(xiǎn)點(diǎn),提供安全評(píng)估方法、檢驗(yàn)和試驗(yàn)要求和網(wǎng)絡(luò)系統(tǒng)建設(shè)指導(dǎo)。本文主要參照該指南,開展大型航標(biāo)船的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估,找出網(wǎng)絡(luò)安全風(fēng)險(xiǎn)點(diǎn),以指導(dǎo)該船舶網(wǎng)絡(luò)系統(tǒng)的管理、調(diào)整、運(yùn)行和維護(hù)。
3.大型航標(biāo)船網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估
3.1大型航標(biāo)船網(wǎng)絡(luò)概況
大型航標(biāo)船是以港口、航道助航設(shè)施布置、維護(hù)、巡檢巡視為主要任務(wù)的大型公務(wù)船舶。隨著助航設(shè)施的完善和無線電導(dǎo)助航設(shè)施設(shè)備的完善,大型航標(biāo)船還配備有AIS基站、AIS航標(biāo)、RBN-DGNSS臺(tái)站、雷達(dá)應(yīng)答器等無線電導(dǎo)航設(shè)施監(jiān)測(cè)設(shè)備,為我國海上導(dǎo)助航提供強(qiáng)有力的支持。某大型航標(biāo)船是目前中國交通運(yùn)輸系統(tǒng)最先進(jìn)的航標(biāo)作業(yè)船舶,排水量2200余噸,能滿足復(fù)雜海況下的航標(biāo)作業(yè)、應(yīng)急處置、無線電監(jiān)測(cè)等航海保障需求。該航標(biāo)船主要分為公共網(wǎng)絡(luò)和應(yīng)急網(wǎng)絡(luò)兩大部分,公共網(wǎng)絡(luò)包括船載WIFI、IPTV、CCTV、有線網(wǎng)絡(luò)及船載無線電航標(biāo)監(jiān)測(cè)系統(tǒng);應(yīng)急網(wǎng)絡(luò)包括編隊(duì)寬帶、視頻會(huì)議系統(tǒng),應(yīng)急網(wǎng)絡(luò)使用VSAT連接互聯(lián)網(wǎng)。
3.2大型航標(biāo)船網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估
依據(jù)指南要求和實(shí)際情況,航標(biāo)船的管理部門需要定期評(píng)估該船舶網(wǎng)絡(luò)系統(tǒng)面臨的威脅,分析威脅利用系統(tǒng)脆弱性而導(dǎo)致發(fā)生安全事件的可能性。最后結(jié)合資產(chǎn)的評(píng)估價(jià)值綜合研判安全事件給航標(biāo)船舶造成的影響。航標(biāo)船舶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估或風(fēng)險(xiǎn)處置可依據(jù)評(píng)估處置開展情況循環(huán)進(jìn)行,工作直到風(fēng)險(xiǎn)降低到可接受的級(jí)別。如果風(fēng)險(xiǎn)處置不會(huì)立即將殘余風(fēng)險(xiǎn)降低到可以接受的級(jí)別,則需要變更風(fēng)險(xiǎn)評(píng)估要素參數(shù),再次進(jìn)入風(fēng)險(xiǎn)評(píng)估循環(huán)。在具體的評(píng)估過程中,資產(chǎn)評(píng)估將評(píng)估對(duì)象和要求分類,可將資產(chǎn)分為IT機(jī)房、網(wǎng)絡(luò)資產(chǎn)、計(jì)算機(jī)、應(yīng)用資產(chǎn)、管理資產(chǎn)等,按照保密性、完整性和可用性三個(gè)維度對(duì)資產(chǎn)賦值;威脅識(shí)別是對(duì)系統(tǒng)直接或間接的攻擊,在保密性、完整性和可用性等維度帶來的損害,將威脅分為不同類別并分別賦值;脆弱性識(shí)別由技術(shù)脆弱性和管理脆弱性兩個(gè)方面組成,技術(shù)脆弱性涉及網(wǎng)絡(luò)系統(tǒng)的物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等物理安全問題。管理脆弱性與具體技術(shù)工作的開展和管理環(huán)境有關(guān)。確認(rèn)賦值資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別和安全措施后,綜合資產(chǎn)價(jià)值和脆弱性的嚴(yán)重程度,計(jì)算安全事件的發(fā)生給船舶帶來的影響程度,即船舶網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險(xiǎn)。船上網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析的定量計(jì)算公式:風(fēng)險(xiǎn)值=R(A,T,V)=R(L(T,V),F(xiàn)(Ia,Va))R代表安全風(fēng)險(xiǎn)計(jì)算的功能;A代表資產(chǎn);T代表威脅;V代表漏洞;Ia代表資產(chǎn)價(jià)值;Va表示漏洞嚴(yán)重程度;L表示威脅利用漏洞可能性;F代表安全事件后果。對(duì)漏洞的評(píng)估按照管理體系、物理安全、網(wǎng)絡(luò)架構(gòu)、區(qū)域邊界、計(jì)算環(huán)境、安全審計(jì)六個(gè)維度綜合評(píng)估。風(fēng)險(xiǎn)計(jì)算采用矩陣法計(jì)算。對(duì)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行1~3個(gè)等級(jí)(分別對(duì)應(yīng):低、中、高三個(gè)風(fēng)險(xiǎn)嚴(yán)重程度)處理。按照上述評(píng)估方法,對(duì)該大型航標(biāo)船舶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估見表1。根據(jù)評(píng)估結(jié)果,該航標(biāo)船網(wǎng)絡(luò)安全風(fēng)險(xiǎn)點(diǎn)主要是ECDIS、信息管理系統(tǒng)、船載無線電航標(biāo)監(jiān)測(cè)系統(tǒng)。產(chǎn)生漏洞的原因集中在管理體系、計(jì)算環(huán)境和安全審計(jì)三個(gè)維度。
4.船舶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法建議
依照CCS網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法,對(duì)風(fēng)險(xiǎn)值的計(jì)算顯得簡潔精煉,但這種方法對(duì)每種評(píng)估要素缺乏量化,在循環(huán)的風(fēng)險(xiǎn)處置、迭代更新過程中容易失控,同時(shí)缺乏量化的要素也給接下來的改進(jìn)、完善和跟進(jìn)帶來不便。船舶處于遠(yuǎn)離陸地的環(huán)境,網(wǎng)絡(luò)安全管理體系的建立和執(zhí)行尤為重要,因此有必要在評(píng)估中提高對(duì)管理體系維度,特別是人員意識(shí)管理和應(yīng)急處置管理的權(quán)重;此外由于航標(biāo)作業(yè)船舶業(yè)務(wù)的特殊性,相關(guān)系統(tǒng)帶來的網(wǎng)絡(luò)危害可能會(huì)影響船舶航行,帶來嚴(yán)重的人命安全事故和社會(huì)危害,因此對(duì)業(yè)務(wù)系統(tǒng)相關(guān)風(fēng)險(xiǎn)危害程度的評(píng)估因子也應(yīng)相應(yīng)加重;每艘船舶的作用、特點(diǎn)和實(shí)際情況各有不同,每條船評(píng)估的策略、評(píng)估因子和周期也應(yīng)該貼合本船實(shí)際,做到評(píng)估工作的制度化、定制化和常態(tài)化。船舶管理部門應(yīng)根據(jù)評(píng)估的結(jié)果,建立、執(zhí)行和不斷完善本船網(wǎng)絡(luò)管理體系。
5.結(jié)語
本文比較了國內(nèi)外有關(guān)船舶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的幾種標(biāo)準(zhǔn)或方法,按照中國船級(jí)社的《船舶網(wǎng)絡(luò)系統(tǒng)要求與安全評(píng)估指南》對(duì)大型航標(biāo)船開展了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估。根據(jù)評(píng)估結(jié)果,得出了該船存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)點(diǎn)。但依據(jù)此指南開展的評(píng)估,尚存在量化指標(biāo)不夠具體、指標(biāo)的選取和權(quán)重有待于針對(duì)性地設(shè)置等問題。隨著船舶網(wǎng)絡(luò)化、智能化程度的不斷提高,船舶面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)問題日益嚴(yán)峻,船舶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的評(píng)估和網(wǎng)絡(luò)管理體系的建立是一項(xiàng)系統(tǒng)性工程,需要反復(fù)的試驗(yàn)、歸納與總結(jié),摸索出適合本船的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法,以全面提升網(wǎng)絡(luò)安全防護(hù)的技術(shù)和管理水平,充分保障船舶行駛、作業(yè)和人身安全。
參考文獻(xiàn):
[1]張立強(qiáng),網(wǎng)絡(luò)安全等級(jí)保護(hù)在船舶領(lǐng)域的應(yīng)用探索[J],計(jì)算機(jī)工程與應(yīng)用,2018(54):234-239.
[2]李曉輝,周楠,船舶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及應(yīng)對(duì)策略[J],世界海運(yùn),2021(313):36-39.
作者:郭旭 李鵬宇 單位:南海航海保障中心廣州航標(biāo)處