近日，一艘深吃水船舶遭遇了網(wǎng)絡(luò)惡意軟件入侵事件并對(duì)船上網(wǎng)絡(luò)造成了嚴(yán)重影響，這一事件暴露了商船上存在的潛在安全漏洞，美國海岸警衛(wèi)隊(duì)(USCG)就此發(fā)布下附06-19號(hào)海上安全警報(bào)。從這次的調(diào)查結(jié)果來看，USCG認(rèn)為此次事故并不是一個(gè)簡單的IT問題。他們指出，在21世紀(jì)的海運(yùn)環(huán)境中，確保網(wǎng)絡(luò)安全是一項(xiàng)基本的操作。USCG強(qiáng)烈建議所有船舶、船舶所有者及其經(jīng)營人進(jìn)行網(wǎng)絡(luò)安全評(píng)估，以便更好地了解其潛在的網(wǎng)絡(luò)缺陷。

　　典型案例有哪些

　　近年來，航運(yùn)業(yè)界相繼出現(xiàn)了一些網(wǎng)絡(luò)安全的典型事件：

　　◈ 2011年，“耶沃利”號(hào)油船從阿拉伯灣啟程前往地中海，由于該輪的行程、貨物、船員、地點(diǎn)以及有無武裝警衛(wèi)等各項(xiàng)信息被海盜雇傭的技術(shù)人員提前獲悉，從而被海盜鎖定并劫持;

　　◈ 2011、2013年，安特衛(wèi)普港的信息系統(tǒng)遭到網(wǎng)絡(luò)攻擊，貨物數(shù)據(jù)被篡改，使得毒品走私計(jì)劃得逞;

　　◈ 2014年，燃料供應(yīng)商全球燃料服務(wù)公司(WFS)因被保險(xiǎn)公司指控卷入一起網(wǎng)絡(luò)攻擊事件，付出了繳納罰款約1800萬美元的代價(jià);

　　◈ 2015年，倫敦船東保賠協(xié)會(huì)發(fā)布消息稱，船舶網(wǎng)絡(luò)詐騙數(shù)量正日益增加，其中包括攔截船舶代理商的郵件，入侵其電子郵箱賬號(hào)，以實(shí)施將原支付賬戶換成新的銀行賬戶等計(jì)劃;

　　◈ 2017、2018年，Petya的網(wǎng)絡(luò)病毒襲擊全球，多家著名航運(yùn)企業(yè)在全球多處辦事機(jī)構(gòu)及部分業(yè)務(wù)單元的IT系統(tǒng)因此出現(xiàn)故障，遭受重大損失。

　　從席卷全球的“WannaCry”勒索病毒，到卷土重來的“暗云Ⅲ”病毒，再到升級(jí)傳播手段的“Petya”勒索病毒，計(jì)算機(jī)黑客們正在利用計(jì)算機(jī)系統(tǒng)、工控系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)的漏洞對(duì)電力、供水、航運(yùn)乃至國家部門的通信和網(wǎng)絡(luò)系統(tǒng)發(fā)起攻擊，因此，快速識(shí)別網(wǎng)絡(luò)威脅并降低風(fēng)險(xiǎn)變得越發(fā)重要。

　　風(fēng)險(xiǎn)點(diǎn)在哪里

　　通常，船用網(wǎng)絡(luò)可分為兩類，第一類是用于信息收集和信息管理服務(wù)的網(wǎng)絡(luò)，如，用于報(bào)告，調(diào)度，庫存管理，運(yùn)營和維護(hù)管理，電子郵件，電話，打印服務(wù)及船岸通信系統(tǒng)，這類網(wǎng)絡(luò)通常稱為信息網(wǎng)絡(luò)(IT網(wǎng)絡(luò))，其組成包括船員使用的計(jì)算機(jī)、網(wǎng)關(guān)、路由器、文件服務(wù)器、數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器等設(shè)備;第二類是負(fù)責(zé)采集、監(jiān)視和控制全船設(shè)備的運(yùn)行狀態(tài)，服務(wù)于船舶操控系統(tǒng)的網(wǎng)絡(luò)，稱為控制網(wǎng)絡(luò)(OT網(wǎng)絡(luò))，例如，分布于機(jī)艙的主推進(jìn)監(jiān)控系統(tǒng)、輔機(jī)監(jiān)控系統(tǒng)、電站監(jiān)控系統(tǒng)、火災(zāi)報(bào)警系統(tǒng)等以及駕駛臺(tái)上的導(dǎo)航系統(tǒng)、綜合船橋系統(tǒng)等。

　　隨著網(wǎng)絡(luò)技術(shù)在航運(yùn)業(yè)的廣泛應(yīng)用，船舶網(wǎng)絡(luò)在許多涉及船舶安全和防污染的關(guān)鍵系統(tǒng)中發(fā)揮越來越重要的作用，但伴隨著網(wǎng)絡(luò)的運(yùn)用，網(wǎng)絡(luò)風(fēng)險(xiǎn)隨之而來。網(wǎng)絡(luò)風(fēng)險(xiǎn)來自多方面的，如程序中的操作錯(cuò)誤、軟件缺陷、未經(jīng)授權(quán)訪問的系統(tǒng)入侵、管理公司對(duì)船舶網(wǎng)絡(luò)未能采用有效的風(fēng)險(xiǎn)控制程序等。通過調(diào)查發(fā)現(xiàn)，智能船舶易受網(wǎng)絡(luò)風(fēng)險(xiǎn)攻擊的系統(tǒng)包括船橋系統(tǒng)、貨物操作和管理系統(tǒng)、推進(jìn)和機(jī)械設(shè)備管理以及動(dòng)力控制系統(tǒng)、訪問控制系統(tǒng)、乘客服務(wù)和管理系統(tǒng)、乘客公共網(wǎng)絡(luò)管理及船員保障系統(tǒng)、通信系統(tǒng)等。

　　“保障網(wǎng)”如何搭建

　　如何化解可能存在的重大風(fēng)險(xiǎn)已日益成為交通運(yùn)輸行業(yè)急需解決的問題之一。

　　(一) 國際層面

　　國際海事組織(IMO)海上安全委員會(huì)(MSC)在第96屆大會(huì)通過了《海事網(wǎng)絡(luò)風(fēng)險(xiǎn)管理暫行指南》(MSC.1/Circ.1526)，后由第98屆大會(huì)批準(zhǔn)的《海事網(wǎng)絡(luò)風(fēng)險(xiǎn)管理指南》(MSC-FAL.1/Circ.3)替代，為業(yè)界應(yīng)對(duì)船舶網(wǎng)絡(luò)安全提供了指導(dǎo)。同時(shí)根據(jù)第98屆大會(huì)通過的決議MSC.428(98)-《安全管理體系中的海事網(wǎng)絡(luò)風(fēng)險(xiǎn)管理》，該決議強(qiáng)調(diào)公司的安全管理體系應(yīng)結(jié)合ISM規(guī)則的目標(biāo)和功能要求考慮網(wǎng)絡(luò)風(fēng)險(xiǎn)管理，鼓勵(lì)各國政府不遲于2021年1月1日之后的首次DOC初次審核、換證審核或年度審核時(shí)，應(yīng)核查安全管理體系是否包括了網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的相關(guān)內(nèi)容，這是國際海事屆為應(yīng)對(duì)海事網(wǎng)絡(luò)風(fēng)險(xiǎn)開展的實(shí)質(zhì)性行動(dòng)。

　　(二) 國家層面

　　我國于2016年11月7日頒布了《網(wǎng)絡(luò)安全法》，并于2017年6月1日起施行。這是我國第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問題的基礎(chǔ)性法律，是我國網(wǎng)絡(luò)空間法治建設(shè)的重要里程碑，也是是依法治網(wǎng)、化解網(wǎng)絡(luò)風(fēng)險(xiǎn)的法律重器。此外，剛剛頒布的國家標(biāo)準(zhǔn)《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2019)將于2019年12月1日開始實(shí)施，標(biāo)志著網(wǎng)絡(luò)安全等級(jí)保護(hù)進(jìn)入2.0時(shí)代，適應(yīng)了云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等新技術(shù)、新應(yīng)用領(lǐng)域網(wǎng)絡(luò)安全保護(hù)需求。一系列法律和國家標(biāo)準(zhǔn)的相繼出臺(tái)，也為船舶網(wǎng)絡(luò)安全管理提供了切實(shí)的法律保障和根本遵循。2019年5月16日，交通運(yùn)輸部等七部門聯(lián)合印發(fā)了《智能航運(yùn)發(fā)展指導(dǎo)意見》，對(duì)防范智能航運(yùn)安全風(fēng)險(xiǎn)提出了明確的要求。

　　(三) 行業(yè)層面

　　近年來，國際和國內(nèi)行業(yè)相關(guān)的機(jī)構(gòu)相繼開展了船舶網(wǎng)絡(luò)安全的研究，并相繼發(fā)布了應(yīng)對(duì)船舶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的指導(dǎo)性文件。如波羅的海航運(yùn)公會(huì)(BIMCO)自2016年2月發(fā)布全球首份《船舶網(wǎng)絡(luò)安全指南》(第一版)以來，受到了國際海事界的廣泛關(guān)注，近日又聯(lián)合業(yè)界有關(guān)航運(yùn)組織和船公司發(fā)布了第三版指南，進(jìn)一步細(xì)化了IMO指南，為業(yè)界提供了操作性非常強(qiáng)的指導(dǎo);與此同時(shí)，BIMCO還發(fā)布了針對(duì)網(wǎng)絡(luò)安全的合同條款，明確各方的責(zé)任，規(guī)避因網(wǎng)絡(luò)安全風(fēng)險(xiǎn)帶來的損失。

　　中國船級(jí)社(CCS)作為國家船檢主力軍，對(duì)網(wǎng)絡(luò)安全也進(jìn)行了深入的研究，于2017年發(fā)布了《船舶網(wǎng)絡(luò)系統(tǒng)要求及安全評(píng)估指南》，通過對(duì)軟件、硬件及風(fēng)險(xiǎn)三方面的指導(dǎo)意見，進(jìn)一步針對(duì)網(wǎng)絡(luò)狀況及網(wǎng)絡(luò)產(chǎn)品進(jìn)行安全評(píng)估，協(xié)助航運(yùn)業(yè)防范網(wǎng)絡(luò)風(fēng)險(xiǎn);CCS 同時(shí)成立了船舶網(wǎng)絡(luò)空間安全研究中心，在網(wǎng)絡(luò)安全技術(shù)與管理體系方面展開研究，為航運(yùn)企業(yè)提供系統(tǒng)的網(wǎng)絡(luò)測試、評(píng)估及技術(shù)咨詢服務(wù)。2019年5月8日，CCS級(jí)首艘13500TEU智能集裝箱船“中遠(yuǎn)海運(yùn)荷花”輪首次通過了CCS整船網(wǎng)絡(luò)安全評(píng)估后交付使用，CCS為該輪簽發(fā)了首份“船舶網(wǎng)絡(luò)安全符合證明”，標(biāo)志著智能船舶發(fā)展進(jìn)入與網(wǎng)絡(luò)安全并重的階段。

　　除此以外，業(yè)內(nèi)專家強(qiáng)烈建議所有船舶、船舶所有者及其經(jīng)營人進(jìn)行網(wǎng)絡(luò)安全評(píng)估，以便更好地了解其潛在的網(wǎng)絡(luò)缺陷。同時(shí)，美國海岸警衛(wèi)隊(duì)強(qiáng)烈建議船舶和船舶所有人、經(jīng)營人和其他相關(guān)方采取以下基本措施來提高其網(wǎng)絡(luò)安全:首先，建議將網(wǎng)絡(luò)分為“子網(wǎng)”，讓對(duì)手不會(huì)輕易訪問到重要的系統(tǒng)和設(shè)備;其次，將訪問/權(quán)限限制在每個(gè)員工工作所需的級(jí)別，只有在必要的時(shí)候才能謹(jǐn)慎使用管理員帳戶;再次，任何外部媒體在接入任一船載網(wǎng)絡(luò)之前，都必須先在獨(dú)立的系統(tǒng)上掃描惡意軟件。永遠(yuǎn)不要在沒有信任證書的情況下運(yùn)行可執(zhí)行的文件;最后，安裝基本殺毒軟件并定期更新非常有必要，同時(shí)切記要及時(shí)修補(bǔ)漏洞。