邮轮网络安全关注要点

中船邮轮科技发展有限公司 李 凯 林 麟 董良志

2020年4月10日，世界第二大集装箱航运公司地中海航运MSC于日内瓦的总部数据中心遭遇黑客恶意软件攻击。2020年5月19日，世界最大的船舶管理公司之一中英船管Anglo-Eastern官方网站被发现不能打开。后经确认，这家管理着600多艘船舶的世界级航运公司遭到了勒索软件的攻击，但好在事态很快就被控制，并没有发生数据丢失。

网络威胁正把目标从陆地转向海洋，从IT系统转向OT系统。对于航运业，尤其是邮轮行业，新型网络病毒的防御已经成为迫切的需求，网络威胁的应对已迫在眉睫。

网络威胁特点

伴随着科技的进步，网络威胁也呈现出新的特点，不仅新的恶意软件和厉害的黑客不断增加，威胁的主体也从传统信息技术系统延伸到操作技术系统，生产环境和关键基础设施也成为了网络攻击的目标。信息技术系统和操作技术系统从系统运行的环境、要求和面对的风险都存在巨大的差异（如下表），也要求技术人员提供更有针对性的安全解决方案。

操作技术系统包含直接监视，控制物理设备及进程的硬件和软件。IT涵盖了信息处理的技术范围，包括软件、硬件和通信技术等。传统上，操作技术系统和信息技术系统是分离的，但随着互联网的出现，操作技术系统和信息技术系统的界限已经变的越来越模糊。

邮轮面临的网络威胁

邮轮面临的网络安全风险，不仅涉及到信息技术系统，还涉及到操作技术系统，这也给邮轮的网络安全服务带来了一定的挑战。

综合桥楼系统。随着数字化和网络化导航系统的使用日益增多，以及用于系统服务和更新的船岸间网络接口的增加，该系统受到网络攻击的危险性也随之增加。没有连接到网络的桥楼系统也面临着同样的威胁，因为移动介质（U盘、光盘、移动硬盘等）常被用来从其他受控或非受控网络更新系统。网络威胁可以通过影响服务的操作，进而影响与桥楼系统相关的系统和设备，包括ECDIS、GNSS、AIS、VDR和ARPA等。

通信导航系统。邮轮的通信导航系统包含大量的电子设备，例如GPS、测深仪、电子海图和雷达等，这些设备终端提供的数据为邮轮的安全航行提供支持，保证了邮轮的安全航行。攻击者可以通过篡改相关的数据，直接影响邮轮航线的制定，造成碰撞和搁浅等风险。

机舱监控、推进控制和电站管理等系统。使用数字化系统来监测和控制邮轮设备、推进和操舵等功能，使得这些系统也容易受到网络攻击。当这些系统具有远程监控的功能或与通信导航系统相连接，那么这更增加了系统遭受网络攻击的危险。

门禁控制系统。数字化的门禁系统在邮轮上的应用越来越广泛，用于管理乘客房间访问，以确保邮轮上乘客人身和财产安全。该系统被连接到安全管理平台，也增加了遭受网络攻击的危险。

酒店管理系统。邮轮的酒店管理系统，具有酒店管理、乘客消费、乘客登离船控制等功能，储存了乘客的姓名、年龄、护照、银行卡等大量的私人信息。为了满足财务管理的需要，该系统一般被连接到岸上网络，这就给网络袭击提供了可能。同时，智能终端设备(平板电脑、手持扫描仪等)也可以作为一个攻击途径，具有遭受网络袭击的潜在威胁。

乘客网络通信系统。邮轮上为了提高乘客的娱乐体验，布置了网络通信系统，乘客不仅可以使用电子设备通过内部局域网相互交流，也可以连接到外部通信网络，这都增加了邮轮的安全隐患。在邮轮上安装的连接到互联网的固定或无线网络，应该被认为是不受控制的，并且不应该与邮轮上的任何安全关键系统相连接。

邮轮上配备了大量的计算机，分别布置在驾驶室、集控室、会议室、酒店前台等区域，用于邮轮的日常管理，更新ISM体系文件，船岸间的沟通，记录和更新PMS信息，存储乘客信息，存储邮轮营销数据等。在遭遇网络威胁后，这些数据都有被窃取、篡改和删除的风险。不法分子以此进行敲诈勒索，出售邮轮公司运营数据等商业机密，不仅给邮轮公司的运营带来潜在的风险，并且给乘客的个人信息泄露带来隐患。

邮轮的自动化程度越来越高，涉及到邮轮上设备的监测、控制和保护等各方面的功能，并控制着邮轮的安全操纵和安全航行。在遭受网络袭击后，攻击者可以伪造数据信息，给设备提供错误的信号，进而影响邮轮的正常航行，甚至造成设备损坏和人员伤亡。

随着大量新技术在邮轮上应用，包括智能舱室、远程遥控和远程诊断等技术在邮轮上推广，攻击者将会更容易通过网络漏洞，直接影响到邮轮的安全航行和乘客的生命安全。

保护措施

邮轮的安全解决方案需要考虑到它所面对的特殊风险，在物理保护、实时监控和人员培训等多方面采取应对措施。

1、物理保护

邮轮的网络安全依赖于邮轮IT和OT系统的设计和配备，网络接口和物理网络的控制是网络安全管理的核心，在邮轮的建造阶段就需要合理的考虑邮轮网络的布置和控制措施，并通过合理的布置，降低网络威胁发生的等级。

1） 物理铺设

邮轮网络建造应该仔细考虑网络的物理布局，尤其是要考虑基本网络设备的物理位置，包括服务器、交换机、防火墙和电缆等。这将有助于限制不安全的访问和维护网络的物理安全，控制网络的接入点。

2） 网络管理

任何网络设计都需要考虑管理网络内的基础设施，在向网络提供文件共享、电子邮件和其它服务的专用工作站和服务器上安装网络管理软件。

3） 网络隔离

通常情况下，船上的网络应该具有以下功能：

·OT设备之间的必要沟通

·OT设备的配置和监控

·实现船上行政管理和商业目标，包括电子邮件、共享与业务相关的文件或文件夹(IT网络)

·为船上的船员、乘客和访客提供娱乐互联网接入

有效的网络隔离是“纵深防御”的关键环节，OT、IT、办公网络及公共网络应以适当的保护措施隔离。采用的措施可包括：

·船上网络和互联网之间设置外围防火墙

·每个网段间设置网络交换机

·每个网段间设置内部防火墙

·建立虚拟局域网管理分割的域

4） 设备选择

为了实现最高级别的安全，每个网络可以使用不同的硬件交换机。这将减少攻击者因错误配置或获取交换机配置而在网络间跳转的机会。

2、实时监控

了解网络的状态，监控和管理邮轮的IT和OT系统，检测任何未经授权的数据流量，可以在网络袭击的前期就发现相关的线索。

网络入侵检测系统(IDS)或入侵保护系统(IPS)可以向系统管理员实时警告网络系统受到的任何攻击。IDS和IPS检查数据流量、入口点或两者同时检查以识别已知威胁或拒绝不符合安全策略的流量。同时，可以在面向internet的部分放置传感器，因为公共服务器是攻击者的可见目标。另一个传感器放置在防火墙后面，以监视internet和内部网络之间的通信。

3、人员培训

人为因素永远是网络安全重要的一环，人的行为可以保护IT和OT系统，但也可能因为粗心大意造成了恶意软件的传播，引发网络安全事件。例如使用移动介质在系统之间传输数据，而没有采取预防措施。网络安全相关人员包括：

·邮轮的船员，包括船长、轮机长等高级船员和普通船员

·岸基支持人员，为邮轮提供岸基管理和支持的人员

·其他人员，包括代理、船检、码头工作人员和PSC等

应为网络安全相关的人员进行网络安全意识和基本技能的相关培训，培训应关注：

·与电子邮件相关的风险和安全的操作行为，例如钓鱼攻击就是用户点击一个危险链接，登录恶意网站

·与互联网使用相关的风险，包括社交媒体、聊天论坛和基于云的文件存储。在这些地方，数据移动受到较少的控制和监控

·与使用自有设备相关的风险，这些设备可能缺少安全补丁和控制，并且可能将风险转移到它们所连接的环境中

·在硬件上使用受感染的存储设备（移动硬盘等）安装和维护软件的相关风险

·与安全措施不到位的数据或软件有关的风险，包括没有进行病毒检查或没有真实性验证

·保护用户信息、密码和数字证书

·与非船上操作人员有关的网络风险，例如第三方技术人员在没有监督的情况下对设备进行操作

·发现可疑活动或设备，以及如何报告可能的网络事件。例如通常不可见的奇怪连接，或者有人插入了船舶网络上的未知设备

·意识到网络事件对邮轮安全和操作的后果或影响

·了解如何实施预防性维护程序，如防病毒和防恶意软件、补丁、备份以及事件响应计划和测试

·在连接到船舶系统之前防止来自服务提供商可移动介质的风险的程序

此外，相关人员应该知道计算机被入侵的迹象，包括系统响应速度变得迟钝，意外的密码更改，程序中出现的意外错误，邮件意外的被退回，频繁的系统崩溃等。

代理、港口和码头工作人员等访客在登船时应限制电脑的访问。禁止未经授权进入敏感的OT网络电脑。如果需要并允许访问者访问某个网络，则应该根据用户权限加以限制。

4、程序制定

IMO决议MSC.428(98)将网络威胁定义为特定威胁，要求公司应尽可能像处理可能影响船舶安全运行和环境保护的任何其它风险一样处理网络威胁。

网络安全管理应成为船舶安全管理体系的内在组成部分，制定相应的安全管理程序和应急反应程序，并应涉及到公司和船上的各级人员，包括岸上管理人员和各级船上人员。具体内容包括：

·确定相关人员的责任和授权

·开展关于网络安全培训的程序

·识别突然故障可能导致危险情况发生的设备和系统

·风险评估程序，对可能引发事故的操作开展风险评估，并采取措施，把风险控制在公司可以接受的范围内

·识别影响邮轮、人员和环境安全的关键操作

·制定应急计划，当邮轮因网络事件而受损时，迅速采取措施，恢复邮轮操作和服务的程序

·对于邮轮上出现的影响网络安全的事件的报告程序

·维护和提升邮轮网络安全系统可靠性的程序，包括软件维护

·维护和测试船舶设备和系统的备份安排的程序

5、风险评估

虽然风险评估主要关注物理世界，但是物理世界和数字世界现在是交织在一起的。公司需要评估邮轮上运行IT和OT系统产生的风险，并通过ISM规则和SMS体系建立基于风险评估的保护措施，以防范网络安全事件的发生。公司网络风险管理计划和程序应考虑到ISM规范和ISPS规范中现有的安全风险管理要求。

每个邮轮公司都具有自己特点，包括它的营业额、船队情况、市场占有率、目标旅客群体、不同的旅游产品和定位等，这些特点决定了每个邮轮公司所能承受的风险等级，以及为降低风险等级所采取措施的花费都不尽相同。这就要求邮轮公司根据自己的特点制订适合自己的风险评估策略。风险评估需要考虑到以下几点：

·考虑对邮轮操作、安全和环境保护重要的系统

·确定负责制定网络政策、程序和执行监控的人员

·考虑哪些远程访问使用多重防御层，哪些网络应该从互联网断开

·考虑需要培训的人员

网络威胁的危害需要综合考虑机密性、完整性和可靠性因素，这些因素的相对重要性取决于信息或数据的使用情况。例如，评估与商业操作相关的IT系统的漏洞可能关注机密性和完整性，而不是可靠性。相反，评估船上OT系统的脆弱性，特别是关键安全系统，可能关注可靠性和完整性，而不是机密性。

6、系统恢复

系统恢复能力是指从安全副本恢复系统或数据的能力，从而允许恢复干净的系统。邮轮建造期间，应给必要的信息和软件提供足够的备份安排，以帮助确保网络事故后的恢复。

应确定保留期和恢复场景，以确定哪些关键系统需要快速恢复功能以减少影响，具有高数据可用性要求的系统应该具有弹性。OT系统对邮轮的安全航行和操作至关重要，它应该有后备系统，使邮轮在网络袭击后能够快速、安全地恢复航行和操作能力。

邮轮的网络安全解决方案需要综合考虑乘客的娱乐需求、网络的安全需求、邮轮的运营需求三方面因素，在保证网络安全的前提下，又不会影响到乘客的网络娱乐体验和邮轮的运营管理。这就要求把物理保护、实时监控、程序制定、人员培训、风险评估和系统恢复几大措施积极融入到事前预防、事中应对和事后恢复三个环节，在邮轮网络袭击前构筑三道防线，做到把发生网络袭击的可能性降到最低，网络袭击发生后的损失降到最低，给乘客一个安全放心的假期。