船岸網絡與信息安全管理探究

摘 要：國際海事組織要求船公司在2021年1月1日前參考BIMCO推出的船舶網絡安全指南，將網絡風險管理方針納入安全管理體系。如未在規定日期前實施新政，船只將被扣留，業務陷入停滯。實際上，網絡與信息安全工作的重要性符合冪次定律，是繼航線規劃、造船投入和人才培養之后，決定船公司生死存亡的“第四種生產要素”。我們相信船公司積極實施船岸網絡分層防御措施，建立健全網絡信息安全體系，最終能夠幫助企業實現躲避惡意攻擊，防范船岸網絡安全及信息泄露事故于未然的目標。

關鍵詞：船岸；網絡；安全信息；泄露

0 概 述

領先的船公司因長期實踐“數字化+互聯網”戰略，船舶一切運營參數及管理量化指標被移到了更加透明的互聯網信息平臺上，船舶所有人可以隨時隨地對資產進行監控。船舶所有人把船舶全權委托給第三方船管機構打理，但這又帶來一個全新的課題——隨著船岸數字化程度越來越高，信息系統遭受攻擊導致數據泄露的風險越大。近年來我們聽到多起船員私人信息泄露導致的詐騙事件，不用懷疑，這些泄露的源頭90%來自船管公司的信息系統。此外，馬士基公司遭遇勒索病毒損失3億美金的案例告訴我們，無論船岸員工及IT專員是惡意還是疏忽，亦或是“不知情的幫兇”，都可能會給企業帶來嚴重的危害。我們知道，數據對業務的價值是有期限的，而船公司要做的就是充分了解其系統所掌握的信息，以及誰有訪問系統獲取信息的權限，確保數據及使用人員在有效期限內的安全受控。

1 船岸通訊網絡管理現狀

航運互聯網技術的運用和發展非常迅速，特別是海上衛星通訊服務商（見圖1）提供的海上高速帶寬套餐資費日益下降，極大地促進了船舶與管理當局、服務供應商、租船人和船舶所有人之間的信息交換頻率，這也給船舶管理公司帶來更大的壓力。網絡沒有物理國界，任何擁有基礎網絡安全攻防經驗及熟悉船舶扁平化網絡架構（見圖2）的人都可以對海上聯網船舶進行遠程滲透，可能只需一杯咖啡的時間航行在海上的船舶就可能陷入斷網、信息系統被加密鎖定，甚至船舶主機、自動舵系統失去控制的恐怖景象，以上情景并非危言聳聽。筆者對某船舶衛星通訊商ip地址段（148.*.*.*）掃描發現，眾多安裝VSAT、FBB設備船舶未經審核就向公網開放了21/80/445/3389等弱口令TCP或UDP端口，且絕大部分船舶沒有配置專業的硬件防火墻，導致訪問控制策略失效，這也為船舶內網遭受外部威脅開啟了潘朵拉魔盒。常見漏洞利用端口如下：

HTTP：80，8080，8888，8000，8001，8088；

VNC：5900，5901，5902，5903；

MySQL：3306

Memcached：11211

MySQL/MariaDB：3309，3308，33603306，3307，9806，1433

FTP：21

Telnet：23，2323

PostgreSQL：5432

Redis：6379，2379

ElasticSearch：9200

MongoDB：27017

RDP：3389

UPnP/SSDP：1900

NTP：123

DNS：53

SNMP：161

LDAP：389

Rexec：512

Rlogin：513

Rsh：514

Rsync：873

Oracledatabase：1521

TeamViewer：53，5938

CouchDB：5984

2 常見網絡攻擊手段

影響船公司和船舶的網絡攻擊主要有兩類：一是無目標的攻擊，岸基或船舶內網操作系統及第三方軟件漏洞是許多潛在的受攻擊目標之一，攻擊者利用0day漏洞進行廣撒網式無差別化攻擊；二是有針對性的攻擊，將某船公司或船舶信息系統設置為預定滲透目標，攻擊者為躲避網絡安全設備的防御機制，利用專門開發的更復雜的繞過技術和工具，實施多步驟攻擊，其殺傷力、破壞力較前者較大。針對性攻擊我們又分為以下幾種類型：

（1）主動攻擊。攻擊者試圖突破網絡安全防線。這種攻擊涉及到數據流的修改或創建錯誤流，主要攻擊形式有假冒、重放、欺騙、消息纂改和拒絕服務等等。

（2）被動攻擊。攻擊者簡單地監視所有信息流以獲得某些秘密。這種攻擊可以是基于網絡跟蹤通訊鏈路或基于系統用秘密抓取數據的特洛伊木馬代替系統部件。

（3）物理攻擊。在物理臨近攻擊中，未授權者可物理接近網絡、系統或設備，目的是修改、收集或拒絕訪問信息。

（4）內部攻擊。當內部人員被授權在信息安全處理系統的物理范圍內，或對信息安全處理系統具有直接訪問權，主動將獲取的信息進行非法傳播。

（5）邊界攻擊。網絡邊界包括路由器、防火墻、入侵檢測系統IDS、虛擬專用網VPN、DMZ和被屏蔽的子網等，上述硬件內部安裝的OS與其他軟件一樣，也無法逃避存在安全缺陷的命運，攻擊者則可利用其協議缺陷、OS及固件漏洞繞過已知安全策略。

（6）持續性威脅。商業APT組織可能會通過釣魚手法進行欺詐，例如：以“XX船公司2020中期戰略企劃書”為關鍵詞投放電子誘餌，通過Scribble等Office文檔追蹤工具進行精準定位，騙取企業受害人打開附件或點擊郵件鏈接從而入侵或破壞對方的信息系統。

3 船舶易受攻擊的系統

1）綜合船橋和ECDIS系統

2）配載儀和船舶維修保養系統

3）主機遙控和能效系統

4）保安限制區域CCTV和各重點艙室門禁

5）乘員服務和管理系統

6）面向船員娛樂的公共網絡

7）船岸網絡通信系統

8）操作系統及常用軟件

4 處理網絡事件的基本步驟

1）風險識別：定義相關人員角色和職責，確保在日常管理中能夠發現可疑風險

2）事件預防：采取風險控制流程和應急計劃，阻止網絡風險演化成網絡事件

3）事件發現：通過檢查確認網絡事件發生，評估損失及后續恢復方案

4）事件恢復：有計劃響應并使系統恢復正常運行

5）免疫措施：制定措施避免遭受同類網絡事件再次發生

5 安全組織架構設計

網絡信息安全問題從根本上說是人的問題，如何讓人守規則，不違反規則，技術上如何減少和避免人為惡意使用技術，這是船公司網絡信息安全組織架構設計的初心。我們可以把組織的總體目標定義為：針對船岸網絡及信息安全需要，構建系統的網絡安全技術和信息防護策略及其措施，通過制度管理和技術防范，雙管齊下，規范員工行為，以達到網絡和信息資產安全可控的總體目標。最終達到“外人進不來，進來看不到、看到拿不走、拿走用不了、操作可追溯”的效果。組織實際領導者——首席信息安全官（CISO）的基本職責是：建立船岸網絡與信息安全團隊并確保成員各司其職。團隊成員既要包含企業內部的計算機安全專家，也要包含外部資深律師、會計師、技術專家等。

6 安全團隊成員崗位職責

1）對船舶VSAT/FBB設備端口映射以及防火墻規則進行審核分發及監控，熟悉Infinity，XchangeBOX等通信管理系統的后臺設置，監控內網可疑流量。

2）對船岸內網信息設備及辦公電腦軟硬件及時更新維護，熟悉GTMailPlus、SkyfileMail、Super-Hub、RYDEX、AmosConnect等軟件操作知識。

3）對船岸防火墻訪問規則進行定期維護，定期更新船岸病毒及漏洞補丁庫，不斷豐富船岸網絡信息事故應急預案。

4）收集供應商技術文件集中存儲，向設備及服務供應商提交并跟蹤審核信息類保修工單（KVH，Marlink，GEE，OneNet等）。

5）跟蹤記錄新造船FBB，銥星和VSAT以及船載物聯網設備安裝調試情況，對船隊VSAT/FBB網絡流量及費用情況進行跟蹤，分配船員適當的信息訪問級別和安全訪問許可。

6）參與船舶網絡基礎建設及信息系統迭代開發，提出必要的安全策略規范要求。

7）具備防火墻/路由器/入侵檢測系統和交換機的豐富知識；具備Mac、Windows、Linux三大操作系統及域控服務器的豐富知識；具備數據庫基礎知識，能夠使用SQL查詢語言，Crystal Reports提取分析數據。

8）具備網絡安全事件調查能力，獨立撰寫網絡安全事件調查報告并提出改進措施。

7 經驗交流

網絡信息安全領域對于大部分人而言既陌生且專業性較強，在實踐中，大部分船公司是總裁辦（行政事務部）或保密部門來牽頭，而網絡信息安全職能又隸屬話語權不高的IT部門，最終導致企業網絡信息安全工作進展遲滯，制度落實緩慢。因此，我們建議由公司領導牽頭作為“一把手”工程，由技術保障部門負責具體實施。有條件的船公司應該定期針對船岸網絡信息系統進行白帽滲透以及布置網絡信息安全審計設備，當船岸系統被攻破時，此舉能夠有助于迅速做出應急反應，恢復可以預知的破壞和損失。此外在員工手冊、船員上船協議中應該賦予公司相關職能部門通過技術手段來獲取內部威脅的權利，此舉有利于打擊船岸隱蔽性較強的職務犯罪。

以筆者所在單位為例，2018年初由公司領導牽頭與CCS聯合成立了船岸網絡信息安全專項課題組，針對我司船岸網絡特殊性制定了一套通用船舶網絡安全管理體系，并在超大型集裝箱船試行了《船舶網絡信息安全實施指南（征求意見稿）》及配套制度如《船舶網絡信息資產管理辦法》《船舶VSAT、局域網及防火墻設置規范》《船舶網絡信息安全員崗位職責》《船員網絡信息安全應知手冊》等，除此之外，還對試點船舶就域控服務器（解決內網信息審計問題）、KMS激活服務器（解決操作系統、辦公軟件授權問題）、自建CA頒發SSL證書（解決SHA256數據加密問題）、某開源安全軟件企業版部署（解決病毒庫、補丁離線升級問題）等項目進行技術驗證，為下一步網絡信息安全課題成果的推廣應用奠定良好基礎。

8 結束語

早在2014年2月，我國便成立了中央網絡安全和信息化領導小組。2015年黨的十八屆五中全會提出“網絡強國”戰略，2016年11月頒布了《中華人民共和國網絡安全法》，同年12月頒布了《國家網絡空間安全戰略》?？梢哉f“沒有網絡安全就沒有國家安全”已然成為舉國上下的共識；同理，沒有網絡安全就沒有航運安全。2018年9月22日，美國在最新頒布的《國家網絡戰略》中明確指出，美國的經濟和國家安全建立在全球貿易和運輸的基礎之上，隨著交通運輸部門的現代化，它們很容易受到網絡攻擊。鑒于海上運輸的重要性，海上網絡安全尤為令人擔憂，美國將迅速采取行動，確定海上網絡安全的責任，加強國際協調和信息共享機制，加速下一代具有網絡彈性的海上基礎設施的發展?！八街梢怨ビ瘛?，未來的航運業，誰站在網絡信息安全的制高點掌握核心科技，誰就能實現贏家通吃。如果網絡信息安全出現紕漏，就會出現一著不慎，滿盤皆輸的局面。作為航運從業者，我們要以清醒的頭腦，未雨綢繆，有步驟有計劃地提升我國航企網絡信息安全建設，持續為我國智能航運、智能船舶等“政產學研用”創新項目落地，實現我國從航運大國走向航運強國的目標努力奮斗。