中船重工第七一四研究所海事研究中心 吴笑风 许 攸

海上网络安全：航运与船舶工业的跨界挑战

中船重工第七一四研究所海事研究中心 吴笑风 许 攸

随着整个航运系统的信息化和智能化程度加深，以及E-航海、智慧海洋等战略的实施，IMO对海上网络安全问题的关注很有可能会逐步向岸基设施进而向整个航运产业链扩展。

目前，船舶智能化风暴正深刻影响着航运业和造船业，它对航运业上下游整条产业链——研发、制造、运营等都带来了巨大变革，并创造出新的价值。不可否认，智能化在带给业界巨大便利、创造新的价值的同时，船舶的安全边际也在不断外延，其中网络安全就对航运和船舶工业的未来发展提出了巨大挑战。

网络空间威胁正不断加剧

近年来，信息技术革命在全球范围内如火如荼，为工业界各领域带来深刻的变革。在装备制造业中，大量基于信息化的生产和服务手段被有机地集成到产品的整个生命周期中。同时，产品本身的信息化和智能化程度提升也对产品的制造和运营服务模式提出了更高的要求。在英国劳氏船级社等机构发布的《全球海洋技术趋势2030》和DNV GL发布的《航运业的未来》报告中，智能船舶都被列为未来船舶和海洋领域的关键趋势之一。

随着信息化和智能化时代的来临，网络空间风险作为一种新的海上安全风险被海事立法机构和船舶工业界所关注。网络安保公司CyberKeel研究表明，造成海上网络攻击的主要动机包括四类：直接盗取金钱、（非法）移动船只、窃取数据资料、造成航期延误。如2011年8月，伊朗航运公司受到网络攻击，大量货物清单、货物号、送货日期和地点等信息流失，遭受了巨大的损失；2012年，伊朗位于波斯湾的油气开采平台间的通讯系统受到网络攻击，直接促使伊朗当局斥巨资加强网络防御能力；2011年至2013年间，荷兰毒贩通过入侵集装箱运输系统在南美和比利时间偷运可卡因；澳大利亚海关也曾查获通过入侵航运物流信息系统实施违法行为的案件……

“不存在对网络威胁自然免疫的信息系统”，是网络安全领域中的一条论断。在信息化和智能化的大背景下，各工业行业都开始采取技术和管理手段应对网络安全威胁。著名信息安全咨询公司NCC Group针对日益严峻的海上网络安全风险曾指出：海上网络攻击的潜在损失包括收益损失、环境破坏甚至人员伤亡，因此有必要制定并应用一系列行动指南或标准作为防护手段，还应对海上信息系统、网络、硬件设备、软件等进行安全测试，将网络安全因素纳入相关设备和系统的生命周期中。

海事界开始行动

随着信息化和智能化时代的来临，网络空间风险作为一种新的海上安全风险被海事立法机构和船舶工业界所关注。

国际海事组织（IMO）曾在海上安全委员会（MSC）第95届会议对网络安全问题进行了初步讨论，明确提出了国际海事业界需要引起对网络空间威胁的重视并做出适当响应。2016年2月，波罗的海航运公会（BIMCO）发布了全球首部《船载网络安全指南》，受到了海事业界的广泛关注。IMO各成员国和国际组织在MSC96届会议上经过热烈讨论后达成共识，一致认为应对网络空间威胁已成为国际海事界面临的长期挑战。2016年6月，IMO以通函形式正式发布了《海上网络风险管理临时导则》，作为指导船东和船员进行船载网络风险管理的顶层管理指南。在MSC97届会议上，有代表团建议IMO考虑针对网络空间安全管理问题制定强制性的行动计划。但最终大会讨论认为目前的工作重点应集中在对现有临时性导则的研究、理解和实施。而在这期间，多个国家和航运组织、业界组织都针对网络安全问题开展了专门研究。

在刚刚结束的MSC98届会议上，各国再次关注对网络安全管理相关文件的强制性问题，并讨论了将网络风险管理纳入安全管理体系的问题。对此，大会进行了热烈讨论，并在工作组中对相关提案进行了详细审议。多达39个国家代表团、2个政府间国际组织及13个非政府组织观察员代表参与了工作组工作。海事界一致认为海事网络风险管理已成为紧迫需要，有必要通过IMO提高各国对海事网络安全的意识，保障海事活动的安全和高效。基于此，IMO将发布决议，在维持相关文件非强制性的基础上，进一步提出提升应对海上网络风险意识的手段。

工业标准仍缺失

相比于海事界，船舶工业界在应对网络威胁的方面响应有所滞后。虽然海事界已经发布了多份规范性文件，但由于关注点不同，各类规范性文件只能在整个航运系统中的特定环节发挥有限的作用。例如，IMO临时性导则更多面向主管机关、船东、船舶运营商的管理方面；航运组织的指南性文件注重船舶运营中的操作方面。而从船舶工业角度来看，目前还没有规范性的技术手段对船载网络系统的安全性进行评估和管理的方法。因此，须考虑不同规则的作用域差异及互补方式。工业标准是这一规范体系中的重要组成部分。

广泛地看，在关于网络和信息安全的工业标准中，国际标准化组织（ISO）和国际电工组织（IEC）联合发布的ISO/IEC27000系列标准具有较强的影响力。ISO/IEC 27000是专门为信息安全管理体系发布的一系列相关标准的总称，主要包含基本要求和支持性指南、认证认可和审核指南、面向行业的信息安全管理要求三类国际标准。目前，在一些行业门类中已有基于ISO/IEC27000系列标准编制专用信息安全管理标准的案例，但在船舶海洋工业领域的网络安全标准仍处于空白状态。此外，ISO31000《风险管理原则和实施导则》提供了通用的风险管理办法，可为船舶网络风险管理提供参考。

正是基于此，自MSC96届会议后，ISO/TC8（船舶与海洋技术委员会）开启了船载网络安全管理和风险评估的初步研究。这也充分体现了ISO/TC8一直以来“超前和及时响应IMO和市场需求、紧跟技术趋势”的思路。ISO/TC8的网络安全标准侧重于为信息化设备厂商、系统集成商等工业界主体提供参考。目前，中国、美国、日本、英国、丹麦等国家表现出了对船载网络安全问题的高度关注并有所参与。对于国内设备厂商和系统集成商而言，积极布局，在产品生命周期中融入对网络安全手段的考量，在加强安全技术研发的同时，积极参与到相关的标准和国际规则制定中，对未来市场竞争力的提升将具有促进作用。

同时值得注意的是，尽管目前国际海事界对于网络安全问题的关注点仍集中于船舶自身，但随着整个航运系统的信息化和智能化程度加深，以及E-航海、智慧海洋等战略的实施，IMO对海上网络安全问题的关注很有可能会逐步向岸基设施进而向整个航运产业链扩展。网络安全将成为名副其实的“跨界挑战”。