本刊记者 胥苗苗

船舶网络空间风险作为一种新的海上安全风险日益受到业界关注，加强网络风险管理刻不容缓。

近年来，随着船舶智能化水平的不断提升，船舶越来越多地处于“在线”状态，也使其遭受网络安全威胁的风险逐渐加大，网络安全成为大家越来越关心的话题。为应对网络安全的挑战，国际海事组织（IMO）、国际船级社协会（IACS）、波罗的海航运公会（BIMCO）等组织和机构积极开展海事网络风险研究。中国船级社（CCS）也在应对网络安全方面积极作为，帮助船公司构建网络安全体系以及船舶网络安全防控技术实操全面发力。

加强船舶网络安全刻不容缓

从席卷全球的“WannaCry”勒索病毒，到卷土重来的“暗云Ⅲ”病毒，再到升级传播手段的“Petya”勒索病毒，计算机黑客利用计算机系统、工控系统、网络系统的漏洞对电力、供水、航运乃至国家部门的通信和网络系统发起攻击，因此，快速识别网络威胁并降低风险变得越发重要，船舶网络空间风险作为一种新的海上安全风险被海事立法机构、航运业界和船舶工业界所关注，目前各层面已开始采取相应措施加强海事网络风险管理。

国际海事组织海上安全委员会（MSC）96届会议通过了《海事网络风险管理暂行指南》，2017年6月，98届海安会批准《海事网络风险管理指南》，并替代了之前的暂行指南，为业界应对船舶网络安全提供了指导。同时根据第98届会议通过的《安全管理体系中的海事网络风险管理》决议，强调了船公司的安全管理体系应结合ISM规则的目标和功能要求考虑网络风险管理，鼓励各国政府不迟于2021年1月1日之后的首次DOC初次审核、换证审核或年度审核时，应核查安全管理体系是否包括了网络风险管理的相关内容，这是国际海事界为应对海事网络风险开展的实质性行动。国际船级社协会（IACS）方面也积极应对船舶网络安全，于2015年12月成立第六个专业委员会，目前正在编制有关船舶网络安全的12份指南。未来，监管船舶网络安全将成为IACS的第三大支柱性工作，这标志着IACS在船舶安全领域的工作从硬件向软件方面延伸。

我国于2016年11月7日颁布了《网络安全法》，并于2017年6月1日起施行。这是我国第一部全面规范网络空间安全管理方面问题的基础性法律，是我国网络空间法治建设的重要里程碑，也是依法治网、化解网络风险的法律重器。此外，国家标准《网络安全等级保护基本要求》已于2019年12月1日开始实施，标志着网络安全等级保护进入2.0时代，适应了云计算、移动互联、物联网、工业控制和大数据等新技术、新应用领域网络安全保护需求。一系列法律和国家标准的相继出台，也为船舶网络安全管理提供了切实的法律保障和根本遵循。与此同时，2019年5月16日，交通运输部等七部门联合印发了《智能航运发展指导意见》，对防范智能航运安全风险提出了明确的要求。

近年来，国际和国内行业相关的机构相继开展了船舶网络安全的研究，并相继发布了应对船舶网络安全风险的指导性文件。为了向行业提供清晰全面的网络安全风险信息，以助力相关方采取恰当措施，应对网络威胁事件，波罗的海航运公会（BIMCO）2016年2月发布全球首份《船舶网络安全指南》（第一版），受到了国际海事界的广泛关注，随后BIMCO联合业界有关航运组织和船公司发布的第三版指南，进一步细化了IMO指南，为业界提供了操作性非常强的指导；与此同时，BIMCO还发布了针对网络安全的合同条款，明确各方的责任，规避因网络安全风险带来的损失。

助力船公司构建网络安全管理体系

中国船级社（CCS）作为国家船检主力军，持续在网络安全技术与管理体系方面展开研究，为航运企业提供系统的网络检测、评估及技术咨询服务。

为帮助船公司建立海事网络风险管理体系，CCS依据IMO海上安全委员会在其第98届会议批准的《海事网络风险管理指南》（MSCFAL.1/Circ.3）编写了《海事网络风险评估与管理体系指南》，为业界执行第98届会议通过的决议提供指导。该指南于2020年2月1日准时生效。

海事网络风险管理是船东、管理公司和船舶综合考虑成本和收益后，通过制定和执行各种措施和计划，采用规避、转移、降低或容忍的方式，将网络风险降低到各方认为可以接受水平的活动过程。当网络范围有限时，可采用较为简洁的方式；当网络范围较广且系统复杂时，应采用更综合的方案，并尽力寻求业界、主管机关及合作方的支持。CCS出台的《海事网络风险评估与管理体系指南》通过介绍海事网络的基础知识，提出进行海事网络风险评估的方法，给出海事网络管理体系的制定、执行和改进的建议，为业界提供尽可能全面的、有效的、可操作的指南，以便业界根据实际情况在决策前参考，帮助业界保护船舶免于或减少受到当前以及未来的网络威胁。

据CCS相关专家表示，该指南为建议性指南。指南适用范围与《国际安全管理（ISM）规则》一致。从海事网络的角度来讲，指南适用船舶网络及公司网络中涉及船舶安全管理的部分。如果船舶（尤其是网络程度化高的船舶）的网络受到攻击后会出现船舶被远程挟持的情况，在执行网络风险管理时，还需符合《国际船舶和港口设施保安（ISPS）规则》的要求。从操作实践的角度讲，CCS发布的指南建议公司不迟于2021年1月1日之后的首次DOC临时审核、初次审核、年度审核和换证审核时，完成海事网络风险管理的实施。同时，指南的相关规定对于不适用《国际安全管理（ISM）规则》的情况，可参照执行。航运业界的各个组织可根据该指南开展网络风险管理。

海事网络风险管理是安全管理体系的组成部分，并与之协调一致。对于网络风险管理中涉及的商业敏感信息或保密的数据，公司应当注意保护，尤其是避免在体系文件中述及。同时，还应注意ISPS规则A部分第8章关于“船舶保安评估”的强制性要求，和ISPS规则B部分第8.4.11条关于“无线电和无线通信系统，包括计算机系统和网络”的非强制性要求。

CCS专家表示，该指南建议船公司按照三个阶段进行体系建设，具体为风险评估、体系建立以及体系运行三个阶段。在第一个风险评估阶段，船公司需要进行海事网络调研，识别和熟悉海事网络连接范围和特性；进行风险识别，寻找由于海事网络的使用而产生的风险；进行风险评估，对识别出的风险，进行量化评估。在第二个体系建立阶段，船公司需要制定措施，避免和降低风险的发生和危害；制定应急计划，网络事件发生后，减少和降低产生的危害；及时响应及恢复，网络事件发生后，有效响应和恢复的能力。在第三个体系运行阶段，船公司需要制定体系，将措施、计划、响应及恢复纳入体系；实施体系，体系发布后，开始实施，并保存相关记录；改进体系，根据业界信息、反馈和险情等，改进体系。

CCS专家强调，为确保实施效果，在具体实践中，各相关方应充分考虑船旗国政府的要求，以及相关的国际标准、行业标准和最佳实践。同时，需要注意的是，海事网络风险管理应覆盖从高级管理层到每一位船员或员工。高级管理层应注重采取各种措施将网络风险意识宣贯到公司的每个层面，并通过有效的反馈机制，确保网络风险管理能得到持续的运行并被定期评估，从而建立起全面的、有效的、灵活的、可操作的管理体系。

全面提升船舶网络安全技术防护

在帮助船公司建立网络安全管理体系的基础上，CCS还在船舶网络安全技术防护方面给予船公司技术上的实操指导。早在2017年，CCS就发布了《船舶网络系统要求及安全评估指南》。据CCS专家介绍，该指南面向船舶网络系统的设计、实施、运行、退役等环节，为船东、船舶管理公司、系统开发方等提供网络系统的建设要求，旨在规范船舶网络的建设工作，针对操作、集成、维护、设计、安全意识、管理水平等方面的风险点对其实施有效评估，使有关的管理人员和技术人员理解船舶网络安全的重要性，形成综合提升船舶网络系统建设水平、威胁防御能力的新观念，保障船舶网络环境的稳定性，为智能船舶的功能应用建立基本的条件与保障。该指南从资源、程序及风险三个要素，阐述了船舶网络系统建设中需满足的要求。

指南发布后，CCS与船公司合作完成了针对散货船的首次船舶网络安全评估工作，此次评估是遵循“指南”开展的首次船舶网络安全评估检验，同时也是国内首次针对船舶网络安全的评估实践活动。通过本次评估CCS不仅对指南的有效性与可执行性进行了验证，同时也完成了对于船舶管理公司软硬件环境及网络安全管理水平的摸底调研。在评估过程中，主要从两个角度来识别网络风险，一方面从管理要求、规章制度上，企业在管理体系中有关网络管理的要求，如人员培训，人员安全意识培养，访问管理控制等方面；另一方面是技术方面，如网络端口控制与使用，通信协议及其服务、船舶防火墙、路由器和交换机等网络设备的配置，电子邮件和网页浏览器的保护、卫星和无线通讯的保护、恶意软件防护、无线接口的控制、应用软件的安全性管理、数据恢复能力等方面，另外，与外界有数据传输的船舶设备和系统是入侵船舶的通道，通过控制这些通道可以控制船舶，因此对这些系统进行风险分析，识别系统脆弱性，提高船舶风险防御能力。

为了更好地应对及防御网络安全事件，CCS建议船舶及管理公司从以下几个具体方面着手，提高船舶防御能力，主要包括：智能船舶在系统设计时，应充分考虑网络安全的风险管理问题，同时遵循CCS智能船舶规范和CCS船舶网络系统及安全评估指南的技术要求，合理进行设计；船舶管理公司或航运企业应建立健全船舶网络安全管理体系；充分利用现代化信息技术对船舶网络安全进行感知、监测以及应急响应；对船舶网络安全进行技术防护和安全加固。

2019年，为更好地为船公司提供网络安全的技术支持，CCS在2017年指南的基础之上进行了全新改版，针对网络安全技术实操的指导从原来的十几项增加到了现在的五十多项，范围更广，涉及领域更多，规定更为详尽，从多个方面为船舶（包括船舶及海上设施）网络及系统的建设、运维、评估和检验提供操作指导，保障船舶网络及系统具备安全性及必要的威胁防御能力。改版后的指南将于今年3月1日正式上线。

为贯彻落实国家与相关部委关于提升网络安全的政策和技术要求，CCS在IMO、BIMCO、IACS等海事组织研究成果的基础上，一直在积极开展船舶网络安全方面的探索与研究。据了解，CCS筹建船舶网络安全实验室，对船舶网络安全进行风险评估、评测、咨询、培训以及跟踪国内外在船舶网络安全方面的最新动态、相关技术的研究与应用，为CCS及行业单位提供网络安全相关服务支持，解决智能船舶发展过程中船舶网络安全的技术问题。2019年5月8日，CCS级首艘13500TEU智能集装箱船“中远海运荷花”轮首次通过了IACS网络安全建议案整船网络安全评估后交付使用，CCS为该轮签发了首份“船舶网络安全符合证明”，标志着智能船舶发展进入与网络安全并重的阶段。下一步，CCS还将进一步深入开展网络安全方面的探索，指导企业建立健全网络安全管理体系，提高防御能力，为智能制造、智慧航运、绿色航运、平安航运持续保驾护航。

欧盟欲推行航运业碳排放配额制度，引发业界强烈反对

近期，欧洲海洋排放报告员、欧洲议会绿党议员Jutta Paulus起草了一份法规提案，呼吁欧盟从2021年1月开始对使用欧盟港口的船舶实行碳排放配额相关的规定。这项法规将迫使船舶在碳排放限制和交易体系下运营，提高其碳强度表现，并为欧洲海洋脱碳基金作出贡献。