船舶网络安全的技术机制与豁免条件

在上期内容中,我们介绍了船舶网络安全的合规流程。本期将聚焦网络安全的技术实现机制,并进一步讲解在特定条件下可豁免审查的系统类型及其判定标准,帮助大家更全面地理解合规要求背后的技术逻辑与灵活性空间。

往期内容回顾:

从合规性到系统性防护,船舶网络安全规范及认证流程解析

从应急到预防,船舶网络安全管理的领导力转型

 

整船网络安全技术机制

整船网络安全的技术机制基于五大核心能力:识别、保护、检测、响应、恢复。这要求船舶具备结构化的网络安全能力,能够识别系统、人员、资产、数据与关键功能,抵御网络攻击并最大限度保障航行连续性;具备持续监测和识别网络异常的能力;在面对网络威胁时可实施有效防护措施;并在网络事件发生后,尽快恢复受损的功能与服务,确保关键业务不中断。

 

 

  • 识别(Identify功能要求船舶识别所有关键CBS系统、其相互依赖关系及信息流,并明确相关管理人员及职责。同时,需建立覆盖硬件、软件及网络连接的资产清单,并在全生命周期内持续更新,以防止漏洞被利用、提升整体网络韧性。
  • 保护(Protect功能模块旨在建立并实施适当的防护措施,以限制或控制潜在网络事件的影响范围。其核心内容包括:安全区划分与网络隔离、网络安全防护机制、防病毒、防恶意软件与反垃圾邮件措施、访问控制策略、无线通信与远程访问管理、与不可信网络的通信防护,以及移动和便携设备的使用管控。这些措施共同构建了抵御网络威胁的第一道防线。
  • 检测(Detect功能模块旨在建立并实施有效机制,用于识别船上CBS系统与网络中的异常活动并发现潜在的网络安全事件,包括对网络的持续监控,在发生故障或性能下降时及时报警;同时,CBS与网络应具备验证安全功能运行状态的能力,诊断功能应提供系统完整性和状态信息,支持用户维护系统稳定,保障船舶的安全运行。
  • 响应(Respond模块要求船舶在发生网络安全事件时具备明确可执行的应对机制,以最大程度控制事件影响并保障安全运行。船东需制定事件响应计划(Incident Response Plan),明确待响应情形、行动流程及责任分工,并确保在网络事件中能够识别、响应并限制对 CBS 系统的影响。船舶需具备本地独立和/或手动操作能力(Local, independent and/or manual operation)确保在主系统失效或遭攻击时,关键设备可通过独立的人机界面(HMI)在现场安全操作;并具备网络隔离功能(Network Isolation),及在必要异常时切断安全区通信;和最小风险状态回退(Fallback to a minimal risk condition),系统异常时自动进入安全稳定的停止状态)。
  • 恢复(Recover)模块旨在确保船舶在遭受网络安全事件后,能够快速、安全地恢复受影响的CBS系统和网络的运行状态。船东应制定恢复计划(Recovery Plan),明确故障恢复流程、责任人员及可获得的技术支持资源,并在执行过程中权衡数据擦除与证据保留之间的取舍,必要时引入外部网络安全专家协助取证与恢复。此外,船上CBS与网络系统应具备定期备份与恢复能力,确保数据可在丢失后完整、及时、安全地还原。系统还应支持受控关机、重置、回滚与重启操作,避免因强制断电导致文件损坏或系统异常。

 

参考来源:IACS UR-E26-Rev.1-Nov-2023-CR

 

设备/组件级网络安全技术机制

根据IEC 62443框架,网络安全的基础要求包括七个方面:

  • 标识与鉴别:确保所有用户在访问系统前均需进行身份验证 (24条技术要求)
  • 使用控制:通过权限管理和使用监控来限制用户操作范围(24条技术要求)
  • 系统完整性:防止系统被未经授权篡改 (19条技术要求)
  • 数据保密性:保护通信过程中数据不被泄露 (6条技术要求)
  • 受限数据流:通过分区手段限制不必要的数据流动 (5条技术要求)
  • 事件响应及时性:确保系统能及时识别并应对网络安全事件及违规行为(3条技术要求)
  • 资源可用性:保障在网络安全事件发生时系统资源的持续可用。这些要求共同构成了船舶网络安全的最基本防线。(7条技术要求)

 

技术安全能力的详尽要求请参考DNV-RU-SHIP-Pt.6 Ch.5 Sec.21,其他参考IACS UR-E27-Rev.1-Sep-2023-CLN

 

DNV可忽略风险豁免机制

系统与组件在符合条件的情况下,可以申请安全要求审查的豁免。

系统层面的豁免需进行风险评估,以判定该系统是否构成“可忽略的网络安全风险”,最终由船厂(集成商)提交作为F011文件的一部分。该系统至少应满足以下四项基本条件:

  1. 系统为隔离状态,不得与其他系统有IP网络通信(包括无远程访问方案)。
  2. 系统应位于物理访问受控区域内。
  3. 系统不得有可用的物理接口端口,未使用的接口应被逻辑禁用,系统亦不应可连接外部设备。
  4. 系统不得为多个船舶功能提供集成控制服务

此外,还应考虑以下附加评估标准

  • 系统不应用于推进、操舵或其他必须的安全功能。
  • 已考虑复杂性、连接性、接入点(含无线)后,系统的攻击面应最小化
  • 应综合考虑系统可能存在的已知漏洞、潜在威胁与其影响

组件层面的豁免也需进行独立风险评估,由制造商提交,并作为F021文件的一部分。评估应至少考虑以下攻击路径

  • 与其他系统或组件之间的通信;
  • 物理访问控制情况;
  • 任何可用于软件更新、配置、文件传输或管理活动的物理或逻辑接口。

参考来源:DNV-RU-SHIP-Pt.6 Ch.5 Sec.21

 

希望我们提供的技术与流程合规解读能为大家带来有价值的参考,提升行业对船舶网络安全的重视,并助力在合规过程中更高效地达成目标。

 

 

2025/8/11 06:51:00