为船舶网络安全贡献中国方案

中国首个智能航运领域国际标准发布，有助于提升船舶网络安全防御能力

为船舶网络安全贡献中国方案

中国船舶报 2024年08月16日

　　风险等级评价

　　□ 中国船舶集团有限公司综合技术经济研究院胡杰鑫老轶佳杨玉婷石瑶

　　近日，我国联合9个国家共同制定的智能航运领域国际标准《船载网络安全风险评估》（ISO 23799:2024）正式发布。这是首个由我国牵头主导制定的智能航运领域的国际标准，打破了西方对我国在该领域开展国际标准化工作的封锁。

　　网络安全成为国际海事和船舶工业界的热点问题已有一段时间，业界一直在寻找合理的网络安全标准方案。国际标准化组织（ISO）和国际电工委员会（IEC）中网络安全相关的标准可在一定的指导框架下供各类航运和船舶工业机构选用，以提升自身或产品应对网络风险的水平，然而这种通用性使得相关标准在应用中仍然不够“精准”，寻找网络安全标准方案之路还需继续。

　　抢占智能航运竞争高地

　　在智能航运这块未来全球海事的竞争高地，基于提升应对网络风险威胁意识的迫切需求，中国船舶集团有限公司综合技术经济研究院联合上海船舶研究设计院、中船数字信息技术有限公司、招商局金陵船舶（南京）有限公司、中国船级社（CCS）、天津航海仪器研究所、招商局海洋装备研究院等国内单位，以及美国、丹麦、比利时、日本、韩国等9个ISO成员国业界机构，组建了一支包括标准化、船舶总体设计、信息技术研究、船舶检验、船舶建造和设备研发等在内的国际化专家团队，共同开展ISO 23799研制工作。在标准研制阶段，我国召开了12次国际国内研讨会，广泛开展了行业内外实践调研，累计完成300余项意见处理，最终27个成员国全票同意该标准正式发布。这是我国在ISO牵头制定的首个智能航运领域国际标准，打破了西方对我国在此领域开展国际标准化工作的封锁。

　　《船载网络安全风险评估》国际标准全面对标国内外海事公约、规范和标准，规范了船载网络安全风险评估要素、流程，以及船载系统安全风险识别、分析和评价等有关要求，并创新性提出基于矩阵原理的定量风险评估方法。该项标准提供了船载网络安全风险评估的要素及评估流程、评估准备、安全风险识别、安全风险分析和安全风险评价等基本准则，适用于影响船舶网络安全的船桥系统、货物装卸和管理系统、推进和机械管理和动力控制系统、访问控制系统、乘客服务和管理系统、面向乘客的公共网络、行政和船员福利系统、通信系统等船载网络系统的安全风险评估。

　　其风险评估基本要素包括资产、威胁、脆弱性和安全措施。船载网络安全风险分析方法可以是定性的或定量的，或者是这些的组合。

　　该标准根据制定的船载网络安全风险评价准则，对所有风险计算结果进行等级处理，将风险划分为4级，每个等级代表了相应风险的严重程度。

　　该标准在未来实施过程中，将为支撑船载基于计算机的信息及控制系统的设计、开发、安装部署及全寿命周期管理提供切实可行的解决方案。作为船载网络安全风险评估的一种推荐方法，其有助于提升船舶网络安全防御能力，为识别船载网络安全风险、对船载网络安全风险造成的后果和发生的可能性进行评估、建立船载网络安全风险处置的优先级等方面提供帮助。

　　亟需开创性工作

　　尽管国际海事组织（IMO）、国际船级社协会（IACS）、各行业组织、各船级社出台的船舶网络安全的相关要求或指导建议，无一例外地要求开展风险评估，然而，对于如何实施风险评估，国内航运界目前尚没有特别适用的船载网络安全风险评估标准依据。

　　船舶网络是控制船舶应用及设备的网络系统总称，主要由信息系统、工控系统和主机组成，控制着船舶所有行为，对船舶起着至关重要的作用。近年来，自主导航、传感器、通信和网络技术愈加成熟，智能船舶的研究迅速发展。然而，随着船舶逐步智能化，智能船舶也面临着船舶网络安全威胁。船岸、船船、船内系统实现互联互通，形成复杂的船舶网络空间，被攻击面增多，脆弱性加大。此外，接入网络的数据、隐私、资产变得更有“价值”，利用网络入侵船舶变得愈加有利可图。

　　英国劳式船级社（LR）在2017年曾发布报告称，在航运业中有44%的航运公司认为需要升级信息系统，其中的大多数曾遭受过网络攻击。网络安全不仅已经成为业界迫在眉睫的需求，也成为船舶与航运智能化和自主化发展的核心问题之一。提升网络安全管理水平和风险防范意识已经在诸多工业门类中成为共识，特别在“智能革命”的背景下，高效的信息互联互通、云计算云服务的扩展应用都将成倍放大网络风险的潜在危害。航运业正在逐步地加强网络安全风险的管理实践。

　　目前，IMO作为立法机构给出了宏观准则，并提出可将波罗的海航运公会（BIMCO）发布的《网络安全指南》、ISO和IEC发布的《信息安全管理系统》和美国国家标准研究院（NIST）发布的《提升关键基础设施网络安全框架》等文件纳入参考的建议。IACS发布了12项针对船舶网络安全的建议案。CCS、LR、DNV 船级社等国际主要船级社先后发布了有关智能船舶的规范指南。中国、日本、韩国、挪威等在海上水面自主船舶（MASS）术语、网络安全、船载数据服务器、通信协议等领域，发挥各自优势积极抢夺国际标准话语权。

　　为顺应船舶标准化智能化发展需求，我国也积极开展智能船舶标准体系研究和标准需求分析，并在智能船舶功能专项支持下开展了部分标准的预研，CCS发布了《船舶网络系统要求及安全评估指南》，中船综合院取得了具有我国自主知识产权的授权发明专利《船舶网络安全评估方法、系统、存储介质及终端》。不过，我国在智能船舶标准的研究与编制工作尚未全面开展，标准体系仍不完善，在基础通用、关键系统的开发与选型、网络和信息安全、测试与验证等方面存在较多缺项，我国主导制定的国际国内标准在体量和质量上仍与欧美、日韩等有较大差距。未来，我国应在智能船舶标准研究方面多做工作，提升国际影响力和话语权，支撑我国抢占智能船舶技术和产业发展先机。