筑牢船舶网络安全屏障

中国船检 CHINA SHIP SURVEY 2020.2
16（CCS）也在应对网络安全方面积极作为，帮助船公司构建网络安全体系以及船舶网络安全防控技术实操全面发力。

加强船舶网络安全刻不容缓
从席卷全球的“WannaCry”勒索病毒，到卷土重来的“暗云Ⅲ”病毒，再到升级传播手段的“Petya”勒
索病毒，计算机黑客利用计算机系统、工控系统、网络系统的漏洞对电力、供水、航运乃至国家部门的通信和网络系统发起攻击，因此，快速识别网络威胁并降低风险变得
越发重要，船舶网络空间风险作为一种新的海上安全风险被海事立法机构、航运业界和船舶工业界所关注，目前各层面已开始采取相应措施加强海事网络风险管理。

近
年来，随着船舶智能化水平的不断提升，船舶越来越多
地处于“在线”状态，也使其遭受网络安全威胁的风险逐渐加大，网络安全成为大家越来越关心的话题。

为应对网络安全的挑战，国际海事组织（IMO）、国际船级社协会（IACS）、波罗的海航运公会（BIMCO）等组织和机构积极开展海事网络风险研究。

中国船级社
筑牢船舶网络安全屏障
本刊记者 胥苗苗
船舶网络空间风险作为一种新的海上安全风险日益受到业界关注，加强网络风险管理刻不容缓。

国际海事组织海上安全委员会（MSC）96届会议通过了《海事网络风险管理暂行指南》，2017年6月，98届海安会批准《海事网络风险管理指南》，并替代了之前的暂行指南，为业界应对船舶网络安全提供了指导。

同时根据第98届会议通过的《安全管理体系中的海事网络风险管理》决议，强调了船公司的安全管理体系应结合ISM规则的目标和功能要求考虑网络风险管理，鼓励各国政府不迟于2021年1月1日之后的首次DOC初次审核、换证审核或年度审核时，应核查安全管理体系是否包括了网络风险管理的相关内容，这是国际海事界为应对海事网络风险开展的实质性行动。

国际船级社协会（IACS）方面也积极应对船舶网络安全，于2015年12月成立第六个专业委员会，目前正在编制有关船舶网络安全的12份指南。

未来，监管船舶网络安全将成为IACS的第三大支柱性工作，这标志着IACS 在船舶安全领域的工作从硬件向软件方面延伸。

我国于2016年11月7日颁布了《网络安全法》，并于2017年6月1日起施行。

这是我国第一部全面规范网络空间安全管理方面问题的基础性法律，是我国网络空间法治建设的重要里程碑，也是依法治网、化解网络风险的法律重器。

此外，国家标准《网络安全等级保护基本要求》已于2019年12月1日开始实施，标志着网络安全等级保护进入2.0时代，适应了云计算、移动互联、物联网、工业控制和大数据等新技
术、新应用领域网络安全保护需求。

一系列法律和国家标准的相继出台，
也为船舶网络安全管理提供了切实
的法律保障和根本遵循。

与此同时，
2019年5月16日，交通运输部等七
部门联合印发了《智能航运发展指导
意见》，对防范智能航运安全风险提
出了明确的要求。

近年来，国际和国内行业相关
的机构相继开展了船舶网络安全的
研究，并相继发布了应对船舶网络
安全风险的指导性文件。

为了向行
业提供清晰全面的网络安全风险信
息，以助力相关方采取恰当措施，
应对网络威胁事件，波罗的海航运
公会（BIMCO）2016年2月发布全
球首份《船舶网络安全指南》（第一
版），受到了国际海事界的广泛关
注，随后BIMCO联合业界有关航
运组织和船公司发布的第三版指南，
进一步细化了IMO指南，为业界提
供了操作性非常强的指导；与此同
时，BIMCO还发布了针对网络安全
的合同条款，明确各方的责任，规
避因网络安全风险带来的损失。

助力船公司构建网络安全管理
体系
中国船级社（CCS）作为国家船
检主力军，持续在网络安全技术与
管理体系方面展开研究，为航运企
业提供系统的网络检测、评估及技
术咨询服务。

为帮助船公司建立海事网络风
险管理体系，CCS依据IMO海上
安全委员会在其第98届会议批准的
《海事网络风险管理指南》（MSC-
FAL.1/Circ.3）编写了《海事网络
风险评估与管理体系指南》，为业界
执行第98届会议通过的决议提供指
导。

该指南于2020年2月1日准时
生效。

海事网络风险管理是船东、管
理公司和船舶综合考虑成本和收益
后，通过制定和执行各种措施和计
划，采用规避、转移、降低或容忍
的方式，将网络风险降低到各方认
为可以接受水平的活动过程。

当网
络范围有限时，可采用较为简洁的
方式；当网络范围较广且系统复杂
时，应采用更综合的方案，并尽力
寻求业界、主管机关及合作方的支
持。

CCS出台的《海事网络风险评
估与管理体系指南》通过介绍海事网
络的基础知识，提出进行海事网络
风险评估的方法，给出海事网络管
理体系的制定、执行和改进的建议，
为业界提供尽可能全面的、有效的、
可操作的指南，以便业界根据实际
情况在决策前参考，帮助业界保护
船舶免于或减少受到当前以及未来
的网络威胁。

据CCS相关专家表示，该指南
为建议性指南。

指南适用范围与《国
际安全管理（ISM）规则》一致。

从海
事网络的角度来讲，指南适用船舶
网络及公司网络中涉及船舶安全管
理的部分。

如果船舶（尤其是网络程
度化高的船舶）的网络受到攻击后会
出现船舶被远程挟持的情况，在执
2020.2 CHINA SHIP SURVEY 中国船检17
行网络风险管理时，还需符合《国际船舶和港口设施保安（ISPS）规则》的要求。

从操作实践的角度讲，CCS 发布的指南建议公司不迟于2021年1月1日之后的首次DOC临时审核、初次审核、年度审核和换证审核时，完成海事网络风险管理的实施。

同时，指南的相关规定对于不适用《国际安全管理（ISM）规则》的情况，可参照执行。

航运业界的各个组织可根据该指南开展网络风险管理。

海事网络风险管理是安全管理体系的组成部分，并与之协调一致。

对于网络风险管理中涉及的商业敏感信息或保密的数据，公司应当注意保护，尤其是避免在体系文件中述及。

同时，还应注意ISPS规则A 部分第8章关于“船舶保安评估”的强制性要求，和ISPS规则B部分第8.4.11条关于“无线电和无线通信系统，包括计算机系统和网络”的非强制性要求。

CCS专家表示，该指南建议船公司按照三个阶段进行体系建设，
具体为风险评估、体系建立以及体
系运行三个阶段。

在第一个风险评
估阶段，船公司需要进行海事网络
调研，识别和熟悉海事网络连接范
围和特性；进行风险识别，寻找由
于海事网络的使用而产生的风险；
进行风险评估，对识别出的风险，
进行量化评估。

在第二个体系建立
阶段，船公司需要制定措施，避免
和降低风险的发生和危害；制定应
急计划，网络事件发生后，减少和
降低产生的危害；及时响应及恢复，
网络事件发生后，有效响应和恢复
的能力。

在第三个体系运行阶段，
船公司需要制定体系，将措施、计
划、响应及恢复纳入体系；实施体
系，体系发布后，开始实施，并保
存相关记录；改进体系，根据业界
信息、反馈和险情等，改进体系。

CCS专家强调，为确保实施效
果，在具体实践中，各相关方应充
分考虑船旗国政府的要求，以及相
关的国际标准、行业标准和最佳实
践。

同时，需要注意的是，海事网
络风险管理应覆盖从高级管理层到
每一位船员或员工。

高级管理层应
注重采取各种措施将网络风险意识
宣贯到公司的每个层面，并通过有
效的反馈机制，确保网络风险管理
能得到持续的运行并被定期评估，
从而建立起全面的、有效的、灵活
的、可操作的管理体系。

全面提升船舶网络安全技术防护
在帮助船公司建立网络安全管
理体系的基础上，CCS还在船舶
网络安全技术防护方面给予船公司
技术上的实操指导。

早在2017年，
CCS就发布了《船舶网络系统要求
及安全评估指南》。

据CCS专家介
绍，该指南面向船舶网络系统的设
计、实施、运行、退役等环节，为
船东、船舶管理公司、系统开发方
等提供网络系统的建设要求，旨在
规范船舶网络的建设工作，针对操
作、集成、维护、设计、安全意识、
管理水平等方面的风险点对其实施
有效评估，使有关的管理人员和技
术人员理解船舶网络安全的重要性，
形成综合提升船舶网络系统建设水
平、威胁防御能力的新观念，保障
船舶网络环境的稳定性，为智能船
舶的功能应用建立基本的条件与保
障。

该指南从资源、程序及风险三
个要素，阐述了船舶网络系统建设
中需满足的要求。

指南发布后，CCS与船公司合
中国船检 CHINA SHIP SURVEY 2020.2 18
作完成了针对散货船的首次船舶网络安全评估工作，此次评估是遵循“指南”开展的首次船舶网络安全评估检验，同时也是国内首次针对船舶网络安全的评估实践活动。

通过本次评估CCS不仅对指南的有效性与可执行性进行了验证，同时也完成了对于船舶管理公司软硬件环境及网络安全管理水平的摸底调研。

在评估过程中，主要从两个角度来识别网络风险，一方面从管理要求、规章制度上，企业在管理体系中有关网络管理的要求，如人员培训，人员安全意识培养，访问管理控制等方面；另一方面是技术方面，如网络端口控制与使用，通信协议及其服务、船舶防火墙、路由器和交换机等网络设备的配置，电子邮件和网页浏览器的保护、卫星和无线通讯的保护、恶意软件防护、无线接口的控制、应用软件的安全性管理、数据恢复能力等方面，另外，与外界有数据传输的船舶设备和系统是入侵船舶的通道，通过控制这些通道可以控制船舶，因此对这些系统进行风险分析，识别系统脆弱
性，提高船舶风险防御能力。

为了更好地应对及防御网络安
全事件，CCS建议船舶及管理公司
从以下几个具体方面着手，提高船
舶防御能力，主要包括：智能船舶
在系统设计时，应充分考虑网络安
全的风险管理问题，同时遵循CCS
智能船舶规范和CCS船舶网络系统
及安全评估指南的技术要求，合理
进行设计；船舶管理公司或航运企
业应建立健全船舶网络安全管理体
系；充分利用现代化信息技术对船
舶网络安全进行感知、监测以及应
急响应；对船舶网络安全进行技术
防护和安全加固。

2019年，为更好地为船公司
提供网络安全的技术支持，CCS在
2017年指南的基础之上进行了全新
改版，针对网络安全技术实操的指
导从原来的十几项增加到了现在的
五十多项，范围更广，涉及领域更多，
规定更为详尽，从多个方面为船舶
（包括船舶及海上设施）网络及系统的
建设、运维、评估和检验提供操作指
导，保障船舶网络及系统具备安全性
及必要的威胁防御能力。

改版后的指
南将于今年3月1日正式上线。

为贯彻落实国家与相关部委关
于提升网络安全的政策和技术要求，
CCS在IMO、BIMCO、IACS等海事
组织研究成果的基础上，一直在积极
开展船舶网络安全方面的探索与研
究。

据了解，CCS筹建船舶网络安
全实验室，对船舶网络安全进行风险
评估、评测、咨询、培训以及跟踪
国内外在船舶网络安全方面的最新
动态、相关技术的研究与应用，为
CCS及行业单位提供网络安全相关
服务支持，解决智能船舶发展过程中
船舶网络安全的技术问题。

2019年5
月8日，CCS级首艘13500TEU智能
集装箱船“中远海运荷花”轮首次通过
了IACS网络安全建议案整船网络安
全评估后交付使用，CCS为该轮签
发了首份“船舶网络安全符合证明”，
标志着智能船舶发展进入与网络安
全并重的阶段。

下一步，CCS还将
进一步深入开展网络安全方面的探
索，指导企业建立健全网络安全管理
体系，提高防御能力，为智能制造、
智慧航运、绿色航运、平安航运持续
保驾护航。

近期，欧洲海洋排放报告员、欧洲议会绿党议员Jutta Paulus起草了一份法规提案，呼吁欧盟从2021年1月开始对
使用欧盟港口的船舶实行碳排放配额相关的规定。

这项法规将迫使船舶在碳排放限制和交易体系下运营，提高其碳强
度表现，并为欧洲海洋脱碳基金作出贡献。

欧盟欲推行航运业碳排放配额制度，引发业界强烈反对
2020.2 CHINA SHIP SURVEY 中国船检19。