海事網(wǎng)絡(luò)安全的最大挑戰(zhàn)與最佳實(shí)踐
責(zé)編:gltian |2020-08-20 17:09:27
依賴數(shù)字化、集成和自動(dòng)化的系統(tǒng)在船舶上應(yīng)用得越來越廣泛,船上網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的需求隨之愈加明顯。隨著技術(shù)的不斷發(fā)展,船上信息技術(shù)(IT)與運(yùn)營(yíng)技術(shù)(OT)的融合,以及這兩種技術(shù)與互聯(lián)網(wǎng)的連接,擴(kuò)大了網(wǎng)絡(luò)攻擊界面,提升了網(wǎng)絡(luò)安全防護(hù)要求。
海事網(wǎng)絡(luò)安全面臨的挑戰(zhàn)
IT領(lǐng)域包括辦公室、港口和石油鉆機(jī)中的系統(tǒng),OT則涵蓋多種用途,如控制發(fā)動(dòng)機(jī)及相關(guān)系統(tǒng)、貨物管理、導(dǎo)航系統(tǒng)、監(jiān)管等。幾年前,這些系統(tǒng)還是彼此隔離,而且也不接入任何岸基系統(tǒng)。然而,最近幾年,數(shù)字和通信技術(shù)的發(fā)展,使得IT和OT世界開始融合。
海事OT領(lǐng)域包括如下系統(tǒng):
- 船舶綜合導(dǎo)航系統(tǒng)(VINS)
- 全球定位系統(tǒng)(GPS)
- 衛(wèi)星通信
- 自動(dòng)識(shí)別系統(tǒng)(AIS)
- 雷達(dá)系統(tǒng)和電子海圖
盡管極大提升了航運(yùn)效率,這些技術(shù)和系統(tǒng)也給重要航運(yùn)系統(tǒng)操作相關(guān)的關(guān)鍵系統(tǒng)和過程帶來了風(fēng)險(xiǎn)。此類風(fēng)險(xiǎn)可能來自于網(wǎng)絡(luò)相關(guān)系統(tǒng)的操作、集成、維護(hù)和設(shè)計(jì)上的不足所造成的漏洞,以及故意和無意的網(wǎng)絡(luò)威脅。
在解決這些網(wǎng)絡(luò)威脅時(shí),必須考慮OT系統(tǒng)的獨(dú)特性,因?yàn)檫@些資產(chǎn)控制著實(shí)體世界。所以,我們不得不考慮一些特定挑戰(zhàn),例如:
- OT系統(tǒng)事關(guān)實(shí)時(shí)性能,而要確保系統(tǒng)的高可靠性和高可用性,任何事件響應(yīng)的時(shí)間要求都很嚴(yán)格。
- 應(yīng)嚴(yán)格控制對(duì)OT系統(tǒng)的訪問,同時(shí)又不干擾必需的人機(jī)交互。
- 這些系統(tǒng)的安全和容錯(cuò)能力至關(guān)重要,哪怕一點(diǎn)點(diǎn)宕機(jī)時(shí)間都不能容忍。
- OT系統(tǒng)具有各式各樣的專用協(xié)議和操作系統(tǒng),且通常沒有嵌入安全功能。
- 這些系統(tǒng)的生命周期很長(zhǎng),必須仔細(xì)設(shè)計(jì)和實(shí)現(xiàn)每個(gè)更新或補(bǔ)丁(通常由供應(yīng)商負(fù)責(zé)),避免妨礙可靠性和可用性。
- OT系統(tǒng)旨在支持預(yù)期操作過程,可能沒有足夠的內(nèi)存和計(jì)算資源來支持添加安全功能。
- OT系統(tǒng)運(yùn)行中斷可能會(huì)對(duì)船上人員和貨物的安全造成重大風(fēng)險(xiǎn),危害海洋環(huán)境,妨礙船舶航行。
除了IT和OT的持續(xù)集成,未來還將出現(xiàn)海事自治系統(tǒng)(MAS)。基于人工智能和船舶與海上服務(wù)互聯(lián)網(wǎng),新一代船舶將從岸上進(jìn)行遠(yuǎn)程控制。未來幾年里,在技術(shù)、經(jīng)濟(jì)、環(huán)境、法律和社會(huì)影響方面,MAS可能具有變革性影響力。這一發(fā)展可能還會(huì)產(chǎn)生新的機(jī)會(huì)和概念,提升物流效率,改善運(yùn)輸對(duì)環(huán)境的總體影響。
海事網(wǎng)絡(luò)威脅態(tài)勢(shì)
希臘大學(xué)副教授Isidoros Monogioudis稱,完全數(shù)字化的航運(yùn)意味著更加依賴數(shù)字互連的控制和通信系統(tǒng)。
海事數(shù)字化是為了提高性能、效率,以及加強(qiáng)業(yè)內(nèi)協(xié)作,但同時(shí)也擴(kuò)大了數(shù)字/網(wǎng)絡(luò)“攻擊”界面。經(jīng)過船舶數(shù)字化和部署了諸多運(yùn)營(yíng)技術(shù)設(shè)備之后,在很大程度上,由于所用特定硬件和軟件,海事行業(yè)面對(duì)的是前所未知的數(shù)字環(huán)境。與實(shí)體世界直接連接,以及隨之而來的操作損害,催生出影響非常重大的新型安全風(fēng)險(xiǎn)。
事實(shí)上,就在去年7月,美國(guó)海岸警衛(wèi)隊(duì)發(fā)布安全警報(bào),提醒所有航運(yùn)公司警惕海上網(wǎng)絡(luò)攻擊。促使海岸警衛(wèi)隊(duì)發(fā)出這一警告的事件發(fā)生在2019年2月。當(dāng)時(shí),一艘開往紐約和新澤西港的一艘大型國(guó)際航行船舶,報(bào)告了“影響船載網(wǎng)絡(luò)的重大網(wǎng)絡(luò)事件”。
海岸警衛(wèi)隊(duì)主導(dǎo)下,事件響應(yīng)小組調(diào)查發(fā)現(xiàn),“雖然惡意軟件大大降低了船載計(jì)算機(jī)系統(tǒng)的功能,但基本的船舶控制系統(tǒng)并沒有受到影響。”
這不是美國(guó)海岸警衛(wèi)隊(duì)第一次發(fā)布網(wǎng)絡(luò)安全警告。2019年5月,美國(guó)海岸警衛(wèi)隊(duì)發(fā)布公告,意圖提高海事利益相關(guān)者的安全意識(shí),防范“針對(duì)商船的電子郵件網(wǎng)絡(luò)釣魚和惡意軟件入侵”。
船舶網(wǎng)絡(luò)事件可能會(huì)給船員、乘客和船上貨物帶來嚴(yán)重后果。考慮到許多船舶載有有害物質(zhì),網(wǎng)絡(luò)事件可能會(huì)對(duì)環(huán)境造成嚴(yán)重影響,或可能導(dǎo)致針對(duì)貨物的船舶劫持事件。
波羅的海國(guó)際航運(yùn)公會(huì)(BIMCO)將網(wǎng)絡(luò)安全事件定義為:導(dǎo)致安全關(guān)鍵數(shù)據(jù)和OT可用性或完整性損失的任何事件。
可導(dǎo)致網(wǎng)絡(luò)安全事件的原因有:
- 影響OT可用性和完整性的網(wǎng)絡(luò)安全事件(例如破壞電子海圖顯示與信息系統(tǒng)(ECDIS)中的海圖數(shù)據(jù))
- 軟件維護(hù)與修復(fù)故障
- 全球?qū)Ш叫l(wèi)星系統(tǒng)(GNSS)等對(duì)船舶操作至關(guān)重要的外部傳感器數(shù)據(jù)丟失或被控
聯(lián)合國(guó)國(guó)際海事組織的數(shù)據(jù)顯示,全球90%以上的貿(mào)易通過航運(yùn)完成。因此,航運(yùn)業(yè)成為了網(wǎng)絡(luò)攻擊者眼中極具吸引力的目標(biāo)。歐盟認(rèn)識(shí)到了航運(yùn)業(yè)對(duì)歐洲和全球經(jīng)濟(jì)的重要性,已將航運(yùn)囊括進(jìn)《網(wǎng)絡(luò)與信息系統(tǒng)指令》(NISD:旨在保護(hù)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施免遭網(wǎng)絡(luò)威脅損害)。
海事網(wǎng)絡(luò)威脅緩解最佳實(shí)踐
2017年,國(guó)際海事組織(IMO)采納了關(guān)于安全管理系統(tǒng)(SMS)中海事網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的決議MSC.428(98)。《決議》指出,獲批SMS應(yīng)考慮網(wǎng)絡(luò)風(fēng)險(xiǎn)管理并鼓勵(lì)監(jiān)管,確保安全管理系統(tǒng)妥善解決網(wǎng)絡(luò)風(fēng)險(xiǎn)。
同年,IMO制定指南,為海事網(wǎng)絡(luò)風(fēng)險(xiǎn)管理提供高水平建議,防止航運(yùn)業(yè)遭受當(dāng)前及新興網(wǎng)絡(luò)威脅和漏洞的危害。IMO指南還強(qiáng)調(diào),有效網(wǎng)絡(luò)風(fēng)險(xiǎn)管理應(yīng)從高級(jí)管理層開始。高級(jí)管理層應(yīng)在公司各級(jí)部門培育網(wǎng)絡(luò)風(fēng)險(xiǎn)意識(shí)文化,制定靈活全面的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理體制,確保該管理體制持續(xù)運(yùn)行,并通過有效的反饋機(jī)制不斷評(píng)估。
此外,BIMCO還制定了符合NIST《網(wǎng)絡(luò)安全框架》的《船上網(wǎng)絡(luò)安全指南》。這些指南的總體目標(biāo),是打造應(yīng)對(duì)網(wǎng)絡(luò)攻擊的強(qiáng)大運(yùn)營(yíng)彈性。為達(dá)到這些目標(biāo),航運(yùn)公司應(yīng)遵從下列最佳實(shí)踐:
- 識(shí)別威脅環(huán)境,了解船舶面對(duì)的外部和內(nèi)部網(wǎng)絡(luò)威脅
- 列出船上系統(tǒng)的完整清單,了解針對(duì)這些系統(tǒng)的網(wǎng)絡(luò)威脅可能造成的后果,從而識(shí)別出船上系統(tǒng)的漏洞
- 確定外部或內(nèi)部人員利用漏洞的可能性和影響,評(píng)估風(fēng)險(xiǎn)敞口
- 開發(fā)部署防護(hù)和檢測(cè)措施,減小潛在漏洞利用的可能性及影響
- 確立優(yōu)先應(yīng)急計(jì)劃,緩解任何潛在已識(shí)別網(wǎng)絡(luò)風(fēng)險(xiǎn)
- 按照應(yīng)急計(jì)劃響應(yīng)網(wǎng)絡(luò)事件并恢復(fù)正常狀態(tài),確保運(yùn)營(yíng)連續(xù)性
Isidoros Monogioudis表示:“海事行業(yè)及其數(shù)字敞口與工業(yè)系統(tǒng)和廣義OT有著諸多共同點(diǎn)。有鑒于此,航運(yùn)公司必須快速調(diào)整到船載系統(tǒng)保護(hù)上來,提供性能和安全兩方面都可靠的運(yùn)營(yíng)環(huán)境。必須開發(fā)和應(yīng)用主動(dòng)及被動(dòng)安全措施,將實(shí)時(shí)安全感知和可見性作為最關(guān)鍵的解決方案,因?yàn)镺T系統(tǒng)在提供及時(shí)準(zhǔn)確服務(wù)方面依然極度敏感。”
2019年7月的安全警告中,美國(guó)海岸警衛(wèi)隊(duì)宣稱:“維持有效的網(wǎng)絡(luò)安全不僅僅是個(gè)IT問題,更是21世紀(jì)海洋環(huán)境中的基本運(yùn)營(yíng)必備。”
來源:數(shù)世咨詢
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營(yíng)
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國(guó)終止運(yùn)營(yíng):辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!