浅析DNVGL 网络安全规范

龙红刚 ，叶文彬 ，范文婷， 胡登峰

（广州文冲船厂有限责任公司,广州 510727）

1 前言

近年来，随着船舶数字化、智能化、网络化发展水平的提升，越来越多的船舶控制系统、通讯导航系统、信息管理系统及设备不断接入船舶网络，使船舶遭受网络威胁的隐患不断加剧。在此背景下，2017 年国际海事组织通过了 “安全管理系统之海上网络风险管理”的MSC.428(98)号决议，确认应将船舶网络风险管理纳入船舶安全管理体系之列，鼓励各主管机关在2021 年1 月1 日后对各船舶管理公司符合声明的第一次年度审核时，将网络风险相关内容纳入船舶安全管理体系。为了积极应对航运业网络风险，DNVGL 于2020 年6 月推出网络安全规范，提出4 个网络安全符号：Cyber security、Cyber security（Essential）、Cyber security（Advanced）、Cyber security（+），为入级该船级社的船舶提供网络安全设计及检验指南。

2 网络安全等级及符号

2.1 网络安全级别

DNVGL 根据IEC 62443 号标准，确定了5 种不同网络安全级别：SP0、SP1、SP2、SP3、SP4。各级别的安全防护能力如下：

SP0—是安全防护能力的初始水平，它仅能保护来自岸上通信和恶意软件的攻击，符合MSC.428(98)文件的意图，是取得Cyber security 的基本要求；

SP1—基于IEC62443 安全级别1，对偶然或巧合的网络威胁防护，是取得Cyber security（Essential）符号必须达到的水平，也可以是Cyber security（+）应该达到的水平；

SP2—基于IEC62443 安全级别2，是拥有低量资源和低动机的威胁行为者故意入侵的防护，也可以是Cyber security（+）应该达到的水平；

SP3—基于IEC62443 安全级别3，对拥有中等量资源和特定的OT 系统技能的威胁行为者故意入侵的防护，是取得Cyber security（Advanced）符号必须达到的水平，也可以是Cyber security（+）应该达到的水平；

SP4—基于IEC62443安全级别4，对拥有丰富资源、高动机和特定的OT 系统技能的威胁行为者入侵防护，也可以是Cyber security（+）应该达到的水平。

2.2 网络安全符号

对于船舶网络安全来说，不同的船型、不同的船舶管理公司，解决方案也可能不同，所以DNVGL 推出4 个网络安全符号：Cyber security、Cyber security（Essential）、Cyber security（Advanced）、Cyber security（+）。这主要是考虑到不同的船型有不同的安全要求，同一艘船不同的系统也有不同的要求，便于船厂进行网络安全设计，也方便船东进行船舶网络安全方面的管理。

不同的网络安全符号，应具备的基本安全级别如表1 所示：

表1 安全符号和安全级别对应表

广州文冲船厂有限公司建造的2 038TEU 集装箱系列船，申请的是DNVGL 最基本的网络安全符号Cyber security，安全等级SP0 级。

3 网络安全系统

船舶网络风险是指船舶技术资产受到潜在的网络环境或事件威胁，信息或网络遭到破坏、损失、陷入危险，可能导致航运相关操作、安全或保安的失败。

DNVGL 根据《海上网络风险管理指南》（MSCFAL.1-Circ-3）提及的标识、保护、发现、响应和恢复五大功能要素，提出以下11 个船上的设备系统可能遭受网络攻击：

（1）推进系统；

（2）舵机系统；

（3）水密完整性；

（4）火灾探测和消防；

（5）压载；

（6）侧推；

（7）船舶电站系统；

（8）重要的辅助系统；

（9）应急切断系统；

（10）桥楼系统；

（11）工业用途系统。

因第（11）项工业用途系统只适用某些工程船，故我司的2 038TEU 系列集装船只考虑了前10 个系统。

4 网络风险评估

船舶网络风险评估应贯穿于船舶整个生命周期的各个阶段，这是为了保护系统的硬件、软件及相关数据，使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露，保证网络控制系统能够连续、正常、可靠运行。

DNVGL 提出11 个可能遭受网络攻击的设备和相关系统，从以下三个方面（见图1）对这些系统进行评估：

图1 网络安全系统（Suc）选择

（1）系统是否有基于IP 的网络连接到其他系统；

（2）系统中的所有部件是否都位于限制区域内；

（3）系统软件或配置不能更新，或只能由制造商使用特殊工具或专有接口更改。

只要其中有一项不满足，就有可能存在被攻击的可能，就要将该系统列入考虑对象，对其进行风险评估，从而明确管理的等级和防控的举措，实现风险的可控。

经与船检沟通，把整船看成一个有限区域，从上面三个方面对我司2 038TEU 集装箱船10 个需要考虑风险的系统进行风险评估，除第9 项应急切断系统外（因全部采用硬连线，而其他系统因有IP 通讯、USB接口或软件可更新），其他9 个系统都需要进行网络安全分析和风险评估及预防。

5 网络安全要求

网络安全船级符号是基于DNVGL 的网络安全推荐操作规程（DNVGL-RP-0496），并延伸至控制系统组件，有7 个方面的要求。

5.1 网络安全区域划分

在确定网络安全系统（Suc）后，应对这些系统进行网络安全区域划分，在内网不同区域之间使用防火墙对边界进行控制，使得高风险的网络安全风险被局限在相应的区域内或层次上而不至于四处蔓延；在内网与外网区域边界处部署防火墙，通过输入访问限制和隔绝等技术分割网络，防护来自外部网络的入侵行为，同时防止一个子网感染病毒后向其他子网或上层安全域传播的可能。

网络安全区域划分，应遵循以下几个原则：

（1）OT 系统和IT 系统不划在同一安全区；

（2）桥楼系统不和必要系统、重要系统及工业系统放在同一安全区；

（3）提供安全功能的系统，应与提供控制、监测或报警功能的系统隔离；如果这些系统之间需要通信，则隔离应包括数据流限制和专用通信通道上从安全到控制的单向通信；

（4）无线设备应与有线设备分开，任何形式的无线通讯（例如wi-fi 和蓝牙）应与永久或临时连接的有线设备区分开，用于操作目的OT 应用中的无线传感器可以连接到包含有线设备的相关区域；无线网络应设置独立的接入安全域，并通过防火墙来实现与其他安全域的访问控制，保障无线网络区域内设备安全运行；

（5）OT 系统的远程接入网关应划分成一个公共的单独区域，以提供对来自不可信网络或船舶外网络的任何通信的有效控制；

（6）搬运和管理移动设备的设施，应划分为一个单独区域，与永久安装的设备分开；

（7）不同区域之间的通信，应由防火墙进行控制和记录；防火墙应符合互联区域最严格的安全配置文件。

5.2 远程访问

远程访问是保证网络资源不被非法使用和非授权访问，网络访问控制是建立在安全域划分的基础上实现的；通过部署防火墙，对流经它的数据进行扫描，过滤一些攻击或关闭一些不使用的端口，保证访问控制规则最小化，防止外网对内部资源的非法访问、信息窃取和数据篡改等来自外部和内部安全探测或者威胁；对网络系统中的用户（人员、软件、设备）及账号进行标识，制定标识管理办法；对远程接入解决方案中的重要组件远程访问防火墙和服务器,要求如下：

（1）入级符号Cyber security，其远程访问防火墙和服务器要满足安全级别SP1;

（2）入级符号Cyber security（Essential），其远程访问防火墙和服务器要满足安全级别SP3;

（3）入级符号Cyber security（Advanced），其远程访问防火墙和服务器要满足安全级别SP3,并要取得该级别的形式认可证书;

（4）入级符号Cyber security（+），其远程访问防火墙和服务器要满足安全级别SP3 及以上,并要取得相应级别的形式认可证书；如果选择的系统需要满足安全级别SP4，其远程访问服务器也要满足SP4。

5.3 移动设备

Suc 系统应仅配备必要的操作、维护和支持所需的便携式设备，非必要的便携式设备的连接点（USB、网口、CD 等）应进行阻塞或禁用，但操作所必须的设备端口应进行物理保护，在连接移动设备之前，需要对其恶意代码扫描，设备位置仅授权人员到达，厂家也要对其操作软件设置密码；不接受从便携式设备（包括自动运行）自动执行软件代码。手动执行软件代码需经过认证，仅限于预先验证过的文件。

5.4 杀毒软件

不受恶意代码感染，在每台船载计算机或具有标准操作系统的任何可编程设备上部署防病毒系统，防止病毒及恶意代码肆意传输，并定期执行防病毒软件程序的更新、安全审计；启用垃圾邮件保护机制，根据策略和程序及时更新垃圾邮件保护机制。

5.5 事件处理和报告

建立和实施软件安装的用户管理规则，遵循最小安装的原则，仅安装需要的组件和应用程序；通过部署主机监控与审计系统，定期对主机系统进行补丁更新，确保主机安全；系统更新前进行恶意代码扫描及测试，并形成相关记录，更新后验证系统运行正常，形成相关信息日志。

5.6 补偿对策

不能满足所有要求的系统应采用其他补偿措施加以保护，这种补偿措施需经批准，根据不符合要求的程度，可能需要将系统划分一个专用区域，与其他区域的通信非常有限且受控制。

5.7 网络安全管理系统

对于DNVGL 的网络安全符号，网络安全管理系统（CSMS）是由船舶运营商实施的一个计划，用于管理与正在考虑的系统的网络安全的相关活动，通常使用于OT 系统；而对应的IT 系统的安全程序，通常被称为信息安全管理系统，这里不做详细的阐述。

CSMS 应与其他船舶管理体系（如安全管理系统、质量管理体系等）或其他船舶管理体系相协调，主要包括以下20 个方面：

（1）范围：应建立正式的CSMS 的书面范围，以确定受技术和组织安全屏障的信息、系统和船舶服务，确保网络安全处于可接受水平，满足相关方（运营方、使用方、监管方等）对网络安全的期望；

（2）政策和程序：包括实现网络安全的目标的政策，以及如何实现这些目标的程序，以规范安全管理活动，约束人员的行为方式，符合政策安全行为活动应有记录、日志或其他文件的证明；

（3）风险管理：包括管理网络安全风险管理的框架。风险管理过程应形成文件，所采取的措施应具有可追溯性；风险管理过程应包含四个步骤：风险识别、风险分析、风险评估和风险预防；

（4）管理支持：船长和船上其他相关管理人员熟悉该船CSMS 的相关内容及操作程序，对其他人员进行指导；

（5）系统文档：Suc 中的系统文档应保持最新，防止未经授权访问，并在船上可用；

（6）角色与职责：与安全相关活动的责任应在策略中定义，包括分配给船上人员和外部各方（如承包商、供应商、顾问）的职责；

（7）人员安全：制定相关政策和程序，以确保船员和船上其他人员被告知有关维护安全目标的适当行为；

（8）培训：对所有被指派负责安全相关活动的人员进行具体培训。培训应是相关的、更新的，并定期进行；

（9）网络分割：建立网络分割或分区政策，区域、管道和网络分割的原则应在政策中描述；

（10）访问控制：建立访问控制政策与程序，这些政策应该为所需的安全认证和使用控制提供基础，并且至少应包括人工访问、远程访问等；

（11）可移动或便携式设备管理：制定安全使用可移动或便携式设备（如U 盘和笔记本电脑）政策和程序；

（12）恶意软件保护：硬件保护系统免受恶意软件侵害的政策和程序；

（13）安全补丁：Suc 系统需要按照政策更新安全补丁，确保安全补丁的真实性、完整性和兼容性，任何没有更新安全补丁的系统都应该通过记录的补偿对策进行证明；

（14）物理安全：建立解决Suc 物理安全问题的政策、程序和其他文件。如工作站应位于控制室，限制人员进入该区域等；

（15）信息保密：建立政策和程序来定义和管理信息保密；

（16）变更管理：Suc 的修改应按照批准的变更程序管理进行；

（17）异常检测：建立识别安全异常的政策和程序；

（18）事件反应：组织和网络物理系统，应能够响应网络事件并从网络事件中恢复；

（19）业务连续性：制定、保持和实施业务连续性的计划；

（20）定期检查；定期审查、评估和改进CSMS,以保持安全目标和应对风险变化。

如果经批准的技术安全屏障的设计，包括任何需要通过程序反措施予以补偿的要求，则这些反措施应在CSMS 中进行说明。2 038TEU 船的CSMS 文件，是由船东编制并提交船级社审查。

6 网络安全设计送审文件

广州文冲船厂有限公司建造的2 038TEU 集装箱船，是DNVGL 全球首艘申请Cyber security 网络安全符号船舶，没有现成的送审文件的模板参考。我们根据对上述规范的研究，并和审图师多次沟通，确定网络安全送审文件的框架，从下面11 个方面对该船每一个Suc 系统设备进行设计：

（1）网络安全区域划分图；

（2）设备主控箱放置的位置；

（3）生产厂家；

（4）硬件和软件清单；

（5）系统组成框图；

（6）系统内部接口和通讯协议；

（7）系统与相同网络安全区域内的其他系统之间的接口和通讯协议；

（8）系统和通导安全区域的系统的接口和通讯协议；

（9）系统与企业安全区域的接口和通讯协议；

（10）系统USB 接口描述；

（11）系统的软件及更新方法描述。

网络安全的实验程序也是DNVGL 要求送审的文件，DNVGL 建议网络安全实验程序和实船测试由第三方执行。

7 实船测试

DNVGL 的测试程序基于国际标准IEC62443-4-2和IEC61162-460 的海事标准，包括7 个章节，涵盖越来越严格的安全要求。这些测试确保网络安全设备足够强大，能够防止渗透测试。测试内容主要包括以下13 个方面：

（1）人类用户识别和认证；

（2）唯一标识和认证；

（3）所有接口的多因素身份验证；

（4）访问权限；

（5）软件流程和设备识别和认证；

（6）用户控制和功能；

（7）系统完整性；

（8）数据保密性；

（9）对数据流的限制；

（10）网络事件的响应时间；

（11）事件监控；

（12）资源可用性；

（13）程访问测试。

经过第三方从上述13 个方面的测试，文船2038TEU 集装箱船完全满DNVGL 网络安全符号 Cyber security 的相关要求，顺利取得该附加符号。其首制船于2020 年12 月31 日顺利交船，是世界上第一艘按照DNVGL 网络安全规范设计，并顺利取得Cyber security符号的船舶。

8 结束语

解决船舶网络系统安全问题，是确保建立足够和正确的屏障，保证船岸信息交互的安全，以防止、减轻和应对船舶受到外部网络攻击；采取的安全措施，必须考虑现实的条件和实现的成本，总的原则是：方案简洁、技术成熟；经济性好、实用性强、易于实施、便于维护；要尽量利用现有设备和设施、扩充或提高计算机网络配置，结合船上已实施的技术、组织和行为措施，可以增加必要的安全管理软件和制度，来解决船舶计算机网络系统的安全问题。

基于以上设计原则，文船2 038TEU 集装箱系列船，顺利通过第三方网络安全实船测试，并得到DNVGL 认可。