國際船級社協(xié)會(IACS)對船舶網(wǎng)絡(luò)安全的最新統(tǒng)一要求

2022-05-26 18:51:35
來源：中國船檢編輯：國際船舶網(wǎng) 我有話要說

隨著網(wǎng)絡(luò)技術(shù)在智能航運及船舶安全和防污染關(guān)鍵系統(tǒng)設(shè)備中的廣泛運用，船載計算機系統(tǒng)互聯(lián)可靠性給航行安全和水上環(huán)境帶來新的挑戰(zhàn)。如何化解可能存在的船舶重大網(wǎng)絡(luò)安全風(fēng)險日益成為水上交通運輸行業(yè)急需解決的問題之一。

近日，國際船級社協(xié)會（IACS）為了使船舶能夠抵御網(wǎng)絡(luò)事故，增強船舶網(wǎng)絡(luò)安全的韌性，發(fā)布了兩項新的統(tǒng)一要求（Unified Requirements）——UR E26和UR E27，并將在2024年1月1日及之后簽訂建造合同的新造船舶上實施。這些要求需要包括船東/公司、船舶設(shè)計師/船廠、系統(tǒng)集成商、供應(yīng)商、船級社等在內(nèi)的利益相關(guān)方在船舶設(shè)計、建造和營運期間履行相關(guān)的責(zé)任。那么，這些新要求的具體內(nèi)容是什么呢？

01 UR E26

UR E26以船舶作為網(wǎng)絡(luò)彈性的集體實體為目標(biāo)，旨在確保在船舶的設(shè)計、建造、調(diào)試和使用壽命期間，將操作技術(shù)（OT）和信息技術(shù)（IT）設(shè)備安全地集成到船舶網(wǎng)絡(luò)中。其主要涵蓋五個關(guān)鍵方面：設(shè)備識別、保護、攻擊檢測、響應(yīng)和恢復(fù)。

● UR E26適用范圍

1. 船舶操控系統(tǒng)（OT: Operational Technology System）。用于收集全船設(shè)備運行數(shù)據(jù)、控制或者監(jiān)控設(shè)備運行進程的計算機系統(tǒng)（OBS：Computer-based System），其一旦遭受網(wǎng)絡(luò)事件，可能會對海上人命、財產(chǎn)和環(huán)境安全帶來威脅。特別是下列設(shè)備的OBS使用：

① 推進系統(tǒng)

② 舵機系統(tǒng)

③ 錨泊和系泊系統(tǒng)

④ 發(fā)電和配電系統(tǒng)

⑤ 探火和滅火系統(tǒng)

⑥ 貨物操作系統(tǒng)

⑦ 污水和壓載水操作系統(tǒng)、裝卸貨控制系統(tǒng)、配載計算機

⑧ 洗滌控制系統(tǒng)和其他需要遵守國際規(guī)則和船級社防止環(huán)境污染要求的設(shè)備系統(tǒng)

⑨ 水密完整性和進水探測系統(tǒng)

⑩ 燈光系統(tǒng)（應(yīng)急照明、航行燈等）&其他船舶操控系統(tǒng)

另外，法定規(guī)則要求配備的航行設(shè)備、法定規(guī)則和船級社要求配備的內(nèi)外部通信系統(tǒng)也應(yīng)適用。

2. 任何通過IP（Internet Protocol）協(xié)議與CBS進行信息交換的其他系統(tǒng)，包括但是不限于：

① 乘客或訪客服務(wù)和管理系統(tǒng)

② 面向乘客的網(wǎng)絡(luò)

③ 管理網(wǎng)絡(luò)

④ 船員福利系統(tǒng)

⑤ 其他與OT相連接的系統(tǒng)（無論是固定的還是臨時的）

● UR E26在船舶網(wǎng)絡(luò)安全方面的具體要求

1.識別（Identify）

在船舶的全生命周期，應(yīng)當(dāng)建立一份網(wǎng)絡(luò)硬件和軟件清單并保持更新。這份清單應(yīng)包括符合URE26適用范圍的所有CBSs和用于連接這些系統(tǒng)以及岸基CBSs的網(wǎng)絡(luò)。

2.保護（Protection）

① 設(shè)置安全區(qū)：所有的CBSs應(yīng)當(dāng)集合在清楚界定的安全控制策略和安全能力安全區(qū)中。安全區(qū)可以是孤立的，也可以是與其他在不同區(qū)域之間存在數(shù)據(jù)通信控制的安全區(qū)或網(wǎng)絡(luò)連接。

② 網(wǎng)絡(luò)保護：與CBSs相連接的網(wǎng)絡(luò)應(yīng)當(dāng)設(shè)置防火墻或采用等效的方法。這些網(wǎng)絡(luò)還應(yīng)當(dāng)防止過量的數(shù)據(jù)流或其他影響網(wǎng)絡(luò)服務(wù)質(zhì)量的事件。CBSs應(yīng)當(dāng)執(zhí)行最少功能的原則，例如當(dāng)不必要的功能、端口、協(xié)議或者服務(wù)發(fā)生故障或者被禁用應(yīng)能夠設(shè)定只提供關(guān)鍵功能，并禁止或限制非關(guān)鍵功能的使用。

③ 防止惡意代碼：CBSs應(yīng)當(dāng)能夠防止惡意代碼攻擊，例如病毒、蠕蟲、木馬、間諜軟件等。

④ 訪問控制：CBSs應(yīng)當(dāng)提供能選擇性限制用戶與系統(tǒng)通信或者其他交互、使用系統(tǒng)資源操作信息、獲知系統(tǒng)信息、控制系統(tǒng)組件和功能權(quán)限的措施和方法，這些措施和方法可以是物理的，也可以是邏輯的（電子的）。這些措施和方法應(yīng)當(dāng)不妨礙經(jīng)授權(quán)的用戶按照相應(yīng)的權(quán)限訪問CBS。

⑤ 無線通信：無線通訊網(wǎng)絡(luò)應(yīng)當(dāng)按照以下要求設(shè)計、實施和維護：

a.網(wǎng)絡(luò)安全事件不會傳播到其他控制系統(tǒng)；

b.只有授權(quán)的人類用戶能夠訪問無線網(wǎng)絡(luò)；

c.只有授權(quán)的進程或者設(shè)備允許連接無線網(wǎng)絡(luò)；

d.在無線網(wǎng)絡(luò)上傳輸?shù)男畔⒉粫豢刂坪托孤丁?/p>

⑥ 遠程訪問控制和不信任的網(wǎng)絡(luò)連接：CBSs應(yīng)能防止未經(jīng)授權(quán)的訪問和其他來自不信任的網(wǎng)絡(luò)的威脅。

⑦ 移動或便攜設(shè)備的使用：與CBSs相連接的移動或者便攜設(shè)備或與系統(tǒng)連接的網(wǎng)絡(luò)應(yīng)當(dāng)進行物理的或者邏輯的切斷，除非是為了操縱或者維護船舶而進行的連接。

3.監(jiān)測（Detect）

① 網(wǎng)絡(luò)運行監(jiān)測。符合URE26適用范圍的網(wǎng)絡(luò)應(yīng)當(dāng)持續(xù)監(jiān)測并在故障或者容量減少時發(fā)出報警。

② 計算機系統(tǒng)和網(wǎng)絡(luò)診斷功能。為保證船舶的安全操作，CBSs和網(wǎng)絡(luò)應(yīng)當(dāng)能夠進行功能和性能測試，為系統(tǒng)設(shè)定的用戶提供關(guān)于CBSs完整性和狀態(tài)足夠的診斷信息，并能維護這些CBSs的功能。

4.響應(yīng)（Respond）

① 應(yīng)急方案：制定一個覆蓋所有網(wǎng)絡(luò)安全意外事件，并指明如何反應(yīng)的方案。該方案應(yīng)當(dāng)包括為發(fā)現(xiàn)針對CBSs的事件、響應(yīng)并限制后果而預(yù)定的一套程序或說明。

② 本地、獨立或者手動操作：SOLAS II-1 Reg.31要求的任何需要本地備份控制CBSs應(yīng)當(dāng)獨立于主要的控制系統(tǒng)。這還包括有效實施本地控制必要的人機界面。

③ 網(wǎng)絡(luò)隔離：應(yīng)當(dāng)具備手動或者自動終止同某一網(wǎng)絡(luò)進行通信的功能。

④ 最小風(fēng)險狀態(tài)：在相應(yīng)設(shè)備的CBS或者網(wǎng)絡(luò)發(fā)生攻擊事件時，受影響的系統(tǒng)或網(wǎng)絡(luò)應(yīng)當(dāng)退回到最小風(fēng)險狀態(tài)。具體做法可以是完全停用該系統(tǒng)；解除系統(tǒng)占用；轉(zhuǎn)換到另一操作系統(tǒng)或者人工操作。

5.恢復(fù)（Recovery）

① 恢復(fù)方案：應(yīng)當(dāng)制定一個幫助在受網(wǎng)絡(luò)事件影響而中斷或故障的CBSs恢復(fù)到正常操作狀態(tài)的方案。

② 備份和恢復(fù)能力：CBSs和網(wǎng)絡(luò)應(yīng)當(dāng)具備備份和及時、完整和安全恢復(fù)的能力。備份應(yīng)當(dāng)定期進行維護和測試。

③ 關(guān)閉、重置、還原和重啟：CBS和網(wǎng)絡(luò)應(yīng)當(dāng)能夠可控的關(guān)閉、重置到初始狀態(tài)，還應(yīng)能還原到一種安全狀態(tài)，并從關(guān)機的狀態(tài)重新啟動，以便于在遭受網(wǎng)絡(luò)安全事件后能夠安全快速的修復(fù)。

URE26還包含了性能評估和測試的方案以及外部CBS的風(fēng)險評估。

02 UR E27

URE27旨在確保第三方設(shè)備供應(yīng)商對系統(tǒng)完整性進行保護和加固，提供了船上系統(tǒng)和設(shè)備的網(wǎng)絡(luò)韌性要求，并提供了與用戶和船上基于計算機的系統(tǒng)之間的接口有關(guān)的附加要求，以及新設(shè)備在船上實施前的產(chǎn)品設(shè)計和開發(fā)要求。其適用范圍與URE26相同。航行設(shè)備和無線電設(shè)備系統(tǒng)可以執(zhí)行IEC61162-460的要求作為UR E27的替代。

URE27的第4部分列出了CBSs的安全能力要求。

安全能力要求
序號	目標(biāo)	要求
1	人類用戶識別與驗證	CBS應(yīng)能識別和驗證直接或通過界面訪問系統(tǒng)的人類用戶。（IEC62443-3-3/SR 1.1）
2	賬戶管理	CBS應(yīng)支持通過授權(quán)用戶管理所有賬戶的能力，包括增加、激活、修改、禁用、刪除賬戶。（IEC62443-3-3/SR 1.3）
3	標(biāo)識管理	CBS應(yīng)提供支持按用戶、組和角色管理標(biāo)識符的能力（IEC62443-3-3/SR 1.4）
4	驗證管理	CBS應(yīng)提供以下能力： -初始化驗證內(nèi)容 -在系統(tǒng)安裝時更改所有的默認驗證符 -修改或更新所有驗證符 -在存儲或者傳輸時保證所有的驗證符不被泄漏和修改（IEC62443-3-3/SR 1.5）
5	無線訪問管理	CBS應(yīng)提供識別所有通過無線通信的用戶，包括人類、軟件進程或設(shè)備。（IEC62443-3-3/SR 1.6）
6	密碼驗證強度	CBS應(yīng)提供執(zhí)行設(shè)定的密碼強度（基于最小長度和多種字母形式）的能力。（IEC62443-3-3/SR 1.7）
7	驗證反饋	CBS在驗證過程中應(yīng)隱藏反饋信息。（IEC62443-3-3/SR 1.10）
8	授權(quán)執(zhí)行	在所有信息交互中，人類用戶應(yīng)根據(jù)職責(zé)權(quán)限和最小優(yōu)先權(quán)進行授權(quán)。（IEC62443-3-3/SR 2.1）
9	無線使用控制	CBS應(yīng)能提供通過公認的安全做法授權(quán)、監(jiān)控和執(zhí)行系統(tǒng)無線連接使用限制的能力。（IEC62443-3-3/SR 2.2）
10	便攜或移動設(shè)備使用控制	當(dāng)CBS支持便攜或者無線設(shè)備使用時，系統(tǒng)應(yīng)能提供： -便攜或者移動設(shè)備的使用僅限于設(shè)計時允許的設(shè)備 -嚴(yán)格限制便攜或者移動設(shè)備代碼和數(shù)據(jù)傳輸注：對特定的系統(tǒng)，可以使用端口限制或禁用（IEC62443-3-3/SR 2.3）
11	移動代碼	CBS應(yīng)控制移動代碼的使用，如JAVA語言、ActiveX和PDF。（IEC62443-3-3/SR 2.4）
12	會話鎖	CBS應(yīng)能在預(yù)設(shè)的非活動時間或手動激活會話鎖后防止進一步訪問。（IEC62443-3-3/SR 2.5）
13	可審核事件	CBS應(yīng)能至少為以下事件產(chǎn)生審核記錄：訪問控制、操作系統(tǒng)事件、備份和恢復(fù)事件、更改默認設(shè)置、通信故障。（IEC62443-3-3/SR 2.8）
14	審核存儲容量	CBS應(yīng)能按照公認的日志管理建議分配審核記錄存儲能力。對于超出這種能力的可能性應(yīng)執(zhí)行審核機制。（IEC62443-3-3/SR 2.9）
15	審核進程故障反應(yīng)	CBS應(yīng)能提供在審核進程失敗時防止關(guān)鍵的服務(wù)和功能丟失的能力。（IEC62443-3-3/SR 2.10）
16	時間戳	CBS應(yīng)為審核記錄加蓋時間戳。（IEC62443-3-3/SR 2.11）
17	通信完整性	CBS應(yīng)保護信息傳輸?shù)耐暾浴Ｗⅲ簾o線網(wǎng)絡(luò)應(yīng)使用加密機制。（IEC62443-3-3/SR 3.1）
18	惡意代碼防護	CBS應(yīng)提供防護能力防止、發(fā)現(xiàn)、減輕惡意代碼或非授權(quán)軟件的影響，并具有升級防護機制的特點。（IEC62443-3-3/SR 3.2）
19	安全功能確認	CBS應(yīng)提供支持預(yù)設(shè)安全功能確認的能力，并在維護發(fā)生異常時報告。（IEC62443-3-3/SR 3.3）
20	輸入的有效性	CBS應(yīng)證實來自不信任的網(wǎng)站的用來控制進程或者直接影響CBS行動的輸入數(shù)據(jù)的語法、長度和內(nèi)容。（IEC62443-3-3/SR 3.5）
21	確定性輸出	CBS應(yīng)提供能力以便于當(dāng)遭受攻擊且不能維持正常操作時將輸出調(diào)整至一種預(yù)設(shè)的狀態(tài)。這種預(yù)設(shè)狀態(tài)應(yīng)是： -無電源狀態(tài) -最后值 -固定值（IEC62443-3-3/SR 3.6）
22	信息保密	CBS應(yīng)提供在支持明確的閱讀權(quán)限時無論是靜止還是傳輸狀態(tài)下保障信息安全的能力。注：對于無線網(wǎng)絡(luò)，應(yīng)采用密碼機制保護所有傳輸信息。（IEC62443-3-3/SR 4.1）
23	密碼使用	如果使用密碼，CBS使用加密算法，其密碼長度和機制應(yīng)參照安全工業(yè)普遍接受的實踐和建議。（IEC62443-3-3/SR 4.3）
24	審核日志可訪問	CBS應(yīng)提供能力保障經(jīng)授權(quán)的人或工具基于只讀方式訪問審核日志。（IEC62443-3-3/SR 6.1）
25	拒絕服務(wù)保護	當(dāng)發(fā)生拒絕服務(wù)事件時，CBS應(yīng)提供保障基本功能的最小能力。（IEC62443-3-3/SR 7.1）
26	資源管理	CBS應(yīng)提供能力通過安全功能限制資源的使用防止資源過度消耗。（IEC62443-3-3/SR 7.2）
27	系統(tǒng)備份	CBS應(yīng)支持關(guān)鍵文件的身份位置備份和執(zhí)行用戶和系統(tǒng)權(quán)限信息備份的能力，且不影響正常的操作。（IEC62443-3-3/SR 7.3）
28	系統(tǒng)恢復(fù)和重建	CBS應(yīng)提供能力以便于在中斷或者故障后恢復(fù)和重建至一種已知的安全狀態(tài)。（IEC62443-3-3/SR 7.4）
29	應(yīng)急電源	控制系統(tǒng)應(yīng)提供在不影響現(xiàn)有安全狀態(tài)或降級模式情況下切換急電源供電的能力。（IEC62443-3-3/SR 7.5）
30	網(wǎng)絡(luò)和安全配置設(shè)置	CBS通信應(yīng)提供根據(jù)控制系統(tǒng)供應(yīng)商提供的指南中所述的建議和安全配置進行配置的能力。（IEC62443-3-3/SR 7.6）
31	最少功能	下列安裝、可用性和訪問權(quán)限應(yīng)受系統(tǒng)功能需求的嚴(yán)格限制： -操作系統(tǒng)軟件組件、進程和服務(wù) -網(wǎng)絡(luò)服務(wù)、端口、協(xié)議、路徑和主機訪問和任何軟件。（IEC62443-3-3/SR 7.7）

本部分還列出了與不信任網(wǎng)絡(luò)連接的CBSs的附加要求，凡是不屬于UR E26適用范圍的任何網(wǎng)絡(luò)均應(yīng)視作不信任網(wǎng)絡(luò)。

附加要求
序號	目標(biāo)	要求
32	人類用戶多要素驗證	來自或者通過不信任的網(wǎng)絡(luò)訪問CBS的人類用戶需要進行多要素驗證。（IEC62443-3-3/SR 1.1 RE2）
33	軟件進程和設(shè)備識別與驗證	系統(tǒng)應(yīng)識別和驗證軟件進程和設(shè)備。（IEC62443-3-3/SR 1.2）
34	登錄失敗嘗試	在特定時期，CBS應(yīng)限制來自不信任的網(wǎng)絡(luò)進行連續(xù)的無效登錄。（IEC62443-3-3/SR 1.11）
35	系統(tǒng)使用通知	CBS在驗證前應(yīng)能提供顯示系統(tǒng)使用的通知的能力。系統(tǒng)使用通知信息應(yīng)能有經(jīng)授權(quán)的用戶預(yù)設(shè)。（IEC62443-3-3/SR 1.12）
36	不信任的網(wǎng)絡(luò)訪問	任何來自或通過不信任的網(wǎng)絡(luò)對CBS的訪問應(yīng)當(dāng)受到監(jiān)測和控制。（IEC62443-3-3/SR 1.13）
37	明確訪問要求的批準(zhǔn)	除經(jīng)船上已授權(quán)用戶的批準(zhǔn)外，來自或者通過不信任網(wǎng)絡(luò)的訪問應(yīng)當(dāng)被拒絕。（IEC62443-3-3/SR 1.13 RE1）
38	遠程會話連接	CBS應(yīng)提供在可配置的非活動時間段后自動終止遠程會話或由啟動會話的用戶手動終止遠程會話的能力。（IEC62443-3-3/SR 2.6）
39	密碼完整性保護	CBS應(yīng)采用密碼機制識別通過不信任網(wǎng)絡(luò)進行通信過程中的信息變化。（IEC62443-3-3/SR 3.1 RE1）
40	會話完整性	CBS應(yīng)保護會話的完整性，并拒絕無效的會話。（IEC62443-3-3/SR 3.8）
41	會話連接后無效的會話IDs	系統(tǒng)應(yīng)作廢已經(jīng)退出的會話IDs或者其他會話終端（包括瀏覽器會話）。（IEC62443-3-3/SR 3.8 RE1）