對航運業網路安全問題的思考

隨著港口數字化、船舶智能化的飛速發展，航運業網路安全日益受到關注。

2017年，航運業遭遇有史以來最嚴重的網路攻擊。2月，黑客劫持一艘德國集裝箱船使其導航系統失靈約10小時，欲將其引至控制區。6月，航運巨頭馬士基（MAERSK）遭到Petya勒索病毒攻擊，導致公司系統癱瘓，並關閉了幾個港口。馬士基被迫重設4000台伺服器，並更新50000台設備，損失金額高達3億美元。11月，航運業知名諮詢公司克拉克森遭遇未經授權的計算機訪問系統入侵，入侵者獲取數據後向克拉克森索取巨額贖金。

網路攻擊輕則使航運公司數據泄露、業務癱瘓，重則使船舶漏油甚至發生爆炸。2018年11月，一項由哥本哈根貿易協會全球海事論壇、國際保險經紀公司達信以及國際海上保險聯盟聯合發布的調查研究報告顯示，網路攻擊和數據竊取正成為航運業的致命弱點，網路安全問題在航運業面臨的17個全球問題中位居榜首。

一、航運業網路空間威脅正不斷加劇

近年來，海洋大國均視智能航運為當前航運業發展的前沿與趨勢，積極推動智能船舶以及數字港口建設，連接到船舶、港口的互聯網基礎設施數量不斷增多。但在信息化和數字化方面投入巨大的馬士基遭遇的網路攻擊事件使業內意識到，航運業對於網路攻擊準備不足。據2017年海事分析機構SeaIntel和海事網路安全公司Cyberkeel對航運公司的網路安全防範調查結果顯示，在全球排名前50的航運公司中，有44%的航運公司網路安全防範體系十分薄弱。對此，有關專家解釋稱，航運公司不願直面網路攻擊問題主要是擔心自身IT安全網路漏洞會被外界認為存在高風險點。如果此問題無法根除，則更容易使人誤解為公司默許客戶機密信息被泄露。

此外，航運業目前還未建立適用於自身特點的網路安全體系，互聯網連接設備的增多或使其在種類、頻率方面增加被攻擊的可能性。以船舶網路安全體系為例，有關文獻報道，造船業通常採用通用的操作系統及通信協議、工業PLC和其他高度商業化的產品構建信息化系統。這些軟硬體產品通常具有公開資料，從而降低了攻擊者對船舶發起網路攻擊的難度。此外，大多數船舶都依賴海事寬頻FBB和通信衛星VSAT進行連接，其雖可以傳遞電子郵件和導航數據等通信信息，但卻無法實時更新和修復漏洞，因此給黑客提供了攻擊機會。由此可見，當前船舶所用的網路技術體系存在較大隱患，而該隱患在船舶信息化發展過程中將愈發凸顯。

航運業以往對網路安全建設的忽視給黑客提供了許多攻擊機會。雖然目前航運業面臨的網路安全問題主要集中在數據信息泄露方面，但不排除網路攻擊持續升級的可能性，甚至可能出現恐怖主義行為。例如，恐怖分子通過滲透船舶網路直接控制船舶，從而使船舶相撞、觸礁、擱淺或導致危險品泄露。航運業如何規避網路安全風險，以及風險發生後如何應對，這些都是亟待解決的問題。

二、主要國家與組織對此採取的措施

鑒於航運業當前面臨的嚴峻網路安全問題，世界主要國家與組織均對此做出響應，出台一系列政策最大程度規避其可能帶來的風險。

航運組織層面發布的權威網路安全指南是2016年波羅的海國際航運工會聯合國際郵輪協會、國際航運協會、國際干散貨船東協會和國際獨立油輪船東協會等組織，發布的全球首個船舶網路安全指南——《船舶網路安全導則》。該導則旨在向行業提供清晰全面的網路安全風險信息，以助力相關方採取恰當措施，應對網路威脅事件。但值得注意的是，該導則也有局限性，因為其只對船舶提供指導，並不能廣泛應用於航運業全產業鏈，如港口、物流運輸等環節中。因此，目前仍沒有針對航運業網路攻擊風險緩解的官方指南。預計未來隨著網路空間威脅不斷加劇，國際組織將對此制定一個更為完善的指導方針。

除航運組織外，主要海洋國家也意識到航運網路安全建設的重要性，其中以美國最為積極。美國政府層面由海岸警衛隊和國土安全部推動網路安全相關工作，致力於減輕網路攻擊對航運部門造成的威脅。2015年6月，美國海岸警衛隊發布《網路安全戰略》，討論了對海岸警衛隊未來實施網路安全戰略最重要的幾個因素，包括對網路空間的重視程度、界定並發展維護網路安全指導方案及任務類型、分享實時信息、增加專業人員維護網路安全等。與此同時，國土安全部也不斷提高對網路安全風險的認識，其於2016年3月發布名為《惡意網路活動對港口操作帶來的後果》報告，闡述網路攻擊對港口及其他行業基建產生的連帶影響。此外，非政府組織如美國船級社十分重視網路安全建設，其於2016年7月推出業界首個基於風險的管理計劃——「網路安全」（CyberSafetyTM）計劃。該計劃旨在降低有關網路安全、自動化系統安全、數據完整性和軟體驗證的風險。近年來，美國船級社在世界各地積極召開研討會推廣其網路安全計劃，意欲使該計劃演變成航運業網路安全標準指南。

此外，歐洲、亞洲等國家也重視航運業面臨的網路安全問題，相繼公布系列舉措。2017年9月，英國政府推出《船舶網路安全實操規則》，旨在就船上實施和維護良好的網路安全實操提供詳細信息。2018年6月，挪威船級社發布首個網路安全船級符號，旨在幫助船東和運營方保護其資產免遭網路安全攻擊。2019年5月，新加坡成立一個新的全天候海事網路安全行動中心，旨在使新加坡海事及港務管理局與海事關鍵信息基礎設施展開密切合作，確保這些基礎設施的安全，並調查任何網路安全相關的威脅或事件。

儘管主要航運組織與國家對航運網路安全體系建設已有一定意識，但其對於網路風險應對措施的研究還處於探索階段，遠不如像對金融、互聯網等行業的網路安全問題研究得深入，航運網路安全保障工作還有很長的路要走。

三、加強航運網路安全建設對我國的重要意義

作為航運大國，加強航運網路安全建設對我國具有重要的現實意義。其一，航運網路安全與「海上絲綢之路」建設密切相關。「海上絲綢之路」中大部分貿易運輸依靠航運完成，建設通暢的海上運輸通道和安全的航海環境，是構建「海上絲綢之路」的基本條件。其二，智能船舶是《中國製造2025》中明確重點發展的領域，代表船舶未來發展方向。但近年來日益凸顯的網路安全問題，成為制約智能船舶發展的障礙之一。為此，2017年7月，中國船級社推出《船舶網路系統要求及安全評估指南》，旨在為日益嚴峻的船舶網路安全問題提供解決方案。但隨著船舶智能化水平的不斷提升，船舶遭受網路安全威脅的風險將逐漸加大，網路安全管理也將變得越來越複雜。對此，我應把網路安全防護技術、影響網路安全的因素結合起來，採取有效防護措施，增強內部人員的網路安全意識和技能，真正從源頭上解決網路安全問題。

作者簡介

武志星，國務院發展研究中心國際技術經濟研究所研究三室助理研究員

研究所簡介

國際技術經濟研究所（IITE）成立於1985年11月，是隸屬於國務院發展研究中心的非營利性研究機構，主要職能是研究我國經濟、科技社會發展中的重大政策性、戰略性、前瞻性問題，跟蹤和分析世界科技、經濟發展態勢，為中央和有關部委提供決策諮詢服務。「全球技術地圖」為國際技術經濟研究所官方微信賬號，致力於向公眾傳遞前沿技術資訊和科技創新洞見。

地址：北京市海淀區小南庄20號樓A座

電話：010-82635522

微信：iite_er

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！