國際船級社協會(IACS)對船舶網絡安全的最新統一要求

2022-05-26 18:51:35
來源：中國船檢編輯：國際船舶網我有話要說

隨著網絡技術在智能航運及船舶安全和防污染關鍵系統設備中的廣泛運用，船載計算機系統互聯可靠性給航行安全和水上環境帶來新的挑戰。如何化解可能存在的船舶重大網絡安全風險日益成為水上交通運輸行業急需解決的問題之一。

近日，國際船級社協會（IACS）為了使船舶能夠抵御網絡事故，增強船舶網絡安全的韌性，發布了兩項新的統一要求（Unified Requirements）——UR E26和UR E27，并將在2024年1月1日及之后簽訂建造合同的新造船舶上實施。這些要求需要包括船東/公司、船舶設計師/船廠、系統集成商、供應商、船級社等在內的利益相關方在船舶設計、建造和營運期間履行相關的責任。那么，這些新要求的具體內容是什么呢？

01 UR E26

UR E26以船舶作為網絡彈性的集體實體為目標，旨在確保在船舶的設計、建造、調試和使用壽命期間，將操作技術（OT）和信息技術（IT）設備安全地集成到船舶網絡中。其主要涵蓋五個關鍵方面：設備識別、保護、攻擊檢測、響應和恢復。

● UR E26適用范圍

1. 船舶操控系統（OT: Operational Technology System）。用于收集全船設備運行數據、控制或者監控設備運行進程的計算機系統（OBS：Computer-based System），其一旦遭受網絡事件，可能會對海上人命、財產和環境安全帶來威脅。特別是下列設備的OBS使用：

① 推進系統

② 舵機系統

③ 錨泊和系泊系統

④ 發電和配電系統

⑤ 探火和滅火系統

⑥ 貨物操作系統

⑦ 污水和壓載水操作系統、裝卸貨控制系統、配載計算機

⑧ 洗滌控制系統和其他需要遵守國際規則和船級社防止環境污染要求的設備系統

⑨ 水密完整性和進水探測系統

⑩ 燈光系統（應急照明、航行燈等）&其他船舶操控系統

另外，法定規則要求配備的航行設備、法定規則和船級社要求配備的內外部通信系統也應適用。

2. 任何通過IP（Internet Protocol）協議與CBS進行信息交換的其他系統，包括但是不限于：

① 乘客或訪客服務和管理系統

② 面向乘客的網絡

③ 管理網絡

④ 船員福利系統

⑤ 其他與OT相連接的系統（無論是固定的還是臨時的）

● UR E26在船舶網絡安全方面的具體要求

1.識別（Identify）

在船舶的全生命周期，應當建立一份網絡硬件和軟件清單并保持更新。這份清單應包括符合URE26適用范圍的所有CBSs和用于連接這些系統以及岸基CBSs的網絡。

2.保護（Protection）

① 設置安全區：所有的CBSs應當集合在清楚界定的安全控制策略和安全能力安全區中。安全區可以是孤立的，也可以是與其他在不同區域之間存在數據通信控制的安全區或網絡連接。

② 網絡保護：與CBSs相連接的網絡應當設置防火墻或采用等效的方法。這些網絡還應當防止過量的數據流或其他影響網絡服務質量的事件。CBSs應當執行最少功能的原則，例如當不必要的功能、端口、協議或者服務發生故障或者被禁用應能夠設定只提供關鍵功能，并禁止或限制非關鍵功能的使用。

③ 防止惡意代碼：CBSs應當能夠防止惡意代碼攻擊，例如病毒、蠕蟲、木馬、間諜軟件等。

④ 訪問控制：CBSs應當提供能選擇性限制用戶與系統通信或者其他交互、使用系統資源操作信息、獲知系統信息、控制系統組件和功能權限的措施和方法，這些措施和方法可以是物理的，也可以是邏輯的（電子的）。這些措施和方法應當不妨礙經授權的用戶按照相應的權限訪問CBS。

⑤ 無線通信：無線通訊網絡應當按照以下要求設計、實施和維護：

a.網絡安全事件不會傳播到其他控制系統；

b.只有授權的人類用戶能夠訪問無線網絡；

c.只有授權的進程或者設備允許連接無線網絡；

d.在無線網絡上傳輸的信息不會被控制和泄露。

⑥ 遠程訪問控制和不信任的網絡連接：CBSs應能防止未經授權的訪問和其他來自不信任的網絡的威脅。

⑦ 移動或便攜設備的使用：與CBSs相連接的移動或者便攜設備或與系統連接的網絡應當進行物理的或者邏輯的切斷，除非是為了操縱或者維護船舶而進行的連接。

3.監測（Detect）

① 網絡運行監測。符合URE26適用范圍的網絡應當持續監測并在故障或者容量減少時發出報警。

② 計算機系統和網絡診斷功能。為保證船舶的安全操作，CBSs和網絡應當能夠進行功能和性能測試，為系統設定的用戶提供關于CBSs完整性和狀態足夠的診斷信息，并能維護這些CBSs的功能。

4.響應（Respond）

① 應急方案：制定一個覆蓋所有網絡安全意外事件，并指明如何反應的方案。該方案應當包括為發現針對CBSs的事件、響應并限制后果而預定的一套程序或說明。

② 本地、獨立或者手動操作：SOLAS II-1 Reg.31要求的任何需要本地備份控制CBSs應當獨立于主要的控制系統。這還包括有效實施本地控制必要的人機界面。

③ 網絡隔離：應當具備手動或者自動終止同某一網絡進行通信的功能。

④ 最小風險狀態：在相應設備的CBS或者網絡發生攻擊事件時，受影響的系統或網絡應當退回到最小風險狀態。具體做法可以是完全停用該系統；解除系統占用；轉換到另一操作系統或者人工操作。

5.恢復（Recovery）

① 恢復方案：應當制定一個幫助在受網絡事件影響而中斷或故障的CBSs恢復到正常操作狀態的方案。

② 備份和恢復能力：CBSs和網絡應當具備備份和及時、完整和安全恢復的能力。備份應當定期進行維護和測試。

③ 關閉、重置、還原和重啟：CBS和網絡應當能夠可控的關閉、重置到初始狀態，還應能還原到一種安全狀態，并從關機的狀態重新啟動，以便于在遭受網絡安全事件后能夠安全快速的修復。

URE26還包含了性能評估和測試的方案以及外部CBS的風險評估。

02 UR E27

URE27旨在確保第三方設備供應商對系統完整性進行保護和加固，提供了船上系統和設備的網絡韌性要求，并提供了與用戶和船上基于計算機的系統之間的接口有關的附加要求，以及新設備在船上實施前的產品設計和開發要求。其適用范圍與URE26相同。航行設備和無線電設備系統可以執行IEC61162-460的要求作為UR E27的替代。

URE27的第4部分列出了CBSs的安全能力要求。

安全能力要求
序號	目標	要求
1	人類用戶識別與驗證	CBS應能識別和驗證直接或通過界面訪問系統的人類用戶。（IEC62443-3-3/SR 1.1）
2	賬戶管理	CBS應支持通過授權用戶管理所有賬戶的能力，包括增加、激活、修改、禁用、刪除賬戶。（IEC62443-3-3/SR 1.3）
3	標識管理	CBS應提供支持按用戶、組和角色管理標識符的能力（IEC62443-3-3/SR 1.4）
4	驗證管理	CBS應提供以下能力： -初始化驗證內容 -在系統安裝時更改所有的默認驗證符 -修改或更新所有驗證符 -在存儲或者傳輸時保證所有的驗證符不被泄漏和修改（IEC62443-3-3/SR 1.5）
5	無線訪問管理	CBS應提供識別所有通過無線通信的用戶，包括人類、軟件進程或設備。（IEC62443-3-3/SR 1.6）
6	密碼驗證強度	CBS應提供執行設定的密碼強度（基于最小長度和多種字母形式）的能力。（IEC62443-3-3/SR 1.7）
7	驗證反饋	CBS在驗證過程中應隱藏反饋信息。（IEC62443-3-3/SR 1.10）
8	授權執行	在所有信息交互中，人類用戶應根據職責權限和最小優先權進行授權。（IEC62443-3-3/SR 2.1）
9	無線使用控制	CBS應能提供通過公認的安全做法授權、監控和執行系統無線連接使用限制的能力。（IEC62443-3-3/SR 2.2）
10	便攜或移動設備使用控制	當CBS支持便攜或者無線設備使用時，系統應能提供： -便攜或者移動設備的使用僅限于設計時允許的設備 -嚴格限制便攜或者移動設備代碼和數據傳輸注：對特定的系統，可以使用端口限制或禁用（IEC62443-3-3/SR 2.3）
11	移動代碼	CBS應控制移動代碼的使用，如JAVA語言、ActiveX和PDF。（IEC62443-3-3/SR 2.4）
12	會話鎖	CBS應能在預設的非活動時間或手動激活會話鎖后防止進一步訪問。（IEC62443-3-3/SR 2.5）
13	可審核事件	CBS應能至少為以下事件產生審核記錄：訪問控制、操作系統事件、備份和恢復事件、更改默認設置、通信故障。（IEC62443-3-3/SR 2.8）
14	審核存儲容量	CBS應能按照公認的日志管理建議分配審核記錄存儲能力。對于超出這種能力的可能性應執行審核機制。（IEC62443-3-3/SR 2.9）
15	審核進程故障反應	CBS應能提供在審核進程失敗時防止關鍵的服務和功能丟失的能力。（IEC62443-3-3/SR 2.10）
16	時間戳	CBS應為審核記錄加蓋時間戳。（IEC62443-3-3/SR 2.11）
17	通信完整性	CBS應保護信息傳輸的完整性。注：無線網絡應使用加密機制。（IEC62443-3-3/SR 3.1）
18	惡意代碼防護	CBS應提供防護能力防止、發現、減輕惡意代碼或非授權軟件的影響，并具有升級防護機制的特點。（IEC62443-3-3/SR 3.2）
19	安全功能確認	CBS應提供支持預設安全功能確認的能力，并在維護發生異常時報告。（IEC62443-3-3/SR 3.3）
20	輸入的有效性	CBS應證實來自不信任的網站的用來控制進程或者直接影響CBS行動的輸入數據的語法、長度和內容。（IEC62443-3-3/SR 3.5）
21	確定性輸出	CBS應提供能力以便于當遭受攻擊且不能維持正常操作時將輸出調整至一種預設的狀態。這種預設狀態應是： -無電源狀態 -最后值 -固定值（IEC62443-3-3/SR 3.6）
22	信息保密	CBS應提供在支持明確的閱讀權限時無論是靜止還是傳輸狀態下保障信息安全的能力。注：對于無線網絡，應采用密碼機制保護所有傳輸信息。（IEC62443-3-3/SR 4.1）
23	密碼使用	如果使用密碼，CBS使用加密算法，其密碼長度和機制應參照安全工業普遍接受的實踐和建議。（IEC62443-3-3/SR 4.3）
24	審核日志可訪問	CBS應提供能力保障經授權的人或工具基于只讀方式訪問審核日志。（IEC62443-3-3/SR 6.1）
25	拒絕服務保護	當發生拒絕服務事件時，CBS應提供保障基本功能的最小能力。（IEC62443-3-3/SR 7.1）
26	資源管理	CBS應提供能力通過安全功能限制資源的使用防止資源過度消耗。（IEC62443-3-3/SR 7.2）
27	系統備份	CBS應支持關鍵文件的身份位置備份和執行用戶和系統權限信息備份的能力，且不影響正常的操作。（IEC62443-3-3/SR 7.3）
28	系統恢復和重建	CBS應提供能力以便于在中斷或者故障后恢復和重建至一種已知的安全狀態。（IEC62443-3-3/SR 7.4）
29	應急電源	控制系統應提供在不影響現有安全狀態或降級模式情況下切換急電源供電的能力。（IEC62443-3-3/SR 7.5）
30	網絡和安全配置設置	CBS通信應提供根據控制系統供應商提供的指南中所述的建議和安全配置進行配置的能力。（IEC62443-3-3/SR 7.6）
31	最少功能	下列安裝、可用性和訪問權限應受系統功能需求的嚴格限制： -操作系統軟件組件、進程和服務 -網絡服務、端口、協議、路徑和主機訪問和任何軟件。（IEC62443-3-3/SR 7.7）

本部分還列出了與不信任網絡連接的CBSs的附加要求，凡是不屬于UR E26適用范圍的任何網絡均應視作不信任網絡。

附加要求
序號	目標	要求
32	人類用戶多要素驗證	來自或者通過不信任的網絡訪問CBS的人類用戶需要進行多要素驗證。（IEC62443-3-3/SR 1.1 RE2）
33	軟件進程和設備識別與驗證	系統應識別和驗證軟件進程和設備。（IEC62443-3-3/SR 1.2）
34	登錄失敗嘗試	在特定時期，CBS應限制來自不信任的網絡進行連續的無效登錄。（IEC62443-3-3/SR 1.11）
35	系統使用通知	CBS在驗證前應能提供顯示系統使用的通知的能力。系統使用通知信息應能有經授權的用戶預設。（IEC62443-3-3/SR 1.12）
36	不信任的網絡訪問	任何來自或通過不信任的網絡對CBS的訪問應當受到監測和控制。（IEC62443-3-3/SR 1.13）
37	明確訪問要求的批準	除經船上已授權用戶的批準外，來自或者通過不信任網絡的訪問應當被拒絕。（IEC62443-3-3/SR 1.13 RE1）
38	遠程會話連接	CBS應提供在可配置的非活動時間段后自動終止遠程會話或由啟動會話的用戶手動終止遠程會話的能力。（IEC62443-3-3/SR 2.6）
39	密碼完整性保護	CBS應采用密碼機制識別通過不信任網絡進行通信過程中的信息變化。（IEC62443-3-3/SR 3.1 RE1）
40	會話完整性	CBS應保護會話的完整性，并拒絕無效的會話。（IEC62443-3-3/SR 3.8）
41	會話連接后無效的會話IDs	系統應作廢已經退出的會話IDs或者其他會話終端（包括瀏覽器會話）。（IEC62443-3-3/SR 3.8 RE1）