船岸网络与信息安全管理探究

孙辉
摘 要:国际海事组织要求船公司在2021年1月1日前参考BIMCO推出的船舶网络安全指南,将网络风险管理方针纳入安全管理体系。如未在规定日期前实施新政,船只将被扣留,业务陷入停滞。实际上,网络与信息安全工作的重要性符合幂次定律,是继航线规划、造船投入和人才培养之后,决定船公司生死存亡的“第四种生产要素”。我们相信船公司积极实施船岸网络分层防御措施,建立健全网络信息安全体系,最终能够帮助企业实现躲避恶意攻击,防范船岸网络安全及信息泄露事故于未然的目标。
关键词:船岸;网络;安全信息;泄露
0 概 述
领先的船公司因长期实践“数字化+互联网”战略,船舶一切运营参数及管理量化指标被移到了更加透明的互联网信息平台上,船舶所有人可以随时随地对资产进行监控。船舶所有人把船舶全权委托给第三方船管机构打理,但这又带来一个全新的课题——随着船岸数字化程度越来越高,信息系统遭受攻击导致数据泄露的风险越大。近年来我们听到多起船员私人信息泄露导致的诈骗事件,不用怀疑,这些泄露的源头90%来自船管公司的信息系统。此外,马士基公司遭遇勒索病毒损失3亿美金的案例告诉我们,无论船岸员工及IT专员是恶意还是疏忽,亦或是“不知情的帮凶”,都可能会给企业带来严重的危害。我们知道,数据对业务的价值是有期限的,而船公司要做的就是充分了解其系统所掌握的信息,以及谁有访问系统获取信息的权限,确保数据及使用人员在有效期限内的安全受控。
1 船岸通訊网络管理现状
航运互联网技术的运用和发展非常迅速,特别是海上卫星通讯服务商(见图1)提供的海上高速带宽套餐资费日益下降,极大地促进了船舶与管理当局、服务供应商、租船人和船舶所有人之间的信息交换频率,这也给船舶管理公司带来更大的压力。网络没有物理国界,任何拥有基础网络安全攻防经验及熟悉船舶扁平化网络架构(见图2)的人都可以对海上联网船舶进行远程渗透,可能只需一杯咖啡的时间航行在海上的船舶就可能陷入断网、信息系统被加密锁定,甚至船舶主机、自动舵系统失去控制的恐怖景象,以上情景并非危言耸听。笔者对某船舶卫星通讯商ip地址段(148.*.*.*)扫描发现,众多安装VSAT、FBB设备船舶未经审核就向公网开放了21/80/445/3389等弱口令TCP或UDP端口,且绝大部分船舶没有配置专业的硬件防火墙,导致访问控制策略失效,这也为船舶内网遭受外部威胁开启了潘朵拉魔盒。常见漏洞利用端口如下:
HTTP:80,8080,8888,8000,8001,8088;
VNC:5900,5901,5902,5903;
MySQL:3306
Memcached:11211
MySQL/MariaDB:3309,3308,33603306,3307,9806,1433
FTP:21
Telnet:23,2323
PostgreSQL:5432
Redis:6379,2379
ElasticSearch:9200
MongoDB:27017
RDP:3389
UPnP/SSDP:1900
NTP:123
DNS:53
SNMP:161
LDAP:389
Rexec:512
Rlogin:513
Rsh:514
Rsync:873
Oracledatabase:1521
TeamViewer:53,5938
CouchDB:5984
2 常见网络攻击手段
影响船公司和船舶的网络攻击主要有两类:一是无目标的攻击,岸基或船舶内网操作系统及第三方软件漏洞是许多潜在的受攻击目标之一,攻击者利用0day漏洞进行广撒网式无差别化攻击;二是有针对性的攻击,将某船公司或船舶信息系统设置为预定渗透目标,攻击者为躲避网络安全设备的防御机制,利用专门开发的更复杂的绕过技术和工具,实施多步骤攻击,其杀伤力、破坏力较前者较大。针对性攻击我们又分为以下几种类型:
(1)主动攻击。攻击者试图突破网络安全防线。这种攻击涉及到数据流的修改或创建错误流,主要攻击形式有假冒、重放、欺骗、消息纂改和拒绝服务等等。
(2)被动攻击。攻击者简单地监视所有信息流以获得某些秘密。这种攻击可以是基于网络跟踪通讯链路或基于系统用秘密抓取数据的特洛伊木马代替系统部件。
(3)物理攻击。在物理临近攻击中,未授权者可物理接近网络、系统或设备,目的是修改、收集或拒绝访问信息。
(4)内部攻击。当内部人员被授权在信息安全处理系统的物理范围内,或对信息安全处理系统具有直接访问权,主动将获取的信息进行非法传播。
(5)边界攻击。网络边界包括路由器、防火墙、入侵检测系统IDS、虚拟专用网VPN、DMZ和被屏蔽的子网等,上述硬件内部安装的OS与其他软件一样,也无法逃避存在安全缺陷的命运,攻击者则可利用其协议缺陷、OS及固件漏洞绕过已知安全策略。
(6)持续性威胁。商业APT组织可能会通过钓鱼手法进行欺诈,例如:以“XX船公司2020中期战略企划书”为关键词投放电子诱饵,通过Scribble等Office文档追踪工具进行精准定位,骗取企业受害人打开附件或点击邮件链接从而入侵或破坏对方的信息系统。
3 船舶易受攻击的系统
1)综合船桥和ECDIS系统
2)配载仪和船舶维修保养系统
3)主机遥控和能效系统
4)保安限制区域CCTV和各重点舱室门禁
5)乘员服务和管理系统
6)面向船员娱乐的公共网络
7)船岸网络通信系统
8)操作系统及常用软件
4 处理网络事件的基本步骤
1)风险识别:定义相关人员角色和职责,确保在日常管理中能够发现可疑风险
2)事件预防:采取风险控制流程和应急计划,阻止网络风险演化成网络事件
3)事件发现:通过检查确认网络事件发生,评估损失及后续恢复方案
4)事件恢复:有计划响应并使系统恢复正常运行
5)免疫措施:制定措施避免遭受同类网络事件再次发生
5 安全组织架构设计
网络信息安全问题从根本上说是人的问题,如何让人守规则,不违反规则,技术上如何减少和避免人为恶意使用技术,这是船公司网络信息安全组织架构设计的初心。我们可以把组织的总体目标定义为:针对船岸网络及信息安全需要,构建系统的网络安全技术和信息防护策略及其措施,通过制度管理和技术防范,双管齐下,规范员工行为,以达到网络和信息资产安全可控的总体目标。最终达到“外人进不来,进来看不到、看到拿不走、拿走用不了、操作可追溯”的效果。组织实际领导者——首席信息安全官(CISO)的基本职责是:建立船岸网络与信息安全团队并确保成员各司其职。团队成员既要包含企业内部的计算机安全专家,也要包含外部资深律師、会计师、技术专家等。
6 安全团队成员岗位职责
1)对船舶VSAT/FBB设备端口映射以及防火墙规则进行审核分发及监控,熟悉Infinity,XchangeBOX等通信管理系统的后台设置,监控内网可疑流量。
2)对船岸内网信息设备及办公电脑软硬件及时更新维护,熟悉GTMailPlus、SkyfileMail、Super-Hub、RYDEX、AmosConnect等软件操作知识。
3)对船岸防火墙访问规则进行定期维护,定期更新船岸病毒及漏洞补丁库,不断丰富船岸网络信息事故应急预案。
4)收集供应商件集中存储,向设备及服务供应商提交并跟踪审核信息类保修工单(KVH,Marlink,GEE,OneNet等)。
5)跟踪记录新造船FBB,铱星和VSAT以及船载物联网设备安装调试情况,对船队VSAT/FBB网络流量及费用情况进行跟踪,分配船员适当的信息访问级别和安全访问许可。
6)参与船舶网络基础建设及信息系统迭代开发,提出必要的安全策略规范要求。
7)具备防火墙/路由器/入侵检测系统和交换机的丰富知识;具备Mac、Windows、Linux三大操作系统及域控服务器的丰富知识;具备数据库基础知识,能够使用SQL查询语言,Crystal Reports提取分析数据。
8)具备网络安全事件调查能力,独立撰写网络安全事件调查报告并提出改进措施。
7 经验交流
网络信息安全领域对于大部分人而言既陌生且专业性较强,在实践中,大部分船公司是总裁办(行政事务部)或保密部门来牵头,而网络信息安全职能又隶属话语权不高的IT部门,最终导致企业网络信息安全工作进展迟滞,制度落实缓慢。因此,我们建议由公司领导牵头作为“一把手”工程,由技术保障部门负责具体实施。有条件的船公司应该定期针对船岸网络信息系统进行白帽渗透以及布置网络信息安全审计设备,当船岸系统被攻破时,此举能够有助于迅速做出应急反应,恢复可以预知的破坏和损失。此外在员工手册、船员上船协议中应该赋予公司相关职能部门通过技术手段来获取内部威胁的权利,此举有利于打击船岸隐蔽性较强的职务犯罪。
以笔者所在单位为例,2018年初由公司领导牵头与CCS联合成立了船岸网络信息安全专项课题组,针对我司船岸网络特殊性制定了一套通用船舶网络安全管理体系,并在超大型集装箱船试行了《船舶网络信息安全实施指南(征求意见稿)》及配套制度如《船舶网络信息资产管理办法》《船舶VSAT、局域网及防火墙设置规范》《船舶网络信息安全员岗位职责》《船员网络信息安全应知手册》等,除此之外,还对试点船舶就域控服务器(解决内网信息审计问题)、KMS激活服务器(解决操作系统、办公软件授权问题)、自建CA颁发SSL证书(解决SHA256数据加密问题)、某开源安全软件企业版部署(解决病毒库、补丁离线升级问题)等项目进行技术验证,为下一步网络信息安全课题成果的推广应用奠定良好基础。
8 结束语
早在2014年2月,我国便成立了中央网络安全和信息化领导小组。2015年党的十八届五中全会提出“网络强国”战略,2016年11月颁布了《中华人民共和国网络安全法》,同年12月颁布了《国家网络空间安全战略》。可以说“没有网络安全就没有国家安全”已然成为举国上下的共识;同理,没有网络安全就没有航运安全。2018年9月22日,美国在最新颁布的《国家网络战略》中明确指出,美国的经济和国家安全建立在全球贸易和运输的基础之上,随着交通运输部门的现代化,它们很容易受到网络攻击。鉴于海上运输的重要性,海上网络安全尤为令人担忧,美国将迅速采取行动,确定海上网络安全的责任,加强国际协调和信息共享机制,加速下一代具有网络弹性的海上基础设施的发展。“他山之石可以攻玉”,未来的航运业,谁站在网络信息安全的制高点掌握核心科技,谁就能实现赢家通吃。如果网络信息安全出现纰漏,就会出现一着不慎,满盘皆输的局面。作为航运从业者,我们要以清醒的头脑,未雨绸缪,有步骤有计划地提升我国航企网络信息安全建设,持续为我国智能航运、智能船舶等“政产学研用”创新项目落地,实现我国从航运大国走向航运强国的目标努力奋斗。