孙 哲,袁 洋,陈艺琳
(中船邮轮科技发展有限公司,上海 200137)
为保证豪华邮轮的安全航行、舒适航行和经济航行,并且在发生紧急情况时能够快速响应,豪华邮轮运营团队需要对在航邮轮的运行情况进行7×24小时实时监控,并通过大数据分析、专家系统等技术手段对邮轮航行进行监控和管理。因此监控系统作为船队航行管理的基础系统,在邮轮航行和邮轮运营等方面具有不可替代的功能与作用。
邮轮上的远程监控系统从空间上可以划分为 3个部分:船端综合系统、卫星链路系统和岸基接收系统。
船端综合系统的作用是集成自动化系统、安全管理系统、导航系统及其他系统的信息,并通过加载专用应用程序的服务器和工作站,最终形成用于对外传输的信息。
卫星链路系统的作用是将船端综合系统形成的信息通过网关及防火墙转换为卫星通信的格式,并通过船载卫星与岸基进行数据传输。
岸基接收系统作为远程监控系统的终端,用于接收卫星链路系统的数据,并通过服务器和工作站对数据进行解码、转换、显示、分析和存储。
下文结合实际分别对这3部分进行详细论述。
船端综合系统作为远程监控系统的信息源头,负责信息的采集和处理。系统主要由装载远程监控系统应用程序的工作站组成。由于邮轮各系统设计的多样性,系统集成程度也大相径庭,因此船端综合系统的设计也各不相同,但从系统设计原理方面主要分为3种情况。
1)邮轮系统集成度很高,采用自动化系统、安全系统、导航系统一体化设计。对于这种情况,船端综合系统也集成在其中,船端综合系统的工作站与一体化的自动化系统、安全系统和导航系统共用网络,工作站搭载自动化系统应用程序、安全管理系统应用程序、导航系统应用程序,并从网络服务器中直接获得需要进行远程监控的全部信息,通过应用程序对获得的信息进行可视化处理并显示在工作站的人机界面中。而后经防火墙送入卫星链路系统,实现与岸基接收系统的同步、实时显示。如图1所示。
图1 自动化、安全管理、导航系统一体化设计的船端综合系统示意图
2)自动化系统、安全系统、导航系统采用非一体化设计。对于这种情况,船端综合系统分设多个工作站,分别集成在自动化系统、安全管理系统、导航系统或其他系统中,加载各自对应系统的应用程序,并从各自所在的网络系统中获取需要进行远程监控的信息,通过应用程序对信息进行可视化处理并显示在各自工作站的人机界面中。再经过各自的防火墙连接至一个专用于远程监控系统的网络交换机中,该网络交换机作为网关将各系统网络的数据送入卫星链路系统,实现与岸基接收系统的同步、实时显示。如图2所示。
图2 非一体化设计的船端综合系统示意图
3)自动化系统、安全系统、导航系统采用非一体化设计,但安全系统和导航系统的信息可通过各自的通信协议送至自动化系统,由自动化系统对信息进行处理。对于这种情况,船端综合系统可与自动化系统集成,并共用网络,加载自动化系统的应用程序,从自动化网络中获取所需的全部信息,通过应用程序对信息进行可视化处理并显示在工作站的人机界面中,而后经防火墙送入卫星链路系统,实现与岸基接收系统的同步实时显示。如图3所示。
图3 数据信息通信至自动化系统的船端综合系统示意图
上述3种形式的船端综合系统均可与卫星链路系统、岸基接收系统相结合实现邮轮的远程监控。需根据邮轮的不同配置进行灵活选择,同时也可能存在上述3种形式以外的复合形式,例如比较常见的自动化和导航系统一体化设计,安全管理系统网络与一体化网络系统独立。这种情况可将自动化系统和导航系统按照 1)的形式进行组合,再整体与安全管理系统按照2)或3)的形式进行搭配,构成整个船端综合系统。
卫星链路系统由船载卫星天线、海事卫星、岸基卫星接收装置组成,豪华邮轮多采用Ku/C波段的VSAT卫星对网络数据进行传输,VAST卫星系统理论速度可以到达2 Mibit/s,完全满足邮轮远程系统的信息传输的要求。
邮轮远程监控系统的信息从船端综合系统经卫星链路系统发送至岸基接收系统的过程,是将封闭的船舶网络(私有网络)信息发送至开放的卫星网络(公有网络)再发送至封闭的岸基接收系统网络(私有网络)的过程。因此在不同网络间进行的数据转换和传输、数据安全、网络安全等问题是邮轮远程监控系统必须充分考虑的因素。本章分别论述在卫星链路系统不同网络间的信号转换和网络安全,最终确定卫星链路系统的组成与形式。
卫星链路系统需要在船舶网络和卫星网络进行数据通信,由于这2个网络均为专用网络,其网络通信协议、数据格式、通信语言均存在差异,甚至网络的结构都可能完全不同。当用于类型不同且差别较大的网络系统间的互连或不同体系结构的网络间的信息传输时,需要选择网关进行数据交换与传输。
所谓网关也称协议转换器或信关,是互联网工作在开放式系统互联通信(Open System Interconnection,简称:OSI)传输层上的设施。它可以对数据重新分组,以便能在2个不同网络间进行通信。网关按其功能可以分为3种类型:协议网关、应用网关和安全网关。其特点如下:
1)协议网关为网关的基本功能,用于将不同网络协议进行转换,实现互联网通信。
2)应用网关主要针对一些专门的应用而设置的一些网关,通常为实现特定功能的服务器,是能在应用层连接2部分应用程序的网关。
3)安全网关是能够兼顾网络信息通信安全的网关。
从网络信息转换的角度来看,以上3种网关均可用于邮轮远程监控系统的卫星链路系统。但无论是从船舶系统封闭性方面还是从邮轮运营安全方面来说,网络信息安全都极为重要,因此网关的选择同时要兼顾系统的安全性,下面从卫星链路系统的安全性角度进行分析。
由图1~图3可见,为保证船端综合系统的封闭性和安全性,无论哪一种船端综合系统在接入卫星链路系统前都应设置防火墙。
防火墙是一种用于监控入站和出站网络流量的网络安全设备,能够通过一组定义的安全规则来决定是允许还是阻止特定流量。用于卫星链路系统的防火墙,指的是隔离在船端综合系统局域网与卫星网络之间的一道防御系统。可以使船端综合系统局域网络与卫星网络互相隔离、限制网络互访,从而对船端综合系统的网络进行保护。远程监控系统防护墙示意图见图4。
图4 远程监控系统防火墙示意图
防火墙根据其实现方式分为过滤型防火墙、应用代理类型防火墙、复合型防火墙3种。过滤型防火墙以识别特定的数据源头或协议格式实现过滤,应用代理型防火墙则通过特定的代理程序就可以实现对数据与协议监督与控制,而复合型防火墙则为上述2种技术的结合体。了解了网关和防火墙的相关信息,接下来就可以讨论如何搭建邮轮远程监控系统的卫星链路。
通过前文的介绍,邮轮远程监控卫星链路系统既需要在不同形式的网络间对信号进行转换和传输,又需要在信号传输的过程中保证船端综合系统的封闭性和信息传输的安全性。因此邮轮远程监控的卫星链路系统应选择“安全网关”作为网络数据的“翻译器”和“防火墙”。
结合2.1节的内容,可以得知安全网关是既能对网络数据进行转换又可以兼顾网络安全的网关,也可以说安全网关是一个具备了防火墙效果的多功能装置,从网络连接和网络信息转换的功能上来讲,它具备协议网关的功能,能够处理复杂的网络信息交换,足以满足邮轮远程监控的卫星链路系统的要求。在信息安全方面,通过对比安全网关与传统防火墙之间的区别,对安全网关在信息安全功能上进行分析:
1)从功能上进行比较。传统防火墙仅限定网络通信的内容或格式,即实现防止木马、病毒或屏蔽网络攻击的功能,正常访问是允许的。而安全网关则在具备传统防火墙功能的同时,还可以对正常访问的网络节点进行授权,只有经过授权节点才可以访问其服务器,否则予以屏蔽。因此,使用安全网关可以最大程度地保证船端综合系统的封闭性和安全性。
2)在过滤性能上进行比较。传统防火墙通常作用于OIS的7层模型中的第3层,即网络层,对网络层的通信进行过滤。而安全网关不仅可以对网络层进行过滤,甚至可以对最高的应用层级进行过滤,因此安全网关的过滤性能要远远超出传统防火墙。
此外,部署安全网关的同时还可以搭载其他防火墙软件,这对于在某些情况(见图2)下,需要嵌套在其他网络内的远程监控的船端综合系统设备,如嵌套在安全管理系统、导航系统内的船端综合系统设备,具有非常重要的意义,因为安全网关可以与其他系统所需的防火墙配合使用,以满足系统防火墙嵌套的要求。
通过上述对比分析可以得出,安全网关无论是从数据信息交换方面还是网络、数据安全方面都足以满足邮轮远程监控系统对数据信息传输的要求。因此,邮轮远程监控的卫星链路系统应选择安全网关作为船端综合系统接入卫星链路的门户。
确认了安全网关在邮轮卫星链路系统的应用,接下来对如何选择安全网关进行分析。安全网关分为以下2种模式:
1)网桥模式,也叫做透明模式,即安全网关不设置IP地址,外部网络节点的请求通过安全网关送达服务器,服务器将响应返回给客户端,通信过程中不会感觉到中间设备的存在。这种模式的安全网关的优点在于对网络进行拓展比较简单,不需要网络地址进行重新规划,但牺牲了安全性,缺乏内外网间有效的隔离,因此用于邮轮远程监控系统的安全网关不选择这种模式。
2)网关模式,通过设置安全网关地址实现路由器的功能,使内外网不在同一网段上,由安全网关对不同网段进行路由转发,在进行访问控制的同时实现了安全隔离,使内网系统具有私密性。基于这种特性,邮轮远程监控系统的安全网关应选择此类模式的安全网关。
综上所述,邮轮远程监控系统的卫星链路应选择网关模式的安全网关,搭配船载卫星天线、卫星和岸基接收天线等实现远程监控信息的实时传输。
岸基接收系统通常由邮轮运营团队根据其需求自行提供,与卫星链路系统相连,通常由加载远程监控系统应用程序的服务器和多个工作站组成,通过分屏方式可实时显示多个邮轮远程监控系统视频界面,对邮轮航行及运营状况进行实时监控,可搭配运营团队所需要的定制化软件,通过大数据分析、专家系统等技术手段对邮轮航行进行监控和管理。
远程监控系统对于豪华邮轮的安全航行、邮轮运营团队对邮轮的监控和管理具有至关重要的作用,近年来也越来越受到船东和邮轮运营团队的重视,对系统网络一体化、集成化和安全性能的要求也在相应地逐步提升。本文从邮轮远程监控系统的需求出发并结合项目实例,提出了邮轮远程监控系统船端部分的3种基本模型,讨论并确定了由VSAT船载卫星搭配网关模式的安全网关所组成的卫星链路系统这样的基本结构,最后简要介绍了岸基接收系统的基本配置,从而详细阐述与分析了远程监控系统在豪华邮轮上的系统设计与应用。希望本文能够为邮轮远程监控系统国产化及邮轮远程监控系统的进一步拓展提供一些思路与借鉴。