陈千荣(大连海事大学,辽宁 大连 116026)
从传统意义来说,船舶网络安全是指船舶计算机设备的安全,主要涉及传统船舶所配备计算机的安全问题,包括硬件和软件2个方面。硬件的安全主要体现在设备的稳定性、电脑机械连接的兼容性和特殊环境的适应性能等。不同于陆地,航行和作业中的船舶在机械、轴系、螺旋桨运转等综合因素的影响下长期处于持续振动中,这将直接影响船舶计算机系统的硬件稳定性。传统船舶网络安全问题更多地体现在软件安全方面。计算机系统在船舶上主要应用于货物积载、配载计算等方面。单机功能性应用是早期在船舶领域的主要应用模式,并凭借其实用性一直延续至今。考虑到单机安全性问题的非扩散性和局域网的特点,计算机软件系统的兼容性、适配性和持续运行产生的冗余信息对计算机造成的影响也相对较小。
随着智能化电子信息系统在船舶领域的广泛应用和卫星互联网技术在船舶领域的逐步推广,船舶网络安全问题已不仅仅局限于传统意义上的软硬件2个方面。互联网常见的网络安全问题多数是由恶意软件、域欺骗和网络钓鱼软件、勒索软件、木马病毒、蠕虫等引发[1]。卫星系统接入互联网,船舶的计算机网络系统将面临和陆地相同的风险[2]。
船舶电子通信系统的信息化、电子海图系统的网络化、组合驾驶台和机械设备集中控制系统的应用和局域网络在船上的组建已远远超出传统意义上的船舶网络安全范畴。卫星宽带接入船舶计算机网络系统使得航运业在完全实现工业3.0(信息化)的同时,迈向了工业4.0(智能化)的进程[3]。
在很长一段时间里,船上由硬件问题引起的网络安全问题基本上可以通过换件、固定、换新等手段来应对。由适配性和软件漏洞造成的系统瘫痪、死机等计算机网络安全问题也大多可以通过重启、重装这些简单操作得以恢复,损失相对较小。船员可以通过自身掌握的计算机基础知识解决大部分问题,所以长期以来,传统的船舶网络安全问题并未引起航运界足够的重视。
船舶网络安全被广泛关注始于2016年。一方面,屡见不鲜的陆地网络安全袭击案例及由此造成的巨额经济损失,足以给航运业敲响警钟;另一方面,航运业内几家知名航运企业以及包括国际海事组织(IMO)在内的国内外行业组织均遭到不同程度的网络袭击,船舶网络安全问题不得不从被忽视和选择性忽视上升到亟待解决的地位。
迄今为止,航运业所遭受的重大网络安全事件大多数都是针对航运公司岸基服务的网络攻击。2020年以来,全球大型航运公司几乎都遭受过网络攻击:地中海航运公司(MSC)2020年4月因恶意软件攻击而导致网络中断;法国达飞航运公司2020年9月遭到勒索软件攻击;甚至IMO也于2020年9月30日受到网络攻击,迫使IMO的IT技术人员关闭了关键系统,以防止造成更严重的损害[4]。
在有目的的网络袭击面前,即使航运业岸基系统具备强大的安全防护措施,船舶网络安全的脆弱性也更加凸显,船舶网络安全现状堪忧。
虽然船舶网络袭击案例很少见诸报端,但是并不代表船舶网络安全状况良好,与之相反,船舶网络安全问题越来越多地受到航运利益相关方的关注和重视。当前的普遍现象是,由于航运市场竞争激烈,大多数网络安全事件都不会直接公布。这其中包含2方面原因:一是很多航运公司出于公司声誉的考虑;二是IMO等行业内组织更关注船舶管理方面的问题,船舶网络系统引起的安全事件大多被认定为技术问题而非管理问题。
通过对国内外相关知名航运机构的调查发现,关于船舶网络安全的培训和教育已逐步启动。这些培训大多基于IMO推出的《船舶网络风险管理指南》《安全管理体系(SMS)中的海事网络风险管理》和波罗的海国际航运公会(BIMCO)推出的第四版《船舶网络安全指南》,培训项目多数都是涉及船舶网络安全的短期通识教育,其目的主要在于提高船员和岸基人员的网络安全意识,强化船舶网络风险的评估和简单信息安全技术的分享[5][6]。
目前,船舶网络安全相关培训做得比较成功的是BIMCO与多家航运机构共同开发的一个船舶网络安全专业发展课程,其旨在提供船员和岸基人员对船舶网络安全概念的了解,提高对船舶网络安全漏洞和应对措施的认识,以协助船员和岸基人员进行网络评估,将其作为日常船舶检查以及事件应对工作的一部分。另外全球各大船级社如中国船级社、挪威船级社、法国船级社、美国船级社等,都进行了网络安全课程的尝试,并取得了良好的反馈。
另外,随着IMO 428(98)决议的实施,船舶网络安全被纳入到安全管理体系中。船舶网络安全的在船演习和培训成为很多公司安全管理的培训项目之一。根据普遍的网络调查显示,大多数网络安全培训仍停留在软件的及时更新、禁用非法USB等一些简单的常识性知识普及层面。
1. 管理级和操作级船员网络安全教育现状
值得注意的是,由于船舶网络安全是一个新兴的课题,在当前IMO的船员教育与培训体系中并没有得到重视。在《1978年海员培训、发证和值班标准国际公约》(STCW公约马尼拉修正案)第A-III/6节中,规定了船舶电子电气员的最低适任标准,涉及到船舶电子电气设备和系统的评估、操作、维护和修理等各个方面;修正案中也规定了其他职务船员对设备熟悉的基本要求,比如全球海上遇险与安全系统(GMDSS)无线电操作员等。
中国《海船船员培训大纲(2021版)》根据STCW公约马尼拉修正案做了部分履约性修订,虽然大纲对于网络安全的问题没有制定明确标准,但是在对无线电操作人员评估项目中的GMDSS设备操作与维护,电机员考试评估项目的计算机与自动化,通信与导航设备维护、船舶电子电气管理与工艺等项目中均涉及相应设备的了解与维护等内容。船舶设备的网络安全本身就可以被认为是电子电气设备维护的内容之一。在履约培训过程中,重视设备和仪器功能上的基本操作仍是当前航海技能教育培训体系的主要趋势。
中国管理级和操作级船员基本来源于国内各个航海院校和培训机构。据了解,在航海类专业课程设置上,仅包含了基本的计算机基础知识课程,在安全管理课程中也未见涉及船舶网络安全的章节。虽然,对航运前沿比较熟悉的部分老师会在课程之余开展一些关于网络安全专题的培训,但并不能很好地应对当前航运业面临的网络安全形势。
船舶网络安全作为一个新兴课题,将其明确纳入STCW公约和中国船员培训大纲显然成为当务之急。
2. 支持级船员网络安全教育现状
国内外基于STCW公约培训体系的支持级船员培养主要集中在水手、机工的专门培训项目上,传统的小证培训和新纳入体系的保安意识培训项目中都没有明确涉及船舶网络安全的相关内容。一般情况下,相较于管理级和操作级船员,支持级船员的受教育程度要偏低,其网络基础知识也相对匮乏。
航运4.0的发展步伐要明显慢于陆地其他行业工业4.0,在新技术应用上也是如此。但是随着船舶数字化、智能化的不断转型,适应新形势需求的航海类职业教育培训应运而生,如各国船级社和大型知名航运机构组织的短期船舶网络安全培训。然而,船级社和航运机构的培训项目,无论从数量上还是质量上都远远不能满足航运业发展的需要,将船舶网络安全管理纳入航海类职业教育是解决目前困境的有效方案。
《交通强国建设纲要》的出台将推动中国航运业的飞速发展。随着中国智能船舶和大型无人船舶的投入使用,以及大数据、云计算等一系列新一代网络信息技术应用于航运业,尤其是应用于航海实践中,传统的航海类职业教育已经很难满足新型智能船舶对船舶管理和营运类人才的需要。
随着中国智能航运2025、2035和2050战略目标的制定与实施,培育适应智能航运发展的专门人才已经成为中国迈向交通强国过程中急需解决的问题之一[7]。基于新一代信息技术发展的智能航运将直接面临网络信息安全问题的担忧,结合中国乃至全世界航海类职业教育现状,大力培育全面了解船舶智能化发展现状和精通船舶网络安全问题的航海类专业人才,将成为适应航运业智能化转型和交通强国建设的基本要求[8]。
长期以来,传统的航运业,尤其是在航海实践中,对于航海类毕业生在计算机网络知识方面的要求相对较低,一方面由于传统航海技术对于计算机技术的依赖程度较小,另一方面,在各项履约实践中,船舶网络安全管理向来是边缘课题。然而,在现代航海实践中,多数被定义为技术问题的网络安全事件往往是人为因素造成的,比如,未按照电子海图正确更新程序操作导致系统冻结,未及时更新杀毒软件导致控制系统紊乱。虽然这类事故大多被定义为系统故障或技术故障,但归根结底反映了船员网络安全意识淡薄和船舶网络安全管理存在疏漏。
虽然针对船员和岸基人员的船舶网络安全培训的需求,目前已经有很多不同形式的培训课程应运而生,但是对于船东和用人单位来说,结果却是成本投入不断增加,导致与实际收益不对称关系愈发明显。在新一代信息技术不断影响航运业发展的今天,要解决船舶网络安全这一问题,短期内对于船员能力的提升需要船东和用人单位的共同努力;从长远看不仅需要海事监管机构的重视,还需要航海教育培训机构的大力支持。船舶网络安全教育作为一种新兴航海技能的教育培训内容之一,需要海事领域各个利益相关方的共同努力。从成本上讲,将船舶网络安全教育纳入航海类职业教育将是保障航运业健康可持续发展的有效手段[9]。
现行版海员培训大纲并未直接涉及船舶网络安全相关内容。如果把船舶网络安全管理教育分为船舶网络安全意识和船舶网络安全管理两个方面的内容,提升船舶网络安全意识将从根本上缓解目前航运业网络安全的严峻形势。
要整体提升船员的船舶网络安全意识和管理水平只能通过开展相关培训来实现。随着MSC.428(98)决议的实施,船舶网络安全风险评估与管理已经成为在船培训项目之一。培训费用的支出关乎船东的切身利益,而把航运业面临的船舶网络安全这一普遍性问题的解决交由船东来独立承担是不切实际的。
因此将船舶网络安全意识的培训纳入到五年一度的船员基本安全培训再有效知识更新培训上来是目前覆盖面最广、最行之有效的方案之一,此举既可以提高船员网络安全意识,又可以降低船东在船员培训上的成本。
就航海类院校在校学生而言,学校可以通过在课堂中穿插讲授船舶网络安全的内容、设置独立的专题或者课程论文等多种形式,提高学生的船舶网络安全意识和网络安全知识水平。
随着智能航运、智能船舶等一系列概念的提出,航海类学科建设将趋向于多学科交叉融合,尤其是与计算机网络科学技术,信息与通信工程等应用型学科的融合[10]。复合型航运人才的培养将成为航海类院校教育工作的重中之重。
从长远看,随着航运业的发展对航运人才需求的影响,将船舶网络安全课程设置为航海类专业必修课程将成为一种必然。该课程面向航海类专业学生,将在船舶网络设计建设、运行维护、检验评估、威胁防御、故障排除等一系列课题上结合新一代信息技术的发展进行分析阐述[11]。
课程的设立将对目前航海类师资提出更高的要求,该课程设计目的不仅在于让学生熟悉掌握计算机网络知识,紧跟网络信息技术发展前沿,更要将现有船舶网络系统的特点和智能化船舶的发展趋势有效融合[12],让学生更好地适应智能化船舶、大型自主无人船舶领域发展的需要。
为了实现上述将船舶网络安全管理教育纳入航海类职业教育的目的,建议相关部门针对STCW公约履行现状,提出在海员的适任标准中增加网络安全方面的适任标准及培训要求的提案,积极推动IMO各成员国和缔约国在履约过程中加强对船舶网络安全管理教育的普及;同时修订现行的海船船员培训大纲来指导航海教育培训。
船舶网络安全是航运业面临的一个普遍性课题,俨然成为制约航运业向智能化发展的一个因素。目前国内外多数的教育与培训项目都还局限于短期的网络安全意识的提高和计算机网络基础知识的普及,还没有形成统一规范的有针对性的应对和处理措施,系统性的船舶网络安全教育与培训还处于初步探索阶段。航海类专业网络安全教育是一个分阶段、循序渐进的过程,需要通过对目前航海教育模式进行系统性的评估和教育体制改革来推动船舶网络安全教育的发展。