安全正当时|第十六讲 航运公司网络安全要这样管

随着人工智能、云计算、大数据、物联网和区块链等广泛应用，新技术对航运业上下游整条产业链的研发、制造、运营等都带来了巨大变革，由此引发的网络安全问题愈来愈引发社会关注。国际海事组织（IMO）海安会第98届大会讨论通过了MSC.428(98)决议，强调航运公司的安全管理体系应考虑网络风险管理，并鼓励各国政府应不迟于2021年1月1日之后的首次DOC（符合证明）初次审核、换证审核或年度审核时，应核查安全管理体系（SMS）是否包括了网络安全风险管理的相关内容。第98届大会同时还批准通过了《海事网络风险管理指南》，为业界应对航运网络安全风险提供了指导。

（一）调研总体情况

2.未在公司层面明确网络安全工作负责人和机构，网络安全管理职责不清晰。

3.缺乏网络安全应急预案，对信息系统不断增加和更新带来的风险无意识。

4.缺乏网络安全相关培训制度，船员网络安全风险意识极低。

有观点指出，现在90%以上船舶尚处传统单船操作阶段，船舶操作系统尚未连接网络，发生被劫持等网络事件的概率极低。确实，按照严新平院士的判断，目前智能船舶正处于从第一阶段（仅限于船用设备状态远程监控和数据分析）向第二阶段（利用云计算、物联网和大数据分析等技术，通过连接岸上中心为船舶定时提供安全、环保和能效优化建议，实现半自动化航行）过渡，即使当前已经投入使用的最先进的智能船舶—“大智”轮、“凯征”轮，也依然处于第一阶段向第二阶段的过渡阶段。但也要看到，信息感知技术、通信导航技术、能效控制技术、航线规划技术、状态检测与故障诊断技术、遇险预警救助技术、驾机一体化和自主航行技术已或多或少应用于传统操作方式的船舶，现有的任一船舶都难以隔绝于网络之外。岸基通过现代通信技术（卫星网络等）调度船舶、船舶依靠电子海图技术航行、船舶依靠甚高频技术传输导航信息、船舶依靠信息感知技术监测船舶状态等，船舶总是处于互联网或局域网的一端。一旦遭受网络攻击，被错误的信息误导，就可能发生船舶错误判断航路、切断油路等危险事件，即使是传统船舶也不能幸免。

因此，无论是智能船舶，还是传统操作方式下的船舶，享受着网络技术便利的同时，也同样要面临网络威胁，皆要认真对待网络安全管理。

（三）认识误区三：网络安全归网信部门职责，非行业管理职责

尽管IMO在第101次海安会决议要求，不对航运公司强制要求建立单独的平行运行于安全管理体系的网络安全管理体系，但这不妨碍行业主管机关为强化航运网络安全管理，制定符合国情的网络安全政策。众所周知，我国一直坚持网络主权原则，严厉打击网络攻击行为。相较于IMO，我国应根据IMO428号决议和《网络安全法》的要求，制定更为符合国情的航运公司网络安全管理政策，指导航运公司做好网络安全防御和应对工作。

考虑到船舶类型各异，信息化程度参差不齐，宜分级分类提出航运网络安全要求。本着便于管理和有效区分的精神，建议适度划分航运网络安全等级数量，按照ABC划分航运公司的网络安全等级：

C级针对网络应用较少的公司和船舶，这类公司和船舶仅包含基本的网络应用，如邮件通讯等，网络安全事件不直接对船舶的安全操作产生影响；此类公司和船舶应制定相应的网络管理制度、明确的网络安全负责人、全员每年接受不少于4课时网络安全知识的培训。

B级针对网络应用较多的公司和船舶，包括建有局域网的公司和船舶，但是其网络不直接对船舶的安全操作产生重大影响；此类公司除了应覆盖C的制度和培训外，还应有相应不同网络事件下的应急预案等。

A级针对网络应用较广且网络与直接影响船舶安全操作的各类系统相连接的公司和船舶；此类公司和船舶除了覆盖B级的网络要求，还应有独立的隔离系统，能够保证在发生网络事件情况下，船舶操作控制系统依然能够运行。

航运公司可根据网络应用评估的情况自由选择相应等级的安全保护措施。在2021年首次审核后，审核发证机构应对符合证明和安全管理证书进行相应等级的标注，以便证明公司和船舶满足主管机关要求的具备妥善处理网络安全威胁能力。

参考文献：

2. 最航运 最航运重磅 | 又一家船公司“触网”！携手运去哪 开启互联网订舱服务 2020年06月11日

3.严新平 智能船舶的研究现状与发展趋势 交通与港航：特别策划 2016年第1期

5.IMO Guideline on Maritime Cyber Risk Management  MSC-FAL.1/Cir.3 2017年7月5日

6. Captain X 1 欧洲最大船企、两家世界级船管公司遭遇网络袭击 信德海事 2020年06月12日