摘要：在万物数字化、万物互联的行业趋势下，接入船舶网络的系统和设备不断增加，随之而来的网络安全风险也对业界提出了新的挑战。基于对船舶抵御网络风险的实践案例和广泛经验，国际船级社协会（IACS）于 2022 年 4 月制定了 UR E26（《Cyber resilie

工业互联网创新中心（上海）有限公司 郑忠斌 赵昱 翁祖昊

在万物数字化、万物互联的行业趋势下，接入船舶网络的系统和设备不断增加，随之而来的网络安全风险也对业界提出了新的挑战。基于对船舶抵御网络风险的实践案例和广泛经验，国际船级社协会（IACS）于 2022 年 4 月制定了 UR E26（《Cyber resilience of ships》）、UR E27（《Cyber resilience of on-board systems and equipment》）两项新的船舶网络韧性统一要求。2023年9月，结合一年来行业人士的相关反馈，IACS对这两项标准做了更新与修订，并宣布将全面应用于2024年7月1日及之后签约建造的新船。

在这两项标准的基础之上，各国船级社继续深化并制定了更详细的分级标准，也因此衍生出了新的船舶网络产品检测需求。本文将通过对各类标准的技术解读和针对性解决方案的分析，为各船舶产业主体适应新的网络安全环境提供专业参考。

IACS技术要求分析

UR E26从设备识别、保护、攻击检测、响应和恢复5个维度对船舶的网络安全提出了具体要求，旨在提升船舶“设计—建造—调试—使用”全生命周期的网络韧性。基于UR E26的全面指引，UR E27进一步针对具体的船载系统和设备，明确了网络韧性、用户和船上基于计算机系统之间的接口、新设备产品设计和开发三大方面的要求，提供了可执行的操作指导，确保船舶系统完整性能得到第三方设备供应商的保护与强化（如图1所示）。

此外，IACS还明确规定了相关网络安全要求在船舶、平台、船载计算机系统等方面的适用范围，涵盖了目前几乎所有的主流设备供应商（如图 2 所示）。

各船级社要求解读

IACS秘书长Robert Ashdown在发布 UR E26 与 E27 时表示：“这两项关于网络安全的标准为新船舶的网络弹性、船载系统与设备的网络安全提出了最低目标要求。因此，在此基础上，各大船级社均推出了更具适应性的船舶网络安全要求。

中国船级社（CCS）从整船和产品两个维度，基于预期抵御的网络安全事件规模，分别定义了 SL0（对标 UR E27）至 SL4（最高规模事件）共计5个等级的要求。

挪威船级社（DNV）基于国际通用标准IEC 62443 SL1-SL4和IEC 61162-460，进行部分修订后形成SP0-SP4共计5个安全等级，其中SP0为入门级，仅需满足国际海事协会的《安全管理系统之海上网络风险管理》（MSC.428(98)），SP1-SP4对标至SL1-SL4。

法国船级社（BV）基于管理、船舶安全设计及抵御攻击的原则，升级《海上设施网络安全规范》，推出了“CYBER MANAGED、CYBER SECURE、CYBER RESILIENT”等附加船级符号。

英国劳氏船级社（LR）基于国际通用标准IEC 62443 SL1-SL4，将安全等级分为“Established、Enhanced、Accomplished、Optimized”4个等级。

美国船级社（ABS）基于对设备/ 系统本体要求、制造 / 集成商要求、云安全要求及船公司和船东要求的分类，分别制定了相关指导 / 要求文件（ABS Guide for Cybersecurity Implementation for the Marine and Offshore Industries、ABS CyberSafety for Equipment Manufacturers），并规定了面向设备（CS-System）、面向集成 / 制造商（CS-Ready）、面向船东（CS-1/CS-2）的入级分类符号。

通用船舶网络设备安全要求解读

事实上，目前现有的船舶网络设备安全要求，主要是围绕IEC标识与鉴别控制（IAC）、用户控制（UC）、数据完整性（DI）、数据保密性（DC）、事件实时响应（TRE）、资源可用性（RA）六大维度进行扩充或裁剪（如图 3 所示）。

IAC包括人员识别与认证、账户管理、标识符管理、鉴别器管理、验证反馈、密码强度认证、无线访问管理 ；UC 包括授权加强、无线使用控制、移动代码、可审计存储容量、会话锁定、可审计时间、审计处理失败响应、时间戳、便携式和移动设备使用控制 ；DI包括通信完整性、恶意代码防护、安全功能验证、确定性输出 ；DC包括信息保密性、密码技术使用 ；TRE包括可审计日志可访问性 ；RA 包括拒绝服务保护、资源管理、系统备份、系统恢复与重建、替代电源、网络和安全配置设置、最小 功能。

除了网络系统本身的操作验证，新标准要求系统添加基于工业漏扫系统、BurpSuite和Kali等漏扫、渗透工具簇进行组合验证的环节，并要求参与设计脚本和用例的网络安全工程师具备相关的经验知识。

现有UR E26船舶网络安全方案

为满足UR E26船舶网络韧性标准，航运业众多船舶公司与船东十分重视构建船舶网络安全方案。满足各大船级社的船舶入级标准要求并获得对应的船舶网络安全等级认可标志，也是目前船舶交付要求的重要内容之一。

举例来说，CCS 在其发布的《船舶网络系统要求及安全评估指南》管理要求中明确指出：船舶网络安全方案必须基于有效的、可持续改进的安全风险管理制度体系展开，并涵盖规划与设计、实施与运行、检查和评审、保持和改进四大方面（如图 4 所示）。

通常情况下，船舶网络安全解决方案包含评估咨询、建设与改进、运营与运维三部分实施内容，需要船东、船舶建造商、船级社、安全设备或软件供应商、安全服务商等多方参与到船舶建造交付和运营过程的不同阶段中。

评估咨询指通过对船舶信息安全体系建设情况的咨询及资料审核，初步形成船舶网络安全现状与差距分析评估报告。内容和形式包含且不限于 ：船舶信息安全档案与安全体系文档核查、上船巡检、船上系统扫描、船舶资产清单网络拓扑图和系统变更维护清单确认、船岸一体的信息安全工作体系和工作规范与实际执行情况调研等内容。

根据前一环节给出的评估报告，建设与改进环节需要进一步针对管理制度和技术产品中的不符合项提出集成方案，并针对UR E26与E27的标准，保证方案能满足对应船级社的入级要求。内容和形式包含且不限于 ：相关安全管理制度文件补缺调整修订发布、审核制度优化、审批授权流程改进、关键岗位职责落实、风险管理评估、相关硬件软件或系统的优化或网络节点调优部署等内容。

最后一个环节则是补充完善船舶网络安全运营与信息系统运维体系。内容和形式包含且不限于 ：船员网络安全意识培训、网络日常安全风险识别、系统故障或异常事件处理模拟演练、网络运维监控、关键系统备份恢复、年度检查与临时检验自查等内容。

UR E27船舶网络安全检测方案及相关案例

综上所述，开展船舶网络中重要设备安全认证，并经由专业检测机构（团队）完成网络安全检测检验，既是船舶安全航行的技术保障，也能促进船舶供应商提升产品服务能力，给船舶数字化、智能化的可持续发展打下扎实基础。

通常专业检测机构通过分析船载系统设备及其应用条件、目标和要求，基于船载系统设备相应能力来编写检测方案、搭建测试环境、开展检测、汇总分析检测数据结果，最后交付检测报告。

同时，专业检测机构还能根据船舶网络特点和应用要求，制定个性化、全流程的体系控制（如图 5 所示），以更好地应对 E27 生效要求。目前，已有设备厂商完成新标准下的网络安全检测工作。以某卫星通信公司的智能卫星网管系统为例，该网管系统具备为船舶提供网络接入、卫星通信计费、远程管控、网络切换等功能，管控船舶与卫星、外界的核心交互链路。由于该产品服务过程中涉及到航电等关键数据信息，又因其广泛的功能特性而让船舶网络长期处于暴露状态，增加了网络安全威胁的攻击面及攻击路径。

该产品面临的主要风险包括IAC域的鉴别信息存储、传输过程未加密、无线访问用户敏感信息未脱敏、服务平台密码强度明文显示；UC域无自动登出，备份和恢复时间无自动记录，审计处理失败的机制薄弱 ；DI 域网关系统未校验传输完整性、WAF端未开启恶意代码防护、被攻击后未有能力维持预定输出状态 ；DC 域平台端的身份证、密钥存储加密方式薄弱、传输未加密 ；RA 域遭遇 DDOS 攻击无法保证降级运行、网络状态和流量分析能力缺失、备份机制和应急电源机制缺失等。

为了解决该网管系统面临的安全问题，切实提升产品网络安全质量，该设备商委托专业检测机构进行了基于E27应用场景的检测认证。在首轮测试中，共检出2项完全不符合、20项部分不符合、2项建议、17项符合的条目。经双方检测、研发人员的通力合作、复现与修复中发现的网络安全问题，在第二轮复测后得以全项符合。

总体而言，为切实提升船舶网络安全韧性，无论是船东、船厂、船舶设计院，还是船舶系统供应商，都需要持续关注并践行最新的网络安全要求，以提前规避船舶在运营、安全和数据完整性等方面可能面临的网络安全风险。

来源：中国船检