- 相關(guān)推薦
探析船舶計算機網(wǎng)絡(luò)系統(tǒng)與網(wǎng)絡(luò)安全管理
論文關(guān)鍵詞:船舶 網(wǎng)絡(luò)系統(tǒng) 網(wǎng)絡(luò)安全
論文摘要:本文對船舶系統(tǒng)的安全現(xiàn)狀和問題原因進行了概括性的敘述,對網(wǎng)絡(luò)安全的需求進行了研究分析。從實施船舶計算機網(wǎng)絡(luò)系統(tǒng)安全管理的現(xiàn)實條件和實際要求出發(fā),提出了船舶計算機網(wǎng)絡(luò)系統(tǒng)安全管理的策略和解決方案,針對不同情況的船舶提出了相應(yīng)的實施建議。
1引言
進入二十一世紀(jì)以來,隨著船舶自動化和信息化程度不斷提高,船舶計算機網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用得到了迅速發(fā)展。越來越多的新造船舶采用計算機網(wǎng)絡(luò)技術(shù)將船舶輪機監(jiān)控系統(tǒng)、航海駕駛智能化系統(tǒng)、船舶管理信息系統(tǒng)(SMIS)等應(yīng)用納入一個統(tǒng)一的網(wǎng)絡(luò)系統(tǒng),實現(xiàn)船岸管控一體化。
在我司近幾年建造的4萬噸級以上的油輪上,普遍安裝了計算機局域網(wǎng)。一方面,計算機網(wǎng)絡(luò)用于傳輸船上動力裝置監(jiān)測系統(tǒng)與船舶航行等實時數(shù)據(jù);另一方面,計算機網(wǎng)絡(luò)用于船舶管理信息系統(tǒng)(功能包括船舶機務(wù)、采購、海務(wù)、安全、體系管理與油輪石油公司檢查管理)并通過網(wǎng)絡(luò)中船舶通訊計算機實現(xiàn)船岸間的數(shù)據(jù)交換,實現(xiàn)船岸資源共享,有利于岸基他船舶管理人員對船舶的監(jiān)控與業(yè)務(wù)。前者屬于實時系統(tǒng)應(yīng)用,后者屬于船舶日常管理系統(tǒng)應(yīng)用,在兩種不同類型的網(wǎng)絡(luò)應(yīng)用(子網(wǎng))之間采用網(wǎng)關(guān)進行隔離。目前,船舶計算機網(wǎng)絡(luò)系統(tǒng)采用的硬件設(shè)備和軟件系統(tǒng)相對簡單,因此,船舶計算機網(wǎng)絡(luò)的安全基礎(chǔ)比較薄弱。隨著船齡的不斷增長,船上計算機及網(wǎng)絡(luò)設(shè)備逐漸老化;并且,船上沒有配備專業(yè)的人員負(fù)責(zé)計算機網(wǎng)絡(luò)和設(shè)備的運行維護和管理工作,所以船舶計算機及網(wǎng)絡(luò)的技術(shù)狀況比較差,影響各類系統(tǒng)的正常使用與船岸數(shù)據(jù)的交換。究其原因,除了網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)線路故障問題之外,大多數(shù)問題是因各類病毒與管理不善等原因所引起的。
2船舶計算機網(wǎng)絡(luò)架構(gòu)
目前在船舶上普遍采用以太網(wǎng),船舶局域網(wǎng)大多采用星型結(jié)構(gòu)。
有些船舶已經(jīng)在所有船員房間布設(shè)了局域網(wǎng)網(wǎng)線,而有些船舶只是在高級船員房間布設(shè)了計算機局域網(wǎng)網(wǎng)線。圖表1是一艘30萬噸超級油輪(VLCC)的計算機局域網(wǎng)結(jié)構(gòu)圖。
圖表2 是 船舶計算機網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。其中,局域網(wǎng)服務(wù)器采用HP COMPAQ DX7400(PENTIUM DUAL E2160/1.8GHZ/DDR2 512M/80G);網(wǎng)關(guān)采用INDUSTRIAL COMPUTER 610(P4 2.8GHZ/DDR333 512M/80G);交換機采用D-LINK DES-1024D快速以太網(wǎng)交換機(10/100M 自適應(yīng),工作在二層應(yīng)用層級)。
3船舶計算機網(wǎng)絡(luò)系統(tǒng)的安全問題
2005年以來,有很多的船舶管理公司推進實施船舶管理信息系統(tǒng)。對于遠洋船舶來說,船上需要安裝使用船舶管理信息系統(tǒng)的船舶版軟件。大多數(shù)的船舶版軟件都是采用客戶端/服務(wù)器兩層架構(gòu),高級船員的辦公計算機作為客戶端,通過聯(lián)網(wǎng)使用船舶管理信息系統(tǒng)。船上的船舶管理信息系統(tǒng)通過郵件(一般采用AMOS MAIL或Rydex電子郵件)與岸基的船舶管理信息系統(tǒng)交換數(shù)據(jù),實現(xiàn)船、岸船舶數(shù)據(jù)庫的數(shù)據(jù)同步。
根據(jù)了解,目前船舶計算機網(wǎng)絡(luò)最主要的問題(也是最突出的現(xiàn)狀)是安全性和可用性達不到船舶管理信息系統(tǒng)運行使用的基本要求。船舶管理信息系統(tǒng)數(shù)據(jù)庫服務(wù)器與郵件服務(wù)器之間,以及船員的辦公計算機與船舶管理信息系統(tǒng)數(shù)據(jù)庫服務(wù)器之間經(jīng)常無法聯(lián)通。經(jīng)過上船檢查發(fā)現(xiàn),影響船舶計算機網(wǎng)絡(luò)系統(tǒng)正常運行的主要原因是計算機病毒。大多數(shù)船舶的辦公計算機采用微軟操作系統(tǒng),一方面沒有打補丁,另一方面尚未采取有效的防病毒措施,比如沒有安裝單機版或網(wǎng)絡(luò)版防病毒軟件。有些船舶雖然安裝了防病毒軟件,但是因為不能及時進行防毒軟件升級和病毒庫更新,所以無法查殺新病毒或新的變種病毒等,從而失去防病毒作用。經(jīng)過分析,船上計算機病毒的主要來源是:(1)在局域網(wǎng)中的計算機上使用了帶有病毒的光盤、優(yōu)盤、移動硬盤等存儲介質(zhì);(2)將帶有病毒的筆記本電腦接入了船上的局域網(wǎng);(3)在局域網(wǎng)中的計算機上安裝有無線上網(wǎng)卡,通過無線上網(wǎng)(沿海航行或?扛劭跁r)引入了病毒/蠕蟲/木馬/惡意代碼等。
為了解決上述問題,有的企業(yè)在船舶辦公計算機上安裝了硬盤保護卡;也有一些企業(yè)在船舶辦公計算機上安裝了“一鍵恢復(fù)”軟件;另外還有企業(yè)開始在船舶計算機網(wǎng)絡(luò)系統(tǒng)中安裝部署專業(yè)的安全管理系統(tǒng)軟件和網(wǎng)絡(luò)版防病毒軟件。
若要從根本上增強船舶計算機網(wǎng)絡(luò)系統(tǒng)的安全性和可用性,則需要考慮以下條件的限制:(1)船上的計算機網(wǎng)絡(luò)架構(gòu)在出廠時已經(jīng)固定,除非船舶正在建造或者進廠修理,否則,凡是處于運營狀態(tài)的船舶,不可能立即為船舶管理信息系統(tǒng)專門建設(shè)一個上獨立的計算機局域網(wǎng)。(2)限于資金投入和船上安裝場所等原因,船上的計算機網(wǎng)絡(luò)設(shè)備或設(shè)施在短期內(nèi)也不可能無限制按需增加。(3)從技術(shù)管理的角度看,在現(xiàn)階段,船舶仍不可能配備具有專業(yè)水平的網(wǎng)絡(luò)人員對計算機網(wǎng)絡(luò)系統(tǒng)進行管理。(4)因衛(wèi)星通道和通信費用等原因,遠洋船舶的辦公計算機操作系統(tǒng)(微軟Windows 系列)不可能從因特網(wǎng)下載補丁和打補。淮熬钟蚓W(wǎng)中的防病毒軟件和病毒庫不可能及時升級和更新?傮w上看,解決船舶計算機網(wǎng)絡(luò)安全方面的問題,與陸地上確實有許多不同之處。
4船舶計算機網(wǎng)絡(luò)系統(tǒng)的安全需求分析
為提高船舶計算機網(wǎng)絡(luò)系統(tǒng)的可用性,即船舶計算機網(wǎng)絡(luò)系統(tǒng)任何一個組件發(fā)生故障,不管它是不是硬件,都不會導(dǎo)致網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用乃至整個網(wǎng)絡(luò)系統(tǒng)癱瘓,為此需要增強船舶計算機網(wǎng)絡(luò)系統(tǒng)的可靠性、可恢復(fù)性和可維護性。其中:(1)可靠性是指針對船舶上的溫度、濕度、有害氣體等,提高網(wǎng)絡(luò)設(shè)備和線路的技術(shù)要求,有關(guān)的設(shè)計方案在船舶建造和船舶修理時進行實施和實現(xiàn)。(2)可恢復(fù)性,是指船舶計算機網(wǎng)絡(luò)中任一設(shè)備或網(wǎng)段發(fā)生故障而不能正常工作時,依靠事先的設(shè)計,網(wǎng)絡(luò)系統(tǒng)自動將故障進行隔離。(3)可維護性,是指通過對船舶計算機網(wǎng)絡(luò)系統(tǒng)和網(wǎng)絡(luò)的在線管理,及時發(fā)現(xiàn)異常情況,使問題或故障能夠得到及時處理。
研究解決船舶計算機網(wǎng)絡(luò)系統(tǒng)安全管理問題,必須考慮現(xiàn)實的條件和實現(xiàn)的。總的原則是:方案簡潔、技術(shù)成熟;性好、實用性強;易于實施、便于維護。因此,在盡量利用現(xiàn)有設(shè)備和設(shè)施、擴充或提高計算機及網(wǎng)絡(luò)配置、增加必要的安全管理系統(tǒng)軟件、嚴(yán)格控制增加設(shè)備的前提下,通過采用域劃分、病毒防殺、補丁管理、網(wǎng)絡(luò)準(zhǔn)入、外設(shè)接口管理、終端應(yīng)用軟件管理和移動存儲介質(zhì)管理等手段,以解決船舶計算機網(wǎng)絡(luò)系統(tǒng)最主要的安全問題。
在對船舶計算機網(wǎng)絡(luò)采取安全防護技術(shù)措施的同時,還需要制定船舶計算機網(wǎng)絡(luò)系統(tǒng)安全管理制度;定制船舶計算機網(wǎng)絡(luò)系統(tǒng)安全策略和安全管理框架;對船員進行計算機及網(wǎng)絡(luò)系統(tǒng)安全知識,增強船員遵守公司制定的計算機網(wǎng)絡(luò)安全管理規(guī)定的意識和自覺性。
。1)加強船舶計算機病毒的防護,建立全面的多層次的防病毒體系,防止病毒的攻擊;
(2)采用專用的設(shè)備和設(shè)施實現(xiàn)船舶安全策略的強制執(zhí)行,配合防毒軟件的部署與應(yīng)用;
(3)加強船舶計算機網(wǎng)絡(luò)管理,通過桌面管理工具實現(xiàn)船舶計算機網(wǎng)絡(luò)運行的有效控制;
(4)制定相關(guān)的網(wǎng)絡(luò)安全防護策略,以及網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)與恢復(fù)策略,在正常網(wǎng)絡(luò)安全事件的同時,做好應(yīng)對網(wǎng)絡(luò)安全事件的準(zhǔn)備。
5船舶計算機網(wǎng)絡(luò)系統(tǒng)安全管理要求
5.1確定船舶網(wǎng)絡(luò)系統(tǒng)安全管理目標(biāo)
基于以上對船舶計算機網(wǎng)絡(luò)系統(tǒng)安全問題和可用性需求的分析,我們認(rèn)為解決網(wǎng)絡(luò)系統(tǒng)安全問題的最終目標(biāo)是:
通過船舶計算機網(wǎng)絡(luò)系統(tǒng)安全管理制度的制定,安全策略和安全管理框架的開發(fā),定制開發(fā)和部署適合船舶計算機網(wǎng)絡(luò)系統(tǒng)特點的安全管理系統(tǒng),確保船舶計算機網(wǎng)絡(luò)系統(tǒng)安全可靠的運行和受控合法的使用,滿足船舶管理信息系統(tǒng)正常運行、業(yè)務(wù)運營和日常管理的需要。
通過實施船舶計算機網(wǎng)絡(luò)系統(tǒng)安全技術(shù)措施,達到保護網(wǎng)絡(luò)系統(tǒng)的可用性,保護網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性,防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問,防范人為的有意或無意的攻擊與破壞,保護船上的各類信息通過局域網(wǎng)傳輸過程中的安全性、完整性、及時性,防范計算機病毒的侵害,實現(xiàn)系統(tǒng)快速恢復(fù),確保船舶計算機網(wǎng)絡(luò)的安全運行和有效管理。總體上從五方面考慮:
。1)針對管理級安全,建立一套完整可行的船舶計算機網(wǎng)絡(luò)系統(tǒng)安全管理制度,通過有效的貫徹實施和檢查考核,實現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全運行管理與維護;
。2)針對應(yīng)用級安全,加強船舶計算機網(wǎng)絡(luò)防病毒、防攻擊、漏洞管理、數(shù)據(jù)備份、數(shù)據(jù)加密、身份認(rèn)證等,采用適合的安全軟硬件,建設(shè)安全防護體系;
。3)針對系統(tǒng)級安全,加強對服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫的運行監(jiān)測,加強系統(tǒng)補丁的管理,通過雙機(或兩套系統(tǒng))的形式保證核心系統(tǒng)運行,當(dāng)發(fā)生故障時,能及時提供備用系統(tǒng)和恢復(fù);
(4)針對網(wǎng)絡(luò)級安全,保證船舶計算機網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)線路的運行穩(wěn)定,對核心層的網(wǎng)絡(luò)設(shè)備和線路提供雙路的冗余;
。5)針對級安全,保證船舶網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的安全和系統(tǒng)及時恢復(fù),加強信息和數(shù)據(jù)的備份和各類軟件介質(zhì)的。
5.2網(wǎng)絡(luò)系統(tǒng)安全配置原則
船舶計算機網(wǎng)絡(luò)系統(tǒng)是一套移動的計算機網(wǎng)絡(luò)系統(tǒng),沒有專業(yè)的安全管理人員,缺乏專業(yè)的安全管理能力;船舶數(shù)量多,船舶計算機網(wǎng)絡(luò)系統(tǒng)規(guī)模小和相對比較簡潔,因此,不能按照企業(yè)網(wǎng)絡(luò)的安全管理體系來構(gòu)建船舶計算機網(wǎng)絡(luò)系統(tǒng)的安全管理體系,必須制定實用的網(wǎng)絡(luò)安全設(shè)計原則。
需求、風(fēng)險、代價平衡的原則
對船舶計算機網(wǎng)絡(luò)系統(tǒng)進行切合實際的分析與設(shè)計,對系統(tǒng)可能面臨的威脅或可能承擔(dān)的風(fēng)險提出定性、定量的分析意見,并制定相應(yīng)的規(guī)范和措施,確定系統(tǒng)的安全策略。
綜合性、整體性、系統(tǒng)性原則
船舶計算機網(wǎng)絡(luò)系統(tǒng)安全是一個比較復(fù)雜的系統(tǒng)工程,從網(wǎng)絡(luò)系統(tǒng)的各層次、安全防范的各階段全面地進行考慮,既注重技術(shù)的實現(xiàn),又要加大管理的力度,制定具體措施。安全措施主要包括:法律手段、各種管理制度以及專業(yè)技術(shù)措施。
易于操作、管理和維護性原則
在現(xiàn)階段,船舶上不可能配備專業(yè)的計算機系統(tǒng)安全管理員,采用的安全措施和系統(tǒng)應(yīng)保證易于安裝、實施、操作、管理和維護,并盡可能不降低對船舶計算機網(wǎng)絡(luò)系統(tǒng)功能和性能的影響。
可擴展性、適應(yīng)性及靈活性原則
船舶計算機網(wǎng)絡(luò)安全管理系統(tǒng)必須組件化或模塊化,便于部署;安全策略配置靈活,具有較強的適應(yīng)性,能夠適應(yīng)各種船舶的計算機網(wǎng)絡(luò)系統(tǒng)復(fù)雜多樣的現(xiàn)狀;安全管理系統(tǒng)必須具有較好的可擴展性,便于未來進行安全功能的擴展。
標(biāo)準(zhǔn)化、分步實施、保護原則
依照計算機系統(tǒng)安全方面的有關(guān)法規(guī)與行業(yè)標(biāo)準(zhǔn)和企業(yè)內(nèi)部的標(biāo)準(zhǔn)及規(guī)定,使安全技術(shù)體系的建設(shè)達到標(biāo)準(zhǔn)化、規(guī)范化的要求,為拓展、升級和集中統(tǒng)一打好基礎(chǔ)。限于計算機系統(tǒng)安全理論與技術(shù)發(fā)展的原因和企業(yè)自身的資金能力,對不同情況的船舶要分期、分批建設(shè)一些整體的或區(qū)域的安全技術(shù)系統(tǒng),配置相應(yīng)的設(shè)施。因此,依據(jù)保護系統(tǒng)安全投資效益的基本原則,在合理規(guī)劃、建設(shè)新的網(wǎng)絡(luò)安全系統(tǒng)或投入新的網(wǎng)絡(luò)安全設(shè)施的同時,對現(xiàn)有網(wǎng)絡(luò)安全系統(tǒng)應(yīng)采取完善、整合的辦法,使其納入總體的網(wǎng)絡(luò)安全技術(shù)體系,發(fā)揮更好的效能,而不是排斥或拋棄。
5.3網(wǎng)絡(luò)安全管理的演進過程
建立、健全船舶計算機網(wǎng)絡(luò)系統(tǒng)安全管理體系,首先要建立一個合理的管理框架,要從整體和全局的視角,從信息系統(tǒng)的管理層面進行整體安全建設(shè),并從信息系統(tǒng)本身出發(fā),通過對船上信息資產(chǎn)的分析、風(fēng)險分析評估、網(wǎng)絡(luò)安全需求分析、安全策略開發(fā)、安全體系設(shè)計、標(biāo)準(zhǔn)規(guī)范制定、選擇安全控制措施等步驟,從整個網(wǎng)絡(luò)安全管理體系上來提出安全解決方案。
船舶計算機網(wǎng)絡(luò)系統(tǒng)安全管理體系的建設(shè)須按適當(dāng)?shù)某绦蜻M行,首先應(yīng)根據(jù)自身的業(yè)務(wù)性質(zhì)、組織特征、資產(chǎn)狀況和技術(shù)條件定義ISMS的總體方針和范圍,然后在風(fēng)險分析的基礎(chǔ)上進行安全評估,同時確定信息安全風(fēng)險管理制度,選擇控制目標(biāo),準(zhǔn)備適用性聲明。船舶計算機網(wǎng)絡(luò)系統(tǒng)安全管理體系的建立應(yīng)遵循PDCA的過程方法,必須循序漸進,不斷完善,持續(xù)改進。
6建立健全船舶計算機網(wǎng)絡(luò)安全管理制度
針對船舶計算機及網(wǎng)絡(luò)系統(tǒng)的安全,需要制定相關(guān)法規(guī),結(jié)合技術(shù)手段實現(xiàn)網(wǎng)絡(luò)系統(tǒng)安全管理。制度和流程制定主要包括以下幾個方面:
制定船舶計算機及網(wǎng)絡(luò)系統(tǒng)安全工作的總體方針、政策性文件和安全策略等,說明機構(gòu)安全工作的總體目標(biāo)、范圍、方針、原則、責(zé)任等;
對安全管理活動中的各類管理內(nèi)容建立安全管理制度,以規(guī)范安全管理活動,約束人員的行為方式;
對要求管理人員或操作人員執(zhí)行的日常管理操作,建立操作規(guī)程,以規(guī)范操作行為,防止操作失誤;
形成由安全政策、安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系;
由安全管理團隊定期組織相關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用性進行審定。
7
對于船舶計算機網(wǎng)絡(luò)安全按作者的經(jīng)驗可以針對不同類型、不同情況的具體船舶,可以結(jié)合實際需要和具體條件采取以下解決方案:
1.對于正在建造的船舶和準(zhǔn)備進廠修理的船舶,建議按照較高級別的計算機網(wǎng)絡(luò)安全方案進行實施,全面加固船舶計算機及網(wǎng)絡(luò)的可靠性、可恢復(fù)性和可維護性,包括配置冗余的網(wǎng)絡(luò)設(shè)備和建設(shè)備用的網(wǎng)絡(luò)線路。
2.對于正在營運的、比較新的船舶,建議按照中等級別的計算機網(wǎng)絡(luò)安全方案進行實施,若條件允許,則可以增加專用的安全管理服務(wù)器設(shè)備,更新或擴充升級原有的路由器或交換機。
3.對于其它具備計算機局域網(wǎng)、船齡比較長的船舶,建議按照較低級別的計算機網(wǎng)絡(luò)安全方案進行實施,不增加專用的安全管理服務(wù)器設(shè)備,主要目標(biāo)解決計算機網(wǎng)絡(luò)防病毒問題。
4.對于不具備計算機局域網(wǎng)的老舊船舶,可以進一步簡化安全問題解決方案,著重解決船舶管理信息系統(tǒng)服務(wù)器或單機的防病毒問題,以確保服務(wù)器或單機上的系統(tǒng)能夠正常運行使用。
參考文獻:
。1]中國長航南京油運股份有限公司SMIS項目實施總結(jié)報告
[2]http://www.njtc.com.cn/
【探析船舶計算機網(wǎng)絡(luò)系統(tǒng)與網(wǎng)絡(luò)安全管理】相關(guān)文章:
高校機房的網(wǎng)絡(luò)安全管理探析論文12-04
淺談計算機網(wǎng)絡(luò)系統(tǒng)的日常管理及維護12-03
醫(yī)院管理中計算機網(wǎng)絡(luò)系統(tǒng)的應(yīng)用12-03
計算機網(wǎng)絡(luò)管理技術(shù)探析03-15
探析計量管理中計算機技術(shù)的應(yīng)用03-14
探析校園網(wǎng)絡(luò)安全技術(shù)03-18
計算機軟件工程管理工作探析03-12
探析高校計算機機房開放性管理的措施及對策03-19