作者 | 天地和兴工业网络安全研究院编译

海上运输对全球多地的经济可持续性至关重要。七名研究人员结合海事行业的最新技术，对船上系统和港口服务环境中的基础设施进行了分类，并对网络攻击进行了分类。由于全球导航卫星系统(GNSS)是许多海事基础设施的关键子类别，因此成为网络攻击的目标。物联网和大数据等新的支持技术的集成水平不断提高，推动了网络犯罪的急剧增加。然而，更大的系统集成通过促进自主船舶运营、更多地开发智能港口、降低人力水平、以及显著改善燃料消耗和服务效率，产生了更显著的商业价值。

海上运输对全球许多地区的经济可持续性至关重要。全球人口的增长、生活水平的提高、以及投资和贸易壁垒的消除都推动了对该行业的日益依赖。在拥有可通航河流或由岛屿群组成的地区，海上运输是国内和国际贸易的支柱。此外，在需要可持续发展、低成本、高效率以及最近日益重要的环保运营的市场中，海运部门负责所有货物运输的90%。物联网(IoT)、大数据和人工智能的最新发展使人们能够迁移到更加数字化的海事基础设施，因此有必要对网络安全条款进行重新评估。此外，连接性和对智能设备的依赖在激发网络犯罪方面发挥着关键作用，例如社会工程、身份盗窃和垃圾邮件。保护下一代海上基础设施的完整性是一项紧迫的需求。

通过自动识别系统(Automatic Identification System，AIS)、全球导航卫星系统(Global Navigation Satellite System，GNSS)和无线电探测和测距（Radio Detection and Ranging，RADAR）等导航系统的连通性对基础设施的安全水平产生负面影响。此外，航运公司遭受了高度复杂的新型网络攻击，攻击目标是港内信息系统和船上核心设备。对互联网的依赖、使用未受保护的计算机进行操作、以及工作人员没有接受适当的安全培训，进一步增加了网络入侵成功的可能性。有明确证据表明，缺乏针对整个供应链员工的结构化安全意识培训是漏洞的主要来源。因此，黑客可以使用垃圾邮件或拒绝服务(DoS)攻击等经典方法来实现成功入侵。近期需要制定一项安全计划，提出保护海上供应链的建议，并与国际海事组织共同协调战略。通过可移动媒体更新软件会增加窃取身份和端口数据的风险，以及使用物联网等新技术实时共享信息的风险加剧了由于不安全的网络服务或弱身份验证导致的风险。

Farah和Ukwandu等英国、埃及、法国、捷克、美国的七名研究人员对网络安全框架进行了全面回顾，并对海事行业内的网络攻击进行了分类。对船上设备/功能和港口服务的描述提供参考，并对两种操作环境中的基础设施进行了分类，进而为加强现有网络安全保护的最佳策略提供信息。文章回顾了近年来海事行业的重大网络攻击事件、对船上系统和港口服务环境中的基础设施进行了分类、对网络攻击的范围进行了分类、研究了船上和港口使用新技术的作用和影响、并阐述了海事行业数字化的发展趋势。

一、重大网络攻击事件

表1 重大网络攻击事件

二、海事基础设施分类

海事基础设施分为两个平台,船上平台和港口平台,每个平台的描述、组件之间的连接以及服务之间的关系如下图所示。

图1 船上及港口基础设施

(一）船上基础设施

新技术和智能通信设备已经并将继续推动行业内的进步。通过使用新技术来增强船舶设计和功能，可提高运营效率和安全水平、并提高对客户的服务质量。船上基础设施可分为两个系统，机电系统(Electro-Mechanical)和通信系统(Communications)。机电系统包括与发动机/动力相关的元素，其安全性取决于人工观察和预防性维护，通讯系统能够在港口和船舶之间交换信息，以促进行业内关键阶段流程的执行。

船上机电和电子组件/系统分为动力(Power)、安全(Security)和控制(Control)三类，控制确保船舶关键功能之间的协调。主要包括电源管理系统PMS、引擎、主配电盘、PLC、进水检测系统WIDS、船首推进器、紧急停机ESD、船用重油HFO处理系统、燃油系统FOS、润滑油系统LOS、启动空气系统SAS、陀螺罗盘、回声测深仪、电动起重机设备、导航灯、加载和稳定性计算机、淡水发电机、中央冷却水系统、垃圾焚烧厂、污水处理厂、空调设备、稳定器、锚和系泊绞车控制系统。

船上通信系统提供船舶要素之间的信息交换，主要包括内部沟通、网络、导航、雷达、乘客Wi-Fi或LAN、电视娱乐系统、电子信息系统、货物管理、自动识别系统AIS、船舶信息系统SIS。

自动识别系统(AIS)提供静态、动态和航行相关数据。因此船舶架构和传输的信号的映射对于识别其脆弱性至关重要。利用AIS中的漏洞并影响船舶的攻击的成功策略基于以下内容：识别漏洞、收集有关基础设施的信息绘、制信息系统的架构图。

电子设备的发展和军用通信技术的进步是高性能船舶信息系统(SIS)的核心，该系统改善了船舶的服务并提高了船舶的安全性。SIS主要包括传感器、网络架构、信息处理、信息传输。

船上组件可分为三类：电力电子元件(Power and Electronic Components)、通讯组件(CommunicationComponents)、服务与管理(Services and Management)。

表2 船上组件分类

(二）港口基础设施

港口是船舶和陆地之间的接口。货物和船舶运输和跟踪的管理和有效执行在很大程度上依赖于港内服务质量。港口是存储、装货卸货、停泊三类重要服务的所在地，包括船舶相关的所有服务、商业运输和追踪服务、以及与安全相关的一系列设施。

货物X射线扫描仪、电子摄像头、金属探测器是有效保障人员和声明安全的功能服务。起重机、拖船、疏浚船舶等港口作业设备也了利用新技术来改善服务提供。微型计算机和无线连接通信的使用实现了远程控制，但这也为黑客创造了新漏洞，使他们能够以恶意意图进行控制，从而造成重大损害。

港口社区系统PCS是一个为港口用户提供货物追踪和报关管理实时信息的平台。在港口运营的每个阶段，都可以在适当的时间随时访问最相关的信息，从而最大限度地减少延误、减少文书工作并提高服务质量。主要包括核心模块、货物模块、跟踪模块、泊位管理模块、存储分配模块、与其他运输方式的接口、计费模块、统计模块。

单窗口(Single Window)通过标准化与国际货物运输相关的服务和统一政府之间的规则来促进港口之间的通信，包括授权和认证。因为所有政府当局在海上运输方面都采用了相同的管理方法，从而在时间和成本上获得了可观的收益。单窗口通过消除国家之间在治理和信息系统方面的差异来优化国际海上贸易，是一个用于跟踪非法产品运输和限制可疑关系的正式系统。

港口/集装箱码头是货物运输的中间环境，是一个临时存储区，允许在船舶装载阶段之前准备集装箱。因此码头的管理对高效的集装箱运输至关重要。终端包括四个子系统：船到岸、转移、存储、交付和接收。

这些港口基础设施都可能成为黑客的攻击目标，从而造成重大伤害。

三、海事行业网络攻击

(一）船上网络攻击

AIS攻击。图2的流程图是自动指标共享(AIS)的信号处理步骤，提供了检查漏洞和捕获黑客行为的框架。通过计算帧校验序列(FCS)来识别数据，该流程图还提供了6位ITU-T循环冗余校验(CRC)多项式方程。黑客利用类似于目标AIS解码器计算出的FCS，在AIS接收器的适当无线电信道中传输消息，执行成功的欺骗攻击，可能导致船舶之间的碰撞。黑客可以更改定位，包括纬度、经度和高度，以及注入虚假信息。

图2 AIS解码

全球导航卫星系统(GNSS)：GPS(美国)、GLONASS(俄罗斯)、伽利略(欧盟)和北斗(中国)都属于全球导航卫星系统(GNSS)范畴。由于缺乏身份验证和加密，全球导航卫星系统容易受到网络攻击。虚假位置信息显著增加了碰撞的可能性，最著名的例子发生在黑海。GNSS欺骗攻击分两个步骤进行，先与卫星信号同步，然后增加发射信号的功率。最近有一种基于IRIDIUM卫星发送的解密环形警报(IRA)消息的GNSS检测方法，该方法保持了可接受的接收器复杂性和卫星信号可用性。

(二）港口网络攻击

鱼叉式网络钓鱼是最常见的攻击之一，通过包含可疑链接的电子邮件创建获取未经授权的访问。访问信息系统后，黑客安装键盘记录器以捕获登录名/密码，并确定各个工作人员的身份，从而构建端口状态的精确映射。尽管发生了大量鱼叉式网络钓鱼攻击，但由于海事部门的敏感性，港口管理者更愿意将报告保持在最低限度，因为违规行为不仅会影响个人的机密性，还会影响国家之间的经济关系。

分布式拒绝服务(DDoS)属于犯罪行为。港口信息系统被过度的流量淹没网络并拒绝访问其站点而受到损害，因此海运服务和跟踪货物的能力受到损害。研究人员通过使用仿真评估了DDoS攻击对网络物理海事系统的影响。仿真包括一个传播、控制器和一个闸门，模拟攻击针对这些不同元素之间的通信，并且执行此操作超过了时间安全限制。

端口扫描。攻击者使用经典的扫描技术验证最易受攻击的网络端口。目标是发现服务的状态，定义访问数据库的最佳策略并确定哪些用户监控服务。在最高级别，攻击者使用IP碎片来混淆防火墙，从而绕过数据包过滤器。另一种技术是基于询问开放的用户数据报协议端口，即OSI模型层的第四层传输层，通过测试多个协议和其他端口来扫描IP地址。黑客使用的测试模型是随机生成的。TCP包装器是首选，以减轻此类攻击，使网络管理员能够根据IP地址允许或阻止服务器访问。

供应链。供应链攻击集中在通过端到端网络中最脆弱的部分造成损害。从始发地到最终目的地的国际航运依赖于集装箱跟踪、保证和国际授权的关键流程和利益相关者。攻击者可利用供应链中的漏洞来修改关键信息，从而改变集装箱的目的地。

社会工程学。一般来说，社会工程攻击依赖于利用人类的好奇心或内疚来执行恶意行为。对人类行为的研究是成功攻击的核心。社交媒体或即时消息使用模式是黑客收集港口网络活动信息的一种手段。例如黑客可以通过Facebook/Instagram创建虚假身份来获取关键信息。其他类型的社会工程攻击包括诱饵和交换。安全管理员通过USB进行软件更新通常是安装恶意软件的手段，恶意软件是黑客用来获取系统访问权限的文件。基于严格应用的安全策略的保护是减轻此类攻击的唯一方法。

恶意软件勒索软件/木马。通常此类攻击的目的是通过针对联网计算机来破坏信息系统或服务器。2019年7月8日，针对美国船只的攻击导致关键凭证挖掘。海岸警卫队和联邦调查局报告称，船只缺乏安全策略是造成此类攻击的主要原因。船上的所有船员共享船上计算机的相同登录名和密码。此外，外部设备的使用和防病毒软件保护的缺乏为黑客的任务提供了便利。另一个例子是2017年6月27日名为Petya的攻击，影响了欧洲和印度的计算机服务器。加密恶意软件针对马士基航运公司的所有服务，影响了17个码头，并造成超过2亿美元的损失。该攻击通过感染其主引导记录(MBR)破坏了计算机操作系统。

四、海事行业物联网

国际海事组织IMO制定了《国际安全管理规范》(ISM)和《国际船舶和港口设施安全规范》(ISPS)，这些规范是确保航运和港口安全运营所遵循的标准，还包括岸上和船上人员的安全操作规范。海事行业最近采用了新技术，旨在优化向数字化的演变。部署物联网(IoT)可通过互联网将“对象”互连来交换数据。在海运业中，连接的对象主要是监测操作设备和环境传感器。一些适当的传感器已部署在船舶和港口作业中，以降低因疏忽导致重要部件故障的风险，并提高关键实践的效率。更广泛的监测提供了实时信息，例如货物温度、气体排放和其他重要数据，可以为优化运营提供信息，从而降低维护成本，并提高整个生态系统的安全性。然而，对数据和复杂网络连接的日益依赖导致了网络攻击者利用新漏洞来发起攻击。

1、物联网对船舶及港口的影响

传感器和执行器在船舶自动化系统中发挥着重要作用，是驾驶台、发动机和推进控制系统物理组件的组成部分。生成的数据是船上关键系统的核心，尤其是集成驾驶台控制和自主发动机监控控制器。由多个数据流支持的可视化和分析为整个船上操作提供信息，全面了解关键系统组件和相关的物联网设备及其互连。然而随着自动化水平的提高会产生新的安全漏洞。

2、数据和物联网

最近使用物联网收集数据的速度加快。有大量证据表明，在安全关键型工业应用中使用工业物联网(IIoT)的好处。大数据分析工具现已被证明可以提高海事行业的生产力。获取更多信息的能力是获取大量数据的实用方法，从而能够控制物理资源、流程和环境。

3、物联网设备的攻击面

与物联网相关的网络攻击的类型在很大程度上取决于物联网技术的实施、架构设计和组件操作方式、以及协议和应用领域。此外，物联网的漏洞暴露只能通过了解组件的相互依赖关系、优势和劣势来破译。

物联网攻击面是攻击者可以利用以获得授权访问的系统的所有区域，从而改变最初设计的行为、窃取或破坏数据、获得基本的先验知识，以帮助识别系统易受攻击的潜在类型，然后获得最佳策略。攻击面示例包括：利用任何网络层协议漏洞的网络链接、通过应用层协议漏洞的应用链接、网络设计缺陷、和弱密码密钥管理。

由于来自云端的双向数据存储和检索方法，物联网存在固有的安全挑战。一旦这种访问和检索行动线受到损害，整个系统就会受到损害。基于物联网的攻击的例子是一种自我传播的勒索软件蠕虫LogicLocker，通过PLC启用。另一个例子包括对支持物联网的现场设备的攻击，例如自动油箱计量器(ATG)和小型SCADA系统，这些系统监控油箱库存水平，并在检测到燃油泄漏时发出警报。

五、发展趋势

海事行业不断提高的数字化水平迁移无疑会带来好处。数据驱动应用程序带来的业务好处包括：将通常依赖传统方法的模拟操作转变为优化货物处理的更简化操作；改善海运采购和物流流程反映了许多其他行业的趋势。此外，它为提高效率、增长、创新、安全和竞争优势提供了基础，同时最大限度地减少环境的负面影响。数字化的实施依赖于区块链和大数据、实时控制、人工智能、自动车辆和机器人等技术，网络连接、通信、虚拟现实和物联网(IoT)。加快采用的关键是在整个行业的利益相关者之间共享知识和经验，以便灌输新的工作方法，优化客户参与界面和服务交付。

图3 海事行业数字化

六、结论

研究人员将海事行业基础设施中的组件、系统和服务作为基础，确定了全球关键基础设施中未来可能实施的网络犯罪。研究人员将网络攻击进行了分类，并在其影响在最先进技术的背景下在每个核心子基础设施中被量化。随着港口服务和自主船舶智能化水平的不断提高，需要建立新的网络安全协议和加强保护实践。有明确证据表明，如果关键信息系统没有得到充分保护，每个港口或船只都面临网络攻击的风险。新技术部署的激增以及最关键运营基础设施内的漏洞范围随之增加，进一步加剧了这一挑战。因此，未经授权的访问和新型网络攻击的重大风险暴露增加。

实现更强大的网络保护的一个重要方面是提高整个社区的网络安全意识。为了提高认识，应建立法律框架和更新的保险方法，以进一步加强对网络威胁的解决方案。此外，所有网络安全问题都应在利益相关者内部透明化，以增加理解，进而促进集体实践的发展。应在整个供应链中传达新网络攻击的细节和影响，以获取信息。港口可接受治理实践的整合，以及通用安全协议的采用，将进一步降低网络攻击成功的可能性，并为有效的保护策略提供信息。

未来仍然存在众多挑战，制定自主船舶数字服务标准化计划是最紧迫的。此外，必须为该行业的经济可持续性定义一个新的安全标准，以减少针对自主船舶和智能港口的网络攻击的数量和范围。

参考资源：

Farah, Ukwandu, Hindy, Brosset, Bures, Andonovic, Bellekens, CyberSecurity in the Maritime Indusrty: A Systematic Survey of Recent Advances andFuture Trends, January 2022

声明：本文来自网络安全应急技术国家工程实验室，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。