11月15日-18日,2024第二届中国海洋装备博览会在福州盛大举办,本届海装展紧扣“绿色智能 新质未来”主题,规模达10万平方米,吸引来自27个国家和地区及21个省市的近800家涉海知名企业、高校及科研院所参展,国际化与专业化水平显著提升,深度聚焦产业链和供应链协同创新、产学研合作、人才交流、经贸对接、成果转化,全方位展现我国海洋装备领域发展的最新成就,传递最新发展动态。
本届海装展同期举办超30场专业化、高质量、形式丰富的相关产业、技术领域专题论坛及系列科普体验活动。为落实“经略海洋”战略要求,顺应船舶行业数字化转型趋势,11月16日,中国船舶工业行业协会、中国船舶集团有限公司第七一四研究所共同举办 “海事网络安全论坛” ,围绕“共筑海事网络安全防线,护航全球航运新未来”的主题,汇聚行业精英力量,搭建交流海事网络安全现状、先进技术和经验的平台,共同推动海事网络安全事业的发展。
威努特联合创始人兼CTO黄敏受邀出席“海事网络安全论坛”并发表《面向海事网络韧性合规的新思路和技术创新》主旨演讲,全面剖析海事网络韧性的标准演进与船舶OT系统的特点,提出威努特海事网络韧性新思路,并介绍威努特海事网络安全产品的技术创新。
01
UR E26 & E27落地
海事行业迈入网络安全新纪元
随着船舶数字化、智能化发展的加速,越来越多的船载系统与设备面临网络攻击的威胁,国际船级社协会(IACS)推出了UR E26:《Cyber resilience of ships》(船舶网络韧性)以及UR E27:《Cyber resilience of on-board systems and equipment》(船载系统和设备的网络韧性)两组网络安全统一要求,适用于建造合同日期为2024年7月1日及之后的新造船。
UR E26参照美国国家标准与技术研究院(NIST)的网络安全框架(CSF),提出从识别、保护、检测、响应和恢复五个方面考虑网络安全问题,将船舶视为一个整体来实现网络韧性。
UR E27则是规范了船上系统和设备网络韧性的统一要求,主要参考国际标准IEC 62443-3-3提出对船载系统和设备的网络安全要求,对船载系统和设备供应商的安全开发生命周期要求则主要参考IEC 62443-4-1。
IEC 62443系列标准现为国际广泛采纳和认可的工业自动化及控制系统 (IACS)的信息安全标准。
02
船舶OT系统
面临的威胁与安全防护具备特殊性
基于上述网络韧性要求,实现船舶网络安全的核心在于保障重要船舶OT系统的安全,因其利用数据对船舶及设备的物理过程进行监测或控制,一旦遭受网络攻击,可能会对人员安全、船舶安全甚至海事环境造成严重危害。
与IT系统相比,OT系统对于性能、可用性、交互、操作系统、网络通信、生命周期以及物理环境等各方面都存在显著差异,需要相应的网络安全产品提供响应的能力,主要体现在具备高实时性、具备高可靠性设计、不能进行自动化的补丁更新、支持工业控制协议深度解析、不能依赖于频繁更新规则库、满足长达15-20年的生存期以及能够适应恶劣的工作环境。
进一步分析船舶OT系统面临的主要威胁,主要包括:
与其他网络的连接
U盘等移动存储介质
无线网络,包括WLAN、GRPS、LTE、微波等
远程维护链接
便携电脑等移动终端
供应链植入
基于船舶OT系统本身及其面临威胁的特殊性,对于船舶OT系统的安全防护,相比对IT系统的安全防护存在明显差异。首先,OT安全所需保护的核心资产是PLC、RTU、智能传感器等控制器;其次,OT安全的首要目标在于保证OT系统的可用性,以满足生产需求,然后才是对完整性和保密性的要求;再者,基于对系统连续性的高要求,OT安全的防护方向更侧重于强调对外来威胁的阻断,带漏洞运行是常态。
现有的IT安全技术(针对威胁的检测与阻断、针对漏洞的检测与修复),在OT网络环境中表现出不适应性,例如无法及时更新病毒库和规则库、不支持工业协议,硬件条件和寿命也不适用于工业环境。更重要的是,漏洞层出不穷、威胁推陈出新,被动跟随的防御方式存在滞后的局限性。
03
威努特提出
基于“OT网络白环境”的海事网络韧性新思路
参考国际先进国家的经验,美国网络安全和基础设施安全局(CISA)和美国能源部(DOE)从风险管理与网络安全治理、物理安全、ICS网络架构、ICS网络外围安全、主机安全、安全监测、供应链安全管理、人员因素等八个方面提出了工业控制系统的网络安全最佳实践,具有与传统的IT安全不一样的诸多策略,譬如在ICS网络架构方面提出尽量应用单向网闸隔离核心区域的外部访问,在ICS网络外围安全方面要求使用IP白名单策略,针对主机安全提出在HMI实施应用程序白名单,在安全监测方面提出度量ICS正常操作与网络流量的基线。此外,在美国国土安全部(DHS)提出的保护工业控制系统安全的七项战略中,“实施应用白名单”成为有效性最高的一项策略。
依据以上分析和研究,威努特提出如下海事网络韧性新思路。
基于“OT网络白环境”的海事韧性技术路线:
只有可信任的设备,才能接入OT网络
只有可信任的消息,才能在OT网络传输
只有可信任的软件,才允许在OT设备上执行
用“白名单”思想重新设计主机安全、网络安全等全线产品:
应用白名单,代替杀毒软件
工业防火墙,代替传统防火墙
工控网络异常检测,代替传统入侵检测
04
威努特海事网络安全产品的技术创新
为了落地海事网络韧性新思路,威努特在海事网络安全产品上做出了一系列技术创新:
白环境防护理念 - 空间+时间双重防护
威努特全线核心产品均采用“白名单”思想,不与攻击方在漏洞与攻击手段上进行追逐,而是关注正常的流量、控制指令等来建立模型,确保只有可信的信息、软件和设备允许通过。同时威努特引入“时间”的维度进行防护,如针对报文周期、序列号、长度、协议字段、时序逻辑进行检测。
高可靠性设计 - 硬件级配置只读
针对网络安全产品的管理控制中心被黑客突破的极端情况,为了避免安全防线全面失守,威努特为工业防火墙等安全设备增加物理锁进行硬件级的控制,当进入锁定状态,本地策略将不能被远程修改,以保证即便管理控制中心沦陷,其管理的网络安全产品依然能正常工作。
高可靠性设计 - 全方位保障业务传输不间断
另一个高可靠性的功能,体现在做好故障隔离。针对网络安全产品自身发生故障的可能性,为了避免影响船舶OT系统的正常运行,威努特在网络链路上设计了“bypass”机制,威努特工业防火墙全电口支持该机制,一旦发生故障即自我隔离,保障工业现场的业务不中断。
高可靠性设计 - 纯物理单向审计
工控安全监测与审计系统/入侵检测系统作为旁路部署产品,在特殊场景下也会产生安全风险,如一机多网导致原本物理隔离的网络被打通,或旁路设备故障时存在向交换机镜像口发包的流量倒灌风险。威努特采用物理层纯单向设计,在网口侧“去掉”发包功能,只能被动接收镜像流量,彻底杜绝上述风险隐患,真正做到对OT网络零影响。
多项核心功能构成安全计算环境的基石
在计算环境内部,依托于“应用白名单”核心功能,威努特可对OT系统的软件环境进行固化,进行严格的保护。锁定网络环境,只允许工业主机与特定服务器进行通信,检测非法网络连接,日志记录和告警;锁定系统,提供USB-key的组合认证,提升工业主机登录安全;锁定系统环境,提供强制访问控制模型,保护注册表、系统文件、关键进程;锁定系统环境,提供安全基线检查和加固功能,提升操作系统安全等级;锁定应用环境,自动扫描、跟踪软件安装及升级生成可执行程序白名单;锁定外设环境,经过认证的特定USB设备才可以在工业主机上运行。
移动存储介质全生命周期安全管控
针对船舶上U盘使用这一重大风险,威努特设计了移动介质安检站,对移动存储介质(U盘)进行安全体检,只对合格者放行。安检站会对检查合格的移动存储介质内嵌一个安全标记,所有没有安全标记的移动存储介质将在船舶OT系统中被阻止使用。这套机制可以有效避免人员携带U盘不遵守安全检查的乱象,不依赖于人工管理,保证船上的管理制度得到强制落地。
依托以上技术创新和产品设计,威特面向海事船舶领域发布四套解决方案,针对船厂和设计院,提供IACS UR E26 技术服务方案,覆盖图纸设计到试验全过程,同时提供IACS UR E26 产品解决方案,匹配全套网络安全产品;针对船载计算机系统(CBS)厂商,提供IACS UR E27 技术服务方案和IACS UR E27 产品解决方案,帮助CBS厂商取得UR E27证书,并全面满足UR E27提出的安全合规要求。
“海事网络安全论坛”的成功举办,为国际航运、港口码头运行、海洋装备研制和海事监管等关键领域的网络安全保障提供了创新思路和落地指引,以更好地应对全球海事面临的日益严峻的网络安全挑战。2024年是全面执行UR E26 & E27关键年,提升船舶网络韧性已经迫在眉睫,威努特深耕工控安全领域已逾十年,将扎根海事领域,与船东、船厂、设计院、CBS厂商及船级社一道,共筑海事安全新防线,护航全球航运新未来。
