探析船舶計算機網(wǎng)絡(luò )系統與網(wǎng)絡(luò )安全管理

　　論文關(guān)鍵詞：船舶　網(wǎng)絡(luò )系統　網(wǎng)絡(luò )安全

　　論文摘要：本文對船舶系統的安全現狀和問(wèn)題原因進(jìn)行了概括性的敘述，對網(wǎng)絡(luò )安全的需求進(jìn)行了研究分析。從實(shí)施船舶計算機網(wǎng)絡(luò )系統安全管理的現實(shí)條件和實(shí)際要求出發(fā)，提出了船舶計算機網(wǎng)絡(luò )系統安全管理的策略和解決方案，針對不同情況的船舶提出了相應的實(shí)施建議。 

　　1引言
　　進(jìn)入二十一世紀以來(lái)，隨著(zhù)船舶自動(dòng)化和信息化程度不斷提高，船舶計算機網(wǎng)絡(luò )系統及其應用得到了迅速發(fā)展。越來(lái)越多的新造船舶采用計算機網(wǎng)絡(luò )技術(shù)將船舶輪機監控系統、航海駕駛智能化系統、船舶管理信息系統（SMIS）等應用納入一個(gè)統一的網(wǎng)絡(luò )系統，實(shí)現船岸管控一體化。
　　在我司近幾年建造的4萬(wàn)噸級以上的油輪上，普遍安裝了計算機局域網(wǎng)。一方面，計算機網(wǎng)絡(luò )用于傳輸船上動(dòng)力裝置監測系統與船舶航行等實(shí)時(shí)數據；另一方面，計算機網(wǎng)絡(luò )用于船舶管理信息系統（功能包括船舶機務(wù)、采購、海務(wù)、安全、體系管理與油輪石油公司檢查管理）并通過(guò)網(wǎng)絡(luò )中船舶通訊計算機實(shí)現船岸間的數據交換，實(shí)現船岸資源共享，有利于岸基他船舶管理人員對船舶的監控與業(yè)務(wù)。前者屬于實(shí)時(shí)系統應用，后者屬于船舶日常管理系統應用，在兩種不同類(lèi)型的網(wǎng)絡(luò )應用（子網(wǎng)）之間采用網(wǎng)關(guān)進(jìn)行隔離。目前，船舶計算機網(wǎng)絡(luò )系統采用的硬件設備和軟件系統相對簡(jiǎn)單，因此，船舶計算機網(wǎng)絡(luò )的安全基礎比較薄弱。隨著(zhù)船齡的不斷增長(cháng)，船上計算機及網(wǎng)絡(luò )設備逐漸老化；并且，船上沒(méi)有配備專(zhuān)業(yè)的人員負責計算機網(wǎng)絡(luò )和設備的運行維護和管理工作，所以船舶計算機及網(wǎng)絡(luò )的技術(shù)狀況比較差，影響各類(lèi)系統的正常使用與船岸數據的交換。究其原因，除了網(wǎng)絡(luò )設備和網(wǎng)絡(luò )線(xiàn)路故障問(wèn)題之外，大多數問(wèn)題是因各類(lèi)病毒與管理不善等原因所引起的。
　　2船舶計算機網(wǎng)絡(luò )架構
　　目前在船舶上普遍采用以太網(wǎng)，船舶局域網(wǎng)大多采用星型結構。
　　有些船舶已經(jīng)在所有船員房間布設了局域網(wǎng)網(wǎng)線(xiàn)，而有些船舶只是在高級船員房間布設了計算機局域網(wǎng)網(wǎng)線(xiàn)。圖表1是一艘30萬(wàn)噸超級油輪（VLCC）的計算機局域網(wǎng)結構圖。
　　 圖表2 是 船舶計算機網(wǎng)絡(luò )拓撲結構圖。其中，局域網(wǎng)服務(wù)器采用HP COMPAQ DX7400（PENTIUM DUAL E2160/1.8GHZ/DDR2 512M/80G）；網(wǎng)關(guān)采用INDUSTRIAL COMPUTER 610（P4 2.8GHZ/DDR333 512M/80G）；交換機采用D-LINK DES-1024D快速以太網(wǎng)交換機（10/100M 自適應，工作在二層應用層級）。
　　3船舶計算機網(wǎng)絡(luò )系統的安全問(wèn)題
　　2005年以來(lái)，有很多的船舶管理公司推進(jìn)實(shí)施船舶管理信息系統。對于遠洋船舶來(lái)說(shuō)，船上需要安裝使用船舶管理信息系統的船舶版軟件。大多數的船舶版軟件都是采用客戶(hù)端/服務(wù)器兩層架構，高級船員的辦公計算機作為客戶(hù)端，通過(guò)聯(lián)網(wǎng)使用船舶管理信息系統。船上的船舶管理信息系統通過(guò)郵件（一般采用AMOS MAIL或Rydex電子郵件）與岸基的船舶管理信息系統交換數據，實(shí)現船、岸船舶數據庫的數據同步。
　　根據了解，目前船舶計算機網(wǎng)絡(luò )最主要的問(wèn)題（也是最突出的現狀）是安全性和可用性達不到船舶管理信息系統運行使用的基本要求。船舶管理信息系統數據庫服務(wù)器與郵件服務(wù)器之間，以及船員的辦公計算機與船舶管理信息系統數據庫服務(wù)器之間經(jīng)常無(wú)法聯(lián)通。經(jīng)過(guò)上船檢查發(fā)現，影響船舶計算機網(wǎng)絡(luò )系統正常運行的主要原因是計算機病毒。大多數船舶的辦公計算機采用微軟操作系統，一方面沒(méi)有打補丁，另一方面尚未采取有效的防病毒措施，比如沒(méi)有安裝單機版或網(wǎng)絡(luò )版防病毒軟件。有些船舶雖然安裝了防病毒軟件，但是因為不能及時(shí)進(jìn)行防毒軟件升級和病毒庫更新，所以無(wú)法查殺新病毒或新的變種病毒等，從而失去防病毒作用。經(jīng)過(guò)分析，船上計算機病毒的主要來(lái)源是：（1）在局域網(wǎng)中的計算機上使用了帶有病毒的光盤(pán)、優(yōu)盤(pán)、移動(dòng)硬盤(pán)等存儲介質(zhì)；（2）將帶有病毒的筆記本電腦接入了船上的局域網(wǎng)；（3）在局域網(wǎng)中的計算機上安裝有無(wú)線(xiàn)上網(wǎng)卡，通過(guò)無(wú)線(xiàn)上網(wǎng)（沿海航行或�？扛劭跁r(shí)）引入了病毒/蠕蟲(chóng)/木馬/惡意代碼等。
　　為了解決上述問(wèn)題，有的企業(yè)在船舶辦公計算機上安裝了硬盤(pán)保護卡；也有一些企業(yè)在船舶辦公計算機上安裝了“一鍵恢復”軟件；另外還有企業(yè)開(kāi)始在船舶計算機網(wǎng)絡(luò )系統中安裝部署專(zhuān)業(yè)的安全管理系統軟件和網(wǎng)絡(luò )版防病毒軟件。
　　若要從根本上增強船舶計算機網(wǎng)絡(luò )系統的安全性和可用性，則需要考慮以下條件的限制：（1）船上的計算機網(wǎng)絡(luò )架構在出廠(chǎng)時(shí)已經(jīng)固定，除非船舶正在建造或者進(jìn)廠(chǎng)修理，否則，凡是處于運營(yíng)狀態(tài)的船舶，不可能立即為船舶管理信息系統專(zhuān)門(mén)建設一個(gè)上獨立的計算機局域網(wǎng)。（2）限于資金投入和船上安裝場(chǎng)所等原因，船上的計算機網(wǎng)絡(luò )設備或設施在短期內也不可能無(wú)限制按需增加。（3）從技術(shù)管理的角度看，在現階段，船舶仍不可能配備具有專(zhuān)業(yè)水平的網(wǎng)絡(luò )人員對計算機網(wǎng)絡(luò )系統進(jìn)行管理。（4）因衛星通道和通信費用等原因，遠洋船舶的辦公計算機操作系統（微軟Windows 系列）不可能從因特網(wǎng)下載補丁和打補��；船舶局域網(wǎng)中的防病毒軟件和病毒庫不可能及時(shí)升級和更新�？傮w上看，解決船舶計算機網(wǎng)絡(luò )安全方面的問(wèn)題，與陸地上確實(shí)有許多不同之處。
　　4船舶計算機網(wǎng)絡(luò )系統的安全需求分析
　　為提高船舶計算機網(wǎng)絡(luò )系統的可用性，即船舶計算機網(wǎng)絡(luò )系統任何一個(gè)組件發(fā)生故障，不管它是不是硬件，都不會(huì )導致網(wǎng)絡(luò )、系統、應用乃至整個(gè)網(wǎng)絡(luò )系統癱瘓,為此需要增強船舶計算機網(wǎng)絡(luò )系統的可靠性、可恢復性和可維護性。其中:（1）可靠性是指針對船舶上的溫度、濕度、有害氣體等，提高網(wǎng)絡(luò )設備和線(xiàn)路的技術(shù)要求，有關(guān)的設計方案在船舶建造和船舶修理時(shí)進(jìn)行實(shí)施和實(shí)現。（2）可恢復性，是指船舶計算機網(wǎng)絡(luò )中任一設備或網(wǎng)段發(fā)生故障而不能正常工作時(shí)，依靠事先的設計，網(wǎng)絡(luò )系統自動(dòng)將故障進(jìn)行隔離。（3）可維護性，是指通過(guò)對船舶計算機網(wǎng)絡(luò )系統和網(wǎng)絡(luò )的在線(xiàn)管理，及時(shí)發(fā)現異常情況，使問(wèn)題或故障能夠得到及時(shí)處理。
　　研究解決船舶計算機網(wǎng)絡(luò )系統安全管理問(wèn)題，必須考慮現實(shí)的條件和實(shí)現的�？偟脑瓌t是：方案簡(jiǎn)潔、技術(shù)成熟；性好、實(shí)用性強；易于實(shí)施、便于維護。因此，在盡量利用現有設備和設施、擴充或提高計算機及網(wǎng)絡(luò )配置、增加必要的安全管理系統軟件、嚴格控制增加設備的前提下，通過(guò)采用域劃分、病毒防殺、補丁管理、網(wǎng)絡(luò )準入、外設接口管理、終端應用軟件管理和移動(dòng)存儲介質(zhì)管理等手段，以解決船舶計算機網(wǎng)絡(luò )系統最主要的安全問(wèn)題。
　　在對船舶計算機網(wǎng)絡(luò )采取安全防護技術(shù)措施的同時(shí)，還需要制定船舶計算機網(wǎng)絡(luò )系統安全管理制度；定制船舶計算機網(wǎng)絡(luò )系統安全策略和安全管理框架；對船員進(jìn)行計算機及網(wǎng)絡(luò )系統安全知識，增強船員遵守公司制定的計算機網(wǎng)絡(luò )安全管理規定的意識和自覺(jué)性。
　�。�1）加強船舶計算機病毒的防護，建立全面的多層次的防病毒體系，防止病毒的攻擊；
　�。�2）采用專(zhuān)用的設備和設施實(shí)現船舶安全策略的強制執行，配合防毒軟件的部署與應用;
　�。�3）加強船舶計算機網(wǎng)絡(luò )管理，通過(guò)桌面管理工具實(shí)現船舶計算機網(wǎng)絡(luò )運行的有效控制;
　�。�4）制定相關(guān)的網(wǎng)絡(luò )安全防護策略，以及網(wǎng)絡(luò )安全事件應急響應與恢復策略，在正常網(wǎng)絡(luò )安全事件的同時(shí)，做好應對網(wǎng)絡(luò )安全事件的準備。
　　5船舶計算機網(wǎng)絡(luò )系統安全管理要求
　　5.1確定船舶網(wǎng)絡(luò )系統安全管理目標
　　基于以上對船舶計算機網(wǎng)絡(luò )系統安全問(wèn)題和可用性需求的分析，我們認為解決網(wǎng)絡(luò )系統安全問(wèn)題的最終目標是：
　　通過(guò)船舶計算機網(wǎng)絡(luò )系統安全管理制度的制定，安全策略和安全管理框架的開(kāi)發(fā)，定制開(kāi)發(fā)和部署適合船舶計算機網(wǎng)絡(luò )系統特點(diǎn)的安全管理系統，確保船舶計算機網(wǎng)絡(luò )系統安全可靠的運行和受控合法的使用，滿(mǎn)足船舶管理信息系統正常運行、業(yè)務(wù)運營(yíng)和日常管理的需要。
　　通過(guò)實(shí)施船舶計算機網(wǎng)絡(luò )系統安全技術(shù)措施，達到保護網(wǎng)絡(luò )系統的可用性，保護網(wǎng)絡(luò )系統服務(wù)的連續性，防范網(wǎng)絡(luò )資源的非法訪(fǎng)問(wèn)及非授權訪(fǎng)問(wèn)，防范人為的有意或無(wú)意的攻擊與破壞，保護船上的各類(lèi)信息通過(guò)局域網(wǎng)傳輸過(guò)程中的安全性、完整性、及時(shí)性，防范計算機病毒的侵害，實(shí)現系統快速恢復，確保船舶計算機網(wǎng)絡(luò )的安全運行和有效管理�？傮w上從五方面考慮：
　�。�1）針對管理級安全，建立一套完整可行的船舶計算機網(wǎng)絡(luò )系統安全管理制度，通過(guò)有效的貫徹實(shí)施和檢查考核，實(shí)現網(wǎng)絡(luò )系統的安全運行管理與維護；
　�。�2）針對應用級安全，加強船舶計算機網(wǎng)絡(luò )防病毒、防攻擊、漏洞管理、數據備份、數據加密、身份認證等，采用適合的安全軟硬件，建設安全防護體系；
　�。�3）針對系統級安全，加強對服務(wù)器、操作系統、數據庫的運行監測，加強系統補丁的管理，通過(guò)雙機（或兩套系統）的形式保證核心系統運行，當發(fā)生故障時(shí)，能及時(shí)提供備用系統和恢復；
　�。�4）針對網(wǎng)絡(luò )級安全，保證船舶計算機網(wǎng)絡(luò )設備、網(wǎng)絡(luò )線(xiàn)路的運行穩定，對核心層的網(wǎng)絡(luò )設備和線(xiàn)路提供雙路的冗余；
　�。�5）針對級安全，保證船舶網(wǎng)絡(luò )系統數據的安全和系統及時(shí)恢復，加強信息和數據的備份和各類(lèi)軟件介質(zhì)的。
　　5.2網(wǎng)絡(luò )系統安全配置原則
　　船舶計算機網(wǎng)絡(luò )系統是一套移動(dòng)的計算機網(wǎng)絡(luò )系統，沒(méi)有專(zhuān)業(yè)的安全管理人員，缺乏專(zhuān)業(yè)的安全管理能力；船舶數量多，船舶計算機網(wǎng)絡(luò )系統規模小和相對比較簡(jiǎn)潔，因此，不能按照企業(yè)網(wǎng)絡(luò )的安全管理體系來(lái)構建船舶計算機網(wǎng)絡(luò )系統的安全管理體系，必須制定實(shí)用的網(wǎng)絡(luò )安全設計原則。
　　需求、風(fēng)險、代價(jià)平衡的原則
　　對船舶計算機網(wǎng)絡(luò )系統進(jìn)行切合實(shí)際的分析與設計，對系統可能面臨的威脅或可能承擔的風(fēng)險提出定性、定量的分析意見(jiàn)，并制定相應的規范和措施，確定系統的安全策略。
　　綜合性、整體性、系統性原則
　　船舶計算機網(wǎng)絡(luò )系統安全是一個(gè)比較復雜的系統工程，從網(wǎng)絡(luò )系統的各層次、安全防范的各階段全面地進(jìn)行考慮，既注重技術(shù)的實(shí)現，又要加大管理的力度，制定具體措施。安全措施主要包括：法律手段、各種管理制度以及專(zhuān)業(yè)技術(shù)措施。
　　易于操作、管理和維護性原則
　　在現階段，船舶上不可能配備專(zhuān)業(yè)的計算機系統安全管理員，采用的安全措施和系統應保證易于安裝、實(shí)施、操作、管理和維護，并盡可能不降低對船舶計算機網(wǎng)絡(luò )系統功能和性能的影響。
　　可擴展性、適應性及靈活性原則
　　船舶計算機網(wǎng)絡(luò )安全管理系統必須組件化或模塊化，便于部署；安全策略配置靈活，具有較強的適應性，能夠適應各種船舶的計算機網(wǎng)絡(luò )系統復雜多樣的現狀；安全管理系統必須具有較好的可擴展性，便于未來(lái)進(jìn)行安全功能的擴展。
　　標準化、分步實(shí)施、保護原則
　　依照計算機系統安全方面的有關(guān)法規與行業(yè)標準和企業(yè)內部的標準及規定，使安全技術(shù)體系的建設達到標準化、規范化的要求，為拓展、升級和集中統一打好基礎。限于計算機系統安全理論與技術(shù)發(fā)展的原因和企業(yè)自身的資金能力，對不同情況的船舶要分期、分批建設一些整體的或區域的安全技術(shù)系統，配置相應的設施。因此，依據保護系統安全投資效益的基本原則，在合理規劃、建設新的網(wǎng)絡(luò )安全系統或投入新的網(wǎng)絡(luò )安全設施的同時(shí)，對現有網(wǎng)絡(luò )安全系統應采取完善、整合的辦法，使其納入總體的網(wǎng)絡(luò )安全技術(shù)體系，發(fā)揮更好的效能，而不是排斥或拋棄。
　　5.3網(wǎng)絡(luò )安全管理的演進(jìn)過(guò)程
　　建立、健全船舶計算機網(wǎng)絡(luò )系統安全管理體系，首先要建立一個(gè)合理的管理框架，要從整體和全局的視角，從信息系統的管理層面進(jìn)行整體安全建設，并從信息系統本身出發(fā)，通過(guò)對船上信息資產(chǎn)的分析、風(fēng)險分析評估、網(wǎng)絡(luò )安全需求分析、安全策略開(kāi)發(fā)、安全體系設計、標準規范制定、選擇安全控制措施等步驟，從整個(gè)網(wǎng)絡(luò )安全管理體系上來(lái)提出安全解決方案。
　　船舶計算機網(wǎng)絡(luò )系統安全管理體系的建設須按適當的程序進(jìn)行，首先應根據自身的業(yè)務(wù)性質(zhì)、組織特征、資產(chǎn)狀況和技術(shù)條件定義ISMS的總體方針和范圍，然后在風(fēng)險分析的基礎上進(jìn)行安全評估，同時(shí)確定信息安全風(fēng)險管理制度，選擇控制目標，準備適用性聲明。船舶計算機網(wǎng)絡(luò )系統安全管理體系的建立應遵循PDCA的過(guò)程方法，必須循序漸進(jìn)，不斷完善，持續改進(jìn)。
　　6建立健全船舶計算機網(wǎng)絡(luò )安全管理制度
　　針對船舶計算機及網(wǎng)絡(luò )系統的安全，需要制定相關(guān)法規，結合技術(shù)手段實(shí)現網(wǎng)絡(luò )系統安全管理。制度和流程制定主要包括以下幾個(gè)方面：
　　制定船舶計算機及網(wǎng)絡(luò )系統安全工作的總體方針、政策性文件和安全策略等，說(shuō)明機構安全工作的總體目標、范圍、方針、原則、責任等；
　　對安全管理活動(dòng)中的各類(lèi)管理內容建立安全管理制度，以規范安全管理活動(dòng)，約束人員的行為方式；
　　對要求管理人員或操作人員執行的日常管理操作，建立操作規程，以規范操作行為，防止操作失誤；
　　形成由安全政策、安全策略、管理制度、操作規程等構成的全面的信息安全管理制度體系；
　　由安全管理團隊定期組織相關(guān)部門(mén)和相關(guān)人員對安全管理制度體系的合理性和適用性進(jìn)行審定。
　　7
　　對于船舶計算機網(wǎng)絡(luò )安全按作者的經(jīng)驗可以針對不同類(lèi)型、不同情況的具體船舶，可以結合實(shí)際需要和具體條件采取以下解決方案：
　　1.對于正在建造的船舶和準備進(jìn)廠(chǎng)修理的船舶，建議按照較高級別的計算機網(wǎng)絡(luò )安全方案進(jìn)行實(shí)施，全面加固船舶計算機及網(wǎng)絡(luò )的可靠性、可恢復性和可維護性，包括配置冗余的網(wǎng)絡(luò )設備和建設備用的網(wǎng)絡(luò )線(xiàn)路。
　　2.對于正在營(yíng)運的、比較新的船舶，建議按照中等級別的計算機網(wǎng)絡(luò )安全方案進(jìn)行實(shí)施，若條件允許，則可以增加專(zhuān)用的安全管理服務(wù)器設備，更新或擴充升級原有的路由器或交換機。
　　3.對于其它具備計算機局域網(wǎng)、船齡比較長(cháng)的船舶，建議按照較低級別的計算機網(wǎng)絡(luò )安全方案進(jìn)行實(shí)施，不增加專(zhuān)用的安全管理服務(wù)器設備，主要目標解決計算機網(wǎng)絡(luò )防病毒問(wèn)題。
　　4.對于不具備計算機局域網(wǎng)的老舊船舶，可以進(jìn)一步簡(jiǎn)化安全問(wèn)題解決方案，著(zhù)重解決船舶管理信息系統服務(wù)器或單機的防病毒問(wèn)題，以確保服務(wù)器或單機上的系統能夠正常運行使用。 　　
　　
　　參考文獻：
　�。�1］中國長(cháng)航南京油運股份有限公司SMIS項目實(shí)施總結報告
　�。�2］http://www.njtc.com.cn/

【探析船舶計算機網(wǎng)絡(luò )系統與網(wǎng)絡(luò )安全管理】相關(guān)文章：

高校機房的網(wǎng)絡(luò )安全管理探析論文12-04

淺談?dòng)嬎銠C網(wǎng)絡(luò )系統的日常管理及維護12-03

醫院管理中計算機網(wǎng)絡(luò )系統的應用12-03

計算機網(wǎng)絡(luò )管理技術(shù)探析03-15

探析計量管理中計算機技術(shù)的應用03-14

探析校園網(wǎng)絡(luò )安全技術(shù)03-18

計算機軟件工程管理工作探析03-12

探析高校計算機機房開(kāi)放性管理的措施及對策03-19

計算機電子信息技術(shù)及工程管理探析11-30