石萬勝：網絡攻擊將構成新的風險

DNV GL海事首席執行官石萬勝（Tor Svensen）

船舶和海工裝置越來越依賴程控系統。這些集成化、網絡化的解決方案正日益成為網絡威脅的目標。在今年的美國康州CMA航運論壇上，海事和海工行業的網絡安全再次成為包括美國海岸警衛隊、船東和船級社代表等與會者討論的焦點。

過去，船上主要的網絡區域通常是互相獨立的。最近情況發生了變化。“船舶和海工裝置的互相聯接程度越來越高”，在今年于美國康州斯坦福市舉辦的CMA論壇上，DNV GL海事首席執行官石萬勝（Tor Svensen）表示，“理論上，所有程控組件都有可能遭到網絡威脅，不管是輪機、導航還是通信系統。”

“這是一個弱點”，石萬勝介紹，“系統或者軟件出錯的原因有很多種--有可能是技術或人為錯誤造成，也可能源自網絡犯罪。”據石萬勝介紹，網絡攻擊將構成新的風險，有些不懷好意的人會利用那些已經存在的薄弱環節。業內已有發生網絡故障的先例，比如AIS（船舶自動識別系統）、ECDIS（電子海圖）和GPS（全球定位系統）的數據遭到篡改。就在去年，挪威能源和油氣行業發現了50多起網絡安全事件。

目前，為了提高保護、避免網絡攻擊，業界有不少事情可做，“DNV GL倡導應用其基于風險的方法來降低網絡風險”,石萬勝說。他同時建議，資產所有者和運營商應該考慮開展網絡風險自評、第三方評估、審計、測試和驗證，并建議把這些要求列入未來的法規。

網絡安全審計或稱為“網絡體檢”僅僅是一個開端。通過“回路硬件”（HIL）和網絡安全測試，DNV GL的Marine Cybernetics 部門提供針對典型網絡威脅的測試，如網絡風暴、網絡滲透、密碼攻擊、斷網和通信故障。

圍繞軟件依賴系統的整合，DNV GL于2009年推出了其名為“軟件依賴性系統整合（ISDS）”的標準。該標準最初是為了海工行業制訂的，之后不斷改進，現在ISDS有助于確保船舶的集成和獨立的控制系統運轉的可靠性和安全性。ISDS的要求確保了整個開發過程的質量控制，這意味著合成系統的設計更牢靠。

“如果您已經關注了軟件的完整性，安裝了數據保護，并通過如HIL測試或ISDS評估風險，您就為進一步提高網絡安全做好了充分準備。”

DNV GL在集成信息系統的風險方面經驗豐富，并有專業服務，并為如美國海岸警衛隊（USCG）等組織就構建一個監管框架提供了咨詢。最近，DNV GL憑借自身的專業實力和在海事、油氣及能源等跨行業的網絡安全知識，為USCG就《海事網絡安全標準指南》提供咨詢服務。“如果監管當局如USCG確立了網絡安全要求，DNV GL接下來將能很好地為規章做貢獻，制訂規范、船級符號、推薦操作規程和指導原則等”,石萬勝表示。