国际船级社协会（IACS）对船舶网络安全的最新统一要求

随着网络技术在智能航运及船舶安全和防污染关键系统设备中的广泛运用，船载计算机系统互联可靠性给航行安全和水上环境带来新的挑战。如何化解可能存在的船舶重大网络安全风险日益成为水上交通运输行业急需解决的问题之一。

近日，国际船级社协会（IACS）为了使船舶能够抵御网络事故，增强船舶网络安全的韧性，发布了两项新的统一要求（Unified Requirements）——UR E26和UR E27，并将在2024年1月1日及之后签订建造合同的新造船舶上实施。这些要求需要包括船东/公司、船舶设计师/船厂、系统集成商、供应商、船级社等在内的利益相关方在船舶设计、建造和营运期间履行相关的责任。那么，这些新要求的具体内容是什么呢？ 

01  UR E26

UR E26以船舶作为网络弹性的集体实体为目标，旨在确保在船舶的设计、建造、调试和使用寿命期间，将操作技术（OT）和信息技术（IT）设备安全地集成到船舶网络中。其主要涵盖五个关键方面：设备识别、保护、攻击检测、响应和恢复。

UR E26适用范围

1. 船舶操控系统（OT: Operational Technology System）。用于收集全船设备运行数据、控制或者监控设备运行进程的计算机系统（OBS：Computer-based System），其一旦遭受网络事件，可能会对海上人命、财产和环境安全带来威胁。特别是下列设备的OBS使用：

① 推进系统

② 舵机系统

③ 锚泊和系泊系统

④ 发电和配电系统

⑤ 探火和灭火系统

⑥ 货物操作系统

⑦ 污水和压载水操作系统、装卸货控制系统、配载计算机

⑧ 洗涤控制系统和其他需要遵守国际规则和船级社防止环境污染要求的设备系统

⑨ 水密完整性和进水探测系统

⑩ 灯光系统（应急照明、航行灯等）&其他船舶操控系统

另外，法定规则要求配备的航行设备、法定规则和船级社要求配备的内外部通信系统也应适用。

2. 任何通过IP（Internet Protocol）协议与CBS进行信息交换的其他系统，包括但是不限于：

① 乘客或访客服务和管理系统

② 面向乘客的网络

③ 管理网络

④ 船员福利系统

⑤ 其他与OT相连接的系统（无论是固定的还是临时的）

UR E26在船舶网络安全方面的具体要求

1.识别（Identify）

在船舶的全生命周期，应当建立一份网络硬件和软件清单并保持更新。这份清单应包括符合URE26适用范围的所有CBSs和用于连接这些系统以及岸基CBSs的网络。

2.保护（Protection）

① 设置安全区：所有的CBSs应当集合在清楚界定的安全控制策略和安全能力安全区中。安全区可以是孤立的，也可以是与其他在不同区域之间存在数据通信控制的安全区或网络连接。

② 网络保护：与CBSs相连接的网络应当设置防火墙或采用等效的方法。这些网络还应当防止过量的数据流或其他影响网络服务质量的事件。CBSs应当执行最少功能的原则，例如当不必要的功能、端口、协议或者服务发生故障或者被禁用应能够设定只提供关键功能，并禁止或限制非关键功能的使用。

③ 防止恶意代码：CBSs应当能够防止恶意代码攻击，例如病毒、蠕虫、木马、间谍软件等。

④ 访问控制：CBSs应当提供能选择性限制用户与系统通信或者其他交互、使用系统资源操作信息、获知系统信息、控制系统组件和功能权限的措施和方法，这些措施和方法可以是物理的，也可以是逻辑的（电子的）。这些措施和方法应当不妨碍经授权的用户按照相应的权限访问CBS。

⑤ 无线通信：无线通讯网络应当按照以下要求设计、实施和维护：

  a.网络安全事件不会传播到其他控制系统；

  b.只有授权的人类用户能够访问无线网络；

  c.只有授权的进程或者设备允许连接无线网络；

  d.在无线网络上传输的信息不会被控制和泄露。

⑥ 远程访问控制和不信任的网络连接：CBSs应能防止未经授权的访问和其他来自不信任的网络的威胁。

⑦ 移动或便携设备的使用：与CBSs相连接的移动或者便携设备或与系统连接的网络应当进行物理的或者逻辑的切断，除非是为了操纵或者维护船舶而进行的连接。

3.监测（Detect）

① 网络运行监测。符合URE26适用范围的网络应当持续监测并在故障或者容量减少时发出报警。

② 计算机系统和网络诊断功能。为保证船舶的安全操作，CBSs和网络应当能够进行功能和性能测试，为系统设定的用户提供关于CBSs完整性和状态足够的诊断信息，并能维护这些CBSs的功能。

4.响应（Respond）

① 应急方案：制定一个覆盖所有网络安全意外事件，并指明如何反应的方案。该方案应当包括为发现针对CBSs的事件、响应并限制后果而预定的一套程序或说明。

② 本地、独立或者手动操作：SOLAS II-1 Reg.31要求的任何需要本地备份控制CBSs应当独立于主要的控制系统。这还包括有效实施本地控制必要的人机界面。

③ 网络隔离：应当具备手动或者自动终止同某一网络进行通信的功能。

④ 最小风险状态：在相应设备的CBS或者网络发生攻击事件时，受影响的系统或网络应当退回到最小风险状态。具体做法可以是完全停用该系统；解除系统占用；转换到另一操作系统或者人工操作。

5.恢复（Recovery）

① 恢复方案：应当制定一个帮助在受网络事件影响而中断或故障的CBSs恢复到正常操作状态的方案。

② 备份和恢复能力：CBSs和网络应当具备备份和及时、完整和安全恢复的能力。备份应当定期进行维护和测试。

③ 关闭、重置、还原和重启：CBS和网络应当能够可控的关闭、重置到初始状态，还应能还原到一种安全状态，并从关机的状态重新启动，以便于在遭受网络安全事件后能够安全快速的修复。

URE26还包含了性能评估和测试的方案以及外部CBS的风险评估。

02  UR E27

URE27旨在确保第三方设备供应商对系统完整性进行保护和加固，提供了船上系统和设备的网络韧性要求，并提供了与用户和船上基于计算机的系统之间的接口有关的附加要求，以及新设备在船上实施前的产品设计和开发要求。

其适用范围与URE26相同。航行设备和无线电设备系统可以执行IEC61162-460的要求作为UR E27的替代。

URE27的第4部分列出了CBSs的安全能力要求。

本部分还列出了与不信任网络连接的CBSs的附加要求，凡是不属于UR E26适用范围的任何网络均应视作不信任网络。

信息来源：

本文对URE26和UR E27进行了翻译和整理；

更多详细信息可登录IACS官方网站下载查看。

（图片来源于网络，文章仅代表作者个人观点）

END

供稿▕ 李艳福

（东疆海事局蔡家堡海巡执法大队）

编辑▕ 张恩瑜

审核▕ 沈家强 王玲丽