摘要:本文从网络安全的角度出发,以船舶网络领域为例,探讨了设备单机运行所面临的风险及其解决方案。船舶网络系统中设备单机运行存在外部攻击和内部故障的双重威胁,可能导致数据泄露、系统瘫痪等严重后果。针对这些风险,提出了加强设备安全设置、定期更新安全补丁、加强网络监控和日志记录等建议,以降低设备单机运行的安全风险。此外,强调了安全意识的重要性,建议加强网络安全培训和教育,提高船员和管理人员对网络安全的认识和应对能力。本文的研究成果为船舶网络系统的安全防护提供了参考和指导,也呼吁更多关注设备单机运行的网络安全问题,共同推动网络安全技术的发展和应用。

关键词:网络安全;单机运行;风险分析;船舶网络


Risk analysis of single equipment operation from the perspective of network security -- a case study in the field of ship network

Abstract:From the point of view of network security, this paper discusses the risks faced by the single machine operation and its solutions by taking the field of ship network as an example. There are dual threats of external attack and internal failure, which may lead to serious consequences such as data leakage and system breakdown. In view of these risks, it is recommended to strengthen device security Settings, update security patches regularly, and strengthen network monitoring and log recording to reduce the security risks of single-node operation. In addition, the importance of security awareness was stressed, and it is recommended to strengthen cybersecurity training and education to improve the awareness and response capacity of crew and managers on cybersecurity. The research results of this paper provide reference and guidance for the security protection of ship network system, and also call for more attention to the network security of equipment operation, and jointly promote the development and application of network security technology.

Key words: Network security; Stand-alone operation; Risk analysis; Ship network


0  引  言


在当今数字化时代,网络安全已经成为各行各业关注的焦点之一。随着物联网技术的快速发展,设备单机运行时的安全风险也逐渐受到关注。特别是在船舶网络领域,船舶作为一个独立的网络系统,其网络安全问题更加突出。本文旨在从网络安全的视角出发,分析船舶网络领域中设备单机运行的风险,并探讨如何规避这些风险,以提高船舶网络系统的安全性。

船舶网络系统的特殊性使得其面临着诸多安全挑战。船舶网络系统通常处于海上环境,网络连接不稳定,容易受到外部攻击。船舶网络系统中存在大量关键信息和数据,一旦泄露或被篡改,将对船舶运行和船员安全造成严重影响。船舶网络系统的设备通常是单机运行,缺乏远程监控和管理功能,增加了设备被攻击或损坏的风险。

本文将结合船舶网络领域的实际案例,深入探讨设备单机运行时的网络安全风险,并提出相应的解决方案。通过分析船舶网络系统中设备单机运行的风险因素,探讨如何利用安全软件、加密技术、数据备份等手段来规避这些风险,以保障船舶网络系统的安全运行。

1  网络安全视角下设备单机运行概述

在网络安全视角下,设备单机运行是指网络设备在独立运行的状态下,与其他设备或网络无连接。在船舶网络领域,设备单机运行是一种常见的工作模式,但也存在着一系列潜在的风险和安全挑战。

首先,设备单机运行可能受到来自外部攻击的威胁。黑客可以利用各种手段,如漏洞利用、恶意软件等,对单机设备进行攻击,导致系统遭受破坏、数据泄露等安全问题。尤其在船舶网络环境中,由于网络连接性较弱、通信方式受限等因素,设备单机运行更易成为攻击目标。其次,设备单机运行还存在内部故障的风险。硬件故障、软件错误等问题可能导致设备运行异常、系统崩溃,进而影响船舶的通信、导航等功能。这种风险对船舶的安全和正常运行具有潜在威胁。另外,管理不当和安全设置不完善也是设备单机运行面临的挑战。如果管理员密码泄露、未及时更新安全补丁等情况发生,可能为攻击者提供入侵机会,加剧安全风险。

针对这些风险,船舶网络领域需要加强设备单机运行时的安全防护措施。例如,定期更新设备软件、加强网络监控和日志记录、实施访问控制策略等措施可以有效降低外部攻击风险。同时,提高船员和管理人员的网络安全意识,加强培训和教育,也是保障船舶网络安全的关键步骤。

2  船舶网络设备单机运行风险点分析

采用网络设备单机运行的方式,客观上讲可以节省一部分船舶开销,然而这也意味着船舶网络安全性的降低。最直接的是,这将破坏计算机网络物理层的安全性保障,意味着只有通过人员的管理来增加物理层的保障。传统的物理层保障主要是依靠设备的可靠性。而通过对人员的管理,只能保障其不去破坏现有物理环境,并不能保障物理层自身的无限可靠。而物理层出现安全性问题时,势必会造成上层传输层、网络层及应用层的安全问题。下表为船舶网络设备单机运行可能产生的风险点。

表2 船舶网络设备单机运行可能产生的风险点

风险点

说明

设备故障风险

主设备出现硬件或软件故障时,将导致整个网络系统瘫痪,无法提供通讯、导航、船舶管理等关键功能。

维修响应时间风险

海上环境中维修和响应时间延迟,可能导致网络系统长时间无法使用,增加船舶遭遇其他安全风险的可能性。

数据丢失风险

单机运行的设备如果出现故障,可能导致数据丢失,包括航行数据、通讯记录、船舶管理信息等重要数据。

安全性风险

单机运行设备更容易成为网络攻击的目标,一旦主设备受到攻击,将对船舶网络和数据安全造成严重威胁。

系统兼容性风险

取消冗余设备可能导致系统兼容性问题,主设备无法与备用设备进行良好的协作,影响整个网络系统的稳定性和可靠性。

突发事件应对风险

在海上遇到突发事件(如恶劣天气、碰撞等)时,单机运行设备可能无法提供足够的应对能力,影响船舶的安全和应急响应。

船舶运行效率风险

取消冗余设备可能导致船舶网络系统频繁中断,影响船舶的运行效率和船员的工作效率。

长期维护风险

单机运行设备可能需要更频繁的维护和保养,增加了船舶的维护成本和维护工作量。

法规合规风险

某些航运法规可能要求船舶网络设备具备一定的冗余和备份能力,取消冗余设备可能导致不符合法规要求,带来合规风险。

根据《CCS船舶网络安全指南2023》中4.3.9 网络冗余的要求(如图3所示),其中SL3和SL4要求“若通过防火墙与影响人身安全或船舶安全的系统进行通信,则应提供两个不同的防火墙,两个防火墙都应实时运行,且应具备高可用性,其布置应确保其中一个防火墙单元发生故障或网络事故时,另一个单元仍能保持船舶网络的安全”。


3  设备单机运行与双机冗余对比

3.2  情形一——防火墙出现设备级故障时

如果采用网络设备单机运行机制,若防火墙出现设备级故障时。此时将造成局域网内流量无法流入互联网,即无法与外界通信、发邮件等。该情况不会影响内网间主机的通信,但可能会造成通讯主机、内网服务器主机等局域网内重要设备无法访问外网。若不考虑风险的情况下,可以将必要设备直接通过网线连接到卫星通信设备,同时要更改要此设备的IP、子网掩码、网关、DNS等信息,保持与卫星通信设备的网段一致。但是此方法只可允许一台设备访问外网。

若采用双机冗余机制,则可直接通过相关文档和手册进行故障处理。相关文档和手册中应详细说明了故障的判断方法及处理方法。具体方法为将防火墙备机的上下联终端断开,共 2 根线路,并对防火墙备机断电。将防火墙备机迁移至防火墙主机位置,并将原防火墙主机上的线路一一对应迁移至 防火墙备机,一共 3 根线路。防火墙备机上电,并验证故障是否排除。操作步骤对随船人员的技术无要求。且恢复后多台终端仍可同时访问外网。

3.2  情形二——核心交换机出现设备型故障时

如果采用网络设备单机运行机制,若核心交换机出现设备型故障时。首先将会造成内部网络无法互通,整个内部网络瘫痪无法使用,只能通过通信主机连接防火墙再到卫星通信设备来进行通信。同时直接造成通讯主机、内网服务器电脑等局域网内重要设备无法访问外网。此时有以下两种解决方法:

(1)若有其他的交换机(如二层交换机),可以用来临时顶替此交换机。需要通信的终端进行主机IP、子网掩码、网关、DNS等信息的修改,要保持其在同一个网段内。同时还要登录到出口防火墙,对策略进行修改。

(2)若无其他交换机,则可将需要通信的一台设备通过网线连接至出口防火墙,同时修改终端主机IP、子网掩码、网关、DNS等信息。同时还要登录到出口防火墙,对策略进行修改。

以上两种方法将降低安全性,并且需要随船人员对全船的网络熟悉,且有一定计算机基础,因此具有一定的操作难度。

若采用双机冗余机制,则可直接通过相关文档和手册进行故障处理。相关文档和手册中应详细说明了故障的判断方法及处理方法。具体方法为将主核心交换机电源断开,并将其上下联线路,一对一同位迁移至备核心交换机。即按文档插拔端口即可,操作简单,对随船人员无技术要求。


4  结语

在本文中,我们从网络安全的视角出发,深入分析了船舶网络领域中设备单机运行的风险,并提出了一系列解决方案和建议。通过对船舶网络系统中设备单机运行的网络安全问题进行探讨,我们对提高船舶网络系统的安全性有了更深入的理解。

在船舶网络领域,设备单机运行时存在的安全风险不容忽视。海上环境的特殊性以及船舶网络系统的独立性,使得其面临着来自外部攻击和内部故障的双重威胁。为了应对这些风险,我们提出了一系列解决方案,包括加强设备安全设置、定期更新安全补丁、加强网络监控和日志记录等措施。这些措施可以有效降低设备单机运行时的安全风险,保障船舶网络系统的安全运行。我们还强调了安全意识的重要性。船舶网络系统的安全需要船员和管理人员的共同努力,只有加强网络安全意识,提高安全意识水平,才能有效预防网络安全事件的发生。因此,我们建议在船舶网络系统中加强网络安全培训和教育,提高船员和管理人员对网络安全的认识和应对能力。

网络安全是一个永恒的主题,我们应该始终保持警惕,不断提升网络安全防护水平,共同维护网络安全和信息安全。同时,我们也呼吁更多的研究者和从业者关注设备单机运行时的网络安全问题,在不同领域开展相关研究,共同推动网络安全技术的发展和应用,为构建安全可靠的网络环境做出贡献。