文章总结: 本文详细解读了中国船级社船舶网络安全指南的产品网络安全要求部分,涵盖标识和鉴别、账户管理、口令强度等核心安全要素。指南按SL0至SL4进行安全分级,并针对不同等级提出了具体的技术要求、验证流程及解决方案,为船舶网络系统的安全建设提供了可操作的标准与实施指导。 综合评分: 89 文章分类: 网络安全,技术标准
【船舶网络安全系列】一文读懂中国船级社船舶网络安全指南(二)
原创
老付话安全 老付话安全
老付话安全
2026年7月7日 20:33 山东
在小说阅读器读本章
去阅读
点击蓝字
关注我们
关注我,带给你不一样的精彩
世界因你的沉淀而出彩
始于理论,源于实践,终于实战
老付话安全,每天一点点
激情永无限,进步看得见
严正声明
本号所写文章方法和工具只用于学习和交流,严禁使用文章所述内容中的方法未经许可的情况下对生产系统进行方法验证实施,发生一切问题由相关个人承担法律责任,其与本号无关。
特此声明!!!
本文字数:
5107字
阅读时间:
13分钟
第2章 产品网络安全要求
2.1 一般规定
- 适用产品:CCS认为必要的 CBS、实现接口的系统/设备、边界防火墙、网络设备核心交换机等。
- 安全要素:标识和鉴别、使用控制、系统完整性、数据保密性、受限数据流、事件及时响应、资源可用性。
2.2 产品网络安全分级(SL0~SL4)
2.3 系统要求(按 SL0~SL4 逐级要求)
2.3.1.1 标识和鉴别
(1)人员身份标识和鉴别
| 编号 | 要求 | SL0 | SL1 | SL2 | SL3 | SL4 | | — | — | — | — | — | — | — | | SR1.1 | CBS 应能标识并鉴别所有访问系统的人员 | √ | √ | √ | √ | √ | | SR1.1 RE1 | CBS 应能唯一标识和鉴别所有人员 | | | √ | √ | √ | | SR1.1RE2 | CBS 应对通过不可信网络访问的人员采用多因素身份认证 | √* | √* | √* | √ | √ | | SR1.1 RE3 | CBS 应对所有人员采用多因素身份认证 | | | | | √ |
注:√* 表示该要求仅在系统支持与不可信网络通信时适用。
| 编号 | 要求 | 验证流程 | 现场实施/查看方法 | 解决方案 | | — | — | — | — | — | | SR1.1 | CBS 应能标识并鉴别所有访问系统的人员 | 1. 尝试无账号直接操作,应被拒绝。 2. 使用有效账号登录,成功。 3. 检查是否存在共享账号。 | 查看CBS登录界面:是否要求输入用户名/密码或其他凭证;询问船员是否每人独立账号。 | 若存在共享账号,重新分配个人账号;若无认证,增加登录功能(或采用硬件钥匙+密码)。 | | SR1.1 RE1 | CBS 应能唯一标识和鉴别所有人员(SL2+) | 使用两个不同人员账号登录,确认系统能区分并分别记录操作日志。 | 检查系统用户列表,确认无重复用户名;检查日志是否包含用户ID。 | 重新配置账号,确保唯一性;若系统不支持,升级或使用外部身份认证代理。 | | SR1.1 RE2 | 通过不可信网络访问的人员需多因素认证(SL0*,SL1+) | 1. 从外部网络(如4G/卫星)尝试远程登录,应要求输入第二因素(如动态码、证书)。 2. 绕过因素尝试应失败。 | 询问船员远程维护时是否使用MFA;查看远程接入点配置(如VPN + OTP)。 | 未启用MFA则配置RADIUS+OTP或使用硬件令牌;若CBS不支持,可在前端加装堡垒机。 | | SR1.1 RE3 | 所有人员多因素认证(SL4) | 即使本地登录也要求MFA(如指纹+密码)。 | 检查本地操作员站登录方式:是否刷卡+密码或生物识别。 | 安装生物识别读卡器或智能卡读卡器,并配置策略。 |
(2)进程和设备标识和鉴别
| 编号 | 要求 | SL0 | SL1 | SL2 | SL3 | SL4 | | — | — | — | — | — | — | — | | SR1.2 | CBS 应能标识和鉴别所有通过接口访问的进程和设备 | √* | √* | √ | √ | √ | | SR1.2 RE1 | CBS 应能唯一标识和鉴别所有软件进程和设备 | | | √ | √ | √ |
注:√* 表示该要求仅在系统支持与不可信网络通信时适用。
| 编号 | 要求 | 验证流程 | 现场实施/查看方法 | 解决方案 | | — | — | — | — | — | | SR1.2 | CBS 应标识和鉴别所有通过接口访问的进程和设备(SL0*) | 1. 使用未注册的测试设备连接网络,应被拒绝。 2. 使用合法设备(MAC/证书)可通信。 | 查看网络交换机端口安全配置或802.1X设置;询问是否有设备白名单。 | 启用802.1X证书认证;或在交换机配置MAC绑定;对串口设备使用专用适配器认证。 | | SR1.2 RE1 | 唯一标识和鉴别所有软件进程和设备(SL2+) | 在同一设备上运行非授权进程(如自己写的UDP工具),应无法发送数据到CBS。 | 检查主机防火墙规则或应用白名单(如Windows AppLocker)。 | 部署应用白名单软件,只允许签名或哈希匹配的进程通信;使用强制访问控制策略。 |
(3)账户管理
| 编号 | 要求 | SL0 | SL1 | SL2 | SL3 | SL4 | | — | — | — | — | — | — | — | | SR1.3 | CBS 应提供支持授权用户管理所有账户的能力,包括添加、激活、修改、禁用和删除 | √ | √ | √ | √ | √ | | SR1.3 RE1 | CBS 应支持统一账户管理的能力 | | | √ | √ | |
| 编号 | 要求 | 验证流程 | 现场实施/查看方法 | 解决方案 | | — | — | — | — | — | | SR1.3 | CBS 应支持授权用户管理所有账户(添加、激活、修改、禁用、删除) | 1. 用管理员账号尝试创建新用户、修改权限、禁用后登录验证。 2. 检查操作日志。 | 查看系统的用户管理界面或命令行;询问是否定期清理离职人员账号。 | 无管理功能则升级系统或通过域控管理;建立账号周期审核制度。 | | SR1.3 RE1 | 统一账户管理(SL2+) | 检查是否与中央身份认证(如LDAP/AD)集成,一处修改全船生效。 | 查看CBS的认证配置是否指向域控制器或RADIUS。 | 部署船载域控或LDAP服务器,所有CBS接入统一认证。 |
(4)标识管理
| 编号 | 要求 | SL0 | SL1 | SL2 | SL3 | SL4 | | — | — | — | — | — | — | — | | SR1.4 | CBS 应提供通过用户、组、角色或控制系统接口支持标识管理的能力 | √ | √ | √ | √ | √ |
| 编号 | 要求 | 验证流程 | 现场实施/查看方法 | 解决方案 | | — | — | — | — | — | | SR1.4 | CBS 应支持通过用户、组、角色管理标识符 | 1. 创建组“Engineers”和角色“ReadOnly”,将用户加入组,验证权限。 2. 尝试越权操作应被拒绝。 | 查看系统中是否可定义组和角色;询问轮机长不同岗位权限是否不同。 | 未实现则改造软件权限模型,至少按角色分配菜单级权限;嵌入式系统可用固定角色(操作员/管理员)。 |
(5)鉴别管理
| 编号 | 要求 | SL0 | SL1 | SL2 | SL3 | SL4 | | — | — | — | — | — | — | — | | SR1.5 | CBS 应提供以下能力:①初始化鉴别器(令牌、密码、指纹等)内容;② CBS 安装时要求修改所有鉴别器的默认值;③修改/更新所有鉴别器;④在存储和传输时,保护所有鉴别器不受未经授权的披露和修改 | √ | √ | √ | √ | √ | | SR1.5 RE1 | 对于软件和设备用户,CBS 应能通过硬件机制(如 TPM)保护相关鉴别器 | | | √ | √ | |
| 编号 | 要求 | 验证流程 | 现场实施/查看方法 | 解决方案 |
| — | — | — | — | — |
| SR1.5 | 初始化鉴别器、修改默认值、更新、保护存储传输 | 1. 恢复出厂设置后是否强制更改默认密码。 2. 尝试抓包查看密码是否明文传输。 | 检查第一次开机是否要求改密码;登录时是否使用加密协议(如HTTPS、SSH)。 | 若默认密码未强制更改,修改固件策略;若明文传输,改用SSH/TLS。 |
| SR1.5 RE1 | 硬件机制保护鉴别器(TPM)(SL2+) | 检查设备是否内置TPM或安全芯片,私钥不可导出。 | 查看设备规格书或拆机(或命令行tpm2_getcap)。 | 增加外置加密狗或HSM;若无硬件,加强物理防护作为补偿措施。 |
(6)无线访问管理
| 编号 | 要求 | SL0 | SL1 | SL2 | SL3 | SL4 | | — | — | — | — | — | — | — | | SR1.6 | CBS 应对无线通信的所有用户(人员、软件进程或设备)进行标识和鉴别 | √ | √ | √ | √ | √ | | SR1.6 RE1 | CBS 应对所有使用无线通信的用户提供唯一标识和鉴别能力 | | | √ | √ | √ |
| 编号 | 要求 | 验证流程 | 现场实施/查看方法 | 解决方案 | | — | — | — | — | — | | SR1.6 | 无线通信的所有用户(人、进程、设备)标识和鉴别 | 1. 尝试连接无线网络需认证。 2. 使用未知设备连接应失败。 | 查看无线AP配置(WPA2-Enterprise,启用802.1X);询问是否仅授权MAC可接入。 | 若使用共享密码(PSK),改为企业级认证,并为每个设备颁发证书。 | | SR1.6 RE1 | 唯一标识(SL2+) | 检查同一用户能否在多设备同时登录无线;日志记录设备ID。 | 查看RADIUS日志,确认每个设备有唯一证书或账号。 | 使用EAP-TLS,每个设备单独证书。 |
(7)口令强度
| 编号 | 要求 | SL0 | SL1 | SL2 | SL3 | SL4 | | — | — | — | — | — | — | — | | SR1.7 | 对于口令认证的 CBS,应能通过设置最小长度和多种字符类型,配置口令强度 | √ | √ | √ | √ | √ | | SR1.7 RE1 | CBS 应防止任何人员在一定的口令更换周期内重复使用口令。此外还应能限制人员口令的最短和最长使用期限 | | | √ | √ | | | SR1.7 RE2 | 应能限制所有用户口令的最短和最长使用期限 | | | | √ | √ |
| 编号 | 要求 | 验证流程 | 现场实施/查看方法 | 解决方案 |
| — | — | — | — | — |
| SR1.7 | 配置口令强度(最小长度、字符类型) | 尝试设置“123456”,系统应拒绝。 | 查看系统安全策略:口令复杂度设置。 | 在操作系统或应用层开启密码复杂度策略(如Linux pam_cracklib)。 |
| SR1.7 RE1 | 防止重复使用,限制最短/最长有效期(SL2+) | 1. 尝试重复使用旧密码,应被拒绝。 2. 检查密码最长使用天数。 | 查看域或本地安全策略中的密码历史记录和最大寿命。 | 配置密码策略:历史记录≥5,最长90天,最短1天。 |
| SR1.7 RE2 | 限制所有用户口令有效期(SL3+) | 同上,且包括服务账户。 | 检查是否所有账户(含root)均适用。 | 使用统一策略管理。 |
(8)PKI证书
| 编号 | 要求 | SL0 | SL1 | SL2 | SL3 | SL4 | | — | — | — | — | — | — | — | | SR1.8 | 当采用 PKI 技术时,CBS 应能根据最佳实践运行 PKI,或从现有 PKI 中获取公钥证书 | | | √ | √ | √ |
| 编号 | 要求 | 验证流程 | 现场实施/查看方法 | 解决方案 | | — | — | — | — | — | | SR1.8 | PKI证书管理(SL2+) | 检查证书颁发、吊销流程;使用过期证书应无法认证。 | 查看设备证书有效期;询问CA服务器。 | 建立船载PKI或使用商业CA;配置自动续期。 |
(9)公钥认证强度
| 编号 | 要求 | SL0 | SL1 | SL2 | SL3 | SL4 | | — | — | — | — | — | — | — | | SR1.9 | 当采用公钥认证时,CBS 应能:①通过检查证书签名的有效性验证证书;②通过构建到一个接受的可信 CA 的证书路径来验证证书,或者在自签名证书的情况下,通过将子证书部署到所有与颁发证书的主体通信的主机来验证证书;③通过检查给定证书的撤销状态来验证证书;④建立用户(人员、软件进程或设备)对相应私钥的控制;⑤将已验证的身份映射到用户(人员、软件进程或设备) | | | √ | √ | √ | | SR1.9 RE1 | CBS 应根据普遍接受的安全行业实践和建议,通过硬件机制保护相关的私钥 | | | √ | √ | |
| 编号 | 要求 | 验证流程 | 现场实施/查看方法 | 解决方案 | | — | — | — | — | — | | SR1.9 | 证书验证(签名、路径、撤销、私钥控制) | 1. 使用自签名证书,应检查是否在信任库。 2. 使用吊销证书应被拒绝。 | 查看CBS的信任存储;是否配置CRL或OCSP。 | 配置CRL/OCSP;私钥存储在HSM或TPM。 | | SR1.9 RE1 | 硬件保护私钥(SL2+) | 检查私钥是否存储在TPM或加密卡中。 | 见1.5 RE1。 | 增加硬件安全模块。 |
(10)身份鉴别反馈
| 编号 | 要求 | SL0 | SL1 | SL2 | SL3 | SL4 | | — | — | — | — | — | — | — | | SR1.10 | CBS 应在认证过程中对鉴别反馈信息模糊处理 | √ | √ | √ | √ | √ |
| 编号 | 要求 | 验证流程 | 现场实施/查看方法 | 解决方案 | | — | — | — | — | — | | SR1.10 | 认证反馈模糊处理 | 输入错误密码时,提示“用户名或密码错误”,不明确区分。 | 尝试错误用户名和错误密码,提示信息应一致。 | 修改应用程序的错误消息,统一模糊提示。 |
(11)失败登录尝试
| 编号 | 要求 | SL0 | SL1 | SL2 | SL3 | SL4 | | — | — | — | — | — | — | — | | SR1.11 | CBS 应能限制任何用户(人员、软件进程或设备)连续无效访问尝试,尝试次数可配置;应能配置拒绝访问时间,或直至管理员解锁为止。对于代表其运行重要服务或服务器的系统账户,应能禁止交互式登录 | √* | √ | √ | √ | √ |
注:√* 表示该要求仅在系统支持与不可信网络通信时适用。
| 编号 | 要求 | 验证流程 | 现场实施/查看方法 | 解决方案 |
| — | — | — | — | — |
| SR1.11 | 限制连续无效访问尝试,可配置 | 连续5次错误密码,账户锁定或延迟。 | 查看账户锁定阈值设置(如/etc/security/faillock.conf)。 | 配置锁定策略:5次失败锁定15分钟;重要服务账户禁止交互登录。 |
(12)系统使用告知
| 编号 | 要求 | SL0 | SL1 | SL2 | SL3 | SL4 | | — | — | — | — | — | — | — | | SR1.12 | CBS 应具有在身份验证前显示系统使用告知信息的能力。信息应能由授权人员设置 | √* | √ | √ | √ | √ |
注:√* 表示该要求仅在系统支持与不可信网络通信时适用。
| 编号 | 要求 | 验证流程 | 现场实施/查看方法 | 解决方案 |
| — | — | — | — | — |
| SR1.12 | 验证前显示系统使用告知信息 | 登录前界面显示“警告:仅授权人员可访问”等。 | 查看登录横幅(如SSH的/etc/issue,Windows登录文本)。 | 配置登录横幅,内容经法律审核。 |
(13)不可信网络的访问
| 编号 | 要求 | SL0 | SL1 | SL2 | SL3 | SL4 | | — | — | — | — | — | — | — | | SR1.13 | CBS 应能监测和控制所有通过不可信网络的访问方式 | √* | √* | √* | √* | √* | | SR1.13 RE1 | 除指定角色的许可,CBS 应拒绝不可信网络的访问请求 | √* | √* | √* | √* | √* |
注:√* 表示该要求仅在系统支持与不可信网络通信时适用。
| 编号 | 要求 | 验证流程 | 现场实施/查看方法 | 解决方案 |
| — | — | — | — | — |
| SR1.12 | 验证前显示系统使用告知信息 | 登录前界面显示“警告:仅授权人员可访问”等。 | 查看登录横幅(如SSH的/etc/issue,Windows登录文本)。 | 配置登录横幅,内容经法律审核。 |
#
end
往期内容回顾****
| | | — | | 【工业控制系统网络安全系列课程】第2课-工业控制系统的网络安全风险-过程控制漏洞利用过程 | | 【工业控制系统网络安全系列课程】第2课-工业控制系统的网络安全风险-过程控制漏洞利用(一)ICS过程控制漏洞概述 | | 【工业控制系统网络安全系列课程】第2课-工业控制系统的网络安全风险-过程控制漏洞利用(二)典型漏洞利用路径 |
@请赐予我力量,关注和转发是最大的支持@
欢迎扫码进群交流
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:老付话安全 老付话安全 老付话安全《【船舶网络安全系列】一文读懂中国船级社船舶网络安全指南(二)》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论