【船舶网络安全系列】CBS网络风险评估方法

admin 2026-07-14 05:31:02 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文详细介绍了船舶网络安全CBS网络风险评估方法,包括风险管理过程、风险要素关系及评估步骤。核心内容涵盖资产识别与分类(基于IACSURE22标准将系统分为I-III类)、威胁识别与赋值、脆弱性识别以及已有安全措施评估。文章提供了系统的风险分析框架,强调通过定性或定量方法计算风险值,并给出了具体的船载计算机系统分类示例,为船舶网络安全评估提供了可操作的技术指导。 综合评分: 85 文章分类: 网络安全,安全建设,技术标准,安全意识


cover_image

【船舶网络安全系列】CBS 网络风险评估方法

原创

老付话安全 老付话安全

老付话安全

2026年7月13日 20:30 山东

在小说阅读器读本章

去阅读

点击蓝字

关注我们

关注我,带给你不一样的精彩

世界因你的沉淀而出彩

始于理论,源于实践,终于实战

老付话安全,每天一点点

激情永无限,进步看得见

严正声明

本号所写文章方法和工具只用于学习和交流,严禁使用文章所述内容中的方法未经许可的情况下对生产系统进行方法验证实施,发生一切问题由相关个人承担法律责任,其与本号无关。

特此声明!!!

本文字数:

6159字

阅读时间:

16分钟

CBS网络风险评估

风险管理

2.1 风险管理过程

风险要素关系

风险评估基本要素包括资产、威胁、脆弱性和安全措施,并基于以上要素开展风险评估。

开展风险评估时,基本要素之间的关系如下:

(1)风险要素的核心是资产,而资产存在脆弱性; (2)安全措施的实施通过降低资产脆弱性被利用难易程度,抵御外部威胁,以实现对资产的保护; (3)威胁通过利用资产存在的脆弱性导致风险; (4)风险转化成安全事件后,会对资产的运行状态产生影响。

风险评估过程

(1) 收集有关船舶系统、设备和连接的信息,以确定风险评估的范围。并应通过图纸资料进行补充,以便更好的了解系统/设备互连; (2) 通过评估等级或风险评估方法,评估不同的系统参数。这些参数的组合最终将形成评估范围内每个系统的风险等级; (3) 根据之前评估的风险等级,通过定义和实施相关安全措施,确定是否处理风险,直到残余风险水平被认为是可接受的。

风险识别

资产识别

(1) 资产分类

根据IACSURE22要求,基于系统功能故障的影响将计算机系统分为三类,

| 类别 | 影响 | 典型系统功能 | | — | — | — | | I | 这些系统的故障不会对人员的安全、船舶的安全以及环境产生危害 | ——监测、信息和管理功能 | | II | 这些系统的故障最终会对人员的安全、船舶的安全以及环境产生危害 | ——对保持船舶处于正常运营和起居状况所必要的报警、监测和控制功能 | | III | 这些系统的故障即刻会对人员的安全、船舶的安全以及环境产生危害或灾难 | ——保持船舶推进和操舵的控制功能 ——船舶安全功能 |

资产分类,可将资产按照层次可划分为业务资产、系统资产、系统组件和单元资产,

也可根据资产的表现形式,将资产分为OT系统、IT系统等。

船载计算机OT系统的分类示例

| 序号 | CBS | 功能 | 建议分类 | | — | — | — | — | | 1 | 推进系统 | 推进控制系统 | III | | | | 主机控制系统(各种形式) | III | | | | 齿轮箱/离合器控制系统 | III | | | | 螺距控制系统 | III | | | | 侧推控制系统 | II/III(取决于作业场景) | | | | 推进辅助系统 | II | | | | 能源供给系统(油、气、电池) | III | | 2 | 操舵系统 | 操舵装置控制系统 | III | | | | 舵机液压单元控制检测系统 | II | | 3 | 锚泊和系泊系统 | 锚系泊控制监测系统 | II | | | | 系泊绞车控制和监视系统 | II | | | | 锚泊定位系统(结合DP和锚链) | III | | 4 | 发电和配电系统 | 主发电机控制系统 | III | | | | 电池管理系统 | III | | | | 能源供给系统 | III | | | | 功率管理系统 | III | | 5 | 火灾探测和灭火系统 | 火灾探测控制和报警系统 | II | | | | 防火门控制系统 | II | | | | 水雾灭火系统 | II | | | | 消防泵控制系统 | II | | 6 | 舱底水和压载水系统,装载计算机系统 | 机舱固定灭火系统 | II | | | | 压载水控制和监控系统 | II | | | | 舱底水控制和监控系统 | II | | | | 装载计算机系统 | II | | | | 阀门遥控系统 | II | | | | 油水分离器 | II | | | | 生活污水处理装置 | II | | 7 | 水密完整性和进水探测系统 | 焚烧炉、洗涤塔控制系统 | II | | | | 水密门控制和监控系统 | II | | | | 进水检测系统 | II | | 8 | 照明 | 舷门控制系统 | II | | | | 应急照明 | III | | | | 低位照明 | III | | 9 | 提供安全功能的系统 | 航行灯控制 | III | | | | 应急切断系统(ESD) | III | | | | 燃气安全系统 | III | | | | 货物安全系统 | II | | | | 压力容器安全系统 | III | | | | 气体探测系统 | II | | | | 点火源控制 | III | | | | ESL(船岸连接系统) | III | | 10 | 航行设备 | ECDIS(电子海图系统) | II | | | | ECS(国内航行船舶电子海图系统) | II | | | | 电罗经 | II | | | | 计程仪 | II | | | | 测探仪 | II | | | | AIS(自动识别系统) | II | | | | GNSS(全球卫星导航系统) | II | | | | RADAR | II | | | | BNWAS | II | | | | 船舶/航迹控制系统 | II/III(取决于是否应用于自主航行) | | 11 | 内通设备 | VDR(航行数据记录仪) | II | | | | 广播系统 | II | | | | 通用报警 | II | | | | 自动电话 | II | | 12 | 无线电设备 | 双向语音通信 | II | | | | GMDSS组合台 | II | | | | VHF | II | | | | MF/HF | II | | | | NAVTEX | II | | | | 经认可的移动卫星服务船舶地球站 | II | | 13 | 多功能综合系统 | 其他卫星通信系统(如VSAT) | I/III(取决于是否应用于远程控制通信) | | | | 全回转推进器控制系统 | III | | | | INS(综合导航系统) | III | | | | IBS(综合船桥系统) | III | | | | ICS(综合通信系统) | II | | 14 | 智能系统 | IAS(集成自动化系统) | II/III |

船舶计算机IT系统的分类示例

| 序号 | 系统名称 | 建议分类 | | — | — | — | | 1 | CCTV系统(闭路电视监控系统) | I/II(取决于是否与船舶OT系统相连) | | 2 | 船舶安防系统 | I/II(取决于是否应用于远程监控) | | 3 | 船舶管理系统 | I/II(取决于是否与船舶OT系统相连、是否有远程监控和预警功能) | | 4 | 乘客或访客服务和管理系统 | I | | 5 | 面向乘客的网络系统 | I | | 6 | 办公管理网络系统 | I | | 7 | 船员/乘客娱乐系统 | I | | 8 | 船舶数据备份系统 | I/II(取决于备份数据的安全级别) |

(2)资产赋值,

按照船舶网络资产清单根据资产的保密性、完整性和可用性三个安全属性以及所属I-III类别这个重要属性,为资产赋值。

① 根据资产在保密性上的不同要求,可以将其分为不同的等级。

如,1~3个等级(分别对应:低、中、高),分别对应资产在保密性上应达到的不同程度或者保密缺失时对整个船舶系统的影响; ② 根据资产在完整性上的不同要求,可以将其分为不同的等级。

如,1~3个等级(分别对应:低、中、高),分别对应资产在完整性上缺失时对整个船舶系统的影响; ③ 根据资产在可用性上的不同要求,可以将其分为不同的等级。

如,1~3个等级(分别对应:低、中、高),分别对应资产在可用性上应达到的不同程度;

(3)资产重要性等级,结合船舶系统自身特点,可根据资产所属计算机类别,以及保密性、完整性和可用性的不同等级及其赋值进行加权计算得到资产的最终赋值结果。最终资产赋值可以划分为不同级别。

如,1~3个等级(分别对应:低、中、高)。根据资产赋值结果,确定重要资产的范围,并主要围绕重要资产进行下一步风险评估。

威胁识别

(1)威胁分类,造成威胁的因素可分为人为因素和环境因素。根据动机,可分为恶意和非恶意。环境因素包括自然界不可抗的因素和其他物理因素。威胁的作用形式可以是对信息系统直接或间接的攻击,在保密性、完整性和可用性等方面造成损害。也可能是偶发或蓄意的事件。对威胁的分类需充分考虑威胁的来源,并根据威胁的表现形式进行威胁分类。

威胁识别内容

| 序号 | 威胁类别 | 威胁描述 | | — | — | — | | 1 | 操作失误 | 操作人员在工作中发生错误或疏忽,包括操作错误、维护失误等 | | 2 | 越权滥用 | 超越自己的权限访问了无权访问的资源,或滥用自己的职权,做出破坏系统的行为,包括非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密等 | | 3 | 行为抵赖 | 操作用户对自己的操作行为不承认,包括原发抵赖、接收抵赖、第三方抵赖 | | 4 | 恶意代码 | 感染了在系统中执行恶意任务的程序代码,包括病毒、木马、蠕虫、后门、间谍软件、窃听软件、流氓软件、网络钓鱼、僵尸网络、逻辑炸弹、恶意脚本等 | | 5 | 网络攻击 | 利用工具和技术,通过网络对系统进行攻击和入侵,包括网络探测、信息采集、嗅探、漏洞探测、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏、口令攻击、密码分析、拒绝服务等 | | 6 | 物理破坏 | 系统/网络被非法用户进行物理破坏 | | 7 | 系统故障 | 软硬件故障或环境原因导致业务中断 | | 8 | 通信中断 | 通信意外故障造成传输中断 | | 9 | 社会工程 | 非法用户通过社交手段获得系统/网络有关保密信息 | | 10 | 管理不到位 | 系统/设备的管理不到位、使用不规范等 |

(2) 威胁赋值,

判断威胁出现的频率是威胁赋值的重要内容,根据相关国家规范、近期信息安全威胁并结合行业经验以及有关统计数据进行判断并对威胁性赋值。在评估中,综合考虑以下三个方面:

① 以往安全事件报告中出现过的威胁及其频率统计; ② 实际环境中通过检测工具以及其各种日志发现的威胁及其频率统计; ③ 近年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的威胁预警。

(3) 对威胁出现的频率进行等级化处理,不同等级分别代表威胁出现的频率高低。等级数值越大,威胁出现的频率越高。

如,1~3个等级(分别对应:低、中、高)。

2.4.3 脆弱性识别

(1) 脆弱性识别的内容,脆弱性识别可以以资产为核心,针对每一项协议保护的资产,设备可能被威胁利用的弱点,并对脆弱性的严重程度进行评估;也可以从物理、网络、系统、应用等层次进行识别,然后与资产、威胁对应起来。脆弱性识别的依据可以是国际或国家标准,也可以是行业规范的安全要求。

① 脆弱性识别的数据应来自于船东/船公司/供应商,以及相关业务领域和硬件方面的专业人员。脆弱性识别采取的方法主要有:问卷调查,工具检测,人工核查,文档查阅,渗透性测试等。 ② 脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两个方面,前者与具体技术活动有关,后者与管理环境有关。参见表附录1-2.3.3。

脆弱性识别内容

| 类型 | 识别对象 | 识别方面 | | — | — | — | | 技术脆弱性 | 物理设施 | 从CBS所处环境的保护、设备设施管理、便携式设备和移动介质等方面进行识别 | | | 网络结构 | 从网络结构设计、边界保护、内外部访问控制策略、网络设备安全配置等方面进行识别 | | | 系统软件 | 从补丁安装、物理保护、用户账户、口令策略、资源共享、事件审计、访问控制、系统配置、注册表加固、网络安全、系统管理等方面进行识别 | | | 应用中间件 | 从协议安全、交易完整性、数据完整性等方面进行识别 | | | 应用系统 | 从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别 | | 管理脆弱性 | 技术管理 | 从物理和环境安全、通信与操作管理、访问控制、数据完整性、通信、鉴别机制、密码保护等方面进行识别 | | | 组织管理 | 从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别 |

(2)脆弱性赋值,可以根据脆弱性对资产的暴露程度、技术实现的难易程度等,采用等级方式对已识别的脆弱性的严重程度进行赋值。不同的等级分别代表资产脆弱性严重程度的高低。等级数值越大,脆弱性严重程度越高。

如,1~3个等级(分别对应:低、中、高)。

已有安全措施识别

在识别脆弱性的同时,应对已采取安全措施的有效性进行识别确认。安全措施的确认将评估其有效性,即是否真正地降低了系统的脆弱性,抵御了威胁。对有效的安全措施继续保留,对确认为不适当的安全举措应核实是否取消、修正或替代。安全措施可以分为预防性措施和保护性措施。

预防性措施可以降低威胁利用脆弱性导致安全事件发生的可能性,例如以下措施:

  • 通过风险评估充分考虑CBS可能的漏洞、面临的威胁及网络事件潜在的影响;
  • 对CBS与其他CBS的连接进行充分的分析、确定和记录;
  • 对安装在CBS上的软件进行识别,并提供每个应用软件、操作系统和固件(如适用)的用途、名称、版本等证据;
  • 为船员组织网络安全培训。

保护性措施可以减少因安全事件发生后对船舶或系统造成的影响,例如以下措施:

  • CBS位于受控访问区域;
  • CBS的物理接口对不可信/不安全的可移动设备不可用;
  • 制定CBS维护策略,其中CBS不与不可信网络建立永久或临时连接,或使用不可信/不安全的可移动设备;
  • 制定事件响应计划和恢复计划,包含船舶发生网络事件时如何处理CBS的说明。

风险分析

 在完成资产识别、威胁识别、脆弱性识别,以及已有安全措施确认后,船东/船公司/供应商应采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对船舶信息系统的影响,即船舶网络系统安全风险。

船舶网络安全风险分析可以是定性的,定量的,也可以是两者的组合:

(1)识别资产并为资产分配价值; (2)识别威胁,描述威胁的属性,并为威胁频率分配值; (3)根据特定资产识别漏洞并为漏洞严重性分配值; (4)根据威胁和脆弱性的严重程度计算安全事件的可能性; (5)根据安全事件的可能性和后果损失计算安全事件对系统的影响,即风险值; (6)风险计算原理范式如下:f(A,T,V)=f(Ia,L(T,V),F)

其中,R代表安全风险计算的功能;A代表资产;T代表威胁;V代表漏洞;Ia代表安全事件所起作用的资产的价值;Va表示漏洞的严重程度;L表示威胁利用漏洞的安全事件的可能性;F代表安全事件的后果。风险计算可采用矩阵法和相乘法等进行计算。

风险评价

为实现对风险的控制与管理,应对风险评估的结果进行等级化处理。不同的等级分别代表系统资产风险严重程度的高低。等级数值越大,脆弱性严重程度越高。如,1~3个等级(分别对应:低、中、高)。

应根据所采用的计算方法,计算系统资产面临的风险值,根据风险值的分布状况,为每个等级设定风险值范围,并对所有风险计算结果进行等级处理。每个等级代表了相应风险的严重程度。见表附录1-2.5.2。

风险等级

| 等级 | 标识 | 描述 | | — | — | — | | 3 | 高风险 | 高。系统、数据不可用,严重影响安全操作,对船舶运营造成重大影响 | | 2 | 中风险 | 适中。未经授权访问船舶网络、系统、数据和其他资源,影响船舶日常运营,但影响面和影响程度不大 | | 1 | 低风险 | 低。对系统、数据的可用性造成影响较小,通过简单的措施可弥补或有替代措施 |

风险处置措施

风险处置计划,

对不可接受的风险应根据导致风险的脆弱性为船舶网络系统制定风险处置计划。风险处置计划中明确采取的弥补脆弱性的安全措施、预期效果、实施条件、季度安排、责任部门等。安全措施的选择应从管理与技术两个方面考虑。当一方面的安全措施不足以达到可接受的残余风险水平时,船东/船公司/供应商应采取管理和技术二方面相结合的措施。

残余风险评估,

对于不可接受的风险选择适当安全措施后,为确保安全措施的有效性,可进行再评估,以判断实施安全措施后的残余风险是否已经降低到可接受的水平。对于采取了适当的安全措施后,残余风险的结果仍处于不可接受的风险范围内,应考虑是否接受此风险或进一步采取安全措施,经批准后则纳入应急计划,并定期开展演练。

end

往期内容回顾****

| | | — | | 【工业控制系统网络安全系列课程】第2课-工业控制系统的网络安全风险-过程控制漏洞利用过程 | | 【工业控制系统网络安全系列课程】第2课-工业控制系统的网络安全风险-过程控制漏洞利用(一)ICS过程控制漏洞概述 | | 【工业控制系统网络安全系列课程】第2课-工业控制系统的网络安全风险-过程控制漏洞利用(二)典型漏洞利用路径 |

@请赐予我力量,关注和转发是最大的支持@

欢迎扫码进群交流


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:老付话安全 老付话安全 老付话安全《【船舶网络安全系列】CBS 网络风险评估方法》

评论:0   参与:  0