【船舶网络安全系列】一文读懂中国船级社船舶网络安全指南(五)

admin 2026-07-14 05:01:02 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文解读中国船级社船舶网络安全指南中数据保密性、受限数据流、事件及时响应和资源可用性等安全要求。详细阐述了信息保密性、持久性、加密、网络分段、区域边界保护、系统外通信限制、应用分区、审计日志、持续监控、抗DoS、资源管理和系统备份等要求,并提供了验证流程、实施方法和解决方案。指南强调根据安全等级SL0-SL4实施不同强度的防护措施。 综合评分: 80 文章分类: 网络安全,安全建设,技术标准,解决方案,云安全


cover_image

【船舶网络安全系列】一文读懂中国船级社船舶网络安全指南(五)

原创

老付话安全 老付话安全

老付话安全

2026年7月10日 20:19 山东

在小说阅读器读本章

去阅读

点击蓝字

关注我们

关注我,带给你不一样的精彩

世界因你的沉淀而出彩

始于理论,源于实践,终于实战

老付话安全,每天一点点

激情永无限,进步看得见

严正声明

本号所写文章方法和工具只用于学习和交流,严禁使用文章所述内容中的方法未经许可的情况下对生产系统进行方法验证实施,发生一切问题由相关个人承担法律责任,其与本号无关。

特此声明!!!

本文字数:

6159字

阅读时间:

16分钟

2.3.1.4 数据保密性

(1)信息保密性

| 编号 | 要求 | SL0 | SL1 | SL2 | SL3 | SL4 | | — | — | — | — | — | — | — | | SR4.1 | 应能支持显式读授权,保护信息的保密性,无论是存储信息还是在传输中的信息 | √ | √ | √ | √ | √ | | SR4.1 RE1 | 应能保护存储信息和远程访问会话信息通过不可信网络时的保密性 | | | √ | √ | √ | | SR4.1 RE2 | 应能保护通过任何区域边界的信息的保密性 | | | | | √ |

| 编号 | 要求 | 验证流程 | 现场实施/查看方法 | 解决方案 | | — | — | — | — | — | | SR4.1 | 保护存储和传输中的保密性(显式读授权) | 1. 抓包查看是否明文传输; 2. 未授权用户不能读取文件。 | 检查网络加密(TLS/IPsec);文件系统权限。 | 启用加密协议;配置文件权限。 | | SR4.1 RE1 | 保护通过不可信网络的信息(SL2+) | 远程会话内容加密。 | 查看VPN或SSH隧道。 | 强制所有远程访问走VPN。 | | SR4.1 RE2 | 保护任何区域边界的信息(SL4) | 内部网络也加密(MACsec)。 | 检查交换机是否启用MACsec。 | 部署MACsec或IPsec。 |

(2)信息持久性

| 编号 | 要求 | SL0 | SL1 | SL2 | SL3 | SL4 | | — | — | — | — | — | — | — | | SR4.2 | 组件退役或服务释放时应能清除所有相关读授权的信息 | | | √ | √ | √ | | SR4.2 RE1 | 应能防止通过易失性共享内存资源进行未授权和非计划的信息传输 | | | | √ | √ |

| 编号 | 要求 | 验证流程 | 现场实施/查看方法 | 解决方案 | | — | — | — | — | — | | SR4.2 | 退役或释放时清除信息(SL2+) | 设备退役后,使用数据恢复工具无法恢复敏感数据。 | 查看是否有安全擦除流程(如shred、DBAN)。 | 制定资产处置制度,使用安全擦除工具。 | | SR4.2 RE1 | 防止共享内存未授权传输(SL3+) | 检查进程间通信是否隔离。 | 查看SELinux策略或容器隔离。 | 使用命名空间或强制访问控制。 |

(3)使用加密

| 编号 | 要求 | SL0 | SL1 | SL2 | SL3 | SL4 | | — | — | — | — | — | — | — | | SR4.3 | 如需要加密,应根据普遍接受的安全行业实践和建议,使用加密算法、密钥长度和密钥建立和管理机制 | √ | √ | √ | √ | √ |

| 编号 | 要求 | 验证流程 | 现场实施/查看方法 | 解决方案 | | — | — | — | — | — | | SR4.3 | 使用行业认可的加密算法和密钥长度 | 检查配置文件,确认使用AES-256、RSA-2048等。 | 查看TLS证书签名算法;SSH密钥类型。 | 禁用过时算法(3DES、MD5),升级到现代算法。 |

2.3.1.5 受限数据流

(1)网络分段

| 编号 | 要求 | SL0 | SL1 | SL2 | SL3 | SL4 | | — | — | — | — | — | — | — | | SR5.1 | 应能从逻辑上将 OT 系统网络与 IT 系统网络进行分段,从逻辑上将重要系统网络与其他系统网络进行分段 | √ | √ | √ | √ | √ | | SR5.1 RE1 | 应能将 OT 系统网络与 IT 系统网络进行物理分段,并将重要系统网络与其他控制系统网络进行物理分段 | | | √ | √ | √ | | SR5.1 RE2 | 应能向 OT 系统网络、重要系统网络或其他网络提供服务,而不连接到 IT 系统网络 | | | | √ | √ | | SR5.1 RE3 | 应能从逻辑上和物理上隔离提供主重要服务的重要系统网络和提供次重要服务的重要系统网络 | | | | | √ |

| 编号 | 要求 | 验证流程 | 现场实施/查看方法 | 解决方案 | | — | — | — | — | — | | SR5.1 | 逻辑上将OT与IT分段 | 从IT网段ping OT网段应不通(除非防火墙规则允许)。 | 查看网络拓扑图,确认VLAN划分。 | 重新规划VLAN,配置ACL。 | | SR5.1 RE1 | 物理分段(SL2+) | OT和IT使用独立的交换机、网线。 | 现场查看机柜,OT网线颜色不同、独立交换机。 | 采购独立网络设备,物理隔离。 | | SR5.1 RE2 | 不连接IT网络提供服务(SL3+) | OT系统不依赖IT网络进行认证或服务。 | 检查OT系统是否依赖AD等IT服务。 | OT建立独立认证服务器。 | | SR5.1 RE3 | 主重要与次重要系统物理隔离(SL4) | 推进控制网络与报警网络完全独立。 | 查看物理布线。 | 分设独立交换机和线缆。 |

(2)区域边界保护

| 编号 | 要求 | SL0 | SL1 | SL2 | SL3 | SL4 | | — | — | — | — | — | — | — | | SR5.2 | 应能监测和控制区域边界的通信,根据基于风险等方式划分区域 | √ | √ | √ | √ | √ | | SR5.2 RE1 | 应默认拒绝所有网络流量,允许例外网络流量(也称为拒绝所有,例外允许) | √ | √ | √ | √ | √ | | SR5.2 RE2 | 应能防止任何通过控制系统边界的通信(也称为孤岛模式) | | | √ | √ | √ | | SR5.2 RE3 | 当边界保护机制发生操作故障(也称为故障关闭)时,应能防止通过控制系统边界的任何通信。这种“故障关闭”功能的设计应不影响安全相关功能的运行 | | | √ | √ | √ |

| 编号 | 要求 | 验证流程 | 现场实施/查看方法 | 解决方案 | | — | — | — | — | — | | SR5.2 | 监测和控制区域边界通信 | 尝试发送未允许协议(如HTTP)通过边界,应被阻断。 | 查看防火墙规则,默认拒绝。 | 配置防火墙,仅放行明确必要的流量。 | | SR5.2 RE1 | 默认拒绝所有流量,例外允许 | 检查防火墙默认策略为“DENY”。 | 查看防火墙配置(如iptables -P FORWARD DROP)。 | 修改默认策略为DROP。 | | SR5.2 RE2 | 孤岛模式(SL2+) | 边界保护故障时,是否自动切断通信。 | 查看防火墙是否支持fail-close。 | 选择支持fail-close的防火墙。 | | SR5.2 RE3 | 故障关闭不影响安全功能(SL2+) | 切断边界后,本地安全控制仍可运行。 | 模拟边界断开,测试推进等安全功能。 | 确保关键系统不依赖边界通信。 |

(3)系统外通信的限制

| 编号 | 要求 | SL0 | SL1 | SL2 | SL3 | SL4 | | — | — | — | — | — | — | — | | SR5.3 | 应能防止从 CBS 以外的用户或系统接收社交媒介、邮件等通信信息 | | √ | √ | √ | √ | | SR5.3 RE1 | 应能防止传递和接收社交媒介、邮件等通信信息 | | | √ | √ | |

| 编号 | 要求 | 验证流程 | 现场实施/查看方法 | 解决方案 | | — | — | — | — | — | | SR5.3 | 防止接收社交媒介、邮件(SL1+) | CBS是否能收发邮件或浏览网页(应禁止)。 | 检查CBS是否安装了浏览器或邮件客户端。 | 卸载这些软件,使用白名单策略。 | | SR5.3 RE1 | 防止传递(SL2+) | 同样禁止。 | 检查防火墙是否封堵SMTP、HTTP外联。 | 边界防火墙阻止这些协议出站。 |

(4)应用分区

| 编号 | 要求 | SL0 | SL1 | SL2 | SL3 | SL4 | | — | — | — | — | — | — | — | | SR5.4 | 应支持根据关键程度对数据、应用和服务进行分区 | √ | √ | √ | √ | √ |

| 编号 | 要求 | 验证流程 | 现场实施/查看方法 | 解决方案 | | — | — | — | — | — | | SR5.4 | 根据关键程度分区 | 关键应用运行在独立服务器或虚拟机。 | 查看服务器虚拟化平台,是否隔离。 | 使用容器或虚拟化隔离不同安全等级应用。 |

2.3.1.6 事件的及时响应

(1)审计日志可访问性

| 编号 | 要求 | SL0 | SL1 | SL2 | SL3 | SL4 | | — | — | — | — | — | — | — | | SR6.1 | 应支持授权的人员和/或工具以只读方式访问审计日志 | √ | √ | √ | √ | √ | | SR6.1 RE1 | 应能使用应用程序编程接口(API)提供对审计记录的程序化访问 | | | √ | √ | |

| 编号 | 要求 | 验证流程 | 现场实施/查看方法 | 解决方案 | | — | — | — | — | — | | SR6.1 | 授权人员/工具只读访问 | 尝试删除日志应失败;只能查看。 | 检查日志文件权限,普通用户只能读不能写。 | 设置日志目录只读权限,或使用日志服务器。 | | SR6.1 RE1 | API访问(SL2+) | 通过API查询日志,不能修改。 | 查看是否提供REST API只读接口。 | 开发或部署SIEM只读API。 |

(2)持续监控

| 编号 | 要求 | SL0 | SL1 | SL2 | SL3 | SL4 | | — | — | — | — | — | — | — | | SR6.2 | 应使用普遍接受的安全行业实践和建议,持续监控所有安全机制的性能,以及时发现、表征和报告安全漏洞 | | | √ | √ | √ |

| 编号 | 要求 | 验证流程 | 现场实施/查看方法 | 解决方案 | | — | — | — | — | — | | SR6.2 | 持续监控安全机制性能,报告漏洞(SL2+) | 是否有监控平台(如Zabbix、Prometheus)跟踪安全指标。 | 查看监控仪表板,是否显示防病毒状态、防火墙规则变化。 | 部署安全监控系统,如SIEM、EDR。 |

2.3.1.7 资源可用性

(1)抗拒绝服务攻击

| 编号 | 要求 | SL0 | SL1 | SL2 | SL3 | SL4 | | — | — | — | — | — | — | — | | SR7.1 | 应能在 DoS 事件期间维持重要功能。注:可接受计算机系统面对 DoS 事件时降级运行,但不得以可能导致危险情况的方式失效。应考虑基于过载的 DoS 事件,如网络容量被试图淹没的情况,计算机资源被试图消耗的情况 | √ | √ | √ | √ | √ | | SR7.1 RE1 | 应能管理通信负载(如使用速率限制),以减轻 DoS 事件的影响 | | | √ | √ | √ | | SR7.1 RE2 | 应能限制所有用户(人员、软件进程和设备)引发 DoS 事件对其他 CBS 或网络造成的影响 | | | | √ | √ |

| 编号 | 要求 | 验证流程 | 现场实施/查看方法 | 解决方案 | | — | — | — | — | — | | SR7.1 | DoS期间维持重要功能 | 使用工具发送大量流量,检查重要控制响应是否正常。 | 查看网络设备是否有限速、队列策略。 | 配置流量整形、QoS,保证关键流量带宽。 | | SR7.1 RE1 | 管理通信负载(SL2+) | 配置每个接口的速率限制。 | 查看交换机或防火墙的速率限制规则。 | 设置每IP最大连接数、带宽上限。 | | SR7.1 RE2 | 限制用户引发DoS影响其他(SL3+) | 一个用户占用大量资源不应导致整个系统瘫痪。 | 检查cgroup或资源隔离。 | 使用Linux cgroup限制每个进程资源。 |

(2)资源管理

| 编号 | 要求 | SL0 | SL1 | SL2 | SL3 | SL4 | | — | — | — | — | — | — | — | | SR7.2 | 应能通过限制安全功能对资源的占用,防止资源耗尽。例如,CBS 应能够为高优先级进程优先分配系统资源 | √ | √ | √ | √ | √ |

| 编号 | 要求 | 验证流程 | 现场实施/查看方法 | 解决方案 | | — | — | — | — | — | | SR7.2 | 限制安全功能资源占用 | 安全进程CPU占用过高时,自动降优先级。 | 查看nice值或RT调度策略。 | 使用cpulimit或设置CPU亲和性。 |

(3)系统备份

| 编号 | 要求 | SL0 | SL1 | SL2 | SL3 | SL4 | | — | — | — | — | — | — | — | | SR7.3 | 应能标识和定位关键文件,对用户级和系统级信息(包括系统状态信息)进行备份,而不影响设备的正常运行。具体备份要求参考本指南第4章第3节事件恢复相关要求 | √ | √ | √ | √ | √ | | SR7.3 RE1 | 应能验证备份机制的可靠性 | | | √ | √ | √ | | SR7.3 RE2 | 应能根据可配置的频率自动执行备份功能 | | | √ | √ | |

| 编号 | 要求 | 验证流程 | 现场实施/查看方法 | 解决方案 | | — | — | — | — | — | | SR7.3 | 标识关键文件,备份用户/系统级信息,不影响运行 | 备份过程中操作CBS,无中断。 | 查看备份脚本是否使用快照或低优先级。 | 使用LVM快照或Windows VSS进行热备。 | | SR7.3 RE1 | 验证备份可靠性(SL2+) | 定期执行恢复测试,验证备份可用。 | 查看恢复测试记录。 | 每季度执行一次恢复演练。 | | SR7.3 RE2 | 自动按频率备份(SL2+) | 检查crontab或任务计划程序是否有备份任务。 | 查看备份调度配置。 | 设置每日自动备份。 |

(4)控制系统恢复和重建

| 编号 | 要求 | SL0 | SL1 | SL2 | SL3 | SL4 | | — | — | — | — | — | — | — | | SR7.4 | 应能在中断或故障后恢复并重建到已知的安全状态 | √ | √ | √ | √ | √ |

| 编号 | 要求 | 验证流程 | 现场实施/查看方法 | 解决方案 | | — | — | — | — | — | | SR7.4 | 中断或故障后恢复至已知安全状态 | 模拟系统崩溃,使用备份恢复后功能正常且无后门。 | 查看恢复文档是否有黄金镜像。 | 创建黄金镜像并离线保存,制定恢复程序。 |

(5)电源

| 编号 | 要求 | SL0 | SL1 | SL2 | SL3 | SL4 | | — | — | — | — | — | — | — | | SR7.5 | 电源切换应不影响现有安全状态或预设的降级模式 | √ | √ | √ | √ | √ |

| 编号 | 要求 | 验证流程 | 现场实施/查看方法 | 解决方案 | | — | — | — | — | — | | SR7.5 | 电源切换不影响安全状态 | 断开主电源,切换备用电源,系统不重启或进入安全模式。 | 现场测试切换UPS。 | 配置冗余电源,并测试切换。 |

(6)网络和安全配置设置

| 编号 | 要求 | SL0 | SL1 | SL2 | SL3 | SL4 | | — | — | — | — | — | — | — | | SR7.6 | 应能根据供应商推荐的网络和安全配置设置 CBS 的通信量。CBS 应为网络和安全配置提供接口 | √ | √ | √ | √ | √ | | SR7.6 RE1 | 应能生成安全配置报告,可采用 CSV、JSON、XML 等格式 | | | √ | √ | |

| 编号 | 要求 | 验证流程 | 现场实施/查看方法 | 解决方案 | | — | — | — | — | — | | SR7.6 | 根据供应商推荐配置,提供接口 | 能否通过命令行或Web查看当前安全配置。 | 检查是否有show running-config类似命令。 | 提供配置备份和查看接口。 | | SR7.6 RE1 | 生成安全配置报告(SL2+) | 能否导出CSV/JSON格式配置。 | 检查是否有导出按钮。 | 开发配置导出脚本。 |

(7)最小功能

| 编号 | 要求 | SL0 | SL1 | SL2 | SL3 | SL4 | | — | — | — | — | — | — | — | | SR7.7 | 应明确禁止和/或限制使用不必要的功能、端口、协议和/或服务 | √ | √ | √ | √ | √ |

| 编号 | 要求 | 验证流程 | 现场实施/查看方法 | 解决方案 | | — | — | — | — | — | | SR7.7 | 禁止或限制不必要的功能、端口、协议、服务 | 使用端口扫描器(nmap)扫描CBS,只开放必需端口。 | 运行netstat -an查看监听端口。 | 关闭未使用服务,移除不必要软件。 |

(8)控制系统组件清单

| 编号 | 要求 | SL0 | SL1 | SL2 | SL3 | SL4 | | — | — | — | — | — | — | — | | SR7.8 | 应记录已安装组件及其关联属性的列表 | | | √ | √ | √ |

| 编号 | 要求 | 验证流程 | 现场实施/查看方法 | 解决方案 | | — | — | — | — | — | | SR7.8 | 记录已安装组件及其属性(SL2+) | 核对硬件/软件清单与实际设备是否一致。 | 查看系统“关于”界面或文档。 | 维护动态资产清单,每次变更更新。 |

2.4 安全开发周期要求(SDLC)

  • 覆盖阶段:需求、设计、实现、验证、发布、维护、退役
  • 需提交文档:私钥控制、安全更新文档、组件/OS 安全更新文档、安全更新交付程序、产品纵深防御策略、预期外部环境措施、安全加固指南
  • 供应商需通过 CCS 现场审核验证

安全开发周期(SDLC)七大阶段

系统/设备开发必须遵循安全开发生命周期,覆盖:

  1. 安全需求分析 – 明确预期安全环境与功能(考虑威胁模型等)
  2. 安全设计 – 选择安全语言、架构、加密等实现方式
  3. 安全实施 – 规范编码、代码分析、安全测试、人工审核
  4. 验证 – 测试安全功能,记录并修复问题,发布前将风险降至可控
  5. 发布 – 安全评审通过后方可发布
  6. 维护 – 定期安全评估,必要时更新补丁
  7. 退役 – 安全移除设备,彻底清除信息

供应商必须提交的安全开发周期文档(7份)

  1. 私钥控制文件 – 保护代码签名的私钥(如适用)
  2. 安全更新文档 – 补丁版本、安装说明、影响、验证方法、不安装的风险
  3. 组件/OS安全更新兼容性文档 – 说明产品是否兼容依赖组件的安全更新
  4. 安全更新交付程序 – QA流程,确保更新真实有效
  5. 产品纵深防御策略 – 安全能力、应对的威胁、已知风险的缓解策略
  6. 预期外部环境纵深防御措施 – 期望外部环境(物理、策略等)提供的安全措施
  7. 安全加固指南 – 删除/禁用不必要软件、账户、服务等的具体方法

end

往期内容回顾****

| | | — | | 【工业控制系统网络安全系列课程】第2课-工业控制系统的网络安全风险-过程控制漏洞利用过程 | | 【工业控制系统网络安全系列课程】第2课-工业控制系统的网络安全风险-过程控制漏洞利用(一)ICS过程控制漏洞概述 | | 【工业控制系统网络安全系列课程】第2课-工业控制系统的网络安全风险-过程控制漏洞利用(二)典型漏洞利用路径 |

@请赐予我力量,关注和转发是最大的支持@

欢迎扫码进群交流


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:老付话安全 老付话安全 老付话安全《【船舶网络安全系列】一文读懂中国船级社船舶网络安全指南(五)》

评论:0   参与:  0