事關(guān)船舶安全新規(guī)，今年起強(qiáng)制執(zhí)行！

近年來，隨著船舶數(shù)字化、智能化、網(wǎng)絡(luò)化發(fā)展水平的加提升，越來越多的控制系統(tǒng)、通訊導(dǎo)航系統(tǒng)、信息管理系統(tǒng)及設(shè)備不斷接入船舶網(wǎng)絡(luò)，而新設(shè)備、系統(tǒng)接入和信息交互，增加了船載網(wǎng)絡(luò)遭受網(wǎng)絡(luò)攻擊的威脅。2023 年 1 月 16 日 DNV 船級(jí)社證實(shí)，針對(duì)其船隊(duì)管理和運(yùn)營(yíng)平臺(tái) “ShipManager” 的網(wǎng)絡(luò)攻擊已影響到約 1,000 艘船，導(dǎo)致 “ShipManager” 軟件系統(tǒng)相關(guān)的 IT 服務(wù)器被迫暫時(shí)關(guān)閉服務(wù)。這個(gè)專門針對(duì)海事行業(yè)的勒索軟件攻擊也提醒航海業(yè)者，提升船載系統(tǒng)的網(wǎng)絡(luò)安全韌性已經(jīng)迫在眉睫。

2017 年，國(guó)際海事組織會(huì)議已經(jīng)表決通過了（IMO）MSC.428（98）號(hào)決議：安全管理體系中的海事網(wǎng)絡(luò)風(fēng)險(xiǎn)管理，鼓勵(lì)管理公司建立船舶網(wǎng)絡(luò)風(fēng)險(xiǎn)管理體系，并將其納入船舶安全管理體系。該決議于 2021 年 1 月 1 號(hào)正式生效，開啟了航運(yùn)業(yè)網(wǎng)絡(luò)安全意識(shí)的覺察。

2024 年，全面執(zhí)行 UR E26 & UR E27 關(guān)鍵年

2022 年 4 月，國(guó)際船級(jí)社協(xié)會(huì) IACS 通過了最新網(wǎng)絡(luò)安全要求，UR E26：《Cyber resilience of ships 船舶網(wǎng)絡(luò)韌性》以及 UR E27：《Cyber resilience of on-board systems and equipment 船載系統(tǒng)和設(shè)備的網(wǎng)絡(luò)韌性》。這兩項(xiàng) UR 中明確要求：

對(duì)于建造合同日期為 2024 年 1 月 1 日或之后的船舶，IACS 成員內(nèi)需要強(qiáng)制執(zhí)行， 宣告航運(yùn)業(yè)即將進(jìn)入全面網(wǎng)絡(luò)安全實(shí)操階段

關(guān)鍵：如何在期限內(nèi)更好滿足 UR E26 以及 UR E27 ？搞懂 4 個(gè)關(guān)鍵點(diǎn)

關(guān)鍵一：對(duì)航運(yùn)業(yè)哪些人員產(chǎn)生影響？

UR E26：《Cyber resilience of ships 船舶網(wǎng)絡(luò)韌性》

目的：將船舶視為一個(gè)整體來實(shí)現(xiàn)網(wǎng)絡(luò)韌性，并為其他 UR 和行業(yè)標(biāo)準(zhǔn)應(yīng)對(duì)的船上系統(tǒng)、設(shè)備和組件的網(wǎng)絡(luò)韌性問題提供基礎(chǔ)

主要對(duì)象：船舶設(shè)計(jì)方/船廠的系統(tǒng)設(shè)計(jì)人員

UR E27：《Cyber resilience of on-board systems and equipment 船載系統(tǒng)和設(shè)備的網(wǎng)絡(luò)韌性》：

目的：此文檔規(guī)范了船上系統(tǒng)和設(shè)備網(wǎng)絡(luò)韌性的統(tǒng)一要求，基本上涵蓋了船載所有的 OT（運(yùn)營(yíng)） 系統(tǒng) ；規(guī)范中明確要求須受規(guī)范的系統(tǒng)如圖1

主要對(duì)象：影響涉及既有系統(tǒng)的全體人員

圖1： UR E26/E27明確要求須受規(guī)范的系統(tǒng) 

除了船舶設(shè)計(jì)方/船廠，和船載系統(tǒng)集成商，其他利益相關(guān)者也需跟進(jìn)配合：

船東/公司（Shipowner/Company）：明確需入籍的船級(jí)社和需符合的安全等級(jí)

組件供應(yīng)商（Supplier）：提供安全健壯性高的產(chǎn)品（參考 IEC 62443-4-1/IEC 62443-4-2）

船級(jí)社（Classification Society）: 根據(jù)本船級(jí)社的安全標(biāo)準(zhǔn)進(jìn)行審核

關(guān)鍵二：船載系統(tǒng)集成商盡早跟進(jìn) UR E27 有什么收益？

2024 年 1 月 1 日后，船廠就需要按照新規(guī)范規(guī)劃涉及船舶整個(gè)系統(tǒng)的安全，同時(shí)在與各個(gè)船載系統(tǒng)簽署分包合同時(shí)，要求提供滿足 UR E27 形式認(rèn)可的新系統(tǒng)方案。因此對(duì)于船載系統(tǒng)集成商而言，在 2023 年底前完成差距分析和新方案驗(yàn)證，有助于在 2024 年的競(jìng)爭(zhēng)中取得優(yōu)勢(shì)地位。

關(guān)鍵三：需參考哪個(gè)船級(jí)社的標(biāo)準(zhǔn)進(jìn)行驗(yàn)證?

各個(gè)船級(jí)社預(yù)計(jì)將在今年內(nèi)，基于 UR E26 和 UR E27 要求而推出各個(gè)船級(jí)社的指導(dǎo)文件，以及做好相關(guān)配套。其中包括 ：

DNV 目前已經(jīng)在執(zhí)行的 《DNV-RU-SHIP-Pt6Ch.5》SECTION 21 CYBER SECURITY 中，已完成了 UR E26 E27 標(biāo)準(zhǔn)的對(duì)應(yīng)

CCS 已經(jīng)發(fā)布的《船舶網(wǎng)絡(luò)安全指南》正式版已于 2025 年 5 月 1 日開始正式生效

雖然每個(gè)船級(jí)社都會(huì)發(fā)布自己的版本，但由于都需要與 IACS 做溝通和確認(rèn)，因此預(yù)料各個(gè)船級(jí)社的內(nèi)容差異不會(huì)很大，可以依據(jù) 2024 年主要的項(xiàng)目入籍需求，優(yōu)先選擇一個(gè)船級(jí)社要求做規(guī)劃和驗(yàn)證。

關(guān)鍵四：UR E26 與 UR E27 主要內(nèi)容和框架是什么？

E26 是一個(gè)指導(dǎo)原則，告訴海事從業(yè)人員在建立 CBS 系統(tǒng)時(shí)，必須從識(shí)別、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù) 5 個(gè)方面考慮考慮信息安全問題，目標(biāo)是構(gòu)建一個(gè)具備網(wǎng)絡(luò)安全韌性的船艦。特別說明：網(wǎng)絡(luò)安全韌性也并不代表完全實(shí)現(xiàn)安全零風(fēng)險(xiǎn)，而是在發(fā)生網(wǎng)絡(luò)安全事件時(shí)，船艦?zāi)軌蚓S持基本的安全運(yùn)行，并能夠快速相應(yīng)安全事件。

E27 是在 E26 的指導(dǎo)原則上，定義具體的系統(tǒng)安全要求，提供可執(zhí)行的操作指導(dǎo)。從 E27 的具體安全要求可以看到，E27 主題內(nèi)容是參考和引用成熟的工業(yè)信息安全體系 IEC 62443-3-3 進(jìn)行的系統(tǒng)性安全要求。

搞清楚 IEC 62443 = 能夠處理 E27 的安全要求

圖2：UR E27 與 IEC 62443-3-3 對(duì)應(yīng)關(guān)系（節(jié)選）

如何加速實(shí)現(xiàn)？IEC 62443 是評(píng)估船載系統(tǒng)是否能通過 UR E27 的關(guān)鍵點(diǎn)

IEC 62443 現(xiàn)為國(guó)際廣泛采納和認(rèn)可的?業(yè)?動(dòng)化及控制系統(tǒng) （Industrial Automationand Control System, 簡(jiǎn)稱 IACS） 的網(wǎng)通安全 （CyberSecurity） 標(biāo)準(zhǔn)。目前全球知名的控制系統(tǒng)和設(shè)備廠商，如西門子，ABB 等都通過了 IEC 62443 體系的安全認(rèn)證；而軌道交通，電力，能源，醫(yī)療，制造，海事等應(yīng)用領(lǐng)域也開始采用 IEC 62443 作為行業(yè)信息安全標(biāo)準(zhǔn)。

IEC 62443 針對(duì)業(yè)主、集成商、產(chǎn)品供應(yīng)商提供了可參考的信息安全標(biāo)準(zhǔn)和流程依據(jù)（參考圖 3）。其中 IEC 624432-3-3 針對(duì)特定系統(tǒng)的整體提出具體要求和認(rèn)證，而 IEC 62442-4-2 針對(duì)組成系統(tǒng)的組件提出具體安全功能要求。

簡(jiǎn)單來說，要達(dá)到特定的系統(tǒng)安全等級(jí)，首先需要系統(tǒng)中的組件具備自身安全健壯的能力，然后，評(píng)估系統(tǒng)中安全薄弱點(diǎn)，評(píng)估是否需要使用安全補(bǔ)償措施來實(shí)現(xiàn)系統(tǒng)級(jí)的安全。

如果要評(píng)估船載系統(tǒng)更好、更快的通過 ER E27 ，可參考成熟的 IEC 62443 系統(tǒng)中的組件和服務(wù)供應(yīng)商。

圖3： IEC 62443 框架內(nèi)容說明

符合海事行業(yè)要求的工業(yè)安全方案， 才是您實(shí)現(xiàn) UR E26 E27 的最佳拍檔！

Moxa 是全球最早通過 IEC 62443-4-1 以及 IEC 62443-4-2 認(rèn)證的工業(yè)網(wǎng)絡(luò)通訊廠家，對(duì)于 IEC 62443 體系有深入的認(rèn)知和經(jīng)驗(yàn)； Moxa 更具有完整的符合海事認(rèn)證 （DNV-GL、LR、ABS、NK）的工業(yè)通訊產(chǎn)品，一直是全球海事系統(tǒng)集成用戶的首選工業(yè)品牌之一。

針對(duì) UR E26 E27 ，Moxa 所提供的工業(yè)網(wǎng)絡(luò)設(shè)備組件能夠完全滿足標(biāo)準(zhǔn)所要求的設(shè)備安全健壯性，同時(shí)，針對(duì)既有系統(tǒng)中所存在的安全風(fēng)險(xiǎn)，Moxa 所提供的工業(yè)網(wǎng)絡(luò)安全方案能夠提供滿足標(biāo)準(zhǔn)要求的系統(tǒng)安全補(bǔ)償方案，這正是中對(duì)于通過海事新安全要求的關(guān)鍵。Moxa 已經(jīng)做好準(zhǔn)備，為海事用戶網(wǎng)絡(luò)安全保駕護(hù)航 ！