【摘要】卫星通信在各类应急事件中的应用可以按照功能性和机动性两个角度划分。卫星通信的应用分为以语间通信为主的应用,机动性主要针对可以应急通信现场工作的卫星站。我国主要使用国外卫星移动通信系统开展卫星移动通信业务。下面是小编精心推荐的《VSAT卫星信息安全论文 (精选3篇)》,欢迎大家借鉴与参考,希望对大家有所帮助!
VSAT卫星通信便携终端设计方法研究
摘要:探究可用于VSAT卫星通信便携终端类的工业设计流程及方法。以工业设计视角对VSAT卫星通信便携终端进行综合分析,明确终端功能要求、人机工程学要求、结构特点等,并以航天恒星科技有限公司的SATTOUR系列卫星通信便携终端为例,通过对其设计过程的归纳总结,得到一种针对卫星通信中典型终端产品的设计流程及方法。归纳总结出一种VSAT卫星通信类便携终端的设计方法。该方法可为同类型卫星通信产品的设计研发提供参考。
关键词:焦作市 工业设计 服务平台 产业链
引言
通信,即通过某种媒介或行为,实现信息的传递与交流。通信手段伴随着科技的发展而不断进步,短短的30年间,人类的通信技术就从数字语音传输技术的2G发展到蜂窝移动通信技术的5G,在通信速率方面完全可以满足现在人们的需求,在满足人们对通信速率的追求后,多通信手段相互补充也许就是后SG时代通信技术发展的方向。卫星通信在诸多方面的优势,可以有效弥补地面通信的不足,很有可能成为后5G时代的宠儿。1945年英国科幻大师Clark在《地球外的中继》中,针对卫星通信的可行性进行了详细的论述,而我国1984年研制并发射成功的“东方红”二号(同步通信卫星),则揭开了我国研发卫星通信技术的历史。在通信距离、地理环境限制、自然灾害以及人为事件、通信质量和系统可靠性等方面,卫星通信的优势明显。目前,卫星通信广泛应用于电视广播、教育、财政、金融、水利、军事、应急等领域。
随着技术的不断提升,卫星通信系统的建设应用得到了广泛关注。近年来,以美国Space x为代表的商业航天公司,提出明确的低轨通信卫星Starlink星座计划,我国的鸿雁、虹云低轨通信星座也实现了首星的成功发射。未来在物联网、全球通信等领域,卫星通信的优势将逐步突显。相关调研机构预测,未来国内卫星通信产业市场规模可突破千亿,而卫星通信设备的市场将突破百亿元。如此规模的设备、产品研发离不开工业设计的支撑,这类产品的设计有别于文创、电子消费品、家电等产品。卫星通信终端的设计受到产品功能复杂、产品单价高、技术更新迭代快、卫星资源管控严格等因素的制约,导致以工业设计为主导的大众消费级产品设计流程方法,无法有效地指导现有产品的研发。文章将以卫星通信中较为典型的VSAT系统便携终端为例,通过对产品的功能需求分析、典型终端设计流程及方法的研究,归纳总结出一种适用于卫星通信终端的工业设计方法,为后续开展此类产品设计研发提供一定的参考。
一、卫星通信及应用
卫星通信是一种利用人造地球卫星作为中继站来转发无线电波而进行的两个或多个地球站之间的通信方式。它是微波通信和航天技术相结合而形成的新兴通信技术,形象地解释,就相当于把手机基站利用航天技术发射到太空中,从而形成一个不受地球环境及自然灾害限制的远距离通信网络。
(一)卫星通信的应用
传统卫星通信应用在电视、电话、传真、电报和数据等场合。近年通信卫星的能力大幅度提升,例如我国最新研制的东方红5号通信卫星平台,发射重量10吨,承载有效载荷2000公斤,可以实现300G至1T的通信容量。卫星通信的创新应用也不断层出不穷,包括自然环保、应急救灾、卫星专网以及信息安全等领域。
而卫星通信系统也在不断丰富,多种模式交叉融合,硬件设备集成度不断提升,终端芯片化趋势明显。随着未来卫星通信用户群体的扩大,市场需求将不断促进卫星产业的发展。作为全球信息网络的重要组成部分,VSAT系統、低轨通信系统等典型卫星通信系统都受到了人们广泛的关注,并逐渐进入我们的生活。卫星通信将与其他通信手段不断融合补充,在万物互联的时代,更好满足人们对美好生活的追求,对我国的国民经济发展,对产业信息化产生巨大的促进作用。
(二)卫星通信的分类
卫星通信系统是由空间段(通信卫星)、地面段(通信地球站)、跟踪遥测及指令分系统和监控管理分系统四大部分组成的。
按照卫星通信的轨道不同,卫星通信系统一般分为:
1.即时转发卫星通信系统
2.低轨移动卫星通信系统
3.延迟转发卫星通信系统
4.地球静止卫星通信系统
二、VSAT卫星通信系统概述
VSAT是20世纪八十年代由美国首先设计开发的一套卫星通信设备,为Very Small Aperture Terminal的首字母缩字,直译为甚小口径卫星终端站。这里的“小”指的是VSAT卫星通信系统中小站设备的天线口径小,通常为0.3-2.4m。VSAT系统具有灵活性强,可靠性高,成本低,使用方便以及小站可直接装在用户端等特点。VSAT系统由一个主站及众多分散设置在各个用户所在地的远端VSAT组成,可不借助任何地面线路,不受地形、距离和地面通信条件限制,可实现宽带数据传输。特别适用于有较大信息量和所辖边远分支机构较多的部门使用。
(一)VSAT卫星通信系统优势
1.通信资费与距离远近无关,信号覆盖范围大;
2.具有一对多的通信能力;
3.信息可以进行非对称传输:
4.结构简单、组网灵活,可提供多种传输业务;
5.终端用户可以直接入网,无需其他网络转接;
6.系统容量大。
(二)VSAT卫星通信应用领域
1.远程应用:培训、医疗、教育、信息采集和传输等。
2.信息广播服务:利用传输距离远、一对多等特点,为用户提供广播电视等信息传输服务。
3.互联网接入:在地面网络设施涉及不到的地区,利用卫星双向通信系统,为用户远程接入互联网提供支撑。
4.自然灾害应急通信:地面通信基础设施,在受到自然灾害和认为破坏时,通过VSAT系统,提供保障通信、救援指挥等。
5.环保监测:由于自然保护区等区域通信网络缺乏,利用VSAT系统实现保护区监测、数据采集及传输。
6.通信专用网:为行业或政府部门提供专网服务,用于内部通信或视频会议。
(三)VSAT卫星通信终端设计需求分析
VSAT卫星通信系统一经推出,就产生了飞速发展。在地面基础设施方面,我国已经建成数量众多的主站,卫星专用通信网,VSAT地球站等,已经形成了覆盖全国的卫星通信网络。VSAT卫星通信技术的蓬勃发展及应用领域的持续拓展,在国内自然保护区、地震泥石流等自然灾害现场等都可以见到它的身影。在信息安全领域,VSAT卫星通信可为国家政府机关提供卫星专用网服务。如此庞大的新兴市场,其设计需求不断扩大,越来越多的用户对终端的设计要求也持续提高,在此过程中工业设计的重要性逐渐显现。
三、以SatTour系列卫星通信便携终端为例,简述工业设计流程方法
飒途(SatTour)系列便携终端是基于VSAT卫星通信系统,由中国航天科技集团公司航天恒星科技有限公司自主研发的KU频段卫星通信终端系列产品,目标用户为“驴友”等有野外环境需求的用户研制的民用化卫星通信产品。可以提供宽带卫星通信服务,实现与各电信运营网络互联互通,在无手机基站地区接入国际互联网,实现数据的传输。
(一)终端基本组成
飒途(SatTour)系列便携终端基本组成为:天线组件、功放、低噪放、VSAT小站、电池、机构及线缆等。用户在使用产品时,需要对天线进行极化、俯仰、方位进行调整,完成对星操作,方可实现卫星通信业务。除SatTour-600Z可实现一键对星功能外,其他各型终端均需进行手动对星操作,其具体操作步骤如图1所示。
SatTour终端产品的研制和批产分为方案设计阶段、首批次(小批量)产品研制阶段,批量生产阶段、产品交付阶段。终端批产阶段具体划分如表1所示。
(二)工业设计难点分析
1.产品集成度不够
SatTour-A系列产品由抛物面天线、天线支架、BUC、LNB、小站、电池等组成,加上各类线缆、零配件,合计20件。SatTour-600Z内部没有集成通信业务相关功能,需搭配独立的VSAT小站完成卫星通信工作,用户体验差。
2.产品整机重量过重
研制初期对产品重量进行了估算,SatTour-600B整机15kg左右,加上背包重量超过20kg,不适合长时间背负。300B产品整机7kg,虽然可以实现背负,但性能指标无法满足宽带通信要求。
3.操作较为繁琐
产品在使用过程中需要进行对星操作,天线需要实现方位、俯仰、极化三个维度的调节,调节完成后需要进行固定锁紧,所以至少进行以上六项的操作,对于非专业用户,产品操作难度过大。
4.生产工艺较为复杂
为保证产品实现方位、俯仰、极化三个维度的调节,机构配合复杂,产品零件多,组装难度大,装配效率低。配合间隙过大,风中作业会出现晃动,对通信质量产生一定影响。控制系统集成度低,控制箱部件模块较多,各模块之间存在大量连线,给生产带来较大不便。
5.生产成本高
为保证产品机构性能,阻尼轴等标准件均采用进口零件,不仅限制了产品外观结构设计,还增加了产品硬成本。由于产量较少,模具费用分摊到每套产品,导致产品结构成本过高,产品定价缺少市场竞争力。
为了在设计过程中较好地解决以上问题,根据航天系统产品研发中“两个流程”的要求,从SatTour系列终端研制的实际情况出发,针对各个型号产品制订详细的技术实现流程,图2为satTour-300B技术流程图。
(三)SatTour系列产品设计方法及工作内容
确定各个终端产品研制的技术路线后,工业设计人员在论证初期介入,与机构、射频、通信等各个专业技术人员共同探讨终端设计方案。具体工作内容如下:
1.确定终端产品机构原理形式。在明确各个型号终端产品的硬件组成后,开展机构原理形式创意设计。由于对星要求,各个终端天线需要实现极化、俯仰、方位三个维度的连续可调,精度要求高,并可在任意位置锁紧固定。所以在设计初期机构的原理形式至关重要,工业设计师与机构、结构设计师共同提出概念方案,并评估其可行性。
2.标准零件的选用。机构活动关节的设计及加工较复杂,在相关经验较少的情况下,选用合适的标准机构零件可以有效保证产品的可靠性、降低研发投入及相关成本。
3.终端产品外观设计。在机构方案、标准件选型、天线及硬件输入确定的情况下,开展外观设计工作,完成方案草图、效果图等制作,通过评审确定最终外观效果。
4.终端产品机构、结构设计。根据确定好的外观设计方案,开展机构结构详细设计,完成结构样机的投产加工及配装工作,并完成原理样机的性能测试工作。依据测试结果,完善优化机构、结构方案,实现终端产品定型。
5.模具设计及量产。以产品定型方案为依据,完成相关模具设计,开展小批量试产及验证。根据小批量试产结果,对模具进行优化,并开始批量生产加工,完成产品组装装配,如图3。
四、VSAT终端产品工业设计原则及方法探究
以工业设计为主导的民用消费产品研发,大概可分为圖4所示的三个阶段。
目前在技术相对成熟与稳定的领域,民用消费品的设计研发大多以工业设计为先导,可以充分发挥工业设计在产品创新和定位方面特有的优势。而VSAT终端产品设计研发是以功能实现为首要目标,技术水平处于提升阶段,产品集成度相对较低,对机构、结构要求较高,并且涉及多专业交叉融合。在众多因素综合影响下,导致其工业设计的设计原则及方法流程,有别于大众消费产品,通过SATTOUR系列产品的设计研发过程,可以基本明确,VSAT卫星通信终端在目前阶段,其设计原则可归纳为:功能第一、专业协同、成本评估、设计提升。随着卫星通信技术的不断优化提升,当技术状态趋于稳定,VSAT终端产品将逐渐过渡到以工业设计为起点,从需求分析、用户体验、产品创新等方面主导产品研发,呈现出外观新颖、使用方便、性能优良、售价合理的各型终端产品,逐步优化卫星通信产品开发流程,实现卫星通信产品的普适化、可制造化、商品化。
总结
结合以工业设计为主导的民用产品研发流程,以VSAT卫星通信便携终端的特点,通过对SatTour系列产品研发过程的梳理,形成了以下适合此类产品的工业设计流程,如图5所示。该流程方法可为同类型的卫星通信终端产品的设计研发提供参考。
作者:王大印 刘大勇 陈拓
卫星通信在应急保障系统中的应用和建设
【摘 要】卫星通信在各类应急事件中的应用可以按照功能性和机动性两个角度划分。卫星通信的应用分为以语间通信为主的应用,机动性主要针对可以应急通信现场工作的卫星站。我国主要使用国外卫星移动通信系统开展卫星移动通信业务。
【关键词】卫星通信;应急保障;多角度
1.卫星通信在应急事件中的应用
卫星通信在各类应急事件中的应用可以按照功能性和机动性两个角度划分。
1.1功能性角度的应用
从功能性角度,卫星通信的应用分为以语间通信为主的应用、综合接入和中继备份3种方式。
语音通信为主的应用方式主要通过移动卫星业务终端实现,通常可以提供语音、短信、低速数据、定位、漫游等功能,不同的卫星通信系统功能略有差别。
综合接入的应用方式可以提供大容量的语音,并提供应急事件现场与指挥中心数据传送、静止或者运动图像的传送。大多数提供综合接入功能的卫星站基于ICP IP实现数据信息传送。
中继备份的应用方式支持2MBIT S以上的中继传输电路,紧急情况下提供应急事件现场与公众通信网络(或行业专用通信網络)之间的中继电路。
中继备份所用的卫星站可以基于IDR(或IBS)系统或者VSAT系统实现。IDR(或IBS)系统提供中等速率电路支持数据通信和语音通信,通常应用较多的是2MBIT S和8MBIT S速率。 VSAT 系统目前多数基于IP实现,通常可支持2-8MBIT S数据速率。
1.2机动性角度的应用
机动性主要针对可以应急通信现场工作的卫星站。从该角度卫星站分为便携站和车载站两种,各设备通过卫星链路实现与卫星固定地面站或者其他移动站之间的通信。
便携卫星站包括手持终端以及可通过1-2人搬运的卫星站,系统容量小,以提供语音通信应用和综合接入应用为主,用于完成各级事件的基本通信保障。便携站可采用集装箱量、抗震要求和包装形式可参照相关国家标准或者满足通信接口,便于与其他设备连接,实现现场快速组网。便携卫星站应30MIN内完成抵达现场后的组装,并建立卫星通信。便携站的重量一般在200KGC 以下。当发生特大突发事件,当地应急通信保障能力严重不足且地面道路条件不好时, 可将便携站空运或空投到应急现场,当发生突发事件且事件且通信需求较少,或通信需求较大但应急车不能第一时间起赶到现场时,可采用手持终端或人工搬运的便携站。
车载卫星站可固定安装在应急车上或者通过车辆运抵现场,主要用于提供综合接入及中继备份业务。车载站一般应在到达现场后10MIN内,完成了卫星通路建立。当发生特大、重大突发事件或举行重大活动且地面交通条件良好时,可提供应急通信保障。
2.应急卫星通信系统及其建设
2.1卫星移动通信系统
目前我国主要使用国外卫星移动通信系统开展卫星移动通信业务,覆盖我国的系统、海事卫星系统、铱星系统和Thuraya系统。实际应用中,可以结合卫星信号的强弱、使用费用、业务能力、终端小型化等因素,选用适宜的卫星移动通信系统。
国外的卫星移动通信系统虽然可以满足一定的应急移动卫星业务需求,但信息安全、频率协调等均得不到保证,一般用于对信息安全要求不高的应急现场。卫星移动通信系统是国家重要的战略性信息基础设施,对经济、社会发展和国家安全至着重要要,我国目前正在对拥有专属主权的卫星移动通信系统进行研究。
2.2宽带VSAT卫星通信系统
VSAT卫星通信系统技术成熟、可靠性高、网络结构多样、设计灵活、空间频段资源丰富,系统和设备正在逐步实现国产化。这些因素为设计、建设应急VSAT卫星通过通信网提供了技术、资源等方面的必要保障,近算来VSRT系统已能支持宽带应用。
在VSAT卫星通信系统设计中,应重点考虑网络结构、技术体制选择、与地面网的互联互通、网络管理等方面。
VSAT的网络结构包括星状网、网状网和混合网。应急VSAT的网络结构包括星状网、网状和混合网。应急VSAT系统支持的业务类型包括语音、高速数据和图像传送等业务,其中语音业务对时延敏感。根据我国突发公共事件的处置流程,语音业务发生在应急通信现场不同卫星站之间以及应急现场与后方指挥中心之间;数据和图像业务主要发生在应急现场与后方指挥中心之间。因此应急VSAT系统适合采用各站与主站之间星型网、省内各站之间网状网的混合网结构。
卫星通信体制与系统所采用的基带信号类型及复用方式、调制方式、多址方式、信道分配及交换制度有关,目前VSAT技术体制的选择主要集中在多址方式上。FDMA DAMA 和MF-TDMA方式是应急卫星通信系统最常用的技术体制。采用FDMA DAMA技术体制组建卫星网具备稀路由、突发性、大容量的特点,操作维护简便,终端的机动性好,非常适合应用在应急通信中。
VSAT系统的地球站分为主控站、固定站、车载站和便携站。其中车载站和便携站可以移动至应急事件现场。
VSAT卫星通信系统用户与公众网络专网用户之间的语音通信和数据传送通过卫星关口站来完成(配置了网管功能的关口站称之为主控站)。与地面网的互联通过在关口站设置VOIP网关及路由器实现。
宽带卫星通信系统通过在关口站设置地面电路接口,经语音网关转换成通用协议接口与公众固定电话交换网、公众移动通信网或者专网交换机连接,实现与电话网的语音互通。语音网关通用协议接口分为用户接口和中继接口两种,需要根据话务量来选择。
卫星系统关口站的数量及地点需根据实际业务流量向情况确定。卫星网内语音终端的编号方式遵循E.164标准,通常根据关口站与电话网的连接位置确定卫星电话编号,主要分为卫星关口站民当地市话交换局直接连接或者卫星关口站与当地的公网长途电话直接接连两种方式。
宽带卫星通信系统通过在关口站设置路由器实现与指挥中心之间的数据(含视频)传送。根据当地的网络情况,可采用专线方式、城域网方式或互联网方式。
为实现卫星头号站接入路由器与地面计算机网之间的路由寻址,需对各关口站路由器的IP地址进行统一规划。如果有若干卫星关口站,原则上应统一接入同一个计算机网络,并采用归属地的IP地址段。宽带卫星网内部要单独采用私有IP地址。
卫星网的网络管理及监控系统(简称卫星网管系统)对整个卫星网络进行在线控制和监视,将卫星通道的建立方式从工工变为自动,从而缩短卫星通道建立时间,将点对点连接变为DAMA星状、树状或网状连接从而提升星网络的灵活性。对于时效性要求较高的应急卫星通信系统而言非常必要。
通常卫星网管系统由控制服务器及软件、网管信道调制解调器、网管信令卡等组成,主要包含网络管理及网络控制两大功能。
对于全国性规模较大的卫星网络,为提高应急处置能力可采用分布网管结构,分级配置主网管系统和分网管系统。主网管系统将网络的控制处理功能分散交给多相分网管系统来完成,人而提高网络的可靠性并且缩短建链时间。主网管系统必须对分网管系统设置权限,划定管理范围,必要时可随时收回控制权限。
为提高系统的可靠必及安全性,主网管系统应采取主备份方式配置,二者之间应建立信息传送通道,以保证网管信息的时效怕并便于及时倒换,建议采用以地面路由为主用的天地备份方式。
作者:刘贤令
船岸网络信息安全管理
【摘 要】 为保障航运企业船岸网络信息安全,维护航运企业利益,分析船岸网络安全现状,总结常见的网络攻击形式和安全漏洞,归纳处理网络攻击事件的基本步骤,提出船岸网络安全管理目标和安全团队成员岗位职责,并结合具体案例分析船岸网络信息安全管理的应用,为航运企业做好船岸网络信息安全工作提出建议。
【关键词】 船岸网络;信息安全;航运企业
0 引 言
一些航運企业已开始实施“数字化+互联网”战略,船舶运营参数及管理量化指标被转移至信息更加透明的互联网平台,船舶所有人可以通过互联网平台随时随地查看船舶动态。航运企业将船舶全权委托给第三方船舶管理公司管理,并通过互联网平台监控船舶动态。这种管理模式带来一个全新的课题:船岸网络信息化程度越高,信息系统遭受攻击导致数据泄露的风险越大。近年来已发生多起船员个人信息泄露导致的诈骗案件。这些个人信息泄露的源头是船舶管理公司的信息系统。信息泄露会给个人造成损失,而信息系统遭受病毒攻击则会给航运企业造成巨大损失。因此,信息安全对航运企业而言极为重要。
1 船岸网络管理现状
船岸网络技术的发展非常迅速,特别是海上卫星通信服务商提供的海上高速网络在资费下降后极大地提高了船舶与管理方、服务供应商、租船人和船舶所有人/经营人之间的信息交换频率。海上高速网络的普及给信息安全带来更大的隐患。网络没有物理界限,任何具有网络攻防知识并熟悉船舶扁平化网络架构的人或组织都可以通过Shodan搜索引擎获得相关信息,对船岸网络实施远程攻击。通过对卫星通信服务商IP地址段批量扫描发现:众多安装VSAT、FBB设备的船舶未加安全措施就向公网开放了21/80/445/3389等弱口令TCP、UDP端口;供应商为节约成本、方便远程维护管理,将Cobham、KVH CommBox、Inmarsat、Marlink等产品内建的管理后台映射到外网;绝大部分船舶没有配置专业的硬件防火墙,岸基管理人员缺乏专业技能,最终导致船舶网络安全得不到保障。
要做好船岸网络安全工作,首先要了解船岸网络设备运行机制和原理。船舶内网GPS、ECDIS、主机监控系统服务器等多网卡设备既通过串口总线和CANBUS、MODBUS等协议控制舵机、智能电站及压载水调平系统等设备,又通过网卡和SNMP、NMEA等协议进行网络通信,从而形成了一个可以网络远程控制的船舶物联网。由于某些船用通信协议存在设计缺陷,例如NMEA 0183协议通过明文传输,缺乏加密、身份认证和校验机制,为实施网络攻击制造了机会――攻击者只需远程更改一两个字符就可以命令船舶转向。
2 常见的网络攻击方式
广义上对船岸网络的攻击主要有两类:(1)无目标的攻击。岸基或船舶内网操作系统和第三方软件漏洞是潜在受攻击目标之一,攻击者利用0day漏洞进行广撒网式的无差别化攻击,近几年马士基航运集团和中远海运集运北美公司遭遇的网络攻击属于此类。(2)有针对性的攻击。攻击者将某船岸信息系统设定为渗透目标,利用专门开发的绕过技术和工具躲避网络防御机制(如震网病毒事件),实施多步骤攻击,其破坏程度较无目标的攻击更大。
有针对性攻击又分为以下6种类型:
(1)主动攻击。攻击者主动攻击网络安全防线。主动攻击的方式为修改或创建错误的数据流,主要攻击形式有假冒、重放、篡改消息和使网络拒绝服务等。
(2)被动攻击。攻击者监视相关信息流以获得某些信息。被动攻击基于网络跟踪通信链路或系统,用秘密抓取数据的木马程序代替系统部件。
(3)物理攻击。未被授权者在物理上接入网络、系统或设备,以达到修改、收集信息或使网络拒绝访问的目的。
(4)内部攻击。被授权修改信息安全处理系统,或具有直接访问信息安全处理系统权力的内部人员,主动传播非法获取的信息。
(5)边界攻击。网络边界由路由器、防火墙、入侵检测系统(IDS)、虚拟专用网(VPN、DMZ)和被屏蔽的子网等硬件和软件组成。硬件的操作系统与其他软件一样存在安全漏洞,攻击者可利用操作系统漏洞,绕过已知安全协议达到攻击的目的。
(6)持续性威胁。商业间谍组织可能会通过“钓鱼手法”进行攻击。如以“某某船公司2020中期战略企划书”为关键词投放电子诱饵,通过文档追踪工具进行精准定位,诱骗受害人打开附件或点击邮件链接从而入侵或破坏其信息系统。
3 船岸网络中易受攻击的系统
船岸网络中易受攻击的系统有综合船桥和电子海图系统、配载仪和船舶维修保养系统、主机遥控和能效系统、保安限制区域闭路电视监控系统和各重点舱室门禁系统、乘员服务和管理系统、面向船员娱乐的公共网络系统、船岸网络通信系统、计算机操作系统及常用软件等。
4 船舶网络安全配置建议
(1)禁用公网IP,使用URA系统远程管理。
(2)修改系统默认密码并使用高强度密码。
(3)将船岸网络操作系统和第三方软件补丁、病毒特征库升级至最新版本。
(4)对工控网络、办公网络、娱乐网络实施网络隔离和访问控制。
(5)通过策略制定公用电脑进程白名单,禁用USB接口。
(6)向船员普及网络安全风险防范知识。
(7)要求设备供应商提供必要的网络安全事件应对措施。
(8)不过度依赖远程网络监控技术,增加现场勘查频率。
5 网络攻击事件的处置步骤
(1)风险识别。定义相关人员的岗位和职责,确保在日常管理中能够及时发现可疑风险。
(2)事件预防。制定风险控制流程和应急计划,降低网络风险,防范网络攻击。
(3)事件发现。检查已确认的网络攻击事件,评估损失并制定后续恢复方案。
(4)事件恢复。制定计划使系统恢复正常运行。
(5)免疫措施。制定措施避免类似网络攻击事件再次发生。
6 网络信息安全团队岗位职责
航运企业应设立信息安全官(CISO)岗位,其职责为:建立船岸网络安全团队并管理成员,牵头制定全面的船舶网络安全应急保护计划(CSP),以持续保障船岸网络安全。团队成员岗位职责如下:
(1)对船舶VSAT/FBB设备端口映射及防火墙规则进行审核、分发、监控,熟悉Infinity、Xchange Box等通信管理系统的后台设置,监控船岸网络的可疑流量。
(2)对船岸内网信息设备和办公电脑软硬件及时更新维护,熟悉GTMailPlus、SkyfileMail、Super- Hub、RYDEX、AmosConnect等软件操作知识。
(3)定期优化单船拓扑结构和更新船岸网络病毒特征库和漏洞补丁库,不断完善船岸网络信息事故应急预案。
(4)收集供应商技术文件并集中存储,向设备和服務供应商提交并跟踪审核通导信息类设备保修工单(如KVH、Marlink、GEE、OneNet等)。
(5)跟踪记录新造船FBB、铱星移动通信系统、VSAT和船载物联网设备安装调试情况,审核通信类费用凭证。
(6)具备防火墙、路由器、入侵检测系统、交换机的丰富知识,MacOS、Windows、Linux等3大操作系统及域控、数据库的基础知识,并能熟练使用SQL、Crystal Reports提取分析数据。
(7)参与船岸网络的设计开发和信息系统的迭代开发,提出必要的安全策略规范要求。
(8)具备妥善监控并处理网络安全事件的能力和独立撰写网络安全事件调查报告的能力,并提出改进措施。
7 船岸网络信息安全管理目标
船岸网络信息安全问题从根本上说是人的问题,如何在制度上让人遵守规则,如何在技术上减少或避免人为恶意攻击,这是船岸网络信息安全组织架构设计的目标。船岸网络信息安全组织架构设计的总体目标可定义为:针对船岸网络和信息安全需要,构建系统的网络安全技术和信息防护策略及措施,通过制度管理和技术防范来规范员工行为,达到网络和信息资产安全可控的目的,最终达到“外人进不来、进来看不到、看到拿不走、拿走用不了、操作可追溯”的目的。首席信息安全总监的基本职责是建立船岸网络和信息安全团队并确保团队成员各司其职。团队成员既包括企业内部的计算机安全专家,也包括企业外部的资深律师、会计师、技术专家等。
8 经验交流
网络信息安全对于大部分人而言比较陌生。在实践中,大部分航运企业由总裁办(行政事务部)或保密部门负责网络信息安全,而网络信息安全职能又隶属话语权不高的IT部门,最终导致企业网络信息安全工作进展迟滞,制度实施缓慢。因此,建议由公司领导牵头,技术保障部门负责具体实施。有条件的航运公司应该定期针对船岸网络信息系统进行安全演习并配置网络信息安全设备,以便当船岸网络信息系统被攻击时,能够迅速作出应急反应,尽快恢复网络系统,尽可能挽回损失。此外,在员工手册、船员上船协议中应该赋予航运公司相关职能部门通过技术手段来防止内部威胁的权力,打击隐蔽性较强的涉及船岸网络的职务犯罪。
以某航运企业为例,2018年初由公司领导牵头与某船级社联合成立了船岸网络信息安全专项课题组,针对公司船岸网络的特殊性制定了一套通用船舶网络安全管理体系,并在超大型集装箱船试行《船舶网络信息安全实施指南(征求意见稿)》和相关配套制度,如《船舶网络信息资产管理办法》《船舶VSAT、局域网及防火墙设置规范》《船舶网络信息安全员岗位职责》《船员网络信息安全应知手册》等。此外,还对试点船舶就域控服务器(解决内网信息审计问题)、KMS激活服务器(解决操作系统、办公软件授权问题)、自建CA授权机构颁发数字证书(解决SHA256数据加密问题)、某开源局域网远程管理软件以及等级保护一体机硬件部署(解决病毒库、补丁库离线升级问题)等项目进行技术验证,为下一步推广应用船岸网络信息安全课题研究成果奠定了良好基础。
9 结 语
没有船岸网络信息安全就没有航运安全。随着数字化航运战略的推进,航运企业越来越依赖网络信息技术,网络信息安全事关航运企业根本利益,加强网络信息安全建设,必须通过加强制度建设和技术防范,从根本上消除信息安全隐患,促进航运企业的发展。
作者:孙辉
注:本文为网友上传,旨在传播知识,不代表本站观点,与本站立场无关。若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:iwenmi@163.com。举报文章
