-- 第1 通 第1 第2 第3 第4 第2 第1 第2 第3 第4 第3 第1 第2 第4 第1 第2 M標志要 第3 P標志和S標志要 第5 第1 第2 第3 附錄 船舶CBS風險評 附錄 第第PAGE20第1 通第1節(jié)一般規(guī)定本指南適用需要滿足及自愿申請中國船級社（ChinaClassificationSociety,（ComputerBasedSystemCBS）害的船載操控系統(tǒng)（OperationTechnologySystem,OT系統(tǒng)），包括但不限于：CBS，其中斷或功能受損可能對船舶操作構成風險（如應提及的系統(tǒng)采用網際互連協(xié)議（InternetProtocolIP）連接的系統(tǒng)，其CCSIEC61162-460或其它同43節(jié)SL0級相關的要求。2024714章3SL0級對應的相關要求：500500500規(guī)定的船舶外，國內航行的船舶和國際航行的其它船舶可以參考執(zhí)500提及的接口時，至少需23SL0級對應的相關要求或同等要求。是否屬于的是否與所述CBS基于IP的網絡相 CBS安全檢驗/第2訪問控制（AccessControl）：對系統(tǒng)交互能力和方式的選擇性限制，包括使用攻擊面（AttackSurface）：未經授權的用戶可以訪問系統(tǒng)并提取數據的所有可補償措施（CompensatingCountermeasure）：替代或補充內在安全功能以滿計算機系統(tǒng)（ComputerBasedSystem,CBS）：一種可編程的電子設備，或一CBSITOT系統(tǒng)。CBS可以是通過CBS可以直接或通過公共通信方式（如互聯(lián)網）與岸上的CBSCBS和/或其他設施連接。網絡安全（CyberSecurity）：網絡環(huán)境下存儲、傳輸和處理的信息的保密性、網絡攻擊（CyberAttacks）：以訪問、危及、損毀公司和/或船舶的系統(tǒng)和數據ITOT系統(tǒng)、計算機網絡、個人計算機設備的任何形式的攻擊性操作。網絡事件（CyberIncident）：CBS的有意或CBS中生成、存檔或使用的網絡韌性（CyberResilience）：減少發(fā)生網絡事件并減輕其影響的能力，這縱深防御（DefenseinDepth）：集成人員、技術和操作能力的信息安全策隔離區(qū)（DemilitarizedZone,DMZ）：含有并將組織的對外服務提供給外部拒絕服務攻擊（DenialofServiceDoS）：網絡攻擊的一種類型，阻止合法和重要系統(tǒng)（EssentialSystem）：為船舶的推進、操縱和安全提供必要的服務固件（Firmware）信息系統(tǒng)（InformationTechnologySystem，IT系統(tǒng)）：主要指使用計算機技集成系統(tǒng)（IntegratedSystem）：為達到一個或多個特定目的而組織的由許多入侵檢測系統(tǒng)（IntrusionDetectionSystemIDS）：用以監(jiān)測網絡或系統(tǒng)活入侵防御系統(tǒng)（IntrusionPreventionSystem，IPS）：用以識別和阻止惡意邏輯網段（LogicalNetworkSegment）：與“網段”相同，兩個或多個邏輯1。網段（NetworkSegment）OSI二層以太網段(廣播網絡交換機（NetworkSwitch/Switch）：網絡傳輸介質（NetworkTransmissionMedia）：是網絡中發(fā)送方與接收方之1邏輯網絡駐留在相同的物理網絡上，但在數據鏈路或網絡層（OSILayer23）2注（TCP/IP）：IP(OSIlayer3)攻擊性網絡行為（OffensiveCyberManoeuvre）OTIT系統(tǒng)被拒操控系統(tǒng)（OperationTechnologySystem）：用于提供控制、報警、監(jiān)視、安操控技術（OperationalTechnology,OT）：用于監(jiān)測和控制船載系統(tǒng)的設補?。≒atch）物理網段（PhysicalNetworkSegment）：同“網段”。物理組件不能與其他3。TCP/IP?；蚋鞣N現場總線實現通信。風險評估（RiskAssessment）：為告知優(yōu)先事項，建立行動方案，并告知決風險管理（RiskManagement）：是一個識別、分析、評估和溝通風險并且接系統(tǒng)類別（SystemCategory）：基于計算機系統(tǒng)功能對船舶和人員的安全以I類、II類、IIICCS《鋼質3分段將網絡劃分為多個物理段或子網，對進出的數據包進行控制。網絡層（OSIlayer3）（OSILayer7）都能允許或阻止連接和數據交換。流量管理和包過濾都可以由單個軟件或硬件設備來管7262.6.3系統(tǒng)集成商（SystemsIntegrator）：負責將供應商提供的系統(tǒng)和產品集成到可信平臺模塊（TrustedPlatformModuleTPM）：一種植于計算機內部為計不可信網絡（UntrustedNetwork）：在此指南的適用性范圍之外的任何網虛擬局域網（VirtualLocalAreaNetworkVLAN）：可使地理上分散的網絡虛擬專用網（VirtualPrivateNetwork,VPN）：建立在現有物理網絡之上的虛IEC62443-3-3:2013IndustrialcommunicationnetworksNetworkandsystemsecurity-Part3-3:Systemsecurityrequirementsandsecuritylevels。第3 表滿足最低安全要求（URE26）CCS審圖和評估/檢驗合格，可授予船舶網絡安全附CyberSecurity(M,M船舶應滿足本指南42節(jié)P船舶應滿足本指南43節(jié)SL0IACSURE26對應，CBS應不低于23節(jié)SL0IACSURE27Rev1S4個等級（SL1~SL4），SL4為最高等級，船舶應分別滿足本指南43SL1~SL4對應的要求，CBS23SL1~SL4對應的要 表產品級注*CBSCCS協(xié)商確船舶網絡安全附加標志的授予、保持、暫停、取消和恢復應符合CCS相關要申請CCS進行船舶網絡安全檢驗/評估的系統(tǒng)和/CCSCCS的第4節(jié)免除申請CCSCBS1.4.21.4.3免除接受準則，提供相CBS的網絡風險評估報告，作為免除系統(tǒng)處于可接受風險水平的證據。CBS的類別，分析其預期運行環(huán)境（識別網絡事件發(fā)生的可能性及其對人身安全、船舶安全或海洋環(huán)境的影響），分析攻擊面（考慮CBS1。CBSCBSIIICBSCBS1.4.21.4.3CBS網絡風險CCS提供合理解釋和證據，也可以申請免除，CCS有權根據情況要求其提供附加文件。在接受免除時，CCS對其風險控制措施進行評估確認風險水平可控，可在產品階段批準風險評估報告，CCSCBS在具體船第2 產品網絡安全要第1節(jié)一般規(guī)定CBS中的主機、軟件程序、嵌入式設備、網絡設備、云虛擬設備等，滿足的最統(tǒng)等）、網絡接入設備（網絡接口卡、無線接入點等）CBS中的網絡設備應至2.3.12.3.2相應安全等級的要求。單獨申請認證的網絡設備應滿足該類設備的指南要求，或CCS認可的等效要求。所列七個要素為核心，根據產品網絡安全分級，在允許訪問系統(tǒng)之前，識別并驗證所有用戶（人員、軟件進程和設備為通過身份鑒別的用戶（人員、軟件進程或設備）可，補償措施應在CBS中實施，即不依賴于船上安裝或操作程序相關的邊界防護；3.1.3第2 表SL2.3-2.4CBS最低網絡安全要求（URE27）SLSLSLSL第3節(jié)系統(tǒng)要求CBSCBSCBSCBSCBSCBSCBS45√*IEC62443-3-3CBSCBSCBSCBS①初始化鑒別符（令牌、密碼、指紋等）②CBS③修改/④在存儲和傳輸時，保護所有鑒別符不受未經授權對于軟件和設備用戶，CBS應能通過硬件機制（TPM）CBS應對無線通信的所有用戶(備)設備)CBSCBS應防止任何人員在一定的口令更換周期內重復使PKI當采用PKI技術時，CBS應能根據最佳實踐運行PKIPKI當采用公鑰認證時，CBS①CA的證書路徑來驗③④建立用戶(人員、軟件進程或設備)對相應私鑰的⑤將已驗證的身份映射到用戶(備CBSCBSCBS應能限制任何用戶(人員、軟件進程或設備)連續(xù)CBSCBS除指定角色的許可，CBSCBSCBS應能在所有接口上為所有用戶（人員、軟件進程和設備）CBSCBS換，應支持雙重許可/1在發(fā)生緊急情況或其他嚴重事件時，需對自動機制實施受控、審計和手動覆蓋。管理員利用當前用戶CBSCBSCBS①將便攜式和移動設備限制在設計允許或授權的范CBS2特定系統(tǒng)可接受端口限制/CBS應能控制移動代碼技術的使用，如JavascriptsActiveXCBSCBS應具備會話鎖定能力，在可配置的不活躍時間后CBSCBSCBS應能生成與安全相關的可審計記錄，類別至少包CBS多個組成部分的審計記錄匯編成一個系統(tǒng)范圍（或物理）CBS可配置百分比時，CBSCBS應能在審計處理失敗的情況下，提醒人員以防止CBSCBSCBSCBSCBS應能判定給定的用戶（人員、軟件進程或設備CBSCBSCBSCBSCBS應支持驗證安全功能的預期操作，并在（FactoryAcceptanceTest工廠試驗）,SAT（SiteAcceptanceTest現場試驗）和定期維護期間發(fā)現異常○11安全功能驗證包括殺毒軟件功能的驗證，標識、鑒別和使用控制方法的驗證，IDSCBSCBSCBSCBS態(tài)設置為預定值（斷電、保持、固定值應能保護會話的完整性。CBS應能在用戶注銷或其他會話終止時（包括瀏覽器會話）IDID應能保護審計信息和審計工具（如有）如需要加密，應根據普遍接受的安全行業(yè)實踐和建應能將控制系統(tǒng)網絡與非控制系統(tǒng)網絡進行物理分應默認拒絕所有網絡流量，允許例外網絡流量（為拒絕所有，例外允許應能防止任何通過控制系統(tǒng)邊界的通信（模式當邊界保護機制發(fā)生操作故障(也稱為故障關閉)時，應能防止通過控制系統(tǒng)邊界的任何通信。這種“故障CBS應支持授權的人員和/應能使用應用程序編程接口（API）DoS應能管理通信負載（如使用速率限制），以減輕應能限制所有用戶（人員、軟件進程和設備）引發(fā)DoSCBS1注：可接受計算機系統(tǒng)面對DoS事件時降級運行，但不得以可能導致危險情況的方式失效。應考慮基于過載的DoS事件，如網絡容量被試圖淹沒的情況，計算機資源被試圖消耗的情況例如，CBS應能標識和定位關鍵文件，對用戶級和系統(tǒng)級信息43節(jié)事件應能根據供應商推薦的網絡和安全配置設置CBS信量。CBS應明確禁止和/和/① 提供并保護資產所有方的密鑰和數據的保密性、完整性、真實性； 注：不同類型網絡安全專用產品的安全審計目標不6第4節(jié)安全開發(fā)周期要求2.2.1條相應安全等級要求。應對測試過程發(fā)現問題予以記錄，并反饋安全實施過程予以修①②③④⑤①②③針對與產品相關的已知安全風險的用戶緩解策略，包括與遺留代碼相關的風①產品（包括第三方組件）②產品的應用程序編程接口/③④配置和使用支持本地安全策略的安全選項/功能，以及每個安全選項/⑤所有安全相關工具和實用程序的使用說明和建議，這些工具和實用程序支持產⑥⑦⑧CCS審核，應滿足以下要求：（2）所列的項目。（4）要求的管理文件，證明組織已建立流程，確保向用戶（5）要求的管理文件，證明組織已建立了流程，以記錄縱深防御策略，以減輕CBS中軟件在安裝、維護和運行期間的安全威脅。威脅可能是安裝（7）要求的管理文件，證明組織已建立流程，以確保為系第3 產品檢驗/評第1節(jié)一般規(guī)定CCS提出檢驗申請。其中，CCS規(guī)范要求認可或自愿認可的產品，可結合產品初次認可、認可變更、換證向CCS提出；CCS規(guī)范未要求CCS提出書面申請，必要時可簽訂評估服3.1.3提交圖紙資料，按照3章2節(jié)進CCS審圖和見證測試驗證合格，向其簽發(fā)產品網絡安全評估報告。2）所標識提交簡化 表CBS?：提交CCS?：提交CCS1）2）①②流或數據流（源、目標、協(xié)議、物理實現），可包含設備名稱、IP地址、網絡區(qū)域邊界①物理網絡拓撲圖描述系統(tǒng)物理架構，能夠清晰顯示網絡傳輸介質與各接入系CBS及其軟硬件組件如何滿足所要求的安全能力，至少含①描述與其他CBSCBS②描述與不可信網絡的網絡接口。描述接口如何滿足與不可信網絡連接時的附加③④CBS①必要的測試設置（即確?？芍貜蜏y試，且預期結果相同②③④⑤⑥參照標準（如有時）4章要求和系統(tǒng)集成商的所①②③④⑥遠程用戶訪問權限（適用時⑦⑧條要求的內容，說明供應2（3）的要求驗證系統(tǒng)安全功能操作正確性的說明，至少包括：①②③①②③④響應方案，優(yōu)先考慮不依賴于直接關閉或轉移到本地控制的方案（如有時⑦⑧⑨第2節(jié)測試驗證墻應按照CCS《船舶網絡防火墻檢驗指南》執(zhí)行。如產品無法確定在船舶系統(tǒng)中的具體應用場景時，CCS可驗證在有限使用情景下的網絡安全要求。為完成測試驗證，CCS也可要求供應商提供必要的圖紙、詳細資料、漏洞掃描完成后，申請方應提供測試報告供CCS③網絡設備滲透。滲透測試完成后，申請方應提供測試報告供CCS網絡風暴測試完成后，申請方應提供測試報告供CCS測試完成后，申請方應提供測試報告供CCS 表第4 船舶網絡安全要第1節(jié)一般規(guī)定第2節(jié)MISM/NSMSMC證書。2、CCS《海事網絡風險評估與管理IMO《海上網絡風險管理指南(MSC-FAL.1/Circ.3)》。發(fā)生重大變化時，應將相關文件資料提交給CCS，以確認船級附加標志是否繼發(fā)生重大網絡事件時，應及時通知CCS，并提交事故信息、事故處理措施及解CCS《海事網絡風險評估與管理體系21。第3節(jié)PS 表資產保護、資產處置、物理訪問控制、網絡防護、安全區(qū)域、邊界防護、網絡冗余、通信安全、入侵防范、身份鑒別、訪問控制、惡意代碼防范、遠程訪問、遠程維護、無線CBS的網絡的資產清單，資產清單應：①CBS（如適用②在船舶整個生命周期內保持更新，更新記錄應包③如果清單中包括保密信息(如IP（1）CBS所屬的系統(tǒng)類別和安全區(qū)域；CBS軟件應按照船東在船舶網絡安全①②對于關鍵數據，制定必要的安全措施，以防止資③明確資產處置的措施，至少應包含資產移除的時④需銷毀的資產或數據，應采取必要的安全措施，CBS和網絡，以及存儲在這些系統(tǒng)中的CBS一般應位于受控空間，以防止未授權CBS的相關方執(zhí)行安裝、集CBSIIIIICBS的物理訪問，應有相應的日志記①②③①具有強身份認證方法，如密碼、智能卡、令牌②③CBS應劃入安全區(qū)域并滿足相應的CBSCBS2章中的適用要根據系統(tǒng)類型（I、II、III類）、資產重要性、系統(tǒng)功CBS應歸入單獨的安全區(qū)域，并②航行和通信系統(tǒng)不得與機械、貨物系統(tǒng)處于同一安全區(qū)域，如果航行和/條中其他等效標準批準，則該類系統(tǒng)應劃③CBS和網絡，應與本指南CBS主要功能的情況⑥OTIT系統(tǒng)之間應劃分為不同區(qū)域，區(qū)域間應4.3.7所要求的其他同等手應能根據會話狀態(tài)信息允許/OTITWeb、Telnet、Rlogin、FTP等通用網絡服務CBS非授權聯(lián)到船舶外部網絡的行為進CBSIDS、IPS等系統(tǒng)來實現CBS（1）SR1.1SR1.1RE2的要求CBS及其相關信息進行保護。應根據船舶和CBSCBS進行惡意代碼（如病毒、蠕CBS應安裝、維護并定期更新采CBS的功能和服務水平（如執(zhí)行實時任務的ⅡSIEM解決方案實現ITOT系統(tǒng)的遠CBSIPCBS①具有從船端終止連接的能力。在船員明確接受之OT系統(tǒng)的OT系統(tǒng)數據的完整性和可用性；③提供日志功能，記錄所有遠程訪問事件并保留一①在船端和遠程控制端應明確顯示操作控制權的位②船舶與遠程控制端應有應答機制，保證通信連③CBS通信的源地址，避免陌生地址的攻①②維護的補丁和更新在安裝前應進行測試和評估以③遠程更新前，供應商應提供針對上述內容的確認④（4）（5）（6）⑤在遠程維護期間，授權人員應能隨時中斷和中止⑥任何用戶從一個不可信網絡訪問本指南適用范圍CBS時，都需要多因素身份認證；⑦在預設的次數內訪問失敗后，再次訪問需等待一⑧①②IIICCS依據OT系統(tǒng)，應能識別控制系統(tǒng)的行為發(fā)出報警和控制（例如拒絕、限制CBSCBS下載數據之前應進行掃描，通過數字簽名和/否存在惡意軟件和/（3）SR2.34.3.17相關①②③設備管理活動，如訪問異常、操作系統(tǒng)攻擊事④⑤如果網絡帶寬利用率超過產品供應商規(guī)定的異常⑥（8）SR2.8IDSIDS①IDSCBS②IDS③IDS監(jiān)控工具ping、traceroute、ipconfig、netstat、nslookup、Wireshark、nmap)對CBS的完整性和安SIEM技術將日（如有維護時①②③④響應方案，優(yōu)先考慮不切斷系統(tǒng)或轉移到獨立或⑤受損系統(tǒng)的獨立和本地控制信息，用于獨立操作SOLASII-131CBS應獨立于主控制系統(tǒng)，包括能夠實現有效本地操CBSCBS他CBS進行通信，則應劃為一個單獨的安全區(qū)域，4.3.74.3.8條關于區(qū)域劃分和邊界防護的相關要求。對于特殊情況，經CCS同意可特別考 ON/OFF或斷開連接路由器/防火墻的線纜等類似②①使系統(tǒng)完全停止或回退到其他預定義的安全狀②③④本指南適用的CBS應具有恢復和備份能力，以使船CBS時①系統(tǒng)恢復：應根據恢復時間目標（RTO）規(guī)定恢②數據恢復：應根據恢復點目標（RPO）規(guī)定恢復OT系統(tǒng)安全狀態(tài)和船舶安全運行所需數據的方法和程序。RPO為可以容忍的數據缺失的最長時①②③在不中斷冗余、獨立或本地控制的情況下恢復故④⑤⑥溝通程序和外部技術支持聯(lián)系人名單，包括系統(tǒng)CBS①受控關機，允許其他連接的系統(tǒng)提交/回滾掛起的②重置，指導系統(tǒng)完成關機、清除內存并將設備重③回滾，將系統(tǒng)返回至先前的配置和/或狀態(tài)，以恢④重啟，從只讀源啟動并重新加載所有軟件和數據7262.6.10 ②③對補丁進行評估，確保其不會對設備或系統(tǒng)的可④在合適的情境下（如，不會造成意外停機、中斷⑤補丁安裝后及時更新資產清單信息（息、功能等第5 船舶網絡安全檢第1節(jié)一般規(guī)定本章適用于擬取得CyberSecurity（MP[SL0S[SLx]）船舶網絡安全檢驗可與CCS規(guī)范規(guī)定的相同類型檢驗同時進行，也就是初次入申請CyberSecurity（M）42節(jié)的規(guī)定，申請CyberSecurity(P[SL0])CyberSecurity(S[SLx])附加標志的船舶，應按照43節(jié)的規(guī)定，提交以下圖紙資料：所示。此CBS之間、CBS與外部設備或網絡之間的物理CBS的物理位置。②描述相同安全區(qū)域內的CBS之間的通信目的和特征（如協(xié)議和數據流向CBS之間的通信目的和特征（如協(xié)議和數據流向），包括IP協(xié)議的通信目⑤無線網絡設計，說明無線網絡設計方案，包括如何實現單獨的安全區(qū)域、區(qū)域CBS，若其人機界面已經位于物理訪⑦惡意代碼防護機制，概述每個CBS采用的惡意代碼防護機制，對安裝防惡意代碼軟件的CBS，應說明如何保持軟件更新；CBS進行識別，確定其是否可以遠程..22??補償措施說明（如有時①指南適用范圍內的CBS均包含在資產清單中，且所有軟件為最新版本，如通過②網絡安全區(qū)域及相關系統(tǒng)和設備布置與資產清單、網絡安全拓撲圖、網絡安全③安全區(qū)域邊界只允許已批準的網絡安全設計說明書中描述的流量通過，可通過④CBS⑤S）D）即，）；⑥“最小功能”測試，通過分析評估和端口掃描來測試是否已根據供應商提供的CBS中非必要功能、端口、協(xié)議和服務，可參考指南2（7）所要求的產品安全加固的指導文件；⑦惡意軟件防護或其他補償措施的有效性，可使用可靠的反惡意程序測試文件進⑨無線網絡依據各供應商提供的批準文件，采用安全無線通信協(xié)議（如通過使用CBS將以安全的方式應對網絡風暴，同時考慮單播和廣播消息（另見?CBS?船舶安全所需的本地控制可以獨立于任何遠程或自動控制系統(tǒng)進行操作，應通?網絡隔離的有效性，應通過斷開所有穿越安全區(qū)域邊界的網絡，證明安全區(qū)域CBS在沒有與其他安全區(qū)域或網絡進行網絡通信的情況下能夠保持足夠?BS43節(jié)4.321.9?23節(jié)與不可信網絡連接時適用的相?（8） MACIP?補償措施測試（如有時）7262.6.10變更②安全區(qū)域邊界設備（如防火墻）的管理，包括最小功能原則、明確允許的流③惡意代碼防護管理，包括防護軟件的維護及更新、物理防護及操作程序、移動④物理和邏輯訪問控制，包括系統(tǒng)和設備的物理訪問控制、對訪客的物理訪問控⑦移動介質管理要求，包括移動介質管理策略及程序、端口的物理阻塞、授權人⑧CBS⑨CBS⑩?CBS 表M,P,M,P,?CCS批準?CCS第2節(jié)初次入級檢驗(5)⑤-?CBS恢復和備份操作手冊中的測試項），若其安全功能是通過補償措施滿足的，或在CBS認證后進行了修改，則相關測試不能免除。申請CyberSecurity(M)申請CyberSecurity(P[SL0])CyberSecurity(S[SLx])附加標志的船舶，應根據CBS恢復和備份操作手檢驗/CCS第3節(jié)建造后檢驗在船舶首次年度檢驗之前的適當時間，船東應向CCSCBS中軟件的已知漏洞和功能依賴性，與供應商合作，按照變更管理程①②③CBSCBS文檔和其他敏感信息根據相關政策CBSCBSCBS①②船上負責人員能夠執(zhí)行本地/手動控制、安全區(qū)域斷開/④船上負責人員可獲得事件恢復的說明和/⑤已為船上負責人員提供恢復所需的設備、工具、文件和/或必要的軟件和數⑥CBS 船舶CBS風險評第1 一般規(guī)船東/船公司/CBS系統(tǒng)面臨的威脅，以及威脅利用脆弱性導致安第2 風險管船舶CBS1-2.1.11-2.1.1IACSURE22要求，基于系統(tǒng)功能故障的影響將計算機系統(tǒng)分為三類，參見表附1-2.3.1（1）所示。 影這些系統(tǒng)的故障最終會對人員的安——對保持船舶處于正常運營和起居狀況所必要的報警、監(jiān)測和控制這些系統(tǒng)的故障即刻會對人員的安——保持船舶推進和操舵的控制功資產分類，可將資產按照層次可劃分為業(yè)務資產、系統(tǒng)資產、系統(tǒng)組件和單元資產，TT-2..1URE26CBS1-2.3.1（2）。需注意，實際I-IIICBSCBS的分類示 CBSCBS主機控制系統(tǒng)（各種形式II/III（取決于作業(yè)場景能源供給系統(tǒng)（池鏈艙底水和壓載水系第第PAGE53ESL（船岸連接系統(tǒng)ECDIS（電子海圖系統(tǒng)ECSAIS（自動識別系統(tǒng)II/III（取決于是否應用于自主航行VDR（航行數據記錄儀C