全球船舶业正处于新一轮更新换代的增长周期中——全球最大的航运咨询和研究机构克拉克森于近日上调2024年新船订单预测,预计全年新船订单约为2200艘,总吨位较2023年上涨26%。
市场繁荣的背景驱动下,中国船舶工业市场份额稳居全球第一的同时仍在增长,各大船厂的手持订单量达到近20年的最高值,并在高技术、高难度、高附加值以及绿色动力船舶领域筑牢优势。
与此同时,为保证新造船能在日趋复杂的网络与信息安全环境下保持韧性,同时也为智能化船载设备提供安全高效的运行环境,船舶行业开始将网络安全标准纳入到全球性的行业规范中。
面对船舶网络安全服务需求的集中爆发,如何选择专业的第三方服务商,成为了船厂和相关设备厂商近期最关心的话题。
最新船舶网络安全要求已生效
2022年,国际船级社协会(IACS)基于实践经验,领先制定了UR E26/E27两项针对船舶网络韧性的统一要求,并结合业界反馈予以更新修订,成为各大船级社制定网络安全要求的基础性文件。
该新规已于2024年7月1日起正式生效,并应用在所有新签约建造的船舶上,标志着一个全新时代的开启。
UR E26提出船舶整体遭到外部攻击时保持正常运营需要具备的技术和组织能力。对船厂来说,后续整船的网络设计方案需满足E26认证,且需获得相应船级社要求的船舶网络安全入级符号。
UR E27提出包含网络设备(路由器,管理交换机)、安全设备(防火墙,入侵检测系统)、计算机(工作站,服务器),自动化设备(PLC)、虚拟机等船载计算机系统(CBS)的安全能力标准。对船舶设备厂商来说,其产品经检测后需满足E27认证并获得相应证书。
一般来说,船舶网络安全服务商需协助客户最终取得对应船级社的网络安全入级符号(文末附主流船级社的网络安全入级符号对照表)。项目执行时长配合造船周期,往往需要1至5年,覆盖从设计到测试的完整流程。
网络安全服务商的服务内容包括且不限于:全船设备资产清单风险梳理、网络拓扑图设计、风险评估、安全能力设计说明、整船集成测试等,部分项目还涉及到安全设备的集成。
为帮助船厂和相关设备厂商事半功倍地选择合适的网络安全服务商,中国信通院上海工创中心基于在航运安全领域的长期服务经验,总结了三大判断标准。
1
应具备客观、权威、全面的第三方检测能力
为满足UR E26/E27的测试标准、保证检测结果的客观权威性、提升认证通过率,厂商应确保其委托的第三方检测机构具备国家级CMA、CNAS资质。
目前国家CNAS与ILAC(国际实验室认可合作组织)已签署了多边相互承认协议。因此其出具的报告在送审至主流船级社总部时,具备较强的背书作用。
同时,厂商应注意该第三方机构应已完成工控信息安全标准IEC62443 3-3的能力扩项。该标准被E27多处引用,选择熟练该标准检测的机构,能保证其具备完整的E27检测能力。
2
应获得风险评估相关资质
除了针对船载计算机系统的检测,为满足整船网络安全韧性及UR E26中对风险评估的要求,应要求服务商具备二级或以上的信息安全服务资质(CCRC)。该资质能为机构的服务能力、背景、人员、项目经历等提供权威认证。同时服务商应获得ISO 27001信息安全管理体系认证,以表征其自身的信息安全能力。
3
应拥有专业评估团队
应确保直接参与检测与风险评估的人员数量不少于15人,且应具备CISSP-国际注册信息安全专家、CISA-国际注册信息系统审计师、CISAW-风险评估(高级)等专业资质。
上海工创中心针对最新的UR E26/E27及各大船级社标准,已完成健全的船舶网络安全服务能力建设,并取得CMA/CNAS/CCRC二级/ISO 27001等一系列资质认证,核心团队成员均具备相关资格证书。
目前,上海工创中心已取得英国劳氏船级社(LR),中国船级社(CCS)等船舶网络安全解决方案AIP证书,同时可为各类整船厂及船载计算机系统提供全生命周期网络安全管理体系的定制化咨询服务,以确保客户在技术检测,管理流程等方面均满足取证要求。
今年3月起,上海工创中心助力亚太卫星宽带通信(深圳)有限公司,取得了法国船级社(BV)在中国颁发的首张船舶网络安全产品型式认可证书。
@更多业务咨询,欢迎联络!
赵老师
联系方式:18621963183
邮箱:zhaoyu@3in.org
翁老师
联系方式:13918319779
邮箱:wengzuhao@3in.org
附:主要船级社网络安全入级符号
热门跟贴