近年来，船舶网络安全逐步成为航运业关注的焦点。为此，IMO海上安全委员会通过了《安全管理系统之海上网络风险管理》(MSC.428(98))，强调经批准的安全管理系统应结合ISM规则的目标和功能要求考虑网络风险管理，鼓励各缔约国政府确保在不迟于2021年1月1日之后的公司符合证明的首次年度验证时，网络风险管理相关内容应体现在该航运公司的安全管理体系中。

　　就目前而言，由于船舶网络安全的强制性规定不足，导致船舶网络安全监管似乎还处于真空阶段，但是IMO海上安全委员会(MSC)第98次会议批准的《海上网络风险管理指南》(MSC-FAL-1-Circ-3)提出了支持有效网络安全风险管理的功能要素，包括标识、保护、发现、响应和恢复等，同时强调这些功能要素并不是按顺序排列的，在实践中经常是同时发生且是连续的过程，应适当考虑纳入风险管理的框架中。

　　笔者根据《海上网络风险管理指南》(MSC-FAL-1-Circ-3)提及的标识、保护、发现、响应和恢复这五大功能要素，结合日常工作中的网络安全基础认识，分析未来可能遇到的有关船舶网络安全监管方面的检查思路如下：

　　一、船舶辨识自身网络安全风险的情况

　　从网络安全视角看，船舶相当于由多个信息系统集成的移动网络终端。虽然船舶远离陆地航行，看似与世隔绝，但船舶通过通信系统、导航系统等无时无刻都处于“在线”状态，这也就意味着船舶网络面临随时被攻击的可能。

　　所以，船舶首先需要逐一摸排自身所有可能遭受网络攻击的设备和相关联的系统，如船舶通信系统、推进动力控制系统、导航系统，以及货物装卸和管理系统等；其次，明确船舶网络安全管理人员。目前专门针对船舶网络安全管理人员的要求尚属空白，但结合智能船舶发展的实际，不排除船舶在后续阶段需要配备熟悉了解网络安全，具备相应船舶网络管理能力的人员来承担船上网络安全管理责任；最后是要对船舶辨识出存在安全风险的船舶设备和系统进行风险评估，从而明确管理的等级和防控的举措，实现风险的可控。

　　就此，在船舶接受相关船舶安全检查时，检查员可以通过了解船舶是否梳理并记录所有资产(包括硬件和软件)、资产所在的位置、版本号、危险性等，确认船舶所有与网络安全相关的关键硬件设备的摸排标识情况。此外，检查员还可能询问船上承担网络安全管理角色的人员，了解船舶网络安全管理情况，借此评估责任船员熟悉公司管理要求和政策方针的情况，以及船舶日常网络安全管理和应急处置能力。

　　二、船舶网络保护措施

　　在船舶网络安全管理环节，船舶是否具有抵御网络攻击的能力可以从四个方面入手：

　　一是人的因素。人始终是最为薄弱的环节，网络安全管理领域同样如此。越复杂的网络安全技术，如果人员安全意识或管理水平没有及时跟上，就意味着越有可能犯错误，比如点击电子邮件中的恶意链接、通过USB将恶意软件引入船上设备或系统、使用弱密码来方便自己工作却降低了船舶整体安全级别等。无论是船舶安全管理的责任船员，还是所有的船员，网络安全的意识和基本认识都不可缺少。

　　二是防护技术。根据船舶受到攻击的来源不同，船舶具体采用哪些防护技术也非常关键，不同的攻击类型应当有不同的防护技术进行防范。

　　三是网络授权问题。为了防止保安事件，船舶会设置限制区域，确保只有经过授权的人员才能进入。同样，在船舶网络安全领域，访问控制也是自身防护的重要一环。

　　四是维护更新。船舶的网络安全也需要得到及时有效的维护，比如定期排查船上系统漏洞、及时更新相关软件版本等，需要注意的是，这也不排除未来将船舶网络软件设备的维护纳入到现有日常操作维护要求中的可能。

　　因此，责任船员是否得到网络安全能力培训、船员是否具备基本网络安全认识，船上对于数据的保护是否到位，比如对船上无线网络连接限制、限速，船上网络系统是否分级授权分配，是否设有访问权限，外部接口是否有效管理，是否定期排查、修补漏洞并做好维护和修理记录，是否及时授权、创建、监视和删除帐户，比如，船舶是否及时删除了已解职下船的船员账户等都会成为监管过程中关注的重点。

　　三、船舶及时发现网络安全事件的能力

　　网络攻击是悄无声息的，船员在正常使用船上网络设备的背后，可能正在遭受各种恶意攻击。相较于日常工作生活中电子设备中毒，我们可以在选择查毒、修复的同时，借用其他设备继续开展工作和学习。但船舶处于航行之中，一旦重要设备出现中断，对船舶的安全影响将是巨大的。这就要求船舶需要建立有效的、不间断的监控过程，能及时发现网络安全事件，并在短时间内发现原因，消除影响。当然，对于监测能力而言，也不是一成不变的，而是需要不断更新以提升监测能力。