助力“VTS”安全防護建設，打造合規可靠業務安全

一、VTS簡介

船舶交通管理系統是指在一定水域內用以保證航行船舶安全和效率的管理系統，英文縮寫為VTS（Vessel Traffic System）。手段較為齊全的船舶管理系統一般有4個方面設施、3大核心系統（15個子系統），涉及 4個階段的數據處理環節。

• 4個方面設施：通信設備、監視設施、助航設施、船舶動態報告系統以及系統中心。
• 3大核心系統（15個子系統）：信息源分系統、VTS中心分系統以及通信分系統。

圖1 船舶交通管理3大核心系統

• 4個階段數據處理：數據采集、數據傳輸、數據處理以及數據綜合應用。

二、VTS安全風險及需求分析

1.網絡邊界方面

VTS中心網絡連接較為復雜，存在海事專用網絡、部門內部信息交換網絡以及與外部交互的互聯網網絡。海事專用網絡用作雷達接入信息、VHF接入信息、CCTV接入信息、AIS接入信息與控制中心交通顯示系統之間的通信；部門內部信息交換網絡用作海事部門內部單位之間，如船舶航行計劃錄入獲取、船舶航行狀態內部發布等；而對外信息交互是指與外部互聯網之間的交互，如水文氣象信息的接入、船舶動態信息對外公布等。復雜的網絡結構造成了脆弱的網絡邊界，比如雷達作為VTS的眼睛、VHF作為VTS耳朵和嘴巴，當雷達、VHF出現安全問題后，導致VTS無法對船舶進行跟蹤與交流，從而引發船舶安全事故。因此，建設安全合規的網絡邊界是保障VTS系統網絡的第一道防線，實現數據采集與傳輸過程在數據邊界的安全可靠，抵御來自于內外部、南北向安全威脅的蔓延。

2.網絡通信方面

安全事件往往由內部引起，由于不合規的訪問請求、訪問數據的異常等導致安全問題的頻發，因此打造內部網絡通信安全是必要的，也是構建VTS系統網絡的第二道防線，通過通信安全實現對于網絡數據、行為異常、攻擊事件等檢測能力，從而構建可信的網絡通信環境，保障VTS業務通信的可靠性。

3.計算環境方面

VTS計算環境中，包含VTS中心分系統（多源信息綜合處理軟件、二三緯交通監視軟件、交通態勢評估軟件、交通組織與管理軟件等）、操作站主機、VHR操作站等。其中VTS中心分系統作為船舶交通管理的大腦，一旦VTS中心分系統出現問題，從而引發安全事故，造成人員、物力、財力的損害，這類安全事件發生的源頭多數來自于主機計算環境，包含主機自身的安全能力、U盤外設的濫用、惡意代碼的攻擊等，因此主機計算環境的安全是構建VTS系統的第三道防線。

4.安全管理方面

除了采用安全技術措施控制網絡安全威脅外，安全管理措施也是必不可少的手段，所謂“三分技術，七分管理”就是這個道理。VTS系統組成單元眾多，硬件、軟件構成復雜，在運行過程中，需要對硬件進行可靠性分析及業務持續性規劃；同時復雜的軟硬件也對維護人員的操作提出了更高的要求。對于船舶交通管理系統來說，用戶的誤操作可能導致嚴重的事故，因此不僅需要設置權限控制體系，盡量減少和避免用戶誤操作，同時要做到對問題的跟蹤和總結，杜絕類似的操作再次發生。

三、VTS整體防護方案

為堅決貫徹落實《信息安全技術

網絡安全等級保護基本要求》、《關鍵信息基礎設施安全保護條例》、《船舶交通管理系統（VTS）建設規范》、《船舶交通管理系統安全等級保護技術規范（試行）》等相關法律規范要求，威努特基于“一個中心，三重防護”安全防護理念，秉承安全自主可控的技術理念，形成了基于“白環境”的縱深安全防護體系，該防護體系不僅能滿足等保合規建設要求，亦能提高海事局VTS系統的整體網絡安全防護水平，從而保障VTS系統安全可靠和穩定運行，整體安全防護建設方案如下所示：

圖2 VTS中心整體網絡安全防護建設示意圖

通過自主研發的基于“白名單”技術的安全防護類產品、安全監測類產品等提高工業網絡安全能力，搭配“黑名單”技術的傳統安全產品，從安全計算環境、安全通信網絡以及安全區域邊界等方面，構建了立體化安全防護技術體系，確保VTS數據采集、數據傳輸、數據處理、數據綜合應用等過程的安全，為海事局VTS系統安全穩定運行提供有力的保障。

以統一安全管理平臺為中心，搭配日志審計與分析系統、漏洞掃描平臺、安全運維管理系統、數據庫審計系統等組件，從網絡保護、主機、數據、應用等不同層面的安全防護工具，對底層的實體控制點進行策略配置、安全防護、事件查看、統計分析等，實現“平臺+組件”級安全管理能力，為海事局VTS中心構建安全管理中心，滿足法律合規要求。

借鑒等保安全管理體系，從安全管理制度、安全管理機構和人員、安全建設管理、安全運維管理4個方面，建立安全管理策略及制度，明確機構及人員職責，確認安全建設管理及運維管理要求，確保安全管理工作的有效落地。

四、方案價值

1.提升安全可視能力

采用自主可控的安全產品，且產品功能可視化，提供多緯度、多視角展示，為安全決策提供數據支撐，提升安全管理效率。

2.強化縱深防御能力

采用“黑+白”相結合的技術優勢，VTS基礎網絡采用“黑名單”技術、雷達站點采用“白環境”規則，有效保障VTS系統、通信、應用、數據等各層面安全，提高整體的安全防護水平，構建縱深防御的安全體系。

3.滿足合規建設要求

安全建設合規性層面，滿足GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要求》“一個中心、三重防護”相關技術要求，符合《網絡安全法》、《關鍵信息基礎設施安全保護條例》、《船舶交通管理系統（VTS）建設規范》、《船舶交通管理系統安全等級保護技術規范（試行）》標準，滿足等保三級測評合規建設要求。

4.社會性價值

通過構建安全可靠的VTS系統，使得VTS系統的作用明顯提高；船舶交通系統明顯改善，船舶交通事故明顯減少；提高航道通航能力和船舶營運效率；提高港口資源利用率；促進海上安全監督管理的現代化。