• 英国劳氏船级社网络安全框架（CSF）
• 时间：2022-8-16 来源：

英国劳氏船级社（后续简称LR）发布了用于海洋和近海部门的网络安全框架 (CSF)，旨在支持航运组织定义和实施稳健且适当的网络安全战略。

传统上，船级社非常关注船舶本身。整个等级体系以船舶及其系统为基础。研究网络威胁面临的挑战是，船只的物理参数与实际存在的数字攻击面不同。互联网连接和通信链接将岸上系统纳入范围，同时船员和乘客也可以使用云服务、手机和笔记本电脑等。这就是为什么LR开发了一个框架，它全面解决管理网络安全、韧性和风险的运营能力、治理和保障方面的问题，着眼于云的采用和由此带来的新挑战。

LR网络安全框架旨在全面而彻底，同时又实用且可实现。

1.与行业标准无关并基于结果：

开发一个不是规定性的而是基于安全结果的框架。它不依赖于任何单一的行业安全框架、标准或法规。可以通过多种方式提供满足所述结果的证据，让组织根据他们的业务需求来决定什么是最合适的框架。

2.整体性，涵盖与网络相关的攻击面：

网络安全方法从执行层面向下延伸，通过采取适当的网络战略提供支持，到LR网络安全框架内的作战能力和构建模块，再到船舶、岸上设施和第三方本身。然后，船舶的要求和评估程序将产生正式的结果输出，如船级符号或描述性注释。

3.围绕发展成熟度水平构建：

了解从哪里开始以及组织如何随着时间的推移构建、改进和成熟是至关重要的，LR CSF从一开始就旨在鼓励持续发展。网络不是做一次就完成的事情，而是需要不断适应和改进。

4.映射到国际法规：

该框架将适应海洋和近海监管的未来发展，并有助于行业为未来做好准备。国际海事组织 (IMO) 目前专注于网络安全的风险管理方面，这在LR网络安全框架中得到了全面解决。随着国际海事组织、各国政府和行业机构的需求形势的发展，英国劳氏网络安全框架将适应新的监管领域和更具体的控制。

LR 网络安全框架旨在以务实的方式回答为什么、做什么、怎么做等基本问题。

“为什么”：为制定好的战略奠定基础

LR的目标是实现可以有效管理的有凝聚力和全面的网络战略。CSF 与“网络战略”文件一起，可供董事会成员和执行团队用来定义他们的战略以及他们对组织“好”的长期愿景。只有当愿景清晰、董事会层面参与并与面临的威胁适当且相关时，网络战略才适合组织的业务需求。  

“做什么”：从整体角度定义工作范围

LR 网络安全框架可用于确保整个组织的网络安全总体战略、方法和实施，同时着眼于组织运营所在的生态系统。

LR 网络安全框架可用于评估整个船队管理、单艘船舶、船舶系统或不同级别的岸基远程操作（例如，导航设备、船舶 IT 网络、电力管理系统或安全管理）系统）。

内容方面，LR 网络安全框架分为两个部分：

监督和问责：为确保网络安全战略的有效所有权、交付和执行，必须根据已识别的风险和与组织相关的威胁形势来定义角色职责、范围、战略和预期绩效。

控制机制：如何满足这些控制领域以及部署哪些控制将在很大程度上取决于所提供的环境、技术和服务。

“怎么做”：定义船舶层面的控制

随着云服务、物联网、连接性和自动化程度的提高，现代船舶的运行环境正在发生变化。这可能会形成一个复杂的威胁面，其中许多方面负责应对所呈现的网络风险。越来越多的人需要使用岸上的专家来支持船上的操作功能，并为船员和乘客提供互联网设施，这就要求向远程用户和服务提供商开放船上网络。这增加了所面临的网络风险。

通过船上和任何岸基支持服务呈现的网络风险可能会影响船舶的安全和功能，因为船舶能够在全球任何地方执行被动和攻击性行动。现在需要考虑来自有组织犯罪分子、海盗、机会主义者、内部人士甚至民族国家的威胁。LR网络安全框架通过确定要实施的正确控制措施，支持组织降低网络风险。

LR网络安全框架按成熟度级别进行组织，目前分为四级，每个级别描述了这些级别对不同类型组织的适用性。

应用适当的网络安全控制的一个关键方面是了解船舶的关键系统、其依赖性及其与非关键系统网络的连接，以及网络事件对航行和人员安全以及船舶功能的影响。不同的环境可能具有不同的关键功能，但至少应将LR ShipRight 程序定义为必不可少的所有项目的功能视为关键。

可进行评估，以确保正在建造的船舶或将出售给造船商的系统适合使用，并可由最终船东/运营商安全管理。

根据LR分类或拟根据LR进行分类的船舶可使用LR CSF准备并完成评估，从而分配描述性注释。将按照相关LR船舶规则的规定进行定期检验，以保持此类描述性注释。