指导性文件 GUIDANCE NOTES GD014-2024
中 国 船 级 社
船舶网络安全指南
2024
2024 年 7 月 15 日生效
北京
船舶网络安全指南
目 录
第 1 章
通则 ............................................................................................................................................. 1
第 1 节
一般规定 ........................................................................................................................... 1
第 2 节
术语及规范引用 ............................................................................................................. 3
第 3 节
船舶网络安全分级及附加标志 ................................................................................. 7
第 4 节
免除申请 ........................................................................................................................... 8
第 2 章
产品网络安全要求.................................................................................................................. 9
第 1 节
一般规定 ........................................................................................................................... 9
第 2 节
产品网络安全分级 ...................................................................................................... 10
第 3 节
系统要求 ......................................................................................................................... 10
第 4 节
安全开发周期要求 ...................................................................................................... 21
第 3 章
产品检验/评估 ....................................................................................................................... 24
第 1 节
一般规定 ......................................................................................................................... 24
第 2 节
测试验证 ......................................................................................................................... 27
第 4 章
船舶网络安全要求................................................................................................................ 29
第 1 节
一般规定 ......................................................................................................................... 29
第 2 节
M 标志要求 ................................................................................................................... 29
第 3 节
P 标志和 S 标志要求 .................................................................................................. 31
第 5 章
船舶网络安全检验................................................................................................................ 44
第 1 节
一般规定 ......................................................................................................................... 44
第 2 节
初次入级检验................................................................................................................ 47
第 3 节
建造后检验 .................................................................................................................... 48
附录 1
船舶 CBS 风险评估 ............................................................................................................... 50
附录 2
船舶网络安全管理................................................................................................................ 58
-1-
船舶网络安全指南
第1章 通则
第1节 一般规定
1.1.1 适用范围
1.1.1.1 本指南适用需要满足及自愿申请中国船级社（China Classification Society,
CCS）船舶网络安全附加标志及网络安全评估的船舶（含海上设施）和船载计算机系统
（Computer Based System, CBS）。
1.1.1.2 本指南给出了船舶和船载计算机系统的网络安全要求。
1.1.1.3 本指南要求适用的船载计算机系统，系指利用数据对船舶及设备的物理过程进
行监测或控制，如受到网络事件影响，可能会对人员安全、船舶安全和/或海事环境造成危
害的船载操控系统（Operation Technology System, OT 系统），包括但不限于：
（1） 推进系统；
（2） 操舵系统；
（3） 锚泊和系泊系统；
（4） 发电和配电系统；
（5） 火灾探测和灭火系统；
（6） 舱底水和压载水系统，装载计算机系统；
（7） 水密完整性和进水探测系统；
（8） 照明（如应急照明，低位照明，航行灯等）；
（9） 任何提供安全功能的 CBS，其中断或功能受损可能对船舶操作构成风险（如应
急切断系统、货物安全系统、压力容器安全系统、气体探测系统等）；
（10） 法规要求的航行系统；
（11） CCS 规范和法规要求的内部和外部通信系统。
1.1.1.4 与 1.1.1.3 提及的系统采用网际互连协议（Internet Protocol, IP）连接的系统，其
接口在本指南要求适用范围内，如：
（1） 乘客或访客服务和管理系统；
（2） 面向乘客的网络；
（3） 办公管理网络；
（4） 船员娱乐系统；
（5） 任何永久或暂时连接到 OT 系统的其他系统（如维护期间）。
1.1.1.5 法规或 CCS 要求的航行系统和无线电通信系统可采用 IEC 61162-460 或其它同
等标准作为本指南第 2 章第 3 节 SL0 级要求的替代，安装部署到船舶时，应满足本指南第
4 章第 3 节 SL0 级相关的要求。
1.1.1.6 不在 1.1.1.3-1.1.1.6 范围内的计算机系统可参考本指南要求。
1.1.1.7 本指南所述船舶网络包含指南适用系统以及支撑其稳定、安全、可靠运行的网
络设施，包括计算、安全、存储、通信及网络等设备。
第1页
船舶网络安全指南
1.1.2 船舶及船载计算机系统网络安全最低要求
1.1.2.1 2024 年 7 月 1 日及以后签订建造合同的以下船舶至少需要满足本指南的第 4 章
第 3 节 SL0 级对应的相关要求：
（1） 国际航行客船（包括高速客船）；
（2） 500 总吨及以上的国际航行货船；
（3） 500 总吨及以上的国际航行的高速船；
（4） 500 总吨及以上的海上移动式钻井平台；
（5） 其他自航海上移动平台（例如海上风机作业平台、起重平台、钻井支持平台、
居住平台等）。
1.1.2.2 除 1.1.2.1 规定的船舶外，国内航行的船舶和国际航行的其它船舶可以参考执
行，自愿申请满足本指南的相关要求，如：
（1） 军船和运兵船；
（2） 小于 500 总吨的货船；
（3） 非机动船；
（4） 制造简陋的木船；
（5） 客运游艇（乘客不超过 12 人）；
（6） 非营业性游艇；
（7） 渔船；
（8） 特定海上设施（如浮式生产储油卸油装置、浮式储油船等）等。
1.1.2.3 在 1.1.2.1 规定的船舶包含 1.1.1.3 提及的系统和 1.1.1.4 提及的接口时，至少需
要满足本指南的第 2 章第 3 节 SL0 级对应的相关要求或同等要求。
1.1.3 船载计算机系统网络安全要求适用性判定
1.1.3.1 判定船舶网络中 CBS 是否满足本指南相关要求，可按图 1.1.3.3 中流程进行。
船载计算机系统
是否属于1.1.1.3所述
的CBS
否 是否与1.1.1.3所述CBS采用 否 是否申请对该系统进
基于IP的网络相连 行评估
否
是 是 否 是
是否申请免除 接口按本指南相关要求进行检验 不适用
是
风险评估
是否符合免除要求 是 免除本指南相关要求
否
按照本指南相关要求进行检验
图 1.1.3.1 CBS 安全检验/评估判定流程
第2页
船舶网络安全指南
第2节 术语及规范引用
1.2.1 术语及定义
1.2.1.1 访问控制（Access Control）：对系统交互能力和方式的选择性限制，包括使用
系统资源处理信息、获得系统信息和知识，或控制系统部件和功能。
1.2.1.2 攻击面（Attack Surface）：未经授权的用户可以访问系统并提取数据的所有可
能点的集合。攻击面包括两类：数字和物理。数字攻击面包括连接到组成网络的所有硬件
和软件。这些包括应用程序、代码、端口、服务器和网站。物理攻击面包括攻击者可以物
理访问的所有终端设备，如台式机、硬盘设备、笔记本电脑、移动电话、可移动设备和随
意丢弃的硬件。
1.2.1.3 鉴别（Authentication）：对实体特征的正确性提供保证。
1.2.1.4 补偿措施（Compensating Countermeasure）：替代或补充内在安全功能以满
足一个或多个安全需求的对策。
1.2.1.5 计算机系统（Computer Based System, CBS）：一种可编程的电子设备，或一
组可互操作的可编程电子设备，为达到一个或多个特定目的而组织起来，如信息的收集、
处理、维护、使用、共享、传播或处置。船载 CBS 包括 IT 和 OT 系统。CBS 可以是通过
网络连接的子系统的组合。船载 CBS 可以直接或通过公共通信方式（如互联网）与岸上的
CBS、其他船舶的 CBS 和/或其他设施连接。
1.2.1.6 网络（Network）：两台或多台计算机之间的一种连接，以通过约定的通信协
议进行数据通信。
1.2.1.7 网络安全（Cyber Security）：网络环境下存储、传输和处理的信息的保密性、
完整性和可用性的表征。
1.2.1.8 网络攻击（Cyber Attacks）：以访问、危及、损毁公司和/或船舶的系统和数据
为目的，针对 IT 和 OT 系统、计算机网络、个人计算机设备的任何形式的攻击性操作。
1.2.1.9 网络事件（Cyber Incident）：任何针对或影响一个或多个船载 CBS 的有意或
无意的攻击行为所导致的事件，该攻击行为对船载系统、网络和计算机或它们处理、存储
或传输的信息造成实际的或潜在的不利后果，这可能需要采取相应措施来减轻后果。网络
事件包括未经授权访问、滥用、修改、销毁或不当披露在船载 CBS 中生成、存档或使用的
信息，或在连接该系统的网络中传输的信息。网络事件不包括系统故障。
1.2.1.10 网络韧性（Cyber Resilience）：减少发生网络事件并减轻其影响的能力，这
些网络事件是由船舶安全操作的操控系统（OT）的中断或损坏引起的，这类中断或损坏可
能导致危及人身、船舶安全和/或对环境构成威胁。
1.2.1.11 纵深防御（Defense in Depth）：集成人员、技术和操作能力的信息安全策
略，在组织的多个层次和任务中建立可变防护。
1.2.1.12 隔离区（Demilitarized Zone, DMZ）：含有并将组织的对外服务提供给外部
网络的物理或逻辑子网。它的目的是加强内部网络对外部信息交换的安全策略，并在保护
第3页
船舶网络安全指南
内部网络免受外部攻击的同时，为外部、不受信任的源提供对可发布信息的受限访问。
1.2.1.13 拒绝服务攻击（Denial of Service, DoS）：网络攻击的一种类型，阻止合法和
授权用户访问信息，通常通过服务器缓冲区满溢的方式实现。分布式拒绝服务攻击是由网
络攻击者掌控多台计算机和/或服务器来实现拒绝服务攻击的。
1.2.1.14 重要系统（Essential System）：为船舶的推进、操纵和安全提供必要的服务
的计算机系统。重要服务包括“主重要服务”及“次重要服务”；主重要服务是指那些需
要持续运行以保持推进和转向的服务；次重要服务是指那些不一定需要持续运行以维持推
进和转向，但对维持船舶安全是必要的服务。
1.2.1.15 防火墙（Firewall）：一种逻辑或物理屏障，用于监控通过预定义规则输入和
输出的网络流量。
1.2.1.16 固件（Firmware）： 嵌入电子设备中的软件，为工程产品和系统提供控制、
监控和数据操作。这些通常是自带的，用户无法操作。
1.2.1.17 加固（Hardening）：系指通过减少攻击面来降低系统脆弱性的行为。
1.2.1.18 信息技术（Information Technology, IT）：不同于操控技术（OT），侧重于
将数据作为信息使用的设备、软件和相关网络。
1.2.1.19 信息系统（Information Technology System，IT 系统）：主要指使用计算机技
术，微电子技术，电气手段，管理船舶营运过程的数据及流程的系统。
1.2.1.20 集成系统（Integrated System）：为达到一个或多个特定目的而组织的由许多
相互作用的子系统和/或设备组成的系统。
1.2.1.21 入侵检测系统（Intrusion Detection System, IDS）：用以监测网络或系统活
动，探测恶意或违规操作，并进行报告的设备或软件应用。
1.2.1.22 入侵防御系统（Intrusion Prevention System，IPS）：用以识别和阻止恶意
流量或违规操作的设备或软件。
1.2.1.23 逻辑网段（Logical Network Segment）：与“网段”相同，两个或多个逻辑
网段共享相同的物理组件 1。
1.2.1.24 网段（Network Segment）：本指南中，网段是指 OSI 二层以太网段(广播
域)2。
1.2.1.25 网络交换机（Network Switch/ Switch）： 通过使用分组交换来接收、处理数
据并将数据转发到目的地，从而将计算机网络上的设备连接在一起的设备。
1.2.1.26 恶意软件（Malware）：泛指能传染计算机系统并影响其性能的软件。
1.2.1.27 网络传输介质（Network Transmission Media）：是网络中发送方与接收方之
间的物理通路，如同轴电缆、光纤、无线传输等。
1 逻辑网络驻留在相同的物理网络上，但在数据链路或网络层（OSI Layer 2 和 3）进行分段和管理。
2 注（TCP/IP）：网络地址规划由其 IP 地址和网络掩码作为前缀。网络段之间的通信只能通过在网络层
(OSI layer 3)使用路由服务来实现。
第4页
船舶网络安全指南
1.2.1.28 攻击性网络行为（Offensive Cyber Manoeuvre）：导致 OT 或 IT 系统被拒
绝、降级、中断、破坏或操纵的行为。
1.2.1.29 操控系统（Operation Technology System）：用于提供控制、报警、监视、安
全或内部通信功能的计算机系统。
1.2.1.30 操控技术（Operational Technology, OT）：用于监测和控制船载系统的设
备、传感器、软件和相关网络。操控系统可以被认为是专注于使用数据来控制或监测物理
过程。
1.2.1.31 补丁（Patch）： 旨在更新已安装软件或支持数据的软件，以解决安全漏洞和
其他错误或改进操作系统或应用程序。
1.2.1.32 物理网段（Physical Network Segment）：同“网段”。物理组件不能与其他
网段共享 3。
1.2.1.33 协议（Protocol）：网络中计算机用来通信的一组通用规则和信号。协议可以
实现数据通信、网络管理和安全。船载网络通常基于 TCP/IP 栈或各种现场总线实现通信。
1.2.1.34 恢复（Recovery）：制定并实施适当的活动，以维持韧性计划，并恢复因网
络安全事件而受损的任何能力或服务。恢复功能支持用户及时恢复正常操作，以减少网络
安全事件的影响。
1.2.1.35 风险评估（Risk Assessment）：为告知优先事项，建立行动方案，并告知决
策风险的数据收集和数值分配过程。
1.2.1.36 风险管理（Risk Management）：是一个识别、分析、评估和沟通风险并且接
受、避免、转移或控制风险到一个可接受的水平，考虑有关成本和效益举措的过程。
1.2.1.37 安全区域（Security Zone）：在本指南的适用范围内需要相同访问控制策略
CBS 的集合。每个安全区域由一个或一组接口组成，在这些接口上应用访问控制策略。
1.2.1.38 船东/公司（Shipowner/Company）：船舶所有者或者其他组织或个人，如管
理者、代理或承租人，向船舶所有人承担船舶经营责任，并在承担责任后同意承担其相应
的义务和责任。在初始建造期间，船东可以是船厂或系统集成商（建造商或船厂）。交船
后，船东可以将部分责任委托给船舶经营公司。
1.2.1.39 供应商（Supplier）：硬件和/或软件产品、系统组件或设备（硬件或软件）的
制造厂或提供者，包括作为系统或子系统一起运行的应用程序、嵌入式设备、网络设备、
主机设备等。供应商负责向系统集成商提供可编程设备、子系统或系统。
1.2.1.40 系统（System）：为实现一个或多个特定目的而组织的交互可编程设备和/或
子系统的组合。
1.2.1.41 系统类别（System Category）：基于计算机系统功能对船舶和人员的安全以
及对环境的危害划分系统类别，主要分为 I 类、II 类、III 类系统，详细定义见 CCS《钢质
3 分段将网络划分为多个物理段或子网，对进出的数据包进行控制。网络层（OSI layer 3）和应用层
（OSI Layer 7）都能允许或阻止连接和数据交换。流量管理和包过滤都可以由单个软件或硬件设备来管
理。
第5页
船舶网络安全指南
海船入级规范》第 7 篇第 2 章第 6 节 2.6.3 条。
1.2.1.42 系统集成商（Systems Integrator）：负责将供应商提供的系统和产品集成到
船舶设计要求规定的系统中，并提供集成系统的特定人员或组织。系统集成商还可能负责
船上系统的集成。除非与其他组织签订合同/指定职责，否则该角色应由船厂承担。
1.2.1.43 可信平台模块（Trusted Platform Module, TPM）：一种植于计算机内部为计
算机提供可信根的芯片。
1.2.1.44 不可信网络（Untrusted Network）：在此指南的适用性范围之外的任何网
络。
1.2.1.45 虚拟局域网（Virtual Local Area Network , VLAN）：可使地理上分散的网络
节点像在同一物理网络里进行通讯。
1.2.1.46 虚拟专用网（Virtual Private Network, VPN）：建立在现有物理网络之上的虚
拟网络，为网络或设备之间的数据传输提供安全的通信隧道，利用隧道、安全控制和端点
地址转换，提供专用线的使用感受。
1.2.2 规范性引用文件
指南引用下列参考文件。凡是注日期的引用文件，仅引用版本适用，凡是不注日期的
引用文件，其最新版本适用于本指南。
1.2.2.1 CCS《钢质海船入级规范》及其修改通报。
1.2.2.2 IEC 62443-3-3:2013 Industrial communication networks - Network and system
security - Part 3-3: System security requirements and security levels。
第6页
船舶网络安全指南
第3节 船舶网络安全分级及附加标志
1.3.1 船舶网络安全分级
1.3.1.1 船舶网络安全分为 5 个级别：
船舶网络安全分级表
表 1.3.1.1
序号 级别 防御能力
1 SL0 满足最低安全要求（UR E26）的防御能力
2 SL1 抵御偶发的网络事件的防御能力
3 SL2 抵御利用少量资源发起的网络事件的防御能力
4 SL3 抵御利用丰富资源发起的网络事件的防御能力
5 SL4 抵御有组织有目的的网络事件的防御能力
1.3.2 船舶网络安全附加标志
1.3.2.1 对于船舶，经申请，并经 CCS 审图和评估/检验合格，可授予船舶网络安全附
加标志：
Cyber Security (M, P[SL0]/S[SLx])
其中，M表示满足船舶网络风险管理要求，P表示满足船舶网络安全最低技术要求，S
表示满足船舶较高的网络安全技术要求。
（1） M 船舶应满足本指南第 4 章第 2 节要求；
（2） P 船舶应满足本指南第 4 章第 3 节中 SL0 对应的要求，与 IACS UR E26 Rev1
对应，CBS 应不低于第 2 章第 3 节 SL0 对应的要求，与 IACS UR E27 Rev1 对应；
（3） S 分为 4 个等级（SL1~SL4），其中 SL4 为最高等级，船舶应分别满足本指南
第 4 章第 3 节中 SL1~SL4 对应的要求，CBS 应不低于第 2 章第 3 节 SL1~SL4 对应的要
求；
（4） 船舶网络安全附加标志与船舶、产品网络安全等级的对应关系见表 1.3.2.1
船舶网络安全附加标志与船舶、产品网络安全等级对应关系
表 1.3.2.1
范围 要求
船舶级 产品级*
M 本指南适用系统 满足网络风险管理 -
P SL0（E26） SL0（E27）
S SL1 SL1
SL2 SL2
SL3 SL3
SL4 SL4
注*：其中 CBS 的安全等级原则上应不低于船舶的安全等级。
1.3.2.2 船舶在申请网络安全相关附加标志时，可根据船舶网络安全预期与 CCS 协商确
定应满足的网络安全等级。
1.3.2.3 船舶网络安全附加标志的授予、保持、暂停、取消和恢复应符合 CCS 相关要
求。
1.3.3 申请
1.3.3.1 申请 CCS 进行船舶网络安全检验/评估的系统和/或船舶，应向 CCS 或 CCS 的
当地分支机构提出书面申请，必要时可签订评估服务合同和/或协议。
第7页
船舶网络安全指南
第4节 免除申请
1.4.1 申请免除
1.4.1.1 当指南适用的 CBS 要免除相关安全要求时，供应商或系统集成商/船厂应向
CCS 提出申请。
1.4.1.2 申请免除的 CBS 应按 1.4.2 所列要求开展，并满足 1.4.3 免除接受准则，提供相
关 CBS 的网络风险评估报告，作为免除系统处于可接受风险水平的证据。
1.4.2 CBS 网络安全风险评估
1.4.2.1 网络安全风险评估时，应考虑 CBS 的类别，分析其预期运行环境（识别网络事
件发生的可能性及其对人身安全、船舶安全或海洋环境的影响），分析攻击面（考虑 CBS
的连接等级、可能的便携式设备接口、逻辑访问限制、系统集成或系统间的接口包括非船
载系统的远程访问等），从资产脆弱性、内部和外部威胁、网络事件潜在影响等因素进行
评估，风险评估方法可参考本指南附录 1。
1.4.3 CBS 网络安全要求免除接受准则
1.4.3.1 当 CBS 为以下情况之一时，原则上不允许申请免除
（1） 当 CBS 为 III 类计算机系统时；
（2） 当 CBS 是本指南适用范围中规定的具有多种重要功能的综合控制系统时。
1.4.3.2 当 CBS 满足以下全部条件时，可以申请免除
（1） CBS 是孤立的（如与其它系统或网络无 IP 连接）；
（2） CBS 应没有可访问的物理接口；
（3） CBS 位于物理访问受控制的区域。
1.4.4 免除批准
1.4.4.1 结合具体船舶，按照 1.4.2 所列要求，提供满足 1.4.3 免除准则的 CBS 网络风险
评估报告。
1.4.4.2 当不能满足 1.4.3.2 全部条件，但可以向 CCS 提供合理解释和证据，也可以申
请免除，CCS 有权根据情况要求其提供附加文件。
1.4.4.3 在接受免除时，CCS 对其风险控制措施进行评估确认风险水平可控，可在产品
阶段批准风险评估报告，CCS 船舶审图验船师结合船舶应用场景，批准该 CBS 在具体船
舶的相关要求免除。
第8页
船舶网络安全指南
第2章 产品网络安全要求
第1节 一般规定
2.1.1 一般要求
2.1.1.1 本章所述产品包括但不限于：
（1） 本指南 1.1.1.3 提及的 CBS 及实现本指南 1.1.1.4 规定接口的系统或设备；
（2） CCS 认为必要的网络设备（如边界防火墙、核心交换机等）；
（3） 申请方要求的其他系统/设备。
2.1.1.2 CBS 中的主机、软件程序、嵌入式设备、网络设备、云虚拟设备等，满足的最
低要求应根据所在系统级别而定。
2.1.1.3 网络设备系指网络中将各类服务器、终端设备、应用终端等节点相互连接的专
用软硬件系统/设备，包括网络交换设备（交换机、网桥等）、网络路由设备（路由器
等）、网络安全系统/设备（防火墙、安全网关、入侵检测系统、安全审计系统、加解密系
统等）、网络接入设备（网络接口卡、无线接入点等）等。应用在 CBS 中的网络设备应至
少满足本指南 2.3.1 和 2.3.2 相应安全等级的要求。单独申请认证的网络设备应满足该类设
备的指南要求，或 CCS 认可的等效要求。
2.1.1.4 船用产品的网络要求以安全要求为核心，其通信要求及可靠性要求以满足其业
务预期为基准。
2.1.1.5 产品网络安全要求以表 2.1.1.5 所列七个要素为核心，根据产品网络安全分级，
提出了具体要求。
船舶产品网络安全要求要素 表 2.1.1.5
序号 基本安全要素 说明
1 标识和鉴别 在允许访问系统之前，识别并验证所有用户（人员、软件进程和设备）
2 使用控制 为通过身份鉴别的用户（人员、软件进程或设备）分配权限，以便系统执 行请求的授权操作，并监控权限使用情况
3 系统完整性 确保系统的完整性，防止未授权操作
4 数据保密性 确保通讯信道和存储区域的数据的保密性，防止未授权的披露
5 受限数据流 通过区域和管道对系统进行分段，限制不必要的数据流动
6 事件及时响应 对违背网络安全要求的行为作出响应，通知有关人员，报告必要的证据， 并在发现事件时及时采取措施
7 资源可用性 确保系统的可用性，防止重要服务受到影响或拒绝服务
2.1.2 基本安全要求
2.1.2.1 重要系统的安全措施不应对系统可用性造成不利影响。安全措施的实施不得导
致安全功能、控制功能、监测功能等的丧失。
2.1.2.2 安全区域边界处于故障关闭状态或孤岛模式时，不应影响重要系统的基本功
能。
2.1.2.3 系统在设计时，应确保船舶、系统、人员和货物安全所需数据的保密性、完整
性和可用性。
第9页
船舶网络安全指南
2.1.2.4 为满足一个或多个安全要求，可以使用补偿措施代替或补充固有的安全能力。
补偿措施应遵循以下原则：
（1） 补偿措施应符合原规定要求的意图和严格性，应“不低于”其他要求；
（2） 系统要求提供的安全能力，可以由其他设备或系统提供。对于系统的型式认
可，补偿措施应在 CBS 中实施，即不依赖于船上安装或操作程序相关的边界防护；
（3） 应同时遵循第 3.1.3 节安全能力说明文件描述的原则。
第2节 产品网络安全分级
2.2.1 产品网络安全分级
2.2.1.1 产品网络安全分为 5 个等级（SL0~ SL 4）见表 2.2.1.1。
船舶产品网络安全分级
表 2.2.1.1
序号 分级 本指南对应要求 防御能力
1 SL 0 见 2.3-2.4 节 满足 CBS 最低网络安全要求（UR E27）的防御能力
2 SL 1 抵御偶发的网络事件的防御能力
3 SL 2 抵御利用少量资源发起的网络事件的防御能力
4 SL 3 抵御利用丰富资源发起的网络事件的防御能力
5 SL 4 抵御有组织有目的的网络事件的防御能力
第3节 系统要求
2.3.1 CBS 安全要求
2.3.1.1 标识和鉴别
（1） 人员身份标识和鉴别
编号 要求 SL0 SL1 SL2 SL3 SL4
SR1.1 CBS 应能标识并鉴别所有访问系统的人员 √ √ √ √ √
SR1.1 RE1 CBS 应能唯一标识和鉴别所有人员 √ √ √
SR1.1 RE2 CBS 应对通过不可信网络访问的人员采用多因素身份 认证 √*4 √*5 √ √ √
SR1.1 RE3 CBS 应对所有人员采用多因素身份认证 √
（2） 进程和设备标识和鉴别
编号 要求 SL0 SL1 SL2 SL3 SL4
SR1.2 CBS 应能标识和鉴别所有通过接口访问的进程和设备 √* √* √ √ √
SR1.2 RE1 CBS 应能唯一标识和鉴别所有软件进程和设备 √ √
（3） 账户管理
4 √表示适用。
√ *表示与不可信网络连接时适用。 5√ *表示 IEC 62443-3-3 对应级别中不适用，但本指南中适用于与不可信网络相连的情形。
第10页
船舶网络安全指南
编号 要求 SL0 SL1 SL2 SL3 SL4
SR1.3 CBS 应提供支持授权用户管理所有账户的能力，包括 添加、激活、修改、禁用和删除 √ √ √ √ √
SR1.3 RE1 CBS 应支持统一账户管理的能力 √ √
（4） 标识管理
编号 要求 SL0 SL1 SL2 SL3 SL4
SR1.4 CBS 应提供通过用户、组、角色或控制系统接口支持 标识管理的能力 √ √ √ √ √
（5） 鉴别管理
编号 要求 SL0 SL1 SL2 SL3 SL4
SR1.5 CBS 应提供以下能力： ① 初始化鉴别符（令牌、密码、指纹等）内容； ② CBS 安装时要求修改所有鉴别符的默认值； ③ 修改/更新所有鉴别符； ④ 在存储和传输时，保护所有鉴别符不受未经授权 的披露和修改 √ √ √ √ √
SR1.5 RE1 对于软件和设备用户，CBS 应能通过硬件机制（如 TPM）保护相关鉴别符 √ √
（6） 无线访问管理
编号 要求 SL0 SL1 SL2 SL3 SL4
SR1.6 CBS 应对无线通信的所有用户(人员、软件进程或设 备)进行标识和鉴别 √ √ √ √ √
SR1.6 RE1 CBS 应对所有使用无线通信的用户(人员、软件进程或 设备)提供唯一标识和鉴别能力 √ √ √
（7） 口令强度
编号 要求 SL0 SL1 SL2 SL3 SL4
SR1.7 对于口令认证的 CBS，应能通过设置最小长度和多种 字符类型，配置口令强度 √ √ √ √ √
SR1.7 RE1 CBS 应防止任何人员在一定的口令更换周期内重复使 用密码。此外还应能限制人员口令的最短和最长使用 期限 √ √
SR1.7 RE2 应能限制所有用户口令的最短和最长使用期限 √
（8） PKI 证书
编号 要求 SL0 SL1 SL2 SL3 SL4
SR1.8 当采用 PKI 技术时，CBS 应能根据最佳实践运行 PKI，或从现有 PKI 中获取公钥证书 √ √ √
第11页
船舶网络安全指南
（9） 公钥认证强度
编号 要求 SL0 SL1 SL2 SL3 SL4
SR1.9 当采用公钥认证时，CBS 应能： ① 通过检查证书签名的有效性验证证书； ② 通过构建到一个接受的可信 CA 的证书路径来验 证证书，或者在自签名证书的情况下，通过将子 证书部署到所有与颁发证书的主体通信的主机来 验证证书； ③ 通过检查给定证书的撤销状态来验证证书； ④ 建立用户(人员、软件进程或设备)对相应私钥的 控制； ⑤ 将已验证的身份映射到用户(人员、软件进程或设 备) √ √ √
SR1.9 RE1 CBS 应根据普遍接受的安全行业实践和建议，通过硬 件机制保护相关的私钥 √ √
（10） 身份鉴别反馈
编号 要求 SL0 SL1 SL2 SL3 SL4
SR1.10 CBS 应在认证过程中对鉴别反馈信息模糊处理 √ √ √ √ √
（11） 失败登录尝试
编号 要求 SL0 SL1 SL2 SL3 SL4
SR1.11 CBS 应能限制任何用户(人员、软件进程或设备)连续 无效访问尝试，尝试次数可配置；应能配置拒绝访问 时间，或直至管理员解锁为止 对于代表其运行重要服务或服务器的系统账户，应能 禁止交互式登录 √* √ √ √ √
（12） 系统使用告知
编号 要求 SL0 SL1 SL2 SL3 SL4
SR1.12 CBS 应具有在身份验证前显示系统使用告知信息的能 力。信息应能由授权人员设置 √* √ √ √ √
（13） 不可信网络的访问
编号 要求 SL0 SL1 SL2 SL3 SL4
SR1.13 CBS 应能监测和控制所有通过不可信网络的访问方式 √* √ √ √ √
SR1.13 RE1 除指定角色的许可，CBS 应拒绝不可信网络的访问请 求 √* √* √ √ √
2.3.1.2 使用控制
（1） 授权实施
编号 要求 SL0 SL1 SL2 SL3 SL4
SR2.1 CBS 应能在所有交互接口上为所有人员分配权限，以 √ √ √ √ √
第12页
船舶网络安全指南
控制系统的使用，支撑实施职责分离和最小特权
SR2.1 RE1 CBS 应能在所有接口上为所有用户（人员、软件进程 和设备）分配权限，以控制系统的使用，支撑实施职 责分离和最小特权 √ √ √
SR2.1 RE2 CBS 应能授权用户或角色，定义和修改所有人员或角 色到权限的映射 √ √ √
SR2.1 RE3 CBS 应支持管理员在可配置时间或事件期间，手动覆 盖当前人员的授权 ○1 √ √
SR2.1 RE4 当某个操作可能严重影响船舶安全时，如操作模式切 换，应支持双重许可/确认 √
○1 在发生紧急情况或其他严重事件时，需对自动机制实施受控、审计和手动覆盖。管理员利用当前用户
能够快速对异常情况做出反应，而无需关闭当前会话，再以更高权限的用户建立一个新会话。
（2） 无线使用控制
编号 要求 SL0 SL1 SL2 SL3 SL4
SR2.2 CBS 应根据普遍接受的安全行业惯例，授权、监测和 限制无线连接的使用 √ √ √ √ √
SR2.2 RE1 CBS 应能识别并报告在系统物理环境中传输的未经授 权的无线设备 √ √
（3） 便携式和移动设备的使用控制
编号 要求 SL0 SL1 SL2 SL3 SL4
SR2.3 CBS 支持便携式和移动设备的使用时，应能： ① 将便携式和移动设备限制在设计允许或授权的范 围内； ② 限制与便携式和移动设备之间的代码和数据传输 ○2 √ √ √ √ √
SR2.3 RE1 CBS 应能验证试图连接到某个区域的便携式或移动设 备是否符合该区域的安全要求 √ √
○2 特定系统可接受端口限制/阻塞。
（4） 移动代码
编号 要求 SL0 SL1 SL2 SL3 SL4
SR2.4 CBS 应能控制移动代码技术的使用，如 Javascripts、 ActiveX 和 PDF √ √ √ √ √
SR2.4 RE1 CBS 应能在允许代码执行之前，验证移动代码的完整 性 √ √
（5） 会话锁定
编号 要求 SL0 SL1 SL2 SL3 SL4
SR2.5 CBS 应具备会话锁定能力，在可配置的不活跃时间后 自动或手动启动。会话锁定将通过人员或其他授权人 员重新进行身份验证建立访问 √ √ √ √ √
第13页
船舶网络安全指南
（6） 远程会话终止
编号 要求 SL0 SL1 SL2 SL3 SL4
SR2.6 CBS 应能在一段闲置时间后自动终止远程会话，或者 由发起会话的用户手动终止远程会话，该时间可配置 √* √* √ √ √
（7） 并行会话控制
编号 要求 SL0 SL1 SL2 SL3 SL4
SR2.7 CBS 应能在会话中限制每个接口的并发会话数量，该 并发数可配置 √ √
（8） 可审计事件
编号 要求 SL0 SL1 SL2 SL3 SL4
SR2.8 CBS 应能生成与安全相关的可审计记录，类别至少包 括：访问控制、操作系统事件、备份和恢复事件、配 置更改、通信中断 √ √ √ √ √
SR2.8 RE1 CBS 应能集中管理可审计事件，并将整个控制系统的 多个组成部分的审计记录汇编成一个系统范围（逻辑 或物理）的、时间相关的审计追踪。控制系统应提供 以行业标准格式导出这些审计记录的能力，以供标准 商业日志分析工具分析，例如，安全信息和事件管理 （SIEM） √ √
（9） 可审计日志存储容量
编号 要求 SL0 SL1 SL2 SL3 SL4
SR2.9 CBS 应根据公认的日志管理和系统配置建议，分配足 够的审计记录存储空间。应提供审计机制，以减少超 出这种能力的可能性 √ √ √ √ √
SR2.9 RE1 当分配的审计记录存储达到最大审计记录存储容量的 可配置百分比时，CBS 应能发出警告 √ √
（10） 审计处理失败响应
编号 要求 SL0 SL1 SL2 SL3 SL4
SR2.10 CBS 应能在审计处理失败的情况下，提醒人员以防止 重要服务和功能的损失 CBS 应根据公认的行业惯例和建议，支持采取适当措 施以应对审计处理失败事件 √ √ √ √ √