背景

国际船级社协会（IACS）为了使船舶能够抵御网络事故，增强船舶网络安全的韧性，于2022年4月发布了两项统一要求（Unified Requirements）——UR E26和UR E27。2023年，国际船级社协会根据业界反馈，在原有基础上对两项统一要求进行了内容修订，分别于2023 年 9 月和11月发布了船载系统和设备网络韧性 UR E27 (Rev.1) 和船舶网络韧性统一要求 UR E26 (Rev.1)，适用于 2024 年 7 月 1 日及之后签订建造合同的新造船，同时撤销了之前发布的统一要求。

UR E26（Rev.1）内容简介

UR E26（统一要求E26）全称为《船舶网络韧性》（Cyber Resilience of Ships），是国际船级社协会（IACS）针对船舶网络安全制定的核心规范。

引言部分提出，统一规范的宗旨是提供一套关于船舶网络韧性的最低要求，旨在为相关利益方提供实现网络韧性船舶的技术方法，明确了适用范围。主要内容部分包括要求（Requirements）和符合性验证（Demonstration of compliance）两部分，附录为免除要求的计算机系统的风险评估。

一 适用范围

1.船舶操控系统（Operational Technology），特别是以下船舶功能和系统的 CBS（计算机系统） 运行：

①推进 

②操舵

③锚泊和系泊 

④发电和配电 

⑤火灾探测和灭火系统 

⑥舱底水和压载水系统，装载计算机 

⑦水密完整性和进水检测 

⑧照明（如应急照明，低位置安全指示灯，航行灯等。） 

⑨任何所需的安全系统，其中断或功能受损可能对船舶操作构成风险（如应急切断系统，货物安全系统，压力容器安全系统，气体探测系统等）

另外，法定规则要求配备的航行设备、法定规则和船级社要求配备的内外部通信系统也应适用。

2.任何基于 Internet 协议(IP)的通信接口，包含但不限于：

①乘客或访客服务和管理系统 

②面向乘客的网络 

③管理网络 

④船员福利系统 

⑤任何永久或暂时连接到 OT 系统的其他系统（如维护期间）

二 具体要求

此部分主要涵盖五个关键方面：识别、保护、检测、响应和恢复。

1.识别（Identify）

建立船舶资产清单。提供计算机化系统（CBS）及其连接网络的硬件和软件清单并保持更新。

2.保护（Protect）

①设置安全区域和网络分段。所有 CBS 应划入具有明确安全控制策略和安全能力的安全区域。安全区域应进行隔离（如网闸），或通过提供区域间的通信数据控制的方式（如防火墙/路由器等）连接到其他安全区域或网络。

②设置网络防护措施。安全区域应由防火墙或其他有效手段加以保护，防止其发生损害网络资源服务质量的事件。CBS 应按照“最小功能”原则实现其功能，即配置为只提供必要功能，防止或限制非必要功能的使用。

③恶意代码保护。CBS应当能够防止恶意代码攻击。

④访问控制。CBS 和网络应提供物理和/或逻辑/数字措施，能够有选择地限制与系统本身进行通信或交互，使用系统资源处理信息，获取系统所包含的信息，或控制系统的组件和功能的能力和手段。此类措施应不妨碍授权人员根据最低特权原则访问 CBS 的能力。

⑤无线通信。确保网络事件不传播到其他控制系统、只有授权用户才能访问无线网络、只有授权进程和设备才使用无线网络通信、不能操作或公开在无线网络中传输的信息。

⑥不可信网络的远程访问控制和通信。防止未授权访问和不可信网络的威胁。

⑦移动和便携设备的使用。CBS 中移动和便携式设备的使用应仅限于必要的活动，代码和数据传输应被限制。

3.检测（Detect）

①网络运行监测。网络应持续监测，并在发生故障时报警。

②网络验证和诊断功能。CBS 和网络应能够检查本 UR 要求的安全功能的性能和功能。诊断功能应提供关键系统完整性和状态的充分信息，并提供维持其功能的手段。

4.响应（Respond）

①事件响应计划。涵盖相关突发事件，并规定如何应对网络安全事件。

②本地、独立、手工操作。SOLAS II-1 第 31 条要求的本地备用控制所需的所有 CBS 应独立于主控制系统。

③设置网络隔离。应该具备可以终止与任一安全区域的网络通信的功能。

④回退到最低风险状态。CBS 和集成系统在发生意外时，能够回退到一个或多个最低风险状态，保持系统处于持续、已知和安全状态的安全措施。

5.恢复（Recovery）

①恢复计划。支持CBS在网络事件造成中断或故障后恢复到运行状态。

②备份和恢复能力。CBS 和网络应具备支持及时、完整和安全的备份和恢复的能力并定期维护和测试。

③受控关机、重置、回滚和重启。CBS 和网络应能够受控关机、重置到初始状态、回滚到安全状态并在此状态下从断电状态重新启动。

UR E27（Rev.1）内容简介

UR E27（统一要求E27）全称为《船舶网络韧性》（Cyber Resilience of On-board Systems and Equipment），是国际船级社协会针对船载计算机系统及设备网络安全制定的专项规范，旨在通过具体的技术和管理要求，确保船载系统和设备在遭受网络攻击时仍能维持关键功能的可靠性和数据完整性。其核心目标是防范未经授权的访问和操作，保障船舶核心系统（如推进、导航、发电等）的稳定运行，并与UR E26共同构成船舶网络安全的双层防护体系。

UR E27明确了41项安全能力要求，分为核心安全能力（6大领域）和附加安全能力（11项），覆盖设备设计、开发、测试及运行全生命周期。

一 核心安全能力

此部分被归为了6类。

①防止未经认证的实体随意或偶然的访问。包括人员身份标识与鉴别、账户管理、标识符管理、验证管理、无线访问管理、密码认证强度、验证反馈几项内容。

②防止随意或偶然的误用。包括授权执行、无线使用控制、便携和移动设备的使用控制、移动代码、绘画锁定、可审计事件、可审计储存容量、审计处理失败响应、时间戳几项内容。

③保护系统完整性，防止随意或偶然的操控。包括通信完整性、恶意代码防护、安全功能验证、确定性输出。

④防止未经授权的信息因窃听或偶然暴露而泄露。包括信息保密和密码技术的使用。

⑤监测计算机系统的运行情况并对事件作出反应。包括审计日志可访问性。

⑥确保控制系统在正常生产条件下可靠运行。包括拒绝服务防护、资源管理、系统备份、系统恢复和重建、替代电源、网络和安全配置设置、最小功能几项内容。

二 附加安全能力

共11项，包括人员用户的多因素身份验证、软件过程和设备的识别与验证、登陆失败尝试、系统使用告知、通过不可信网络访问、显式访问请求批准、远程会话终止、密码完整性保护、输入验证、会话完整性、会话终止后会话 ID失效。

更新情况总结

UR E26和E27构建了船舶网络安全的“双支柱”——前者锚定整体韧性，后者锁定设备安全，推动行业从被动防御转向韧性增强建设。

UR E26的更新修订标志着船舶网络安全从原则性框架转向可操作规范。一是优化了安全能力的要求，强调了对非可信连接（如外部网络、无线设备）的管控；二是新增韧性环节，在原有“识别-保护-检测-响应”框架中，明确增加“恢复（Recovery）”环节，要求制定备份还原方案及最小风险状态切换机制，确保攻击后关键系统（如推进、导航）可快速恢复；三是优化了适用范围，500总吨以上国际航行货船、客船、移动式海上平台需强制执行，小型船舶（如内河船）可选择性实施部分要求，门槛、平衡安全与成本降低；四是新增符合性验证章节，明确了从设计、建造、调试和营运各阶段应提交的材料及相关要求。

UR E27的更新重点在于，将“原则要求”细化至“设备级可操作规范”，将41项安全能力归纳，分成了6大核心领域（如防止未授权访问、数据完整性保护）和11项附加能力（如攻击检测、固件安全更新），锁定关键系统（如推进、导航）的底层防护。同时适用范围分级，根据船舶类型（如客船、货船）和尺寸（500总吨以上）区分强制与非强制要求，降低小型船舶合规成本。

文章仅代表个人观点

供稿 | 罗轶童   

编辑 | 韩畅

校核 | 沈家强 董贻意 李东林