满足海事新安全要求（UR E26&E27），船级社网络安全认证

2017 年，国际海事组织会议已经表决通过了 （IMO）MSC.428（98）号决议：安全管理体系中的海事网络风险管理，鼓励管理公司建立船舶网络风险管理体系，并将其纳入船舶安全管理体系。该决议于 2021 年 1 月 1 号正式生效，开启了航运业网络安全意识的觉察。2024年7月1日全面实施

全面执行 UR E26 & UR E27 关键年

　　2022 年 4 月，国际船级社协会 IACS 通过了最新网络安全要求，UR E26：《Cyber resilience of ships 船舶网络韧性》以及UR E27：《Cyber resilience of on-board systems and equipment 船载系统和设备的网络韧性》。这两项 UR 中明确要求：

　　对于建造合同日期为 2024 年 1 月 1 日或之后的船舶，IACS 成员内需要强制执行，宣告航运业即将进入全面网络安全实操阶段

　　关键：如何在期限内更好满足 UR E26 以及 UR E27 ？搞懂 4 个关键点

　　关键一：对航运业哪些人员产生影响？

　　UR E26：《Cyber resilience of ships 船舶网络韧性》：

　　● 目的：将船舶视为一个整体来实现网络韧性，并为其他 UR 和行业标准应对的船上系统、设备和组件的网络韧性问题提供基础

　　● 主要对象：船舶设计方/船厂的系统设计人员

　　UR E27：《Cyber resilience of on-board systems and equipment 船载系统和设备的网络韧性》：

　　● 目的：此文档规范了船上系统和设备网络韧性的统一要求，基本上涵盖了船载所有的 OT （运营） 系统 ；规范中明确要求须受规范的系统如图1

　　● 主要对象：影响涉及既有系统的全体人员

除了船舶设计方/船厂，和船载系统集成商，其他利益相关者也需跟进配合：

　　● 船东/公司（Shipowner/Company）：明确需入籍的船级社和需符合的安全等级

　　● 组件供应商（Supplier）：提供安全健壮性高的产品（参考 IEC 62443-4-1/IEC 62443-4-2 ）

　　● 船级社（Classification Society）: 根据本船级社的安全标准进行审核

　　关键二：船载系统集成商尽早跟进 UR E27 有什么收益？

　　2024 年 1 月 1 日后，船厂就需要按照新规范规划涉及船舶整个系统的安全，同时在与各个船载系统签署分包合同时，要求提供满足 UR E27 形式认可的新系统方案。因此对于船载系统集成商而言，在 2023 年底前完成差距分析和新方案验证，有助于在 2024 年的竞争中取得优势地位。

　　关键三：需参考哪个船级社的标准进行验证?

　　各个船级社预计将在今年内，基于 UR E26 和 UR E27 要求而推出各个船级社的指导文件，以及做好相关配套。其中包括 ：

　　● DNV 目前已经在执行的 《DNV-RU-SHIP-Pt6Ch.5》SECTION 21 CYBER SECURITY 中，已完成了 UR E26 E27 标准的对应

　　● CCS 已经发布的《船舶网络安全指南》正式版已于 2025 年 5 月 1 日开始正式生效

　　虽然每个船级社都会发布自己的版本，但由于都需要与 IACS 做沟通和确认，因此预料各个船级社的内容差异不会很大，可以依据 2024 年主要的项目入籍需求，优先选择一个船级社要求做规划和验证。

　　关键四：UR E26 与 UR E27 主要内容和框架是什么？

　　E26 是一个指导原则，告诉海事从业人员在建立 CBS 系统时，必须从识别、保护、检测、响应、恢复 5 个方面考虑考虑信息安全问题，目标是构建一个具备网络安全韧性的船舰。特别说明：网络安全韧性也并不代表完全实现安全零风险，而是在发生网络安全事件时，船舰能够维持基本的安全运行，并能够快速相应安全事件。

　　E27 是在 E26 的指导原则上，定义具体的系统安全要求，提供可执行的操作指导。从 E27 的具体安全要求可以看到，E27 主题内容是参考和引用成熟的工业信息安全体系 IEC 62443-3-3 进行的系统性安全要求。

如何加速实现？

　　IEC 62243 是评估船载系统是否能通过 UR E27 的关键点

　　IEC 62443 现为国际广泛采纳和认可的?业?动化及控制系统 （Industrial Automationand Control System, 简称 IACS） 的网通安全 （CyberSecurity） 标准。目前全球知名的控制系统和设备厂商，如西门子，ABB 等都通过了 IEC 62443 体系的安全认证；而轨道交通，电力，能源，医疗，制造，海事等应用领域也开始采用 IEC 62443 作为行业信息安全标准。

　　IEC 62443 针对业主、集成商、产品供应商提供了可参考的信息安全标准和流程依据（参考图3）。其中 IEC 624432-3-3 针对特定系统的整体提出具体要求和认证，而 IEC 62442-4-2 针对组成系统的组件提出具体安全功能要求。

　　简单来说，要达到特定的系统安全等级，首先需要系统中的组件具备自身安全健壮的能力，然后，评估系统中安全薄弱点，评估是否需要使用安全补偿措施来实现系统级的安全。

　　如果要评估船载系统更好、更快地通过 ER E27 ，可参考成熟的 IEC 62443 系统中的组件和服务供应商