民機(jī)機(jī)載系統(tǒng)網(wǎng)絡(luò)安保適航政策分析

趙慶賀 廖 健 何 娣 趙長嘯

(1. 中電科航空電子有限公司，成都 611731； 2. 中國民航大學(xué) 適航學(xué)院，天津300300)

0 引言

隨著技術(shù)的發(fā)展，機(jī)載系統(tǒng)向著綜合化、智能化、網(wǎng)絡(luò)化發(fā)展[1]，網(wǎng)絡(luò)安保問題成為民機(jī)機(jī)載系統(tǒng)面臨的新的安全性問題[2]。民機(jī)客艙網(wǎng)絡(luò)的發(fā)展，大幅提升了民航的服務(wù)水平，同時(shí)也帶來了許多潛在的網(wǎng)絡(luò)安全威脅和隱私風(fēng)險(xiǎn)。2016年9月，美國國土安全部(United States Department of Homeland Security, 簡稱DHS)的專家在大西洋城的機(jī)場通過無線電通信系統(tǒng)遠(yuǎn)程侵入了一架波音757飛機(jī)的通訊系統(tǒng)[3]。民航作為一個(gè)特殊的行業(yè)，飛機(jī)的安全飛行是行業(yè)發(fā)展的第一要素，如何保證機(jī)載網(wǎng)絡(luò)在與地面系統(tǒng)通信，尤其是途經(jīng)公共網(wǎng)絡(luò)的通信時(shí)不受各種網(wǎng)絡(luò)威脅的影響，是推動現(xiàn)代飛機(jī)逐步信息化的安全保障。民機(jī)網(wǎng)絡(luò)安保的實(shí)質(zhì)就是在被保護(hù)的資產(chǎn)和威脅源之間的威脅途徑上建立一道防護(hù)屏障屏蔽或隔離外部威脅，過濾出安全的數(shù)據(jù)保證正常的數(shù)據(jù)通信[4]。

為此，各國局方發(fā)布了相關(guān)的政策文件來指導(dǎo)新研飛機(jī)、已有飛機(jī)加改裝網(wǎng)絡(luò)安保設(shè)備等工作，而我國局方目前尚未針對網(wǎng)絡(luò)安保問題發(fā)布審定指導(dǎo)文件，網(wǎng)絡(luò)安保的審定問題將是中國局方目前面臨的一個(gè)重大技術(shù)難題。

本文通過梳理網(wǎng)絡(luò)安保相關(guān)的標(biāo)準(zhǔn)、政策、文件，為我國各類民機(jī)及相關(guān)設(shè)備、系統(tǒng)的適航審定提供理論支撐分析。

1 機(jī)載信息系統(tǒng)網(wǎng)絡(luò)安全邊界

對于機(jī)載網(wǎng)絡(luò)安保策略和方案的制定，首先要確定機(jī)載網(wǎng)絡(luò)的安全邊界，即飛機(jī)或系統(tǒng)內(nèi)部安全環(huán)境和外部安全環(huán)境之間的邊界，主要指飛機(jī)級的外部接口和系統(tǒng)級之間的接口，它標(biāo)志了安?？刂频淖兓?。在飛機(jī)級，安全邊界和安全環(huán)境主要強(qiáng)調(diào)機(jī)外人員、外部系統(tǒng)和交互，它能夠?qū)⑵渌馁Y產(chǎn)與外部世界分開，并能夠被那些與外部世界相連接的邏輯接口和物理接口、可能的交互以及與外部世界的信息交換所跨越，所有用于系統(tǒng)操作和控制的關(guān)聯(lián)接口，不管它們是例行使用還是在特殊環(huán)境下使用，都應(yīng)被考慮為飛機(jī)安全邊界的一部分。在安全邊界以外，飛機(jī)或系統(tǒng)就會被暴露在人為的或系統(tǒng)的攻擊下，任何跨越安全邊界的交互行為或信息交換都可能會面臨潛在攻擊，應(yīng)該被考慮。

根據(jù)DO-326A / ED-202A[5]，安全邊界將飛機(jī)或系統(tǒng)與外部系統(tǒng)或人群接觸的部分進(jìn)行分類，特別值得注意的是功能接口，未安裝的飛機(jī)部件(包括復(fù)雜的硬件和軟件)、配置管理、數(shù)據(jù)加載和部分安裝流程以及用于操作或管理系統(tǒng)的任何流程。

新一代民機(jī)內(nèi)部網(wǎng)絡(luò)域與外部網(wǎng)絡(luò)域之間可能采用的機(jī)載網(wǎng)絡(luò)通信接口類型和通信方式如圖1所示，機(jī)上網(wǎng)絡(luò)域與機(jī)外網(wǎng)絡(luò)域的主要連接主要包括：專用接口、甚高頻通信(Very high frequency，簡稱VHF)、高頻通信(High frequency，簡稱HF)、全球定位系統(tǒng)(Global Positioning System，簡稱GPS)、甚高頻全向無線電信標(biāo)(Very High Frequency Omni-directional Radio Range，簡稱VOR)、測距儀(Distance Mesurement Equipment，簡稱DME)、空中防撞系統(tǒng)(Traffic Collision Avoidance System，簡稱TCAS)、空中交通管制 (Air Traffic Control，簡稱ATC)專用無線數(shù)據(jù)通信接口、以太網(wǎng)、USB維護(hù)接口、衛(wèi)星通信鏈路、公共無線接口等幾大類型。這些接口涉及到了飛機(jī)控制域、信息授信域、信息開放域、客艙網(wǎng)絡(luò)域四個(gè)機(jī)上網(wǎng)絡(luò)域與飛機(jī)外部的地面授信域、公共網(wǎng)絡(luò)域之間的連接，因此，這些網(wǎng)絡(luò)接口也被確定為本項(xiàng)目所重點(diǎn)考慮的飛機(jī)級機(jī)載網(wǎng)絡(luò)安保邊界[6]。

圖1 民機(jī)機(jī)載網(wǎng)絡(luò)通信接口類型和通信方式

2 典型機(jī)型的機(jī)載信息系統(tǒng)域劃分

通過不同的域劃分，實(shí)現(xiàn)不同程度/級別的安保風(fēng)險(xiǎn)控制是計(jì)算機(jī)信息領(lǐng)域常用的做法，機(jī)載信息亦不例外，以空客A380為例，其機(jī)載系統(tǒng)分為兩個(gè)部分：航電世界和開放世界，航電世界包括飛機(jī)飛行所需的所有航電系統(tǒng)。開放世界由機(jī)載信息系統(tǒng)(Onboard Information System，簡稱OIS)及其依存的硬件平臺——網(wǎng)絡(luò)服務(wù)器系統(tǒng)(Network Server System，簡稱NSS)組成。OIS是一套應(yīng)用程序、電子文檔和數(shù)據(jù)庫。航電世界和開放世界之間通過防火墻通信。機(jī)載網(wǎng)絡(luò)通過VHF、HF或衛(wèi)星通信(SATCOM)連接到地面的空中交通管制中心和航空公司運(yùn)行控制中心。所有與地面網(wǎng)絡(luò)的通信都經(jīng)過防火墻[7]。

機(jī)載信息系統(tǒng)OIS劃分為三個(gè)域：航電域、飛行運(yùn)行域、通信與客艙域。航電域包含與飛機(jī)航電系統(tǒng)交換數(shù)據(jù)的應(yīng)用，其中包括：支持維護(hù)操作的電子記錄本、中央維護(hù)系統(tǒng)(Central Maintenance System，簡稱CMS)；飛行機(jī)組和維護(hù)機(jī)組使用的最低設(shè)備清單(Minimum Equipment List，簡稱MEL)、構(gòu)型偏離清單(Configuration Defect List，簡稱CDL)、客艙機(jī)組操作手冊(Cabin Crew Operating Manual，簡稱CCOM)等電子文檔；加油作業(yè)服務(wù)工具；管理飛機(jī)和操作員運(yùn)行中心通信的航空公司運(yùn)行控制(Airline Operational Control，簡稱AOC)應(yīng)用。飛行運(yùn)行域包含支持地面和空中飛行機(jī)組的應(yīng)用，是電子飛行包(Electronic Flight Bag，簡稱EFB)的部分功能，其中包括：起飛、空中和降落的性能計(jì)算工具；載重平衡計(jì)算工具；飛行機(jī)組操作手冊(Flight Crew Operating Manual，簡稱FCOM)、飛機(jī)飛行手冊(Aircraft Flight Manual，簡稱AFM)、構(gòu)型偏離清單(Configuration Defect List，簡稱CDL)、最低設(shè)備清單(Minimum Equipment List，簡稱MEL)、飛行機(jī)組培訓(xùn)手冊(Flight Crew Training Manua，簡稱FCTM)等電子文檔；聯(lián)絡(luò)管理工具；導(dǎo)航和氣象圖；電子飛行文件夾(Electronic Flight Folde，簡稱EFF)和飛行跟蹤(Flight tracking Unit，簡稱FFU)工具。通信與客艙域包含客艙運(yùn)行與維護(hù)、旅客服務(wù)工具，其中包括：用于旅客服務(wù)的互聯(lián)網(wǎng)電子郵件、信用卡銀行業(yè)務(wù)；客艙和通信域系統(tǒng)維護(hù)支持工具；無線局域網(wǎng)管理器應(yīng)用。

3 機(jī)載系統(tǒng)網(wǎng)絡(luò)安保政策分析

3.1 國際民航組織(ICAO)

國際民航組織針對網(wǎng)絡(luò)安保(Aircraft Cyber Security)給出了風(fēng)險(xiǎn)矩陣，矩陣中將飛機(jī)的功能劃分為三個(gè)大的區(qū)域或域[8]，這些區(qū)域或域應(yīng)當(dāng)在物理上或邏輯上分開，或者有適當(dāng)?shù)拇胧﹣肀ＷC其安全：

1)飛行控制-安全關(guān)鍵系統(tǒng)，包括駕駛艙環(huán)境中支持飛行的飛機(jī)系統(tǒng)，此系統(tǒng)中斷或拒絕會直接影響安全性，因此被認(rèn)為是一個(gè)封閉的網(wǎng)絡(luò)；

2)客艙(操作)，用于操作和維護(hù)飛機(jī)的系統(tǒng)，包括乘客通訊等，此系統(tǒng)中斷或拒絕主要影響業(yè)務(wù)關(guān)鍵操作和可能的維護(hù)，因此被認(rèn)為是一個(gè)私有網(wǎng)絡(luò)；

3)客艙(乘客)，那些乘客直接與之交互的系統(tǒng)/接口(個(gè)人機(jī)上娛樂、他們自己的設(shè)備、機(jī)內(nèi)Wi-Fi等等)，干擾或拒絕具有最小的影響，因此被認(rèn)為是具有不可信設(shè)備的公共區(qū)域。

同時(shí)將對網(wǎng)絡(luò)目標(biāo)的訪問分為5種不同的方法：

1)遠(yuǎn)程訪問：在沒有對系統(tǒng)或本地網(wǎng)絡(luò)的物理訪問的情況下遠(yuǎn)程獲得對目標(biāo)的訪問；

2)本地接入：通過具有或不具有對目標(biāo)本身的物理接入的“本地”網(wǎng)絡(luò)獲得對目標(biāo)的接入；

3)近距離訪問：獲得對目標(biāo)的直接物理訪問，例如惡意插入網(wǎng)絡(luò)有效載荷的內(nèi)部人員；

4)直接能量武器和無線電頻率：主要通過使用包括射頻波的電磁頻譜影響目標(biāo)；

5)供應(yīng)鏈：通過供應(yīng)鏈將硬件、固件和軟件操作或替換為系統(tǒng)。

3.2 美國聯(lián)邦航空局(FAA)

FAA于2015年發(fā)布了資訊通告AC 119-1《Airworthiness and Operational Authorization of Aircraft Network Security Program (ANSP) 》[9]規(guī)定當(dāng)某飛機(jī)的審定基礎(chǔ)中包括與安保相關(guān)的專用條件時(shí)，此AC提供了一種可接受的符合性方法，明確了FAA授權(quán)的飛機(jī)網(wǎng)絡(luò)安全計(jì)劃(ANSP)的范圍：

1)確保數(shù)據(jù)安全保護(hù)足以防止飛機(jī)外部未經(jīng)授權(quán)的設(shè)備或人員訪問；

2)確保針對證書持有者操作的安全威脅被識別和評估，并且實(shí)施風(fēng)險(xiǎn)減輕策略以確保飛機(jī)的持續(xù)適航性；

3)防止對飛機(jī)網(wǎng)絡(luò)的無意或惡意更改，包括可能由維護(hù)活動引起的更改；

4)防止來自飛機(jī)上的來源未經(jīng)授權(quán)的訪問。

FAA還針對A350、波音787-8、波音747、Embraer EMB-550、Embraer ERJ-190、Gulfstream G280等機(jī)型頒布了《Electronic System-Security Protection From Unauthorized External Access》、《Isolation or Airplane Electronic System Security Protection from Unauthorized Internal Access》等專用條件。

3.3 歐洲航空安全局(EASA)

2016年，EASA針對A350發(fā)布專用條件 “F-38 SC: Security Assurance Process to isolate or protect the aircraft Systems and Networks from Internal and External Security Threats”(2017年11月21日獲得TC)；2016年5月17日，EASA配合FAA的ASISP工作組工作，協(xié)調(diào)FAA與EASA政策一致性問題，發(fā)布紀(jì)要RMT.0648— ISSUE 1；2017年2月，與歐盟計(jì)算機(jī)應(yīng)急組織(CERT-EU)聯(lián)合成立European Centre for Cyber Security in Aviation (ECCSA)，預(yù)計(jì)近期將發(fā)布Cyber security 路線圖。

4 網(wǎng)絡(luò)安保相關(guān)標(biāo)準(zhǔn)分析

目前，國際上針對網(wǎng)絡(luò)安保問題的標(biāo)準(zhǔn)主要有RTCA-DO 326A、DO-355和DO-356A。

4.1 DO-326A/ ED-202

DO-326A/ ED-202為適航當(dāng)局和航空工業(yè)在研發(fā)或改裝飛機(jī)系統(tǒng)時(shí)進(jìn)行適航認(rèn)證的支持文件。當(dāng)涉及到未授權(quán)的電子交互威脅時(shí)，它為相關(guān)項(xiàng)目的適航進(jìn)程提供支持。與通常的組織飛機(jī)研發(fā)和認(rèn)證活動一樣，它添加了處理由各種未認(rèn)證交互為飛機(jī)安全性所帶來威脅的數(shù)據(jù)要求和合規(guī)性目標(biāo)，處理未授權(quán)交互帶來的飛機(jī)安全威脅。該文檔提供的網(wǎng)絡(luò)安保適航指南涉及從項(xiàng)目啟動到飛機(jī)型號認(rèn)證這一產(chǎn)品生命周期，還包括后續(xù)的STCs和TCs的發(fā)行。另外，該文件還包括為確保持續(xù)適航中涉及未授權(quán)交互的型號設(shè)計(jì)的信息移交。

4.2 DO-355/ ED-204[10]

DO-355/ ED-204是針對持續(xù)適航的網(wǎng)絡(luò)安保適航審定的，為以下生命周期階段提供指導(dǎo)：操作、支持、維護(hù)、管理和解構(gòu)。DO-355/ED-204 僅涉及信息安全風(fēng)險(xiǎn)。減輕這些風(fēng)險(xiǎn)的安全措施并不僅限于信息技術(shù)，可能是物理方法或組織管理上的問題。除了與飛機(jī)零件和系統(tǒng)直接相關(guān)的持續(xù)適航經(jīng)典說明外，該文件還提供了與飛機(jī)信息系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)的安全性相關(guān)的地面支持設(shè)備和地面支持信息系統(tǒng)的安全指南。

4.3 DO-356 /ED-203[11]

DO-356 /ED-203是在DO-326A/ED-202A和D O-355/ED-204的基礎(chǔ)上撰寫的，是針對進(jìn)行網(wǎng)絡(luò)安保適航過程的申請人的補(bǔ)充指導(dǎo)文件。具體地講，該文檔主要涉及以下兩個(gè)方面：(1)為DO-326A中提到的安全性風(fēng)險(xiǎn)評估和有效性保證的實(shí)施提供指導(dǎo)；(2)為安全風(fēng)險(xiǎn)分析和網(wǎng)絡(luò)安全域提供具體的準(zhǔn)則、方法和工具。

2018年6月19日，SC-216和WG-72聯(lián)合發(fā)布了RTCA-DO356A，其變化主要體現(xiàn)在以下方面：

1)體量上，DO-356從80頁擴(kuò)展到了370頁，補(bǔ)充了大量的內(nèi)容；

2)內(nèi)容上，其與RTCA DO-326A的關(guān)系更加緊密，在356A中多處對DO-326A的內(nèi)容進(jìn)行了引用，如在2.4節(jié)引用了DO-326A提出的符合性展示文件，在附錄C中更是直接給出了“l(fā)inks DO-326A / ED-202A process activities to the sections of this document”；

3)結(jié)構(gòu)上，增加了第2章“Regulatory Considerations”、第5章“Development Of Security Architecture And Measures”，以及附錄對DO-356的一些小節(jié)進(jìn)行擴(kuò)充，并使其獨(dú)立成章，如將DO-356中的第2.4節(jié)擴(kuò)充后獨(dú)立成為第6章“Security Event Logging”，第2.6節(jié)補(bǔ)充內(nèi)容后獨(dú)立成為DO-356A中的第4章“Security Assurance”。第3.1.1小結(jié)進(jìn)行了擴(kuò)充，使之成為附錄F的F.2“Threat Trees for Risk Assessment”。 此外，給出了新的安保評估方法，如已在其他領(lǐng)域應(yīng)用的STPA方法進(jìn)行了裁剪定制，形成了STPA-Sec，作為附錄G放在了DO-356A中。

5 結(jié)論

隨著技術(shù)的發(fā)展，智能化、綜合化、網(wǎng)絡(luò)化的機(jī)載系統(tǒng)將進(jìn)一步發(fā)展，機(jī)載網(wǎng)絡(luò)安保和風(fēng)險(xiǎn)將變得越來越嚴(yán)峻，相應(yīng)的針對機(jī)載系統(tǒng)網(wǎng)絡(luò)安保風(fēng)險(xiǎn)的技術(shù)、措施、設(shè)備等的開發(fā)、研制問題亟需解決。本文梳理了各國適航局方針對網(wǎng)絡(luò)安保問題的政策及相關(guān)標(biāo)準(zhǔn)分析，希望可以為后續(xù)的設(shè)備研制和適航取證提供一定的支持。

采用標(biāo)準(zhǔn)化的網(wǎng)絡(luò)架構(gòu)，將網(wǎng)絡(luò)安保問題納入到整機(jī)的系統(tǒng)安全性分析過程，將網(wǎng)絡(luò)安保風(fēng)險(xiǎn)作為特種風(fēng)險(xiǎn)或是獨(dú)立專業(yè)進(jìn)行考慮，是解決機(jī)載網(wǎng)絡(luò)安保問題的一種可行思路。