美國民航信息安全保障計劃研究

吳志軍 李 坤

(中國民航大學電子信息工程學院 天津 300300)

?

美國民航信息安全保障計劃研究

吳志軍 李 坤

(中國民航大學電子信息工程學院 天津 300300)

(zjwu@cauc.edu.cn)

民航信息系統作為國家重要信息系統之一，正面臨嚴峻的安全威脅，為了保障航空交通運輸的安全運行，美國聯邦航空局(Federal Aviation Administration, FAA)制定了民航信息系統安全 (information system security, ISS)計劃.針對目前民航信息系統面臨的安全威脅，研究了FAA的ISS計劃，介紹了ISS的分層模型和核心內容，并對每個層次的要求進行了解釋，給出了其信息安全保障措施的建議.

民航；信息系統安全；網絡授權；訪問控制；信息安全保障

民航是一個信息化高度集成和應用的行業，其運行的核心信息系統是由航空通信導航監視系統、計算機系統和網絡系統組成的智能化系統，包括空中交通管理計算機系統、離港系統、行李分揀系統等等，它們是航空機場安全高效運行的基礎保障[1].

民航信息安全保障航空飛行數據的安全、有效和及時地共享和交換，實現民航協同決策(collaborative decision making, CDM).目前，航空機場實現共享數據的類型有：1)基本數據.包括：①航班計劃、航班執行、進離場信息、航跡等航班對象數據；②一次雷達、二次雷達、場監雷達、廣播式自動相關(automatic dependent surveillance-broadcasting, ADS-B)等監視數據；③飛行流量、空域容量、流量控制等流量數據；④航路(航線)、管制區、飛行情報區、終端區等空域結構數據.2)擴展數據.包括：①航行情報數據；②航空氣象數據.這些信息數據關系到航空交通運輸的安全高效運行，一旦承載這些數據的系統遭受到惡意攻擊就會導致航班延誤或取消，造成巨大的經濟損失和嚴重的社會影響[2].

國際上，網絡與信息安全的形勢日趨嚴峻，已經滲透到各行各業.民航信息安全作為國家信息安全管理體系的重要組成部分面臨巨大的威脅，嚴重的安全事件已經發生.

1) 波蘭航空公司的地面操作系統遭遇“黑客”襲擊.

2015年6月21日下午，波蘭航空公司的地面操作系統被“黑客”攻擊致癱，系統停止服務長達5 h，至少10個航班被取消，1 400多名乘客滯留華沙弗雷德里克·肖邦機場[3].

這是全球首次發生航空公司操作系統被“黑客”攻擊的情況.該事件清晰地提醒全球航空公司及航空業相關行業：“黑客”的攻擊技術已達到入侵航空系統核心部分的能力.因此，全球航空業應當引以為鑒，對信息安全保障充分重視.

2) 空中交通管理雷達遭遇“黑客”攻擊.

奧地利空中交通管理發言人透露,2015年6月5日和10日，有多架飛機突然從空中交通管理雷達上消失，每次持續25 min.無獨有偶，歐洲國家，包括捷克、德國、斯洛伐克等國的13架飛機也發生同樣情況.歐洲航空安全局對飛機消失事件展開調查，推測可能遭到了“黑客”攻擊[4].

近期在國際上，航空公司官網與航空公司社交賬號被黑的事件時有發生，但相比航空公司操作系統和空中交通管理核心系統被黑，后者的危險性更大，風險更高.如果“黑客”能夠入侵和攻擊民航運行核心信息系統，后果不堪設想[5].

航空交通運輸無論用于軍事還是民用，都是社會穩定和國家安全的重要因素之一.因此，世界各國特別是航空發達國家，對軍民航信息網絡與系統的信息安全格外重視，投入大量的資金和人力，制定民航信息安全保障計劃和構建民航信息安全技術體系.本文以美國聯邦航空局(Fedral Aviation Administriation, FAA)制定的美國民航信息系統安全(information system security, ISS)計劃為例，對美國民航信息安全保障計劃進行介紹，并給出民航信息安全保障的相關建議.

1 FAA的ISS計劃

FAA在信息安全保障的總體目標是：運行安全(safety)、安全高效(efficiency)和信息安全(security)[6].面對當今復雜和嚴峻的信息安全形勢，FAA開始構建美國民航信息安全保障體系，開啟了其信息系統安全ISS計劃[7-8].該計劃通過開發和實施可信賴的系統(trusted system)來保證FAA安全和高效目標的實現，這個可信賴的系統無論是環境的破壞、人為的差錯，還是遭到惡意襲擊都會正常運轉；并且此系統能夠避免或減少設計及操作上的差錯，確保有足夠的能力來應付潛在的安全威脅.ISS計劃不僅僅局限于地面計算機網絡環境，而是將信息安全的保障能力拓展到空間導航和通信衛星系統，空中機載通信、導航和監視系統，以及空-地、地-地和地-空數據鏈路[9].

FAA在構建ISS計劃時，任用了美國國防部信息安全的精英和參與設計美國國家航空信息系統的工程師.2001年，FAA對ISS體系結構又進行了改進.到2003年，FAA的民航系統信息安全體系已經超過了美國前總統克林頓于1998年5月簽署的第63號總統令(PDD-63)中提出的保護關鍵基礎設施和信息系統安全的具體要求[7-8].

1.1 ISS計劃概述

FAA的ISS計劃的實現過程設計有3個模型：結構模型、運行模型和處理模型[7-8].其中：1)結構模型.它是一個5層結構，定義每個保護層在FAA信息系統中的具體含義.2)運行模型.該模型詳細說明系統設備和組織之間的關系，使安全計劃的推動有力和高效.3)處理模型.該模型解釋了開發和維護可信系統的具體操作步驟.這3個模型是綜合性模型，它們綜合了民航系統信息安全的各種因素，例如：人或系統錯誤、內部或外部攻擊、非法入侵和組織管理等，涵蓋了民航系統信息安全策略、管理、技術和工程4個方面的內容.

ISS計劃的體系是一個具有5個層次及2個貫穿5個層次的輔助功能組成的結構.該結構構建了美國民航系統可信任的信息安全保障技術體系，如圖1所示[7-8]:

圖1 FAA信息系統安全ISS體系結構

ISS計劃的5層結構自上而下分別為[7-8]：民航從業職員的安全性(personnel security)、系統物理層安全性(physical security)、系統和網絡單元的安全加固(cyber hardening of system and network element)、安全區域劃分(compartmentalization)和系統及主要設備的冗余備份(redundancy).其中，安全區域劃分按照信息安全等級來確定，例如：管制區域的信息系統屬于特定場所的適應安全性(site-specific adaptation)保障，必須與其他安全級別較低的信息系統完全物理隔離.

ISS計劃的2個輔助功能為[7-8]：安全意識與執行力(awareness and execution)和系統結構與工程實施(architecture and engineering).

1.2 ISS計劃5層結構中的技術措施

ISS計劃5層結構中每層的具體技術措施包含[7-8]：民航從業職員的安全性、系統物理層安全性防護、系統及網絡的組成單元的安全加固、安全區域劃分和系統及核心部件的冗余備份.每項技術措施的內容如下[7-8]：

1) 民航從業職員的安全性是基于綜合能力成熟度模型(integrated capability maturity model, ICMM)，建立一個可信的訪問控制(access control)機制，對敏感信息分級授權和處理.

2) 系統物理層安全性防護是指物理層安全措施，主要保障FAA的空管設備避免受到未經授權的接近和破壞.空管職員必須經過嚴格的篩選和授權才可以接觸空管設備.另外，重要基礎設施單元必須安置在邊界保護(boundary protection)設施之后，安裝隔離(isolation)和防火墻(firewall)設備避免遭受非法入侵(intrusion).對于敏感的信息單元設備，必須采取入侵檢測(intrusion detection)和狀態監控(status monitor)措施.為了防止來自內部的入侵和攻擊，針對空管職員對關鍵信息資源的訪問，采用先進的生物識別技術，例如虹膜(iris)和指紋(fingerprint)識別.

3) 系統及網絡組成單元的安全加固是指對民航信息系統中的關鍵硬件設備和軟件，例如：路由器、交換機、防火墻、服務器、客戶機和操作系統的安全性進行分析，查找其中可能存在的安全隱患和系統漏洞，并針對這些系統設備和軟件由于設計缺陷造成的漏洞及使用人員的誤操作帶來的安全隱患等指出了加固的方法，其目的是從整體上提高民航信息系統的安全防御能力.

4) 安全區域劃分是根據信息安全等級對民航信息系統進行適應安全性保護，其目的是為了防止由于單個安全事件造成的影響擴散.FAA空中交通管制中心(Air Traffic Control Center, ATCC)的信息系統具有免疫性(immunity)，可以避免某個設備發生安全事件之后波及其他系統.美國擁有20個ATCC，如果其中一個遭受攻擊而癱瘓，由于系統隔離措施，其余19個ATCC不會受到影響，可以獨立處理空中交通管制的任務.在相鄰的ATCC之間，FAA采用超級計算機系統協調他們之間的協作，并設置故障檢查點(check point)和狀態指示(status indicator)，用于彌補由于隔離措施帶來的空隙.每個設備都能獨立運行，這一點對于FAA空管信息系統的信息保障結構至關重要.

另外，場所適應安全性的實施是由FAA為每個民航信息系統所在的場所分配一個特定的代碼，建立一個特殊的數據庫(database).場所適應性就是每個設備具有唯一的“鑒別特征”，分別安裝相應的空間、地理、配置和程序等信息資源.每個新的功能模塊(程序、軟件和系統)在裝入民航信息系統之前，必須在適應性數據庫中具有與之匹配的“鑒別特征”代碼.雖然這項工作艱巨而復雜，但可以有效地預防未經授權的職員將非法代碼插入民航信息系統中.當然，為了提高效率，“鑒別特征”的工作必須采用簡單快捷的技術手段.

5) 冗余備份機制使得FAA民航信息系統具有一定的穩健性(robustness)，避免一個點的設備失效導致整個系統癱瘓.多層次的冗余備份使得FAA的民航信息系統即使遭到惡意攻擊仍然可以正常行使使命.

1.3 ISS計劃中的輔助功能

除了5層結構，ISS計劃還設計了2個輔助功能[7-8]：安全意識與執行力和系統結構與工程實施.

1) 安全意識與執行力是通過對民航信息系統的管理員、從業人員和服務人員進行信息安全意識方面的培訓，培養和提高他們在日常工作和維護中的安全意識.采用評估(assessment)和滲透測試(penetration test)的技術手段查找民航信息系統中可能存在的安全隱患和系統漏洞，并制定有效的安全保護對策.

2) 系統結構與工程實施是一個長期的研究和開發計劃，包括新技術的利用，例如生物特征識別技術可以減少對密碼的依賴，也可以將安全技術進行優化分解，分別應用到傳輸、網絡和應用系統中.另外，除了為美國民航信息系統提供綜合安全措施外，系統結構與工程實施功能還提供安全保障投資分析和與PDD-63相對應的安全發展規劃.在對空中交通管制(air traffic control, ATC)安全運行的需求分析的基礎上對安全策略進行評估.

安全意識與執行力和系統結構與工程實施是民航系統的信息安全保障體系中2個堅實的支撐.它們優勢互補，采用最新技術構成具有世界水平的信息安全保障功能.

自“9·11”事件以來，信息安全對FAA來講是一項巨大的挑戰.FAA正在不斷完善其民航系統信息安全保障體系，其主要目標之一就是廣泛推行證書(certification)和授權(authorization).從1996年至今，FAA為響應美國前副總統戈爾在安全委員會提出的關于機場信息系統安全的建議，組建了安全設備綜合產品小組(Security Equipment Integrated Product Team, SEIPT)，在所有機場的X型和I型設備中安裝了采用先進技術開發的檢測模塊，以降低恐怖分子對機場信息系統的安全威脅[5].

目前，FAA根據國際民航組織(International Civil Aviation Organization, ICAO)有關航空電信網(aeronautical telecommunication network, ATN)信息安全的規定，針對航空導航與通信衛星系統、數據鏈路、空-地、地-空和地面通信網絡，采用基于公鑰密碼的數據加密、認證、數字簽名、密鑰管理和訪問控制等技術，以保障空間和地面空管信息資源的安全[10].

2 未來民航信息安全發展思考

未來民航信息的發展具有從基礎上實現網絡化(network-enable)的信息綜合(information integration)的特點[11].未來民航信息系統將形成一個以云計算基礎設施為核心、涵蓋云計算的基礎設施即服務(infrastructure-as-a-service, IaaS)、平臺即服務(platform-as-a-service, PaaS)和軟件即服務(software-as-a-service, SaaS)等多個層次的巨型全球化IT服務化網絡[12].因此，在民航信息安全保障中可以借鑒“安全云”技術，實現安全的民航信息運行，重點解決民航共享信息的數據安全和隱私保護問題，攻克民航信息系統的身份認證和訪問控制等安全服務技術難題.所以，民航信息安全保障需要解決以下的問題：

1) 民航信息系統的網絡授權.

研究民航信息系統安全服務框架，提供認證、授權、審計和賬戶(authentication，authority，audit和account, 4A)等安全管理措施；提供民航信息系統多認證模式和方法，保證民航信息系統多級自適應訪問控制[13].

2) 民航信息系統數據傳輸和共享安全.

研究民航信息系統的互操作性，滿足民航信息系統跨域、跨層的共享信息具有不同安全等級的要求，并提供民航信息系統用戶之間的數據共享能力[14].

3) 民航信息系統的可用性.

研究民航信息系統防御攻擊的方法，構建一個動態的、靈活的安全運行環境，從而提高民航信息系統的可用性[15].

根據上述民航信息安全保障的需求分析，針對未來民航信息安全保障措施的建議如下：

1) 設計基于全網統一認證的民航信息安全體系結構.

根據民航信息系統的層次結構，結合民航信息的面向服務體系框架(service-oriental architecture, SOA)[16]，針對民航信息的核心服務，提出基于全網統一認證的民航信息安全體系結構，保障民航信息系統能夠應對不同類型的信息安全的威脅.

2) 設計民航信息系統共享信息數據多維加密方法.

針對民航信息系統共享信息數據的異構性和多元化的特點，根據民航業務系統業務數據安全等級不同的需求，采用多維數據加密(multi-dimension data encryption)的方法，對民航信息數據進行加密，為民航信息系統共享信息數據提供不同安全等級的保護.

3) 采用基于OpenSSL的系統認證的方法.

采用基于OpenSSL的系統認證，保證民航信息系統用戶的合法化，避免非法用戶的入侵和攻擊行為[10].

4) 實現基于屬性加密KP-ABE的身份認證和訪問控制方法.

針對民航規模大、跨域分布的特點，采用基于層次密鑰生成與分配策略實施民航信息系統訪問控制的方法.該方法利用基于屬性的加密算法，例如密鑰規則的基于屬性加密方案(key-policy attribute-based encryption, KP-ABE)和密文規則的基于屬性加密方案(ciphertext-policy attribute-based encryption, CP-ABE)，以及在用戶密鑰或密文中嵌入訪問控制樹的方法[10,17].

采用基于屬性加密KP-ABE實現民航信息系統的細粒度訪問控制，保證民航信息系統授權用戶的合法權益，避免非授權用戶對民航信息系統共享信息的非法訪問.

3 結束語

近年來，中國民航陸續建設了一批信息安全基礎設施，加強了網絡互聯的信息安全管理，為保障和促進民航信息化和諧、健康的發展發揮了重要作用.隨著民航信息系統的建成和使用，信息化、網絡化已經成為民航發展的主要標志.但網絡技術是一把雙刃劍，一方面它使得信息的傳輸變得越來越便捷，另一方面也使信息在傳輸過程中面臨被篡改、網絡受攻擊而癱瘓等風險.民航信息系統作為我國民航的重要基礎設施，在國民經濟建設、國土防空中都具有舉足輕重的地位，空中交通管理雷達信息、飛行航行情報、流量監控信息、ADSCPDLC(automatic dependent surveillancecontroller-pilot data link communications)信息、氣象信息、軍民航聯網信息等對保障飛行安全和戰時空中交通管理都具有重要意義，必然成為敵對勢力、恐怖分子的關注焦點和攻擊目標.因此，目前民航信息系統的安全形勢不容樂觀，面臨巨大的威脅(入侵、攻擊和病毒等).境內外敵對勢力針對衛星、無線和地面網絡的攻擊破壞活動和利用信息網絡進行的入侵毀壞活動日益猖獗.我國民航信息安全保障水平仍然處于“安全產品簡單堆砌”階段，沒有系統的設計和實現民航信息安全保障體系，管制中心間數據通信缺乏完整性安全措施，內部服務器和主機沒有集中統一的安全監管措施，管制中心主機的操作系統、應用程序和數據庫存在安全隱患，空中交通管理應急響應處理能力不強，沒有建立健全的民航信息安全保障應急預案和有效的處置手段；缺少系統化的信息安全技術體系，信息安全標準和規范不完善；信息安全管理和技術人才缺乏，人員的信息安全意識不強，以及信息安全管理薄弱.一旦民航信息系統被攻擊、無線電通信系統受到干擾和遭遇系統故障等，會使飛行安全受到嚴重威脅，空中交通的指揮協調將會受到嚴重影響，輕者會造成航班的運作中斷，重者會危急飛行安全，嚴重危害公眾利益和國家安全.

因而，加強民航信息安全保障技術體系研究，對我國民航信息系統的安全等級進行統一分析和縱橫比較，對民航信息系統存在的安全風險和威脅進行分析，并有針對性地提出其信息安全防護的整體解決方案，為民航管理層提供決策支持，為將來民航信息安全的工程建設規劃、信息安全管理政策的制定等奠定良好的基礎.

[1]José M C, Juan B P, José M M, et al. Advances in Air Navigation Services[M]. Croatia: Mirna Cvijic Press, 2012

[2]馬蘭, 吳志軍. 空中交通管理信息安全評估[M]. 北京: 科學出版社, 2015

[3]環球網. 波蘭民航被“黑”啟示錄: 越來越多黑客指向航空[EBOL]. [2015-06-22]. http:world.huanqiu.comarticle2015-066741616.html

[4]光明網. 歐洲13架飛機從雷達上消失25分鐘疑遭黑客攻擊[EBOL]. [2014-06-16]. http:world.gmw.cn2014-0616content_11623851.htm

[5]International Civil Aviation Organization. Web service security standards[COL]Aeronautical Telecommunication Network (ATN) Implementation Coordination Group—Eighth Working Group Meeting. 2010 [2016-02-18]. http:www.icao.intAPACMeetings2010atnicg_wg8wp12.pdf

[6]Marshall A. Overall security concept[C]Proc of the ICAO ATNP Security Working Group—ATN Panel Working Group 1. Piscataway, NJ: IEEE, 1996

[7]Arthur Pyster. A systems approach to protecting the US air traffic control system against cyber-terrorism[EBOL]. [2014-04-15]. http:docplayer.net5184797-A-systems-approach-to-protecting-the-u-s-air-traffic-control-system-against-cyber-terrorism.html

[8]Daniel J Mehan. Information systems security[R]. Washington: Federal Aviation Administration’s Layered Approach, 2000

[9]Kauffman D C. Data link security for airline operational communications and air traffic services—An opportunity for synergistic efforts[C]Proc of Int Conf on Integrated Communication Navigation Surveillance. Washington: NASA Glenn Research Center Space Communications Program, 2003

[10]Federal Aviation Administration. System Wide Information Management (SWIM) eXtensible Markup Language (XML) Gateway Requirements, Version 2.0 [S]. Washington: Federal Aviation Administration (FAA), 2009

[11]Standley J, Brown V, Comitz P, et al. SWIM segment 2 deployment and utlitization in NextGen R&D programs[C]Proc of Integrated Communications, Navigation and Surveillance Conf (ICNS 2012). Piscataway, NJ: IEEE, 2012: G8-1-G8-5

[12]Federal Aviation Administration. FAA Cloud Computing Strategy, Final-Version 1.0[S]. Washington: Federal Aviation Administration (FAA), 2012

[13]Bob Stephens. Security architecture for system wide information management[C]Proc of the 24th Digital Avionics Systems Conf (DASC 2005). Piscataway, NJ: IEEE, 2005

[14]Bob Stephens. System-wide information management (SWIM) demonstration security architecture[C]Proc of the 25th IEEEAIAA Digital Avionics Systems Conf. Piscataway, NJ: IEEE, 2006: 1-12

[15]Ramakrishnan V, Wargo C, John S. GMPLS network security: Gap analysis[C]Proc of Integrated Communications, Navigation and Surveillance Conf (ICNS 2008). Piscataway, NJ: IEEE, 2008: 1-7

[16]Luckenbaugh G, Landriau S, Dehn J, et al. Service oriented architecture for the next generation air transportation system[C]Proc of Integrated Communications, Navigation and Surveillance Conf (ICNS’07). Piscataway, NJ: IEEE, 2007: 1-9

[17]Lai Junzuo, Deng R H, Guan Chaowen, et al. Attribute-based encryption with verifiable outsourced decryption[J]. IEEE Trans on Information Forensics and Security, 2013, 8(8): 1343-1354

吳志軍

博士研究生，教授，主要研究方向為網絡與信息安全.

zjwu@cauc.edu.cn

李 坤

碩士研究生，主要研究方向為網絡與信息安全.

603469018@qq.com

The Information Security Assurance of Civil Aviation Information System in the United States

Wu Zhijun and Li Kun

(SchoolofElectronics&InformationEngnieering,CivilAviationUniversityofChina,Tianjin300300)

Nowadays, the information security of civil aviation information system is facing a serious threat. In order to protect the safe operation of air transportion, the US Federal Aviation Administration (FAA) developed the civil aviation information system (Information System Security, ISS) program. In this paper, the ISS program of FAA is studied, the hierarchical model and core content of ISS are introduced, and the requirements of each level are explained. Then, the suggestions of information security assurance for civil aviation information system are given.

civil aviation; information system security; network authority; access control; information assurance

2016-03-28

國家自然科學基金委員會與中國民航局聯合基金項目(u1533107)

TP393.080