民機機載系統(tǒng)網(wǎng)絡安保適航政策分析

趙慶賀 廖 健 何 娣 趙長嘯

(1. 中電科航空電子有限公司，成都 611731； 2. 中國民航大學 適航學院，天津300300)

0 引言

隨著技術的發(fā)展，機載系統(tǒng)向著綜合化、智能化、網(wǎng)絡化發(fā)展[1]，網(wǎng)絡安保問題成為民機機載系統(tǒng)面臨的新的安全性問題[2]。民機客艙網(wǎng)絡的發(fā)展，大幅提升了民航的服務水平，同時也帶來了許多潛在的網(wǎng)絡安全威脅和隱私風險。2016年9月，美國國土安全部(United States Department of Homeland Security, 簡稱DHS)的專家在大西洋城的機場通過無線電通信系統(tǒng)遠程侵入了一架波音757飛機的通訊系統(tǒng)[3]。民航作為一個特殊的行業(yè)，飛機的安全飛行是行業(yè)發(fā)展的第一要素，如何保證機載網(wǎng)絡在與地面系統(tǒng)通信，尤其是途經公共網(wǎng)絡的通信時不受各種網(wǎng)絡威脅的影響，是推動現(xiàn)代飛機逐步信息化的安全保障。民機網(wǎng)絡安保的實質就是在被保護的資產和威脅源之間的威脅途徑上建立一道防護屏障屏蔽或隔離外部威脅，過濾出安全的數(shù)據(jù)保證正常的數(shù)據(jù)通信[4]。

為此，各國局方發(fā)布了相關的政策文件來指導新研飛機、已有飛機加改裝網(wǎng)絡安保設備等工作，而我國局方目前尚未針對網(wǎng)絡安保問題發(fā)布審定指導文件，網(wǎng)絡安保的審定問題將是中國局方目前面臨的一個重大技術難題。

本文通過梳理網(wǎng)絡安保相關的標準、政策、文件，為我國各類民機及相關設備、系統(tǒng)的適航審定提供理論支撐分析。

1 機載信息系統(tǒng)網(wǎng)絡安全邊界

對于機載網(wǎng)絡安保策略和方案的制定，首先要確定機載網(wǎng)絡的安全邊界，即飛機或系統(tǒng)內部安全環(huán)境和外部安全環(huán)境之間的邊界，主要指飛機級的外部接口和系統(tǒng)級之間的接口，它標志了安保控制的變化。在飛機級，安全邊界和安全環(huán)境主要強調機外人員、外部系統(tǒng)和交互，它能夠將其所包含的資產與外部世界分開，并能夠被那些與外部世界相連接的邏輯接口和物理接口、可能的交互以及與外部世界的信息交換所跨越，所有用于系統(tǒng)操作和控制的關聯(lián)接口，不管它們是例行使用還是在特殊環(huán)境下使用，都應被考慮為飛機安全邊界的一部分。在安全邊界以外，飛機或系統(tǒng)就會被暴露在人為的或系統(tǒng)的攻擊下，任何跨越安全邊界的交互行為或信息交換都可能會面臨潛在攻擊，應該被考慮。

根據(jù)DO-326A / ED-202A[5]，安全邊界將飛機或系統(tǒng)與外部系統(tǒng)或人群接觸的部分進行分類，特別值得注意的是功能接口，未安裝的飛機部件(包括復雜的硬件和軟件)、配置管理、數(shù)據(jù)加載和部分安裝流程以及用于操作或管理系統(tǒng)的任何流程。

新一代民機內部網(wǎng)絡域與外部網(wǎng)絡域之間可能采用的機載網(wǎng)絡通信接口類型和通信方式如圖1所示，機上網(wǎng)絡域與機外網(wǎng)絡域的主要連接主要包括：專用接口、甚高頻通信(Very high frequency，簡稱VHF)、高頻通信(High frequency，簡稱HF)、全球定位系統(tǒng)(Global Positioning System，簡稱GPS)、甚高頻全向無線電信標(Very High Frequency Omni-directional Radio Range，簡稱VOR)、測距儀(Distance Mesurement Equipment，簡稱DME)、空中防撞系統(tǒng)(Traffic Collision Avoidance System，簡稱TCAS)、空中交通管制 (Air Traffic Control，簡稱ATC)專用無線數(shù)據(jù)通信接口、以太網(wǎng)、USB維護接口、衛(wèi)星通信鏈路、公共無線接口等幾大類型。這些接口涉及到了飛機控制域、信息授信域、信息開放域、客艙網(wǎng)絡域四個機上網(wǎng)絡域與飛機外部的地面授信域、公共網(wǎng)絡域之間的連接，因此，這些網(wǎng)絡接口也被確定為本項目所重點考慮的飛機級機載網(wǎng)絡安保邊界[6]。

圖1 民機機載網(wǎng)絡通信接口類型和通信方式

2 典型機型的機載信息系統(tǒng)域劃分

通過不同的域劃分，實現(xiàn)不同程度/級別的安保風險控制是計算機信息領域常用的做法，機載信息亦不例外，以空客A380為例，其機載系統(tǒng)分為兩個部分：航電世界和開放世界，航電世界包括飛機飛行所需的所有航電系統(tǒng)。開放世界由機載信息系統(tǒng)(Onboard Information System，簡稱OIS)及其依存的硬件平臺——網(wǎng)絡服務器系統(tǒng)(Network Server System，簡稱NSS)組成。OIS是一套應用程序、電子文檔和數(shù)據(jù)庫。航電世界和開放世界之間通過防火墻通信。機載網(wǎng)絡通過VHF、HF或衛(wèi)星通信(SATCOM)連接到地面的空中交通管制中心和航空公司運行控制中心。所有與地面網(wǎng)絡的通信都經過防火墻[7]。

機載信息系統(tǒng)OIS劃分為三個域：航電域、飛行運行域、通信與客艙域。航電域包含與飛機航電系統(tǒng)交換數(shù)據(jù)的應用，其中包括：支持維護操作的電子記錄本、中央維護系統(tǒng)(Central Maintenance System，簡稱CMS)；飛行機組和維護機組使用的最低設備清單(Minimum Equipment List，簡稱MEL)、構型偏離清單(Configuration Defect List，簡稱CDL)、客艙機組操作手冊(Cabin Crew Operating Manual，簡稱CCOM)等電子文檔；加油作業(yè)服務工具；管理飛機和操作員運行中心通信的航空公司運行控制(Airline Operational Control，簡稱AOC)應用。飛行運行域包含支持地面和空中飛行機組的應用，是電子飛行包(Electronic Flight Bag，簡稱EFB)的部分功能，其中包括：起飛、空中和降落的性能計算工具；載重平衡計算工具；飛行機組操作手冊(Flight Crew Operating Manual，簡稱FCOM)、飛機飛行手冊(Aircraft Flight Manual，簡稱AFM)、構型偏離清單(Configuration Defect List，簡稱CDL)、最低設備清單(Minimum Equipment List，簡稱MEL)、飛行機組培訓手冊(Flight Crew Training Manua，簡稱FCTM)等電子文檔；聯(lián)絡管理工具；導航和氣象圖；電子飛行文件夾(Electronic Flight Folde，簡稱EFF)和飛行跟蹤(Flight tracking Unit，簡稱FFU)工具。通信與客艙域包含客艙運行與維護、旅客服務工具，其中包括：用于旅客服務的互聯(lián)網(wǎng)電子郵件、信用卡銀行業(yè)務；客艙和通信域系統(tǒng)維護支持工具；無線局域網(wǎng)管理器應用。

3 機載系統(tǒng)網(wǎng)絡安保政策分析

3.1 國際民航組織(ICAO)

國際民航組織針對網(wǎng)絡安保(Aircraft Cyber Security)給出了風險矩陣，矩陣中將飛機的功能劃分為三個大的區(qū)域或域[8]，這些區(qū)域或域應當在物理上或邏輯上分開，或者有適當?shù)拇胧﹣肀ＷC其安全：

1)飛行控制-安全關鍵系統(tǒng)，包括駕駛艙環(huán)境中支持飛行的飛機系統(tǒng)，此系統(tǒng)中斷或拒絕會直接影響安全性，因此被認為是一個封閉的網(wǎng)絡；

2)客艙(操作)，用于操作和維護飛機的系統(tǒng)，包括乘客通訊等，此系統(tǒng)中斷或拒絕主要影響業(yè)務關鍵操作和可能的維護，因此被認為是一個私有網(wǎng)絡；

3)客艙(乘客)，那些乘客直接與之交互的系統(tǒng)/接口(個人機上娛樂、他們自己的設備、機內Wi-Fi等等)，干擾或拒絕具有最小的影響，因此被認為是具有不可信設備的公共區(qū)域。

同時將對網(wǎng)絡目標的訪問分為5種不同的方法：

1)遠程訪問：在沒有對系統(tǒng)或本地網(wǎng)絡的物理訪問的情況下遠程獲得對目標的訪問；

2)本地接入：通過具有或不具有對目標本身的物理接入的“本地”網(wǎng)絡獲得對目標的接入；

3)近距離訪問：獲得對目標的直接物理訪問，例如惡意插入網(wǎng)絡有效載荷的內部人員；

4)直接能量武器和無線電頻率：主要通過使用包括射頻波的電磁頻譜影響目標；

5)供應鏈：通過供應鏈將硬件、固件和軟件操作或替換為系統(tǒng)。

3.2 美國聯(lián)邦航空局(FAA)

FAA于2015年發(fā)布了資訊通告AC 119-1《Airworthiness and Operational Authorization of Aircraft Network Security Program (ANSP) 》[9]規(guī)定當某飛機的審定基礎中包括與安保相關的專用條件時，此AC提供了一種可接受的符合性方法，明確了FAA授權的飛機網(wǎng)絡安全計劃(ANSP)的范圍：

1)確保數(shù)據(jù)安全保護足以防止飛機外部未經授權的設備或人員訪問；

2)確保針對證書持有者操作的安全威脅被識別和評估，并且實施風險減輕策略以確保飛機的持續(xù)適航性；

3)防止對飛機網(wǎng)絡的無意或惡意更改，包括可能由維護活動引起的更改；

4)防止來自飛機上的來源未經授權的訪問。

FAA還針對A350、波音787-8、波音747、Embraer EMB-550、Embraer ERJ-190、Gulfstream G280等機型頒布了《Electronic System-Security Protection From Unauthorized External Access》、《Isolation or Airplane Electronic System Security Protection from Unauthorized Internal Access》等專用條件。

3.3 歐洲航空安全局(EASA)

2016年，EASA針對A350發(fā)布專用條件 “F-38 SC: Security Assurance Process to isolate or protect the aircraft Systems and Networks from Internal and External Security Threats”(2017年11月21日獲得TC)；2016年5月17日，EASA配合FAA的ASISP工作組工作，協(xié)調FAA與EASA政策一致性問題，發(fā)布紀要RMT.0648— ISSUE 1；2017年2月，與歐盟計算機應急組織(CERT-EU)聯(lián)合成立European Centre for Cyber Security in Aviation (ECCSA)，預計近期將發(fā)布Cyber security 路線圖。

4 網(wǎng)絡安保相關標準分析

目前，國際上針對網(wǎng)絡安保問題的標準主要有RTCA-DO 326A、DO-355和DO-356A。

4.1 DO-326A/ ED-202

DO-326A/ ED-202為適航當局和航空工業(yè)在研發(fā)或改裝飛機系統(tǒng)時進行適航認證的支持文件。當涉及到未授權的電子交互威脅時，它為相關項目的適航進程提供支持。與通常的組織飛機研發(fā)和認證活動一樣，它添加了處理由各種未認證交互為飛機安全性所帶來威脅的數(shù)據(jù)要求和合規(guī)性目標，處理未授權交互帶來的飛機安全威脅。該文檔提供的網(wǎng)絡安保適航指南涉及從項目啟動到飛機型號認證這一產品生命周期，還包括后續(xù)的STCs和TCs的發(fā)行。另外，該文件還包括為確保持續(xù)適航中涉及未授權交互的型號設計的信息移交。

4.2 DO-355/ ED-204[10]

DO-355/ ED-204是針對持續(xù)適航的網(wǎng)絡安保適航審定的，為以下生命周期階段提供指導：操作、支持、維護、管理和解構。DO-355/ED-204 僅涉及信息安全風險。減輕這些風險的安全措施并不僅限于信息技術，可能是物理方法或組織管理上的問題。除了與飛機零件和系統(tǒng)直接相關的持續(xù)適航經典說明外，該文件還提供了與飛機信息系統(tǒng)和數(shù)據(jù)網(wǎng)絡的安全性相關的地面支持設備和地面支持信息系統(tǒng)的安全指南。

4.3 DO-356 /ED-203[11]

DO-356 /ED-203是在DO-326A/ED-202A和D O-355/ED-204的基礎上撰寫的，是針對進行網(wǎng)絡安保適航過程的申請人的補充指導文件。具體地講，該文檔主要涉及以下兩個方面：(1)為DO-326A中提到的安全性風險評估和有效性保證的實施提供指導；(2)為安全風險分析和網(wǎng)絡安全域提供具體的準則、方法和工具。

2018年6月19日，SC-216和WG-72聯(lián)合發(fā)布了RTCA-DO356A，其變化主要體現(xiàn)在以下方面：

1)體量上，DO-356從80頁擴展到了370頁，補充了大量的內容；

2)內容上，其與RTCA DO-326A的關系更加緊密，在356A中多處對DO-326A的內容進行了引用，如在2.4節(jié)引用了DO-326A提出的符合性展示文件，在附錄C中更是直接給出了“l(fā)inks DO-326A / ED-202A process activities to the sections of this document”；

3)結構上，增加了第2章“Regulatory Considerations”、第5章“Development Of Security Architecture And Measures”，以及附錄對DO-356的一些小節(jié)進行擴充，并使其獨立成章，如將DO-356中的第2.4節(jié)擴充后獨立成為第6章“Security Event Logging”，第2.6節(jié)補充內容后獨立成為DO-356A中的第4章“Security Assurance”。第3.1.1小結進行了擴充，使之成為附錄F的F.2“Threat Trees for Risk Assessment”。 此外，給出了新的安保評估方法，如已在其他領域應用的STPA方法進行了裁剪定制，形成了STPA-Sec，作為附錄G放在了DO-356A中。

5 結論

隨著技術的發(fā)展，智能化、綜合化、網(wǎng)絡化的機載系統(tǒng)將進一步發(fā)展，機載網(wǎng)絡安保和風險將變得越來越嚴峻，相應的針對機載系統(tǒng)網(wǎng)絡安保風險的技術、措施、設備等的開發(fā)、研制問題亟需解決。本文梳理了各國適航局方針對網(wǎng)絡安保問題的政策及相關標準分析，希望可以為后續(xù)的設備研制和適航取證提供一定的支持。

采用標準化的網(wǎng)絡架構，將網(wǎng)絡安保問題納入到整機的系統(tǒng)安全性分析過程，將網(wǎng)絡安保風險作為特種風險或是獨立專業(yè)進行考慮，是解決機載網(wǎng)絡安保問題的一種可行思路。