空管自動(dòng)化系統(tǒng)、塔臺(tái)管制自動(dòng)化系統(tǒng)安全計(jì)算環(huán)境下的補(bǔ)丁管理分析

祁振杰

民航貴州空管分局 貴州 貴陽 550005

引言

隨著國內(nèi)空管事業(yè)的發(fā)展，在空管內(nèi)部的地區(qū)局、分局（站）內(nèi)已經(jīng)建立了80余套的自動(dòng)化系統(tǒng)（簡稱：ATC系統(tǒng)，AirTrafficControlSystem），目前包含空管自動(dòng)化系統(tǒng)、塔臺(tái)管制自動(dòng)化系統(tǒng)兩種。這兩種系統(tǒng)是空管行業(yè)內(nèi)生產(chǎn)控制、指揮調(diào)度類的信息系統(tǒng)，《民用航空網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》（MH/T 0069-2018）推薦定級(jí)為第三級(jí)的系統(tǒng)[1]，也是各地區(qū)確定的網(wǎng)絡(luò)安全關(guān)鍵基礎(chǔ)設(shè)施，對(duì)于這類重要系統(tǒng)的操作系統(tǒng)環(huán)境（安全計(jì)算環(huán)境），“如何進(jìn)行升級(jí)、打補(bǔ)丁”是當(dāng)前必須面對(duì)和關(guān)注的一個(gè)重要問題。ATC系統(tǒng)的安全計(jì)算環(huán)境，指的是安裝ATC系統(tǒng)軟件的操作系統(tǒng)，可能是AIX、RedHat、Windows等操作系統(tǒng)。

1 自動(dòng)化系統(tǒng)中的環(huán)境補(bǔ)丁管理現(xiàn)狀

根據(jù)《民航空管系統(tǒng)通信導(dǎo)航監(jiān)視設(shè)備使用管理規(guī)定》（MD-TM-2010-006）中第四條的描述：自動(dòng)化系統(tǒng)的使用年限不少于15年。第五條描述：自動(dòng)化系統(tǒng)應(yīng)在投入使用第13年啟動(dòng)更新改造項(xiàng)目。第六條描述 涉及計(jì)算機(jī)系統(tǒng)和軟件系統(tǒng)的設(shè)備，在設(shè)備達(dá)到使用年限之前，應(yīng)根據(jù)業(yè)務(wù)功能需要及時(shí)進(jìn)行軟件升級(jí)。第七條描述：自動(dòng)化系統(tǒng)可根據(jù)硬件設(shè)備市場(chǎng)變化及備件存儲(chǔ)情況，每六至八年對(duì)系統(tǒng)硬件進(jìn)行更新[2]。

目前ATC系統(tǒng)的現(xiàn)狀，在自動(dòng)化系統(tǒng)的使用周期內(nèi)，即使是6、8年內(nèi)硬件更新內(nèi)，對(duì)自動(dòng)化系統(tǒng)的操作系統(tǒng)環(huán)境的升級(jí)幾乎沒有。從自動(dòng)化系統(tǒng)投產(chǎn)使用后，也沒有能夠定期為環(huán)境操作系統(tǒng)應(yīng)用補(bǔ)丁。此類現(xiàn)實(shí)情況就造成了環(huán)境操作系統(tǒng)的漏洞可能為網(wǎng)絡(luò)安全造成隱患。以前自動(dòng)化系統(tǒng)的整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)僅為局域網(wǎng)系統(tǒng)，僅以串口方式接入雷達(dá)數(shù)據(jù)、AFTN電報(bào)數(shù)據(jù)。自2019年之后,隨著ADS-B數(shù)據(jù)以網(wǎng)絡(luò)方式接入自動(dòng)化系統(tǒng)，近幾年的氣象數(shù)據(jù)、CDM系統(tǒng)數(shù)據(jù)也以的網(wǎng)絡(luò)方式接入自動(dòng)化系統(tǒng)，這對(duì)自動(dòng)化系統(tǒng)本身的安全性造成一定的隱患。因此，考慮自動(dòng)化系統(tǒng)的操作系統(tǒng)環(huán)境進(jìn)行應(yīng)用補(bǔ)丁的操作就顯得迫在眉睫。

根據(jù)民航局空管局2023年7月3日下發(fā)的《中國民用航空局空中交通管理局網(wǎng)絡(luò)安全保障方案》中第五章安全計(jì)算環(huán)境的第七條的要求：應(yīng)在網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)和數(shù)據(jù)庫等補(bǔ)丁程序經(jīng)過測(cè)試后，及時(shí)安裝、更新系統(tǒng)。由于客觀原因確實(shí)無法安裝補(bǔ)丁的，應(yīng)記錄原因，并采取其他有效的防護(hù)措施加以補(bǔ)償，確保補(bǔ)丁管理過程中不影響業(yè)務(wù)的連續(xù)性[3]。可見，從民航空管的管理部門已經(jīng)開始要求并重視操作系統(tǒng)環(huán)境的補(bǔ)丁應(yīng)用。

2 自動(dòng)化系統(tǒng)中的補(bǔ)丁管理問題分析

在ATC系統(tǒng)（空管自動(dòng)化系統(tǒng)、塔臺(tái)管制自動(dòng)化系統(tǒng)）的安全計(jì)算環(huán)境上實(shí)施補(bǔ)丁管理程序時(shí)，維護(hù)人員將會(huì)面臨許多風(fēng)險(xiǎn)挑戰(zhàn)，給一個(gè)ATC系統(tǒng)安裝補(bǔ)丁意味著改變?cè)械腁TC系統(tǒng)，如果補(bǔ)丁安裝不兼容，會(huì)對(duì)ATC系統(tǒng)的功能安全性、可操作性以及可靠性產(chǎn)生負(fù)面的影響。

因此，給ATC系統(tǒng)的安全計(jì)算環(huán)境安裝補(bǔ)丁需要大量的準(zhǔn)備工作，ATC系統(tǒng)的通導(dǎo)技術(shù)維護(hù)人員需要爭(zhēng)取必要的資源來解決額外的工作量。針對(duì)ATC系統(tǒng)的每一個(gè)補(bǔ)丁，技術(shù)維護(hù)人員需要關(guān)注ATC系統(tǒng)涉及每個(gè)信息資產(chǎn)，通過“收集”和“分析”每個(gè)設(shè)備的補(bǔ)丁信息，首先在已經(jīng)建設(shè)的ATC系統(tǒng)測(cè)試平臺(tái)系統(tǒng)上安裝與驗(yàn)證，最好能夠有最終用戶（管制用戶）進(jìn)行詳細(xì)的功能測(cè)試，并且在補(bǔ)丁安裝前后創(chuàng)建備份，確保在ATC系統(tǒng)在安裝補(bǔ)丁后能夠正常工作。

給ATC系統(tǒng)環(huán)境安裝補(bǔ)丁需要大量的時(shí)間資源和工作量，大多數(shù)的情況ATC維護(hù)人員安排在其正常的日常維護(hù)中斷期間安裝補(bǔ)丁。有時(shí)這些中斷的窗口是每季度一次，每年一次，甚至頻率更低。目前國內(nèi)的大部分空管分局（站）已經(jīng)建立了主、備兩套ATC系統(tǒng)，并且很多分局（站）已經(jīng)建立了主備均衡使用計(jì)劃，在系統(tǒng)切換至備用狀態(tài)時(shí)，進(jìn)行補(bǔ)丁的安裝是一種很好的選擇。

在ATC系統(tǒng)的安全運(yùn)行環(huán)境上應(yīng)用補(bǔ)丁是一種風(fēng)險(xiǎn)管理的決策。如果應(yīng)用補(bǔ)丁的成本大于評(píng)估出的風(fēng)險(xiǎn)成本，則補(bǔ)丁安裝可能被延遲，特別是如果存在其他可以減輕風(fēng)險(xiǎn)的控制措施（例如禁用或刪除ATC系統(tǒng)的部分功能）。但是，延遲補(bǔ)丁安裝會(huì)給ATC系統(tǒng)造成較大的安全風(fēng)險(xiǎn)，這也是ATC系統(tǒng)的維護(hù)人員對(duì)于是否安裝補(bǔ)丁的一種風(fēng)險(xiǎn)管理決策的行為。因此，ATC系統(tǒng)的補(bǔ)丁安裝應(yīng)該納入（目前還未納入）風(fēng)險(xiǎn)隱患管理的范疇中，ATC系統(tǒng)的維護(hù)人員需要針對(duì)系統(tǒng)安全計(jì)算環(huán)境的補(bǔ)丁管理采取一種有行之有效的管理方式。

ATC系統(tǒng)作為空管行業(yè)內(nèi)十分重要的信息系統(tǒng)，如果因?yàn)檠a(bǔ)丁管理不規(guī)范、有效，會(huì)造成多種意外后果，意外后果可能包括補(bǔ)丁和ATC系統(tǒng)軟件不兼容、反病毒和反惡意代碼系統(tǒng)產(chǎn)生誤報(bào)、測(cè)試不充分導(dǎo)致系統(tǒng)性能、可用性和可操作性降低。

3 自動(dòng)化系統(tǒng)的不良補(bǔ)丁管理的影響

考慮到ATC產(chǎn)品供應(yīng)商以及維護(hù)人員始終需要努力保持ATC系統(tǒng)的操作系統(tǒng)環(huán)境是最新版本，以盡可能降低由操作系統(tǒng)層面的脆弱性所引起的ATC系統(tǒng)安全風(fēng)險(xiǎn)方面所面臨的挑戰(zhàn)。ATC系統(tǒng)維護(hù)人員是否應(yīng)用補(bǔ)丁，需要通過風(fēng)險(xiǎn)管控來緩解脆弱性風(fēng)險(xiǎn)進(jìn)行決定。即使暫時(shí)未應(yīng)用補(bǔ)丁以消除ATC系統(tǒng)的操作系統(tǒng)所有的軟件脆弱性，但仍需要評(píng)估不應(yīng)用補(bǔ)丁帶來的風(fēng)險(xiǎn)，并確定何時(shí)和如何應(yīng)用操作系統(tǒng)環(huán)境補(bǔ)丁。

ATC系統(tǒng)的不良補(bǔ)丁管理的主要影響是增加了ATC系統(tǒng)損失和損害的風(fēng)險(xiǎn)。在空管行業(yè)內(nèi)部，與其他辦公類、管理類信息系統(tǒng)不同，作為生產(chǎn)系統(tǒng)的ATC系統(tǒng)如果受到不良補(bǔ)丁管理的影響，可能導(dǎo)致比數(shù)據(jù)丟失或者系統(tǒng)停機(jī)更加嚴(yán)重的后果，比如ATC系統(tǒng)提供服務(wù)的質(zhì)量，服務(wù)的可用性等方面也是管理部門應(yīng)該考慮的重要方面。

針對(duì)未及時(shí)應(yīng)用補(bǔ)丁的ATC系統(tǒng)的定向及非定向攻擊，將可能導(dǎo)致ATC系統(tǒng)無法正常工作，甚至可能導(dǎo)致設(shè)備被損壞，以致ATC系統(tǒng)可能無法對(duì)管制用戶提供服務(wù)。

4 自動(dòng)化系統(tǒng)的補(bǔ)丁周期狀態(tài)管理

針對(duì)ATC系統(tǒng)的環(huán)境補(bǔ)丁，需要對(duì)補(bǔ)丁狀態(tài)進(jìn)行詳細(xì)定義，補(bǔ)丁狀態(tài)至少應(yīng)該分為：可用、測(cè)試中、未認(rèn)可、不適用、已認(rèn)可、發(fā)布、內(nèi)部測(cè)試中、未授權(quán)、已授權(quán)、有效、已安裝等11種狀態(tài)。由于補(bǔ)丁由ATC系統(tǒng)的供應(yīng)商提供，所以需要ATC系統(tǒng)的維護(hù)人員與供應(yīng)商，建立良好的補(bǔ)丁狀態(tài)更新機(jī)制，ATC系統(tǒng)的國內(nèi)廠商在此方面具備較強(qiáng)的優(yōu)勢(shì)。

ATC系統(tǒng)的維護(hù)人員可以通過資產(chǎn)識(shí)別、風(fēng)險(xiǎn)識(shí)別、網(wǎng)絡(luò)邊界防護(hù)等方法，確定ATC系統(tǒng)安全計(jì)算環(huán)境的補(bǔ)丁的周期狀態(tài)。通過資產(chǎn)識(shí)別，應(yīng)建立信息資產(chǎn)清單，明確ATC系統(tǒng)的每項(xiàng)資產(chǎn)。信息資產(chǎn)清單需劃分類別，包含硬件、軟件、數(shù)據(jù)、人員、服務(wù)以及其他。通過風(fēng)險(xiǎn)識(shí)別，按照風(fēng)險(xiǎn)管理的評(píng)估方法，識(shí)別重要網(wǎng)絡(luò)和信息系統(tǒng)的脆弱性和面臨的威脅，確認(rèn)已有的安全措施，分析安全風(fēng)險(xiǎn)點(diǎn)，對(duì)發(fā)現(xiàn)的風(fēng)險(xiǎn)進(jìn)行實(shí)時(shí)處理。識(shí)別掌握可能影響網(wǎng)絡(luò)和信息系統(tǒng)安全的脆弱性、威脅主體、攻擊途徑及其潛在的攻擊目標(biāo)。通過網(wǎng)絡(luò)邊界防護(hù)，將所有外部鏈接被認(rèn)為是不可信的，應(yīng)在網(wǎng)絡(luò)邊界部署防火墻、入侵檢測(cè)、安全審計(jì)以及非法外聯(lián)檢測(cè)、病毒防護(hù)等必要的安全設(shè)備，并配置有效的安全策略，并留存相關(guān)日志。

4.1 對(duì)ATC系統(tǒng)維護(hù)人員的要求

建立并維護(hù)與ATC系統(tǒng)相關(guān)的所有電子設(shè)備的清單，進(jìn)入設(shè)備清單的設(shè)備可利用多種方式進(jìn)行更新，主要的更新方式包含但不限于如修改功能、配置、操作、軟件、固件、操作代碼等方式，此類設(shè)備為“可更新”設(shè)備。

建立并維護(hù)ATC系統(tǒng)相關(guān)設(shè)備當(dāng)前安裝環(huán)境、軟件版本的準(zhǔn)確記錄，即“已安裝”軟件、補(bǔ)丁版本。

定期確定“可更新”設(shè)備列表中所有設(shè)備的可用補(bǔ)丁升級(jí)和更新，即環(huán)境補(bǔ)丁、軟件的“最新版本”。

定期確定由ATC產(chǎn)品供應(yīng)廠家識(shí)別的可兼容的環(huán)境升級(jí)補(bǔ)丁和更新的“發(fā)布版本”，同時(shí)經(jīng)過風(fēng)險(xiǎn)分析與系統(tǒng)測(cè)試明確這些“發(fā)布版本”是否滿足ATC系統(tǒng)維護(hù)人員確定的“可更新”設(shè)備標(biāo)準(zhǔn)。

通過已經(jīng)建立的ATC系統(tǒng)測(cè)試平臺(tái)以及測(cè)試流程，對(duì)ATC補(bǔ)丁的安裝進(jìn)行測(cè)試，維護(hù)人員測(cè)試完成后，使最終管制用戶對(duì)ATC系統(tǒng)的功能進(jìn)行用戶測(cè)試，確保在實(shí)際生產(chǎn)環(huán)境中給ATC安裝補(bǔ)丁時(shí)，ATC的可靠性和可操作性不會(huì)受到負(fù)面影響，成功通過以上測(cè)試的補(bǔ)丁稱為“已授權(quán)補(bǔ)丁”。

在充分考慮系統(tǒng)的冗余、容錯(cuò)、功能安全和操作使用要求（例如計(jì)劃外中斷、計(jì)劃內(nèi)中斷、運(yùn)行等）的情況下，在選擇適當(dāng)可行的時(shí)間區(qū)間內(nèi)，安裝“已授權(quán)”的有效補(bǔ)丁。

將所有ATC系統(tǒng)的補(bǔ)丁、軟件更新周期進(jìn)行固定，至少每個(gè)季度更新一次，包括每個(gè)“可更新設(shè)備”的已安裝版本、已授權(quán)版本、有效版本和發(fā)布版本。

確定ATC系統(tǒng)中“可更新設(shè)備列表”中每種設(shè)備的安裝環(huán)境補(bǔ)丁、軟件更新的時(shí)間間隔，例如當(dāng)具有補(bǔ)丁可用版本時(shí)，或者至少每季度更新一次。

定期（每月或者每季度）進(jìn)行了ATC系統(tǒng)的環(huán)境補(bǔ)丁安裝風(fēng)險(xiǎn)分析，以確定是否安裝補(bǔ)丁以及通過實(shí)施補(bǔ)償性對(duì)抗措施以緩解ATC系統(tǒng)存在的安全脆弱性，降低面臨的風(fēng)險(xiǎn)等級(jí)。

4.2 對(duì)ATC系統(tǒng)的產(chǎn)品供應(yīng)商的要求

定期提供文說明文檔，說明其ATC系統(tǒng)的環(huán)境以及軟件及其相關(guān)“可更新設(shè)備”的軟件補(bǔ)丁策略。

定期提供對(duì)于ATC系統(tǒng)使用的操作系統(tǒng)的供應(yīng)商發(fā)布的補(bǔ)丁，以及ATC產(chǎn)品可能用到的所有第三方軟件的供應(yīng)商發(fā)布的補(bǔ)丁，通過測(cè)試分析和驗(yàn)證這些補(bǔ)丁，確認(rèn)補(bǔ)丁的適用性和與ATC系統(tǒng)軟件的兼容性。

定期提供ATC系統(tǒng)中所有補(bǔ)丁清單及其狀態(tài)信息清單。

建立機(jī)制，確保在ATC系統(tǒng)運(yùn)行的操作系統(tǒng)或者第三方軟件提供商發(fā)布補(bǔ)丁后30天內(nèi)，通知ATC系統(tǒng)的維護(hù)人員，并更新補(bǔ)丁清單。

建立機(jī)制，規(guī)范針對(duì)即將停產(chǎn)的或者不再提供網(wǎng)絡(luò)安全補(bǔ)丁的組件，至少提前兩年或者更長時(shí)間提前提供停止更新的警告說明。

定期向ATC系統(tǒng)維護(hù)人員提供包括安全更新在內(nèi)的，有關(guān)支持ATC系統(tǒng)產(chǎn)品的政策信息。

5 結(jié)束語

通過對(duì)當(dāng)前民航規(guī)章要求以及自動(dòng)化系統(tǒng)的現(xiàn)狀分析，針對(duì)ATC系統(tǒng)的操作系統(tǒng)環(huán)境的補(bǔ)丁管理，結(jié)合其他行業(yè)的管理方式與要求，提出針對(duì)民航空管業(yè)內(nèi)ATC系統(tǒng)的補(bǔ)丁管理應(yīng)該從以下幾個(gè)方面入手。

①業(yè)內(nèi)制定ATC系統(tǒng)環(huán)境補(bǔ)丁更新的規(guī)范、規(guī)章、技術(shù)操作指南；②與ATC系統(tǒng)供應(yīng)廠商建立補(bǔ)丁狀態(tài)更新周期；③對(duì)未及時(shí)安裝的補(bǔ)丁，建立風(fēng)險(xiǎn)防控機(jī)制；④建立補(bǔ)丁信息交換機(jī)制，針對(duì)所有使用該型號(hào)或品牌ATC系統(tǒng)的維護(hù)人員與ATC系統(tǒng)的供應(yīng)廠商，應(yīng)當(dāng)共享更新、維護(hù)ATC系統(tǒng)的補(bǔ)丁信息以及應(yīng)用升級(jí)列表。

希望通過本文的分析，能夠引起業(yè)內(nèi)人士的重視，為未來ATC系統(tǒng)的補(bǔ)丁升級(jí)、應(yīng)用管理提供參考。