◆曹全新 楊 融 孫志強(qiáng) 李偉杰

（上海飛機(jī)設(shè)計(jì)研究院綜合航電設(shè)計(jì)研究部 上海 201210）

民用飛機(jī)網(wǎng)絡(luò)安全問題與策略探究

◆曹全新 楊 融 孫志強(qiáng) 李偉杰

（上海飛機(jī)設(shè)計(jì)研究院綜合航電設(shè)計(jì)研究部 上海 201210）

伴隨著民用飛機(jī)“e化”的逐步深入，民用飛機(jī)機(jī)載電子系統(tǒng)已經(jīng)不再是一座信息孤島，相對(duì)封閉的機(jī)載信息網(wǎng)絡(luò)逐步需與航線公共信息服務(wù)網(wǎng)絡(luò)、運(yùn)維網(wǎng)絡(luò)、運(yùn)營網(wǎng)絡(luò)等互聯(lián)互通，航空安全是人命關(guān)天的大事。如何保障飛機(jī)信息網(wǎng)絡(luò)的數(shù)據(jù)完整性和保密性，維護(hù)網(wǎng)絡(luò)正常高效運(yùn)轉(zhuǎn)，是擺在民機(jī)信息化征途中的一個(gè)不可繞過的問題。而全球航空業(yè)巨頭們?yōu)榱诉M(jìn)一步提高航空器的運(yùn)營維護(hù)效率，降低勞動(dòng)負(fù)荷，提高經(jīng)濟(jì)效益和服務(wù)質(zhì)量，千方百計(jì)的推行航空器網(wǎng)絡(luò)一體化，因此，我們必須花大力氣解決民用飛機(jī)網(wǎng)絡(luò)安保的問題，才能打通制約航空器信息一體化的關(guān)鍵瓶頸，為我國航空器的信息化做好技術(shù)保障。

民用飛機(jī)；機(jī)載信息；網(wǎng)絡(luò)安保；網(wǎng)絡(luò)威脅；脆弱性；入侵檢測

0 引言

隨著信息技術(shù)的日新月異，尤其通信技術(shù)的突飛猛進(jìn)發(fā)展，整個(gè)社會(huì)漸漸地形成了一個(gè)巨大的數(shù)據(jù)網(wǎng)絡(luò)，航空公司和飛機(jī)也不例外。以前與外部系統(tǒng)相互隔離的傳統(tǒng)飛機(jī)也越來越不能適應(yīng)信息化的要求，運(yùn)營維護(hù)效率和旅客信息化服務(wù)水平亟待提高，新一代的民機(jī)將設(shè)計(jì)為信息網(wǎng)絡(luò)的一個(gè)節(jié)點(diǎn)，能與地面系統(tǒng)進(jìn)行大數(shù)據(jù)的通信和交互，滿足高效運(yùn)營和快速維護(hù)的要求。越來越多的新技術(shù)，如航空以太網(wǎng)IP通信，空地寬帶無線通信等逐步被引入到航空領(lǐng)域，為航空的信息化創(chuàng)造了條件。但是，在將空地信息一體化應(yīng)用于民航的同時(shí)，也引入了一個(gè)新問題。與地面網(wǎng)絡(luò)面臨的種類繁多的黑客攻擊、病毒感染、信息丟失等信息安全威脅一樣，如何安全保障機(jī)載網(wǎng)絡(luò)及設(shè)備不受開放網(wǎng)絡(luò)潛在威脅的影響，將是機(jī)載網(wǎng)絡(luò)接入航線公共網(wǎng)絡(luò)的首要前提。

1 民機(jī)機(jī)載網(wǎng)絡(luò)簡介

為了提高機(jī)載電子系統(tǒng)及控制系統(tǒng)的數(shù)據(jù)吞吐率和可靠性，同時(shí)降低連接線纜的數(shù)量和重量，航空器的傳輸總線經(jīng)過長時(shí)間多次的升級(jí)和演進(jìn)，從早期的點(diǎn)對(duì)點(diǎn)單向廣播通信（如：ARINC429總線，RS485總線，CSDB總線等），經(jīng)過了按照ID碼共享一條總線的雙向傳輸實(shí)時(shí)通信（如：ARINC629總線，CAN總線，LTPB總線，MIL1553B總線等），發(fā)展到具有良好的擴(kuò)展性可靈活配置的雙向通信網(wǎng)絡(luò)（如：AFDX總線，令牌環(huán)網(wǎng)，航空以太網(wǎng)絡(luò)，TTP總線，TTE總線等）。隨著機(jī)載通信總線及網(wǎng)絡(luò)的吞吐量和靈活性提高，也意味著外界接入網(wǎng)絡(luò)更加便利，原本相對(duì)封閉的網(wǎng)絡(luò)將面對(duì)未知領(lǐng)域無意或惡意的攻擊，民機(jī)的機(jī)載網(wǎng)絡(luò)按照相對(duì)開放的等級(jí)可以從物理上和邏輯上劃分為3個(gè)域，機(jī)上和地面整體的網(wǎng)絡(luò)通信情況如圖1所示：

圖1 民機(jī)信息互連網(wǎng)絡(luò)圖示

目前國際上的新一代主流機(jī)型飛機(jī)安全域的主干網(wǎng)絡(luò)通信使用的是AFDX總線，通過核心網(wǎng)絡(luò)交換機(jī)和遠(yuǎn)程網(wǎng)絡(luò)交換機(jī)將通信、信息、導(dǎo)航、顯示、監(jiān)視、飛控、飛行管理、動(dòng)力控制、液壓控制、燃油控制、環(huán)境控制、起落架控制、供配電控制等互聯(lián)起來，在傳統(tǒng)飛機(jī)上訪問這些系統(tǒng)，除與航線交通控制（ATC）和AOC（航線運(yùn)營控制）專網(wǎng)簡單的通信外，訪問機(jī)載設(shè)備的數(shù)據(jù)和軟件全部是依靠人為的制度管理，通過受控的維修維護(hù)專用設(shè)備做地面檢查和維護(hù)，或者是將機(jī)載設(shè)備從飛機(jī)上取下來送到車間開展維修維護(hù)，接觸到機(jī)載設(shè)備的地勤和維修維護(hù)人員是需要審批和登記備案的，因此傳統(tǒng)飛機(jī)的工作模式和流程并不需要通過信息安全保障的技術(shù)手段來保障飛機(jī)運(yùn)行維護(hù)安全。但是，傳統(tǒng)的工作方式其弊端也是非常明顯的，首先是協(xié)同工作效率不高且勞動(dòng)負(fù)荷大，其次花費(fèi)的人力資源較多，還有就是人為差錯(cuò)較多、地面獲取飛機(jī)的數(shù)據(jù)較少、信息處理不及時(shí)、運(yùn)營成本較高等問題，因此，改進(jìn)飛機(jī)的運(yùn)營維護(hù)效率，必須借助信息化手段（如：空客的AIRMAN系統(tǒng)，波音的AHM系統(tǒng)，NASA的IVHM，ARINC公司推行的ACAMS系統(tǒng)，JSF的PHM系統(tǒng)，美歐直升機(jī)公司提出的HUMS系統(tǒng)等）來提高新一代機(jī)型的競爭力。

2 機(jī)載網(wǎng)絡(luò)安保的設(shè)計(jì)思路

飛機(jī)制造業(yè)作為一個(gè)特殊的行業(yè)，飛機(jī)的安全飛行是飛機(jī)研制的第一要素，如何保證機(jī)載網(wǎng)絡(luò)在與地面系統(tǒng)通信，尤其是途徑公共網(wǎng)絡(luò)的通信時(shí)不受各種網(wǎng)絡(luò)威脅的影響，是推動(dòng)現(xiàn)代飛機(jī)逐步信息化的安全保障。

機(jī)載網(wǎng)絡(luò)安保的實(shí)質(zhì)就是在被保護(hù)的資產(chǎn)和威脅源之間的威脅途徑上建立一道防護(hù)屏障（見圖2）屏蔽或隔離外部威脅，過濾出安全的數(shù)據(jù)保證正常的數(shù)據(jù)通信。

圖2 機(jī)載網(wǎng)絡(luò)安保體系示意圖

因此，在設(shè)計(jì)機(jī)載網(wǎng)絡(luò)的安保架構(gòu)時(shí)，參考DO326、ED202機(jī)載網(wǎng)絡(luò)安保適航取證過程中的闡述，結(jié)合機(jī)型網(wǎng)絡(luò)架構(gòu)的特點(diǎn)和被保護(hù)的資產(chǎn)，建立符合相關(guān)工業(yè)標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)的安保架構(gòu)和策略。具體可以從以下方面進(jìn)行著手：

2.1 明確被保護(hù)的資產(chǎn)

資產(chǎn)是用于飛機(jī)持續(xù)飛行的邏輯資產(chǎn)和物理資產(chǎn)。安保設(shè)計(jì)工作中首先需要明確安保的范圍，識(shí)別被保護(hù)的資產(chǎn)，記錄資產(chǎn)的入口點(diǎn)，以及確定它們的環(huán)境。

機(jī)載系統(tǒng)被保護(hù)的資產(chǎn)按照ED202的飛機(jī)網(wǎng)絡(luò)安保適航審定方法分為核心資產(chǎn)和支持資產(chǎn)，核心資產(chǎn)主要關(guān)注系統(tǒng)運(yùn)行的功能和功能之間的邏輯，支持資產(chǎn)則是具體的每個(gè)核心資產(chǎn)所依賴的硬件平臺(tái)、軟件平臺(tái)、應(yīng)用程序、數(shù)據(jù)、接口等物理存在的可測實(shí)物。

在開展飛機(jī)的網(wǎng)絡(luò)安保評(píng)估分析之前，首先需要明確機(jī)載系統(tǒng)被保護(hù)的資產(chǎn)，包括核心資產(chǎn)和支持資產(chǎn)。

2.2 明確飛機(jī)的網(wǎng)絡(luò)安保邊界

在安保分析評(píng)估中，其次需要梳理全機(jī)的對(duì)外接口和機(jī)載系統(tǒng)對(duì)外的數(shù)據(jù)交互。參考DO326、ED202中的定義，可以將接口分為以下幾大類：

第一種，專用接口。

包括供系統(tǒng)LRU和LRM維護(hù)等使用的專用維護(hù)接口和與地面進(jìn)行語音通信、數(shù)據(jù)導(dǎo)航、狀態(tài)監(jiān)視等的專用無線數(shù)據(jù)通信接口。由于使用這些接口的對(duì)象固定、人員特殊，對(duì)信息的安保更多的是通過物理隔離，制度的建立和人員的管理來實(shí)現(xiàn)。因此，不將這些接口作為通過技術(shù)手段進(jìn)行網(wǎng)絡(luò)安保的對(duì)象。

第二種，與公共網(wǎng)絡(luò)可互聯(lián)的接口。

由于這些接口與機(jī)外網(wǎng)絡(luò)，尤其是公共網(wǎng)絡(luò)存在數(shù)據(jù)交互，另外，通過此類接口進(jìn)行網(wǎng)絡(luò)攻擊和破壞數(shù)據(jù)的現(xiàn)象也很多，如計(jì)算機(jī)病毒、黑客攻擊、木馬等。因此，需要對(duì)此類接口采取不同層次和等級(jí)的防護(hù)措施。

2.3 確定安保環(huán)境

確定安保環(huán)境的目的是獲取與資產(chǎn)交互有關(guān)的人員、組織和安保邊界以外系統(tǒng)的假設(shè)，以便于識(shí)別潛在的威脅源。目前公共網(wǎng)絡(luò)中主要存在的威脅有：計(jì)算機(jī)病毒，黑客攻擊，特洛伊木馬，后門、隱蔽通道，拒絕服務(wù)攻擊，蠕蟲，邏輯炸彈，信息丟失、篡改、銷毀等。此外，存在的威脅還包括內(nèi)部人員的蓄意破壞和無意識(shí)的誤操作等等。這些網(wǎng)絡(luò)威脅對(duì)電子設(shè)備可能會(huì)造成危害可以歸納為：保密信息被獲取，信息的完整性被破壞，網(wǎng)絡(luò)的可用性被破壞，網(wǎng)絡(luò)運(yùn)行的可控性被破壞等。針對(duì)以上目前公共網(wǎng)絡(luò)中主要存在的威脅，建立風(fēng)險(xiǎn)分析機(jī)制，評(píng)估危害發(fā)生的頻率和對(duì)安全飛行的影響程度。

2.4 依據(jù)安保架構(gòu)分析系統(tǒng)脆弱性

根據(jù)被保護(hù)資產(chǎn)、系統(tǒng)網(wǎng)絡(luò)架構(gòu)、安保防護(hù)架構(gòu)及措施、對(duì)外邊界、以及防護(hù)的威脅源等要素，建立安保目標(biāo)和符合性矩陣，如表1所示，綠色區(qū)域表示安保措施滿足被保護(hù)資產(chǎn)的需求，黃色區(qū)域表示具有一定的安保風(fēng)險(xiǎn)，紅色區(qū)域表示具有非常高的安保風(fēng)險(xiǎn)，并且會(huì)極大地影響到飛機(jī)安全性，不斷地優(yōu)化調(diào)整安保架構(gòu)和安保措施，直到全部的資產(chǎn)、網(wǎng)絡(luò)和邊界都被置于可接受（即綠色低風(fēng)險(xiǎn)）的安保范圍內(nèi)。

表1 安保目標(biāo)和符合性矩陣

針對(duì)飛機(jī)的安保架構(gòu)分析其脆弱性，也就是說在飛機(jī)的安全規(guī)劃、設(shè)計(jì)、實(shí)施或者內(nèi)部控制中的可被攻擊的缺陷或弱點(diǎn)。這種弱點(diǎn)能導(dǎo)致違反安保事項(xiàng)或違反系統(tǒng)安全策略，從而建立全機(jī)的脆弱性遍歷分析表。

2.5 機(jī)載網(wǎng)絡(luò)安保風(fēng)險(xiǎn)評(píng)估

對(duì)于民機(jī)網(wǎng)絡(luò)安保的量化評(píng)估，我們依據(jù)相關(guān)規(guī)范，經(jīng)過長期探索建立了一套量化風(fēng)險(xiǎn)評(píng)估的方法，該方法通過對(duì)已識(shí)別的威脅場景和路徑上的安保措施采用攻擊困難性的方法計(jì)算得出攻擊困難性值，并且利用風(fēng)險(xiǎn)可接受性矩陣來判斷攻擊困難性值所在的風(fēng)險(xiǎn)范圍，進(jìn)而得出風(fēng)險(xiǎn)是否可接受的評(píng)價(jià)。

本安保風(fēng)險(xiǎn)評(píng)估方法的流程和流程中每一個(gè)階段的輸出數(shù)據(jù)如圖3所示。

圖3 量化的安保風(fēng)險(xiǎn)評(píng)估方法流程

2.6 安保措施優(yōu)化與風(fēng)險(xiǎn)減緩

在機(jī)載網(wǎng)絡(luò)安保的架構(gòu)和應(yīng)對(duì)措施中，需要運(yùn)用一系列的技術(shù)，來保證機(jī)載網(wǎng)絡(luò)的信息安全，可以應(yīng)用的技術(shù)有：網(wǎng)絡(luò)異構(gòu)技術(shù)、身份認(rèn)證技術(shù)、加解密技術(shù)、電子信封技術(shù)、防火墻技術(shù)、入侵檢測技術(shù)、漏洞掃描技術(shù)、日志審查、數(shù)據(jù)備份與恢復(fù)技術(shù)等。

上述的安保措施可以獨(dú)立部署在系統(tǒng)中，也可以組合實(shí)施，對(duì)于組合的安保措施應(yīng)該考慮3種屬性：獨(dú)立性、多樣性和隔離性。所有的工作在相同有效性標(biāo)準(zhǔn)上的適用的安保措施有效性的和攻擊困難性（預(yù)備方式、機(jī)會(huì)窗口、執(zhí)行方式），即使考慮獨(dú)立性超過了通常的最大值，但組合有效不能超過標(biāo)準(zhǔn)的最大組合影響，通常會(huì)識(shí)別組合安保措施中的共模因子，確定其相關(guān)性，從而為措施優(yōu)化和風(fēng)險(xiǎn)減緩提供準(zhǔn)確的評(píng)估值和改進(jìn)方向。

由于安保措施大都是以組合的方式出現(xiàn)，下面，我們舉例用PDL語言來描述下組合安保措施的有效性評(píng)估：

For 每一個(gè)攻擊路徑 do

攻擊路徑上的安保措施SMn列表，使用有效性En

If SMn是獨(dú)立的、多樣的和隔離的 then

Else if SMn是完全依賴的 then

If 強(qiáng)的安保措施依賴于弱的安保措施，或者安保措施有共同的脆弱點(diǎn)，then

表2 組合評(píng)估算法

評(píng)估表中使用的縮寫的定義：

A：考慮了所有的安保措施的全部攻擊困難性。

Ax：第x評(píng)估步驟的安保措施考慮后的部分攻擊困難性，x=1，2，…，n。

Ec：各自列C的使用的安保措施的組合影響，c=1，2，…，n。

Ep/Ew/Ee：每一行使用的安保措施的組合影響（Ep=預(yù)備方式，Ew=機(jī)會(huì)窗口，Ee=執(zhí)行方式）。

Cp/Cw/Ce：得分與Ep/Ew/Ee比較。

C：總和 C=Cp+Cw+Ce。

3 結(jié)束語

隨著民用飛機(jī)信息互聯(lián)的進(jìn)一步發(fā)展，民機(jī)網(wǎng)絡(luò)安全的技術(shù)保障和評(píng)估方法需求越來越凸顯。本論文僅僅是對(duì)于民用飛機(jī)的網(wǎng)絡(luò)安全分析從策略上開展了初步的研究，并從可量化分析上進(jìn)行了初步的嘗試，還有許多細(xì)節(jié)還需在后續(xù)的工作和研究中繼續(xù)豐富和完善。隨著民機(jī)安保技術(shù)的不斷進(jìn)步和完善，必將大大的推動(dòng)我國民用飛機(jī)的信息化實(shí)施進(jìn)程。

[1]RTCA DO-326A 適航中的安保過程規(guī)范.

[2]RTCA DO-356 適航中的安保方法和考慮.

[3]ED202A 民機(jī)網(wǎng)絡(luò)安保適用標(biāo)準(zhǔn).

[4]ED203 民機(jī)網(wǎng)絡(luò)安保指南.