民用飛機網絡安全問題與策略探究

◆曹全新 楊 融 孫志強 李偉杰

（上海飛機設計研究院綜合航電設計研究部 上海 201210）

民用飛機網絡安全問題與策略探究

◆曹全新 楊 融 孫志強 李偉杰

（上海飛機設計研究院綜合航電設計研究部 上海 201210）

伴隨著民用飛機“e化”的逐步深入，民用飛機機載電子系統已經不再是一座信息孤島，相對封閉的機載信息網絡逐步需與航線公共信息服務網絡、運維網絡、運營網絡等互聯互通，航空安全是人命關天的大事。如何保障飛機信息網絡的數據完整性和保密性，維護網絡正常高效運轉，是擺在民機信息化征途中的一個不可繞過的問題。而全球航空業巨頭們為了進一步提高航空器的運營維護效率，降低勞動負荷，提高經濟效益和服務質量，千方百計的推行航空器網絡一體化，因此，我們必須花大力氣解決民用飛機網絡安保的問題，才能打通制約航空器信息一體化的關鍵瓶頸，為我國航空器的信息化做好技術保障。

民用飛機；機載信息；網絡安保；網絡威脅；脆弱性；入侵檢測

0 引言

隨著信息技術的日新月異，尤其通信技術的突飛猛進發展，整個社會漸漸地形成了一個巨大的數據網絡，航空公司和飛機也不例外。以前與外部系統相互隔離的傳統飛機也越來越不能適應信息化的要求，運營維護效率和旅客信息化服務水平亟待提高，新一代的民機將設計為信息網絡的一個節點，能與地面系統進行大數據的通信和交互，滿足高效運營和快速維護的要求。越來越多的新技術，如航空以太網IP通信，空地寬帶無線通信等逐步被引入到航空領域，為航空的信息化創造了條件。但是，在將空地信息一體化應用于民航的同時，也引入了一個新問題。與地面網絡面臨的種類繁多的黑客攻擊、病毒感染、信息丟失等信息安全威脅一樣，如何安全保障機載網絡及設備不受開放網絡潛在威脅的影響，將是機載網絡接入航線公共網絡的首要前提。

1 民機機載網絡簡介

為了提高機載電子系統及控制系統的數據吞吐率和可靠性，同時降低連接線纜的數量和重量，航空器的傳輸總線經過長時間多次的升級和演進，從早期的點對點單向廣播通信（如：ARINC429總線，RS485總線，CSDB總線等），經過了按照ID碼共享一條總線的雙向傳輸實時通信（如：ARINC629總線，CAN總線，LTPB總線，MIL1553B總線等），發展到具有良好的擴展性可靈活配置的雙向通信網絡（如：AFDX總線，令牌環網，航空以太網絡，TTP總線，TTE總線等）。隨著機載通信總線及網絡的吞吐量和靈活性提高，也意味著外界接入網絡更加便利，原本相對封閉的網絡將面對未知領域無意或惡意的攻擊，民機的機載網絡按照相對開放的等級可以從物理上和邏輯上劃分為3個域，機上和地面整體的網絡通信情況如圖1所示：

圖1 民機信息互連網絡圖示

目前國際上的新一代主流機型飛機安全域的主干網絡通信使用的是AFDX總線，通過核心網絡交換機和遠程網絡交換機將通信、信息、導航、顯示、監視、飛控、飛行管理、動力控制、液壓控制、燃油控制、環境控制、起落架控制、供配電控制等互聯起來，在傳統飛機上訪問這些系統，除與航線交通控制（ATC）和AOC（航線運營控制）專網簡單的通信外，訪問機載設備的數據和軟件全部是依靠人為的制度管理，通過受控的維修維護專用設備做地面檢查和維護，或者是將機載設備從飛機上取下來送到車間開展維修維護，接觸到機載設備的地勤和維修維護人員是需要審批和登記備案的，因此傳統飛機的工作模式和流程并不需要通過信息安全保障的技術手段來保障飛機運行維護安全。但是，傳統的工作方式其弊端也是非常明顯的，首先是協同工作效率不高且勞動負荷大，其次花費的人力資源較多，還有就是人為差錯較多、地面獲取飛機的數據較少、信息處理不及時、運營成本較高等問題，因此，改進飛機的運營維護效率，必須借助信息化手段（如：空客的AIRMAN系統，波音的AHM系統，NASA的IVHM，ARINC公司推行的ACAMS系統，JSF的PHM系統，美歐直升機公司提出的HUMS系統等）來提高新一代機型的競爭力。

2 機載網絡安保的設計思路

飛機制造業作為一個特殊的行業，飛機的安全飛行是飛機研制的第一要素，如何保證機載網絡在與地面系統通信，尤其是途徑公共網絡的通信時不受各種網絡威脅的影響，是推動現代飛機逐步信息化的安全保障。

機載網絡安保的實質就是在被保護的資產和威脅源之間的威脅途徑上建立一道防護屏障（見圖2）屏蔽或隔離外部威脅，過濾出安全的數據保證正常的數據通信。

圖2 機載網絡安保體系示意圖

因此，在設計機載網絡的安保架構時，參考DO326、ED202機載網絡安保適航取證過程中的闡述，結合機型網絡架構的特點和被保護的資產，建立符合相關工業標準或行業標準的安保架構和策略。具體可以從以下方面進行著手：

2.1 明確被保護的資產

資產是用于飛機持續飛行的邏輯資產和物理資產。安保設計工作中首先需要明確安保的范圍，識別被保護的資產，記錄資產的入口點，以及確定它們的環境。

機載系統被保護的資產按照ED202的飛機網絡安保適航審定方法分為核心資產和支持資產，核心資產主要關注系統運行的功能和功能之間的邏輯，支持資產則是具體的每個核心資產所依賴的硬件平臺、軟件平臺、應用程序、數據、接口等物理存在的可測實物。

在開展飛機的網絡安保評估分析之前，首先需要明確機載系統被保護的資產，包括核心資產和支持資產。

2.2 明確飛機的網絡安保邊界

在安保分析評估中，其次需要梳理全機的對外接口和機載系統對外的數據交互。參考DO326、ED202中的定義，可以將接口分為以下幾大類：

第一種，專用接口。

包括供系統LRU和LRM維護等使用的專用維護接口和與地面進行語音通信、數據導航、狀態監視等的專用無線數據通信接口。由于使用這些接口的對象固定、人員特殊，對信息的安保更多的是通過物理隔離，制度的建立和人員的管理來實現。因此，不將這些接口作為通過技術手段進行網絡安保的對象。

第二種，與公共網絡可互聯的接口。

由于這些接口與機外網絡，尤其是公共網絡存在數據交互，另外，通過此類接口進行網絡攻擊和破壞數據的現象也很多，如計算機病毒、黑客攻擊、木馬等。因此，需要對此類接口采取不同層次和等級的防護措施。

2.3 確定安保環境

確定安保環境的目的是獲取與資產交互有關的人員、組織和安保邊界以外系統的假設，以便于識別潛在的威脅源。目前公共網絡中主要存在的威脅有：計算機病毒，黑客攻擊，特洛伊木馬，后門、隱蔽通道，拒絕服務攻擊，蠕蟲，邏輯炸彈，信息丟失、篡改、銷毀等。此外，存在的威脅還包括內部人員的蓄意破壞和無意識的誤操作等等。這些網絡威脅對電子設備可能會造成危害可以歸納為：保密信息被獲取，信息的完整性被破壞，網絡的可用性被破壞，網絡運行的可控性被破壞等。針對以上目前公共網絡中主要存在的威脅，建立風險分析機制，評估危害發生的頻率和對安全飛行的影響程度。

2.4 依據安保架構分析系統脆弱性

根據被保護資產、系統網絡架構、安保防護架構及措施、對外邊界、以及防護的威脅源等要素，建立安保目標和符合性矩陣，如表1所示，綠色區域表示安保措施滿足被保護資產的需求，黃色區域表示具有一定的安保風險，紅色區域表示具有非常高的安保風險，并且會極大地影響到飛機安全性，不斷地優化調整安保架構和安保措施，直到全部的資產、網絡和邊界都被置于可接受（即綠色低風險）的安保范圍內。

表1 安保目標和符合性矩陣

針對飛機的安保架構分析其脆弱性，也就是說在飛機的安全規劃、設計、實施或者內部控制中的可被攻擊的缺陷或弱點。這種弱點能導致違反安保事項或違反系統安全策略，從而建立全機的脆弱性遍歷分析表。

2.5 機載網絡安保風險評估

對于民機網絡安保的量化評估，我們依據相關規范，經過長期探索建立了一套量化風險評估的方法，該方法通過對已識別的威脅場景和路徑上的安保措施采用攻擊困難性的方法計算得出攻擊困難性值，并且利用風險可接受性矩陣來判斷攻擊困難性值所在的風險范圍，進而得出風險是否可接受的評價。

本安保風險評估方法的流程和流程中每一個階段的輸出數據如圖3所示。

圖3 量化的安保風險評估方法流程

2.6 安保措施優化與風險減緩

在機載網絡安保的架構和應對措施中，需要運用一系列的技術，來保證機載網絡的信息安全，可以應用的技術有：網絡異構技術、身份認證技術、加解密技術、電子信封技術、防火墻技術、入侵檢測技術、漏洞掃描技術、日志審查、數據備份與恢復技術等。

上述的安保措施可以獨立部署在系統中，也可以組合實施，對于組合的安保措施應該考慮3種屬性：獨立性、多樣性和隔離性。所有的工作在相同有效性標準上的適用的安保措施有效性的和攻擊困難性（預備方式、機會窗口、執行方式），即使考慮獨立性超過了通常的最大值，但組合有效不能超過標準的最大組合影響，通常會識別組合安保措施中的共模因子，確定其相關性，從而為措施優化和風險減緩提供準確的評估值和改進方向。

由于安保措施大都是以組合的方式出現，下面，我們舉例用PDL語言來描述下組合安保措施的有效性評估：

For 每一個攻擊路徑 do

攻擊路徑上的安保措施SMn列表，使用有效性En

If SMn是獨立的、多樣的和隔離的 then

Else if SMn是完全依賴的 then

If 強的安保措施依賴于弱的安保措施，或者安保措施有共同的脆弱點，then

表2 組合評估算法

評估表中使用的縮寫的定義：

A：考慮了所有的安保措施的全部攻擊困難性。

Ax：第x評估步驟的安保措施考慮后的部分攻擊困難性，x=1，2，…，n。

Ec：各自列C的使用的安保措施的組合影響，c=1，2，…，n。

Ep/Ew/Ee：每一行使用的安保措施的組合影響（Ep=預備方式，Ew=機會窗口，Ee=執行方式）。

Cp/Cw/Ce：得分與Ep/Ew/Ee比較。

C：總和 C=Cp+Cw+Ce。

3 結束語

隨著民用飛機信息互聯的進一步發展，民機網絡安全的技術保障和評估方法需求越來越凸顯。本論文僅僅是對于民用飛機的網絡安全分析從策略上開展了初步的研究，并從可量化分析上進行了初步的嘗試，還有許多細節還需在后續的工作和研究中繼續豐富和完善。隨著民機安保技術的不斷進步和完善，必將大大的推動我國民用飛機的信息化實施進程。

[1]RTCA DO-326A 適航中的安保過程規范.

[2]RTCA DO-356 適航中的安保方法和考慮.

[3]ED202A 民機網絡安保適用標準.

[4]ED203 民機網絡安保指南.