民用飞机网络安全问题与策略探究

◆曹全新 杨 融 孙志强 李伟杰

（上海飞机设计研究院综合航电设计研究部 上海 201210）

民用飞机网络安全问题与策略探究

◆曹全新 杨 融 孙志强 李伟杰

（上海飞机设计研究院综合航电设计研究部 上海 201210）

伴随着民用飞机“e化”的逐步深入，民用飞机机载电子系统已经不再是一座信息孤岛，相对封闭的机载信息网络逐步需与航线公共信息服务网络、运维网络、运营网络等互联互通，航空安全是人命关天的大事。如何保障飞机信息网络的数据完整性和保密性，维护网络正常高效运转，是摆在民机信息化征途中的一个不可绕过的问题。而全球航空业巨头们为了进一步提高航空器的运营维护效率，降低劳动负荷，提高经济效益和服务质量，千方百计的推行航空器网络一体化，因此，我们必须花大力气解决民用飞机网络安保的问题，才能打通制约航空器信息一体化的关键瓶颈，为我国航空器的信息化做好技术保障。

民用飞机；机载信息；网络安保；网络威胁；脆弱性；入侵检测

0 引言

随着信息技术的日新月异，尤其通信技术的突飞猛进发展，整个社会渐渐地形成了一个巨大的数据网络，航空公司和飞机也不例外。以前与外部系统相互隔离的传统飞机也越来越不能适应信息化的要求，运营维护效率和旅客信息化服务水平亟待提高，新一代的民机将设计为信息网络的一个节点，能与地面系统进行大数据的通信和交互，满足高效运营和快速维护的要求。越来越多的新技术，如航空以太网IP通信，空地宽带无线通信等逐步被引入到航空领域，为航空的信息化创造了条件。但是，在将空地信息一体化应用于民航的同时，也引入了一个新问题。与地面网络面临的种类繁多的黑客攻击、病毒感染、信息丢失等信息安全威胁一样，如何安全保障机载网络及设备不受开放网络潜在威胁的影响，将是机载网络接入航线公共网络的首要前提。

1 民机机载网络简介

为了提高机载电子系统及控制系统的数据吞吐率和可靠性，同时降低连接线缆的数量和重量，航空器的传输总线经过长时间多次的升级和演进，从早期的点对点单向广播通信（如：ARINC429总线，RS485总线，CSDB总线等），经过了按照ID码共享一条总线的双向传输实时通信（如：ARINC629总线，CAN总线，LTPB总线，MIL1553B总线等），发展到具有良好的扩展性可灵活配置的双向通信网络（如：AFDX总线，令牌环网，航空以太网络，TTP总线，TTE总线等）。随着机载通信总线及网络的吞吐量和灵活性提高，也意味着外界接入网络更加便利，原本相对封闭的网络将面对未知领域无意或恶意的攻击，民机的机载网络按照相对开放的等级可以从物理上和逻辑上划分为3个域，机上和地面整体的网络通信情况如图1所示：

图1 民机信息互连网络图示

目前国际上的新一代主流机型飞机安全域的主干网络通信使用的是AFDX总线，通过核心网络交换机和远程网络交换机将通信、信息、导航、显示、监视、飞控、飞行管理、动力控制、液压控制、燃油控制、环境控制、起落架控制、供配电控制等互联起来，在传统飞机上访问这些系统，除与航线交通控制（ATC）和AOC（航线运营控制）专网简单的通信外，访问机载设备的数据和软件全部是依靠人为的制度管理，通过受控的维修维护专用设备做地面检查和维护，或者是将机载设备从飞机上取下来送到车间开展维修维护，接触到机载设备的地勤和维修维护人员是需要审批和登记备案的，因此传统飞机的工作模式和流程并不需要通过信息安全保障的技术手段来保障飞机运行维护安全。但是，传统的工作方式其弊端也是非常明显的，首先是协同工作效率不高且劳动负荷大，其次花费的人力资源较多，还有就是人为差错较多、地面获取飞机的数据较少、信息处理不及时、运营成本较高等问题，因此，改进飞机的运营维护效率，必须借助信息化手段（如：空客的AIRMAN系统，波音的AHM系统，NASA的IVHM，ARINC公司推行的ACAMS系统，JSF的PHM系统，美欧直升机公司提出的HUMS系统等）来提高新一代机型的竞争力。

2 机载网络安保的设计思路

飞机制造业作为一个特殊的行业，飞机的安全飞行是飞机研制的第一要素，如何保证机载网络在与地面系统通信，尤其是途径公共网络的通信时不受各种网络威胁的影响，是推动现代飞机逐步信息化的安全保障。

机载网络安保的实质就是在被保护的资产和威胁源之间的威胁途径上建立一道防护屏障（见图2）屏蔽或隔离外部威胁，过滤出安全的数据保证正常的数据通信。

图2 机载网络安保体系示意图

因此，在设计机载网络的安保架构时，参考DO326、ED202机载网络安保适航取证过程中的阐述，结合机型网络架构的特点和被保护的资产，建立符合相关工业标准或行业标准的安保架构和策略。具体可以从以下方面进行着手：

2.1 明确被保护的资产

资产是用于飞机持续飞行的逻辑资产和物理资产。安保设计工作中首先需要明确安保的范围，识别被保护的资产，记录资产的入口点，以及确定它们的环境。

机载系统被保护的资产按照ED202的飞机网络安保适航审定方法分为核心资产和支持资产，核心资产主要关注系统运行的功能和功能之间的逻辑，支持资产则是具体的每个核心资产所依赖的硬件平台、软件平台、应用程序、数据、接口等物理存在的可测实物。

在开展飞机的网络安保评估分析之前，首先需要明确机载系统被保护的资产，包括核心资产和支持资产。

2.2 明确飞机的网络安保边界

在安保分析评估中，其次需要梳理全机的对外接口和机载系统对外的数据交互。参考DO326、ED202中的定义，可以将接口分为以下几大类：

第一种，专用接口。

包括供系统LRU和LRM维护等使用的专用维护接口和与地面进行语音通信、数据导航、状态监视等的专用无线数据通信接口。由于使用这些接口的对象固定、人员特殊，对信息的安保更多的是通过物理隔离，制度的建立和人员的管理来实现。因此，不将这些接口作为通过技术手段进行网络安保的对象。

第二种，与公共网络可互联的接口。

由于这些接口与机外网络，尤其是公共网络存在数据交互，另外，通过此类接口进行网络攻击和破坏数据的现象也很多，如计算机病毒、黑客攻击、木马等。因此，需要对此类接口采取不同层次和等级的防护措施。

2.3 确定安保环境

确定安保环境的目的是获取与资产交互有关的人员、组织和安保边界以外系统的假设，以便于识别潜在的威胁源。目前公共网络中主要存在的威胁有：计算机病毒，黑客攻击，特洛伊木马，后门、隐蔽通道，拒绝服务攻击，蠕虫，逻辑炸弹，信息丢失、篡改、销毁等。此外，存在的威胁还包括内部人员的蓄意破坏和无意识的误操作等等。这些网络威胁对电子设备可能会造成危害可以归纳为：保密信息被获取，信息的完整性被破坏，网络的可用性被破坏，网络运行的可控性被破坏等。针对以上目前公共网络中主要存在的威胁，建立风险分析机制，评估危害发生的频率和对安全飞行的影响程度。

2.4 依据安保架构分析系统脆弱性

根据被保护资产、系统网络架构、安保防护架构及措施、对外边界、以及防护的威胁源等要素，建立安保目标和符合性矩阵，如表1所示，绿色区域表示安保措施满足被保护资产的需求，黄色区域表示具有一定的安保风险，红色区域表示具有非常高的安保风险，并且会极大地影响到飞机安全性，不断地优化调整安保架构和安保措施，直到全部的资产、网络和边界都被置于可接受（即绿色低风险）的安保范围内。

表1 安保目标和符合性矩阵

针对飞机的安保架构分析其脆弱性，也就是说在飞机的安全规划、设计、实施或者内部控制中的可被攻击的缺陷或弱点。这种弱点能导致违反安保事项或违反系统安全策略，从而建立全机的脆弱性遍历分析表。

2.5 机载网络安保风险评估

对于民机网络安保的量化评估，我们依据相关规范，经过长期探索建立了一套量化风险评估的方法，该方法通过对已识别的威胁场景和路径上的安保措施采用攻击困难性的方法计算得出攻击困难性值，并且利用风险可接受性矩阵来判断攻击困难性值所在的风险范围，进而得出风险是否可接受的评价。

本安保风险评估方法的流程和流程中每一个阶段的输出数据如图3所示。

图3 量化的安保风险评估方法流程

2.6 安保措施优化与风险减缓

在机载网络安保的架构和应对措施中，需要运用一系列的技术，来保证机载网络的信息安全，可以应用的技术有：网络异构技术、身份认证技术、加解密技术、电子信封技术、防火墙技术、入侵检测技术、漏洞扫描技术、日志审查、数据备份与恢复技术等。

上述的安保措施可以独立部署在系统中，也可以组合实施，对于组合的安保措施应该考虑3种属性：独立性、多样性和隔离性。所有的工作在相同有效性标准上的适用的安保措施有效性的和攻击困难性（预备方式、机会窗口、执行方式），即使考虑独立性超过了通常的最大值，但组合有效不能超过标准的最大组合影响，通常会识别组合安保措施中的共模因子，确定其相关性，从而为措施优化和风险减缓提供准确的评估值和改进方向。

由于安保措施大都是以组合的方式出现，下面，我们举例用PDL语言来描述下组合安保措施的有效性评估：

For 每一个攻击路径 do

攻击路径上的安保措施SMn列表，使用有效性En

If SMn是独立的、多样的和隔离的 then

Else if SMn是完全依赖的 then

If 强的安保措施依赖于弱的安保措施，或者安保措施有共同的脆弱点，then

表2 组合评估算法

评估表中使用的缩写的定义：

A：考虑了所有的安保措施的全部攻击困难性。

Ax：第x评估步骤的安保措施考虑后的部分攻击困难性，x=1，2，…，n。

Ec：各自列C的使用的安保措施的组合影响，c=1，2，…，n。

Ep/Ew/Ee：每一行使用的安保措施的组合影响（Ep=预备方式，Ew=机会窗口，Ee=执行方式）。

Cp/Cw/Ce：得分与Ep/Ew/Ee比较。

C：总和 C=Cp+Cw+Ce。

3 结束语

随着民用飞机信息互联的进一步发展，民机网络安全的技术保障和评估方法需求越来越凸显。本论文仅仅是对于民用飞机的网络安全分析从策略上开展了初步的研究，并从可量化分析上进行了初步的尝试，还有许多细节还需在后续的工作和研究中继续丰富和完善。随着民机安保技术的不断进步和完善，必将大大的推动我国民用飞机的信息化实施进程。

[1]RTCA DO-326A 适航中的安保过程规范.

[2]RTCA DO-356 适航中的安保方法和考虑.

[3]ED202A 民机网络安保适用标准.

[4]ED203 民机网络安保指南.