Equipment Manufacturing Technology No.8,2015 民用飞机机载网络安保设计方法研究 孙志强。曹全新 (中国商飞上海飞机设计研究院,综合航电系统设计研究部,上海摘201210) 要:从DO一326A网络安保适航过程规范出发,研究了适用-I-R,h ̄飞机机载网络安保设计中的流程与方法。首先分 析了安保设计需要进行的逻辑边界与资产梳理,威胁源和威胁状态的确认。其次分析了在安保架构开发与脆弱性分析方 面的考虑,安保风险评估,安保验证与持续适航等设计活动。飞机制造商和民机网络安保供应商可以据此作为设计与验 证的参考。最后展望了机载网络安保的未来发展。 关键词:机栽网络;网络安保;网络威胁;脆弱性 中图分类号:TN915 文献标识码:B 文章编号:1672—545X(2015)08—0158—03 随着信息技术突飞猛进的发展,新一代的民机 2阿络安保设计方法研究 被设计为信息网络的一个节点,能与地面系统进行 大数据的宽带通信和交互,满足高效运营和快速维 2.1确定安保边界和资产 护的要求。但是,在引人宽带通信技术的同时,也带 在机载网络安保架构设计过程中,首先要确定 来了一个新问题——网络安保。如何保障机载设备 机载网络的安保边界,主要指确定飞机级的外部接 的安全性不受外部网络潜在威胁的影响,将是机载 口和系统级之间的接口。参考DO一326A中的定义, 网络接人公共网络和实现信息化的一个重要前提和 可以将接口分为以下两类: 保证。 (1)专用外部接口。专用外部接口主要包括供发 目前,信息安全技术在民机上的使用也日渐发 动机系统、飞控系统、显示系统等机载系统使用的专 展和成熟,安保设计参照的行业标准和过程规范将 用维护接口,与地面进行语音通信的HF和VHF的 会逐步增多,如ANSI/INCI1S/ISO/IEC/INCIrI'S:通用 无线电通信接口,以及ACARS数据链接口。由于使 标准CC(国际标准),GB/T 18336:2008:信息技术安 用这些接口的对象固定、人员特殊,对这部分接口的 全性评估准则(CC中国版),DO一326A网络安保适航 信息安保更多的是通过物理隔离、制度建立和人员 过程规范等。 管理来实现。目前,通过这些外部接口威胁飞行安全 本文主要从全机安保的设计角度出发,参考 的事件和案例十分罕见,因此,这些接口不是机载网 DO一326A的过程规范,研究了机载安保方案的设计 络安保防护的主要安保对象。 方法,并提出了未来的展望。 (2)与公共网络互联的外部接口。与公共网络互 联的外部接口主要包括与地面支持系统连接的无线 局域网接口、蜂窝移动网络接口、与便携式维护终端 1设计概述 连接的以太网接口等。这些接口与飞机外部网络,尤 机载网络安保的实质就是在被保护的资产和威 其是公共数据网络存在大量地信息交互。同时,这些 胁源之间的威胁途径上建立一道防护屏障,屏蔽或 外部接口面临大量地网络攻击威胁,如误用、泄密、 隔离外部威胁,过滤出安全的数据,保证正常的数据 旁路、篡改、拒绝、恶意代码、重定向、破坏等。 在上述两类外部接口中,与公共网络互联的外 通信。 在设计机载网络安保架构时,参考DO一326A机 部接口面临的安保威胁更难以防护,在确定安保边 载网络安保适航取证过程,结合机载网络架构的特 界时需要关注。其次,需要梳理被保护的资产。对飞 需要保护的资产包括功能、数据和网络 点和被保护的资产,建立符合相关工业标准或行业 机设计来说,标准的安保架构和防护措施。 等,但是最终影响飞行安全的是各机载系统的功能, 收稿日期:2015—05—13 作者简介:孙志强(1979一),男,江苏镇江人,本科,工程师。主要从事民用飞机航电系统的开发设计和集成验证。 158 《装备制造技术)2o15年第8期 所以,网络安保保护的最重要的方面也是防护机载 系统的功能不受外界的影响。 进行功能危险l生评估,一直是飞机设计的一个 合安保目标的初步安保架构,直到全部的资产、网络边 界、威胁源等都被置于安保措施的安保范围内。 针对开发的安保架构分析其脆弱性,也就是说 重要环节,网络安保设计同样需要基于功能危险性 在飞机的安全规划、设计、实施或者内部控制中的可 评估分析的结果,对不同危险等级的功能或设备给 被利用(包括有意利用和无意触发)的缺陷或弱点。这 予相对应的防护,此外,还需结合威胁的种类、发生 的频率和影响途径等方面分析可能对机载的哪些功 种弱点能导致违反安保事项或违反系统安全策略, 如:缺少访问控制功能,缺乏故障诊断及报警功能, 能造成何种程度的危害。因此,需要梳理全机的功 缺乏对系统的正确使用能力等。 2.4评估机载网络的安保风险 能,特别是III级及以上的功能,尤显必要。 2.2确定威胁源和威胁状态 进行安保风险评估,需要先建立威胁场景,即由 威胁源、脆弱性、操作状态、导致的威胁状态、被攻击 目前,通用数据网络中存在的安保威胁主要有: 病毒、木马、后门、隐蔽通道、拒绝服务攻击、蠕虫、逻 辑、信息丢失、篡改、销毁等。此外,内部人员的 蓄意破坏和无意识的误操作等也会导致数据网络面 临安保威胁。这些威胁对电子设备可能会造成危害 可以归纳为:保密信息被获取,信息的完整性被破 坏,网络的可用性被破坏,网络运行的可控性被破坏 等。具体到机载设备,可能造成的危害有: (1)飞机的数据被非法获取。在此情况下,一些 信息,如飞行计划,航班信息,飞行数据或其他信息 等被非法窃取,这些对于民机来说,只是对航空公司 开放的数据被外界获取和利用,但是不会直接影响 飞机的飞行安全,因此只是机载设备安保的一个方 面,不是重点防护对象。 (2)机载设备存储数据的完整性被破坏。通过后 门或隐蔽通道等销毁或篡改机载设备上的存储数 据。例如,航电的飞管系统,数据的完整性被破坏可 能出现电子航图、性能数据库、地形数据等信息被破 坏的情况,而飞管中这些功能的失效、故障或误导, 直接影响到飞行的安全,因此该类破坏将是安保的 防护重点。 (3)机载数据网络的可用性和运行的可控性被 破坏。机载数据网络的可用性和运行的可控性被破 坏将导致机载网络的数据通信故障甚至瘫痪,可能 直接会影响动力系统、飞控系统、液压系统、起落架 系统、燃油系统、航电系统等系统之间的数据通信, 这带来的将可能是灾难级别的危害,因此这方面的 破坏是安保防护的重中之重。 针对以上目前公共网络中主要存在的威胁,确 定威胁来源以及构建威胁场景,以评估危害发生的 频率和对飞行安全的影响程度。 2.3安保架构设计与脆弱性分析考虑 根据被保护资产、网络架构和安保边界,以及防护 的威胁源等要素,建立安保目标和符合性矩阵,开发符 目标事件等组成。威胁发生的可能性与威胁对飞机 造成的影响程度可通过定量的方式来计算,采用的 算法模型如图1所示。 威胁识别 威胁发生的 :=,_ =:= 可能性 脆弱性识别 威胁的影响 图1威胁发生及危害评估算法模型示意图 威胁发生的可能性为 ,后果为y: 威胁发生的可能性X=、/威丽值 丽(1) 后果y=、/资产 礓 丽 (2) (1)威胁可能性分级。一个威胁场景的风险也与它 发生的可能性有很大关系。可能性等级如表1所列。 表1威胁可能性分级 等级可能性值 术语 定义 (2)威胁影响分级。威胁影响的分级依据威胁对 飞机安全的有害影响,有害影响的分级如表2所列。 表2威胁影晌分级 (3)风险评估。根据威胁发生的可能性和威胁发 159 Equipment Manufacturing Technology No.8,2015 生的影响严重等级,得到风险等级矩阵,通过风险值 不同的故障场景和失效状态,对安保架构注入故障, 计算方法,计算出风险值,依据风险矩阵,确定最终 从而分析各级别安保架构和系统的健壮性和脆弱 的风险等级,并得出采用的安保等级如表3所列。 性。总结验证结果,评估现行的网络架构是否满足预 表3风险矩阵 |l PV 可接受 不可接受1 不可接受2 不可接受3 不可接受4 可接受 可接受 可接受 可接受 不可接受1 不可接受2 不可接受3 可接受 可接受 可接受 不可接受1 不可接受2 可接受 可接受 不可接受1 可接受 PIV 可接受 PIII 可接受 PII P I 可接受 可接受 期的要求,建立脆弱性档案,以有利于进行安保架构 的优化和配置。 2.6机载网络安保的持续适航 由于信息安保是人和物的一个综合作用的系 统,所以需要人和物的相互配合,所以编制合理的用 户指南,指导用户正确操作十分必要。此外,安保工 如果计算出的风险值落在的“可接受”的表格 作不可能一劳永逸,所谓“道高一尺,魔高一丈”。因 内,可采用E级的防护措施;如果风险值落在“不可 此需要随着黑客的攻击能力变化与增长,定期升级 接受1”,则需要采用D级安保措施;如果风险值落 病毒库、防护手段、甚至专项工具等,不间断的进行 在“不可接受2”,则需要采用C级安保措施;如果风 持续适航。 险值落在“不可接受3”,则需要采用B级安保措施; 如果风险值落在“不可接受4”,则需要采用A级安 3结束语 保措施。 2.5机载网络安保的验证 由于信息技术的迅猛发展,其速度甚至是超出 建立安保验证实施计划和目标,包括安保验证 了一般人的预料。针对网络和数据的攻击数量与日 的对象、验证手段、评估方法等。由于在真实的机载 俱增,破坏程度不断增大,其技术手段也越发先进, 环境很少存在发生威胁的场景,机上难以模拟出全 之前的某些防护手段已经过时。因此,需要开发出更 部的威胁场景,因此在机上进行的MOC5和MOC6 高效、更安全、更合理的安保架构,采用以防为主,内 试验无法全面验证安保功能。所以,全面的、安全的、 外兼顾等多层防护架构。除了信息技术的硬件保护 符合要求的安保验证需要在试验室的环境中进行, 之外,制度、管理、规范和操作则是机载网络安保的 即要进行MOC4符合性验证。 另一个保证。 作为飞机制造商,网络安保的验证工作需要从 系统级开始验证,然后完成飞机级的全机安保验证, 参考文献: 设备级的安保验证为设备制造商的验证工作。在每 【1】鲜永菊.入侵检测【M】.西安:西安电子科技大学出版社, 2009. 一级别的验证中,结合分析源代码/安保等级,安保需 【2】牛少彰,江为强.网络的攻击与防范【M】.北京:北京邮电大 求,功能类型、公共错误、协议和接口等测试要素,以 学出版社,2006. 这些要素作为测试输入。仿真和模拟各类具有代表 【3]DO一326A,适航安保过程规范【s】. 性的威胁和攻击模式,作为激励源。另外,还要根据 【4]DO一356,适航安保方法与考虑【S】. Network Security Technology for Civil Aircraft Research SUN Zhi-qiang,CAO Quan—xin (COMAC,Shanghai Aircraft Design and Research Institute,Avionics Department,Shanghai 201210,China) Abstract:In this paper,reference DO一326A network security airworthiness process speciifcation,and research the design processes and methods which applicable to civil aircraft onboard network security.At first analyzed the logical boundary and asset sort,identified of threats source and threats condition.Secondly,analyzed the consideration in the security architecture development and vulnerability analysis,security risk assessment,security validation and continuing airworthiness and other design activities.Aircraft manufacturers and civil aircraft network security supplies could be used as a reference design and veriifcation.Finally,it was prospected the future development of the onboard network security. Key words:onboard network;network security;cyber threat;vulnerability 16O
