第3章 飞行器网络安全要素概述
3.1 航空生态系统要素
民航生态系统涉及利益相关各方的密切协作,他们的系统高度互联,需要妥善保护。飞行器的安全运行以及更为个性化的航空运输体验取决于多个要素,这些要素同时也在提升航空业运营效率和收入方面发挥着关键作用。
下面首先介绍航空业的各个利益相关者或实体,以便深入了解整个航空生态系统的复杂性及其相关要素(如上图所示)。接下来,会着重介绍航空公司的组织和相关要素;最后,会介绍飞行器及其相关要素,这也是本章重点内容。
参考EUROCAE ED-201《航空信息系统安全框架指南》中的航空利益相关者框架,利益相关者包括但不限于如下各类人员或实体:
制造商,如原始设备制造商(OEM)、系统供应商以及飞行器、系统和飞行器中集成设备的设计批准书持有人(DAH);
• 运营者:航空公司、机场、航空导航服务提供商(ANSP);
• 飞行器、系统、网络等的维护和修理供应商;
• 监管和治理实体:立法者、监管者、审计师等;
• 标准化实体:负责制定标准的机构;
• 乘客。
航空生态系统中存在着不同的利益相关者,各方均代表不同的角色、目标、动机、优势或能力,在航空网络安全方面都发挥着至关重要的作用,尤其是利益相关者之间存在大量数据交换的情况下。
航空生态系统、互联系统和数据流的复杂性如下图所示。
需要强调的是,多个利益相关者,特别是产品供应商和服务提供商,与飞行器和航空业构成了复杂的关系,为划分责任、确认责任方及对应领域带来了挑战。明确并了解自己的责任所在,清晰界定安全和保障责任,这点很重要。
有关飞行器生命周期不同阶段的责任,参见本指导手册第2部分第2章。
3.2 组织及相关要素
运营者在其运营活动中,需与整个航空生态系统中的多个利益相关者和合作方进行互动。因此,航空公司在日常运营时会越来越多地利用自动化来提升可靠性、准确性和效率,同时加强与第三方/供应链、通信和网络的互动。这不仅指航班运营,还包括负责维修、地面操作、机场运营以及货运的业务单位。此外,许多民航利益相关者/供应链、制造商和系统供应商向航空公司提供网络安全方面的服务或支持。下图显示了航空公司组织以及常与运营者互动的利益相关者群体。
下表列出了运营者负责的部分航空公司业务系统和飞行器操作系统。需要强调的是,由不同的利益相关者提供的各个系统,由不同的参与者/个人(组织内外部)负责,受服务水平协议(SLA)约束。有关SLA的更多信息和建议,参见ED-201:航空信息系统安全(AISS)框架指南。因此,由于复杂性,需要建立/落实稳健的程序、沟通机制,明确界定责任。
3.3 飞行器及相关要素
飞行器已经高度数字化,包含大量系统,因此,保护这些系统的安全需要多方利益相关者参与。近年来,电子内容(系统和网络)发展迅速,形成了非常复杂的连接图。飞行器联网后,大大方便了维修和健康监测,同时提升了运营成本效益和乘客体验。然而,在数字化过程中,机载系统可能存在漏洞,因此带来相关风险。
OEM/系统供应商/DAH为运营者提供了新的解决方案,以满足业界对飞行器设计、高效发动机、乘客体验和计算能力方面的不同需求。因此,飞行器在设计和制造上采用了集成软件和联网航空电子设备,分布于不同域,具有不同的可信度。
国际民航组织(ICAO)与其他行业利益相关者共同定义了三大域,具体如下:
• 飞行器控制域(ACD)
• 飞行器/航空公司信息服务域(AISD);以及
• 乘客信息娱乐系统域(PIESD)。
飞行器控制域(ACD)的主要功能是保证飞行器的安全运行。ACD的安全数据传输也有助于更准确地跟踪和管理飞行器。该域须符合国际航空安全的最高标准。由于它的重要性,需要始终保障数据交换。应该注意的是,ACD由多种系统组成,包括驾驶舱控制系统、环境系统以及如烟雾探测器、门和撤离滑梯等装置。
飞行器/航空公司信息服务域(AISD)包含提供非关键服务的系统,主要功能是保证其他域之间的连接。AISD中的系统对飞行器的运营起着关键的作用,但与飞行器的控制无关。航空公司使用此域来支持客舱或机组人员的应用程序和内容。这些系统不算是关键系统,但从商业和运营的角度来看具有一定的重要性。AISD为驾驶舱、机舱提供运行和管理数据,与维修服务相连接,为PIESD域提供支持。
乘客信息娱乐系统域(PIESD)主要为乘客提供服务或支持,如机上娱乐、互联网连接等。具体提供的服务在很大程度上取决于航空公司想为乘客提供什么水平的服务/娱乐(机上娱乐、旅客航班信息、内网访问等)。
此外,飞行器系统和机载网络与ARINC-664标准中定义的域结合,为后者提供服务,满足同样的性能、安全和保障要求。ARINC664P1-2和ARINC664P5划分了四个不同的域。前三个与前面提到的相同,但是多了第四个域,即乘客自带设备域(PODD),涵盖乘客登机后可与机上娱乐服务连接的所有设备。
为确保合理的安全和保障水平,各域被物理隔离或逻辑隔离。因此,ACD中的飞行器控制系统与其他域是隔离开的。下图显示了具有封闭、可信和不可信特征的域,以及三个域的系统和相关要素。
从功能体系架构的角度来看,PIESD是不可信域,假定已被入侵,因此它的完整性最低。该域信息不会共享到信任级别更高的域,因为可信域中只能存在预期的数据或信息。AISD和ACD都是可信域,ACD是飞行器系统中完整性最高的系统。这两个域不信任完整性较低的域,这是飞行器架构的安全基础。不同域之间进行隔离,为通信系统的使用增加了一些特定限制,例如:
连接到ACD域的无线电通信设备仅限于ACD中的系统(例如空中交通管制、航空公司运营通信等);
• 连接到其他域的无线电通信设备仅限于这些域中的系统(例如航空公司运营通信、航空公司行政通信、航空乘客通信等)。
随着飞行器数字化的普及,出现了一些对飞行器运行非常重要的系统、网络和设备。它们的好处固不必说,但也带来了一些潜在问题,我们在考虑飞行器及其互联生态系统的安全时不能忽视这些问题。
• 飞行器通信系统:使用甚高频(VHF)或卫星通信等链路的数字空对地通信系统。
• 飞行器-地面链路:新兴的卫星空地通信系统等。
• 飞行器维护:现在,飞行器的维护大多依靠技术,能够直接向维护团队传输数据。这一过程对于飞行器和飞行器部件的持续适航至关重要。因此,为了飞行安全,确保相关系统和设备的安全非常重要。
• 飞行器健康监测(AHM):OEM/系统供应商提供连接技术,支持运营者进行AHM,以便尽早解决问题,提高维护精确度。
• 电子飞行包(EFB):用于存储和显示各种航空数据的便携式设备,属于计算平台,可以减少/替换机组在飞行期间使用的纸质信息和文件(航行图、地图、工程信息)。
• 不可信服务/网络:连接到不可信服务和网络的飞行器系统,包括机场大门链路网络(如GateLink)、蜂窝网络和便携式电子设备。
• 机上娱乐(IFE):客舱通信和连接,加上无线覆盖,提供机上娱乐和更好的乘客体验。
关于上述部件在各域中的位置,参见图3.3(2)。
译者声明
小蜜蜂翻译组公益译文项目,旨在分享国外先进网络安全理念、规划、框架、技术标准与实践,将网络安全战略性文档翻译为中文,为网络安全从业人员提供参考,促进国内安全组织在相关方面的思考和交流。