适用性
本手册适用于联网飞行器运营者,还可以用于传统飞行器的特定操作场景,例如加载飞行器组件软件数据、操作航空电子导航/通信系统等。
手册符合国际民航组织(ICAO)的《网络安全战略》及相关标准和建议措施(SARP),例如与附录17“安全”相关的文件以及标准4.9.1中的网络威胁措施,该标准规定,各缔约国应确保“国家民用航空安全方案或其他相关国家文件中指定的运营者或实体界用于民航目的的关键信息和通信技术系统和数据,并根据风险评估结果,酌情制定和实施相应防护措施,以免受到非法干扰。”
国际民航组织的这一标准与国际航空运输协会的IOSA标准手册(ISM)中的部分内容一致,具体为第14版(2020年12月修订,2021年9月生效)手册的修订后4.1.1节(安全部分)及“组织和管理系统”(ORG)部分3.1.6节中的“建议措施”。
《航空网络安全指导手册》第1部分介绍组织的网络安全,第2部分介绍飞行器的网络安全和风险管理。手册概述了运营者的职责,并就以下方面提出了建议:
• 组织的基本网络安全文化和状况;
• 航空生态系统、组织和相关要素概述;
• 飞行器在采购阶段和交付后的适航网络安全状况;
• 运营者的持续适航责任;
• 与飞行器长期存放/停泊有关的网络安全;
• 制定风险管理计划;进行定期风险评估以及应急管理和事件响应。
有关联网和传统飞行器类型的定义,请参见第1部分:组织文化与状况(1.2.1节和1.2.2节)。
飞行器适航网络状况
1.飞行器购置阶段的网络安全考虑因素
每个国家和地区都有飞行器产权/所有权转让的相关法律,不论飞行器是否在当地注册,是否需要所有权证明、销售清单或类似协议。因此,需遵循相应的程序确保有效性。要先检查飞行器,包括它的网络安全因素,然后将飞行器注册文件移交给新的所有人。
由于产权转让后运营者对飞行器的合规性负责,因此应在招标书(RFP)中明确原始设备制造商(OEM)/系统供应商、设计批准书持有人(DAH)及其下属机构应满足和/或负责的网络和信息安全需求。
RFP和服务水平协议(SLA)中应包含风险继承/接受和转移披露和缓解程序,明确负责人及其职责,说明合规措施,并提供合规证明。此外,OEM/系统供应商和DAH还应为运营者提供各种日志能力和报告机制,方便与风险管理框架(RMF)进行安全集成。运营者可参考ITIL(信息技术基础设施库)4和服务协议管理-APO09(COBIT 2019)中的标准为SLA流程提供支撑。
SLA应涵盖对发现的漏洞的披露、更新和/或修复路线图以及安全方面的异常、过程和相关风险情况。
2.交付时的网络安全状况
对于投入运行的新型联网飞行器,适航证书应涵盖可能影响安全的网络安全因素。最新版本的ED-202A/DO-326A(适航安保过程规范)和ED-203A8/DO-356A9(适航安保方法和注意事项)涵盖了对OEM/供应商和DAH的这些要求。ARINC 811(商用飞行器信息安全运行及流程概念框架)提供了机载网络和相关的信息安全运行及流程概念方面定义和建议。这些参考资料有助于运营者了解其继承或接受的风险状况,方便其整合或调整风险评估活动需求。
即使飞行器拥有有效适航证书,但由于网络安全要求五花八门且需要完全披露残留风险运营者会决定是接受还是转移这些风险。OEM和系统供应商应提供一份清单列明网络风险/漏洞和缓解或主动措施,说明如何评估和测试风险和安全性。新的所有者应深入了解所继承的风险,飞行器一旦交付,便要接受风险。
OEM/系统供应商和DAH提供的安全手册明确了运营者需要和必须执行的流程和程序,以维持安全状况并保持其适航证书的有效性。运营者会根据OEM/系统供应商和DAH的要求制定飞行器信息安全计划(AISP)/飞行器网络安全计划(ANSP),整合网络安全要求和义务。
有一点很重要,若提供的安全资料不够具体,则无法验证/测试和确认未来的多次修改和更新是否会暴露特定漏洞或改变潜在影响的严重性。为确保所有乘客和利益相关者的安全,需要进行明确的信息交流和协作。
3.持续适航和运营者的责任
即使运营者可通过法律合同和SLA将责任转移给他人,但仍承担证明安全相关的网络保障因素合规的最终责任。为了提供证据和保障,运营者、OEM/系统供应商和DAH需共同努力,确保飞行器相关的以下各项的网络安全:关键信息系统、底层数据网络和互联系统(包括地面支持设备(GSE)和地面支持信息系统(GSIS))、维护设备以及可能会产生安全影响的与飞行器相连的机载软件。
关于持续适航,运营者应参考最新版本的ED-204A/DO-355A(持续适航信息安全指南),该指南对DAH和运营者的责任进行了区分。ED-202A/DO-326A和ED-203A/DO-356A列明了适航相关设备的具体安全评估要求和相关流程。
《欧委会法规》748/2012的修正案明确了运营者在组织层面需遵循的条款,涉及可能带来安全影响的航空信息安全。还有一些EUROCAE ED/RTCA DO目前正在编写,近期将推出,为其他网络安全方面提供支持。
尽管ED和DO不是当局认可的唯一合规方法(MoC),但在制定所需流程时应考虑这些文件确保符合法规。这些文件还可用于比较论证和差距分析,并为申请预算实现相应的合规水平提供支持。
1)国家要求和建议
对于ICAO成员国,《芝加哥公约》中的ICAO附录17 – 安全中的标准4.9.1和建议措施4.9.2(或同等标准,因为附录17正在修订)是唯一的网络安全相关标准和建议措施(SARP)。还有一些文件(如第8973号文件《ICAO航空安保手册》中第18章(限制性使用)描述了如何保护关键信息和通信技术系统免受蓄意干扰,可用作指导手册。
为遵循ICAO标准,各成员国均制定了自己的条例。2020年6月,欧洲航空安全局(EASA)决定对其飞行器网络安全条例进行最新修订。此2020/006/R号ED决议(飞行器网络安全)和相关的拟议修正案通知2019-01涵盖设备、系统、网络的信息保护和信息系统安全相关的持续适航安全说明(ICA)。可接受的合规性方法(AMC)包括但不限于ED-202A/DO-326A、ED-203A/DO-356A和ED-204A/DO-355A。这些措施有望在2021年及以后实施。
其他合规资料包括ISO/IEC 27001系列标准、NIST网络安全框架(CSF)以及其他NIST特刊,对这些资料酌情修改后可采用。根据国家法规和要求,组织的现有框架也可能需要评估,确定是否足以支撑合规。
同时,国际航空运输协会(IATA)推出了第一套针对飞行器网络安全的措施,纳入了IATA运行安全审计IOSA计划,即ISM第14版。第一种建议措施纳入ORG(组织)节,第二种建议措施对SEC(安全)一节中的安全威胁管理现有标准进行了修改,涵盖了飞行器网络安全威胁。
IATA的参考文档《民航网络安全法规、标准、指南汇编》对现有资料进行了完整介绍,为法律文书和规定的编写以及合规提供了支持。
2)编写合规计划
运营者的组织应评估制定飞行器网络安全合规计划是否可行。合规计划旨在建立流程和程序以证明对法规和SARP的合规性,并纳入审计监督。经过分析后,向上级管理层上报合规情况和差距分析结果,确定合规偏差,提出合规行动计划路线图,以缩小差距和减少不合规问题。该计划通常由单点联系人(通常是高管人员)制定,为相关负责人提供必要途径使其获得支撑业务所需的资源、工具和预算。
根据该计划,运营者需证明其维持了预期的软件分发安全级别以及机载网络的安全性和完整性。为了提供全面的合规性说明并明确合规差距或偏差,合规性计划将参考运营者根据各种安全手册要求制定的内部AISP/ANSP以及OEM/系统供应商和DAH提供的其他安全资料。我们需要特别关注指导手册中的实施目标部分。
然后,运营者将合规计划与当前标准和要求进行交叉比对,避免内容遗漏,确保合规描述的完整性。定期对合规计划进行审核,确保达到所需的合规级别并处理不合规问题。
4.停泊飞行器相关的网络安全考虑因素
由于这是航空业首次遭遇此类健康危机,各OEM/系统供应商和DAH提供的安全手册并未介绍飞机停泊数月(有时是特殊环境)的细节。
以下是针对重启长时间停泊的飞行器的最新网络安全建议:
• 根据最新网络安全状态(疫情背景下),对飞行器运行和连接相关的关键信息/数据和通信技术系统进行风险评估,包括持续适航的网络安全;
• 与OEM一起验证关键系统列表,确保已集成日志,设置了新基线进行异常检测,并且更新通过完整性检查;
• 相关适航监督当局验证和分发软件补丁和更新或其他缓解措施和/或对策方面可能缺失的信息、指南或披露记录;
• 与供应链中涉及的实体/分包商沟通,对系统和流程进行修改和调整,确保已集成日志,设置了新基线进行异常检测,而且更新通过完整性检查;
• 对关键系统的所有软件进行日志审查、验证和归档,确保非法软件未安装或未连接至飞行器、不存在非法系统访问或飞行器停泊和存储期间未进行修改。若怀疑有非法行为,应采取维护行动,检查所连系统的完整性,必要时根据相关实体的指令进行恢复;
• 对所有维护设备、系统(如数据加载器)、媒体、所有软件和凭证系统执行上述步骤;
• 根据最新的风险评估进行OMP审查,由于新团队在维护或远程操作期间可能更改了某些设备的攻击面,若远程访问可能影响持续适航性,则应提起特别注意;
• 利用现有身份管理方案验证身份认证证书的有效期,利用公钥基础设施(PKI)或加密系统保证数据完整性和要求;
• 根据最新网络安全状态,对电子飞行包(EFB)和便携式多功能访问终端(PMAT)等移动设备进行更新和重新评估;
• 对飞行器维护团队和维护支持团队开展网络安全、检查清单和最佳实践方面的基本培训。
需说明的是,运营者应定期实施上述列表中的最后三条建议。
5.上报不合规问题
是否上报不合规问题由运营者根据属地自行决定;不过,需说明的是,运营者应向有关部门上报信息安全事件相关的不合规问题,且这些问题均应根据国家和/或地区的监管框架和要求进行验证。
例如,第2020/006/R号ED决议(更具体地说是AMC 20-42:适航信息安全风险评估)明确了信息安全事件上报规定。该决议指出,运营者应向OEM/系统供应商/DAH上报任何信息安全事件,进一步分析其影响,并采取必要措施解决问题。若影响分析结果显示出现不安全状况,OEM/系统供应商/DAH应及时向相关机构上报问题。
译者声明
小蜜蜂翻译组公益译文项目,旨在分享国外先进网络安全理念、规划、框架、技术标准与实践,将网络安全战略性文档翻译为中文,为网络安全从业人员提供参考,促进国内安全组织在相关方面的思考和交流。