王珍發(fā) 雷景波

當前，全球面臨著網(wǎng)絡(luò)安全的深刻影響，網(wǎng)絡(luò)攻擊行動日趨頻繁化和白熱化，聚焦竊密的同時，黑客對關(guān)鍵基礎(chǔ)設(shè)施的攻擊激增，意圖造成社會混亂和持久破壞[1]。作為現(xiàn)代社會重要的基礎(chǔ)設(shè)施，民航對信息化高度依賴，加上飛機航電系統(tǒng)的網(wǎng)絡(luò)化，導致民航領(lǐng)域的各類網(wǎng)絡(luò)系統(tǒng)面臨的網(wǎng)絡(luò)安全威脅與日俱增。適航維修數(shù)字化系統(tǒng)就是其中之一，值得各航空運營人加以重視解決，與此同時維護適航維修系統(tǒng)的網(wǎng)絡(luò)安全也是落實民航“十四五”期間加強網(wǎng)絡(luò)安全建設(shè)的航空安全體系完善規(guī)劃的重要組成部分。

1 維修系統(tǒng)面臨的網(wǎng)絡(luò)安全威脅

1.1民航網(wǎng)絡(luò)安全事故頻發(fā)

2018年，民航某地區(qū)管理局收到當?shù)鼐酵▓?，轄區(qū)內(nèi)一家中型航空公司的官網(wǎng)受到境外黑客的攻擊，大量用戶數(shù)據(jù)和航班數(shù)據(jù)被竊取。該事件導致全民航運行數(shù)據(jù)共享工作暫停，網(wǎng)絡(luò)安全嚴重影響了民航發(fā)展。

2021年3月，某經(jīng)營業(yè)績出眾的中型航空公司，參加其控股航空集團的網(wǎng)絡(luò)安全演練，攻擊隊通過釣魚財務(wù)系統(tǒng)一名員工，登錄了財務(wù)系統(tǒng)，利用瀏覽器緩存的賬戶密碼，修改了信息系統(tǒng)管理員的手機號，進而修改了該系統(tǒng)管理員的登錄密碼，并控制了包括航班運行、商旅銷售、經(jīng)營管理等大量系統(tǒng)，直接導致該航空公司“休克”。試想如果一旦發(fā)生數(shù)據(jù)泄露，集團將面臨歐盟數(shù)以億計歐元的巨額罰款。因此，不得不說網(wǎng)絡(luò)安全嚴重威脅航空實體的發(fā)展生存。

1.2適航維修數(shù)字化系統(tǒng)

適航維修，是指按照局方適航管理的要求和批準，保持航空器持續(xù)適航狀態(tài)的維修或改裝工作。飛行器適航維修數(shù)字化系統(tǒng)是提升適航管理和維修工作的效率效能的信息系統(tǒng)。廣義的適航維修數(shù)字化系統(tǒng)包含局方的適航監(jiān)管系統(tǒng)，如飛行標準監(jiān)督管理系統(tǒng)（FSOP）和監(jiān)管執(zhí)法信息系統(tǒng)（SES），以及許可證持有人的維修管理系統(tǒng)；而狹義的適航維修數(shù)字化系統(tǒng)僅包括后者。本文取狹義概念，簡稱飛機維修系統(tǒng)。

圖1為航空公司典型的網(wǎng)絡(luò)拓撲圖。如圖顯示，機載設(shè)備管理作為飛機維修數(shù)字化系統(tǒng)的一部分，可能直接對接飛機的航電系統(tǒng)，和飛機設(shè)備有直接連接。因此，一旦犯罪分子侵入，會造成飛行操縱和應(yīng)對失誤，導致難以想象的嚴重后果，不但經(jīng)濟損失巨大，更會帶來慘重的人員傷亡和極為負面的國際影響。2020年安全演練中，某大型航企的維修系統(tǒng)的工具子系統(tǒng)存在漏洞，攻擊隊通過WIFI連接以此為跳板幾乎打穿了內(nèi)網(wǎng)。

1.3飛機航電設(shè)備系統(tǒng)

隨著航空器機載電子系統(tǒng)及控制系統(tǒng)的數(shù)據(jù)吞吐率和可靠性的不斷提升，民航飛機的傳輸總線經(jīng)過多次的升級和演進，從早期的點對點單向廣播通信（如ARINC429 總線、RS485 總線、CSDB總線等），經(jīng)過共享總線的雙向傳輸實時通信（如ARINC629 總線、CAN 總線、LTPB 總線、MIL1553B 總線等），發(fā)展到具有良好的擴展性可靈活配置的雙向通信網(wǎng)絡(luò)（如AFDX 總線、令牌環(huán)網(wǎng)、航空以太網(wǎng)絡(luò)、TTP總線、TTE總線等）[2]。隨著機載通信總線及網(wǎng)絡(luò)的吞吐量和靈活性的提高，外界接入飛機網(wǎng)絡(luò)更加便利，也給黑客對航電設(shè)備的攻擊提供了可能[3]。2019年，一名英國教授發(fā)現(xiàn)了英國航空IFE機載娛樂系統(tǒng)的緩存溢出漏洞（CVE-2019-9109），之后用USB鼠標將長字符串輸入到機上聊天程序，導致整個飛機娛樂系統(tǒng)的崩潰。同年7月，DHS/CISA提醒：通過機載CAN總線，可改變飛機的狀態(tài)信息，如高度空速和發(fā)動機轉(zhuǎn)速。從圖2所示的空客A350飛機航電系統(tǒng)結(jié)構(gòu)中可以看出，機上設(shè)備的網(wǎng)絡(luò)化運作，使得該安全警告真實可信。

2 維修系統(tǒng)網(wǎng)絡(luò)安全分析

據(jù)研究報告顯示，2020年全年大中型政企機構(gòu)安全事件攻擊類型排名前三的分別是：惡意程序（54.5%）、漏洞利用（27.7%）、釣魚郵件（4.8%），弱口令、永恒之藍漏洞仍是大中型政企機構(gòu)被攻陷的重要原因。在民航各數(shù)字化系統(tǒng)中，由于系統(tǒng)存在的軟硬件漏洞，缺乏自主可控的安全架構(gòu)，單位內(nèi)部用戶郵箱被釣魚郵件入侵或訪問病毒網(wǎng)站，會導致木馬程序在內(nèi)網(wǎng)運行蔓延，加上黑客的惡意攻擊，網(wǎng)絡(luò)安全往往造成嚴重后果。

2.1系統(tǒng)漏洞

軟硬件漏洞是網(wǎng)絡(luò)安全問題的根本原因。2021年，某大型航空企業(yè)集團聘請外部安全團隊對公司的軟件系統(tǒng)進行測試，在近2000個IT系統(tǒng)中，發(fā)現(xiàn)接近200個系統(tǒng)有嚴重漏洞。這充分表明，民航數(shù)字化系統(tǒng)漏洞相當普遍。究其原因，民航系統(tǒng)搭建中，用到了多種數(shù)據(jù)庫、軟件架構(gòu)；眾多單位的參與，引入了不計其數(shù)的中間件和外包軟件；后期維護工作執(zhí)行不到位，導致多種安全漏洞的存在。其中最致命的各種“0Day”漏洞，會直接導致系統(tǒng)癱瘓。

2.2缺乏架構(gòu)

沒有自主的系統(tǒng)邏輯架構(gòu)是問題發(fā)生的重要原因。民航是信息化建設(shè)的應(yīng)用方，自主研究較弱，且常因預算不足等原因選擇不嚴謹?shù)募軜?gòu)，加之內(nèi)外網(wǎng)混用嚴重。網(wǎng)絡(luò)安全基本上只能采用按照外包公司的邏輯架構(gòu)，有些小型信息系統(tǒng)甚至沒有架構(gòu)，純粹是拼湊的數(shù)字化系統(tǒng)。對于安全級別要求較高的通信導航和維修管理系統(tǒng)，通常采用專網(wǎng)或內(nèi)網(wǎng)的環(huán)境，但是自身架構(gòu)不穩(wěn)導致一旦被近源攻擊或橫向打穿，整個系統(tǒng)的弱點暴露無遺，黑客幾乎可以為所欲為。

2.3木馬病毒

木馬病毒是網(wǎng)絡(luò)安全問題發(fā)生的直接原因。2021年，某民航單位普通用戶點擊了微信釣魚鏈接，木馬病毒的運行使得辦公電腦成為“超級肉雞”，攻擊隊幾乎擊穿了防守嚴密的核心系統(tǒng)。木馬病毒一般隱藏在郵件或社交消息中，用戶打開激活導致電腦中毒，引發(fā)導致網(wǎng)絡(luò)癱瘓等問題。由于網(wǎng)絡(luò)安全管理不完善、員工網(wǎng)絡(luò)安全意識淡薄、處置能力不足，不安全的用戶行為導致木馬病毒在部分民航單位的內(nèi)網(wǎng)中橫行。當前最危險的當屬“永恒之藍”為代表的敲詐勒索病毒。

3 維修系統(tǒng)網(wǎng)絡(luò)安全加強措施

3.1提升網(wǎng)絡(luò)安全管理

2020年網(wǎng)絡(luò)攻擊來源分析顯示，大部分網(wǎng)絡(luò)安全攻擊起始點均為內(nèi)網(wǎng)用戶。因此，加強網(wǎng)絡(luò)安全管理能起到非常有效的阻斷效果。由圖3大型航空集團網(wǎng)絡(luò)安全邏輯架構(gòu)圖可以看出，對適航維修系統(tǒng)進行安全加固，是現(xiàn)階段促進飛機航電系統(tǒng)安全的必經(jīng)之路。必須提高維修體系員工的網(wǎng)絡(luò)安全意識，樹立全員理解、支持和參與網(wǎng)絡(luò)安全的習慣；注意防范釣魚郵件、嚴禁點擊不明鏈接、規(guī)范使用移動存儲設(shè)備、按照規(guī)章要求在工作計算機上僅安裝使用必須軟件、使用強密碼，加強維修區(qū)域的人員管理；嚴格限制信息系統(tǒng)管理人員的操作權(quán)限；對于有IT管理部門的適航維修單位，必須將網(wǎng)絡(luò)安全管理列入企業(yè)運行安全管理的工作內(nèi)容，制定網(wǎng)絡(luò)安全管理制度、組建并加強網(wǎng)絡(luò)安全管理隊伍、確保網(wǎng)絡(luò)安全管理預算全面到位、明確網(wǎng)絡(luò)安全的分工職責，加強網(wǎng)絡(luò)安全應(yīng)急預案的實施、點評、改進[4]；對于未設(shè)立IT管理部門的維修單位，要按照單位統(tǒng)一的網(wǎng)絡(luò)安全制度，嚴格落實，確保各項措施到位。

3.2加強網(wǎng)絡(luò)安全技術(shù)應(yīng)用

網(wǎng)絡(luò)安全預防節(jié)點前移。在技術(shù)上，首先要推動安全算法尤其是加密算法的研究和應(yīng)用，逐步升級自行開發(fā)的維修系統(tǒng)的數(shù)據(jù)傳遞中的加密解密；研究并應(yīng)用自主單向散列函數(shù)（MD5 加密），對敏感數(shù)據(jù)進行對稱加密；重點研究高級加密標準（AES，Advanced Encryption Standard）的應(yīng)用推廣；協(xié)同公司IT管理部門，研究適航維修系統(tǒng)的數(shù)字簽名算法（DSA，Digital Signature Algorithm）。其次，要落地行之有效的網(wǎng)絡(luò)安全方案，包括但不限于縮小內(nèi)網(wǎng)系統(tǒng)的互聯(lián)網(wǎng)暴露面、實施基于區(qū)塊鏈的零信任接入方案、構(gòu)建關(guān)鍵數(shù)據(jù)的多維縱深防御體系、加強入侵檢測和阻止等。以圖4 為例，這是一種比較科學可行的攻防模型[5]，作為防守方，民航適航體系應(yīng)在防守的七個環(huán)節(jié)上認真部署。研究表明，對系統(tǒng)核心防守有效和可靠的方式是進行基于自主算法的加密信號傳輸和數(shù)據(jù)存儲的部署。

3.3加強基礎(chǔ)框架建設(shè)

網(wǎng)絡(luò)安全嚴重依賴于框架安全。對國內(nèi)絕大多數(shù)維修單位來說，適航維修系統(tǒng)是整個公司局域網(wǎng)的一部分，網(wǎng)絡(luò)防護能力建設(shè)也是整體網(wǎng)絡(luò)安全能力的一環(huán)。由于適航維修系統(tǒng)和外界交互有限，而且可能和飛機數(shù)字化系統(tǒng)直接交互，因此更加有必要進行隔離?？紤]到成本限制，且需要同步資產(chǎn)和技術(shù)的更新，因此具體的做法：一是使用邏輯隔離的方式，將適航系統(tǒng)保護起來，并且針對每個適航維修的小系統(tǒng)，都激活單獨的隔離策略；二是盡量不使用集中管理系統(tǒng)如域控等，如果在規(guī)模上必須使用域控，則使用多個域控，進行相互獨立的管理和維護；三是在登錄端，使用密碼、物理證書和手機號進行多因子驗證，對于有條件的系統(tǒng)或單位，跟登錄相關(guān)的手機號管理系統(tǒng)可以采用基于區(qū)塊鏈的防串改手機信息管理系統(tǒng)，以進一步確保安全性。

3.4融合信創(chuàng)安全產(chǎn)品

目前，國產(chǎn)信創(chuàng)安全產(chǎn)品在軟硬件支持上，基本實現(xiàn)了對主流國產(chǎn)CPU和操作系統(tǒng)的支持，如龍芯CPU、銀河麒麟等操作系統(tǒng)，建立了廣泛的生態(tài)互認，基本實現(xiàn)了對支持主流網(wǎng)絡(luò)通訊協(xié)議中的數(shù)據(jù)內(nèi)容的識別，能夠識別HTTP協(xié)議、FTP協(xié)議、SMTP協(xié)議、文件共享類協(xié)議、IM類協(xié)議、HTTPS協(xié)議中傳輸?shù)臄?shù)據(jù)，能夠兼容國產(chǎn)應(yīng)用如WPS等，其策略具備了一定的智能能力，可對樣本數(shù)據(jù)進行基于自然語言處理的分類算法訓練，自動歸納、制定出數(shù)據(jù)分類策略并進行驗證，確保策略的準確性和易用性。上述安全產(chǎn)品的能力涵蓋并提升了OIE體系的安全產(chǎn)品，可在適航維修系統(tǒng)加強推廣，有助于打造民航自主技術(shù)體系，構(gòu)建中國民航方案，提升民航話語權(quán)。

參考文獻

[1]王世偉.論信息安全、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)空間安全[J].中國圖書館學報，2015（ 2） ： 72-84.

[2]王哲元，顧呈.聚焦民用飛機航電發(fā)展趨勢 [N]. 中國航空報.2014 -8-28.

[3]曹全新，楊融，孫志強，李偉杰.民用飛機網(wǎng)絡(luò)安全問題與策略探究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（12）：150-151，153.

[4]張西武，顧兆軍，周景賢.民用航空行業(yè)網(wǎng)絡(luò)安全監(jiān)管體系建設(shè)研究[J]. 民航學報，2019-5.

[5]平國樓，葉曉俊.網(wǎng)絡(luò)攻擊模型研究綜述 [J] .信息安全研究，2020（12）.