張 波，陳 軍

（1.中電科航空電子有限公司，四川 成都 611731；2.中國電子科技網(wǎng)絡(luò)信息安全有限公司，四川 成都 610041）

0 引言

RTCA DO-356A 是一部關(guān)于適航安全流程的方法和指南標(biāo)準(zhǔn)體系文件，其定義范圍為航空信息系統(tǒng)安全（Aeronautic Imfomation Systems Security，AISS），包括機(jī)載系統(tǒng)、地面信息系統(tǒng)和環(huán)境的航空系統(tǒng)適航安全規(guī)范，同時(shí)提供飛機(jī)級和系統(tǒng)級認(rèn)證相關(guān)標(biāo)準(zhǔn)體系闡述、安保適航流程方法和指引。其中，適航安全通過安全規(guī)范和方法阻止對信息系統(tǒng)的非授權(quán)訪問，明確了適航安全管理規(guī)定，同時(shí)區(qū)分了航空安全和適航安全，明確了物理威脅屬于航空安全，信息系統(tǒng)威脅屬于適航安全[1]。

1 局方適航考慮

1.1 IUEI

故意未經(jīng)授權(quán)的電子交互（Intentional Unauthorized Electronic Interaction，IUEI）指人物活動(dòng)導(dǎo)致系統(tǒng)非授權(quán)接入、使用、暴露、拒登、破壞以及修改飛機(jī)級系統(tǒng)接口等破壞性后果，包括由惡意軟件、假冒數(shù)據(jù)和外部系統(tǒng)帶來的破壞性后果，但不包括外部物理攻擊和電磁干擾。其中：Intentional 明確了事件來自于人的有意識(shí)的活動(dòng)；Unauthorized 明確了事件是沒有經(jīng)過系統(tǒng)的功能和操作策略的定義和準(zhǔn)許；Electronic 區(qū)分了物理攻擊，指來自數(shù)字攻擊；Interaction 明確了事件來自于攻擊者對系統(tǒng)的行為。

1.2 設(shè)備保護(hù)的范圍

從安全危害等級的角度出發(fā)，討論應(yīng)該保護(hù)哪些邏輯或物理資源免受IUEI 干擾。

設(shè)備危害性評估應(yīng)考慮型號(hào)合格證（Type Certification，TC）和補(bǔ)充型號(hào)合格證（Supplemental Type Certification，STC），同時(shí)應(yīng)考慮其所接入外圍設(shè)備帶來的適航安全影響。即使IUEI 帶來低安全危害等級的系統(tǒng)風(fēng)險(xiǎn)，也會(huì)引起適航局方的關(guān)注。局方要求型號(hào)設(shè)計(jì)和系統(tǒng)修改、兼容性設(shè)計(jì)不能影響飛機(jī)適航安全。

在每次對型號(hào)認(rèn)證基礎(chǔ)進(jìn)行修改前，申請人應(yīng)確定該修改與先前的任何修改和技術(shù)改變之間的相互關(guān)系不會(huì)對產(chǎn)品的安全性和適航性產(chǎn)生不利影響。

如果通過分析修改可以確定該改變不影響任何現(xiàn)有系統(tǒng)或接口，則可對型號(hào)設(shè)計(jì)的改變分類范圍限于修改、移除或新安裝的組件，否則需要考慮對接口系統(tǒng)的影響。此外，對型號(hào)設(shè)計(jì)改變的分類也需要考慮接口系統(tǒng)。

1.3 持續(xù)性適航ICA

（1）主機(jī)廠商必須滿足持續(xù)適航的要求，滿足持續(xù)性操作安全（Continued Operational Safety，COS）要求。

（2）實(shí)時(shí)安全通知應(yīng)包括脆弱報(bào)告、威脅情報(bào)和影響持續(xù)適航安全保護(hù)的安全環(huán)境改變。

1.4 風(fēng)險(xiǎn)接受度

風(fēng)險(xiǎn)接受度是風(fēng)險(xiǎn)管理的關(guān)鍵元素，評估包含威脅嚴(yán)重度（災(zāi)害程度）和威脅等級（可能性）兩個(gè)維度。

風(fēng)險(xiǎn)評估評估飛機(jī)在生命周期的某一時(shí)間點(diǎn)的風(fēng)險(xiǎn)狀態(tài)，但不包含未來風(fēng)險(xiǎn)的發(fā)展?fàn)顩r，因此需要與適航局方保持溝通，根據(jù)RTCA DO-355[2]持續(xù)適航標(biāo)準(zhǔn)執(zhí)行。

表1 風(fēng)險(xiǎn)接受度評估

1.5 COTS 產(chǎn)品適航要求

商用貨架產(chǎn)品必須滿足適航安全要求。已有認(rèn)證產(chǎn)品未滿足應(yīng)用系統(tǒng)適航安全需求應(yīng)當(dāng)作為一種改動(dòng)影響重新評估。

已認(rèn)證貨架產(chǎn)品，需滿足應(yīng)用系統(tǒng)安全要求，可以做為適航安全認(rèn)證部分；其他部分應(yīng)當(dāng)作為一種系統(tǒng)修改重新評估適航安全；商用硬件產(chǎn)品則必須滿足適航安全通用要求。

無安全數(shù)據(jù)的產(chǎn)品，申請人可以選擇使用沒有開發(fā)保證水平數(shù)據(jù)的軟件或硬件，但其必須滿足安全風(fēng)險(xiǎn)評估流程要求。

2 風(fēng)險(xiǎn)評估

2.1 安全范圍

飛機(jī)級或系統(tǒng)級的安全范圍，包含安全設(shè)備、安全邊界和安全環(huán)境3 個(gè)部分。安全范圍的定義包含3 個(gè)步驟：第1 步從分析和設(shè)備鑒別的組成要素出發(fā)來描述安全范圍；第2 步詳述飛機(jī)系統(tǒng)設(shè)備的安全邊界；第3 步從設(shè)備鑒定過程中所有相關(guān)鑒定的假定和元素出發(fā)來描述安全環(huán)境，如圖1 所示。

圖1 安全范圍

2.1.1 安全范圍

本章節(jié)討論飛機(jī)級、系統(tǒng)級和設(shè)備級的安全范圍。根據(jù)《飛機(jī)適航安全流程規(guī)范》（RTCA DO-326）[3]，飛機(jī)適航相關(guān)設(shè)備物理和邏輯設(shè)備包括功能、系統(tǒng)、項(xiàng)目、數(shù)據(jù)、接口、流程和信息。

2.1.2 安全邊界

根據(jù)安全邊界的分類定義，將飛機(jī)級或系統(tǒng)級與外部系統(tǒng)或個(gè)人有接口的部分定位為安全邊界。其中：物理接口包括USB、KeyBoard 等；無線接口為80211.3G/4G/5G；網(wǎng)絡(luò)協(xié)議為IP、ICMP、ARINC664p7 以及ARINC429；輔助性接口包括為機(jī)組和客艙提供的飛機(jī)接口、為乘客提供的接口以及為維保提供的接口等；區(qū)域加載軟件包括航空數(shù)據(jù)庫、飛管軟件、用戶可修改軟件以及航線支持?jǐn)?shù)據(jù)。

2.1.3 安全環(huán)境

根據(jù)安全環(huán)境的描述和要求，將安全邊界外的個(gè)人、組織和與飛機(jī)設(shè)備交互的外部系統(tǒng)定義為安全環(huán)境。外部系統(tǒng)接口包括有線接口（連接EFB、PED、GSE、地面支持維修測試設(shè)備的USB、串口、以太網(wǎng)網(wǎng)口和JTAG 口）、無線接口（HF、UHF、VHF、Wi-Fi、Bluetooth、SATCOM、GSM、ZigBee）、數(shù)據(jù)輸入設(shè)備（鍵盤、觸屏、顯示器）以及機(jī)械設(shè)備（控制設(shè)備的開關(guān)、按鈕）等。另外，適航安全流程包括外部安全環(huán)境的改變帶來的影響。

2.2 風(fēng)險(xiǎn)評估分類

2.2.1 威脅危害性評估

威脅危害性分為災(zāi)難級、危害級、重大影響、次要影響和無影響5 個(gè)等級。

2.2.2 威脅場景識(shí)別

威脅場景的結(jié)構(gòu)包含多重元素。

（1）攻擊源：攻擊者（人或機(jī)器）、攻擊向量；

（2）攻擊路徑：接口、路徑或行動(dòng)到達(dá)攻擊目標(biāo)；

（3）安全措施：減少或阻止攻擊行為；

（4）威脅條件：被威脅場景觸發(fā)的威脅條件。

多種威脅場景包含不同的攻擊路徑，且可以形成相同的威脅條件，如圖2 所示。

圖2 威脅場景

2.2.3 安全措施描述

在風(fēng)險(xiǎn)評估和安全 開發(fā)活動(dòng)中安全措施的要求如下：

（1）在安全措施中已知的系統(tǒng)脆弱性；

（2）在威脅場景下，安全措施對安全風(fēng)險(xiǎn)可接受度的影響；

（3）安全措施具備足夠的接口和功能要求，減少攻擊路徑且不帶來新的不可接受的威脅場景。

安全措施必須具備獨(dú)立性、多樣性和隔離性3要素。獨(dú)立性是指保證安全措施無其他輸入和支持的情況下具備完整安全功能的能力。多樣性是指安全措施與安全措施之間具備差異性。整體來看，具備多樣性是在不同攻擊面前體現(xiàn)不同的安全效能。隔離性是指安全措施之間具備物理或邏輯上的邊界，防止安全措施相互影響導(dǎo)致的失效。

2.2.4 威脅水平的評估

威脅水平的評估必須從多角度、有效性和可能性3 個(gè)方面評估，是安全風(fēng)險(xiǎn)評估的一部分。威脅評估的3 個(gè)標(biāo)準(zhǔn)如下。

（1）保護(hù)角度的標(biāo)準(zhǔn)。從提供保護(hù)措施和安全架構(gòu)防止攻擊出發(fā)，通過技術(shù)和安全措施減少安全邊界內(nèi)的威脅。

（2）減少暴露角度的標(biāo)準(zhǔn)。從安全環(huán)境角度出發(fā)，影響攻擊者的攻擊能力，同時(shí)減少系統(tǒng)暴露的風(fēng)險(xiǎn)。

（3）攻擊企圖角度的標(biāo)準(zhǔn)。從攻擊的角度限制攻擊和從攻擊者攻擊能力方面提升產(chǎn)品安全性。如圖3 所示。首先，識(shí)別和評估威脅條件，包括對資產(chǎn)的識(shí)別、對威脅的識(shí)別和對脆弱性的識(shí)別。結(jié)合已有安全措施評估風(fēng)險(xiǎn)，根據(jù)風(fēng)險(xiǎn)評估結(jié)果評估風(fēng)險(xiǎn)是否可接受。如果不可接受，則必須制定風(fēng)險(xiǎn)處理計(jì)劃并實(shí)施，并繼續(xù)迭代進(jìn)行殘余風(fēng)險(xiǎn)評估，最后實(shí)施風(fēng)險(xiǎn)管理。

圖3 威脅水平評估流程

3 安全保證

定義完整的安全風(fēng)險(xiǎn)管理要求和飛機(jī)開發(fā)項(xiàng)目中的安全要求。

3.1 特定的安全保證

3.1.1 安全風(fēng)險(xiǎn)評估對象

安全風(fēng)險(xiǎn)評估過程的目的是根據(jù)安全風(fēng)險(xiǎn)計(jì)劃中定義的方法識(shí)別不可接受的安全風(fēng)險(xiǎn)，并明確安全性方法的要求，以減輕風(fēng)險(xiǎn)。在生命周期的開發(fā)階段，安全風(fēng)險(xiǎn)評估過程預(yù)計(jì)是連續(xù)的、迭代的和閉環(huán)的。

3.1.2 脆弱性識(shí)別

脆弱性識(shí)別為產(chǎn)品（COTS 產(chǎn)品）應(yīng)用在開發(fā)風(fēng)險(xiǎn)方面提供可信度。

3.1.3 安全辯證分析

安全辯證分析是為了識(shí)別新的脆弱性問題；辯證測試評估脆弱性在安全環(huán)境中暴露的風(fēng)險(xiǎn)；辯證測試計(jì)劃包含滲透測試、代碼動(dòng)態(tài)靜態(tài)分析以及測試執(zhí)行和結(jié)果分析。

3.1.4 安全部署

安全部署的對象包括安全指引和安全操作。安全指引用來確保飛機(jī)和系統(tǒng)的部署操作與操作要求一致。安全操作確保對飛機(jī)和系統(tǒng)的安全操作和維護(hù)滿足操作要求。

3.1.5 持續(xù)性安全有效

確保安全措施持續(xù)有效，滿足持續(xù)適航要求，包含脆弱性和持續(xù)性監(jiān)控、安全事件管理、環(huán)境變化管理以及風(fēng)險(xiǎn)持續(xù)性評估。

3.2 安全開發(fā)保證

安全開發(fā)保證確保每一個(gè)安全措施的應(yīng)用和安全措施在惡意攻擊路徑下安全有效。

3.2.1 安全開發(fā)保證

根據(jù)風(fēng)險(xiǎn)評估結(jié)果定義安全措施安全功能；根據(jù)安全要求開發(fā)設(shè)計(jì)安全架構(gòu)；從安全功能性和健壯性兩個(gè)方面來驗(yàn)證安全性。安全計(jì)劃流程用來滿足安全要求和提供措施可信度。

3.2.2 安全配置管理

安全配置管理為飛機(jī)開發(fā)進(jìn)程提供穩(wěn)定和可控的開發(fā)環(huán)境。

3.3 風(fēng)險(xiǎn)保證水平

安全保證水平（Security Assurance Level，SAL）描述了飛機(jī)級和系統(tǒng)級在抗攻擊方面的保護(hù)性強(qiáng)度。

（1）安全性方法旨在減輕網(wǎng)絡(luò)安全風(fēng)險(xiǎn)或漏洞。

（2）定義不同威脅條件影響嚴(yán)重性對最低安全保證等級的不同要求。

如表2 所示，每個(gè)可能導(dǎo)致災(zāi)難性威脅條件的情況，都需要至少兩個(gè)獨(dú)立、多元和獨(dú)立的安全性方法，其中一個(gè)為SAL3 等級，另一個(gè)至少達(dá)到SAL2 等級。每個(gè)可能導(dǎo)致危險(xiǎn)性威脅條件的情況，都要求至少一個(gè)SAL3 等級的安全性方法。每個(gè)可能導(dǎo)致重大影響威脅條件的情況，要求至少一個(gè)SAL2 等級的安全性方法。每個(gè)安全性方法都應(yīng)分配有SAL1 或更高等級。

表2 安全保證等級與威脅嚴(yán)重度關(guān)系

安全措施的SAL 要求原則如下。

（1）每一個(gè)飛機(jī)級威脅場景達(dá)到災(zāi)難級時(shí)，要求至少兩個(gè)獨(dú)立的、多樣的、隔離的安全措施。一個(gè)安全措施必須滿足SAL3 級要求，另一個(gè)至少滿足SAL2 級要求。

（2）每一個(gè)飛機(jī)級威脅場景達(dá)到危險(xiǎn)級時(shí)，要求至少一個(gè)安全措施達(dá)到SAL3 級要求。

（3）每一個(gè)飛機(jī)級威脅場景達(dá)到重要級時(shí)，要求至少一個(gè)安全措施達(dá)到SAL2 級要求。

（4）每一個(gè)安全措施必須達(dá)到SAL1 級及以上要求。

（5）所有在安全范圍內(nèi)的系統(tǒng)和項(xiàng)達(dá)到SAL0級要求。

4 安全架構(gòu)設(shè)計(jì)與措施

4.1 安全架構(gòu)包含的對象

安全架構(gòu)描述飛機(jī)系統(tǒng)與安全措施整合集成滿足安全需求的過程。安全架構(gòu)包含技術(shù)特性、安全策略和規(guī)程、內(nèi)外系統(tǒng)的交互、用戶（機(jī)組、維護(hù)人員、操作員、空管）、乘客。

4.2 安全架構(gòu)的概念和特性

在進(jìn)行飛機(jī)級系統(tǒng)設(shè)計(jì)時(shí)，必須確保能分析最后設(shè)計(jì)完成的系統(tǒng)，以達(dá)到安全和安保的目的。在建設(shè)過程推進(jìn)中，開發(fā)和評估指南要求可以展示系統(tǒng)開發(fā)是否滿足其目標(biāo)。

安全體系架構(gòu)設(shè)計(jì)的基本要求：

（1）非旁路：不允許安全措施被旁路；

（2）保護(hù)性：安全架構(gòu)防止安全設(shè)備和措施被干擾；

（3）安全措施：獨(dú)立性、多樣性、隔離性；

（4）探測和恢復(fù)：安全架構(gòu)滿足威脅可探測、系統(tǒng)可修復(fù)。

4.3 安全架構(gòu)考慮

隨著飛機(jī)機(jī)載系統(tǒng)越來越信息化，與Internet鏈接接口越來越易遭受外部攻擊。單一的攻擊防護(hù)很難滿足安全要求，多種防護(hù)措施才能保護(hù)高價(jià)值目標(biāo)[4]。因此，安全架構(gòu)的設(shè)計(jì)應(yīng)當(dāng)減少暴露攻擊的風(fēng)險(xiǎn)，其中采用縱深防御多重防護(hù)策略尤為重要。

4.4 安全架構(gòu)設(shè)計(jì)原則

安全架構(gòu)設(shè)計(jì)原則包括從飛機(jī)架構(gòu)設(shè)計(jì)到飛機(jī)功能具體實(shí)現(xiàn)的全過程，主要分為飛機(jī)級和系統(tǒng)級。

4.4.1 飛機(jī)級安全架構(gòu)設(shè)計(jì)的原則

縱深防御。每一個(gè)飛機(jī)級威脅場景威脅條件達(dá)到危險(xiǎn)級或更高級時(shí)，應(yīng)當(dāng)采用獨(dú)立的、多樣的、隔離的安全措施[5]。

可加載軟件和設(shè)備完整度檢測。主機(jī)廠商、維護(hù)廠商和操作員應(yīng)當(dāng)具備數(shù)據(jù)加載設(shè)備和軟件完整度的檢測能力。

持續(xù)適航要求。架構(gòu)設(shè)計(jì)應(yīng)當(dāng)考慮滿足持續(xù)性適航的要求。

防止安全設(shè)備被旁路。架構(gòu)設(shè)計(jì)防止安全設(shè)備被旁路。

安全架構(gòu)設(shè)計(jì)精簡化。安全架構(gòu)設(shè)計(jì)盡量精簡化。

威脅檢測和系統(tǒng)恢復(fù)。架構(gòu)設(shè)計(jì)必須考慮威脅檢測和安全設(shè)備失效情況下的系統(tǒng)恢復(fù)。

4.4.2 系統(tǒng)級安全架構(gòu)設(shè)計(jì)的原則

根據(jù)攻擊路徑的改進(jìn)，在架構(gòu)設(shè)計(jì)中改進(jìn)安全設(shè)備和安全措施的應(yīng)用，包括針對性的安全流程設(shè)計(jì)、最小化外部接口、去除所有不使用的接口以及保持系統(tǒng)的獨(dú)立性和隔離性等[6]。安全項(xiàng)的架構(gòu)設(shè)計(jì)包括合適正確的錯(cuò)誤處理流程、最小的特權(quán)接入以及控制接入連接。

4.5 飛機(jī)設(shè)計(jì)開發(fā)的安全考慮

信息安全被引入飛機(jī)級開發(fā)和服務(wù)進(jìn)程，增加了在飛機(jī)開發(fā)和服役過程中的挑戰(zhàn)。在開發(fā)過程中需要采取特殊預(yù)防措施[7]，以滿足安全需求，包括反應(yīng)時(shí)間、服務(wù)安全性、失效安全的考慮因素以及安全要求的校核、驗(yàn)證和駁回等。

5 日志與審計(jì)

5.1 安全消息提醒和安全日志

監(jiān)控飛機(jī)安全措施的狀態(tài)本質(zhì)上是確保飛機(jī)的持續(xù)性安全。

安全消息提醒，即在安全措施失效的情況下應(yīng)能提醒機(jī)組人員。

安全事件管理部分，即指導(dǎo)定義安全事件日志，并周期審計(jì)相關(guān)安全事件日志。

5.2 安全日志和審計(jì)

安全事件和目標(biāo)為持續(xù)性適航提供指引和事件溯源。

6 結(jié)語

RTCA DO-356A 的標(biāo)準(zhǔn)體系對適航安全規(guī)范和適航局方考慮做了針對性描述，提出了安全保證、安全架構(gòu)設(shè)計(jì)與措施、日志與審計(jì)等方面的要求。目前，國際國內(nèi)航空業(yè)者對適航安全也逐步開始重視。該標(biāo)準(zhǔn)體系可為我國民機(jī)電子網(wǎng)絡(luò)的發(fā)展提供指引。