论文部分内容阅读
1引 言
2015年航空互联网炙手可热,成为当前航空业界最热词。飞机这个移动互联网的最后一块孤岛,在移动互联网风起云涌的大潮下,即将被征服,无论是国航、东航、南航,还是春秋等航空公司,高调的宣称要向互联网航空转型,Ku、ATG、客舱Wi-Fi等各种解决方案层出不穷,纵观一年以来航空互联网发展是雷声大雨点小,截止2015年7月,国内正在实现天地互联航班不超过10架,客舱局域网不足50架,究其缘由,高昂的改造成本暂且搁在一边,航空互联网监管与安全成为主要拦路虎。
本期老鹰漫谈,从一起发生在美国的案例出发,拨开表象看本质,建言航空“触网”后安全风险识别与规避。
2、航空“触网”后安全风险识别
飞机上都有哪些系统联网了呢?主要分为两大类,一类是客舱娱乐及通信系统(IFEC)面向乘客娱乐通信服务需要,依托Ka/Ku/SBB/ATG等天地互联技术+客舱Wi-Fi系统实现;一类是前舱飞行信息相关,如ACARS、AMDAR等数据。一类是全程联网,如IFEC、ACARS、AMDAR等,一类是机场区域联网,如电子飞行包、WQAR、机载软件管理系统(EDMS)的无线网络功能(Gatelink)(787飞机上的新功能)等。
2.1客舱IFEC风险识别
客舱IFEC设备主要包含机载天线、客舱Wi-Fi设备两部分,这些系统设备只服务于客艙,由于客舱服务需要,这些设备往往会通过ARINC429总线与飞机相连,并获取飞机经纬度、高度、地速等信息。
客舱IFEC风险存在两个层面,一个层面是否会通过ARINC429总线关联至飞机其他系统,可能影响飞行安全,该层面风险等级较高,需重点防范;一个层面如何确保IFEC自身机载服务器安全,比如避免黑客篡改页面内容等,该层面风险等级较低,只影响IFEC服务本身,对飞行安全无影响。
2.2前舱互联风险识别
ACARS链路的前舱数据,采用VHF链路传送,VHF网为民航专属网络,非公共网络,也未接入互联网,无法通过公众网络进行攻击。如果采用卫星方式传送ACARS、AMDAR数据,建议采用专网方式传送,避免采用公众网络、互联网方式进行数据传送。前舱数据与客舱数据传送信道需进行物理隔离。如采用专网、专用信道(物理隔离)进行前舱数据传送,此类风险等级低。
3 航空互联网安全风险防范
通过前面章节梳理,航空飞行器联网后,如涉及飞行相关操作应重点关注风险识别和防范。
3.1前舱互联风险防范
1、首选专网模式,构建安全、可靠的数据更新通道,无论是传送ACARS、AMDAR数据,还是机场区域确保电子飞行包数据及新型飞机信息数据更新。由于专网有严格的认证、鉴权、加密算法,没有暴露在互联网下,安全防范能力强,此类安全风险可大大降低。
2、次选公众移动通信网,采用VPN、AAA等虚拟专网方式,在公众网络上修建一条虚拟专用通道,并在内网中建立AAA等认证、鉴权、加密设备,增加网络安全防护能力,由于只是虚拟专网,所以安全风险要高于专网模式,安全防范能力中等,此类安全风险适中。
3、禁止使用Wi-Fi网络进行数据更新,由于Wi-Fi技术非授权使用特征,导致Wi-Fi网络安全性存在先天不足,如采用机场或机坪Wi-Fi进行电子飞行包或者飞机机载数据更新,在效率提升的同时,安全风险大大提升,网络安全防范能力弱,此类安全风险极高,建议明令禁止采用Wi-Fi网络传送飞行相关核心关键数据及信息。
3.2客舱互联风险防范
客舱互联以提供类似于地面服务感知的移动互联业务体验为目标,客舱互联最终以接入互联网为目的,所以无论何种天地互联技术连接互联网成为必须。
1、做好客舱与前舱数据隔离是当前客舱互联风险防范重点。切断客舱系统对前舱系统的写权限是初期客舱互联安全防范的法宝。客舱互联网的实现多是采用Ku、Ka、ATG等天地互联通道+客舱Wi-Fi最终实现,客舱互联网相关机载设备通过ARINC429总线与飞机进行数据获取,ARINC429总线读取数据接口与写入数据接口是分开的,建议客舱Wi-Fi设备与ARINC429总线的读数据接口连接,这样的设计,可以将客舱互联网风险控制在客舱互联网系统内,根本上杜绝了发生攻击飞机飞行系统的可能;同时建议将Ku、Ka、ATG等天地互联通道仅用于后舱,如用于前舱时,需做到链路的物理隔离,确保飞行数据与客舱娱乐数据绝对隔离。如此设计,可以将客舱互联网安全等级大大降低,安全风险也大大降低。
2、客舱互联网系统自身安全防范,为满足国家互联网监管需要,客舱互联网业务必须做到用户行为日志留存、用户实名登陆,确保用户行为可管可控,同时为了保护机载IFE服务器内容安全,采用了如下风险防范措施:对接入终端进行鉴权管理,保证用户域与管理域VLAN二层隔离保护措施,对管理域SSID进行隐藏,防止用户入侵系统管理网络;采用基于MAC地址访问控制列表,管理Wi-Fi终端互通,抑制广播风暴风险;对内容采取加密措施,防止内容泄露,并对完整性校验,防止内容在传输过程中被篡改;对具有版权的内容进行数字版权管理。客舱IFEC网络主要服务客舱娱乐及通信需求,其安全级别低,风险局限在客舱IFEC网络内,主要风险为黑客密码破解,攻入管理域进行系统级内容篡改。
3、客舱Wi-Fi系统内容更新,由于地空互联通道高昂的成本,许多客舱Wi-Fi系统内容更新采用落地后,通过地面网络方式更新,可以通过专用网络、公众移动通信网、Wi-Fi网络,由于这些内容多为娱乐资讯类内容,安全等级远低于前舱飞行相关数据,在此并不排斥Wi-Fi方式进行内容更新。
4航空“触网”后安全方面的相关建议
随着航空互联网逐步普及,飞机由过去一个个孤岛式飞行器逐步成为实时联网的飞行器,航空“触网”后信息安全问题必须提上议事日程。航空信息安全管理不仅仅在于飞行器本身,它将是涉及机载设备、系统集成、日常维护管理、生产组织等各个环节,其涉及范畴不仅包含飞机、机场、航空公司、航空支撑单位、航空管理当局等各个环节,航空“触网”后信息安全管理将是一个系统工程。
1.在支撑保障上,针对未来即将到来的航空“触网”后航空飞行、信息安全等课题进行专项研究,形成成果指导未来“触网”后安全保障;
2.在组织机构上保障,借鉴其他行业信息安全管理组织制度建设经验,研究成立专职或者虚拟航空信息安全保障生产、管理组织体系,做到责权利匹配到位;
3.在民航法规层面,借鉴FAA、EASA等经验,制定航空信息安全管理特别条款,对航空“触网”后信息安全管理规章制度;
4.在设备制造、系统集成层面,将信息安全相关要求前置,相关设备开发过程中要求符合航空信息安全相关要求;
5.针对前舱提升效率相关联网操作,遵循严格管控,在确保安全的前提下,使用无线网络,严禁采用Wi-Fi等方式进行前舱关键飞行数据传送;
移动互联网浪潮正在冲击各行各业,互联网+航空正在焕发勃勃生机,航空“触网”成为必然,“触网”后飞行和信息安全成为当前管理当局必须面对的课题,航空“触网”后安全问题不是洪水猛兽,只要因势利导进行有效防范,完全能够将“触网”后风险,做到可管可控,我们完全有理由相信不久的将来我们能在飞机上畅享移动互联带来的便捷,让飞行更美好必将成为现实。
2015年航空互联网炙手可热,成为当前航空业界最热词。飞机这个移动互联网的最后一块孤岛,在移动互联网风起云涌的大潮下,即将被征服,无论是国航、东航、南航,还是春秋等航空公司,高调的宣称要向互联网航空转型,Ku、ATG、客舱Wi-Fi等各种解决方案层出不穷,纵观一年以来航空互联网发展是雷声大雨点小,截止2015年7月,国内正在实现天地互联航班不超过10架,客舱局域网不足50架,究其缘由,高昂的改造成本暂且搁在一边,航空互联网监管与安全成为主要拦路虎。
本期老鹰漫谈,从一起发生在美国的案例出发,拨开表象看本质,建言航空“触网”后安全风险识别与规避。
2、航空“触网”后安全风险识别
飞机上都有哪些系统联网了呢?主要分为两大类,一类是客舱娱乐及通信系统(IFEC)面向乘客娱乐通信服务需要,依托Ka/Ku/SBB/ATG等天地互联技术+客舱Wi-Fi系统实现;一类是前舱飞行信息相关,如ACARS、AMDAR等数据。一类是全程联网,如IFEC、ACARS、AMDAR等,一类是机场区域联网,如电子飞行包、WQAR、机载软件管理系统(EDMS)的无线网络功能(Gatelink)(787飞机上的新功能)等。
2.1客舱IFEC风险识别
客舱IFEC设备主要包含机载天线、客舱Wi-Fi设备两部分,这些系统设备只服务于客艙,由于客舱服务需要,这些设备往往会通过ARINC429总线与飞机相连,并获取飞机经纬度、高度、地速等信息。
客舱IFEC风险存在两个层面,一个层面是否会通过ARINC429总线关联至飞机其他系统,可能影响飞行安全,该层面风险等级较高,需重点防范;一个层面如何确保IFEC自身机载服务器安全,比如避免黑客篡改页面内容等,该层面风险等级较低,只影响IFEC服务本身,对飞行安全无影响。
2.2前舱互联风险识别
ACARS链路的前舱数据,采用VHF链路传送,VHF网为民航专属网络,非公共网络,也未接入互联网,无法通过公众网络进行攻击。如果采用卫星方式传送ACARS、AMDAR数据,建议采用专网方式传送,避免采用公众网络、互联网方式进行数据传送。前舱数据与客舱数据传送信道需进行物理隔离。如采用专网、专用信道(物理隔离)进行前舱数据传送,此类风险等级低。
3 航空互联网安全风险防范
通过前面章节梳理,航空飞行器联网后,如涉及飞行相关操作应重点关注风险识别和防范。
3.1前舱互联风险防范
1、首选专网模式,构建安全、可靠的数据更新通道,无论是传送ACARS、AMDAR数据,还是机场区域确保电子飞行包数据及新型飞机信息数据更新。由于专网有严格的认证、鉴权、加密算法,没有暴露在互联网下,安全防范能力强,此类安全风险可大大降低。
2、次选公众移动通信网,采用VPN、AAA等虚拟专网方式,在公众网络上修建一条虚拟专用通道,并在内网中建立AAA等认证、鉴权、加密设备,增加网络安全防护能力,由于只是虚拟专网,所以安全风险要高于专网模式,安全防范能力中等,此类安全风险适中。
3、禁止使用Wi-Fi网络进行数据更新,由于Wi-Fi技术非授权使用特征,导致Wi-Fi网络安全性存在先天不足,如采用机场或机坪Wi-Fi进行电子飞行包或者飞机机载数据更新,在效率提升的同时,安全风险大大提升,网络安全防范能力弱,此类安全风险极高,建议明令禁止采用Wi-Fi网络传送飞行相关核心关键数据及信息。
3.2客舱互联风险防范
客舱互联以提供类似于地面服务感知的移动互联业务体验为目标,客舱互联最终以接入互联网为目的,所以无论何种天地互联技术连接互联网成为必须。
1、做好客舱与前舱数据隔离是当前客舱互联风险防范重点。切断客舱系统对前舱系统的写权限是初期客舱互联安全防范的法宝。客舱互联网的实现多是采用Ku、Ka、ATG等天地互联通道+客舱Wi-Fi最终实现,客舱互联网相关机载设备通过ARINC429总线与飞机进行数据获取,ARINC429总线读取数据接口与写入数据接口是分开的,建议客舱Wi-Fi设备与ARINC429总线的读数据接口连接,这样的设计,可以将客舱互联网风险控制在客舱互联网系统内,根本上杜绝了发生攻击飞机飞行系统的可能;同时建议将Ku、Ka、ATG等天地互联通道仅用于后舱,如用于前舱时,需做到链路的物理隔离,确保飞行数据与客舱娱乐数据绝对隔离。如此设计,可以将客舱互联网安全等级大大降低,安全风险也大大降低。
2、客舱互联网系统自身安全防范,为满足国家互联网监管需要,客舱互联网业务必须做到用户行为日志留存、用户实名登陆,确保用户行为可管可控,同时为了保护机载IFE服务器内容安全,采用了如下风险防范措施:对接入终端进行鉴权管理,保证用户域与管理域VLAN二层隔离保护措施,对管理域SSID进行隐藏,防止用户入侵系统管理网络;采用基于MAC地址访问控制列表,管理Wi-Fi终端互通,抑制广播风暴风险;对内容采取加密措施,防止内容泄露,并对完整性校验,防止内容在传输过程中被篡改;对具有版权的内容进行数字版权管理。客舱IFEC网络主要服务客舱娱乐及通信需求,其安全级别低,风险局限在客舱IFEC网络内,主要风险为黑客密码破解,攻入管理域进行系统级内容篡改。
3、客舱Wi-Fi系统内容更新,由于地空互联通道高昂的成本,许多客舱Wi-Fi系统内容更新采用落地后,通过地面网络方式更新,可以通过专用网络、公众移动通信网、Wi-Fi网络,由于这些内容多为娱乐资讯类内容,安全等级远低于前舱飞行相关数据,在此并不排斥Wi-Fi方式进行内容更新。
4航空“触网”后安全方面的相关建议
随着航空互联网逐步普及,飞机由过去一个个孤岛式飞行器逐步成为实时联网的飞行器,航空“触网”后信息安全问题必须提上议事日程。航空信息安全管理不仅仅在于飞行器本身,它将是涉及机载设备、系统集成、日常维护管理、生产组织等各个环节,其涉及范畴不仅包含飞机、机场、航空公司、航空支撑单位、航空管理当局等各个环节,航空“触网”后信息安全管理将是一个系统工程。
1.在支撑保障上,针对未来即将到来的航空“触网”后航空飞行、信息安全等课题进行专项研究,形成成果指导未来“触网”后安全保障;
2.在组织机构上保障,借鉴其他行业信息安全管理组织制度建设经验,研究成立专职或者虚拟航空信息安全保障生产、管理组织体系,做到责权利匹配到位;
3.在民航法规层面,借鉴FAA、EASA等经验,制定航空信息安全管理特别条款,对航空“触网”后信息安全管理规章制度;
4.在设备制造、系统集成层面,将信息安全相关要求前置,相关设备开发过程中要求符合航空信息安全相关要求;
5.针对前舱提升效率相关联网操作,遵循严格管控,在确保安全的前提下,使用无线网络,严禁采用Wi-Fi等方式进行前舱关键飞行数据传送;
移动互联网浪潮正在冲击各行各业,互联网+航空正在焕发勃勃生机,航空“触网”成为必然,“触网”后飞行和信息安全成为当前管理当局必须面对的课题,航空“触网”后安全问题不是洪水猛兽,只要因势利导进行有效防范,完全能够将“触网”后风险,做到可管可控,我们完全有理由相信不久的将来我们能在飞机上畅享移动互联带来的便捷,让飞行更美好必将成为现实。