航空“触网”后安全风险识别与防控.docVIP

航空“触网”后安全风险识别与防控 　　1引 言 　　2015年航空互联网炙手可热，成为当前航空业界最热词。飞机这个移动互联网的最后一块孤岛，在移动互联网风起云涌的大潮下，即将被征服，无论是国航、东航、南航，还是春秋等航空公司，高调的宣称要向互联网航空转型，Ku、ATG、客舱Wi-Fi等各种解决方案层出不穷，纵观一年以来航空互联网发展是雷声大雨点小，截止2015年7月，国内正在实现天地互联航班不超过10架，客舱局域网不足50架，究其缘由，高昂的改造成本暂且搁在一边，航空互联网监管与安全成为主要拦路虎。 　　本期老鹰漫谈，从一起发生在美国的案例出发，拨开表象看本质，建言航空“触网”后安全风险识别与规避。 　　2、航空“触网”后安全风险识别 　　飞机上都有哪些系统联网了呢？主要分为两大类，一类是客舱娱乐及通信系统（IFEC）面向乘客娱乐通信服务需要，依托Ka/Ku/SBB/ATG等天地互联技术+客舱Wi-Fi系统实现；一类是前舱飞行信息相关，如ACARS、AMDAR等数据。一类是全程联网，如IFEC、ACARS、AMDAR等，一类是机场区域联网，如电子飞行包、WQAR、机载软件管理系统（EDMS）的无线网络功能（Gatelink）（787飞机上的新功能）等。 　　2.1客舱IFEC风险识别 　　客舱IFEC设备主要包含机载天线、客舱Wi-Fi设备两部分，这些系统设备只服务于客舱，由于客舱服务需要，这些设备往往会通过ARINC429总线与飞机相连，并获取飞机经纬度、高度、地速等信息。 　　客舱IFEC风险存在两个层面，一个层面是否会通过ARINC429总线关联至飞机其他系统，可能影响飞行安全，该层面风险等级较高，需重点防范；一个层面如何确保IFEC自身机载服务器安全，比如避免黑客篡改页面内容等，该层面风险等级较低，只影响IFEC服务本身，对飞行安全无影响。 　　2.2前舱互联风险识别 　　ACARS链路的前舱数据，采用VHF链路传送，VHF网为民航专属网络，非公共网络，也未接入互联网，无法通过公众网络进行攻击。如果采用卫星方式传送ACARS、AMDAR数据，建议采用专网方式传送，避免采用公众网络、互联网方式进行数据传送。前舱数据与客舱数据传送信道需进行物理隔离。如采用专网、专用信道（物理隔离）进行前舱数据传送，此类风险等级低。 　　3 航空互联网安全风险防范 　　通过前面章节梳理，航空飞行器联网后，如涉及飞行相关操作应重点关注风险识别和防范。 　　3.1前舱互联风险防范 　　1、首选专网模式，构建安全、可靠的数据更新通道，无论是传送ACARS、AMDAR数据，还是机场区域确保电子飞行包数据及新型飞机信息数据更新。由于专网有严格的认证、鉴权、加密算法，没有暴露在互联网下，安全防范能力强，此类安全风险可大大降低。 　　2、次选公众移动通信网，采用VPN、AAA等虚拟专网方式，在公众网络上修建一条虚拟专用通道，并在内网中建立AAA等认证、鉴权、加密设备，增加网络安全防护能力，由于只是虚拟专网，所以安全风险要高于专网模式，安全防范能力中等，此类安全风险适中。 　　3、禁止使用Wi-Fi网络进行数据更新，由于Wi-Fi技术非授权使用特征，导致Wi-Fi网络安全性存在先天不足，如采用机场或机坪Wi-Fi进行电子飞行包或者飞机机载数据更新，在效率提升的同时，安全风险大大提升，网络安全防范能力弱，此类安全风险极高，建议明令禁止采用Wi-Fi网络传送飞行相关核心关键数据及信息。 　　3.2客舱互联风险防范 　　客舱互联以提供类似于地面服务感知的移动互联业务体验为目标，客舱互联最终以接入互联网为目的，所以无论何种天地互联技术连接互联网成为必须。 　　1、做好客舱与前舱数据隔离是当前客舱互联风险防范重点。切断客舱系统对前舱系统的写权限是初期客舱互联安全防范的法宝。客舱互联网的实现多是采用Ku、Ka、ATG等天地互联通道+客舱Wi-Fi最终实现，客舱互联网相关机载设备通过ARINC429总线与飞机进行数据获取，ARINC429总线读取数据接口与写入数据接口是分开的，建议客舱Wi-Fi设备与ARINC429总线的读数据接口连接，这样的设计，可以将客舱互联网风险控制在客舱互联网系统内，根本上杜绝了发生攻击飞机飞行系统的可能；同时建议将Ku、Ka、ATG等天地互联通道仅用于后舱，如用于前舱时，需做到链路的物理隔离，确保飞行数据与客舱娱乐数据绝对隔离。如此设计，可以将客舱互联网安全等级大大降低，安全风险也大大降低。 　　2、客舱互联网系统自身安全防范，为满足国家互联网监管需要，客舱互联网业务必须做到用户行为日志留存、用户实名登陆，确保用户行为可管可控，同时为了保护机载IFE服务器内容安全，采用了如下风险防范措施：对接入