本手冊適用於聯網飛行器運營者,還可以用於傳統飛行器的特定操作場景,例如載入飛行器元件軟體資料、操作航空電子導航/通訊系統等。
手冊符合國際民航組織(ICAO)的《網路安全戰略》及相關標準和建議措施(SARP),例如與附錄17“安全”相關的檔案以及標準4.9.1中的網路威脅措施,該標準規定,各締約國應確保“國家民用航空安全方案或其他相關國家檔案中指定的運營者或實體界用於民航目的的關鍵資訊和通訊技術系統和資料,並根據風險評估結果,酌情制定和實施相應防護措施,以免受到非法干擾。”
國際民航組織的這一標準與國際航空運輸協會的IOSA標準手冊(ISM)中的部分內容一致,具體為第14版(2020年12月修訂,2021年9月生效)手冊的修訂後4.1.1節(安全部分)及“組織和管理系統”(ORG)部分3.1.6節中的“建議措施”。
《航空網路安全指導手冊》第1部分介紹組織的網路安全,第2部分介紹飛行器的網路安全和風險管理。手冊概述了運營者的職責,並就以下方面提出了建議:
- 組織的基本網路安全文化和狀況;
- 航空生態系統、組織和相關要素概述;
- 飛行器在採購階段和交付後的適航網路安全狀況;
- 運營者的持續適航責任;
- 與飛行器長期存放/停泊有關的網路安全;
- 制定風險管理計劃;進行定期風險評估以及應急管理和事件響應。
有關聯網和傳統飛行器型別的定義,請參見第1部分:組織文化與狀況(1.2.1節和1.2.2節)。
飛行器適航網路狀況
1.飛行器購置階段的網路安全考慮因素
每個國家和地區都有飛行器產權/所有權轉讓的相關法律,不論飛行器是否在當地註冊,是否需要所有權證明、銷售清單或類似協議。因此,需遵循相應的程式確保有效性。要先檢查飛行器,包括它的網路安全因素,然後將飛行器註冊檔案移交給新的所有人。
由於產權轉讓後運營者對飛行器的合規性負責,因此應在招標書(RFP)中明確原始裝置製造商(OEM)/系統供應商、設計批准書持有人(DAH)及其下屬機構應滿足和/或負責的網路和資訊保安需求。
RFP和服務水平協議(SLA)中應包含風險繼承/接受和轉移披露和緩解程式,明確負責人及其職責,說明合規措施,並提供合規證明。此外,OEM/系統供應商和DAH還應為運營者提供各種日誌能力和報告機制,方便與風險管理框架(RMF)進行安全整合。運營者可參考ITIL(資訊科技基礎設施庫)4和服務協議管理-APO09(COBIT 2019)中的標準為SLA流程提供支撐。
SLA應涵蓋對發現的漏洞的披露、更新和/或修復路線圖以及安全方面的異常、過程和相關風險情況。
2.交付時的網路安全狀況
對於投入執行的新型聯網飛行器,適航證書應涵蓋可能影響安全的網路安全因素。最新版本的ED-202A/DO-326A(適航安保過程規範)和ED-203A8/DO-356A9(適航安保方法和注意事項)涵蓋了對OEM/供應商和DAH的這些要求。ARINC 811(商用飛行器資訊保安執行及流程概念框架)提供了機載網路和相關的資訊保安執行及流程概念方面定義和建議。這些參考資料有助於運營者瞭解其繼承或接受的風險狀況,方便其整合或調整風險評估活動需求。
即使飛行器擁有有效適航證書,但由於網路安全要求五花八門且需要完全披露殘留風險運營者會決定是接受還是轉移這些風險。OEM和系統供應商應提供一份清單列明網路風險/漏洞和緩解或主動措施,說明如何評估和測試風險和安全性。新的所有者應深入瞭解所繼承的風險,飛行器一旦交付,便要接受風險。
OEM/系統供應商和DAH提供的安全手冊明確了運營者需要和必須執行的流程和程式,以維持安全狀況並保持其適航證書的有效性。運營者會根據OEM/系統供應商和DAH的要求制定飛行器資訊保安計劃(AISP)/飛行器網路安全計劃(ANSP),整合網路安全要求和義務。
有一點很重要,若提供的安全資料不夠具體,則無法驗證/測試和確認未來的多次修改和更新是否會暴露特定漏洞或改變潛在影響的嚴重性。為確保所有乘客和利益相關者的安全,需要進行明確的資訊交流和協作。
3.持續適航和運營者的責任
即使運營者可透過法律合同和SLA將責任轉移給他人,但仍承擔證明安全相關的網路保障因素合規的最終責任。為了提供證據和保障,運營者、OEM/系統供應商和DAH需共同努力,確保飛行器相關的以下各項的網路安全:關鍵資訊系統、底層資料網路和互聯絡統(包括地面支援裝置(GSE)和地面支援資訊系統(GSIS))、維護裝置以及可能會產生安全影響的與飛行器相連的機載軟體。
關於持續適航,運營者應參考最新版本的ED-204A/DO-355A(持續適航資訊保安指南),該指南對DAH和運營者的責任進行了區分。ED-202A/DO-326A和ED-203A/DO-356A列明瞭適航相關裝置的具體安全評估要求和相關流程。
《歐委會法規》748/2012的修正案明確了運營者在組織層面需遵循的條款,涉及可能帶來安全影響的航空資訊保安。還有一些EUROCAE ED/RTCA DO目前正在編寫,近期將推出,為其他網路安全方面提供支援。
儘管ED和DO不是當局認可的唯一合規方法(MoC),但在制定所需流程時應考慮這些檔案確保符合法規。這些檔案還可用於比較論證和差距分析,併為申請預算實現相應的合規水平提供支援。
1)國家要求和建議
對於ICAO成員國,《芝加哥公約》中的ICAO附錄17 – 安全中的標準4.9.1和建議措施4.9.2(或同等標準,因為附錄17正在修訂)是唯一的網路安全相關標準和建議措施(SARP)。還有一些檔案(如第8973號檔案《ICAO航空安保手冊》中第18章(限制性使用)描述瞭如何保護關鍵資訊和通訊技術系統免受蓄意干擾,可用作指導手冊。
為遵循ICAO標準,各成員國均制定了自己的條例。2020年6月,歐洲航空安全域性(EASA)決定對其飛行器網路安全條例進行最新修訂。此2020/006/R號ED決議(飛行器網路安全)和相關的擬議修正案通知2019-01涵蓋裝置、系統、網路的資訊保護和資訊系統安全相關的持續適航安全說明(ICA)。可接受的合規性方法(AMC)包括但不限於ED-202A/DO-326A、ED-203A/DO-356A和ED-204A/DO-355A。這些措施有望在2021年及以後實施。
其他合規資料包括ISO/IEC 27001系列標準、NIST網路安全框架(CSF)以及其他NIST特刊,對這些資料酌情修改後可採用。根據國家法規和要求,組織的現有框架也可能需要評估,確定是否足以支撐合規。
同時,國際航空運輸協會(IATA)推出了第一套針對飛行器網路安全的措施,納入了IATA執行安全審計IOSA計劃,即ISM第14版。第一種建議措施納入ORG(組織)節,第二種建議措施對SEC(安全)一節中的安全威脅管理現有標準進行了修改,涵蓋了飛行器網路安全威脅。
IA他的參考文件《民航網路安全法規、標準、指南匯編》對現有資料進行了完整介紹,為法律文書和規定的編寫以及合規提供了支援。
2)編寫合規計劃
運營者的組織應評估制定飛行器網路安全合規計劃是否可行。合規計劃旨在建立流程和程式以證明對法規和SARP的合規性,並納入審計監督。經過分析後,向上級管理層上報合規情況和差距分析結果,確定合規偏差,提出合規行動計劃路線圖,以縮小差距和減少不合規問題。該計劃通常由單點聯絡人(通常是高管人員)制定,為相關負責人提供必要途徑使其獲得支撐業務所需的資源、工具和預算。
根據該計劃,運營者需證明其維持了預期的軟體分發安全級別以及機載網路的安全性和完整性。為了提供全面的合規性說明並明確合規差距或偏差,合規性計劃將參考運營者根據各種安全手冊要求制定的內部AISP/ANSP以及OEM/系統供應商和DAH提供的其他安全資料。我們需要特別關注指導手冊中的實施目標部分。
然後,運營者將合規計劃與當前標準和要求進行交叉比對,避免內容遺漏,確保合規描述的完整性。定期對合規計劃進行稽核,確保達到所需的合規級別並處理不合規問題。
4.停泊飛行器相關的網路安全考慮因素
由於這是航空業首次遭遇此類健康危機,各OEM/系統供應商和DAH提供的安全手冊並未介紹飛機停泊數月(有時是特殊環境)的細節。
以下是針對重啟長時間停泊的飛行器的最新網路安全建議:
- 根據最新網路安全狀態(疫情背景下),對飛行器執行和連線相關的關鍵資訊/資料和通訊技術系統進行風險評估,包括持續適航的網路安全;
- 與OEM一起驗證關鍵系統列表,確保已整合日誌,設定了新基線進行異常檢測,並且更新透過完整性檢查;
- 相關適航監督當局驗證和分發軟體補丁和更新或其他緩解措施和/或對策方面可能缺失的資訊、指南或披露記錄;
- 與供應鏈中涉及的實體/分包商溝通,對系統和流程進行修改和調整,確保已整合日誌,設定了新基線進行異常檢測,而且更新透過完整性檢查;
- 對關鍵系統的所有軟體進行日誌審查、驗證和歸檔,確保非法軟體未安裝或未連線至飛行器、不存在非法系統訪問或飛行器停泊和儲存期間未進行修改。若懷疑有非法行為,應採取維護行動,檢查所連繫統的完整性,必要時根據相關實體的指令進行恢復;
- 對所有維護裝置、系統(如資料載入器)、媒體、所有軟體和憑證系統執行上述步驟;
- 根據最新的風險評估進行OMP審查,由於新團隊在維護或遠端操作期間可能更改了某些裝置的攻擊面,若遠端訪問可能影響持續適航性,則應提起特別注意;
- 利用現有身份管理方案驗證身份認證證書的有效期,利用公鑰基礎設施(PKI)或加密系統保證資料完整性和要求;
- 根據最新網路安全狀態,對電子飛行包(EFB)和行動式多功能訪問終端(PMAT)等移動裝置進行更新和重新評估;
- 對飛行器維護團隊和維護支援團隊開展網路安全、檢查清單和最佳實踐方面的基本培訓。
需說明的是,運營者應定期實施上述列表中的最後三條建議。
5.上報不合規問題
是否上報不合規問題由運營者根據屬地自行決定;不過,需說明的是,運營者應向有關部門上報資訊保安事件相關的不合規問題,且這些問題均應根據國家和/或地區的監管框架和要求進行驗證。
例如,第2020/006/R號ED決議(更具體地說是AMC 20-42:適航資訊保安風險評估)明確了資訊保安事件上報規定。該決議指出,運營者應向OEM/系統供應商/DAH上報任何資訊保安事件,進一步分析其影響,並採取必要措施解決問題。若影響分析結果顯示出現不安全狀況,OEM/系統供應商/DAH應及時向相關機構上報問題。
譯者宣告
由綠盟科技部落格與“安全加”社群小蜜蜂公益翻譯組合作完成,免責宣告及相關責任由“安全加”社群承擔。
小蜜蜂翻譯組公益譯文專案,旨在分享國外先進網路安全理念、規劃、框架、技術標準與實踐,將網路安全戰略性文件翻譯為中文,為網路安全從業人員提供參考,促進國內安全組織在相關方面的思考和交流。