【公益譯文】航空網路安全指導手冊（五）

飛行器網路風險管理

1.威脅格局

為了解飛行器及其互聯絡統的威脅狀況，應在運營各階段（包括維護、配置和靜態）根據功能、介面和資料流確定最重要的資產及相應的攻擊面。資產包括物理和虛擬資產，如硬體、軟體、通訊、資訊、資料、空中（空中OTA）和地面部署的系統和裝置以及互聯和通訊資產。

威脅可定義為利用漏洞、暴露或入侵對機密性、完整性和可用性（稱為CIA）產生不同程度影響的潛在有害行為或事件，其中：

• 機密性確保資訊獲取和披露僅限於授權使用者；

• 完整性確保資訊、資產和處理方法的準確性、完整性、抗抵賴性和真實性；

• 可用性確保授權使用者在必要時可及時可靠地訪問資產相關資訊；

這些威脅或資產安全性缺失可能對安全產生直接或間接影響。ED-203A/DO-326A定義了機密性、完整性或可用性缺失導致的資產安全和威脅狀況，為威脅場景識別提供支援。

根據ED-204A/DO-355A確定符合CIA和緩解戰略的持續適航要求，從而更清晰地瞭解現狀與目標之間的差距，以及部署的安全控制措施和其他措施，打造彈性系統。

對於需要重點關注的系統（及其他資產），我們從飛行器的三個主要域進行介紹（請參見本文的第1部分第3章）：

• 飛行器控制域（ACD）：飛機通訊定址和報告系統（ACARS），飛行管理系統（FMS）和導航系統，慣性、衛星、飛行器綜合資料處理系統（AIDS），地形感知和告警系統（TAWS），加密系統、儀表著陸系統（ILS），空中防撞系統（TCAS），管制員–飛行員資料鏈通訊（CPDLC）以及其他遙測相關感測器等；

• 飛行器/航空公司資訊服務域（AISD）：飛行管理裝置（EFB/移動裝置）、機場陸基通訊、GateLink網路和維護系統、無線飛機感測器和感測器網路（故障監測系統）；

• 乘客資訊娛樂系統域（PIESD）：公共網路、蜂窩網路、機上娛樂（IFE）等。

成功擊中脆弱資產、不當配置、不安全通訊、多餘和/或未知功能，從而導致零日攻擊、連線或互動等。攻擊方式五花八門，分為單階段和多階段攻擊或永續性攻擊和閃電攻擊。下文詳細介紹了針對飛行器及其互聯絡統和資訊資產的威脅和攻擊：

• 違反安全分割槽，如跨域進入飛行器控制域（ACD）或將未經認證或授權的裝置連線至ACD或AISD域；

• 欺騙認證機制，導致惡意或不安全的空中更新，篡改飛行資料或導航系統，導致不安全飛行狀況，欺騙遙測、錄音或記錄；

• 邊通道攻擊、緩衝區溢位攻擊、資產逆向工程導致零日漏洞攻擊；

• 拒絕服務攻擊，可能導致基本資訊、資料、功能或服務暫時或完全不可用；

• 與飛行器連線的維護或其他裝置若被入侵，會導致未經授權的洩露、惡意軟體注入、拒絕服務攻擊或注入/啟用惡意後門。

基於MITRE-ATT&CK（攻擊戰術、技術和通用知識庫）框架及其他工業控制系統和物聯網/運營網路的威脅和攻擊框架，對攻擊戰術進行研究或評估。開放式Web應用程式安全專案（OWASP）及其相關框架也可以使用，只不過將場景從地面系統轉移到了聯網飛行器上。

隨著新技術進入飛行器領域，可能會產生新攻擊面，這並非刻意而為，有時甚至不容易判斷。新出現的人工智慧和機器學習模型經常被用於預測性維護能力以及自動化或自動化系統，因此應提起特別注意，重點監測。當行動可能產生安全影響時，應先進行手動驗證，然後再作判斷。

1 ）防禦措施

現在，入侵檢測系統可用於新型飛行器以及終端威脅檢測和響應（EDR），為防禦過程提供支援。要減少攻擊向量和降低攻擊面，首先要對各類硬體、軟體和網路配置和系統進行加固。安全加固指透過禁用/關閉和/或刪除不必要的連線和應用程式、限制配置以及採取基於角色的資料訪問保護系統。考慮到任何更新都可能會對安全措施的狀態或效率產生影響，在每次重大或關鍵更新時均需對所有防禦機制進行重新驗證。

網路威脅捕獲是一門科學，旨在透過流量監控從大量威脅情報來源中發現潛在攻擊（詳見威脅章節）。威脅捕獲技術多種多樣，其中最有效的是基於機器學習的技術，該技術可根據利用的資料來源數量實現擴充套件，並可自動檢測常見的攻擊模式。技術越有效，處理和響應就越及時。機器學習演算法常用於行為分析、建立系統基線和異常檢測建模。

作為威脅捕獲的一個分支學科，網路威脅情報是一門彙總各來源和資料點進行關聯和分析的科學，包括日誌事件、其他組織編寫的感染指標（IoC），以及有關部門和航空資訊共享與分析中心（A-ISAC）等私有組織和其他安全廠商提供的指標。獲得威脅情報需付出一定的成本。威脅情報通常還包括開源情報和社交媒體情報。應根據資訊或資料的質量、準確性和價值，對每個來源進行評估，為其分配不同的信任級別。

2.制定飛行器風險管理計劃

風險管理計劃涵蓋各類風險，如安全和安保、財務和經濟，而且最高管理層有時也會討論網路安全。該計劃旨在確保組織定義其風險偏好並就接受或轉移風險作出決策。

風險管理計劃、框架對於監管安全和安全航空環境不可或缺，許多運營者通常參考ISO/IEC 27005:2018、ARINC 811和其他標準制定了該計劃或框架。由於許多IP技術廣泛用於聯網飛行器及相互關聯的系統，風險管理計劃須納入潛在網路威脅和風險，進行清晰描述，這也是制定該計劃的目的。因此，首先要明確計劃範圍，按照對飛行器系統及其互聯絡統（包括地面系統）的安全影響，對網路安全功能進行優先順序排序。

下圖列明IT風險管理框架（RMF）的一般步驟，為制定該框架提供參考。

風險管理框架

Source：資料來源：IATA（參考ISO/IEC 27005）

眾所周知，NIST CSF就是這樣一種框架。NIST CSF中最值得關注的一個實現源自《聯邦資訊保安現代化法案》（FISMA，詳情請參見本文第1部分第2章）。該實現提出了多個步驟，首先是“準備”，然後是“分類”等步驟，並涉及相關NIST特刊、《聯邦資訊處理標準》和為該實現提供支援的其他指南。這些步驟通常是風險管理框架的一部分，該框架與ICAO標準4.9.1（附錄17）以及IATA ISM Ed. 14中的相關標準（SEC 4.1.1）和建議措施（ORG 3.1.6）保持一致。

飛行器風險管理框架應利用並涵蓋飛行器及其互聯絡統相關的運營技術（OT）。這意味著組織的運營方將參與風險管理的建立、實施或整合、評估，對框架的緩解要素提供支援。此外，由於飛行器事故可能導致人員傷亡，因此須嚴格遵守該行業的監管和安全要求，僅僅採用基於風險的方法是不夠的。對安全影響的考慮應納入風險管理框架，並設定權重。這種基於影響的因素通常稱為網路安全。

飛行器由三個域組成，其中一個對飛行器控制至關重要。該域的任何連線和通訊都應經過嚴格評估和驗證，可能涉及地面系統、維護和任何新技術的整合，其中基礎功能可能需要或要求跨域實現。該框架應將飛行器生命週期內的所有操作納入風險管理流程。需要對每個區域進行同樣的分析和驗證。

在分析飛行器系統整個生命週期的操作和相關要素後，應在法規和合規性要求以及相關AMC中闡明飛行器風險管理框架在OT方面的政策、控制措施和其他保護措施，然後應對這些措施進行監測和評估，透過定期識別和緩解風險。

3. 網路風險評估 

運營者安全威脅檢查流程一般應包含飛行器網路風險評估框架（ACRAF），該框架可整合在公司的RMF中實現。在建立該子流程（屬於風險管理流程）時，應考慮以下方面：

為明確風險評估範圍，應參考ICAO的第一個網路安全標準，即“確保國家民用航空安全方案或其他相關國家檔案中指定的運營者或實體界定其用於民航目的的關鍵資訊和通訊技術系統和資料，並根據風險評估結果，酌情制定和實施相應防護措施，以免受到非法干擾。”

下文詳細介紹國際民航組織標準4.9.1（附錄17），明確飛行器相關的關鍵系統、資訊、資產和資料（CSIAD），分析這些資產相關的網路威脅並緩解、接受或轉移風險。其中，分享OEM/供應商和/或DAH的新發現但未緩解的風險至關重要。

ED-204A/DO-355A指南和AMC支援識別持續適航資訊。本文介紹飛行器部件、網路接入點、GSE和GSIS、數字證書，並詳細說明DAH和運營者的責任。

確定的CSIAD即為飛行器網路風險評估（ACRA）的評估範圍，評估應涵蓋飛行器生命週期內的操作和維護。飛行器的CSIAD分類應參考最新版本的FIPS 199和NIST特刊（SP）800-30、SP 800-59和SP 800-60。

如前所述，對於每項確定的CSIAD，根據相應保護級別（視風險和影響而定）和後果選擇安全控制措施，並按要求評估其有效性。NIST SP-800-171、SP-800-53和NIST SP-800-70的最新版本可為該步驟提供支援。

ED-203A/DO-356A可作為風險評估流程的指南和AMC參考檔案。以下參考檔案的最新版本也可為ACRA提供支援：NIST SP 800-37、基於ITIL（資訊科技基礎設施庫）的ISO/IEC 27001:2013或ISO/IEC 31000。

行業標準ED-203A、ED-204A，以及相關的DO-356A和DO-355A為了解飛行器各生命週期（包括操作和維護活動）面臨的資訊保安威脅提供了重要參考。

如前所述，值得注意的是，飛行器網路風險評估還應考慮OEM/系統供應商和/或DAH提供的網路安全要求，這些要求應精心整合在該流程中。同樣，內部AISP/ANSP也應納入該流程為您提供關鍵元件。而且，還可聯手OEM/系統供應商和/或DAH對風險評估進行驗證，以確保執行風險評估測試時未違約或破壞飛行器域。某些活動可能導致適航證書無效，原因是某些測試可能需要深入內部，致使飛機處於未知狀態。此外，一些OEM/系統供應商和/或DAH可能會提供網路範圍或網路映象系統，方便產品測試，有助於瞭解邊界、資料流和其他特性開展進一步測試。

1）漏洞評估

漏洞評估是風險評估的子步驟，旨在規劃和執行技術的安全測試，收集可能影響CSIAD的已知漏洞，對已得資料進行分析、歸類並確定優先順序，最後制定補救策略和部署緩解措施。具體流程，見ED-203A/DO-356A。

該流程可涵蓋滲透/入侵和驗證測試活動，這取決於待評估系統的要求或敏感性。同樣，運營者在評估活動前可能會參閱OEM/系統供應商和DAH的安全手冊並直接與他們進行討論，因為某些測試活動可能有入侵行為致使飛機處於未知狀態，造成適航證書無效。

以下參考檔案可為此步驟提供支援：NIST SP 800-115、SP 800-40、開放式Web應用程式安全專案（OWASP）、開源安全測試方法手冊（OSSTMM）、滲透測試執行標準（PTES）和資訊系統安全評估框架（ISSAF）。

4.定期風險評估

如前所述，對於投入使用的聯網飛機，適航證書應涵蓋可能影響安全的網路安全因素。一些飛行器OEM釋出了未來持續適航（ICA）指令通知，保護傳統飛行器系統部件免遭網路威脅。

ED-202A/DO-326A和ED-203A/DO-356A的最新版本涵蓋了OEM/供應商和DAH的這些要求。ED-204A/DO-355A最新版本中的持續適航方面對運營者影響較大。其他ED/DO目前正在編寫，即將推出。

隨著新技術不斷滲透航空領域並最終用於聯網飛行器，在飛行器的執行生命週期內需進行修復、修改和新配置，必須對所有機隊型別、傳統或聯網飛行器的改動進行監控和檢查。因此，須根據引入的新技術、修改或配置變更定期或事件發生後執行風險評估流程，以便向決策者提供最新風險狀況。該風險狀況或報告應為部署正確的緩解措施以及網路安全政策和戰略的調整持續提供參考。

其中一個特定例子是在駕駛艙中引入較新的EFB或移動裝置。越來越多的EFB應用程式在iPad上執行，原因是這些裝置功能更強大且具備較大容量和更好的使用者體驗。雖然這些新技術為飛行員帶來了更多方便，但同時也可能擴大攻擊面，引入新的漏洞和/或暴露，甚至可用於規避適航義務或DAH的常規責任。值得一提的是，這個新供應鏈的責任（如對駕駛艙中現成技術的維護）可能很難界定，而且也難以確定合規性要求。

5. 應急管理和事件響應

應急管理和事件響應流程是風險管理計劃中最重要的一個流程，因為該流程可檢測和應對飛行器保護相關政策、安全控制、措施和緩解措施中的缺陷。ED-204A/DO-355A介紹了飛行器資訊保安事件管理指南和AMC。由於目前本文正在修訂，其他ED-ISEM/DO-ISEM（資訊保安事件管理指南）正在編制之中。

NIST SP 800-61最新版本——修訂版2提供事件處理指南，SP 800-161提供供應鏈風險管理指南，為運營者提供支援。以下是資訊保安事件管理和響應的一般流程，可作為制定該流程的依據。

資訊保安事件管理和響應

來源：IATA（基於NIST）

各類日誌（如系統日誌和安全日誌）的關聯和監控是該流程的主要支援性活動之一。兩類日誌都是必要的，相應的OEM/系統供應商和/或裝置和服務的DAH應提供日誌訪問和保護機制。而且，這些日誌需與運營者的關鍵系統的日誌相關聯，方便使用者分析和識別潛在攻擊。應按照當地部門規定，在一段時間內對這些日誌妥善保護和儲存，作為攻擊判斷依據。ED-203A/DO-355A在持續適航概念範圍內提供了日誌方面的建議並規定了DAH和運營者的責任。

與CSIAD相關的日誌都非常重要，需要進行收集和關聯。關鍵日誌應包括裝置/記錄系統、航空電子系統、認證服務、通訊系統和全球導航衛星系統（GNSS）以及維護和操作方面的記錄。同時，還需對防火牆和伺服器、入侵檢測系統（IDS）以及終端檢測和響應（EDR）自動化系統的日誌進行關聯和分析。另外，需透過時間同步確定事件的準確時間範圍。飛行器日誌時間應與地面系統保持一致。並且，還應關注以下系統的日誌：IFE、PAX、地面系統、EFB/移動裝置和其他IT系統。

說明：系統和配置的修改或新技術或連線元件的引入應觸發自動風險分析和日誌整合。

EUROCAE和RTCA在即將釋出的ED/DO中描述了事件響應、資訊共享和報告的各項要素，特別是目前正在編寫的ED-ISEM/DO-ISEM（資訊保安事件管理指南）。

    ·  譯者宣告    ·    

由綠盟科技部落格與“安全加”社群小蜜蜂公益翻譯組合作完成，免責宣告及相關責任由“安全加”社群承擔。

小蜜蜂翻譯組公益譯文專案，旨在分享國外先進網路安全理念、規劃、框架、技術標準與實踐，將網路安全戰略性文件翻譯為中文，為網路安全從業人員提供參考，促進國內安全組織在相關方面的思考和交流。