第3章 飛行器網路安全要素概述

3.1 航空生態系統要素

民航生態系統涉及利益相關各方的密切協作，他們的系統高度互聯，需要妥善保護。飛行器的安全執行以及更為個性化的航空運輸體驗取決於多個要素，這些要素同時也在提升航空業運營效率和收入方面發揮著關鍵作用。

圖3.1（1）民航生態系統

來源： IATA

下面首先介紹航空業的各個利益相關者或實體，以便深入瞭解整個航空生態系統的複雜性及其相關要素（如上圖所示）。接下來，會著重介紹航空公司的組織和相關要素；最後，會介紹飛行器及其相關要素，這也是本章重點內容。

參考EUROCAE ED-201《航空資訊系統安全框架指南》中的航空利益相關者框架，利益相關者包括但不限於如下各類人員或實體：

• 製造商，如原始裝置製造商（OEM）、系統供應商以及飛行器、系統和飛行器中整合裝置的設計批准書持有人（DAH）；

• 運營者：航空公司、機場、航空導航服務提供商（ANSP）；

• 飛行器、系統、網路等的維護和修理供應商；

• 監管和治理實體：立法者、監管者、審計師等；

• 標準化實體：負責制定標準的機構；

• 乘客。

航空生態系統中存在著不同的利益相關者，各方均代表不同的角色、目標、動機、優勢或能力，在航空網路安全方面都發揮著至關重要的作用，尤其是利益相關者之間存在大量資料交換的情況下。

航空生態系統、互聯絡統和資料流的複雜性如下圖所示。

圖3.1（2）航空生態系統

來源：IATA（基於AIAA）

需要強調的是，多個利益相關者，特別是產品供應商和服務提供商，與飛行器和航空業構成了複雜的關係，為劃分責任、確認責任方及對應領域帶來了挑戰。明確並瞭解自己的責任所在，清晰界定安全和保障責任，這點很重要。

有關飛行器生命週期不同階段的責任，參見本指導手冊第2部分第2章。

3.2組織及相關要素

運營者在其運營活動中，需與整個航空生態系統中的多個利益相關者和合作方進行互動。因此，航空公司在日常運營時會越來越多地利用自動化來提升可靠性、準確性和效率，同時加強與第三方/供應鏈、通訊和網路的互動。這不僅指航班運營，還包括負責維修、地面操作、機場運營以及貨運的業務單位。此外，許多民航利益相關者/供應鏈、製造商和系統供應商向航空公司提供網路安全方面的服務或支援。下圖顯示了航空公司組織以及常與運營者互動的利益相關者群體。

圖3.2（1）航空公司組織及其利益相關者

來源： IATA

下表列出了運營者負責的部分航空公司業務系統和飛行器作業系統。需要強調的是，由不同的利益相關者提供的各個系統，由不同的參與者/個人（組織內外部）負責，受服務水平協議（SLA）約束。有關SLA的更多資訊和建議，參見ED-201：航空資訊系統安全（AISS）框架指南。因此，由於複雜性，需要建立/落實穩健的程式、溝通機制，明確界定責任。

圖3.2（2）航空公司業務系統

來源： IATA

圖3.2（3）飛行器作業系統

來源： IATA

3.3飛行器及相關要素

飛行器已經高度數字化，包含大量系統，因此，保護這些系統的安全需要多方利益相關者參與。近年來，電子內容（系統和網路）發展迅速，形成了非常複雜的連線圖。飛行器聯網後，大大方便了維修和健康監測，同時提升了運營成本效益和乘客體驗。然而，在數字化過程中，機載系統可能存在漏洞，因此帶來相關風險。

OEM/系統供應商/DAH為運營者提供了新的解決方案，以滿足業界對飛行器設計、高效發動機、乘客體驗和計算能力方面的不同需求。因此，飛行器在設計和製造上採用了整合軟體和聯網航空電子裝置，分佈於不同域，具有不同的可信度。

國際民航組織（ICAO）與其他行業利益相關者共同定義了三大域，具體如下：

• 飛行器控制域（ACD）

• 飛行器/航空公司資訊服務域（AISD）；以及

• 乘客資訊娛樂系統域（PIESD）。

圖3.3（1）飛行器中的域劃分

來源： IATA

飛行器控制域（ACD）的主要功能是保證飛行器的安全執行。ACD的安全資料傳輸也有助於更準確地跟蹤和管理飛行器。該域須符合國際航空安全的最高標準。由於它的重要性，需要始終保障資料交換。應該注意的是，ACD由多種系統組成，包括駕駛艙控制系統、環境系統以及如煙霧探測器、門和撤離滑梯等裝置。

飛行器/航空公司資訊服務域（AISD）包含提供非關鍵服務的系統，主要功能是保證其他域之間的連線。AISD中的系統對飛行器的運營起著關鍵的作用，但與飛行器的控制無關。航空公司使用此域來支援客艙或機組人員的應用程式和內容。這些系統不算是關鍵系統，但從商業和運營的角度來看具有一定的重要性。AISD為駕駛艙、機艙提供執行和管理資料，與維修服務相連線，為PIESD域提供支援。

乘客資訊娛樂系統域（PIESD）主要為乘客提供服務或支援，如機上娛樂、網際網路連線等。具體提供的服務在很大程度上取決於航空公司想為乘客提供什麼水平的服務/娛樂（機上娛樂、旅客航班資訊、內網訪問等）。

此外，飛行器系統和機載網路與ARINC-664標準中定義的域結合，為後者提供服務，滿足同樣的效能、安全和保障要求。ARINC664P1-2和ARINC664P5劃分了四個不同的域。前三個與前面提到的相同，但是多了第四個域，即乘客自帶裝置域（PODD），涵蓋乘客登機後可與機上娛樂服務連線的所有裝置。

為確保合理的安全和保障水平，各域被物理隔離或邏輯隔離。因此，ACD中的飛行器控制系統與其他域是隔離開的。下圖顯示了具有封閉、可信和不可信特徵的域，以及三個域的系統和相關要素。

圖3.3（2）飛行器各域與系統示例

來源： IATA

從功能體系架構的角度來看，PIESD是不可信域，假定已被入侵，因此它的完整性最低。該域資訊不會共享到信任級別更高的域，因為可信域中只能存在預期的資料或資訊。AISD和ACD都是可信域，ACD是飛行器系統中完整性最高的系統。這兩個域不信任完整性較低的域，這是飛行器架構的安全基礎。不同域之間進行隔離，為通訊系統的使用增加了一些特定限制，例如：

• 連線到ACD域的無線電通訊裝置僅限於ACD中的系統（例如空中交通管制、航空公司運營通訊等）；

• 連線到其他域的無線電通訊裝置僅限於這些域中的系統（例如航空公司運營通訊、航空公司行政通訊、航空乘客通訊等）。

隨著飛行器數字化的普及，出現了一些對飛行器執行非常重要的系統、網路和裝置。它們的好處固不必說，但也帶來了一些潛在問題，我們在考慮飛行器及其互聯生態系統的安全時不能忽視這些問題。

• 飛行器通訊系統：使用甚高頻（VHF）或衛星通訊等鏈路的數字空對地通訊系統。

• 飛行器-地面鏈路：新興的衛星空地通訊系統等。

• 飛行器維護：現在，飛行器的維護大多依靠技術，能夠直接向維護團隊傳輸資料。這一過程對於飛行器和飛行器部件的持續適航至關重要。因此，為了飛行安全，確保相關係統和裝置的安全非常重要。

• 飛行器健康監測（AHM）：OEM/系統供應商提供連線技術，支援運營者進行AHM，以便儘早解決問題，提高維護精確度。

• 電子飛行包（EFB）：用於儲存和顯示各種航空資料的行動式裝置，屬於計算平臺，可以減少/替換機組在飛行期間使用的紙質資訊和檔案（航行圖、地圖、工程資訊）。

• 不可信服務/網路：連線到不可信服務和網路的飛行器系統，包括機場大門鏈路網路（如GateLink）、蜂窩網路和行動式電子裝置。

• 機上娛樂（IFE）：客艙通訊和連線，加上無線覆蓋，提供機上娛樂和更好的乘客體驗。

關於上述部件在各域中的位置，參見圖3.3（2）。

譯者宣告

由綠盟科技部落格與“安全加”社群小蜜蜂公益翻譯組合作完成，免責宣告及相關責任由“安全加”社群承擔。

小蜜蜂翻譯組公益譯文專案，旨在分享國外先進網路安全理念、規劃、框架、技術標準與實踐，將網路安全戰略性文件翻譯為中文，為網路安全從業人員提供參考，促進國內安全組織在相關方面的思考和交流。