皮特·庫(kù)珀

1 航空業(yè)現(xiàn)狀

從整體上看，航空業(yè)從9 / 11恐怖襲擊中恢復(fù)以來(lái)就一直處于強(qiáng)勁增長(zhǎng)的時(shí)期。市場(chǎng)的強(qiáng)勁增長(zhǎng)也伴隨著旅客服務(wù)的多樣性和復(fù)雜性的增加，以及技術(shù)使用的增加。

航空業(yè)本身就需要在非常危險(xiǎn)的環(huán)境下運(yùn)行；從統(tǒng)計(jì)上來(lái)說(shuō)，它是最安全的交通方式之一，這對(duì)所有業(yè)內(nèi)人士來(lái)說(shuō)都是一種榮譽(yù)。但是航空業(yè)正在走向完全數(shù)字化，將聯(lián)網(wǎng)技術(shù)接入關(guān)鍵服務(wù)。在這一轉(zhuǎn)變過(guò)程中，它有義務(wù)去至少維持或盡可能改善這一來(lái)之不易的安全記錄。在商業(yè)競(jìng)爭(zhēng)的環(huán)境中，平衡新的風(fēng)險(xiǎn)和潛在的機(jī)會(huì)是很有挑戰(zhàn)性的。它將需要行業(yè)、政策制定者和其他利益相關(guān)者的合作，在已知有效實(shí)踐的基礎(chǔ)上做出必要的創(chuàng)新。了解航空業(yè)的價(jià)值觀和動(dòng)機(jī)可能會(huì)幫助我們發(fā)現(xiàn)提高網(wǎng)絡(luò)安全的驅(qū)動(dòng)因素。

1.1 價(jià)值和動(dòng)機(jī)

過(guò)去十年，盡管有9/11和金融危機(jī)，航空業(yè)仍然增長(zhǎng)了60%，過(guò)去三年，全球航空業(yè)凈利潤(rùn)達(dá)到了史上最高，2017年預(yù)期利潤(rùn)為300億美元。盡管該行業(yè)利潤(rùn)可觀，但對(duì)錯(cuò)誤的容忍度卻很低，一旦事件發(fā)生，對(duì)財(cái)務(wù)或投資者信心的影響都是巨大的。

由于不間斷電源的誤操作，英國(guó)航空公司（British Airways）IT系統(tǒng)發(fā)生故障，導(dǎo)致726次航班取消，七萬(wàn)五千名旅客滯留，經(jīng)濟(jì)損失約8000萬(wàn)英鎊[1]。

2017年8月16日，達(dá)美航空公司（Delta Airlines）運(yùn)行中心停電，造成5小時(shí)運(yùn)行中斷，約2000次航班取消，經(jīng)濟(jì)損失達(dá)1.5億美元[2]。

盡管這些都是偶然的中斷，不是惡意活動(dòng)造成的，但它們卻證明了即使是小失誤也會(huì)被迅速放大，影響運(yùn)行穩(wěn)定，造成相當(dāng)大的損失。攻擊者越是發(fā)現(xiàn)到單一系統(tǒng)失敗的影響會(huì)在行業(yè)中擴(kuò)大，他們的動(dòng)機(jī)就越強(qiáng)，并會(huì)開(kāi)始探索“可能性”。由于這一風(fēng)險(xiǎn)，航空業(yè)應(yīng)提高網(wǎng)絡(luò)安全，在整個(gè)系統(tǒng)之間進(jìn)行合作。

增加航空業(yè)提升網(wǎng)絡(luò)安全的動(dòng)機(jī)，使其更加明確、簡(jiǎn)單，這是降低未來(lái)風(fēng)險(xiǎn)的關(guān)鍵。航空和網(wǎng)絡(luò)安全部門(mén)的一些個(gè)體已經(jīng)在制定網(wǎng)絡(luò)安全方法和提升網(wǎng)絡(luò)安全能力方面取得了良好的進(jìn)展，但這并沒(méi)有擴(kuò)大到整個(gè)行業(yè)。

鼓勵(lì)和激勵(lì)整個(gè)航空業(yè)看到提升網(wǎng)絡(luò)安全的價(jià)值是很有挑戰(zhàn)性的，也是非常重要的。法規(guī)合規(guī)可能會(huì)有所幫助，但正如在其他行業(yè)中發(fā)生的那樣，即使是監(jiān)管最嚴(yán)格的行業(yè)也會(huì)有違規(guī)，而以合規(guī)為中心（而不是以攻擊者為中心）也有其局限性。在各保險(xiǎn)政策中納入網(wǎng)絡(luò)安全要求可能也會(huì)有所幫助，但這并不是唯一的潛在激勵(lì)因素。

到目前為止，金融投資者在這個(gè)問(wèn)題上并未多言，這一利益相關(guān)者群體可能會(huì)給航空業(yè)帶來(lái)相當(dāng)大的動(dòng)機(jī)。隨著國(guó)際民用航空組織（ICAO）和其他機(jī)構(gòu)越來(lái)越重視網(wǎng)絡(luò)安全的改善，投資者可能也會(huì)更加關(guān)注所投資行業(yè)的網(wǎng)絡(luò)安全。這不僅要理解航空網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，還需要理解逐漸增長(zhǎng)的旨在管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的監(jiān)管和政策努力。

研究表明，盡管越來(lái)越多的企業(yè)意識(shí)到了提高網(wǎng)絡(luò)安全的必要性，但企業(yè)可能不愿推出、購(gòu)買(mǎi)或升級(jí)網(wǎng)絡(luò)安全能力。猶豫不決的原因在于，盡管標(biāo)準(zhǔn)在制定中，但國(guó)家和國(guó)際機(jī)構(gòu)尚未頒布航空網(wǎng)絡(luò)安全法規(guī)和互操作性標(biāo)準(zhǔn)。與其現(xiàn)在就選擇一種可能很快就會(huì)變得不兼容，或者不能與頒布的“行業(yè)標(biāo)準(zhǔn)”互操作的方法或技術(shù)，不如先等待。

但這樣的等待游戲不僅阻礙了航空業(yè)的發(fā)展，還阻礙了可以支持航空業(yè)的，強(qiáng)大且多樣化的網(wǎng)絡(luò)安全產(chǎn)業(yè)的誕生。為了向前推進(jìn)，國(guó)際和國(guó)家機(jī)構(gòu)必須頒布明確的互操作性標(biāo)準(zhǔn)政策指南。

1.2 航空網(wǎng)絡(luò)安全政策

在航空生態(tài)系統(tǒng)的許多領(lǐng)域，創(chuàng)新、技術(shù)進(jìn)步和攻擊者能力的增長(zhǎng)速度可能會(huì)超過(guò)政策和監(jiān)管的發(fā)展。國(guó)家和國(guó)際政策的凝聚和迅速成熟將是其領(lǐng)先于技術(shù)和風(fēng)險(xiǎn)的關(guān)鍵。

在航空業(yè)中有大量的全球和國(guó)家機(jī)構(gòu)，許多機(jī)構(gòu)正在開(kāi)始認(rèn)識(shí)到網(wǎng)絡(luò)安全挑戰(zhàn)。由于航空是一個(gè)全球性的產(chǎn)業(yè)，ICAO在聯(lián)合國(guó)的支持下，有責(zé)任制定國(guó)際航空標(biāo)準(zhǔn)，并作為各國(guó)進(jìn)行各個(gè)方面的貿(mào)易討論的渠道。這種領(lǐng)導(dǎo)對(duì)話和標(biāo)準(zhǔn)化，為對(duì)話建立結(jié)構(gòu)框架的作用，對(duì)于促進(jìn)全球行業(yè)發(fā)展，保障行業(yè)安全至關(guān)重要。這一模式多年來(lái)運(yùn)轉(zhuǎn)良好，但由于這一如此龐大的國(guó)際機(jī)構(gòu)的性質(zhì)，談判和協(xié)定發(fā)展可能會(huì)很慢。

但這種轉(zhuǎn)變正在發(fā)生。2016年，ICAO第39屆會(huì)議通過(guò)了一項(xiàng)有關(guān)民用航空網(wǎng)絡(luò)安全問(wèn)題的決議[3]。這凸顯了迅速變化的惡意威脅行為者所構(gòu)成的危險(xiǎn)，以及通過(guò)行業(yè)合作應(yīng)對(duì)威脅的迫切需要。民航組織呼吁各成員國(guó)在制定ICAO網(wǎng)絡(luò)安全框架方面進(jìn)行合作，希望能夠?yàn)閼?yīng)對(duì)挑戰(zhàn)制定結(jié)構(gòu)。2017年在迪拜舉行的ICAO網(wǎng)絡(luò)安全會(huì)議發(fā)表了宣言，強(qiáng)化了該決議，宣言呼吁各國(guó)減輕網(wǎng)絡(luò)風(fēng)險(xiǎn)，并制定立法框架，對(duì)“網(wǎng)絡(luò)攻擊者”采取行動(dòng)。宣言加入了額外的威懾因素，即宣布“對(duì)民用航空的網(wǎng)絡(luò)攻擊必須被列為犯罪”。這就不僅僅將重點(diǎn)放在了網(wǎng)絡(luò)安全上，而是建立國(guó)際行為準(zhǔn)則，這是一項(xiàng)可喜的進(jìn)展，為國(guó)家和國(guó)際間對(duì)話增加了深度。

全球有很多旨在改善國(guó)內(nèi)航空網(wǎng)絡(luò)安全政策的國(guó)家倡議，在美國(guó)，參議員愛(ài)德華·馬爾科（Edward Markey）提出了《2016提升飛機(jī)網(wǎng)絡(luò)安全和韌性標(biāo)準(zhǔn)》（Cybersecurity Standards for Aircraft to Improve Resilience Act of 2016）。這一法案創(chuàng)造了反饋渠道，增加了信息透明度，這有利于對(duì)“飛機(jī)系統(tǒng)、飛機(jī)維護(hù)和地面支持系統(tǒng)”的相關(guān)標(biāo)準(zhǔn)和規(guī)定進(jìn)行更新，法案還包括了確定飛機(jī)“電子入口（electronic entry points）”的規(guī)定，這樣就可能對(duì)入口施行保護(hù)措施，如將關(guān)鍵系統(tǒng)與非關(guān)鍵系統(tǒng)隔離。關(guān)注飛機(jī)是理解挑戰(zhàn)關(guān)鍵要素的良好開(kāi)端；如果這項(xiàng)工作順利進(jìn)行，它將與更廣泛的行業(yè)努力良好切合。

美國(guó)和歐洲都強(qiáng)調(diào)了要將航空作為關(guān)鍵國(guó)家基礎(chǔ)設(shè)施。例如，歐洲的網(wǎng)絡(luò)和信息系統(tǒng)（NIS）指令就覆蓋了航空業(yè)。在美國(guó)，航空已經(jīng)越來(lái)越融入《2017美國(guó)國(guó)土安全部（DHS）授權(quán)法案》（Authorization Act）中。法案承認(rèn)理解危險(xiǎn)的價(jià)值，要求將網(wǎng)絡(luò)組件納入今后的威脅評(píng)估中，并進(jìn)行年度威脅評(píng)估，重點(diǎn)關(guān)注航空運(yùn)輸系統(tǒng)風(fēng)險(xiǎn)。

第561節(jié)中有一小段特別介紹了航空網(wǎng)絡(luò)安全問(wèn)題。法案最初提出了國(guó)土安全部部長(zhǎng)應(yīng)在“法案頒布后120天內(nèi)，制定并實(shí)施航空安全網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估模型，模型需符合國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所的《改進(jìn)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全 框 架》（Framework for Improvement Critical Infrastructure Cybersecurity）。”如果該法案通過(guò)，由于國(guó)際航空網(wǎng)絡(luò)安全的現(xiàn)狀及其與公共和私人利益相關(guān)者之間的交集，在120天內(nèi)制定并實(shí)施這樣一個(gè)風(fēng)險(xiǎn)評(píng)估模型將是一個(gè)挑戰(zhàn)。

作為航空行業(yè)的合作伙伴，網(wǎng)絡(luò)安全行業(yè)必須首先支持現(xiàn)有的有效措施，增加其效力，而不是削弱它。例如，該法案的大部分內(nèi)容都在強(qiáng)調(diào)網(wǎng)絡(luò)安全信息共享的重要性，但并未考慮如何將這一做法融入現(xiàn)有的航空安全信息共享系統(tǒng)中。同時(shí)實(shí)行航空安全和網(wǎng)絡(luò)安全系統(tǒng)有可能可行，但也有可能極大增加管理負(fù)擔(dān)和治理的復(fù)雜性。

《2017國(guó)土安全部授權(quán)法案》還認(rèn)為，“《芝加哥公約》規(guī)定的機(jī)場(chǎng)最低安全標(biāo)準(zhǔn)…在目前的威脅環(huán)境下并不足夠，我們已經(jīng)多次看到恐怖組織策劃針對(duì)航空業(yè)的襲擊…”并指導(dǎo)美國(guó)駐ICAO代表“追求改善機(jī)場(chǎng)安全”。本報(bào)告將探討的是，航空業(yè)不僅面臨物理安全威脅，而且還面臨涉及安全和非安全關(guān)鍵操作各個(gè)方面的網(wǎng)絡(luò)安全威脅。因此，隨著國(guó)際民航組織中的美國(guó)代表開(kāi)始“在ICAO中發(fā)揮領(lǐng)導(dǎo)作用…提高這些標(biāo)準(zhǔn)，”ICAO很可能會(huì)考慮到日益增長(zhǎng)的網(wǎng)絡(luò)威脅。

在國(guó)家和國(guó)際舞臺(tái)上，現(xiàn)代航空業(yè)的保護(hù)受到了越來(lái)越多的關(guān)注。各種倡議很有可能將會(huì)趨同并發(fā)展，使該行業(yè)能夠更容易的取得進(jìn)展。然而，如果不徹底了解這一行業(yè)的現(xiàn)狀、利益相關(guān)者以及挑戰(zhàn)，這一進(jìn)展將是緩慢的。越理解這些組件并對(duì)其進(jìn)行管理，就越有能力實(shí)現(xiàn)準(zhǔn)確和效率。

2 航空業(yè)互聯(lián)所帶來(lái)的挑戰(zhàn)

航空業(yè)的全球互聯(lián)使得某一地域的失敗得以迅速蔓延到整個(gè)系統(tǒng)，適用于孤立（甚至是企業(yè)IT）環(huán)境的響應(yīng)方法是不足以應(yīng)對(duì)的。這一風(fēng)險(xiǎn)是全球性、系統(tǒng)性的，需有著相應(yīng)的連鎖事故模式。

對(duì)于一個(gè)長(zhǎng)久以來(lái)都在展示安全和保障的行業(yè)來(lái)說(shuō)，互聯(lián)系統(tǒng)和抵御方法的復(fù)雜性就構(gòu)成了挑戰(zhàn)。在網(wǎng)絡(luò)安全事件或漏洞暴露時(shí)，航空業(yè)必須迅速向公眾展示保障，重建信任。由于許多網(wǎng)絡(luò)安全措施都是技術(shù)性的，因此很難向非技術(shù)受眾展示有效性；在事件發(fā)生后宣布改善可能不夠。重建信任的脆弱和重建的困難意味著，航空業(yè)不僅要尋求建立系統(tǒng)韌性，還必須與主要利益相關(guān)者建立信任韌性。

2.1 了解威脅，知曉風(fēng)險(xiǎn)

歷史表明，網(wǎng)絡(luò)攻擊者及其能力的進(jìn)步和適應(yīng)速度驚人地快。這在航空業(yè)中尤其具有挑戰(zhàn)性，因?yàn)樵S多行業(yè)核心系統(tǒng)都有很長(zhǎng)的開(kāi)發(fā)周期，政策和設(shè)計(jì)標(biāo)準(zhǔn)很早就被確定下來(lái)，更新也需要相當(dāng)長(zhǎng)的時(shí)間。為了使航空業(yè)準(zhǔn)確地評(píng)估和預(yù)測(cè)風(fēng)險(xiǎn)，必須了解當(dāng)前的威脅及其潛在的影響。

在評(píng)估風(fēng)險(xiǎn)時(shí)，包括航空業(yè)在內(nèi)的許多行業(yè)會(huì)將威脅者依照成熟度分為：高級(jí)持續(xù)性威脅（APT）、有組織的犯罪團(tuán)伙、黑客主義者等。然而，因?yàn)樽陨碜鳛槟繕?biāo)的性質(zhì)，許多企業(yè)在風(fēng)險(xiǎn)評(píng)估中并不將APT認(rèn)定為威脅。但正如許多高關(guān)注度的泄密事件所顯示的那樣，在早期聲稱事件中有APT攻擊者的參與，比起想宣布事實(shí)，其實(shí)是更希望得到公眾的原諒，因?yàn)锳PT不可能被“預(yù)見(jiàn)”或反擊。

有一種觀點(diǎn)認(rèn)為，過(guò)度依賴風(fēng)險(xiǎn)評(píng)估中的威脅者分類會(huì)有損準(zhǔn)確性。畢竟，最近的事件逐漸表明，威脅者的技術(shù)能力、規(guī)?；蛐再|(zhì)不再是構(gòu)成其主要評(píng)估因素。資源充足的威脅者會(huì)使用不成熟的工具來(lái)節(jié)省金錢(qián)、誤導(dǎo)歸因，擁有關(guān)鍵技能但并沒(méi)有很多資源的個(gè)人也可以開(kāi)發(fā)復(fù)雜的工具。

一些人認(rèn)為，航空業(yè)的威脅模型往往低估了攻擊者的能力或攻擊者能力的成熟度。正確制定威脅模型是理解真實(shí)風(fēng)險(xiǎn)水平的必要條件。對(duì)于那些可能造成生命損失的關(guān)鍵系統(tǒng)，應(yīng)該有相應(yīng)的網(wǎng)絡(luò)安全要求。例如，飛行關(guān)鍵系統(tǒng)發(fā)生災(zāi)難性故障的風(fēng)險(xiǎn)評(píng)級(jí)必須為極其不可能（1x10-9），并用測(cè)試和分析進(jìn)行驗(yàn)證。如果網(wǎng)絡(luò)威脅模型被低估，它可能會(huì)給人一種錯(cuò)誤的印象，即系統(tǒng)風(fēng)險(xiǎn)已經(jīng)達(dá)到了可接受的水平。

盡管如此，航空和網(wǎng)絡(luò)安全行業(yè)都經(jīng)歷過(guò)內(nèi)部惡意人士的威脅。航空業(yè)已經(jīng)在減輕內(nèi)部威脅上投入了很多，主要是圍繞物理安全。在網(wǎng)絡(luò)安全方面，發(fā)現(xiàn)和阻止內(nèi)部人士濫用信任的許多高級(jí)流程都是一樣的。員工篩選、分層安全措施以及尋找異常行為等方法將是這兩個(gè)行業(yè)尋找威脅時(shí)的共同基礎(chǔ)方法。

2.2 擴(kuò)大的攻擊面

航空業(yè)長(zhǎng)期以來(lái)一直是惡意攻擊者的目標(biāo)。隨著航空業(yè)的聯(lián)網(wǎng)服務(wù)和系統(tǒng)越來(lái)越多，攻擊者可以干擾的潛在系統(tǒng)攻擊面明顯增多，也越來(lái)越復(fù)雜。

不斷增長(zhǎng)的技術(shù)和互聯(lián)性給惡意攻擊者帶來(lái)了攻擊航空業(yè)的新機(jī)會(huì)。在地面上，攻擊行為從擾亂機(jī)場(chǎng)運(yùn)作的初級(jí)行動(dòng)，到國(guó)家支持的攻擊，如將機(jī)場(chǎng)展示屏和廣播用作宣傳工具。在空中，多個(gè)研究人員聲稱對(duì)ATM（空中交通管理）系統(tǒng)和飛機(jī)的攻擊是可能的?！巴荒崴购诳完?duì)（The Tunisian Hackers Team）”這樣的恐怖組織已經(jīng)威脅要對(duì)航空部門(mén)發(fā)動(dòng)網(wǎng)絡(luò)攻擊：“…下一次，你們的空域會(huì)受到攻擊。我們將試圖控制機(jī)場(chǎng)的計(jì)算機(jī)以及電子行業(yè)，你們知道我們能做到這一點(diǎn)?！盵4]

隨著攻擊面的快速擴(kuò)展并包含多方利益相關(guān)者，漏洞將在所有的系統(tǒng)中存在——只是發(fā)現(xiàn)時(shí)間和被誰(shuí)發(fā)現(xiàn)的問(wèn)題。攻擊者總是在尋求“可能性”和從中獲得的好處。到目前為止，對(duì)航空業(yè)的攻擊影響很小，這可能會(huì)導(dǎo)致一種錯(cuò)誤的安全感。但是，正如其他行業(yè)證明的那樣，這種感覺(jué)很少會(huì)持續(xù)。

2.3 對(duì)威脅的看法

如何看待網(wǎng)絡(luò)威脅對(duì)理解風(fēng)險(xiǎn)和管理風(fēng)險(xiǎn)至關(guān)重要。通過(guò)為這份報(bào)告進(jìn)行的研究，很明顯，看法不一可能是航空業(yè)面臨的最大挑戰(zhàn)之一。有些人表示，很多對(duì)航空業(yè)漏洞的擔(dān)心都被忽視了，因?yàn)樵谶^(guò)去是不可能有類似漏洞的。

雖然航空業(yè)中有很多對(duì)網(wǎng)絡(luò)安全挑戰(zhàn)復(fù)雜性的看法和理解，統(tǒng)一行業(yè)中的每個(gè)人看法和理解水平是有必要的。這是防止?jié)撛陲L(fēng)險(xiǎn)被忽視，促進(jìn)多方合作對(duì)話的關(guān)鍵。

航空業(yè)已經(jīng)承認(rèn)了風(fēng)險(xiǎn)的存在并對(duì)故障風(fēng)險(xiǎn)進(jìn)行了管理：大多數(shù)航空系統(tǒng)，在構(gòu)建時(shí)會(huì)允許可預(yù)見(jiàn)的、不會(huì)威脅安全的故障。隨著行業(yè)攻擊面增加，航空業(yè)成為網(wǎng)絡(luò)攻擊者的誘人目標(biāo)，這就可能產(chǎn)生相當(dāng)大的不可預(yù)測(cè)性。處理這種不可預(yù)測(cè)性需要不同利益相關(guān)者的共同努力?？s小各種看法之間的差距將使這些挑戰(zhàn)更清晰，讓行業(yè)更好的看到風(fēng)險(xiǎn)和機(jī)遇。

3 飛機(jī)互聯(lián)

技術(shù)從根本上改變了飛機(jī)的設(shè)計(jì)、生產(chǎn)、運(yùn)行和維護(hù)，安全與保障模型也必須隨之改變，以保持一致，并向公眾展示其效力。

由于空氣動(dòng)力學(xué)的規(guī)律沒(méi)有改變，飛機(jī)設(shè)計(jì)的演變一直都是穩(wěn)定可見(jiàn)的。然而，在飛機(jī)技術(shù)方面，說(shuō)有時(shí)代差異都過(guò)于輕描淡寫(xiě)了。

飛機(jī)旅行的概念在不斷被重新定義。隨著航空業(yè)不斷回應(yīng)客戶需求，整個(gè)飛行服務(wù)的無(wú)縫連接是必不可少的。這種轉(zhuǎn)變不僅限于乘客服務(wù)。為了追求效率，聯(lián)網(wǎng)技術(shù)越來(lái)越多地改變著飛機(jī)的服務(wù)和操作方式。飛機(jī)不僅與航空公司或空中交通服務(wù)相連，而且還與更廣泛的互聯(lián)網(wǎng)相連，由衛(wèi)星和地面站提供協(xié)助。用隔離來(lái)維護(hù)飛機(jī)“安全”的日子已經(jīng)過(guò)去了。現(xiàn)在有明確的要求來(lái)確保聯(lián)網(wǎng)飛機(jī)的安全。正如我們已經(jīng)討論過(guò)的，說(shuō)一架飛機(jī)安全可靠是不夠的；為了維護(hù)利益相關(guān)者和乘客的信任，必須用證據(jù)來(lái)證明這一點(diǎn)。

在航空業(yè)發(fā)展的早期，展示安全性和可靠性是很簡(jiǎn)單的。一架飛機(jī)的設(shè)計(jì)、測(cè)試和建造全部都在一個(gè)地點(diǎn)?，F(xiàn)在，全球各層級(jí)的供應(yīng)商聚集在一起生產(chǎn)一架飛機(jī)。飛機(jī)的結(jié)構(gòu)和部件曾經(jīng)是用木頭和鋁手工制成的，現(xiàn)在，復(fù)合材料和三維（3D）打印越來(lái)越成為標(biāo)準(zhǔn)。電傳操縱（fly-by-wire）的字面意思是連接飛行員的手和控制版的鋼琴線，電腦則會(huì)根據(jù)數(shù)千個(gè)參數(shù)和機(jī)組人員的輸入做出決定。在計(jì)算機(jī)故障時(shí)，會(huì)有備用計(jì)算機(jī)代替其運(yùn)行，“安全故障”的發(fā)生不會(huì)影響飛機(jī)的著陸。

飛機(jī)現(xiàn)在已經(jīng)被數(shù)字化并包含了數(shù)百萬(wàn)行代碼；編寫(xiě)、驗(yàn)證和保護(hù)越來(lái)越成為一項(xiàng)困難且復(fù)雜的任務(wù)。這項(xiàng)任務(wù)的挑戰(zhàn)不僅僅在于代碼生產(chǎn)的速度，還在于要在飛機(jī)的整個(gè)生命周期中維護(hù)并保障其安全。許多行業(yè)都認(rèn)識(shí)到了快速識(shí)別和修補(bǔ)軟件漏洞的關(guān)鍵性，但據(jù)一位受訪者說(shuō)，目前修改飛機(jī)上安全關(guān)鍵軟件的一條代碼大概需要一年的時(shí)間，成本約為100萬(wàn)美元?？焖俨渴鸢踩碌男枨箅m然關(guān)鍵，但是當(dāng)前漏洞發(fā)現(xiàn)和修復(fù)之間的時(shí)間間隔是一個(gè)大問(wèn)題。監(jiān)管機(jī)構(gòu)應(yīng)準(zhǔn)備好停飛該型號(hào)的飛機(jī)直到關(guān)鍵漏洞解決，同時(shí)要做到飛機(jī)設(shè)計(jì)、制造和更新安全。

3.1 制造

全球供應(yīng)鏈的多樣性、復(fù)雜性和響應(yīng)性，與解決設(shè)計(jì)和制造過(guò)程的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)所需的敏捷性是不一致的。

空客和波音已經(jīng)積壓了超過(guò)13000架飛機(jī)的訂單，按照目前的生產(chǎn)率計(jì)算，相當(dāng)于快10年的時(shí)間，制造商自然要加快飛機(jī)制造的速度。它們正尋求通過(guò)全球轉(zhuǎn)包和外包生產(chǎn)來(lái)擴(kuò)大其供應(yīng)基礎(chǔ)，降低成本并加快飛機(jī)交付速度，確保地區(qū)財(cái)政激勵(lì)。這有時(shí)意味著每架飛機(jī)都會(huì)有位于不同地區(qū)的一群供應(yīng)商，但它們遵循的交付標(biāo)準(zhǔn)是相同的。供應(yīng)鏈擴(kuò)展的風(fēng)險(xiǎn)在于，“制造商永遠(yuǎn)會(huì)被最差的供應(yīng)商所限制”——這一觀點(diǎn)既適用于零件交付，也適用于網(wǎng)絡(luò)安全。

供應(yīng)鏈上的知識(shí)產(chǎn)權(quán)和專有數(shù)據(jù)量相當(dāng)可觀。此外，根據(jù)供應(yīng)鏈的性質(zhì)，一些數(shù)據(jù)可能會(huì)受到《美國(guó)國(guó)際武器流動(dòng)條例》（US International Traffic in Arms Regulations）的限制。對(duì)風(fēng)險(xiǎn)所有者來(lái)說(shuō)，對(duì)這些數(shù)據(jù)進(jìn)行適當(dāng)?shù)谋Ｗo(hù)是一個(gè)相當(dāng)大的挑戰(zhàn)，它必須與所有的供應(yīng)商一起平衡信任、保障和風(fēng)險(xiǎn)。

附加風(fēng)險(xiǎn)，也可以說(shuō)是更危險(xiǎn)的風(fēng)險(xiǎn)是，因?yàn)槭录蛟O(shè)計(jì)，交付的零件或系統(tǒng)中可能出現(xiàn)漏洞。面對(duì)這樣的風(fēng)險(xiǎn)，唯一有效的措施可能只有系統(tǒng)韌性和監(jiān)督。

3.2 飛機(jī)系統(tǒng)

在非常短的時(shí)間內(nèi)，飛機(jī)系統(tǒng)的連通性從近乎于無(wú)到現(xiàn)在的無(wú)處不在。雖然這種連通性有利于節(jié)省燃料、飛機(jī)健康監(jiān)測(cè)（AHM）和乘客體驗(yàn)，但它也可能增加機(jī)載系統(tǒng)的風(fēng)險(xiǎn)敞口。公司IT安全流程可能無(wú)法滿足航空安全所需的可靠性和響應(yīng)時(shí)間。

這種系統(tǒng)設(shè)計(jì)的改變不僅是由操作技術(shù)的演進(jìn)所驅(qū)動(dòng)的，人們計(jì)劃將駕駛艙轉(zhuǎn)換為一個(gè)數(shù)據(jù)豐富的環(huán)境，為飛行人員提供以前無(wú)法獲取的信息。乘客們現(xiàn)在可以在機(jī)艙內(nèi)享受與家庭或辦公環(huán)境近乎相同的連通性。

現(xiàn)代聯(lián)網(wǎng)飛機(jī)產(chǎn)出的數(shù)據(jù)量迅速增長(zhǎng)。據(jù)估計(jì)，到2026年，全球飛機(jī)數(shù)據(jù)可能增長(zhǎng)到9800萬(wàn)兆兆字節(jié)。這些數(shù)據(jù)中有很多攻擊者活動(dòng)或意圖的證據(jù)。能夠看到這些數(shù)據(jù)，保護(hù)它，并迅速分析它，以尋找攻擊的微弱跡象將是至關(guān)重要的。監(jiān)管機(jī)構(gòu)正試圖為飛機(jī)系統(tǒng)及其產(chǎn)生的數(shù)據(jù)制定長(zhǎng)期、實(shí)際、有效的標(biāo)準(zhǔn)。

根據(jù)所需信任和保證的多少，這些網(wǎng)絡(luò)被分成若干個(gè)飛機(jī)數(shù)據(jù)域：

·飛機(jī)控制域由系統(tǒng)和網(wǎng)絡(luò)組成，其主要功能是支持飛機(jī)的安全運(yùn)行。

·航空公司信息服務(wù)域包含非關(guān)鍵飛機(jī)服務(wù)系統(tǒng)和網(wǎng)絡(luò)，并支持域間連通性。

·乘客信息和娛樂(lè)系統(tǒng)域（PIESD）提供并

圖1 飛機(jī)通訊示意圖

3.2.1 網(wǎng)絡(luò)設(shè)計(jì)

現(xiàn)在，飛機(jī)設(shè)計(jì)師們不僅要設(shè)計(jì)出最符合空氣動(dòng)力的外觀、最高效的引擎和最佳的乘客體驗(yàn)，還需要將強(qiáng)大的計(jì)算能力整合和利用到整個(gè)平臺(tái)上。這使得飛機(jī)網(wǎng)絡(luò)從簡(jiǎn)單、低帶寬、信息點(diǎn)到點(diǎn)傳輸，變?yōu)楦邘拏鬏斂刂茀f(xié)議/互聯(lián)網(wǎng)協(xié)議（TCP / IP）網(wǎng)絡(luò)，數(shù)據(jù)傳輸比以前更加自由。與其他大多數(shù)網(wǎng)絡(luò)一樣，飛機(jī)現(xiàn)在也由Wi-Fi路由器、防火墻和多核處理器組成。支持所有乘客服務(wù)，如娛樂(lè)、互聯(lián)網(wǎng)連接等。

這些域已經(jīng)成為行業(yè)標(biāo)準(zhǔn)術(shù)語(yǔ)，盡管看起來(lái)很簡(jiǎn)單，但卻有著潛在的復(fù)雜性。當(dāng)波音公司在其787客機(jī)中使用這些域時(shí)，美國(guó)聯(lián)邦航空管理局（FAA）認(rèn)為這是一種“…新穎或不尋常的設(shè)計(jì)…”，且當(dāng)時(shí)并沒(méi)有相應(yīng)的適航性規(guī)定。聯(lián)邦航空局要求，在波音公司證明相應(yīng)的安全保障措施之前，不允許該客機(jī)飛行。

隨著網(wǎng)絡(luò)和飛機(jī)系統(tǒng)變得越來(lái)越復(fù)雜，管理它們的計(jì)算需求也在不斷增加。與此同時(shí)，技術(shù)過(guò)時(shí)使擴(kuò)展或維護(hù)服務(wù)變得困難。這是可以理解的，因此，該行業(yè)目前正在探索使用多核處理器的潛在機(jī)會(huì)和風(fēng)險(xiǎn)；隨著芯片變得越來(lái)越復(fù)雜，保護(hù)它們也越來(lái)越難[5]。隱藏服務(wù)或后門(mén)，如斯科洛巴蓋托夫和伍茲在Actel ProASIC3芯片中發(fā)現(xiàn)的，這些后門(mén)很難找到，一旦安裝就很難處理掉。

這種系統(tǒng)復(fù)雜性的挑戰(zhàn)就發(fā)生在了波音787上。它不僅使用了Actel ProASIC3芯片，其發(fā)電機(jī)控制組件（GCU）還存在軟件過(guò)載現(xiàn)象，使其在供電248天之后自動(dòng)進(jìn)入防故障模式[6]。如果4個(gè)GCU同時(shí)啟動(dòng)，它們將在248天后停止，“不管在哪種飛行階段”。后來(lái)，波音公司對(duì)美國(guó)聯(lián)邦航空管理局的擔(dān)憂進(jìn)行了證明，但這足以說(shuō)明航空業(yè)和監(jiān)管機(jī)構(gòu)很難發(fā)現(xiàn)復(fù)雜系統(tǒng)中的問(wèn)題。隨著行業(yè)的發(fā)展，復(fù)雜性必然會(huì)增加?？朔⒈Ｕ虾捅O(jiān)管將越來(lái)越難。復(fù)雜性導(dǎo)致的監(jiān)管和潛在的系統(tǒng)缺陷將會(huì)被攻擊者找出并加以利用。

整個(gè)航空業(yè)都需要聯(lián)合起來(lái)在整個(gè)行業(yè)內(nèi)尋找、修復(fù)這些缺陷。

航空業(yè)的很多努力都集中在建立安全可靠的域上。但是，要確保對(duì)復(fù)雜系統(tǒng)的信任，需要認(rèn)識(shí)到信任會(huì)在何時(shí)被削弱，組件和系統(tǒng)在何時(shí)能夠保護(hù)整體系統(tǒng)。在飛機(jī)系統(tǒng)上，目前很難或幾乎不可能知道何時(shí)信任會(huì)被削弱，從而采取適當(dāng)?shù)男袆?dòng)。

3.2.2 乘客服務(wù)

在過(guò)去的兩年里，提供空中Wi-Fi的航空公司數(shù)量增加了38%，而乘客搭載有Wi-Fi飛機(jī)可能性則增加了39%。這個(gè)市場(chǎng)正在從提供基本連接向在飛機(jī)上正常使用個(gè)人設(shè)備發(fā)展。

3.2.3 機(jī)內(nèi)服務(wù)

3.2.3.1 電子飛行包

飛機(jī)和空域的復(fù)雜性，使飛行人員在飛行中需要獲取更多的信息。飛行圖、地圖、飛機(jī)工程文件等等。隨著技術(shù)的發(fā)展，駕駛艙無(wú)紙化開(kāi)始了?，F(xiàn)在，最先進(jìn)的電子飛行包（EFB）與飛機(jī)、外部數(shù)據(jù)源和視頻監(jiān)控顯示（比如駕駛艙門(mén)上的安全攝像頭）之間有雙向接口，被用來(lái)計(jì)算性能（起飛）數(shù)據(jù)，在不同的數(shù)據(jù)飛地中運(yùn)行受監(jiān)管和不受監(jiān)管的軟件。

歐洲航空安全局（European Aviation Safety Agency，EASA）要求申請(qǐng)應(yīng)用EFB的公司證明“有充足的安全程序在保護(hù)著系統(tǒng)”，并保證“在每次飛行之前，EFB操作軟件只能按照指定的方式運(yùn)行”[7]。飛機(jī)和便攜式EFB之間的連接是符合安全標(biāo)準(zhǔn)的關(guān)鍵，EFB與關(guān)鍵系統(tǒng)越接近，連接就越重要。因此，數(shù)據(jù)傳輸只有在系統(tǒng)符合以下條件時(shí)才可進(jìn)行：

·對(duì)飛機(jī)沒(méi)有安全影響或只有輕微的安全影響；

·與EFB的連接經(jīng)過(guò)認(rèn)證；

·與飛機(jī)系統(tǒng)完全隔離

以上條件以及一些附加建議，如使用防火墻、病毒掃描并及時(shí)更新軟件以保護(hù)EFB，都是很好的基礎(chǔ)建議，但并不足以保護(hù)整個(gè)攻擊面。隨著便攜式EFB越來(lái)越普及，其硬件和軟件的種類也會(huì)增加。多樣性和平臺(tái)復(fù)雜性將使安全性的展示和可靠性的實(shí)現(xiàn)變得更加困難。

起飛準(zhǔn)備的關(guān)鍵階段是計(jì)算起飛所需的性能。為了節(jié)省燃料、減少發(fā)動(dòng)機(jī)磨損和噪音，只有在必要時(shí)才會(huì)啟用發(fā)動(dòng)機(jī)的全部動(dòng)力。對(duì)起飛性能的正確判斷至關(guān)重要。

2004年，MK航空公司的一架波音747飛機(jī)在起飛過(guò)程中墜機(jī)，該飛機(jī)使用了類似于EFB的系統(tǒng)。調(diào)查人員懷疑機(jī)組人員誤算或誤讀了機(jī)器提供的數(shù)據(jù)，導(dǎo)致了事故。雖然在該例子中不涉及惡意攻擊，但它提醒了我們保護(hù)航空業(yè)操作者和決策者所讀信息的重要性。

3.2.3.2 飛機(jī)通信尋址和報(bào)告系統(tǒng)

飛機(jī)通信尋址和報(bào)告系統(tǒng)（ACARS）是一種空對(duì)地?cái)?shù)字通信能力，雖然它主要被用于飛機(jī)與航空公司之間的通信，但隨著它逐漸開(kāi)始使用甚高頻（VHF）數(shù)字鏈路，其帶寬和速度都增加了，而且越來(lái)越多地被用來(lái)進(jìn)行空中交通管制（ATC）通信。

作為一個(gè)未加密的、公開(kāi)傳輸?shù)南鬟f系統(tǒng)，ACARS是不安全的。雖然已經(jīng)有ACARS的加密標(biāo)準(zhǔn)，但ACARS的消息安全性會(huì)根據(jù)采用的標(biāo)準(zhǔn)而不同。其他一些ACARS的專有加密“附加組件”也已經(jīng)被開(kāi)發(fā)出來(lái)，但許多都被認(rèn)為是極不安全的。

因此，對(duì)許多狂熱者和研究人員來(lái)說(shuō)，觀察和解碼ACARS已經(jīng)成為一種消遣方式。通過(guò)互聯(lián)網(wǎng)上的一些硬件和軟件，他們可以在ACARS頻道上進(jìn)行接收和傳輸。從表面上看，作為一個(gè)開(kāi)放的數(shù)據(jù)鏈接，ACARS的主要問(wèn)題是隱私保護(hù)，但隨著駕駛艙的互聯(lián)性增加，潛在的威脅令人擔(dān)憂。

許多飛機(jī)的駕駛艙現(xiàn)在都有ACARS并與飛機(jī)系統(tǒng)連接，主要是飛行管理系統(tǒng)（FMS）。FMS管理導(dǎo)航路線、數(shù)據(jù)庫(kù)、機(jī)場(chǎng)細(xì)節(jié)等，它是現(xiàn)代客機(jī)操作的重要組成部分。由于ACARS可以用來(lái)傳輸飛行計(jì)劃，將ACARS連接到FMS是很常見(jiàn)的。當(dāng)用ACARS傳輸飛行計(jì)劃后，飛行員會(huì)進(jìn)行審查，如果需要的話，可以直接將其上傳到FMS。

因此，ACARS和FMS之間的連接是進(jìn)入飛機(jī)系統(tǒng)的潛在入口。網(wǎng)絡(luò)研究人員、商業(yè)飛行員雨果·特索（Hugo Teso）聲稱，ACARS能夠被用作攻擊飛機(jī)系統(tǒng)的通道，對(duì)“飛機(jī)導(dǎo)航”有關(guān)的一切造成威脅。FAA和EASA對(duì)此進(jìn)行了反駁，稱實(shí)際攻擊是無(wú)法實(shí)現(xiàn)的。

3.2.3.3 飛機(jī)健康監(jiān)測(cè)——飛機(jī)支持

隨著航空公司越來(lái)越要求提高效率，飛機(jī)原始設(shè)備制造商（OEM）正在努力利用聯(lián)網(wǎng)技術(shù)提供更精確的飛機(jī)健康監(jiān)測(cè)（AHM）和預(yù)見(jiàn)性維護(hù)。在此之前，飛機(jī)部件將會(huì)被定期檢查維修，這需要花費(fèi)大量時(shí)間和金錢(qián)來(lái)拆卸飛機(jī)系統(tǒng)，以檢查磨損率，否則零件一旦發(fā)生故障就需要在短時(shí)間內(nèi)進(jìn)行維修?，F(xiàn)在，隨著成千上萬(wàn)的飛機(jī)部件的連接性越來(lái)越強(qiáng)，并能夠向AHM系統(tǒng)提供數(shù)據(jù)，大型數(shù)據(jù)集分析使維護(hù)團(tuán)隊(duì)在飛機(jī)飛行或在地面時(shí)都可以進(jìn)行復(fù)雜的分析。

從飛機(jī)到地面作戰(zhàn)小組的實(shí)時(shí)數(shù)據(jù)傳輸加速了工程和維修決策，甚至于飛機(jī)飛行期間仍可以制定計(jì)劃。這減少了診斷、修復(fù)和重新飛行的時(shí)間，減少了停機(jī)時(shí)間，提高了效率。這一系統(tǒng)在未來(lái)將收集整個(gè)航空艦隊(duì)的數(shù)據(jù)并存儲(chǔ)進(jìn)數(shù)據(jù)倉(cāng)庫(kù)，航空公司和飛機(jī)制造商從而可以對(duì)其加以分析，因此，類似空客公司與Palantir的合作關(guān)系就產(chǎn)生了，兩家公司都認(rèn)識(shí)到了這種合作關(guān)系的好處，這一好處將從飛機(jī)數(shù)據(jù)和延伸到乘客數(shù)據(jù)。

AHM系統(tǒng)連接的例子包括引擎監(jiān)測(cè)系統(tǒng)，它將通過(guò)全球移動(dòng)通信系統(tǒng)（GSM）、Wi-Fi或衛(wèi)星電話傳輸飛機(jī)和發(fā)動(dòng)機(jī)數(shù)據(jù)到網(wǎng)絡(luò)接口。使用GSM的裝置必須將GSM sim卡裝進(jìn)飛機(jī)系統(tǒng)中，然后才能與互聯(lián)網(wǎng)連接以傳輸數(shù)據(jù)。它包括直接向EFB傳輸數(shù)據(jù)的能力，這就使機(jī)組人員能夠立即獲得數(shù)據(jù)。它還包括使飛機(jī)自動(dòng)連接機(jī)場(chǎng)登機(jī)口的Wi-Fi熱點(diǎn)，下載AHM數(shù)據(jù)和上傳飛行娛樂(lè)（IFE）內(nèi)容的能力。盡管空間限制使人們不需要對(duì)個(gè)別系統(tǒng)、觀點(diǎn)和潛在問(wèn)題進(jìn)行深入分析，但總體來(lái)看，潛在的攻擊面相當(dāng)可觀。

3.2.3.4 飛機(jī)維修

保障飛機(jī)和其維護(hù)系統(tǒng)的正常運(yùn)行非常重要。飛機(jī)維修正變得越來(lái)越以技術(shù)為中心，飛機(jī)數(shù)據(jù)與維護(hù)團(tuán)隊(duì)的手持或增強(qiáng)現(xiàn)實(shí)設(shè)備相連。管理和保護(hù)這種無(wú)紙化過(guò)程，以及飛機(jī)與地面系統(tǒng)之間的數(shù)據(jù)傳輸將成為一個(gè)更大的挑戰(zhàn)。盡管這些風(fēng)險(xiǎn)在本質(zhì)上并不直接關(guān)乎安全，但它們絕對(duì)有助于維持飛行安全，正如2008年的墜機(jī)所證明的那樣[8]。這次墜機(jī)的直接原因是試圖在錯(cuò)誤的配置下起飛。這架飛機(jī)在經(jīng)歷了三次這樣的故障后應(yīng)該被停飛，但系統(tǒng)對(duì)這種錯(cuò)誤的警告失靈了。據(jù)稱，追蹤此類故障的工程計(jì)算機(jī)感染了惡意軟件，未能及時(shí)發(fā)現(xiàn)該問(wèn)題[9]。這款惡意軟件并沒(méi)有直接導(dǎo)致飛機(jī)墜毀，但它卻使一項(xiàng)關(guān)鍵的安全保障失靈，這一保障很有可能阻止飛機(jī)起飛。

在攻擊者可能會(huì)尋求破壞的環(huán)境中，對(duì)安全保障的破壞必須被認(rèn)為是潛在的風(fēng)險(xiǎn)。在之前討論過(guò)的墜機(jī)案例中，盡管惡意軟件是沒(méi)有目標(biāo)的，類似的有目標(biāo)的干擾、混亂和混淆活動(dòng)，就是我們需要理解和防范的關(guān)鍵問(wèn)題。

3.2.4 挑戰(zhàn)

本報(bào)告得出的重要結(jié)論之一是，隨著技術(shù)的發(fā)展和機(jī)上連接的增加，各種挑戰(zhàn)也會(huì)隨之出現(xiàn)。不僅僅是攻擊者，懷著好奇、淘氣、惡意意圖的乘客也將嘗試通過(guò)Wi-Fi、任何射頻信號(hào)或飛機(jī)上的接入點(diǎn)攻擊飛機(jī)[10]。

3.2.4.1 了解和保護(hù)不斷擴(kuò)張的攻擊面

本報(bào)告認(rèn)為，航空業(yè)對(duì)硬件、軟件技術(shù)的快速應(yīng)用和其復(fù)雜的供應(yīng)鏈大大增加了系統(tǒng)攻擊面和潛在的攻擊方式。攻擊者甚至可能把不同的漏洞連在一起，直到制造出攻擊面。例如，當(dāng)攻擊者從美國(guó)國(guó)防承包商竊取了飛機(jī)設(shè)計(jì)后，再?gòu)牧硪患夜靖`取雙重驗(yàn)證數(shù)據(jù)，攻擊面則得以形成[11]。

與飛機(jī)相連的龐大航空系統(tǒng)就是很大一部分的攻擊面，它可以作為接入飛機(jī)的單一入口。飛機(jī)和航空公司之間的系統(tǒng)越無(wú)縫，該系統(tǒng)就越需要被重視。積極尋找潛在的攻擊面，并探索攻擊可能是航空業(yè)的關(guān)鍵任務(wù)。只有同時(shí)考慮到防御和攻擊者才能得出長(zhǎng)期解決方案，而不是輕視或試圖掩蓋潛在的攻擊面。

3.2.4.2 隱藏式安全

由于獲取知識(shí)較難，航空業(yè)攻擊者會(huì)經(jīng)歷一個(gè)相對(duì)陡峭的學(xué)習(xí)曲線。然而，隨著互操作性、企業(yè)IT實(shí)踐和技術(shù)的增加以及網(wǎng)絡(luò)的融合，“隱藏式安全（security through obscurity）”可能很快就會(huì)失效。

本報(bào)告的被采訪者認(rèn)為，飛機(jī)系統(tǒng)的連通性和及其保護(hù)方式往往是機(jī)密信息。我們可以認(rèn)為，安全系統(tǒng)的設(shè)計(jì)確實(shí)有一定程度的隱藏，可以為攻擊者制造障礙，延遲干擾，但它只能被認(rèn)為是多層系統(tǒng)中的（很薄的）一層。此外，隱藏在系統(tǒng)保護(hù)中的作用越大，當(dāng)這種隱藏被破壞時(shí)，其影響就越大。一旦它們的系統(tǒng)或網(wǎng)絡(luò)設(shè)計(jì)公開(kāi)，基礎(chǔ)架構(gòu)則必須有足夠的韌性，以繼續(xù)保護(hù)系統(tǒng)。

安全方法越公開(kāi)，各方就越能對(duì)其韌性進(jìn)行評(píng)估和建議。這中間有一個(gè)平衡，隱藏手段會(huì)使航空業(yè)無(wú)法迅速改進(jìn)飛機(jī)系統(tǒng)的安全性，它可能會(huì)減緩更廣泛、有價(jià)值的合作。

3.2.4.3 獨(dú)立評(píng)估和漏洞管理

長(zhǎng)期以來(lái)，航空業(yè)一直都很重視獨(dú)立評(píng)估的價(jià)值和保障安全關(guān)鍵系統(tǒng)。不獨(dú)立或不嚴(yán)謹(jǐn)曾經(jīng)導(dǎo)致了一些重大的航空事故。獨(dú)立保障和網(wǎng)絡(luò)安全評(píng)估對(duì)于聯(lián)網(wǎng)飛機(jī)來(lái)說(shuō)同等重要。

一些制造商和供應(yīng)商現(xiàn)在已經(jīng)開(kāi)始采用某種形式的獨(dú)立漏洞評(píng)估計(jì)劃，在漏洞公開(kāi)之前發(fā)現(xiàn)并修復(fù)漏洞。我們希望隨著行業(yè)的發(fā)展，這些項(xiàng)目的規(guī)模、雄心和成熟度都會(huì)增加。獨(dú)立的網(wǎng)絡(luò)安全研究人員與航空業(yè)之間的關(guān)系一直很差。建立信任和關(guān)系雖然需要時(shí)間，但它對(duì)提高航空業(yè)安全與保障有百利而無(wú)一害，必須優(yōu)先考慮。

3.2.4.4 未來(lái)的網(wǎng)絡(luò)

基于對(duì)ACARS和其他航空業(yè)專有的此類支持系統(tǒng)的擔(dān)心，航空業(yè)發(fā)起了一個(gè)使系統(tǒng)現(xiàn)代化的項(xiàng)目[12]。其目標(biāo)是根據(jù)現(xiàn)有的網(wǎng)絡(luò)技術(shù)（例如，TCP、用戶數(shù)據(jù)報(bào)協(xié)議、互聯(lián)網(wǎng)協(xié)議第6版[IPv6]）開(kāi)發(fā)航空互聯(lián)網(wǎng)協(xié)議套件（IP條件）。希望通過(guò)增加標(biāo)準(zhǔn)化，使行業(yè)更多地使用商業(yè)現(xiàn)成組件。

隨著IP套件的開(kāi)發(fā)加速，從當(dāng)前出現(xiàn)的數(shù)據(jù)鏈漏洞中可以借鑒很多東西。隨著飛機(jī)數(shù)據(jù)的增加，如何安全地獲取飛機(jī)上的數(shù)據(jù)將是一個(gè)挑戰(zhàn)。

可以想見(jiàn)，要安全可靠的區(qū)分各個(gè)域的不同數(shù)據(jù)集，那么每個(gè)域都應(yīng)有各自的承載網(wǎng)絡(luò)和硬件。此外，承載網(wǎng)絡(luò)的選擇應(yīng)根據(jù)飛行階段、相對(duì)成本和可用速度而不同，保障承載網(wǎng)絡(luò)的安全則更加困難。

3.2.5 如何平衡威脅、設(shè)計(jì)與保障

制造商設(shè)計(jì)必須符合相關(guān)保障和安全標(biāo)準(zhǔn)，但飛機(jī)的設(shè)計(jì)、生產(chǎn)和運(yùn)行時(shí)間很長(zhǎng)，如何恰當(dāng)?shù)仄胶忾L(zhǎng)期風(fēng)險(xiǎn)是一個(gè)挑戰(zhàn)。許多國(guó)家和組織正在研究這個(gè)問(wèn)題。在美國(guó)，美國(guó)聯(lián)邦航空局于2015年設(shè)立了飛機(jī)系統(tǒng)信息安全/保護(hù)（ASISP）工作組，旨在提供關(guān)于“ASISP相關(guān)的規(guī)則制定、政策和指導(dǎo)，包括初始認(rèn)證和持續(xù)適航性評(píng)估”的意見(jiàn)和建議。

組件和軟件復(fù)雜性增加使諸如《2017增進(jìn)物聯(lián)網(wǎng)（IoT）安全法案》（Internet of Things（IoT）Security Improvement Act of 2017）等立法成為關(guān)鍵。通過(guò)強(qiáng)制安全補(bǔ)丁、消除固定編碼密碼和已知的漏洞，由供應(yīng)商來(lái)負(fù)責(zé)更好地保護(hù)客戶。有些人可能認(rèn)為這樣的立法過(guò)于繁重，但當(dāng)大部分航空安全都處于組件層面時(shí)，這可能是為數(shù)不多的快速糾正供應(yīng)商錯(cuò)誤、整體移除該類漏洞的方法之一。

4 空中交通管理

4.1 提高能力和效力

ICAO于2005年制定并發(fā)布了《全球空中交通管理概念》（Global ATM Operational Concept），它是現(xiàn)行很多倡議的基礎(chǔ)，在美國(guó)，F(xiàn)AA就在《概念》的基礎(chǔ)上制定了《下一代航空運(yùn)輸系統(tǒng)》（Next Generation Air Transportation System, NextGen）。

4.2 挑戰(zhàn)

下面幾節(jié)將重點(diǎn)介紹幾個(gè)潛在的挑戰(zhàn)和擔(dān)心。雖然對(duì)下列某一因素的攻擊令人擔(dān)憂，隨著航空業(yè)面臨的威脅逐漸增多，攻擊者能力的增長(zhǎng)，我們更擔(dān)心潛在攻擊者通過(guò)攻擊多個(gè)因素，引起多重關(guān)鍵安全故障。

4.2.1 太空元素

基于太空的能力是在全世界范圍內(nèi)推行ATM更新的關(guān)鍵。NextGen ATM和與其類似的系統(tǒng)都依賴于全球?qū)Ш叫l(wèi)星系統(tǒng)（GNSS）來(lái)進(jìn)行定位導(dǎo)航和定時(shí)（PNT）。GNSS覆蓋廣泛且可靠，用戶通常不需擔(dān)心這一服務(wù)會(huì)不可用或不好用。然而，作為低功耗信號(hào)，它很容易受到來(lái)自地面的干擾和欺騙。此外，用于乘客和飛機(jī)服務(wù)的飛機(jī)衛(wèi)星通信的增加，使需要保護(hù)的數(shù)據(jù)鏈接隨之增多。

4.2.2 廣播式自動(dòng)相關(guān)監(jiān)視

廣播式自動(dòng)相關(guān)監(jiān)視（ Automatic Dependent Surveillance – Broadcast, ADS-B）改變了空中管制員管理飛機(jī)的架構(gòu)。之前，飛機(jī)的位置要通過(guò)程序或雷達(dá)獲得。通過(guò)ADS-B，飛機(jī)會(huì)廣播自己的GPS位置和其他數(shù)據(jù)。有些人認(rèn)為，ADS-B有潛在安全問(wèn)題。ICAO對(duì)ADS-B漏洞進(jìn)行了評(píng)估，評(píng)估結(jié)果只公開(kāi)給成員國(guó)，似乎ICAO對(duì)一些ADS-B的安全問(wèn)題研究不屑一顧。

圖2 ADS-B運(yùn)行示意圖

作為一個(gè)沒(méi)有加密、認(rèn)證或完整性檢查的開(kāi)放系統(tǒng)，研究人員主要擔(dān)心的是ADS-B信號(hào)可能被攻擊者竊聽(tīng)、屏蔽或傳輸。要防止對(duì)于ADS-B的攻擊，可以通過(guò)保護(hù)鏈接、驗(yàn)證位置、或改進(jìn)傳統(tǒng)雷達(dá)來(lái)實(shí)現(xiàn)，但3種方法都各有其利弊和挑戰(zhàn)。

ADS-B硬件日益與其他飛機(jī)系統(tǒng)融合和連接，使其成為攻擊者的潛在進(jìn)入點(diǎn)。空中防撞系統(tǒng)（TCAS）會(huì)主動(dòng)防止飛機(jī)相撞，任何旨在進(jìn)一步將ADS-B與TCAS整合的努力都需要審慎考慮。攻擊者可能會(huì)通過(guò)發(fā)送假ADS-B信號(hào)，使防撞系統(tǒng)做出躲避動(dòng)作，研究者已經(jīng)警告了這一點(diǎn)。

4.2.3 管制員和駕駛員數(shù)據(jù)鏈通信

與ADS-B一樣，管制員和駕駛員數(shù)據(jù)鏈通信（CPDLC）也是一種沒(méi)有加密或認(rèn)證的數(shù)據(jù)鏈，因此可能容易受到信息操縱、信息注入和對(duì)地面站或飛機(jī)的欺騙。這可能會(huì)在操作者試圖發(fā)現(xiàn)異?；虮３謶B(tài)勢(shì)感知時(shí)帶來(lái)挑戰(zhàn)。如果攻擊行動(dòng)成功，侵入者可能會(huì)向空中交通管制（ATC）或飛機(jī)發(fā)出指令或請(qǐng)求。機(jī)組人員和控制員在懷疑時(shí)，可以通過(guò)回到語(yǔ)音通信減輕攻擊。

4.2.4 全系統(tǒng)信息管理

ATC服務(wù)已經(jīng)成為網(wǎng)絡(luò)攻擊的目標(biāo)。例如，2006年，一個(gè)計(jì)算機(jī)病毒擴(kuò)散到ATC系統(tǒng)，迫使FAA關(guān)閉其在阿拉斯加的一部分系統(tǒng)[13]。監(jiān)察長(zhǎng)辦公室（OIG）隨后的一份報(bào)告認(rèn)為，網(wǎng)絡(luò)攻擊損害ATC操作只是時(shí)間問(wèn)題。

GAO強(qiáng)調(diào)，通過(guò)全系統(tǒng)信息管理（SWIM）向基于IP的服務(wù)轉(zhuǎn)型會(huì)增加風(fēng)險(xiǎn)，這是由于新舊技術(shù)混合和網(wǎng)絡(luò)中的潛在漏洞而導(dǎo)致的。

國(guó)際民航組織（ICAO）在2005年左右開(kāi)始了SWIM工作，并將其描述為“松散的連接環(huán)境…由各實(shí)體提供并消費(fèi)服務(wù)?！边@實(shí)際上使SWIM變成了一個(gè)航空業(yè)內(nèi)網(wǎng)，在內(nèi)網(wǎng)中，信息可以在同一地區(qū)甚至世界各地的實(shí)體之間輕松共享。從2018年第一個(gè)區(qū)塊的推出開(kāi)始，每過(guò)5年，新的區(qū)塊都將增加這一網(wǎng)絡(luò)的連通性。作為一個(gè)開(kāi)發(fā)中的項(xiàng)目，如何將機(jī)艙安全的接入類似SWIM的全球內(nèi)網(wǎng)等細(xì)節(jié)，仍然需要進(jìn)一步的研究。這一系統(tǒng)的開(kāi)發(fā)相當(dāng)復(fù)雜，將需要各利益相關(guān)方的參與。ICAO秘書(shū)處聲稱，SWIM最主要的網(wǎng)絡(luò)安全要求將主要借鑒：

·附錄17，ICAO航空安全手冊(cè)（ICAO 8973號(hào)文件）

·ATM安全手冊(cè)，A部分：保護(hù)ATM系統(tǒng)基礎(chǔ)設(shè)施（ICAO 9985號(hào)文件）

此外，（SWIM）網(wǎng)絡(luò)和應(yīng)用層面中的網(wǎng)絡(luò)安全措施“應(yīng)作為通用基礎(chǔ)，允許各國(guó)施行自己的國(guó)家措施”，每個(gè)國(guó)家都應(yīng)建立“本國(guó)的國(guó)家安全項(xiàng)目”。SWIM治理的成熟和對(duì)網(wǎng)絡(luò)安全的集中需要一些時(shí)間，究其原因，正如航天工業(yè)協(xié)會(huì)國(guó)際協(xié)調(diào)委員會(huì)（ICCAIA）所指出的，“SWIM沒(méi)有一個(gè)國(guó)際公認(rèn)的定義，也沒(méi)有清晰的實(shí)施指南?！?/p>

4.2.5 能力——對(duì)后備系統(tǒng)的挑戰(zhàn)

對(duì)前幾節(jié)中所提到系統(tǒng)造成的任何破壞，都可能造成不便和服務(wù)中斷。由于系統(tǒng)升級(jí)的本質(zhì)，上文討論的NextGen和類似全球系統(tǒng)的許多后備系統(tǒng)的能力都會(huì)相應(yīng)降低。事件影響越大或受影響的系統(tǒng)數(shù)量越多，系統(tǒng)能力削減就會(huì)越多。當(dāng)NextGen類型系統(tǒng)滿負(fù)荷運(yùn)行時(shí)，啟用后備系統(tǒng)會(huì)帶來(lái)大量挑戰(zhàn)。因?yàn)橛泻髠溥z留系統(tǒng)就忽視NextGen的漏洞是不可取的，ATM是一個(gè)復(fù)雜的系統(tǒng)，能力和吞吐量的細(xì)微變化都會(huì)對(duì)其產(chǎn)生影響。

5 機(jī)場(chǎng)

5.1 現(xiàn)狀

機(jī)場(chǎng)管理和安全的主要目標(biāo)是安全的接送飛機(jī)、乘客、行李和貨物。因此，機(jī)場(chǎng)是大部分航空運(yùn)行的焦點(diǎn)，也是防御攻擊者的前線。

因此，提高機(jī)場(chǎng)網(wǎng)絡(luò)安全的重要性應(yīng)該是顯而易見(jiàn)的。然而，本報(bào)告的貢獻(xiàn)者之一評(píng)論說(shuō)，機(jī)場(chǎng)是管理服務(wù)的聯(lián)合，它代表了不同風(fēng)險(xiǎn)所有者和治理結(jié)構(gòu)下的許多公司和組織，它們都致力于安全和服務(wù)。因此，機(jī)場(chǎng)網(wǎng)絡(luò)安全必須從保護(hù)多個(gè)系統(tǒng)的角度來(lái)考慮，這些系統(tǒng)由多個(gè)提供者運(yùn)作，這些提供者既可以為安全意識(shí)和韌性做出貢獻(xiàn)，也可以成為致命的弱點(diǎn)。

5.1.1 機(jī)場(chǎng)——聯(lián)網(wǎng)目標(biāo)

迄今為止，針對(duì)機(jī)場(chǎng)的網(wǎng)絡(luò)攻擊并沒(méi)有對(duì)機(jī)場(chǎng)的運(yùn)行和乘客造成很大的影響。機(jī)場(chǎng)的聯(lián)網(wǎng)物理安全設(shè)備還未被攻擊過(guò)。

總監(jiān)察長(zhǎng)辦公室（OIG）發(fā)表了一份修訂的報(bào)告，審查了美國(guó)運(yùn)輸安全管理局（TSA）的安全技術(shù)集成項(xiàng)目（STIP）面臨的挑戰(zhàn)[14]。STIP使遠(yuǎn)程管理旅客和行李檢查設(shè)備成為可能。報(bào)告稱其有多個(gè)安全控制漏洞，并指出很多安全設(shè)備并未被歸為IT設(shè)備，因此在安全方面并沒(méi)有達(dá)到IT設(shè)備的標(biāo)準(zhǔn)。這份報(bào)告的一個(gè)主要觀點(diǎn)是，隨著網(wǎng)絡(luò)技術(shù)和物聯(lián)網(wǎng)越來(lái)越成為維護(hù)安全的關(guān)鍵基礎(chǔ)層，確保技術(shù)安全的努力也必須同時(shí)進(jìn)行。隨著機(jī)場(chǎng)試圖全面應(yīng)用物聯(lián)網(wǎng)，就應(yīng)該更注意這一點(diǎn)。

5.2 未來(lái)發(fā)展

一些機(jī)場(chǎng)已經(jīng)意識(shí)到了網(wǎng)絡(luò)威脅，并投入了更多人員、流程和技術(shù)來(lái)更好地保護(hù)自己。隨著這一措施的成熟，擁有由高級(jí)管理領(lǐng)導(dǎo)的、覆蓋整個(gè)機(jī)場(chǎng)的網(wǎng)絡(luò)安全戰(zhàn)略的機(jī)場(chǎng)將變得越來(lái)越普遍。此類結(jié)構(gòu)還必須與其他可能擁有類似結(jié)構(gòu)的機(jī)場(chǎng)利益相關(guān)者合作。機(jī)場(chǎng)的網(wǎng)絡(luò)安全力量不是由單一結(jié)構(gòu)的質(zhì)量決定的，而是取決于所有結(jié)構(gòu)的協(xié)作程度。

目前已經(jīng)出現(xiàn)了有關(guān)建立機(jī)場(chǎng)網(wǎng)絡(luò)共享和分析中心（ISAC）的討論，這一中心可以使所有機(jī)場(chǎng)運(yùn)行者形成統(tǒng)一戰(zhàn)線，促進(jìn)協(xié)作和網(wǎng)絡(luò)安全信息的共享。雖然是否需要ISAC這種正式的組織結(jié)構(gòu)還有待觀察，但共享和協(xié)作在整個(gè)機(jī)場(chǎng)生態(tài)系統(tǒng)中將是必不可少的。

在機(jī)場(chǎng)利益相關(guān)者試圖在組織方面完善機(jī)場(chǎng)網(wǎng)絡(luò)安全的過(guò)程中，也可以進(jìn)行網(wǎng)絡(luò)領(lǐng)域的安全演習(xí)。探索所有機(jī)場(chǎng)的利益相關(guān)者在網(wǎng)絡(luò)攻擊中應(yīng)如何協(xié)同工作，可以加強(qiáng)預(yù)備程度，強(qiáng)調(diào)合作的價(jià)值。隨著時(shí)間的推移，演習(xí)場(chǎng)景將逐漸成熟，但物理安全和網(wǎng)絡(luò)安全演習(xí)最好一起進(jìn)行。

已經(jīng)出版的一系列機(jī)場(chǎng)網(wǎng)絡(luò)安全指南包括美國(guó)聯(lián)邦航空管理局（FAA）贊助的《機(jī)場(chǎng)安全最佳實(shí)踐指南》（Guidebook on Best Practices for Airport Security），歐盟網(wǎng)絡(luò)和信息安全機(jī) 構(gòu)（European Union Agency for Network and Information Security）的《保護(hù)智能機(jī)場(chǎng)》（Securing Smart Airports）和國(guó)際航空運(yùn)輸協(xié)會(huì)（IATA）的《航空網(wǎng)絡(luò)安全工具包》（Aviation Security Toolkit），它們都對(duì)機(jī)場(chǎng)網(wǎng)絡(luò)安全提出了各方位的建議。這些指南內(nèi)容有多處重合，表明機(jī)場(chǎng)最佳實(shí)踐在一定程度上呈現(xiàn)一致性。

6 航空業(yè)和網(wǎng)絡(luò)安全業(yè)

隨著航空業(yè)和網(wǎng)絡(luò)安全行業(yè)日益交織，很重要的是了解行業(yè)各自的優(yōu)勢(shì)和劣勢(shì)。這兩個(gè)行業(yè)都需要培養(yǎng)對(duì)彼此的文化理解，在發(fā)展中共同學(xué)習(xí)、支持和加強(qiáng)行業(yè)關(guān)系。網(wǎng)絡(luò)安全行業(yè)必須知道自己正在支撐的是一個(gè)在維護(hù)關(guān)鍵服務(wù)安全方面已經(jīng)非常成熟的行業(yè)。在發(fā)展航空業(yè)技術(shù)和連通性時(shí)，同時(shí)發(fā)揮這兩個(gè)行業(yè)的優(yōu)勢(shì)是很重要的。

6.1 風(fēng)險(xiǎn)管理、治理和問(wèn)責(zé)

航空業(yè)在挑戰(zhàn)環(huán)境中管理復(fù)雜風(fēng)險(xiǎn)方面的經(jīng)驗(yàn)十分豐富。它有著非常明確的治理和問(wèn)責(zé)結(jié)構(gòu)，并已經(jīng)形成了安全文化，使每個(gè)人都覺(jué)得自己與管理風(fēng)險(xiǎn)和維護(hù)操作安全息息相關(guān)。當(dāng)涉及到信息安全風(fēng)險(xiǎn)時(shí)，這種文化顯然不那么明確，因此有很多有關(guān)責(zé)任和問(wèn)責(zé)的討論。

飛機(jī)和整個(gè)行業(yè)都有著多且復(fù)雜的供應(yīng)商和服務(wù)關(guān)系，責(zé)任劃分困難。只有不透明的多方利益相關(guān)者委員會(huì)是不夠的。

從根本上講，即使在一個(gè)聯(lián)網(wǎng)的，擁有先進(jìn)技術(shù)的航空業(yè)中，安全管理系統(tǒng)（SMS）仍然是管理安全的主要手段。不管信息安全如何治理，如果它與安全關(guān)鍵系統(tǒng)相交，它就屬于SMS。安全團(tuán)隊(duì)專注于防止事故，網(wǎng)絡(luò)安全團(tuán)隊(duì)則負(fù)責(zé)防范惡意攻擊；為了實(shí)現(xiàn)目標(biāo)，兩隊(duì)各有不同，但必須都朝著一個(gè)目標(biāo)努力。隨著聯(lián)網(wǎng)技術(shù)的發(fā)展，信息安全需要與關(guān)鍵航空服務(wù)和平臺(tái)進(jìn)一步結(jié)合，信息安全與物理安全之間的關(guān)系必須更加緊密，兩者的定義也要比以往任何時(shí)候都更加明確。

6.2 事故預(yù)防

作為一個(gè)高度監(jiān)管、注重安全的行業(yè)，航空業(yè)有著相當(dāng)高的事故預(yù)測(cè)、減輕、處理和恢復(fù)能力。這種能力在人員、流程和技術(shù)的所有方面都有體現(xiàn)。在成功預(yù)防了某個(gè)事件后，航空業(yè)會(huì)鼓勵(lì)相關(guān)人員公開(kāi)且誠(chéng)實(shí)地?cái)⑹霎?dāng)時(shí)的情況，并將這些信息廣泛傳播，互相學(xué)習(xí)。這一積極的飛行安全文化成功地將航空從業(yè)人員變?yōu)槿祟悅鞲衅鳎麄儠?huì)不斷地尋找安全問(wèn)題、報(bào)告問(wèn)題、修復(fù)問(wèn)題并向其他人學(xué)習(xí)。航空業(yè)在分享事故、事件或近似差錯(cuò)數(shù)據(jù)細(xì)節(jié)上高度合作，整個(gè)行業(yè)都有著相同的目標(biāo)，即絕對(duì)不能讓同一事故發(fā)生第二次。

可以說(shuō)，網(wǎng)絡(luò)安全行業(yè)正在努力達(dá)到同樣的共享和學(xué)習(xí)水平。隨著網(wǎng)絡(luò)安全逐漸融入航空業(yè)，它必須適應(yīng)航空業(yè)現(xiàn)存的共享文化。盡管常常有人呼吁要共享網(wǎng)絡(luò)安全數(shù)據(jù)，[15]但在這兩個(gè)行業(yè)中，只有展示了分享的價(jià)值后，分享實(shí)踐才會(huì)提升。在航空業(yè)中，這一價(jià)值非常明顯，降低風(fēng)險(xiǎn)的責(zé)任感貫穿整個(gè)行業(yè)。只有公正的文化，即在發(fā)生人為錯(cuò)誤或失誤時(shí)，重視并保護(hù)誠(chéng)實(shí)和公開(kāi)，才能確保快速和廣泛的飛行安全學(xué)習(xí)。同樣的原則也必須適用于網(wǎng)絡(luò)安全和保障方面。

在交付安全和保障系統(tǒng)時(shí)，交付組織必須對(duì)其產(chǎn)品或服務(wù)的安全性或保障性進(jìn)行多次評(píng)估。總的來(lái)說(shuō)，航空業(yè)根深蒂固的獨(dú)立審查和評(píng)估原則是非常有效的，但在未進(jìn)行審查或?qū)彶楠?dú)立性受到損害的情況下，也發(fā)生過(guò)幾次事故。隨著航空生態(tài)系統(tǒng)逐漸開(kāi)始網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)化工作，航空業(yè)也已經(jīng)了解了獨(dú)立審查的價(jià)值，這可能是一個(gè)很好的起點(diǎn)。

飛機(jī)經(jīng)過(guò)認(rèn)證后，我們就可以知道其弱點(diǎn)和限制。然而，對(duì)于網(wǎng)絡(luò)技術(shù)來(lái)說(shuō)，其弱點(diǎn)會(huì)隨著時(shí)間的推移而變化。因此，很可能需要定期進(jìn)行獨(dú)立安全審查。在網(wǎng)絡(luò)安全行業(yè)，獨(dú)立評(píng)估的價(jià)值正在通過(guò)諸如“漏洞獎(jiǎng)勵(lì)計(jì)劃”、“滲透測(cè)試”、“紅色團(tuán)隊(duì)”等項(xiàng)目逐漸凸顯出來(lái)。一些航空公司已經(jīng)在推廣這些項(xiàng)目，這一努力應(yīng)該得到贊揚(yáng)和支持。不過(guò)，航空網(wǎng)絡(luò)安全不僅僅在于技術(shù)。必須通過(guò)覆蓋整個(gè)組織層次結(jié)構(gòu)的措施來(lái)增強(qiáng)對(duì)技術(shù)的審查。這將幫助高級(jí)管理人員審視自己的假設(shè)，并更好地定義物理安全與信息安全之間的界限。

6.3 事故應(yīng)對(duì)

盡管各方都在努力使航空業(yè)盡可能安全，但事故仍時(shí)有發(fā)生。同樣的，盡管人們努力使網(wǎng)絡(luò)行業(yè)盡可能安全，重大事件仍然存在。隨著航空和技術(shù)的逐漸融合，在某個(gè)階段，網(wǎng)絡(luò)安全事件就會(huì)影響到關(guān)鍵航空服務(wù)，即使人們努力確保了這些系統(tǒng)的安全。航空生態(tài)系統(tǒng)應(yīng)做好準(zhǔn)備，調(diào)查航空事故或事件的網(wǎng)絡(luò)安全方面。在事情發(fā)生后再開(kāi)始考慮調(diào)查方法將為時(shí)已晚。時(shí)間將是學(xué)習(xí)、適應(yīng)和保護(hù)全球航空業(yè)的關(guān)鍵。

在航空業(yè)中，美國(guó)國(guó)家運(yùn)輸安全委員會(huì)（NTSB）、英國(guó)空難調(diào)查分支（AAIB）以及全球其他類似組織都可以對(duì)航空事故或事件進(jìn)行獨(dú)立調(diào)查。盡管在網(wǎng)絡(luò)安全行業(yè)中有過(guò)建立類似機(jī)構(gòu)的討論和呼吁，但此類機(jī)構(gòu)目前還不存在。隨著飛機(jī)、ATM和機(jī)場(chǎng)之間的相互聯(lián)系日益緊密，調(diào)查事故或事件的網(wǎng)絡(luò)安全方面將成為調(diào)查工作的重頭戲。

在事故發(fā)生后，對(duì)事故發(fā)生的地理區(qū)域有管轄權(quán)的國(guó)家組織將負(fù)責(zé)進(jìn)行調(diào)查。這可能意味著，要調(diào)查一場(chǎng)事故，某個(gè)國(guó)家能夠請(qǐng)求獲取與調(diào)查相關(guān)的軟件、數(shù)據(jù)、網(wǎng)絡(luò)日志以及其他信息。很少有網(wǎng)絡(luò)安全事件會(huì)被第三方的、潛在的國(guó)際組織所調(diào)查。如今，相關(guān)政策尚未通過(guò)，不僅在事故調(diào)查的物理安全與信息安全方面（單獨(dú)的調(diào)查可能會(huì)引起分歧）存在分歧，在國(guó)際上也同樣存在分歧。

面對(duì)著這一新興挑戰(zhàn)，我們目前尚不清楚NTSB / AAIB或類似的調(diào)查小組擁有或需要具備哪些網(wǎng)絡(luò)調(diào)查能力。如果網(wǎng)絡(luò)方面的調(diào)查遭受到延遲、混亂或阻礙，這只會(huì)廣泛降低利益相關(guān)者對(duì)航空業(yè)以及調(diào)查結(jié)果的信任。要保持人們對(duì)調(diào)查的信任，網(wǎng)絡(luò)安全調(diào)查的速度、廣度和深度需要與物理安全調(diào)查相對(duì)應(yīng)。

7 政策和規(guī)范

航空業(yè)制定了一種自上而下的方法來(lái)推行全球運(yùn)行安全相關(guān)的標(biāo)準(zhǔn)和公約，使不同的運(yùn)營(yíng)商商和國(guó)家合作起來(lái)；這意味著各方可以充分理解要求，全球和國(guó)家的治理也很明確。盡管已經(jīng)開(kāi)始制定，在航空網(wǎng)絡(luò)安全領(lǐng)域，許多國(guó)際標(biāo)準(zhǔn)和公約還沒(méi)有正式頒布。這可能會(huì)推遲國(guó)家戰(zhàn)略的制定和調(diào)整，例如，英國(guó)民用航空管理局（UK Civil Aviation Authority）的航空網(wǎng)絡(luò)監(jiān)管戰(zhàn)略，就旨在確定其在“現(xiàn)有歐盟/英國(guó)/國(guó)際法規(guī)下的網(wǎng)絡(luò)安全責(zé)任”。在歐洲，即將發(fā)布的關(guān)于網(wǎng)絡(luò)和信息系統(tǒng)安全的《NIS指令》（NIS Directive）可能會(huì)幫助航空組織了解它們的需要，但這需要一些時(shí)間。在《NIS指令》中，航空運(yùn)輸部分看起來(lái)相當(dāng)全面，包含了對(duì)航空公司、機(jī)場(chǎng)管理機(jī)構(gòu)和（航空）交通管理控制運(yùn)營(yíng)商的要求[16]。哪些運(yùn)營(yíng)商應(yīng)在《NIS指令》‘范圍內(nèi)’ 需要仔細(xì)考慮，因?yàn)橛行C(jī)場(chǎng)每年的乘客少于1000萬(wàn)，它們可能不需要遵守指令。這可能會(huì)導(dǎo)致規(guī)模相對(duì)較小的經(jīng)營(yíng)者和供應(yīng)商被排除在外，但其潛在的影響仍不可忽視。

此外，在2017年11月16日，歐洲航空安全局（EASA）發(fā)表了關(guān)于民用航空網(wǎng)絡(luò)安全的高層努力的《布加勒斯特宣言（Bucharest Declaration）》?！缎浴芬浴氨Ｗo(hù)歐洲航空系統(tǒng)免受網(wǎng)絡(luò)威脅”為重點(diǎn)提出了若干目標(biāo)，例如歐洲內(nèi)部協(xié)調(diào)、國(guó)際合作、信息共享、風(fēng)險(xiǎn)評(píng)估、提高認(rèn)識(shí)和研究。此外，人們也渴望國(guó)際上各法規(guī)能夠協(xié)調(diào)一致，強(qiáng)調(diào)盡管作為一個(gè)超國(guó)家機(jī)構(gòu)，面對(duì)這些挑戰(zhàn)，我們需要施行更廣泛、更全面的方法。

美國(guó)推動(dòng)航空網(wǎng)絡(luò)安全的努力包括之前討論過(guò)的《網(wǎng)絡(luò)空氣法案》（Cyber Air Act）以及更清晰的《國(guó)土安全》（DHS）指南，它們共同確保著關(guān)鍵交通基礎(chǔ)設(shè)施的安全，并已經(jīng)顯示出強(qiáng)大的主動(dòng)性和行動(dòng)力。雖然上述法案和指南在GAO關(guān)于GPS、ATM和ATC漏洞等話題的搜索報(bào)告背后，但上述努力顯示了美國(guó)對(duì)網(wǎng)絡(luò)安全挑戰(zhàn)的認(rèn)識(shí)，更重要的是，它顯示出高層越來(lái)越重視找到解決方案。

此類改善航空網(wǎng)絡(luò)安全的國(guó)家和地區(qū)努力將促進(jìn)對(duì)話的多樣性。但隨著各州和地區(qū)努力了解挑戰(zhàn)，找出方法，繼續(xù)保持在航空業(yè)中如此成功的國(guó)際標(biāo)準(zhǔn)統(tǒng)一至關(guān)重要。

國(guó)際民航組織（ICAO）旨在“制定國(guó)際空中航行的原則，開(kāi)發(fā)技術(shù)，促進(jìn)國(guó)際航空運(yùn)輸?shù)囊?guī)劃和發(fā)展”，以“確保世界各地國(guó)際民用航空的安全和有序發(fā)展”。有了這些目標(biāo)，民航組織無(wú)疑需要承擔(dān)制定全球航空安全標(biāo)準(zhǔn)的責(zé)任；然而，如何推動(dòng)標(biāo)準(zhǔn)向前發(fā)展，卻稍微復(fù)雜一些。要做到這一點(diǎn)，民航組織必須找到一個(gè)與挑戰(zhàn)相對(duì)應(yīng)的政策工具。前文提到的ICAO與伙伴國(guó)家一同制定的航空網(wǎng)絡(luò)安全框架，就將對(duì)標(biāo)準(zhǔn)制定有很大的幫助，但其他工具也可能幫助制定全球標(biāo)準(zhǔn)。

于1947年簽署的《芝加哥公約》“旨在以安全有序的方式發(fā)展國(guó)際民用航空”。其更新反映了行業(yè)和技術(shù)的發(fā)展（例如，第8條強(qiáng)調(diào)了無(wú)人駕駛飛機(jī)需要特別授權(quán)），《公約》著重于如何在全球范圍內(nèi)保持行業(yè)秩序和一致性，以促進(jìn)合作和發(fā)展。這在第37條中體現(xiàn)為，各國(guó)承諾“最大限度的在規(guī)定、標(biāo)準(zhǔn)、程序和組織方面進(jìn)行合作”。如果《芝加哥公約》為航空安全制定了全球安全標(biāo)準(zhǔn)，其中的附件17則很大程度上與網(wǎng)絡(luò)安全相關(guān)。

《公約》的附件17集中于安全以及通過(guò)防止“非法干擾”飛機(jī)來(lái)保證飛行安全。附件目前關(guān)注的是物理干預(yù)，但正如本報(bào)告所探討的那樣，通過(guò)網(wǎng)絡(luò)手段進(jìn)行非法干涉已成為現(xiàn)實(shí)。在附件17中加入網(wǎng)絡(luò)角度可以通過(guò)類比現(xiàn)有的物理干預(yù)內(nèi)容來(lái)完成，尤其是要認(rèn)同網(wǎng)絡(luò)手段非法干擾的同等重要性。

因此，如果有哪份文件能夠促進(jìn)并制定全球航空網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，那就是《芝加哥公約》的附件17了。通過(guò)修訂附件17反映航空業(yè)越發(fā)相互連接的現(xiàn)實(shí)，不僅會(huì)促進(jìn)國(guó)家間制定全球航空網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的一致性，還將促進(jìn)不同利益相關(guān)者群體之間的對(duì)話與合作——這將決定未來(lái)的成功與否。

8 航空網(wǎng)絡(luò)安全與保障的基礎(chǔ)

8.1 連貫且系統(tǒng)的思考、治理和問(wèn)責(zé)

航空業(yè)是一場(chǎng)復(fù)雜的國(guó)際芭蕾，由成千上萬(wàn)的人使用不同成熟度的不同系統(tǒng)來(lái)運(yùn)作。這一系統(tǒng)的系統(tǒng)本身的設(shè)計(jì)并不是為了防范潛在的攻擊者，出于對(duì)安全、效率、利潤(rùn)和多種系統(tǒng)管理的關(guān)注它才逐漸成熟起來(lái)。前文提到的IT故障事件已經(jīng)表明，這一系統(tǒng)容易受到中斷的影響。

正如報(bào)告所探討過(guò)的，飛機(jī)、ATM和機(jī)場(chǎng)在組織、國(guó)家和全球各級(jí)的復(fù)雜性和相互依賴程度是相當(dāng)大的。我們可以很容易地看到鏈中的薄弱環(huán)節(jié)應(yīng)如何發(fā)展。

在一個(gè)相互關(guān)聯(lián)、相互依賴的系統(tǒng)中，薄弱環(huán)節(jié)可能會(huì)被忽視，造成不成比例的影響。網(wǎng)絡(luò)安全中的一切都表明，攻擊者將瞄準(zhǔn)薄弱環(huán)節(jié)實(shí)現(xiàn)攻擊目標(biāo)。在提高航空網(wǎng)絡(luò)安全的努力中，發(fā)現(xiàn)并保護(hù)系統(tǒng)中的薄弱環(huán)節(jié)，無(wú)論這一環(huán)節(jié)是在運(yùn)行過(guò)程還是在供應(yīng)鏈中，這不僅是一項(xiàng)基本要求，也是對(duì)治理和問(wèn)責(zé)的關(guān)鍵考驗(yàn)。

在全球航空生態(tài)系統(tǒng)中，無(wú)論薄弱環(huán)節(jié)在哪里，都需要自上而下的領(lǐng)導(dǎo)來(lái)改善治理和問(wèn)責(zé)。這會(huì)強(qiáng)化ICAO與國(guó)家監(jiān)管機(jī)構(gòu)共同的努力，即決定航空業(yè)應(yīng)如何應(yīng)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)并向所有利益相關(guān)者傳播最佳實(shí)踐和流程。這項(xiàng)活動(dòng)不僅會(huì)加強(qiáng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的管理，還可能大大明確和簡(jiǎn)化航空業(yè)利益相關(guān)者的法規(guī)負(fù)擔(dān)。

8.2 系統(tǒng)韌性

飛機(jī)系統(tǒng)的設(shè)計(jì)旨在安全化解故障。面對(duì)強(qiáng)大的攻擊者，“即使正確實(shí)施了所有必要的安全防御措施，持續(xù)監(jiān)視并確保補(bǔ)丁的應(yīng)用和漏洞的修復(fù)，有能力的攻擊者仍然可以破壞IT基礎(chǔ)設(shè)施。”對(duì)于未來(lái)破壞和潛在故障的假設(shè)，使人們更加關(guān)注如何持續(xù)保證操作和業(yè)務(wù)流程安全，不管攻擊者企圖實(shí)現(xiàn)什么或者已經(jīng)破壞了什么。

社區(qū)應(yīng)急響應(yīng)小組（CERT）風(fēng)險(xiǎn)管理模型將運(yùn)行韌性定義為“組織的緊急屬性，在運(yùn)行的壓力和干擾下仍可以繼續(xù)執(zhí)行任務(wù)，且不超過(guò)其運(yùn)轉(zhuǎn)極限?！睆倪@個(gè)定義中，我們可以區(qū)分網(wǎng)絡(luò)安全（攻擊防范）和網(wǎng)絡(luò)韌性（安全承受攻擊造成的壓力和干擾）的區(qū)別。兩者都同樣重要且值得推廣。

第39屆ICAO大會(huì)的一份工作報(bào)告強(qiáng)調(diào)了網(wǎng)絡(luò)韌性的重要性。報(bào)告承認(rèn)網(wǎng)絡(luò)事件的可能性近幾年在逐步增加，并呼吁國(guó)際民航組織“為航空系統(tǒng)制定全球統(tǒng)一的網(wǎng)絡(luò)韌性方法”[17]。這樣一種全球性的方法將大大有助于平衡保障的要求與韌性的現(xiàn)實(shí)需要。

8.3 信任韌性

利益相關(guān)者信任在航空網(wǎng)絡(luò)安全挑戰(zhàn)中非常重要。在飛行作為一種旅行方式被廣泛接受之前，商業(yè)航空的起步并不容易。航空業(yè)走過(guò)了從“非常不信任”到在全球建立信任基礎(chǔ)的歷程。但信任很難掙得并容易丟失。到目前為止，對(duì)安全的絕對(duì)關(guān)注已經(jīng)成功地培養(yǎng)并保持了人們對(duì)該行業(yè)的信任，盡管“線上”社會(huì)頭條新聞的影響力使壞消息的傳播速度如此之快，以至于信任可以被很快侵蝕。

航空生態(tài)系統(tǒng)必須同時(shí)考慮網(wǎng)絡(luò)安全和建立信任的挑戰(zhàn)。如果有索賠針對(duì)航空系統(tǒng)或飛機(jī)時(shí)，獲得所有利益相關(guān)者的信任可能會(huì)很困難。在未來(lái)，迅速調(diào)查潛在問(wèn)題，更重要的是，展示潛在的影響和措施將是航空業(yè)的一項(xiàng)基本技能。這將需要航空業(yè)擺脫隱藏式安全，能夠向利益相關(guān)者和乘客證明為什么應(yīng)該且可以信任他們。

不管關(guān)鍵軟件的安全性有多好，如果攻擊者能夠動(dòng)搖信任，他們就有能力控制乘客體驗(yàn)、觀點(diǎn)和信心。如果乘客或監(jiān)管機(jī)構(gòu)有足夠的理由以任何一種原因質(zhì)疑飛機(jī)、系統(tǒng)或機(jī)場(chǎng)，運(yùn)營(yíng)商必須反駁這種看法，重建信任。重建的時(shí)間越長(zhǎng)，經(jīng)營(yíng)者在利益相關(guān)者眼中的可信度就越低。

8.4 人為決策保障

人類操作人員是安全鏈上的最后一個(gè)環(huán)節(jié)，他們作出并執(zhí)行及時(shí)、明智和安全的決策的能力是航空安全的基石。保護(hù)這種能力免受數(shù)據(jù)完整性攻擊和攻擊者顛覆的風(fēng)險(xiǎn)是必要的。

整個(gè)航空業(yè)中都貫穿著幫助人類在正確的時(shí)間做出安全的決定的技術(shù)。只要能夠得到正確、及時(shí)的信息，人們就可以根據(jù)訓(xùn)練采取相應(yīng)的行動(dòng)。然而，如果信息不正確、太快或太遲，就會(huì)使決策變得困難，發(fā)生錯(cuò)誤的可能性也隨之升高。系統(tǒng)能力的降低、工作量的增加以及額外的干擾都可能導(dǎo)致嚴(yán)重的錯(cuò)誤。

人為錯(cuò)誤或技術(shù)故障都是不可避免的，但所有的航空系統(tǒng)都是為了幫助人類操作員在影響安全之前發(fā)現(xiàn)并處理事故或事件。因此，對(duì)技術(shù)進(jìn)行保護(hù)的同時(shí)，也必須保護(hù)提供給操作人員的數(shù)據(jù)的完整性，以便他們做出安全的決策。

現(xiàn)在，操作人員可能不得不在潛在攻擊者的干擾或顛覆過(guò)程中做出決策，航空業(yè)必須考慮到，操作人員，如機(jī)組人員或空中交通管制員，應(yīng)該在何種程度上參與到網(wǎng)絡(luò)安全中，或是繼續(xù)集中于自己的主要角色。我們必須考慮如何在良好的系統(tǒng)設(shè)計(jì)和依賴終端用戶之間找到正確的網(wǎng)絡(luò)韌性平衡。盡管如此，航空操作人員在應(yīng)對(duì)失敗、機(jī)械或其他方面都很精通。學(xué)習(xí)如何應(yīng)對(duì)各種各樣的網(wǎng)絡(luò)攻擊將是一個(gè)不同的挑戰(zhàn)，需要相應(yīng)的訓(xùn)練。國(guó)際航空飛行員協(xié)會(huì)聯(lián)合會(huì)（International Federation of Air Line Pilots 'Associations）已經(jīng)強(qiáng)調(diào)了這一倡議的重要性，呼吁進(jìn)行對(duì)飛行員培訓(xùn)，幫助他們識(shí)別網(wǎng)絡(luò)攻擊[18]。

8.5 共同觀點(diǎn)和文化

合作的重要性不可低估。即使不共享知識(shí)和觀點(diǎn)，航空和網(wǎng)絡(luò)安全產(chǎn)業(yè)之間也有巨大的文化交流潛力。

我們已經(jīng)談到，航空業(yè)是一個(gè)系統(tǒng)的系統(tǒng)，漏洞很可能反映在多個(gè)地區(qū)、國(guó)家或服務(wù)提供商之間。全面且及時(shí)的信息共享將會(huì)減少系統(tǒng)風(fēng)險(xiǎn)，因?yàn)橐坏┞┒幢话l(fā)現(xiàn)，修補(bǔ)所有漏洞就變成了與時(shí)間的賽跑。

共享有關(guān)漏洞和威脅的敏感信息不是一件容易的事情。美國(guó)和歐洲都在建立與航空業(yè)相關(guān)的ISAC。參與組織可以通過(guò)中心獲取有關(guān)漏洞的信息和威脅情報(bào)，幫助它們更好地管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

對(duì)于這些組織來(lái)說(shuō)，關(guān)鍵的驅(qū)動(dòng)因素是尋找并開(kāi)發(fā)有價(jià)值的建議，并將其傳播到受信任的集體中，因?yàn)樾湃纬潭雀鞑幌嗤?，就?huì)存在一定程度的威脅和漏洞共享分層。有研究正在分析如何加速建立信任，但從根本上說(shuō)，建立信任需要投入時(shí)間、精力和加強(qiáng)合作。

例如，航空信息共享和分析中心（A-ISAC）正在探究國(guó)家航空和空間管理局（National Aeronautics and Space Administration）和俄羅斯之間的合作，將其作為各國(guó)應(yīng)如何在有著嚴(yán)格的安全要求的復(fù)雜技術(shù)項(xiàng)目中合作的例子。

A-ISAC已經(jīng)參與了一些事件，其快速分享知識(shí)的能力已經(jīng)成功地幫助多個(gè)國(guó)際利益相關(guān)者減輕了風(fēng)險(xiǎn)。A-ISAC也是最佳實(shí)踐的中心聯(lián)絡(luò)點(diǎn)和網(wǎng)絡(luò)安全力量的放大器。新設(shè)立的歐洲航空網(wǎng)絡(luò)安全中心（European Center for Cybersecurity in Aviation）與A-ISAC有類似的目標(biāo)，它與歐盟CERT相連[19]。這些組織的目標(biāo)是提高協(xié)作水平，使分享更有價(jià)值，不管利益相關(guān)者的文化觀點(diǎn)如何都可以相互學(xué)習(xí)。

在航空業(yè)的所有活動(dòng)中都貫穿著一種強(qiáng)大的安全文化。當(dāng)它與IT行業(yè)交織在一起時(shí)，一個(gè)關(guān)鍵的需求將是理解和克服團(tuán)隊(duì)之間的文化差異。建立共享文化，使兩個(gè)團(tuán)隊(duì)之間能夠協(xié)同合作，共同審視挑戰(zhàn)并尋找潛在的解決方案，這需要跨領(lǐng)域?qū)W習(xí)和文化方法分享。共同的觀點(diǎn)和愿景將會(huì)提高人們對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)并增強(qiáng)韌性。

9 未來(lái)建議

所有利益相關(guān)者的下一步行動(dòng)：

9.1 加強(qiáng)領(lǐng)導(dǎo)和標(biāo)準(zhǔn)化（全球、全國(guó)、區(qū)域等）

挑戰(zhàn)——攻擊者的能力只會(huì)隨著航空業(yè)對(duì)連接技術(shù)的采用和發(fā)展迅速增強(qiáng)。這使個(gè)人、組織和國(guó)家在面對(duì)挑戰(zhàn)時(shí)都需要努力管理和規(guī)范風(fēng)險(xiǎn)。

行動(dòng)——作為應(yīng)對(duì)航空網(wǎng)絡(luò)安全挑戰(zhàn)最資深的航空機(jī)構(gòu)，ICAO應(yīng)提供應(yīng)對(duì)挑戰(zhàn)的建議，并制定明確的要求，用于全球航空領(lǐng)域的網(wǎng)絡(luò)安全和網(wǎng)絡(luò)風(fēng)險(xiǎn)的治理和問(wèn)責(zé)。這些考慮應(yīng)被正?；?，像ICAO其他防止非法干擾的公約，如《芝加哥公約》的附件17一樣。

9.2 建議航空網(wǎng)絡(luò)安全與保障共識(shí)

挑戰(zhàn)——維護(hù)系統(tǒng)安全的治理和問(wèn)責(zé)主要被視為安全職責(zé)。在復(fù)雜的關(guān)鍵系統(tǒng)（與多個(gè)供應(yīng)商）之間，如何實(shí)施風(fēng)險(xiǎn)所有權(quán)和問(wèn)責(zé)就形成了挑戰(zhàn)。物理安全責(zé)任與信息安全責(zé)任之間的任何混淆，都有可能掩蓋真正的安全風(fēng)險(xiǎn)。

行動(dòng)——航空業(yè)必須確保網(wǎng)絡(luò)安全和保障的治理和問(wèn)責(zé)能夠被充分的理解、定義、健全并納入現(xiàn)有的SMS服務(wù)。這必須加強(qiáng)而不能削弱現(xiàn)有的有效SMS服務(wù)。這種方法在全球范圍內(nèi)的標(biāo)準(zhǔn)化程度越高，整個(gè)航空業(yè)對(duì)相對(duì)真實(shí)風(fēng)險(xiǎn)的認(rèn)識(shí)就越深刻。

9.3 重新評(píng)估、開(kāi)發(fā)并使用健全的威脅模型

挑戰(zhàn)——航空業(yè)硬件壽命和軟件補(bǔ)丁周期都很長(zhǎng)，威脅形勢(shì)變化快。在評(píng)估威脅，制定風(fēng)險(xiǎn)模型時(shí)，無(wú)法確定潛在攻擊者的能力或動(dòng)機(jī)。

行動(dòng)——航空網(wǎng)絡(luò)威脅模型必須在產(chǎn)品或系統(tǒng)的整個(gè)生命周期中更好地囊括并預(yù)測(cè)攻擊者的能力、動(dòng)機(jī)和變化。這一活動(dòng)需要政府、航空業(yè)或獨(dú)立研究人員等利益相關(guān)者的共同合作。

9.4 向利益相關(guān)者傳播有關(guān)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的信息

挑戰(zhàn)——在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)上，航空業(yè)沒(méi)有一個(gè)一致的立場(chǎng)。一些利益相關(guān)者仍然宣稱系統(tǒng)不可能受到攻擊。在攻擊事件發(fā)生后，可能很難轉(zhuǎn)變利益相關(guān)者的觀點(diǎn)，恢復(fù)信任。

行動(dòng)——對(duì)于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和措施，航空業(yè)必須傳遞明確、實(shí)際且一致的信息。這將需要團(tuán)結(jié)利益相關(guān)者，建立解決問(wèn)題的共同責(zé)任感，而不是捍衛(wèi)沒(méi)有事實(shí)依據(jù)的立場(chǎng)。

9.5 建立非技術(shù)受眾信任

挑戰(zhàn)——多年來(lái)在安全上的改進(jìn)意味著，在很大程度上，利益相關(guān)者目前是信任航空業(yè)的。圍繞網(wǎng)絡(luò)韌性的信任挑戰(zhàn)在于，大部分受眾都是沒(méi)有技術(shù)知識(shí)的。物理安全和保障措施通常是可見(jiàn)且有形的，這使得利益相關(guān)者更容易理解和建立對(duì)它們的信任。網(wǎng)絡(luò)安全技術(shù)的復(fù)雜性意味著建立、溝通和保護(hù)信任將會(huì)更加困難。

行動(dòng)——航空業(yè)必須建立非技術(shù)乘客和利益相關(guān)者對(duì)其網(wǎng)絡(luò)安全的信任。這種信任必須建立在網(wǎng)絡(luò)韌性的基礎(chǔ)上，輔以可證明的措施。這種信任越強(qiáng)，網(wǎng)絡(luò)事件或索賠的影響就越小。

9.6 提高安全更新的速度

挑戰(zhàn)——在航空關(guān)鍵系統(tǒng)中安裝硬件和軟件安全更新是一個(gè)漫長(zhǎng)的過(guò)程。隨著航空業(yè)連通性的不斷增加，漏洞的發(fā)現(xiàn)只是時(shí)間問(wèn)題，任何試圖掩蓋漏洞的嘗試都將失敗。對(duì)比其他采用了聯(lián)網(wǎng)技術(shù)的行業(yè)經(jīng)驗(yàn)表明，一旦發(fā)現(xiàn)漏洞，就應(yīng)迅速有效地修補(bǔ)漏洞以降低風(fēng)險(xiǎn)，這對(duì)服務(wù)和安全影響的降低至關(guān)重要。

行動(dòng)——對(duì)于硬件和軟件的安全更新，應(yīng)提高制定和實(shí)施航空業(yè)最佳實(shí)踐的速度。應(yīng)想辦法在縮短補(bǔ)丁周期（包括安全更新）的同時(shí)彌補(bǔ)漏洞。也應(yīng)額外考慮如何更改現(xiàn)有認(rèn)證政策和系統(tǒng)設(shè)計(jì)，協(xié)助提升更新速度。

9.7 通過(guò)系統(tǒng)和過(guò)程設(shè)計(jì)捕獲網(wǎng)絡(luò)安全相關(guān)數(shù)據(jù)

挑戰(zhàn)——對(duì)于眾多相互連接的航空系統(tǒng)，目前卻很少有相關(guān)公開(kāi)信息、指標(biāo)或記錄，很難認(rèn)定和評(píng)估損害指標(biāo)（Indicators of Compromise，IoC），更不用說(shuō)補(bǔ)救或保障了。正如許多聯(lián)網(wǎng)行業(yè)所發(fā)現(xiàn)的，預(yù)防是理想的，但檢測(cè)是必須的。關(guān)鍵數(shù)據(jù)的公開(kāi)度不高或在調(diào)查結(jié)果上缺乏合作，將使我們很難了解航空業(yè)所面臨的網(wǎng)絡(luò)安全挑戰(zhàn)的規(guī)模。

行動(dòng)——無(wú)論系統(tǒng)有多復(fù)雜，航空業(yè)都需要建立數(shù)據(jù)捕獲能力，以檢測(cè)硬件和系統(tǒng)中的攻擊者活動(dòng)（IoC），無(wú)論是這些活動(dòng)是在操作中還是在供應(yīng)鏈上。還必須考慮到事故后管理調(diào)查的獨(dú)立性和嚴(yán)謹(jǐn)性，并對(duì)任何事故或事件的潛在網(wǎng)絡(luò)安全問(wèn)題進(jìn)行調(diào)查。

9.8 跨多個(gè)學(xué)科的安全訓(xùn)練

挑戰(zhàn)——在安全方面受過(guò)充分訓(xùn)練的航空人員，也有可能必須在網(wǎng)絡(luò)攻擊行動(dòng)的干擾下工作。他們目前還沒(méi)有接受過(guò)如何發(fā)現(xiàn)、評(píng)估這種情況或作出適當(dāng)反應(yīng)的訓(xùn)練，這大大增加了任何攻擊行動(dòng)的潛在影響。同樣，網(wǎng)絡(luò)安全人員也還未經(jīng)受過(guò)航空操作細(xì)節(jié)的訓(xùn)練。

行動(dòng)——航空業(yè)必須制定合適的訓(xùn)練和方法，使所有人員具備識(shí)別攻擊活動(dòng)和維持操作安全的技能。相應(yīng)的，網(wǎng)絡(luò)事件響應(yīng)人員也必須接受培訓(xùn)，在時(shí)間緊迫的情況下支持航空操作安全。如果能將課程迅速反饋到更廣泛的航空生態(tài)系統(tǒng)中，這種訓(xùn)練可能會(huì)特別有價(jià)值。

9.9 事故和事件調(diào)查中納入網(wǎng)絡(luò)視角

挑戰(zhàn)——航空事故和事件通常會(huì)由國(guó)家機(jī)構(gòu)進(jìn)行徹底且客觀的調(diào)查。這些調(diào)查的集中在事件重演上，找出根本原因，這樣行業(yè)的其他成員就可以避免同樣事件的發(fā)生。如何將網(wǎng)絡(luò)安全納入到這些調(diào)查中——或甚至必要的數(shù)據(jù)是否可用——是未知的。

行動(dòng)——應(yīng)調(diào)查并提出最佳實(shí)踐，以便對(duì)航空事故和事件中的網(wǎng)絡(luò)安全問(wèn)題進(jìn)行適當(dāng)?shù)恼{(diào)查。此外，調(diào)查不僅應(yīng)該關(guān)注組織結(jié)構(gòu)、機(jī)構(gòu)和技術(shù)，還應(yīng)致力于改進(jìn)航空系統(tǒng)設(shè)計(jì)，使調(diào)查及時(shí)，取證可行。

[1]Tobias Buck ，Peggy Hollinger.BA Faces ￡80m Cost for IT Failure That Stranded 75,000 Passengers[EB/OL].Financial Times.(2017-04-15).https://www.ft.com/content/98367932-51c8-11e7-a1f2-db19572361bb.

[2]Chris Isidore.Delta: 5-Hour Computer Outage Cost Us $150 Million[EB/OL]. CNN Tech. (2016-09-07).http://money.cnn.com/2016/09/07/technology/delta-computeroutage-cost/index.html.

[3]Assembly – 39th Session: Resolutions Adopted by the Assembly[EB/OL].ICAO.(2017-10-30).https://www.icao.int/Meetings/a39/Documents/Resolutions/a39_res_prov_en.pdf.

[4]Anthony Kimery.Tunisian Hackers Announce Cyber Jihad Against US Banks, Airport Computer Systems[EB/OL].Homeland Security Today. (2014-07-04).http://www.hstoday.us/briefngs/daily-news-analysis/single-article/exclusive-tunisian-hackersannounce-cyberjihad-against-us-banks-airport-computer-sy stems/7c3d2373e69fa9319e521816ce539b7d.html.

[5]Xavier Jean, Marc Gatti, Guy Berthon, et al.MULCORS – Use of MULticore proCessORs in Airborne Systems[EB/OL].EASA. (2011-04-30).https://www.easa.europa.eu/system/fles/dfu/CCC_12_006898-REV07 - MULCORS Final Report.pdf.

[6]Charles Arthur.Cyber-Attack Concerns Raised over Boeing 787 Chip’s ‘Back Door’ [EB/OL].The Guardian. (2012-05-29).https://www.theguardian.com/technology/2012/may/29/cyber-attack-concerns-boeing-chip.

[7]Annex II - AMC 20-25[EB/OL].EASA. (2014-09-02).https://www.easa.europa.eu/system/fles/dfu/2014-001-R-Annex%20II%20-%20 AMC%2020-25.pdf.

[8]Deborah A.P. Hersman.Safety Recommendation[EB/OL].NTSB. (2009-08-17).https://www.ntsb.gov/safety/safety-recs/recletters/A09_67_71.pdf.

[9]Leslie Meredith.Malware Implicated in Fatal Spanair Plane Crash[EB/OL].NBC News. (2010-08-20).http://www.nbcnews.com/id/38790670/ns/technology_and_science-security/#.WdMpZmhSyUk.

[10]Steven Petrow.I Got Hacked Mid-Air While Writing an Apple-FBI Story[EB/OL].USA Today. (2016-02-24).https://www.usatoday.com/story/tech/columnist/2016/02/24/got-hackedmy-mac-while-writing-story/80844720/.

[11]Angela Moscaritolo.RSA Confrms Lockheed Hack Linked to SecurID Breach[EB/OL].SC Media. (2011-06-07).http://www.scmagazine.com/rsa-confrms-lockheed-hack-linked-tosecurid-breach/article/204744/.

[12]ARINC Project Initiation/Modifcation (APIM):Internet Protocol Suite for Aeronautical Safety Services – Development Plan[EB/OL].AEEC.(2015-09-23). http://www.aviation-ia.com/aeec/projects/ips/Apim15_004.pdf.

[13]Elinor Mills.Hackers Broke into FAA Air Trafc Control Systems[EB/OL].CNET. (2009-05-08).https://www.cnet.com/au/news/report-hackersbroke-into-faa-air-trafc-control-systems/.

[14]IT Management Challenges Continue in TSA’s Security Technology Integrated Program(Redacted) [EB/OL].Ofce of the Inspector General. (2016-05-09).https://www.oig.dhs.gov/assets/Mgmt/2016/OIG-16-87-May16.pdf.

[15]Should a National Cyber Safety Board Be Created to Help Report on Breaches? [EB/OL].RSA Conference. (2014-02-27).https://www.rsaconference.com/events/us14/agenda/sessions/1089/should-a-national-cybersafety-board-be-created-to.

[16]Directive (EU) 2016/1148 of the European Parliament and of the Council[EB/OL]. European Parliament.(2016-07-19).http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32 016L1148&from=EN.

[17]Cyber Resilience in Civil Aviation[EB/OL].ICAO. (2016-07-26).https://www.icao.int/Meetings/a39/Documents/WP/wp_099_en.pdf.

[18]Cyber Threats[EB/OL].IFALPA.(2016-11-06).http://www.ifalpa.org/downloads/Level1/IFALPA%20Position%20Papers%20&%20 Statements/Security/16POS08%20-%20 Cyber%20Threats.pdf.

[19]Implementation of a European Centre for Cyber Security in Aviation (ECCSA) [EB/OL].EASA.(2017-04-04).https://www.easa.europa.eu/newsroom-and-events/news/implementationeuropean-centre-cyber-securityaviationeccsa#group-easarelated-content.