王珍发 雷景波

当前，全球面临着网络安全的深刻影响，网络攻击行动日趋频繁化和白热化，聚焦窃密的同时，黑客对关键基础设施的攻击激增，意图造成社会混乱和持久破坏[1]。作为现代社会重要的基础设施，民航对信息化高度依赖，加上飞机航电系统的网络化，导致民航领域的各类网络系统面临的网络安全威胁与日俱增。适航维修数字化系统就是其中之一，值得各航空运营人加以重视解决，与此同时维护适航维修系统的网络安全也是落实民航“十四五”期间加强网络安全建设的航空安全体系完善规划的重要组成部分。

1 维修系统面临的网络安全威胁

1.1民航网络安全事故频发

2018年，民航某地区管理局收到当地警方通报，辖区内一家中型航空公司的官网受到境外黑客的攻击，大量用户数据和航班数据被窃取。该事件导致全民航运行数据共享工作暂停，网络安全严重影响了民航发展。

2021年3月，某经营业绩出众的中型航空公司，参加其控股航空集团的网络安全演练，攻击队通过钓鱼财务系统一名员工，登录了财务系统，利用浏览器缓存的账户密码，修改了信息系统管理员的手机号，进而修改了该系统管理员的登录密码，并控制了包括航班运行、商旅销售、经营管理等大量系统，直接导致该航空公司“休克”。试想如果一旦发生数据泄露，集团将面临欧盟数以亿计欧元的巨额罚款。因此，不得不说网络安全严重威胁航空实体的发展生存。

1.2适航维修数字化系统

适航维修，是指按照局方适航管理的要求和批准，保持航空器持续适航状态的维修或改装工作。飞行器适航维修数字化系统是提升适航管理和维修工作的效率效能的信息系统。广义的适航维修数字化系统包含局方的适航监管系统，如飞行标准监督管理系统（FSOP）和监管执法信息系统（SES），以及许可证持有人的维修管理系统；而狭义的适航维修数字化系统仅包括后者。本文取狭义概念，简称飞机维修系统。

图1为航空公司典型的网络拓扑图。如图显示，机载设备管理作为飞机维修数字化系统的一部分，可能直接对接飞机的航电系统，和飛机设备有直接连接。因此，一旦犯罪分子侵入，会造成飞行操纵和应对失误，导致难以想象的严重后果，不但经济损失巨大，更会带来惨重的人员伤亡和极为负面的国际影响。2020年安全演练中，某大型航企的维修系统的工具子系统存在漏洞，攻击队通过WIFI连接以此为跳板几乎打穿了内网。

1.3飞机航电设备系统

随着航空器机载电子系统及控制系统的数据吞吐率和可靠性的不断提升，民航飞机的传输总线经过多次的升级和演进，从早期的点对点单向广播通信（如ARINC429 总线、RS485 总线、CSDB总线等），经过共享总线的双向传输实时通信（如ARINC629 总线、CAN 总线、LTPB 总线、MIL1553B 总线等），发展到具有良好的扩展性可灵活配置的双向通信网络（如AFDX 总线、令牌环网、航空以太网络、TTP总线、TTE总线等）[2]。随着机载通信总线及网络的吞吐量和灵活性的提高，外界接入飞机网络更加便利，也给黑客对航电设备的攻击提供了可能[3]。2019年，一名英国教授发现了英国航空IFE机载娱乐系统的缓存溢出漏洞（CVE-2019-9109），之后用USB鼠标将长字符串输入到机上聊天程序，导致整个飞机娱乐系统的崩溃。同年7月，DHS/CISA提醒：通过机载CAN总线，可改变飞机的状态信息，如高度空速和发动机转速。从图2所示的空客A350飞机航电系统结构中可以看出，机上设备的网络化运作，使得该安全警告真实可信。

2 维修系统网络安全分析

据研究报告显示，2020年全年大中型政企机构安全事件攻击类型排名前三的分别是：恶意程序（54.5%）、漏洞利用（27.7%）、钓鱼邮件（4.8%），弱口令、永恒之蓝漏洞仍是大中型政企机构被攻陷的重要原因。在民航各数字化系统中，由于系统存在的软硬件漏洞，缺乏自主可控的安全架构，单位内部用户邮箱被钓鱼邮件入侵或访问病毒网站，会导致木马程序在内网运行蔓延，加上黑客的恶意攻击，网络安全往往造成严重后果。

2.1系统漏洞

软硬件漏洞是网络安全问题的根本原因。2021年，某大型航空企业集团聘请外部安全团队对公司的软件系统进行测试，在近2000个IT系统中，发现接近200个系统有严重漏洞。这充分表明，民航数字化系统漏洞相当普遍。究其原因，民航系统搭建中，用到了多种数据库、软件架构；众多单位的参与，引入了不计其数的中间件和外包软件；后期维护工作执行不到位，导致多种安全漏洞的存在。其中最致命的各种“0Day”漏洞，会直接导致系统瘫痪。

2.2缺乏架构

没有自主的系统逻辑架构是问题发生的重要原因。民航是信息化建设的应用方，自主研究较弱，且常因预算不足等原因选择不严谨的架构，加之内外网混用严重。网络安全基本上只能采用按照外包公司的逻辑架构，有些小型信息系统甚至没有架构，纯粹是拼凑的数字化系统。对于安全级别要求较高的通信导航和维修管理系统，通常采用专网或内网的环境，但是自身架构不稳导致一旦被近源攻击或横向打穿，整个系统的弱点暴露无遗，黑客几乎可以为所欲为。

2.3木马病毒

木马病毒是网络安全问题发生的直接原因。2021年，某民航单位普通用户点击了微信钓鱼链接，木马病毒的运行使得办公电脑成为“超级肉鸡”，攻击队几乎击穿了防守严密的核心系统。木马病毒一般隐藏在邮件或社交消息中，用户打开激活导致电脑中毒，引发导致网络瘫痪等问题。由于网络安全管理不完善、员工网络安全意识淡薄、处置能力不足，不安全的用户行为导致木马病毒在部分民航单位的内网中横行。当前最危险的当属“永恒之蓝”为代表的敲诈勒索病毒。

3 维修系统网络安全加强措施

3.1提升网络安全管理

2020年网络攻击来源分析显示，大部分网络安全攻击起始点均为内网用户。因此，加强网络安全管理能起到非常有效的阻断效果。由图3大型航空集团网络安全逻辑架构图可以看出，对适航维修系统进行安全加固，是现阶段促进飞机航电系统安全的必经之路。必须提高维修体系员工的网络安全意识，树立全员理解、支持和参与网络安全的习惯；注意防范钓鱼邮件、严禁点击不明链接、规范使用移动存储设备、按照规章要求在工作计算机上仅安装使用必须软件、使用强密码，加强维修区域的人员管理；严格限制信息系统管理人员的操作权限；对于有IT管理部门的适航维修单位，必须将网络安全管理列入企业运行安全管理的工作内容，制定网络安全管理制度、组建并加强网络安全管理队伍、确保网络安全管理预算全面到位、明确网络安全的分工职责，加强网络安全应急预案的实施、点评、改进[4]；对于未设立IT管理部门的维修单位，要按照单位统一的网络安全制度，严格落实，确保各项措施到位。

3.2加强网络安全技术应用

网络安全预防节点前移。在技术上，首先要推动安全算法尤其是加密算法的研究和应用，逐步升级自行开发的维修系统的数据传递中的加密解密；研究并应用自主单向散列函数（MD5 加密），对敏感数据进行对称加密；重点研究高级加密标准（AES，Advanced Encryption Standard）的应用推广；协同公司IT管理部门，研究适航维修系统的数字签名算法（DSA，Digital Signature Algorithm）。其次，要落地行之有效的网络安全方案，包括但不限于缩小内网系统的互联网暴露面、实施基于区块链的零信任接入方案、构建关键数据的多维纵深防御体系、加强入侵检测和阻止等。以图4 为例，这是一种比较科学可行的攻防模型[5]，作为防守方，民航适航体系应在防守的七个环节上认真部署。研究表明，对系统核心防守有效和可靠的方式是进行基于自主算法的加密信号传输和数据存储的部署。

3.3加强基础框架建设

网络安全严重依赖于框架安全。对国内绝大多数维修单位来说，适航维修系统是整个公司局域网的一部分，网络防护能力建设也是整体网络安全能力的一环。由于适航维修系统和外界交互有限，而且可能和飞机数字化系统直接交互，因此更加有必要进行隔离。考虑到成本限制，且需要同步资产和技术的更新，因此具体的做法：一是使用逻辑隔离的方式，将适航系統保护起来，并且针对每个适航维修的小系统，都激活单独的隔离策略；二是尽量不使用集中管理系统如域控等，如果在规模上必须使用域控，则使用多个域控，进行相互独立的管理和维护；三是在登录端，使用密码、物理证书和手机号进行多因子验证，对于有条件的系统或单位，跟登录相关的手机号管理系统可以采用基于区块链的防串改手机信息管理系统，以进一步确保安全性。

3.4融合信创安全产品

目前，国产信创安全产品在软硬件支持上，基本实现了对主流国产CPU和操作系统的支持，如龙芯CPU、银河麒麟等操作系统，建立了广泛的生态互认，基本实现了对支持主流网络通讯协议中的数据内容的识别，能够识别HTTP协议、FTP协议、SMTP协议、文件共享类协议、IM类协议、HTTPS协议中传输的数据，能够兼容国产应用如WPS等，其策略具备了一定的智能能力，可对样本数据进行基于自然语言处理的分类算法训练，自动归纳、制定出数据分类策略并进行验证，确保策略的准确性和易用性。上述安全产品的能力涵盖并提升了OIE体系的安全产品，可在适航维修系统加强推广，有助于打造民航自主技术体系，构建中国民航方案，提升民航话语权。

参考文献

[1]王世伟.论信息安全、网络安全、网络空间安全[J].中国图书馆学报，2015（ 2） ： 72-84.

[2]王哲元，顾呈.聚焦民用飞机航电发展趋势 [N]. 中国航空报.2014 -8-28.

[3]曹全新，杨融，孙志强，李伟杰.民用飞机网络安全问题与策略探究[J].网络安全技术与应用，2016（12）：150-151，153.

[4]张西武，顾兆军，周景贤.民用航空行业网络安全监管体系建设研究[J]. 民航学报，2019-5.

[5]平国楼，叶晓俊.网络攻击模型研究综述 [J] .信息安全研究，2020（12）.