返回
航空“触网”后安全风险识别与防控

航空“触网”后安全风险识别与防控

ID:31376090

大小:105.50 KB

页数:5页

时间:2019-01-09

航空“触网”后安全风险识别与防控_第1页
航空“触网”后安全风险识别与防控_第2页
航空“触网”后安全风险识别与防控_第3页
航空“触网”后安全风险识别与防控_第4页
航空“触网”后安全风险识别与防控_第5页
资源描述:

《航空“触网”后安全风险识别与防控》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、航空“触网”后安全风险识别与防控  1引言  2015年航空互联网炙手可热,成为当前航空业界最热词。飞机这个移动互联网的最后一块孤岛,在移动互联网风起云涌的大潮下,即将被征服,无论是国航、东航、南航,还是春秋等航空公司,高调的宣称要向互联网航空转型,Ku、ATG、客舱Wi-Fi等各种解决方案层出不穷,纵观一年以来航空互联网发展是雷声大雨点小,截止2015年7月,国内正在实现天地互联航班不超过10架,客舱局域网不足50架,究其缘由,高昂的改造成本暂且搁在一边,航空互联网监管与安全成为主要拦路虎。  本期老鹰漫谈,从一起发生在美国的案例出发,拨开表象看本质,建言航

2、空“触网”后安全风险识别与规避。  2、航空“触网”后安全风险识别  飞机上都有哪些系统联网了呢?主要分为两大类,一类是客舱娱乐及通信系统(IFEC)面向乘客娱乐通信服务需要,依托Ka/Ku/SBB/ATG等天地互联技术+客舱Wi-Fi系统实现;一类是前舱飞行信息相关,如ACARS、AMDAR等数据。一类是全程联网,如IFEC、ACARS、AMDAR等,一类是机场区域联网,如电子飞行包、WQAR、机载软件管理系统(EDMS)的无线网络功能(Gatelink)(787飞机上的新功能)等。  2.1客舱IFEC风险识别5  客舱IFEC设备主要包含机载天线、客舱W

3、i-Fi设备两部分,这些系统设备只服务于客舱,由于客舱服务需要,这些设备往往会通过ARINC429总线与飞机相连,并获取飞机经纬度、高度、地速等信息。  客舱IFEC风险存在两个层面,一个层面是否会通过ARINC429总线关联至飞机其他系统,可能影响飞行安全,该层面风险等级较高,需重点防范;一个层面如何确保IFEC自身机载服务器安全,比如避免黑客篡改页面内容等,该层面风险等级较低,只影响IFEC服务本身,对飞行安全无影响。  2.2前舱互联风险识别  ACARS链路的前舱数据,采用VHF链路传送,VHF网为民航专属网络,非公共网络,也未接入互联网,无法通过公众

4、网络进行攻击。如果采用卫星方式传送ACARS、AMDAR数据,建议采用专网方式传送,避免采用公众网络、互联网方式进行数据传送。前舱数据与客舱数据传送信道需进行物理隔离。如采用专网、专用信道(物理隔离)进行前舱数据传送,此类风险等级低。  3航空互联网安全风险防范  通过前面章节梳理,航空飞行器联网后,如涉及飞行相关操作应重点关注风险识别和防范。  3.1前舱互联风险防范  1、首选专网模式,构建安全、可靠的数据更新通道,无论是传送ACARS、AMDAR数据,还是机场区域确保电子飞行包数据及新型飞机信息数据更新。由于专网有严格的认证、鉴权、加密算法,没有暴露在互

5、联网下,安全防范能力强,此类安全风险可大大降低。5  2、次选公众移动通信网,采用VPN、AAA等虚拟专网方式,在公众网络上修建一条虚拟专用通道,并在内网中建立AAA等认证、鉴权、加密设备,增加网络安全防护能力,由于只是虚拟专网,所以安全风险要高于专网模式,安全防范能力中等,此类安全风险适中。  3、禁止使用Wi-Fi网络进行数据更新,由于Wi-Fi技术非授权使用特征,导致Wi-Fi网络安全性存在先天不足,如采用机场或机坪Wi-Fi进行电子飞行包或者飞机机载数据更新,在效率提升的同时,安全风险大大提升,网络安全防范能力弱,此类安全风险极高,建议明令禁止采用Wi

6、-Fi网络传送飞行相关核心关键数据及信息。  3.2客舱互联风险防范  客舱互联以提供类似于地面服务感知的移动互联业务体验为目标,客舱互联最终以接入互联网为目的,所以无论何种天地互联技术连接互联网成为必须。  1、做好客舱与前舱数据隔离是当前客舱互联风险防范重点。切断客舱系统对前舱系统的写权限是初期客舱互联安全防范的法宝。客舱互联网的实现多是采用Ku、Ka、ATG等天地互联通道+客舱Wi-Fi最终实现,客舱互联网相关机载设备通过ARINC429总线与飞机进行数据获取,ARINC429总线读取数据接口与写入数据接口是分开的,建议客舱Wi-Fi设备与ARINC42

7、9总线的读数据接口连接,这样的设计,可以将客舱互联网风险控制在客舱互联网系统内,根本上杜绝了发生攻击飞机飞行5系统的可能;同时建议将Ku、Ka、ATG等天地互联通道仅用于后舱,如用于前舱时,需做到链路的物理隔离,确保飞行数据与客舱娱乐数据绝对隔离。如此设计,可以将客舱互联网安全等级大大降低,安全风险也大大降低。  2、客舱互联网系统自身安全防范,为满足国家互联网监管需要,客舱互联网业务必须做到用户行为日志留存、用户实名登陆,确保用户行为可管可控,同时为了保护机载IFE服务器内容安全,采用了如下风险防范措施:对接入终端进行鉴权管理,保证用户域与管理域VLAN二层

8、隔离保护措施,对管理域SSID进行隐藏

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。