欢迎访问学兔兔标准下载网,学习、交流 分享 !
返回首页 |
ICS 49.090 V 45
HB 8628-2021
民用飞机适航信息安保过程规范
Specification of security process for civil aircraft in airworthiness
2021-04-19 发布 2021-07-01 实施
中华人民共和国工业和信息化部 发 布
前 言
本标准按照 GB/T 1.1-2009《标准化工作导则 第 1 部分:标准的结构和编写》给出的规则起草。本标准由中国航空综合技术研究所归口。
本标准起草单位:中国航空工业集团公司西安航空计算技术研究所、中国航空综合技术研究所。
本标准主要起草人:孔德岐、张 双、田丽蓉、王辰娇、胡风明、刘 绚、郑 涛、母方欣、杨 佳。
民用飞机适航信息安保过程规范
1 范围
本标准规定了民用飞机机载系统在开发和适航过程中,当面临蓄意非授权电子交互的威胁且影响飞机安全性时,所需执行的设计要求和验证要求。
本标准适用于民用运输类飞机机载系统的适航,其他类飞机可参考使用。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件, 仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
SAE ARP 4754A 民用飞机与系统开发指南
SAE ARP 4761 民用机载系统和设备的安全评估过程方法和指南
3 术语和定义、缩略语
3.1 术语和定义
下列术语和定义适用于本文件。
3.1.1
适航 airworthiness
部件(飞机、飞机系统或零部件)以安全的方式工作并完成其预定功能的状态。
3.1.2
适航信息安保过程 airworthiness security process
当受到蓄意非授权电子交互影响时,为了使飞机保持在安全运行的状态,所建立的一种完整过程。 3.1.3
资产 asset
飞机的逻辑和物理资源,包括功能、系统、部件、数据、接口、处理和信息。
3.1.4
部件 item
已定义了接口和范围的硬件或软件单元。
3.1.5
信息安保审定计划 plan for security aspects of certification由申请人制定,用于对信息安保审定过程进行管理。
3.1.6
信息安保审定计划总结 plan for security aspects of certification summary用于提供与信息安保审定相关的证据。
3.1.7
信息安保边界 security perimeters
资产内部和其外部信息安保环境之间的安保界线。
3.1.8
信息安保架构 security architecture
为满足信息安保需求,实现安保措施,定义单元、角色、责任和接口, 单元可含有硬件、软件、算法、程序和策略。
3.1.9
信息安保措施 security measure
用于减轻和管控威胁状态,可以是机上或机外的特性、方法或步骤, 也可以是技术、运行或管理等方面的相应措施。
3.1.10
信息安保环境 security environment
资产执行其功能的外部信息安保条件。飞机/系统的信息安保环境是信息安保边界外部的信息安保假设,用于飞机/系统安全性评估。
3.1.11
攻击路径 attack path
攻击者实施攻击时所利用的路径、接口和行为。
3.1.12
威胁状态 threat condition
对飞机或它的乘员有着直接或间接影响的一种状态,该状态由一个或多个蓄意非授权电子交互引起,包括网络威胁,与飞行阶段相关的不利于操作或环境的状态。
3.1.13
威胁场景 threat scenario
蓄意非授权电子交互的规范描述,包括威胁源(攻击者和攻击向量)、脆弱性、运行状态和威胁状态,以及目标受攻击的事件。
3.1.14
威胁源 threat source
攻击者与攻击向量,是针对蓄意利用脆弱性或错误的触发脆弱性的意图和方法。
3.1.15
脆弱性 vulnerability
在系统规程、设计、实现或内部控制中的缺陷或弱点, 它们无意地触发或故意的利用会导致信息安保受损或违反系统信息安保策略。
3.1.16
已知脆弱性 well-known vulnerability
设备的某些单元在以前使用过程中已记录并公开的脆弱性。
3.1.17
脆弱性案卷 vulnerability dossier
根据信息安保风险评估,通过分析和脆弱性测试后确定为有脆弱特性的异常情况和威胁列表、分析和分类。
3.1.18
信息安保有效性 security effectiveness
信息安保措施保护飞机不受蓄意非授权电子交互的有效程度。
3.1.19
信息安保有效性目标 security effectiveness objective
针对指定的信息安保环境,确定信息安保有效性应达到的级别。
3.1.20
外部协定 external agreement
为了在系统和外部参与者间建立角色和责任,协调确定的假设和要求。
3.1.21
风险管理 risk management
通过风险评估,根据已识别的风险,识别、控制和减轻问题的持续性过程。
3.2 缩略语
下列缩略语适用于本文件。
ASAM——Aircraft Security Architecture and Measures,飞机信息安保架构和措施;
ASOG——Aircraft Security Operator Guidance,飞机信息安保操作指南;
ASV——Aircraft Security Verification,飞机信息安保验证;
ASSD——Aircraft Security Scope Definition,飞机信息安保范围定义;
ASRA——Aircraft Security Risk Assessment,飞机信息安保风险评估;
CVSS——Common Vulnerability Scoring System,通用脆弱性评分系统;
FLS——Field-Loadable Software,外场可加载软件;
UMS——User Modifiable Software,用户修改软件;
PASRA——Preliminary Aircraft Security Risk Assessment,初步飞机信息安保风险评估;
PSecAC——Plan for Security Aspects of Certification,信息安保审定计划;
PSSRA——Preliminary System Security Risk Assessment,初步系统信息安保风险评估;
SSSD——System Security Scope Definition,系统信息安保范围定义;
SSRA——System Security Risk Assessment,系统信息安保风险评估;
SSAM——System Security Architecture and Measures,系统信息安保架构和措施;
SSIG——System Security Integrator Guidance,系统信息安保集成指南;
SSV——System Security Verification ,系统信息安保验证。
4 一般要求
4.1 适航信息安保过程
4.1.1 概述
适航信息安保过程应由三个部分组成,分别是信息安保审定活动(步骤 1 和 7),用于管理审定过程本身;信息安保风险评估活动(步骤 2、3 和决策门 4),通过识别的威胁场景评估信息安保风险,进而确定风险的可接受性;信息安保开发活动(步骤 5 和 6)实现所必须的安保措施。详细如图 1 所示。
4.1.2 信息安保审定活动
信息安保审定活动应包括制定信息安保审定计划和信息安保审定计划总结。信息安保审定计划是由申请人制定,并由授权审查机构批准,是所有其他活动的输入。信息安保审定计划总结用于提供与信息安保审定相关的证据,是所有其他活动的输出。
4.1.3 信息安保风险评估活动
信息安保风险评估活动应包括信息安保范围定义、信息安保风险评估, 以及决策信息安保风险是否可接受。决策完毕后, 将可接受的风险写入信息安保适航审定计划总结,将不可接受的风险作为信息安保开发活动的输入。
图 1 适航信息安保过程管理框架
4.1.4 信息安保开发活动
信息安保开发活动是对信息安保措施的实现,用于减轻由信息安保风险评估活动所识别的风险,并给出信息安保风险可接受的置信水平。信息安保开发活动应包括信息安保架构开发、信息安保措施确定、信息安保指南定义、信息安保验证以及信息安保有效性保证。
4.1.5 与系统开发过程的关系
4.1.5.1 信息安保风险评估阶段要求
在系统开发过程中,信息安保风险评估应分为两个活动开展:
a) 初步信息安保风险评估:在设计阶段执行,评估设计的全部风险。
b) 信息安保风险评估:在集成阶段执行,评估实现后的风险与脆弱性。在此阶段, 信息安保风险评估重点在信息安保验证过程中的脆弱性识别。
4.1.5.2 信息安保开发层级要求
在系统开发过程中,整个信息安保风险评估活动和信息安保开发应在两个层级开展:飞机级和系统级。在各自层级,分别识别因威胁场景产生的任何不可接受风险。信息安保开发相关活动应始于飞机级,在系统级迭代处理。
4.1.5.3 信息安保风险评估活动与飞机开发过程的交互关系
信息安保风险评估活动和系统开发过程、安全性分析存在相应的交互关系, 系统开发过程和安全性分析符合 SAE ARP 4754A 和 SAE ARP 4761。具体交互方式见图 2,附录 A 规定了相应的输入输出内容。
图 2 信息安保风险评估与飞机开发过程的交互关系
4.1.5.4 信息安保开发活动与飞机开发过程的交互关系
信息安保开发活动和安全性分析、系统开发过程存在相应的交互关系, 系统开发过程和安全性分析符合 SAE ARP 4754A 和 SAE ARP 4761。具体交互方式见图 3,附录 A 规定相应的输入输出内容。
4.2 飞机更改适航的信息安保考虑
4.2.1 概述
飞机更改适航的信息安保考虑应包括信息安保风险评估决策、更改过程活动以及飞机更改提交数据。
4.2.2 信息安保风险评估决策
对于飞机的每次更改,应决策进行飞机级还是系统级的信息安保风险评估。
4.2.3 更改过程活动
更改过程活动是信息安保相关的更改管理过程,更改过程活动应包括变更影响分析、相关变更的信息安保风险评估以及持续适航说明。
图 3 信息安保开发活动与飞机开发过程的交互关系
4.2.4 飞机更改提交数据
飞机更改应提交更改过程的结果记录,这些记录可以在信息安保审定计划总结中进行阐述,也可以在系统、硬件或软件的文档中提供。信息安保审定计划总结中与安全及信息安保相关的内容将用于评审,以确定更改是否符合审定计划。
5 详细要求
5.1 信息安保审定
5.1.1 信息安保审定计划
信息安保审定计划应包括:
a) 与信息安保相关的规章要求描述;
b) 对飞机架构及系统架构的概述,重点描述和信息安保威胁及信息安保策略相关的单元;
c) 适用于信息安保的飞机审定基础内容的识别;
d) 信息安保相关可接受的符合性方法;
e) 初步飞机信息安保风险评估概述;
f) 待产生的证明数据及针对交付与批准的职责定义;
g) 与其他审定计划的关系及依赖;
h) 与适航当局的沟通进度安排。
5.1.2 信息安保审定计划总结
信息安保审定计划总结应包括:
a) 信息安保审定计划一致性和完整性的证据;
b) 飞机信息安保验证结果与结果分析相一致的证据;
c) 识别和证明对信息安保审定计划的偏离。
5.2 信息安保范围定义
5.2.1 目的
信息安保范围定义的结果应用于以下两个方面:
a) 作为适航信息安保过程部分,得出架构、设计约束和需求;
b) 作为持续适航过程部分,得出飞机安全操作和维护指南。
5.2.2 活动组成
信息安保范围的定义应由以下三个活动组成:
a) 资产识别;
b) 信息安保边界定义;
c) 信息安保环境定义。
5.2.3 活动内容
信息安保范围定义的活动内容如下:
a) 识别资产并确定其信息安保边界。
b) 识别关于操作和维护环境的假设。
c) 描述所有逻辑连接以及和地面系统的数字化数据通信。
d) 按照对连接具有访问权的人员以及连接支持的攻击形式对连接进行分类。
e) 汇总和飞机的其他系统间的物理数字连接(以防需要在安保风险评估中识别来自飞机的其他系统威胁)。
f) 描述飞机上所有物理可访问的开放式系统端口,插槽,以及无线网络,包括:
1) 飞机上供乘客设备使用的连接;
2) 飞机上供客舱和机组人员设备使用的连接;
3) 飞机上供维护和产品支持设备使用的连接。
g) 对重要的系统信息资产进行描述和分类:
1) 以源于系统或终于系统的外部数字化数据连接为特征的数据;
2) 以通过系统的内部数字化数据连接为特征的数据;
3) 作为系统运行保存的系统维护数据,包括:系统日志及故障数据;
4) 系统用于定义其功能与配置的数据,通常认为是系统安装和管理数据的一部分,包括:软件部件、数据库(如: 导航数据库)、配置信息(如:订阅信息,防火墙规则,信息安保密钥,数字证书,个性化模块)。
h) 确定系统安保边界和系统资产:
1) 识别硬件接口;
2) 识别软件接口;
3) 识别信息交换。
i) 识别已有的信息安保策略并描述每一个连接的信息安保控制,包括对于连接的访问限制和控制方法,以及该连接的物理访问控制。
5.2.4 资产识别
5.2.4.1 资产分类
资产的分类为:
a) 物理类型(如:现场可更换单元);
b) 逻辑类型(如:软件,数据);
c) 针对逻辑资产,应考虑其执行所依赖的物理资产。
5.2.4.2 资产嵌套
嵌套资产的定义要求如下:
a) 资产可以由嵌套资产组成,或包含嵌套资产;
b) 较高层级的资产可以被逻辑的或物理的分解为一些低层级资产(即,飞机级资产、系统级资产、子系统级资产,直至最低的系统级资产),每一个低层级资产都包含自己的或与其他资产共享的低层级信息安保边界;
c) 高层级的资产将会对低层级的资产产生物理的或逻辑的破坏,每个高层级资产有着自己的安保边界,或与低层级资产共享安保边界;
d) 信息安保边界能包含多个信息安保边界和/或资产,多个资产能共享一个信息安保边界;
e) 在系统中,飞机的外部边界和内部边界可以共享同一个安保边界;
f) 嵌套资产的信息安保环境组成包括:高层级信息安保边界的安保环境,以及该信息安保边界内的安保措施。
5.2.4.3 资产更新
当向飞机增加资产或修改资产时,必须执行更新周期。更新周期由评审发起, 并需要对资产列表及其信息安保边界进行更新。
5.2.5 信息安保边界定义
5.2.5.1 内容
信息安保边界定义的内容如下:
a) 信息安保边界不是一种资产,不包括功能性。
b) 信息安保边界应能够将其所包含的资产与外部世界分开。
c) 那些与外部世界相连接的逻辑接口和物理接口、可能的交互, 以及与外部世界的信息交换应能通过安保边界。
d) 在信息安保边界以外,飞机或系统就会被暴露在人为或系统攻击下。任何跨越信息安保边界的交互行为或信息交换都应记录,并考虑在后续过程中它们面临的潜在攻击。
e) 信息安保边界内部可以通过其内部资产的设计来实现控制。
f) 信息安保边界的定义应包含所有本系统打算向其他系统暴露的服务。如果接口是一个网络接口,则包含网络栈的所有层。如果接口通向一个系统内部网络,则包含暴露于外部接口的所有
内部服务。如果服务依据配置或操作模式发生变化, 则预期状态及服务配置变更的方法也应包含在内,包括维修和管理模式。
g) 信息安保边界定义应考虑的实体内容如下:
1) 所有硬件接口,包括射频信号(如:无线局域网,移动蜂窝,全球定位系统);
2) 所有软件接口,包括在硬件接口上运行的服务和协议;
3) 信息交换(如:文件传输,飞机通信寻址与报告系统消息,软件加载,数据库更新),包括信息安保边界以外的信息可进入信息安保边界内部的所有物理通道;
4) 所有用于系统操作和控制的关联接口,不管它们是例行使用还是在特殊环境下使用,都应考虑为飞机信息安保边界的一部分。
5.2.5.2 机外威胁
信息安保边界可以将与外部系统或人员相联系的飞机或系统部件进行归类,这些部件用于系统受到非授权电子交互影响时支持接口和相关处理过程的正常运行。因此,应详细说明相关连接的通用特征,以及能够通过该连接与该部件接触的外部人员,机外威胁(如来自航空公司业务信息系统的威胁)也应考虑在安保边界定义中。部件包括:
a) 物理链路(如:以太网端口,无线收发器);
b) 逻辑链路(如:互联网协议栈);
c) 网络协议(如:域名服务协议,控制报文协议,包过滤);
d) 网络服务和客户端(如:超文本标记语言服务器,文件传输协议客户端/服务器,互联网协议安全服务器);
e) 远程应用(如:文件传输服务,远程监控,及全球广域网应用)。
5.2.5.3 外场可加载软件
外场可加载软件(Field-Loadable Software,FLS)以及用户修改软件(User Modifiable Software,UMS)是通过飞机加载功能从支持维修的外部连接中传入的外部数据。当连接和接口增加或修改, 从而导致通过系统对飞机进行破坏或篡改的可能性增加时,应当在信息安保边界及威胁识别中包含用于 FLS 以及UMS 的接口。
5.2.6 信息安保环境定义
5.2.6.1 内容要求
定义信息安保环境的目的是获得与资产交互有关的人员、组织和信息安保边界以外系统的状态, 以便于识别潜在的威胁源,信息安保环境定义应考虑的内容如下:
a) 与飞机/系统资产交互的角色和组织:包括有能力跨越信息安保边界并访问边界内资产的个人和组织(这些授权或非授权的行为构成了潜在的威胁源)。
b) 相关责任和风险:包括角色和实体(如:责任和对飞机/系统的访问)、外部工具以及系统(如:机场 IT 网络)、外部信息安保措施(如:操作控制,机场乘客监视,航空公司地面 IT 网络中的防火墙)。
c) 外部依赖:包括规章、国家法律等。
d) 外部协定:包括合同以及飞机系统为了连接到外部系统应遵循的可信任连接,或其他最小化标准以及过程。
e) 威胁源和脆弱性的分类,该分类用于构建信息安保风险评估的输入,脆弱性可分类为:
1) 固有脆弱性:可以被攻击者利用的预期状况;
2) 表达脆弱性:导致信息安保策略失效或者能够被攻击者利用的非预期状况;
3) 已知脆弱性:在以前使用设备中已经记录的脆弱性;
4) 潜在脆弱性:导致信息安保策略失效或者能够被攻击者利用的潜在的非预期状况。
5.2.6.2 信息安保环境更新的触发
信息安保适航过程反映了在信息安保风险管理的生命周期中由于外部演变而导致的信息安保风险变更。为了捕获飞机/系统的变化的信息安保状态,应对信息安保环境进行监控和更新。信息安保环境更新的触发可能会由新攻击技术,环境中引入新技术(如:无线通信,IPv6,表格),新服务(如:云计算),性能增加(如:2G、3G、4G 蜂窝协议)等引起。例如:
a) 新型无线软件加载器可能会影响针对软件加载的物理访问控制假设;
b) 针对 3G/通用移动通信系统加密的新型攻击技术,可能会对影响空地通信中使用的数据加密算法的有效性假设。
5.2.6.3 信息安保环境更新影响的处理
信息安保环境的更新会对威胁和资产的信息安保风险产生一定影响,对于影响的处理应包含:
a) 对于已有的威胁,若威胁场景和信息安保风险没有包含更新的信息安保环境,则应当对信息安保风险重新进行评估;
b) 如果发现已修改资产的信息安保风险是不可接受的,则应当对其施加风险减轻措施;
c) 应迭代执行适航信息安保过程中所有相关步骤,直到更新后的信息安保环境被适航信息安保过程完全覆盖。
5.3 信息安保风险评估
5.3.1 威胁状态识别
威胁状态识别应考虑的内容如下:
a) 威胁状态由脆弱性引起,会对飞机的安全性产生不利影响。
b) 每一种威胁状态应表示系统中一个资产的状态,以及因蓄意非授权电子交互使飞机受到安全性影响的系统状态。
c) 威胁状态是由于资产的信息安保属性的丧失所引起,依据资产丧失的信息安保服务分类如下:
1) 完整性丧失:表现为误用或干扰资产功能;
2) 可用性丧失:表现为拒绝访问资产功能,包括在一个规定的服务时间间隔内连续数据的间歇性错误;
3) 机密性丧失:因数据暴露给非授权实体所引发。
d) 应在飞机级和系统级识别威胁状态。
5.3.2 威胁场景识别
威胁场景识别的要求如下:
a) 威胁场景识别应建立导致每个威胁状态和其相关严重性的威胁场景列表。
b) 威胁场景列表应包括:
1) 来自信息安保环境的攻击威胁源;
2) 穿过信息安保边界的攻击向量,可能的攻击向量包括:恶意的软件发布、无线接口、远程访问接口、外部系统依赖等;
3) 穿过信息安保架构到达资产的攻击路径;
4) 在攻击路径上可以减轻攻击的现有信息安保措施;
5) 对成功攻击的影响。
c) 威胁场景的基本组成元素包括:
1) 攻击者;
2) 攻击者在执行攻击之前所拥有的资产和能力;
3) 攻击采用的攻击路径,由一些预期的访问特征和脆弱性组合而成;
4) 能够被攻击者利用的访问和脆弱性操作状态;
5) 将在适当的位置阻止、检测以及对攻击做出响应的信息安保措施;
6) 作为攻击目标的资产,以及与该资产相关的威胁状态。
5.3.3 已存在的信息安保措施识别
对于每个威胁状态,威胁评估的等级定义应基于威胁场景、信息安保环境和已存在的信息安保措施。已存在的信息安保措施描述识别要求如下:
a) 应识别已存在的信息安保措施的作用类型:防护、威慑、探测、纠正或恢复;
b) 应识别已存在的信息安保措施的性能和限制;
c) 应识别已存在的信息安保措施的信息安保脆弱性(在初步评估时的设计脆弱性、在实现之后的实现脆弱性)。
5.3.4 风险等级评估
5.3.4.1 安全性影响分类
风险等级评估是通过威胁场景引起威胁状态可能性和安全性的影响量化评估得到风险可接受矩阵,用该矩阵来评估信息安保风险。安全性影响分类按威胁状态的严重等级划分。严重等级划分应如下:
a) 无安全影响(No Effect):失效状态对安全无影响,如失效状态对飞机使用能力和机组成员的工作无影响,并且不增加机组成员的工作量(无概率要求)。
b) 轻微的(Minor):失效状态对安全性没有显著影响,机组成员的工作也在其能力范围内。次要的失效状态包括在安全裕度或功能性方面轻微降低,机组成员的工作负担轻微增加,诸如常规飞行计划的改变,对乘客或舱内人员造成一些身体不适(发生概率是可能的)。
c) 重大的(Major):失效状态会降低飞机的性能或机组人员处理飞机不利运行状态的能力,例如在安全裕度和功能性显著降低,机组人员的负担显著增加或在这种状态下降低机组人员的效率,对飞行机组人员造成身体不适,对旅客造成危险,可能受伤(发生概率是微小的)。
d) 危险的(Hazardous):失效状态降低飞机的性能,降低机组人员处理飞机不利运行状态的能力,包括:
1) 急剧降低飞机安全裕度或功能性能;
2) 造成身体伤害或工作负担增加使飞行机组人员不能准确或完整的完成工作;
3) 除飞行机组人员外,相当少的旅客收到严重或致命的伤害(发生概率是极微小的)。
e) 灾难性的(Catastrophic):妨碍飞机继续安全飞行和着陆,将会导致多人死亡,通常会使飞机坠毁(极不可能的)。
5.3.4.2 可能性分类
可能性分类来自于威胁场景的风险评估。威胁场景的风险评估取决于能够成功进行攻击的发生频率,威胁场景的发生率应按照以下定义:
a) 频繁(Frequent):在每架飞机的总寿命期间内发生多次;
b) 可能的(Probable):那些预见到在每架飞机的整个寿命期间会发生一次或更多次;
c) 微小的(Remote):在每架飞机的总寿命期间内不太可能发生,但是当考虑到该类型飞机的许多飞机的总的运行寿命则可能发生几次;
d) 极微小的(Extremely Remote):在每架飞机的总寿命期间内没有预见到会发生,但是当考虑到
该类型所有飞机的总的运行寿命时则可能发生几次;
e) 极不可能的(Extremely Improbable):在某型飞机的所有飞机的整个运行寿命期间不太可能发生。
5.3.4.3 风险可接受矩阵
风险可接受矩阵定义如表 1,对于所有可接受的风险,不需要实现额外的信息安保措施。这些风险可以被保留并生成相关的评估证据写入信息安保审定计划的总结;所有不可接受的风险应当通过信息安保开发活动被减轻为可接受。
表 1 风险可接受性矩阵
5.3.5 脆弱性评估
脆弱性评估用于细化信息安保评估,确定飞机系统架构中暴露特性及其对飞机级的安全性影响,信息安保脆弱性评估应当分为三类,分别是:
a) 系统设计的脆弱性评估:
1) 分析系统需求规范,开发脆弱性及威胁源列表;
2) 基于初始技术需求、派生需求、脆弱性和信息安保边界,细化信息安保评估;
3) 根据系统信息安保环境及需求的规定,细化信息安保评估。
b) 脆弱性测试结果评估:
1) 针对脆弱性测试开发非预期行为列表,包括程序缺陷以及导致系统异常行为的已知攻击技术列表,获取其报告;
2) 确定识别出的每一项脆弱性的严重度等级。
c) 已知脆弱性的评估:
1) 应针对已知脆弱性建立基线;
2) 评估系统中预先开发的、用于防御建立基线的已知脆弱性的部件;
3) 对系统适用的、所有记录在案的脆弱性进行分类;
4) 识别和分类应包括在攻击利用脆弱性的情况下,对系统产生的影响描述以及与暴露、可利用性范围相关的脆弱性分类,可以考虑的分类标准有“通用脆弱性评分系统(Common Vulnerability Scoring System,CVSS) ”。
5.4 信息安保开发
5.4.1 信息安保架构
5.4.1.1 信息安保架构开发
信息安保架构开发的主要要求如下:
a) 信息安保架构应包括可以减轻信息安保风险的有效信息安保措施。
b) 成熟的信息安保架构应在初步飞机信息安保风险评估中迭代评估。
c) 若有附加的细节或改变初始信息安保架构时,信息安保架构和信息安保风险评估需要迭代更新。
5.4.1.2 健全的信息安保架构特征
健全的信息安保架构的基本特征包括:
a) 不可旁路:架构不允许将其信息安保措施旁路,且其当信息安保措施打算被调用时,总能够被调用。
b) 保护:架构不允许篡改其信息安保措施。
c) 独立:除非蓄意为之,否则信息安保措施间彼此互不干涉,互不依赖。
d) 检测和重建:架构提供了检测方法,用于在信息安保措施失效或被击败的情况下,对威胁状态进行检测;同时也提供了重建方法,用于重建架构的正确配置。
5.4.2 信息安保措施
信息安保措施的要求如下:
a) 信息安保措施应包括用于减轻信息安保风险的特性,功能或规程。
b) 信息安保措施的类型包括:
1) 威慑: 目的是阻碍恶意用户引起的非授权事件;
2) 预防:用于阻止非授权事件的发生;
3) 探测:用于检测和报告非授权事件;
4) 纠正:在发生非授权事件或违背信息安保策略时产生响应,不包含恢复常规功能的初始措施;
5) 修复/恢复:在信息安保事件发生后,将系统还原至正常状态。
5.4.3 信息安保有效性
信息安保有效性定义的要求如下:
a) 信息安保有效性定义应包含信息安保措施抵御在信息安保风险评估中已识别威胁场景的能力;
b) 信息安保有效性定义应包含信息安保有效性目标和需求。
5.4.4 信息安保保证
5.4.4.1 分类
针对信息安保措施的信息安保保证包括以下两类活动:
a) 信息安保开发保证活动,保证信息安保措施按照预期的计划实现;
b) 信息安保有效性保证活动,保证信息安保措施和信息安保架构针对已知的和不可接受脆弱性的防护。
5.4.4.2 内容
信息安保保证需要执行以下活动:
a) 信息安保测试工具的鉴定,包含开发工具和验证工具。
b) 功能性保证。
c) 信息安保配置管理,集成及交付:
1) 为了避免开发数据被蓄意篡改,配置管理应当执行访问控制功能;
2) 配置管理计划应当与开发过程的控制策略相一致。
d) 问题报告到脆弱性评估关联。
e) 派生需求评审。
f) 源代码/设计评审。
5.4.5 信息安保指南
信息安保指南的要求如下:
a) 信息安保指南由系统开发商创建,由飞机制造商集成,供运营商使用;
b) 信息安保指南用于指导飞机操作者,包括相关操作的信息安保措施(飞机和系统级);
c) 应定义集成要求,以及针对每架飞机系统的安保操作和维护要求;
d) 包括操作飞机所需的操作性支持;
e) 包括信息安保措施的安全处理。
5.5 信息安保验证
5.5.1 目的
信息安保验证的目的是:
a) 验证系统、硬件以及软件满足信息安保需求;
b) 评估信息安保的有效性;
c) 识别脆弱性,用于最终信息安保风险评估。
5.5.2 内容
信息安保验证应与开发过程相匹配。信息安保验证包括脆弱性分析和三种类型的测试活动,图 4列举了带有输入和输出的信息安保测试活动。信息安保需求测试和信息安保鲁棒性测试是一般性的飞机/系统开发活动,用于证明即使在异常的输入和状态下,信息安保需求的实现是正确的。脆弱性测试是一种特殊信息安保活动,用于证明在系统信息安保环境下的功能执行是正确的。具体要求如下:
a) 信息安保需求测试:
1) 信息安保需求测试是标准验证的一部分,用于验证功能的执行是否满足其需求;
2) 信息安保需求测试是预期功能测试的一部分,应包括在响应非授权事件时,信息安保措施执行正确性的测试。
b) 信息安保鲁棒性测试:
鲁棒性测试是标准验证的一部分,当提交异常的输入和状态时,确定预期功能运行的正确性,应包括非安全状态检查。
c) 脆弱性测试:
脆弱性测试是一种特殊信息安保活动,用于证明在系统安保环境下功能执行的正确性,包括脆弱性扫描方法以及试图破坏、旁路或篡改信息安保措施的攻击测试, 以证明是否存在误用飞机系统的情况。
d) 信息安保需求、鲁棒性和脆弱性的测试计划应关联威胁场景和威胁状态集, 以确定在测试或分析时与它们的一致性情况。
e) 脆弱性分析:
1) 脆弱性分析即脆弱性测试结果的分析,用于确定脆弱性对每个重要结果的影响的严重度。该分析将成为脆弱性案卷的一部分。
2) 脆弱性案卷记录了信息安保验证过程中发现的脆弱性以及系统的反馈结果。脆弱性案卷是飞机或系统信息安保风险评估支持证据的一部分。
图 4 信息安保测试活动
附 录 A
(规范性附录)
民用飞机适航信息安保过程活动
A.1 适航信息安保过程活动
本附录列出了适航信息安保过程中的工作内容、输入输出数据以及符合性目标, 用于实际飞机及系统设计的参考。适航信息安保活动中各个步骤的交互及其主要数据依赖关系见图 A.1。
图 A.1 适航信息安保过程活动
A.2 信息安保审定计划(Plan for Security Aspects of Certification ,PSecAC)
a) 工作内容:
1) 确定适航审定基础,包括变更影响分析的结果;
2) 确定可接受的符合性方法;
3) 确定审定数据包;
4) 识别主要里程碑的定义和进度;
5) 与其他相关审定资料进行协调;
6) 解决由审定当局识别的问题;
7) 提交 PSecAC 并获得准许。
b) 输入:
1) 信息安保的规章需求;
2) 飞机审定计划数据;
3) 飞机信息安保范围定义;
4) 飞机信息安保架构;
5) 飞机威胁状态。
c) 输出:
信息安保审定计划(PSecAC)。
d) 目标:
1) 阐明信息安保的规章要求;
2) 飞机级架构及选定系统的系统级架构概述,重点描述和信息安保威胁及信息安保策略相关的内容;
3) 识别适用于信息安保的飞机适航基础内容;
4) 描述信息安保相关审定基础的符合性方法;
5) 初步飞机信息安保风险评估概述;
6) 定义待产生的证明数据,及交付与批准职责;
7) 与其他适航计划的关系及依赖;
8) 与适航当局的沟通进度安排。
A.3 飞机信息安保范围定义(Aircraft Security Scope Definition ,ASSD)
a) 工作内容:
1) 定义飞机信息安保边界及飞机资产;
2) 识别信息接口;
3) 识别已有的信息安保策略;
4) 定义与飞机交互的角色和组织;
5) 定义飞机信息安保环境;
6) 识别和以下内容相关的可信关系及信息安保风险:角色和实体,外部工具和系统,外部信息安保策略,其他外部依赖;
7) 识别有关操作与维护的环境假设;
8) 识别初步外部协定;
9) 识别和分类威胁源。
b) 输入:
飞机和系统的功能性及操作性描述。
c) 输出:
飞机信息安保范围定义(ASSD)。
d) 目标:
识别、更正和完善飞机信息安保范围定义(信息安保边界,信息安保环境)。
A.4 初步飞机信息安保风险评估(Preliminary Aircraft Security Risk Assessment ,PASRA)
a) 工作内容:
1) 识别所有和飞机资产相关的威胁状态;
2) 评估威胁状态和相关资产的影响的严重程度;
3) 识别威胁状态和威胁源之间的功能性信息安保依赖;
4) 评估飞机信息安保架构和需求;
5) 识别已有的信息安保策略;
6) 识别攻击路径;
7) 识别与威胁状态相关的资产;
8) 判定和划分威胁场景的威胁严重程度及级别;
9) 评估来自蓄意非授权电子交互的信息安保风险;
10) 判定是否需要风险减缓措施,包括信息安保架构和需求中存在的可能差异;
11) 残留风险识别;
12) 信息安保需求识别;
13) 评估风险。
b) 输入:
1) 飞机和系统的功能性及操作性描述;
2) 飞机功能危害度评估;
3) 飞机信息安保范围定义;
4) 飞机信息安保架构和需求;
5) 初步飞机安全评估。
c) 输出:
初步飞机信息安保风险评估(PASRA)。
d) 目标:
1) PASRA 与飞机功能危害度评估相一致;
2) PASRA 中与飞机信息安保范围,飞机需求,以及飞机信息安保架构一致且完整;
3) 初步飞机信息安保风险是可接受的;
4) PASRA 与 PASA 一致且完整。
A.5 飞机信息安保风险评估(Aircraft Security Risk Assessment ,ASRA)
a) 工作内容:
1) 定稿飞机信息安保风险评估;
2) 评估飞机实现中的信息安保风险;
3) 评估最终的信息安保风险;
4) 评估脆弱性并更新脆弱性案卷。
b) 输入:
1) 飞机需求及安全架构;
2) 飞机验证、测试结果和分析;
3) 初步飞机信息安保风险评估;
4) 系统信息安保风险评估;
5) 飞机信息安保范围定义;
6) 飞机信息安保架构;
7) 飞机信息安保操作人员指南;
8) 飞机脆弱性案卷。
c) 输出:
飞机信息安保风险评估(ASRA)。
d) 目标:
1) 飞机信息安保风险评估是正确的、完整的,且与飞机需求以及飞机安全评估相一致;
2) 飞机信息安保风险评估中与飞机及系统的信息安保范围、信息安保架构、操作人员指南以及脆弱性档案一致且完整;
3) 飞机信息安保风险评估与系统信息安保风险评估一致且完整;
4) 飞机信息安保风险是可接受的。
A.6 系统信息安保范围定义(System Security Scope Definition ,SSSD)
a) 工作内容:
1) 确定系统信息安保环境;
2) 识别关于操作和维护环境的假设;
3) 识别与以下内容相关的可信关系及信息安保风险:角色和实体,外部工具和系统,外部信息安保措施;
4) 判定系统信息安保边界及系统资产;
5) 更新初步外部协定;
6) 向系统分配威胁源。
b) 输入:
1) 飞机架构;
2) 系统需求;
3) 飞机信息安保范围定义;
4) 飞机信息安保架构和措施;
5) 初步飞机信息安保风险评估。
c) 输出:
系统信息安保范围定义(SSSD)。
d) 目标:
1) 识别系统需求,且系统需求能够正确完整的覆盖信息安保有关内容;
2) 识别系统信息安保范围,且识别的范围正确完整;
3) 系统信息安保范围与飞机信息安保范围及毗连系统信息安保环境一致且完整;
4) 系统信息安保范围与飞机信息安保架构及飞机需求中信息安保相关内容一致且完整。
A.7 初步系统信息安保风险评估(Preliminary System Security Risk Assessment ,PSSRA)
a) 工作内容:
1) 识别与系统资产关联的所有威胁状态;
2) 评估每个威胁状态对相关资产影响的严重度;
3) 识别威胁状态和威胁源之间的功能性信息安保依赖;
4) 识别威胁状态相关的资产;
5) 评估系统信息安保架构和需求;
6) 识别已存在的信息安保措施;
7) 识别攻击路径;
8) 确定并区分威胁场景用于威胁的严重度和等级;
9) 评价来自蓄意非授权电子交互的风险;
10) 确定风险减缓的需要,包括信息安保架构中可能的缺口;
11) 残余的风险识别;
12) 信息安保需求识别;
13) 评估风险;
14) 残余风险评估;
15) 确认适用于系统的有关外部协议的假设。
b) 输入:
1) 系统需求和安全性架构;
2) 初步系统安全性分析;
3) 系统信息安保范围定义;
4) 初步飞机信息安保风险评估;
5) 系统信息安保架构与需求;
6) 飞机信息安保架构和措施。
c) 输出:
初步系统信息安保风险评估(PSSRA)。
d) 目标:
1) 初步系统信息安保评估是正确和完整的;
2) 初步系统信息安保评估与系统信息安保范围、系统需求和系统信息安保架构是一致的和完整的;
3) 初步飞机信息安保评估与系统信息安保需求、初步系统安全性评估是一致的和完整的;
4) 初步系统信息安保风险是可接受的。
A.8 系统信息安保风险评估(System Security Risk Assessment ,SSRA)
a) 工作内容:
1) 完成系统信息安保风险评估;
2) 为信息安保风险评估低层级系统或部件的实现;
3) 评价最终信息安保风险;
4) 评价脆弱性并更新脆弱性案卷。
b) 输入:
1) 系统需求;
2) 系统安全性分析;
3) 系统验证和测试记录;
4) 初步系统信息安保风险评估;
5) 系统信息安保范围定义;
6) 系统信息安保集成指南;
7) 飞机信息安保架构;
8) 系统脆弱性案卷。
c) 输出:
系统信息安保风险评估(SSRA)。
d) 目标:
1) 系统信息安保评估与系统需求和系统安全性分析是正确的、完整的和一致的;
2) 系统信息安保评估与系统信息安保范围定义、系统信息安保架构、系统信息安保集成指南、系统需求和系统验证是一致的和完整的;
3) 系统信息安保风险是可接受的。
A.9 飞机信息安保架构和措施(Aircraft Security Architecture and Measures ,ASAM)
a) 工作内容:
1) 确定飞机信息安保架构和措施;
2) 确定用于信息安保措施的信息安保需求;
3) 确定和验证信息安保有效性目标以及需求;
4) 分配系统或操作指南的信息安保措施;
5) 确定信息安保保证活动;
6) 提供考虑了信息安保问题并周期性建立的适航方法。
b) 输入:
1) 飞机需求和安全架构;
2) 飞机信息安保范围定义;
3) 初步飞机信息安保风险评估。
c) 输出:
1) 飞机信息安保架构和需求;
2) 飞机信息安保有效性需求。
d) 目标:
1) 飞机信息安保架构和需求是正确的,完整的,并与飞机安全架构一致;
2) 飞机信息安保架构和需求与飞机需求保持一致;
3) 飞机信息安保架构与飞机信息安保范围保持一致性和完整性;
4) 信息安保有效性需求与初始飞机信息安保风险评估保持一致性、正确性与完整性;
5) 信息安保保证活动与用于信息安保措施的威胁状态相一致。
A.10 飞机信息安保操作指南(Aircraft Security Operator Guidance ,ASOG)
a) 工作内容:
开发飞机信息安保操作指南。
b) 输入:
1) 飞机实现;
2) 飞机信息安保范围定义;
3) 系统信息安保范围定义;
4) 系统信息安保集成指南;
5) 飞机信息安保架构和措施。
c) 输出:
飞机信息安保操作指南(ASOG)。
d) 目标:
1) 飞机操作信息安保指南是正确的、完整的、有效的;
2) 飞机信息安保操作指南与飞机信息安保范围保持一致性和完整性;
3) 飞机信息安保操作指南与飞机需求和实现保持一致性和完整性;
4) 飞机信息安保操作指南与系统信息安保集成指南保持一致性和完整性。
A.11 飞机信息安保验证(Aircraft Security Verification ,ASV)
a) 工作内容:
1) 验证飞机的信息安保实施是正确的并且满足飞机信息安保需求;
2) 确定脆弱性档案;
3) 信息安保验证和测试计划定稿;
4) 分析信息安保验证和测试结果的问题报告;
5) 验证飞机信息安保措施对飞机威胁场景是有效的;
6) 定稿脆弱性测试计划,以及估计在风险评估中、威胁场景下是否能够良好的覆盖信息安保需求;
7) 评估飞机信息安保操作指南;
8) 执行脆弱性评估和测试并分析信息安保风险的结果。
b) 输入:
1) 飞机实现和需求;
2) 系统脆弱性档案;
3) 飞机信息安保操作指南;
4) 飞机信息安保范围定义;
5) 飞机信息安保架构;
6) 飞机信息安保有效性需求;
7) 额外验证研究需求。
c) 输出:
1) 飞机脆弱性档案;
2) 飞机信息安保验证、测试结果和分析;
3) 额外验证研究结果。
d) 目标:
1) 飞机级信息安保因素的验证和测试计划是正确的、完整的以及被认可的;
2) 信息安保相关的飞机级验证是正确的和完整的;
3) 飞机级验证完全遵守飞机级需求和飞机级信息安保架构,并与它们保持一致;
4) 飞机级脆弱性评估、测试结果、分析与飞机级信息安保范围、飞机级需求、初步飞机信息安保风险评估和飞机信息安保操作指南保持一致性和完整性;
5) 存在于脆弱性案卷中的残余脆弱性是可以接受的;
6) 飞机脆弱性案卷是正确的和完整的。
A.12 系统信息安保架构和措施(System Security Architecture and Measures ,SSAM)
a) 工作内容:
1) 确定系统信息安保架构和措施;
2) 确定用于信息安保措施的信息安保需求;
3) 确定和确认信息安保有效性的目标和需求;
4) 分配信息安保措施到子系统、部件或信息安保指南;
5) 识别支持低层级系统或部件资产;
6) 确定信息安保保证活动。
b) 输入:
1) 系统需求和安全架构;
2) 飞机信息安保架构;
3) 系统信息安保范围定义;
4) 初步系统信息安保风险评估。
c) 输出:
1) 系统信息安保架构和需求;
2) 系统信息安保有效性需求。
d) 目标:
1) 系统架构和需求是正确的、完整的,并与系统安全架构、飞机信息安保架构和飞机信息安保措施保持一致;
2) 系统信息安保架构和需求与系统信息安保范围保持一致;
3) 系统信息安保架构和需求与系统需求相一致;
4) 系统信息安保有效性需求是正确的、完整的,并与初步系统信息安保风险评估相一致;
5) 保证活动与用于信息安保措施的威胁状态相一致。
A.13 系统信息安保集成指南(System Security Integrator Guidance ,SSIG)
a) 工作内容:
1) 开发系统信息安保集成指南;
2) 定稿最终外部协定。
b) 输入:
1) 系统实现;
2) 系统信息安保范围定义;
3) 系统信息安保架构和措施。
c) 输出:
系统信息安保集成指南(SSIG)。
d) 目标:
1) 系统信息安保集成指南是正确的以及完整的;
2) 系统信息安保集成指南与系统需求和实现保持一致性和完整性;
3) 系统信息安保集成指南完全遵守系统信息安保范围保持一致性和完整性。
A.14 系统信息安保验证(System Security Verification ,SSV)
a) 工作内容:
1) 验证系统信息安保实施是正确的并且满足系统需求;
2) 确定脆弱性案卷;
3) 定稿信息安保验证和测试计划并分析威胁场景;
4) 分析对信息安保验证和测试结果的问题报告;
5) 验证信息安保环境的系统信息安保措施是有效的;
6) 定稿脆弱性测试计划,评估在信息安保风险评估中,如何覆盖信息安保需求与信息安保有
效性;
7) 评估系统信息安保集成指南;
8) 执行脆弱性评估与测试,分析结果。
b) 输入:
1) 系统验证和测试记录;
2) 系统实现;
3) 系统信息安保架构;
4) 系统信息安保集成指南;
5) 系统信息安保范围定义;
6) 系统信息安保有效性需求。
c) 输出:
1) 系统脆弱性案卷;
2) 系统信息安保验证、测试结果及分析。
d) 目标:
1) 系统验证的信息安保元素和测试计划是正确的、完整的并且是被认可的;
2) 系统验证是正确的并且在信息安保方面是完整的;
3) 系统验证与飞机信息安保范围保持一致性和完整性;
4) 系统验证与系统需求和系统信息安保架构保持一致性和完整性;
5) 系统脆弱性案卷是正确的和完整的;
6) 系统脆弱性评估、测试结果和分析与系统信息安保范围、系统需求和系统信息安保集成指南保持一致性和完整性;
7) 系统脆弱性测试和分析结果与初步系统信息安保风险评估保持一致性和完整性。
A.15 信息安保审定计划总结(Plan for Security Aspects of Certification Summary,PSecAC Summary)
a) 工作内容:
1) 提供已经按照其指派的目标所执行活动的证据;
2) 识别和证明对 PSecAC 的偏离。
b) 输入:
1) 信息安保审定计划;
2) 飞机信息安保风险评估;
3) 飞机脆弱性案卷;
4) 飞机信息安保验证和测试结果及分析。
c) 输出:
PSecAC 总结。
d) 目标:
1) PSecAC 总结与信息安保审定计划保持一致性和完整性;
2) PSecAC 总结与飞机信息安保验证结果和分析一致;
3) 偏离是可接受的。
