民航网络安全

提升网络安全能力，减少网络安全风险

作者：Peter Cooper

翻译： 马勇

1
 目录

摘要............................................................................................................................................ 3

致谢............................................................................................................................................ 8

缩略语......................................................................................................................................10

前言..........................................................................................................................................13

民航概况..................................................................................................................................20

民航业互联面临的挑战..........................................................................................................26

互联的飞机..............................................................................................................................31

空中交通管理..........................................................................................................................50

机场..........................................................................................................................................62

两个部门的故事：民航和网络安全......................................................................................66

政策和法规..............................................................................................................................71

航空网络安全基础..................................................................................................................74

下一步建议..............................................................................................................................80

结论..........................................................................................................................................84

关于作者..................................................................................................................................87

译者致谢..................................................................................................................................88

2
摘要

当前是民航业的繁荣时期，十年来在全球范围内旅客平均增长率

徘徊在 5.5%左右，民航安全事件和事故征候也降至历史最低水平，

同时由于这段时期较低的油价，民航业的利润也得到增加，新技术的

不断应用也在提升民航的运行效率和旅客的体验。作为“永不停息”

的旅行者，要求“始终连线”，而对于一个日益互联的民航业，包括

飞机（包括无人机）、空管、机场及其供应链都在越来越多的使用数

字技术来提高效率。

民航业是国家和国际商业、贸易和旅游业的基石，这意味着即使

是民航业的一个孤立的事件也可能引发对整个行业的信任危机。由于

其对股票市场的价值、社会的稳定性和国民生产总值的潜在影响，保

护互联互通的民航业成为国家安全的重要因素。

这项研究表明，民航业可能会遭遇类似其他进入“数字革命”的

行业所遇到的网络安全挑战。随着民航业的发展，民航业是否能够通

过准确感知风险和机遇以及理解攻击者的威胁来维护利益相关者的

信任吗？

以前，由于民航系统设计的特点，民航信息系统与其它系统相互

隔离，并且仅有很少的通信协议，正是由于这种隔离的特点是民航信

息系统相对安全。但是空管系统不在是独立的系统，地面服务和供应

链已经完全集成到互联的数字世界中。

此外，网络攻击者的能力不断的发展和进步。对于许多信息系统

3
需要较长设计和开发周器的行业而言，这尤其具有挑战性。随着技术

的发展从根本上改变了飞机的设计、生产、运营、维护周期和流程，

因此安全和保障模型也必须与之相适应。新兴的技术正在推动民航领

域转变，如附加制造和无人机等，这些新兴技术的应用可能会掩盖这

些技术带来的网络安全风险。

攻击者利用传统的信息技术、特定的民航协议，以及飞机系统的

连通性，现在已经将攻击面扩展到飞机本身。现在飞机上承载着复杂

的数据网络，但是对飞机上网络的监视能力远落后于地面上类似的网

络系统，避免和应对潜在网络安全事件的能力也是如此。空管系统也

在进行一项全面的现代化计划，该计划将从对传统的雷达和新标的依

赖转变为对 GPS 和数据通信的高度依赖。GPS 和 ADS-B 等先进技术可

以在正常条件下极大地提高准确性和可靠性，但是仍然容易收到环境

的干扰或着恶意攻击者破坏的影响。

机场机攻击者关注的焦点。机场内有多个信息系统相互配合工作，

它们在网络安全方面的漏洞可能会导致攻击者绕过、破坏信息系统，

以及最终造成物理破坏。此外，随着远程塔台等服务的普及，如何平

衡商业利益和风险管理将变得更加困难。虽然针对机场面向公众服务

系统的攻击可能不会带来太大的安全风险，但会损害公众的信息和信

任。
（译者注：针对机场的网络攻击可能会导致大规模的航班延误，

严重损害民航业和旅客的利益，同时可能造成大量旅客信息的泄漏，

严重损害旅客权益。
）

随着民航和网络安全领域的交集越来越多，安全、快速恢复和信

4
任的共同目标可以通过共同地努力更快的实现。保持民航业的优势在

于对治理和问责制的明确定义以及整个供应链对共同责任的认可。民

航业拥有长期稳定的安全管理体系，其核心就是安全文化。

随着国家、组织和企业正在试图开发最佳实践，网络安全的挑战

正在考验行业现有的政策和框架。ICAO 将在迎接网络安全的挑战中

发挥关键作用。利益相关者从多个角度都认同一个清晰、连贯的网络

安全愿景对日益互联的民航业至关重要。

互联的民航业网络安全规划及其基础

民航业在面临网络安全挑战时的愿景可以描述为：

一个安全和具有弹性信任、体系化的繁荣的民航业。

为了实现这一愿景，民航业必须着重加强网络安全的五个基础：

1．系统思考、治理和问责制

在一个复杂、相互依存的系统体系中，找到并确保薄弱环节不仅

是基本要求，而且还是对治理和问责制的重要考验。ICAO 扮演着在

与国家监管机构合作以决定民航业应如何管理网络风险，以及为利益

相关者阐明和简化立法负担方面发挥重要作用。

2．弹性系统

“高级攻击者将持续破坏 IT 基础架构。” 这种对未来数据完整

性的破坏、使其失效或攻击的假设，导致人们更加注重恢复能力和安

全性。同时需要满足弹性的系统工程实践和弹性的人员文化，才能对

抗攻击活动。

3.有弹性的信任

5
 利益相关者信任的重要性处于航空网络安全挑战的最前沿。如果

攻击者能够破坏信任，他们就能控制乘客和利益相关者的体验、观点

和信心。运营商扭转人们的看法和重新获得信任的时间越长，在利益

相关者眼中的可信度就越低。

4.安全的人为决策

人为错误或技术故障是不可避免的，但是所有航空系统的设计都

是为了帮助操作员在影响安全之前识别并处理事故或事故征候。因此，

必须集中精力保护操作员所看到的数据的完整性，以便他们能够做出

安全、及时的决策。

5.共同的观点和文化

合作的重要性不可低估。除了分享知识和不同观点外，民航与网

络安全行业之间还有巨大的文化交流潜力。建立一种共同的文化，使

双方能够协同合作，并共同看待挑战和潜在的解决方案，这将提高人

们对风险的认识和增强应变能力。

下一步建议

为建立和加强上述基础，建议所有利益相关者采取以下行动：

>加强领导和标准化（全球、国家、地区等）

>定义对民航网络安全和安保的共识

>重新评估、开发和使用强大的威胁模型

>制定并传达有关网络安全风险的一致性信息

>寻找与非技术受众建立信任的方法

>提高安全更新的灵活性

6
 >设计捕获网络安全相关数据的系统和流程

>跨学科的安全培训

>将网络视角纳入事故和事故征候调查

当民航业相关组织寻求利用互联互通的机会时，他们必须保持客

观地了解收益和风险的能力。创新的、互联的技术，如果能以妥善的

方式加以整合，就能有助于提高效率和安全；但这决不能以未知或不

可接受的风险为代价。

综合考虑多个利益相关者的看法，以减少攻击者带来的风险。在

瞬息万变的环境中，业界必须发挥领导作用，鼓励利益相关者团结在

一起，发挥团队合作精神，以明确的目标，大胆地展望未来。在强有

力的国际领导下，寻找路线、方向和进展的条件已经成熟，通过共同

的努力以确保未来几年航空业的安全和繁荣。

7
致谢

首先，感谢以下各位领导，以及许多非公开的撰稿人。后者包括

来自网络安全研究、学术界和试验界的个人，以及代表技术公司、咨

询公司、制造商、航空公司和机场的行业资深人士。

第二，向泰雷兹公司提交这份报告。他们的精力、承诺和合作表

现出了一种伟大的伙伴精神。大西洋理事会期待着将来在民航网络安

进行全方位的合作。

第三，致大西洋理事会布伦特·斯考克罗夫特国际安全中心成员。

特别感谢 Priscilla Kim、Diya Li、Anni Piiparinen、Safa Shahwan，

最后感谢 Beau Woods 对项目的洞察力、研究协助和协调。

Kevin Borley—KJB Associates 咨询有限公司首席信息官

斯科特·布坎南—国土安全部航空网络倡议联邦领导

Sol Cates—泰雷兹电子安全首席技术官办公室技术战略副总裁

Francois Delille—泰利斯航空交通管理业务和产品战略总监

Mike Gadd—英国民航局 UAS&Cyber Programs 业务和技术主管

Philippe Jasselin—泰雷兹航空交通管理网络安全发展经理

James Holland—英国皇家空军 1 组航空安全主管

Steve Luczynski—美国国防部网络计划与运营部前副主任

David McCamley—英国民航局空域和空中交通管理政策专家

Sam Miller—泰雷兹公司 InFlyt Experience 产品安全专员

Martin Strohmeier—牛津大学计算机科学系系统安全研究员

8
 Paul Theron 博士—赛博航空研究主席和泰利斯通信与安全信息

技术安全经理联席董事

Jeffrey Troy—航空信息共享和分析中心执行主任

Raheel Qureshi–泰雷兹北美首席信息安全官

Matthew Vaughan—国际航空运输协会航空安全（机场、乘客、

货物和安全部门）主管

Beau Woods—大西洋理事会布伦特·斯科克罗夫特国际安全中

心网络治国倡议高级研究员

本报告的目的是探讨一个相当复杂的议题，该议题以记录和非记

录的形式进行了讨论。报告中所载内容的错误和遗漏是我们自己的责

任，而不是那些以其坦率和时间帮助我们完成报告的撰稿人的责任。

9
缩略语

3D—3 维

AAIB—航空事故调查处

ACARS—飞机通信寻址和报告系统

ACAS-X—机载防撞系统 X

ADS-B—自动相关监视–广播

AHM—飞机健康监测

A-ISAC—航空信息共享和分析中心

ALARP—尽可能合理地降低

AM—附加制造

APT—高级持续威胁

ASISP—飞机系统信息安全/保护

ATC—空中交通管制

ATM—空中交通管理

CERT—应急小组

CNS—通信、导航和监视

CPDLC—控制器-飞行员数据链路通信

Data Comm—数据通信

DHS—国土安全部

EASA—欧洲航空安全局

EFB—电子飞行包

10
FAA—联邦航空局

FANS—未来的空中航行系统

FMS—飞行管理系统

GAO—政府问责办公室

GCU—发电机控制单元

GNSS—全球导航卫星系统

GPS—全球定位系统

GSM—全球移动通信系统

IATA—国际航空运输协会

ICAO—国际民航组织

IFE—机载娱乐系统

IoC—损害指标

IOT—物联网

IP—互联网协议

IPv6—Internet 协议版本 6

ISAC—信息共享和分析中心

IT—信息技术

MLAT—多边

NextGen—下一代航空运输系统

NIS—网络和信息系统

NTSB—国家运输安全委员会

OEM—原始设备制造商

11
OIG—监察长办公室

PBN—基于性能的导航

PNT—定位导航和授时

RF—射频

RTS—远程塔台服务

SA—态势感知

SITE Comm—卫星通信

SDR—软件定义的无线电

SESAR—单一欧洲天空 ATM 研究

SMS—安全管理系统

SOC—安全运营中心

STIP—安全技术集成计划

SWIM—全系统信息管理

TCAS—交通防撞系统

TCP—传输控制协议

TCP/IP—传输控制协议/Internet 协议

TSA—运输安全管理局

UAS—无人机系统

VHF—甚高频

12
前言

当前是民航业的繁荣时期，十年来在全球范围内旅客平均增长率

徘徊在 5.5%左右，民航安全事件和事故征候也降至历史最低水平，

同时由于这段时期较低的油价，民航业的利润也得到增加，新技术的

不断应用也在提升民航的运行效率和旅客的体验。然而，这项研究表

明，民航业很可能会遇到类似于其他迎来“数字革命”的行业所面临

的网络安全挑战。历史上充斥着来自各个行业的“安全”系统以某种

形式被攻击者严重破坏的案例。随着民航业的发展，其重点必须放在

了解和管理网络风险以及建立网络防护能力方面。

民航业的主要目标是在一个充满挑战的环境中安全运行。事故或

事故征候往往很引人注目，它们会严重影响利益相关者和消费者的信

心。尽管存在重大风险和高级威胁因素，但改善航空安全和安保的努

力非常成功，所以目前人们认为民航业与以往一样安全。民航业蓬勃

发展，这种增长也正成为民航业目前面临的一些挑战背后的推动力。

即使在空中，越来越多的连接和“永远在线”受到欢迎，这也导

致对更先进的技术服务和连接的需求。提供不断改进的机载娱乐系统

和连通的网络，这种发展不仅受到业务需求的驱动，还受到竞争的推

动。因此，现在越来越多的人将客机上的互联网接入视为常态而非例

外，同时对带宽的需求也在上升。

此外，民航业与乘客交互的地点正在发生变化。以前的“起飞降

落”功能，现在已演变为“登机口”和“预订行李”，这给航空业提

13
供了更多机会来提供无缝且增强的旅客服务，不仅对旅客有吸引力，

而且还创造了更多的收入。数字化机会的多样性驱使机场和服务提供

商越来越多地进行互操作并提高效率，在为旅客提供额外服务的同时，

努力安全地管理更多的旅客人数。

但是，要求连接的不仅仅是旅客。随着飞机变得越来越复杂，由

于运营效率和维修的压力，许多航空公司和飞机制造商正在将飞机系

统连接到地面进行服务。这允许对飞机系统进行实时监控，以在空中

飞行时快速发现工程或维修问题，有助于更快地解决问题。缩短维护

或解决飞机问题所需的时间可以提高整个机队的效率，并节省大量资

金。

最后，随着航空公司和飞机制造商在服务提供商之间以及在复杂

的供应链上寻求更高的效率和专业化，数字化和创新是两个必需条件。

不同供应商之间互动水平的提高被视为缩短上市时间和维持标准的

关键。但随着 3d 打印技术和新材料的快速增长，该行业正试图抓住

机遇，保障这样一个关键供应链面临着巨大挑战。

在全球范围内，随着越来越多的飞机被挤入由许多传统系统管理

的有限空域中，空域开始达到饱和。有许多举措可以通过程序措施来

提高效率，但是空中交通管理（ATM）数字化被视为最重要的手段。

这个在全球范围内推广的基于数字互联的转型项目，将使空域管理更

灵活，飞行密度更高。

尽管民航业向数字连接的迈进是可以理解的，但挑战在于所涉及

系统的安全运行对人类生命至关重要。以前，由于民航系统设计的特

14
点，民航信息系统与其它系统相互隔离，并且仅有很少的通信协议，

正是由于这种隔离的特点是民航信息系统相对安全。但是飞机不再是

“空旷地带”，ATM 不再是孤立的，地面服务和供应链正逐渐完全融

入一个相互连接的数字世界。在数字世界中，可能会出现一些无法预

料的漏洞，网络攻击者将利用这些漏洞进行攻击，这就导致原来“不

能出现故障”的系统可能会面临故障等问题。

在这场数字革命中平衡机会和风险将是关键。在空气动力学方面，

当飞机在高空快速飞行时，它会陷入空气动力学的“难题”；减速可

能会导致“失速”，失去机翼的升力，但飞行速度过快则会导致失控。

在这个悖论中，需要良好的平衡和精细的处理。数字连接的民航业面

临着一个类似的难题，需要保持良好的平衡。对创新的过多监管和限

制可能会抑制增长，但对潜在风险考虑过少可能会使关键服务暴露给

攻击者。要实现适当的平衡，将需要所有民航利益相关者的大力合作。

报告目的

本报告对整个民航网络安全领域进行了广泛的研究，以更好地理

解风险以及为保持利益相关者的信任而建议采取的后续行动。从研究

中可以清楚地看到，一个技术先进、相互关联的民航业面临着系统性

和全球性的问题。专注于技术问题可能会忽略几个月或几年前制定的

基础、策略、治理和风险决策方面的问题。这份报告旨在推动一个自

上而下的愿景，民航业在哪里，它需要去哪里，以及如何才能达到那

里。这里有四种操作方式：

1．促进有关航空网络安全和安保之间的对话，从而保持对该部

15
门的信任

这份报告旨在通过强调关于网络安全和网络安全问题的现状和

相关建议，增进民航部门所有利益相关者之间的对话。进行这样的对

话对在全球以及多个利益相关者团体之间产生共享的理解和协作至

关重要。对于复杂的、对安全至关重要的挑战，没有人能提供所有解

决方案。民航业、网络安全行业和决策者之间越来越多的对话为达成

共同的观点和寻找解决方案带来了机会。

2．提出保持对民航生态系统信任的方法

民航安全已贯穿整个民航生态系统，无论是通过人员、文化、流

程还是技术，都得到了良好的管理、良好的理解，它们成熟和而有效。

这在客户、员工、股东和各种利益相关者之间建立了高度的信任。但

是现在民航安全面临日益复杂的网络技术的威胁，不仅有必要重新评

估这种信任的性质，而且有必要保护它，检测到何时会失去它，并设

计出快速恢复信任的方法和措施。

3．为民航网络安全奠定基础

本报告将通过将民航网络安全视为一个全球性的系统体系来应

对民航网络安全面临的挑战，该体系以人为核心，它在一个较小但定

义明确的安全范围内运行。对民航生态系统面临的网络挑战进行广泛

地分析，将有助于形成一种基本的认识。然后，这一认识将被用于探

索民航生态系统应如何凝聚并向前推进，以更好地应对其面临的挑战。

4．为所有利益相关者提出创新的民航网络安全构想和策略

这些挑战不仅仅是技术性的，它们包含了感知、流程、治理和文

16
化。本报告的目的不仅是强调这些挑战，而且建议所有利益相关者如

何最大限度地利用他们之间的关系，展示他们能够有效地合作的方式，

并通过交流明确支持这些政策和战略。

确定问题范围和重点

该报告将研究民航的网络安全和网络安全事件。显然，本报告中

将防止对抗性的人为伤害放在首位。但是危害不仅是物理上的危害。

为了使民航业在全球蓬勃发展，它还必须关注适当的网络安全，以保

护其价值，无论这些价值是有形的还是无形的。

如报告所述，民航业的利益相关者直接促成了全球人员和货物的

空中流动：从飞机/无人飞机系统的建造到飞行本身。但是，这样一

个定义有可能排除许多关键的航空利益相关者，如政府、国际组织和

协会、网络安全研究人员、旅客等。因此，在讨论所有这些利益相关

者时，他们将被称为民航生态系统。尽管报告中没有具体讨论直升机，

但其面临的网络安全挑战与固定翼飞机非常相似。同样，本报告中也

没有具体包括正在蓬勃发展的商业航天工业，尽管可以假定许多网络

挑战和解决方案可能是类似的，但值得进一步研究。这将对整个航空

航天面临的网络安全挑战形成一个整体的看法。

当试图确定相互关联的民航业所面临挑战的范围和重点时，网络

攻击很可能不仅仅影响民航业。民航业是国家和国际商业、贸易和旅

游业的基石，这意味着即使民航业的一个孤立的事件，也可能引发对

整个行业的信任危机。对股票市场价值、社会稳定和国民生产总值的

潜在影响，是民航业成为国家安全的一个关键因素。在评估网络风险

17
时，这些影响必须与民航业的组成部分、系统和公司一样得到考虑。

这给所有行业利益相关者带来了共同的责任，即降低单个“薄弱环节”

对整个商业、国家和国际生态系统影响的可能性。

这种分担风险的原则并不新鲜。多年来，它一直贯穿于整个民航

生态系统的物理安全管理之中，并继续帮助确定这一挑战的范围和性

质。因此，本报告采用了所有利益相关者共同承担责任的观点，并探

讨了人员、流程和技术的各个方面，这些方面将为未来安全、繁荣的

全球民航业奠定基础。

民航业所有利益相关者的首要任务是“尽可能降低”事故、事故

征候、伤害或生命损失的风险（ALARP）。由于安全系统使用复杂的技

术，在对抗攻击时保持 ALARP 的能力可能需要仔细的理解和管理。本

报告将着重讨论应对网络安全的挑战，以及网络安全如何在维护信任

和利益相关者积极观点方面发挥的关键作用。

与商业航空运营商不同，军事航空运营人必须假定他们将在某个

敌对环境中作战，在该环境中，先进的攻击者将其定为目标，以拒绝，

降级或破坏其作战。有人可能认为商用飞机面临的威胁较小。但是，

正如历史所表明的，网络攻击者很少关心目标的性质或影响目标的途

径。由于世界各地的许多空军正在将商用飞机军事化，因此它们的弱

点可能是相同的。本报告将审查军事应对此类挑战的方法是否对商业

界有借鉴意义，以及是否有合作的潜在价值。

纵观整个民航生态系统，其活动的整体性及其所支持的价值是不

可否认的。但要实现和保护这一价值，需要一个由富有激情的人管理

18
的全球性、复杂和高度相互依赖的系统体系。这份报告着眼于这个生

态系统与互联技术的融合，以及在面对攻击者时如何维护和保障安全。

19
民航概况

章节要点

>虽然民航业在过去十年中规模和盈利能力不断增长，但它所依

赖的企业信息技术（IT）被证明是不可靠的，因为即使在没有攻击者

的情况下也会中断运营。

>民航和网络安全领域的政策和行业领导者正在努力制定法规和

实现标准化，但是由于行业和攻击创新的速度而面临巨大挑战。

总体而言，自 9.11 恐怖袭击事件后，民航业一直处于强劲增长

期。随着市场实力的增长，旅客服务的多样性和复杂性不断增加，新

技术的应用也不断增加。

民航业是在一个天然危险的环境中运营的；但从统计上看，它已

经成为最安全的运输方式之一，这是所有民航人的功劳。但民航业正

朝着完全数字化的方向发展，互联技术与关键服务相关联。在这个转

变期间，它有义务维持或在可能的情况下改善其目前来之不易的安全

记录。在商业竞争环境中平衡新的风险和潜在的机会是一项挑战。它

需要行业、决策者和其他利益相关者协作，在建立的已知的有效实践

之上创新新的实践。了解他们的价值观和动机可能有助于确定推动网

络安全工作的因素。

价值观和动机

过去十年，尽管发生了 9.11 和金融危机等事件，但民航业似乎

20
“能够抵御外部冲击”， 仍然增长了 60%。过去三年，全球民航业

实现了历史上最好的净利润，2017 年的利润预测在 300 亿美元左右。

利润增长的主要原因是效率的提高和低油价，全球民航业并不是唯一

出现增长的数字。由于扩张和需求增加，每年旅客数量已达到 40 亿

人次，货运量达到 5570 万吨。国际航空运输协会（IATA）预计，未

来旅客数量将增长近一倍，到 2035 年旅客将达到 72 亿人次，为支持

这一增长，对新飞机的需求不断增加。波音公司预测，未来 20 年将

需要 4.1 万架新飞机，价值 6.1 万亿美元，比之前的预测增长 3.6%。

但只关注民航业，掩盖了它为其他行业和（GDP）增加的所带来的价

值。

根据 2014 年的数据，全球民航业直接解决了约 990 万个就业岗

位，还有间接提供了 1640 万个就业岗位；这些岗位是旅游业 3630 万

个就业岗位之外的。这相当于 2.7 万亿美元的经济总量和全球 GDP 的

3.5%。

尽管该行业是盈利的，但允许出错的余地仍然很小，而且对财务

或投资者信心造成负面影响的事件可能会产生相当大的影响。

英国航空公司因不间断电源的误操作而发生 IT 故障，导致 726

架次航班取消，7.5 万名旅客滞留，总损失约 8000 万英镑。

2017 年 8 月 16 日，达美航空公司运营中心出现故障，导致 5 小

时停电。为此约有 2000 个航班被取消，损失 1.5 亿美元。

虽然这些都是意外中断，而不是恶意攻击的产物，但它们表明，

即使是简单的故障也能像滚雪球一样，越来越严重，最后破坏运营稳

21
定，并造成相当大的损失。

攻击者观察到一个系统如果出现问题时在相关联的行业中可能

被放大，他们就越有动机去探索“可能的艺术”。 这种风险应该成

为民航业提高网络安全和整个系统合作的关键动力。

澄清、改进和增加民航业改善网络安全的动机是降低未来风险的

关键。民航和网络安全的一些部门在研究网络安全方法和提升防护能

力方面取得了良好进展，但整个行业并非如此。

鼓励和激励整个民航业认识到网络安全改进的价值，既具有挑战

性，又至关重要。合规性可能会有所帮助，但正如其他行业所发现的

那样，即使是监管最严格的行业也会遭到破坏，并且以合规性为中心

(而不是以攻击为中心)有其局限性。将网络安全要求引入保险政策可

能会有所帮助，但它们不是唯一的潜在动力（目前国内已经有了网络

安全保险业务）。

在民航生态系统的许多领域，创新、技术进步和对抗能力的速度

可能超过政策和法规制定的速度。
（目前我国民航相关法规相对滞后）

到目前为止，在此问题上相对保持沉默的金融投资者可能会成为

推动网络安全工作前进重要因素。随着国际民航组织（ICAO）和其他

机构越来越强调需要改善网络安全，投资者可能会更加关注其投资项

目的网络安全。这不仅需要了解民航网络安全风险，还需要尝试运用

新的法规和政策进行管理。

研究表明，尽管业界越来越意识到提高网络安全的必要性，但企

业可能在购买或升级网络安全能力方面犹豫不决。造成这种现象的原

22
因是：尽管可能正在起草标准，但国家和国际机构尚未制定民航网络

安全法规和可操作的标准。与其选择可能很快变得不兼容或无法与声

明的“行业标准”可操作的方法或技术，采取观望的方法更可取。

但是，这种观望游戏不仅阻碍了民航业，还阻碍了支持民航发展

的强大而多样化的网络安全产业的发展。为了取得进展，国际和国家

机构必须制定明确的可操作的标准和明确的政策方向。

民航网络安全政策

在民航生态系统的许多领域，创新，技术进步和对抗能力的速度

可能超过政策和法规制定的速度。制定并快速实施的国家和国际政策

对于领先于技术和风险至关重要。

民航业涉及全球和国家多个机构，其中许多机构正在逐步考虑网

络安全挑战。由于民航业是全球性产业，因此在联合国的主持下，国

际民航组织（ICAO）有责任制定国际航空标准，并建立各国进行问题

讨论的渠道。领导并促进对话和建立标准化的框架的作用对于保障和

促进全球产业至关重要。这种模式已经运作了多年，但由于这种大型

国际机构的性质，谈判和协商的进度可能会很漫长。

但是这种情况正在发生改变。2016 年，国际民航组织大会第 39

届会议通过了一项决议，这项决议以解决民用航空的网络安全问题。

这突显了迅速发展的网络攻击所带来的危险迫切需要通过业界的共

同努力加以应对。国际民航组织（ICAO）呼吁成员国合作制定国际民

航组织的网络安全框架，希望该框架能够应对挑战。2017 年在迪拜

举行的国际民航组织网络安全会议上发表了一项宣言，呼吁各国降低

23
网络风险，制定立法框架，对“网络攻击行为体”采取行动，这是对

国际民航组织大会第 39 届会议网络安全决议的加强。该宣言还加入

了另一个威慑因素，宣布“对民用航空进行网络攻击必须视为犯罪”
。

这一重点不仅在于网络安全，而且在于建立国际行为准则，这是一个

可喜的进展，为国内和国际对话增添了深度。

尽管在全球范围内有许多国家旨在改善内部航空网络安全政策

的计划，但美国的一项主要工作是《 2016 年加强飞机安全性网络安

全标准法案》或《网络航空法案》。该法案由参议员爱德华·马基

（Edward Markey）提出。该法案建立了一个知识更新和提高知名度

的反馈环，以更新有关“飞机系统以及飞机维修和地面支持系统”的

标准和规定，并要求识别飞机的“电子入口点”，通过采取将关键系

统与非关键系统进行隔离之类的措施实现保护。专注于飞机是理解挑

战关键要素的重要一步；如果工作继续推进，它将很好地与更多行业

紧密结合。

美国和欧洲都强调将民航作为国家关键基础设施的一个重要组

成部分。例如，欧洲的网络和信息系统（NIS）指令涵盖了航空部门。

在美国，民航业已越来越多地被纳入 2017 年美国国土安全部（DHS）

授权法案.该法案认识到理解危险的价值，要求未来的威胁评估包括

网络组件和年度威胁评估，包括聚焦于航空运输系统的风险。

第 561 节专门介绍了航空网络安全的一小段内容。最初规定，国

土安全部长应“在本法颁布之日后不迟于 120 天，开发并实施与美国

国家标准与技术研究所一致的民航网络安全风险评估模型。改善关键

24
基础设施网络安全。”如果该法案获得通过，考虑到民航网络安全的

国际形势及其公共和私人利益相关者之间的纠葛，在 120 天内开发和

实施这种风险评估模型将是一项具有挑战性的目标。

网络安全行业作为航空业的合作伙伴，它必须确保其支持并增强

而不是削弱当前有效的方法。例如，该法案的很大一部分致力于网络

安全信息共享的重要性，但尚未考虑如何将这种做法纳入已经存在的

民航安全信息共享系统中。民航安全和网络安全/安保并行可能会起

作用，但存在极大增加管理负担和治理复杂性的风险。

《 2017 年 DHS 授权法案》还认为，“《芝加哥公约》为机场安

全制定了最低安全标准…在当前的威胁环境中，我们不够强壮，我们

屡次看到恐怖组织计划针对民航的攻击…”并指示美国代表前往国

际民航组织（ICAO）“追求改善机场的安全性。”正如本报告将探讨

的那样，民航业不仅面临物理安全威胁，而且还面临涉及安全和非安

全关键操作等各个方面的网络安全威胁。因此，随着国际民航组织

（ICAO）美国代表开始“在国际民航组织中发挥领导作用…来提高这

些标准”，这是一个探讨日益增长的网络威胁的绝佳机会。

在国家和国际舞台上保障现代民航业安全的话题越来越引起人

们的关注。各种计划很可能会融合和发展，从而减轻了业界的压力。

但是，如果没有对民航概况、利益相关者及其挑战进行透彻地了解，

推动网络安全工作的进展将是缓慢的。对这些民航相关组件理解和管

理越多，获得信息的准确性和效率就越高。

25
民航业互联面临的挑战

章节要点

›民航业在预防安全和安保问题方面拥有数十年的经验，但是在

网络安全和面对网络安全挑战方面经验不足。

›开发和替换航空系统所需的时间可能比攻击者开发攻击手段所

需的时间更长，这对建立准确的风险评估和威胁模型提出了挑战。

›军用航空与民用航空共同面临着许多网络安全挑战，但预计会

出现更具挑战性的威胁，并出现相应的风险管理措施。

›攻击者的数量、能力和意愿都在增加，暴露和攻击面也在不断

增加。 然而业界对挑战的紧迫性和严重性的看法各不相同。

“迄今为止，对民航部门的网络攻击程度不高，影响有限，但成

功的恶意网络攻击对民用航空运营的后果可能是灾难性的。”(实际

上网络安全对我国民航安全运行已经造成了严重的威胁，并且出现过

多起严重的网络安全事件)

上述观点是本报告研究中的一个共同主题，许多撰稿者也有同感

给人的印象是，这个行业“到目前为止还没有受到惩罚”。从其他行

业已经了解到，做好网络安全有多么困难。全球互联的民航业面临着

传染病模式的风险，在这种模式下，一个地点的故障可能迅速蔓延到

整个地区，超过了在孤立(甚至企业 IT)环境中应对的速度。这种风

险是全球系统性的，呈现出连锁式的故障模式。

民航业界在尽量减少意外伤害风险方面有着悠久的历史，它们有

26
完善的设计原则、安全边际和安全管理系统，这些系统在严谨的流程

下运作，以促进安全操作、预防意外事故和培养积极主动的安全文化。

民航业在防止企图危害安全和对攻击者非法的攻击行为进行干预方

面也有相当丰富的经验。总的来说，对于一项复杂的全球行动，民航

业已经成功地实现了安全和安保，并证明其利益相关者可以信任他们。

当事件或安全漏洞确实发生时，民航业可以轻松地对安全和安全流程

进行更改或改进，以恢复信任。然而，在网络安全事件发生后恢复信

任可能要困难得多。

对于习惯于证明安全性的行业而言，连接系统的复杂性和保护它

们的复杂性带来了挑战。如果发生网络安全事件或暴露漏洞，民航业

必须能够证明并迅速建立信任。由于许多网络安全加固措施都是技术

性的，因此向非技术性受众证明其有效性将是一个挑战。事发后仅仅

声明改进是不够的。这种重建信任时潜在的脆弱性和困难意味着当行

业寻求开发弹性系统时，它还必须寻求与关键利益相关者建立弹性信

任。

理解威胁、了解风险

通过历史的威胁和风险表明网络攻击者的能力不断提升，并以惊

人的速度完善。在民航业中，这尤其具有挑战性，因为许多系统被认

为是民航业的关键系统，其开发周期很长，政策和设计标准很早就已

确定，如果更新则需要大量时间。为了使民航业准确评估和预测风险，

必须了解当前的威胁及其潜在影响。

在许多网络攻击的例子中，受害组织对自己抵御威胁的能力具有

27
高度信心，但是到最后还是向攻击者妥协。这个情况变得如此普遍，

以至于不再令人惊讶。

在评估风险时，包括民航在内的许多部门将攻击者的归类为以下

群体：高级持续威胁（APT）组织、有组织犯罪团伙、黑客主义者等。

但是，许多企业由于他们自己被视为目标，所以在风险评估中并不认

为 APT 是威胁。但是，正如在众多的网络安全攻击事件表明，尽早

提出 APT 攻击者参与的主张可能是希望获得赦免，而不是事实，因

为这不可能被“预见”或加以抵制。

有一种观点认为，在风险评估中过度依赖网络攻击者的特征可能

会破坏准确性。毕竟，最近的历史越来越多地表明，技术能力、规模

或危害的性质不再是网络攻击者的指标。资源丰富的网络攻击者将使

用简单的工具来节省金钱和失误，缺乏资源而具有关键技能的人可以

开发复杂的工具。

一些撰稿人认为，民航业的威胁模型常常低估了对手的能力或这

种能力的复杂性。正确理解威胁模型对于理解真实风险水平至关重要。

关键系统应该有网络安全要求，如果受到威胁，可能会导致人员伤亡。

例 如， 必须 将飞 行关 键系 统的 灾难 性故 障风 险 评估 为极 不可 能

（1x10-9）
，并通过测试和分析进行验证。如果网络威胁模型被低估，

可能会给人以不正确的印象，即已经达到可接受的风险水平。

尽管如此，民航和网络安全行业都有遭受内部人员恶意威胁的经

历。民航业主要体现在物理安全的威胁方面。物理安全非常重视尝试

减轻内部威胁，在网络安全方面，发现和阻止可信任内部人员滥用高

28
级程序也是如此。随着这两个行业在寻找威胁方面的不断前进，诸如

员工筛选、分层安全措施以及寻找异常行为之类的方法将成为这两个

行业的共同基础。

正确评估风险至关重要，但由于网络攻击者的不确定性、风险复

杂性和环境多变性难以实现。为应对确定的攻击者的不确定性和复杂

性攻击进行防御，需要做好额外的准备，还需要付出更多的努力，并

且还要更好地理解和减少可能受到影响的系统的攻击面。以下两节对

此进行了探讨。

成为更大的目标

长期以来，民航业一直是恶意攻击者的目标。随着它的服务和系

统越来越多的连接，潜在的攻击面正变得越来越大，越来越复杂。

日益增长的技术和互联互通，为攻击者瞄准民航业带来了新的机

会。在地面上，包括破坏机场运营的未成年人行为，以及破坏机场航

显和广播系统的国家赞助活动。
（这里有抹黑中国的嫌疑，指越南机

场航显和广播系统被黑事件）在空中，多名研究人员声称对 ATM 系

统和飞机都进行了可信的攻击。“突尼斯黑客小组”等恐怖组织已经

威胁要对民航业发动网络攻击：“下一次，你的举动会受到攻击[原

文如此]。我们将努力控制你们机场的计算机，你们非常清楚，我们

可以做到这一点，也可以控制电子部门。”

随着利益相关者拥有的攻击面迅速扩展，所有系统中都将存在漏

洞，这只是何时被发现以及由谁发现的问题。对手总是试图理解“可

能的艺术”以及从中获得的好处。迄今为止，针对民航业的攻击影响

29
相对较小，这可能会导致人们认为不会对民航业进行攻击。但是，正

如其他行业将证明的那样，这种看法正在减少。

对威胁的看法

如何感知网络威胁对理解和管理风险至关重要。在为这份报告进

行研究时，明显的发现各种各样的看法可能是航空业面临的最大挑战

之一。

一位非公开撰稿人对航空业的一些观点直言不讳：“在他们购买

喷水灭火系统之前，工厂已经在烧毁的道路上。”另一些人则提供了

一些轶事，讲述了人们对潜在的航空脆弱性的担忧是如何被忽视的，

因为他们认为这种脆弱性是不可能的。

尽管民航业中有许多人认识到并理解网络安全挑战的复杂性，但

民航业中的每个人都必须达到同样的认知和理解水平。这是防止潜在

风险和促进重视多角度合作对话的关键。

民航业已经认识到并管理着故障风险：大多数航空公司的系统以

不损害安全性的方式被构建成可预测的故障。随着该行业攻击面的增

加，它将成为网络攻击者更具诱惑力的目标，因此其安全性有可能造

成相当大的不可预测性。处理这种不可预测性需要将不同的利益相关

者和不同的看法协同在一起工作。缩小这些看法之间的差距，将使这

些挑战得到更明确的关注，并更好地让行业看到风险和机遇。在下一

节中，我们将重点探讨飞机互联面临的挑战，其中的许多因素将成为

需要考虑的重要问题。

30
互联的飞机

章节要点

>随着技术的发展从根本上改变了飞机的设计、生产、操作和维

护，安全和安保模型必须改变，以保持一致，并向公众证明其效能。

>全球供应链的多样性、复杂性和响应能力与解决设计和制造过

程中的网络安全风险所需的灵活性不一致。

>虽然新兴的技术能力，如附加制造（AM）和无人机（UAS）正

在改变航空业，但它们也带来了新的、尚未完全了解的网络安全风险。

>通过传统信息技术、航空专用协议和射频通信，以及飞机系统

的相互连接，攻击者已经将攻击面扩展到飞机本身，无论是在地面还

是在飞行中。

>现在飞机包含复杂的数据网络，但是，监控这些网络的能力落

后于相对复杂的地面网络，避免和应对潜在网络安全事件的能力也是

如此。

>技术变化的速度比治理发展的速度快，因此实践将比标准和法

规更快；然而，为了保持对该行业的信任，必须采取某种形式的问责

和认证。

随着技术的发展从根本上改变飞机的设计，生产，运营和维护，

安全和安保模型也必须改变，以保持一致，并向公众证明其功效。

空气动力学定律保持不变，但飞机设计一直在稳步、明显地发展。

然而，当谈到飞机技术时，说存在代际差异是一种轻描淡写的说法。

31
空中旅行的概念正在不断被重新定义。不久前，一架客机提供了与世

界其他地区隔离的豪华服务。现在，民航业响应旅客需求，在整个飞

行过程中拥有无缝连接的服务被视为必不可少的。这种转变不仅限于

客运服务。随着效率的提高，互联技术越来越多地改变了飞机的维修

和操作方式。这些飞机在卫星和地面站的共同作用下不仅连接到航空

公司或空中交通服务，而且使飞机连接到互联网。断言通过隔离“确

保”飞机安全的日子已经过去。现在有明确的要求来确保互联飞机的

安全。正如前面讨论的，仅仅说飞机是安全的还不够。为了保持利益

相关者和旅客的信任，必须要证明这一点。

在民航早期，证明其安全性非常简单。飞机将在同一位置进行设

计、测试和建造。现在，全球供应商共同生产一架飞机。飞机的结构

和部件曾经是由木头和铝手工制成的，如今，复合材料和 3D 打印已

成为越来越多的行业生产标准。 “线控飞行”的字面意思是指从飞行

员的手到控制表面的物理连接，而计算机可以根据机组成员输入的数

千个参数做出决策。现在，飞行员从飞行平台上获得了数字化抽象。

他们告诉计算机他们想要飞机做什么，然后计算机会在飞机实现之前

对其进行评估。万一发生计算机故障，可以使用备用计算机，从而使

系统以允许飞机着陆的方式进行“故障保护”。

现在飞机已实现数字化，它包含数百万行代码；编写、验证和保

护它是一项越来越困难和复杂的任务。这项任务所面临的挑战不仅在

于代码编写的速度，还在于飞机整个生命周期中的维护和保障。许多

行业发现，快速识别和修补软件漏洞的能力是一项关键要求，但据一

32
位受访者说，目前修改飞机上的一行安全关键软件代码估计需要一年，

费用约为 100 万美元。快速部署安全更新是一个关键要求，但是漏

洞识别和修复之间的时间间隔又是一个关键问题。监管机构已做好充

分准备，可以使所有飞机类型停飞，直到解决关键的漏洞。安全地设

计、制造和更新将是这一努力的关键部分。

制造业

全球供应链的多样性、复杂性和响应能力与解决设计和制造过程

中的网络安全风险所需的敏捷性不一致。由于空客和波音公司的积压

订单超过 13,000 架，按当前的制造速度计算，需要不到十年的时间

才能完成，因此为加速飞机制造而付出的巨大努力是可以理解的。制

造商正在国际范围内寻求通过分包和外包生产来扩大供应基础，以降

低成本、加快飞机交付速度，或获得地区财政支持。有时这意味着每

架飞机在不同地区都有不同的供应商，但要为它们的交付设定标准。

这种延伸的供应链的风险在于“制造商永远无法超越最不熟练的供应

商的能力”，这一论点对零件交付和网络安全都适用。

遍布整个供应链的知识产权和专有数据的财富是可观的。此外，

根据该供应链的性质，某些数据可能会受到美国《国际武器贸易条例》

的限制。对于总体风险所有者而言，适当地保护此类数据是一个巨大

的挑战，他们必须与所有供应伙伴保持信任、保证和风险之间的平衡。

此外，更为关键的风险是由于意外或设计的原因在所交付的零件

或系统中创建漏洞。这种潜在的漏洞困扰着该报告的撰稿者，其中一

位指出，如果这种由于设计造成漏洞“直到 2000 年周期之后”才发现，

33
就很难找到这种漏洞。面对这样的风险，唯一有效的缓解措施可能就

是弹性的系统以及保障和监督工作的努力。

飞机系统

飞机系统在非常短的时间内就实现了从最小连接到尽可能全部

进行连接的阶段。

尽管这种连接有利于燃油经济性、飞机健康监测（AHM）和旅客

体验，但是，它也增加了对机载系统的接触。航空公司的 IT 安全流

程可能无法达到航空安全所必需的可靠性和响应时间。

系统设计的这种变化不仅受到运营技术提供的敏锐洞察力和效

率提高的推动，而且还受到将驾驶舱转变为数据化环境计划的推动，

该环境为飞行机组提供了以前无法访问的信息。现在，旅客享有与他

们的家庭或办公室环境无法区分的网络连接的水平。

现代互联飞机产生的数据量迅速增长。据估计，到 2026 年，由

34
航空器生成的数据全球增长量将达到 9800 亿兆字节。通过这些数据

大部分可以看到攻击者活动或意图的证据。能够查看此数据，对其进

行保护，并快速对其进行分析以找出弱化的危害迹象至关重要。监管

机构正在尝试制定实用、有效并且能够经受住这些飞机系统以及所产

生的数据时间考验的标准。

网络设计

现在，飞机设计师不仅要设计出最符合空气动力学的外形、最高

效的发动机和最佳的旅客体验，还要在整个平台上整合和开发相当大

的计算能力。这导致飞机网络从简单、低带宽、点对点的信息传输发

展到采用 TCP/IP 协议的高带宽网络，允许比以前更自由的数据流。

像大多数网络一样，飞机现在是一个 WiFi 路由器、防火墙和多核处

理器组成的世界。

根据信任和认证，这些网络被分成几个数据域：

•飞机控制领域由系统和网络组成，其主要功能是支持飞机的安

全运行。

•航空公司信息服务域包含提供非关键飞机服务和支持域间连接

的系统和网络。

•旅客信息和娱乐系统域（PIESD）提供并支持所有旅客服务，

如娱乐、互联网连接等。

35
 尽管这些网络区域已经成为整个行业的标准术语，而且看起来很

简单，但潜在的复杂性很高。当他们被波音用于 787 时，联邦航空

管理局（FAA）认为这是一个“新颖或不寻常的设计。“这在当时的适

航条例中没有涉及。联邦航空局要求波音公司证明“特殊条件：波音

787-8 型飞机；系统和数据网络安全隔离或防止未经授权的旅客域

系统的访问”，联邦航空局要求波音公司安全保障措施落实到位后才

能让飞机投入使用。

随着网络和飞机系统变得越来越复杂，管理它们的计算性能也在

不断增加。同时，由于技术上的过时使得潜在的扩展或维护服务变得

困难。因此，该行业目前正在探索使用多核处理器的潜在机会和风险；

随着芯片变得越来越复杂，保障它们的安全变得越来越具有挑战性，

这 是 可 以 理 解 的 。 例 如 Skorobogatov 和 Woods 在 Actel

ProASIC3 芯片中发现用于管理网络的后门和隐藏的服务很难被发

现，一旦安装则很难被缓解。

36
 对于波音 787 来讲，系统复杂性方面的挑战成为现实。不仅

Actel ProASIC3 芯片，集成控制单元（GCU）也存在软件溢出，

这将导致它们在通电 248 天后进入故障保护模式。如果四个 GCU 同

时通电，248 天后，它将在飞行过程中的任何阶段停止发电。波音随

后消除了美国联邦航空局（FAA）的担忧，但它是民航业和监管机构

在复杂系统中发现的一个例子。增加复杂性是该行业未来的必然趋势。

事实证明，解决问题、保障和监管问题的能力都具有挑战性。攻击者

将找出这种由系统复杂性所导致的监管和潜在系统存在漏洞的地方。

在整个行业中发现、修复这些漏洞是至关重要的。

许多行业的工作都集中在构建安全可靠域。但在复杂系统中，只

有能够识别出信任何时在降低，何时可以委托组件和系统来保护整个

系统，信任才能得到保证。在飞机系统上，目前很难或几乎不可能知

道何时信任受到损害、何时采取适当行动。

通过与撰稿者的讨论，目前行业正在探索这一挑战，飞机系统的

实时监控可能会演变为与地面网络非常相似的外观。将来，利用高带

宽通信将飞机网络数据像标准的地面网络一样传输回安全运营中心

（SOC）进行监视和操作。一些人正在积极讨论向飞行中的飞机提供

这种安全服务的方法，以提醒飞行员潜在的网络攻击。

但企业的网络安全方法往往比关键航空系统支持的故障率更高，

可能不适合民航环境。当利益相关者考虑使用 SOC 服务来监控飞机

和航空运行时，他们将面临挑战。在机载平台上很难捕捉到大量数据

中的微弱信号，调整监测的有效性，并将假阴性或假阳性最小化。此

37
外，攻击者的活动、SOC 响应、反应和通信的时间跨度可能对及时提

供信息构成挑战。为了克服部分 SOC 反馈的挑战，已经研究了具有

一定程度的“入侵检测”能力的机载网络。这样一种远程/自主监控的

模型是保护周围许多网络的有效方法。困难在于，这样的模型是否足

够强大，是否足以实时支持航空系统，以及民航业是否希望航空运营

商（飞行员、空中交通管制员等）成为网络事件响应团队的一部分。

客运服务

民航业在很长的时间里都没有给旅客提供连接通信服务。1984

年，航空公司与 Airfone 一起提供了第一台地空电话。当时，据评

估有 20％至 30％的航空公司旅客对该服务感兴趣。公众的需求将决

定该服务的发展方式，纵观当今整个行业，可以肯定地说，公众对互

联服务的需求是毋庸置疑的。

在过去的两年中，提供机内 WiFi 的航空公司数量增加了 38％，

搭乘有 WiFi 功能的飞机乘机率增加了 39％提供与 WiFi 的基本连

接到个人设备的常规使用，这个市场正在迅速发展。机载 WiFi 的增

长不仅是为了提供内容，它还为航空公司提供了与旅客互动和获取更

多服务的机会。在民航业中使用数字革命的不仅是旅客，越来越多的

航空公司和飞机制造商也是如此。

飞机服务

全球范围内驾驶舱和飞机系统连接的增长创造了额外的附加服

务，这些服务对民航业非常重要。下面几节将重点介绍这些技术，包

括它们的好处以及在保护日益复杂的生态系统时可能出现的问题。

38
 电子飞行包

飞机和空域的复杂性增加了机组人员在飞行过程中需要获取的

信息数量。航图、地图、飞机工程文件等通常是装在又大又重的飞行

包里携带的。随着技术的发展飞行包变得越来越小，开发无纸化驾驶

舱的愿望开始生根。最初，它的形式是一个简单的、独立的、便携式

电子显示设备，只是存储电子格式的纸张信息。经过初步的成功和积

极的反馈，这些电子飞行包(EFB)的功能和外部接口随着技术的发展

而不断发展。现在，最复杂的 EFB 都具有与飞机、外部数据源和视

频监控显示器(比如覆盖在驾驶舱门上的安全摄像头)的双向接口。

它们的用处越来越大，现在它们被用来计算性能(起飞)数据，并在

不同的数据区托管受管制和不受管制的软件。随着其实用性和普及性

的增长，先进的 EFB 正被植入飞机驾驶舱。

欧洲航空安全局（EASA）要求申请加入 EFB 的公司证明“有足

够的安全流程保护系统”，并保证“每次飞行前，EFB 操作软件按规

”飞机和便携式 EFB 之间的连接强调安全标准至关重要，EFB

定工作。

离关键系统越近，重要性就越大。因此，数据传输仅限于以下系统：

•对飞机无安全影响或轻微安全影响；

•经认证可连接 EFB；

•以及与飞机系统完全隔离。

这些限制以及其他建议，例如通过防火墙、病毒扫描和最新软件

等保护 EFB，都是很好的建议，但这些不可能涵盖整个攻击面。随着

它们的日益普及，便携式 EFB 的硬件和软件的种类也增加了。平台

39
的多样性和复杂性使认证和交付可靠性变得更加困难。已经发生了一

些事件，例如第三方应用程序破坏了空勤人员的 EFB 平板电脑，迫

使空勤人员打印地图才能正常起飞，以及 2007 年泰国航空公司使用

的 EFB 感染病毒。

为飞机准备起飞的一个关键阶段是计算起飞所需的性能。为了节

省燃料和减少发动机磨损和噪音，只有在需要时才使用全功率发动机。

因此，如果跑道长度、飞机和环境因素允许安全起飞，计算出的功率

设置将小于 100%。正确地确定这个数字至关重要。

2004 年，MK 航空公司(MK Airlines)一架使用类似 EFB 系

统的波音 747 飞机在起飞时坠毁。调查人员怀疑机组人员不知何故

对电子源提供的数据进行了错误计算或误读，并且未能对其进行二次

检查，随后又使用了该数据，导致了坠机事故。虽然在本案中没有恶

意攻击行为，而且安全程序本应捕捉到错误。但这是一个非常重要的

提醒，向航空业经营者和决策者提醒注意保护数据安全的重要性。

飞机通信寻址和报告系统

机载通信寻址和报告系统(ACARS)是一种数字化的空对地通信

能 力 ， 它 可 以 使 用 一 些 链 路 ， 如 地 基 甚 高 频 (VHF)/ 高 频 或

Inmarsat/Iridium 卫星通信(Sat Comm)。ACARS 虽然主要被看

作是飞机与航空公司的通信方式，但它转变成 VHF 数字连接后意味

着它的带宽和速度都增加了，因此越来越多地用于空中交通管制

(ATC)通信。

作为一个未加密、公开传输的消息系统，ACARS 被认为是不安

40
全的。虽然为 ACARS 开发了一个加密标准，但 ACARS 消息系统的安

全性和它实际作用是不一致的。已经开发的专用 ACARS 加密“附加组

件”，许多都被认为是高度不安全的，这只会给人一种安全的错觉。

因此，对许多爱好者和研究者来说，观察和解码 ACARS 已经成

为一种的消遣。只需从因特网上获得少量的硬件和软件，就可以在

ACARS 信道上接收和发送信息。从表面上看，作为一个开放的数据

链，ACARS 的主要问题是隐私保护，但随着驾驶舱互联程度的增加，

潜在的威胁已经上升到更令人担忧的程度。

现在许多飞机在驾驶舱安装了 ACARS，并与飞机系统相连，这

些系统主要是飞行管理系统(FMS)。FMS 管理着导航路线、数据库、

机场详细信息等，是现代客机运行的重要组成部分。由于 ACARS 可

用于向飞行器传输飞行计划，因此将 ACARS 与 FMS 连接是很常见的。

当飞行计划到达 ACARS 时，飞行员会对其进行审查，如果需要，还

可以直接上传到 FMS。

因此，ACARS 和 FMS 之间的链路是进入飞机系统的潜在接入点。

网络研究员、商业飞行员雨果•特索(Hugo Teso)声称，这种连接

使 ACARS 能够被用作入侵飞机系统的攻击通道，允许对与“飞机导航”

有关的机载系统进行攻击。美国联邦航空局（FAA）和欧洲航空安全

局（EASA）都反驳了这些说法，称它们在现实世界中不会起作用。

Teso 不是唯一一个对飞机数据链感兴趣的人，他肯定也不会是

最后一个。只是简单的反驳说它在现实世界中不起作用，而不解释它

为什么不起作用，可能不足以让利益相关者放心。如下一节所示，要

41
求解释呼声只可能增加。

飞机健康监测-支持飞机

随着航空公司提高效率的压力越来越大，飞机原始设备制造商

(OEM)正努力利用互联技术提供更精确的 AHM 和预测性维护。以前，

飞机部件要么在定期维护计划中接受检查，这需要花费大量时间拆解

飞机以检查磨损率，要么让部件失效，在接到通知后再立即进行维修。

随着数以千计的飞机零部件越来越紧密地连接在一起，并向 AHM 系

统提供数据，大型数据分析使得维修团队能够在飞机在飞行或地面时

都可以进行复杂的分析。从飞机到地面操作团队的实时数据正在提高

维修速度，并且在飞机飞行时就可以制定维修计划。这减少了诊断、

修理和飞机返修的时间，最大限度地减少了停机时间，提高了效率。

这种系统的愿景是让整个航空公司的机队将数据输入数据仓库，

然后航空公司和飞机制造商可以对数据仓库进行分析，因此可以理解

空中客车公司与分析公司 Palantir 的合作关系，这两个公司都看

到了这种合作关系的好处，这些数据不限于飞机数据，还包括旅客数

据。

所能观察到的连接到 AHM 的系统包括发动机监控系统，该系统

将通过全球移动通信系统（GSM）、WiFi 或卫星电话将飞机和发动机

数据传输到 web 接口。使用 GSM 的装置必须将 GSM sim 卡集成到

飞机系统中，然后通过它与互联网连接并传输数据。它包括直接向

EFB 传输数据的能力，使机组人员可以立即访问数据。它还包括飞机

能够自动连接到机场登机口的 WiFi 热点，以下载 AHM 数据和上传

42
机上娱乐（IFE）内容。尽管空间限制排除了对单个系统、观察结果

和潜在问题的深入分析，但总的看法是潜在的攻击面是相当大的。

飞机维修

确保飞机和周边系统的安全也是至关重要的。飞机的维修越来越

以技术为中心，比如飞机数据被联网到维修团队的手持设备或增强现

实设备上。管理和保护飞机和地面系统之间无纸化处理流程和数据传

输的生态系统将成为更大的挑战。尽管这些风险在本质上可能不是直

接的安全因素，但它们绝对有助于维护安全操作，正如 2008 年的坠

机事件所证明的那样。坠机的直接原因是试图在错误的配置下起飞。

这架飞机在出现三次同样的故障后应该被停飞，但系统对此类错误的

告警却出现了故障。据称，跟踪此类故障的工程计算机感染了恶意软

件，从而减慢了问题的识别速度。该恶意软件并没有导致飞机坠毁，

但它移除了一个可能阻止飞机起飞的关键安全漏洞。

在攻击者可能造成伤害的环境中，对安全漏洞的妥协必须被认为

是一种潜在的风险。在之前讨论的坠机事件中，尽管恶意软件被认为

是非目标的，但类似的有目的的破坏、混淆目标的活动，成为了理解

和对抗的关键问题。

挑战

在这份报告的研究中，最主要的问题是未来联网飞机将面临的各

种挑战。我们不能低估这一挑战的规模。

在“联网飞机”出现之前，旅客将设备连接到飞机上是民航业许

多人所厌恶的。尽管消费者已经越来越多地意识到其他行业的网络漏

43
洞，但航空业却经历了一段相对平静的时期。但是，一些报道、说法

和研究正在提出飞机与旅客连接相关的网络安全问题。2015 年，网

络安全研究员克里斯•罗伯茨(Chris Roberts)声称，他通过连接

座位下方的 IFE 装置，调整了飞机的引擎。他关于自己行为的推文

遭到了美国联邦调查局(FBI)、政府和工业界的质疑，随后相关部门

花费了大约 1400 万美元调查和反驳这些说法。

同样在 2015 年，IOActive 的一名研究人员在飞行过程中在他

的 IFE 屏幕上观察到软件调试信息。着陆后，他发现 IFE 软件的多

个版本都可以在网上免费获得。经过调查，他的结论是利用这些软件

的漏洞有可能操纵灯光、显示信息，这些漏洞利用的方式可能危及生

命并引起旅客骚乱。

同年，雨果·特索(Hugo Teso)披露了一项为期一年的针对欧

洲航空安全局(EASA)飞机系统漏洞的研究结果。他的主要工作是发

现了一系列进入飞机系统的后门，并且这些后门可以被远程利用。据

说民航业观众的反应是一致的:“你不是真的打算把这些都公之于众

吧?

随着技术的不断发展以及飞机周围和机上连接的增加，好奇的、

淘气的和恶意的人员不仅使用 WiFi，而且使用任何射频信号或飞机

上的接入点试图探索它的攻击面。这种情况正在迅速发生，不仅是那

些试图破坏飞机系统的人，还有试图破坏其他旅客网络安全的旅客。

在前进的道路上，从多个角度了解这些攻击面，对如何保护和保障飞

机安全是必不可少的。

44
 了解并保护扩展的攻击面

本报告的许多撰稿人一致认为，民航业快速地采用硬件、软件和

复杂的供应链技术，大大增加了可能受到影响的系统的攻击面以及影

响它们的潜在方式。可以说，定义潜在的攻击面将基于感知。一个坚

定的攻击者将寻找一个防御者可能没有察觉到的攻击面。攻击者甚至

可能将不同的漏洞连在一起，直到他们能够创建攻击面。例如一个攻

击者可能从另一家公司窃取到双因子认证凭证，然后利用这些凭证入

侵美国国防承包商的系统窃取飞机设计资料。

必须认真考虑与飞机交互的航空公司大量的信息系统的安全问

题，这些交互的系统可以为多个飞机提供单一的入口点，并且都可能

成为攻击面。飞机与航空公司信息系统之间的连接越无缝，那么这些

系统就越关键。主动寻找潜在的攻击面并探索可能的情况是民航业的

一项关键任务。长期的解决方案是考虑防御者和攻击者的看法，而不

是忽视或试图掩盖潜在的攻击面。

模糊的安全

由于可获取知识的模糊性，民航业的对手学习曲线相对陡峭。但

是，互操作性、企业 IT 实践、技术的进步以及网络的融合可能会迅

速消弱“模糊不清的安全性”。
（编者注：由于民航相对封闭，很多知

识不对外开发，因此相对安全，但是随着互联网技术的发展和新技术

在民航的应用，这种封闭性正在被打破，原来所维持“封闭安全”正

变得岌岌可危）

在密码学中，如果可以独立地检查和测试密码学方法的安全性，

45
则不仅可以确保其安全性，还可以证明其安全性。当前，评估飞机系

统的安全性是一个挑战。从采访中可以看出，飞机系统的连通性及其

安全性通常是受保护的信息。可以说，在安全系统设计过程中，某种

程度的模糊性可能会增加攻击者挑战的难度和延迟攻击时间，但是这

种“安全”只是一层薄纸，很容易被捅破。

此外，模糊性对保护系统的作用越大，当模糊性受到损害时，其

影响就越大。无论系统或网络设计是无意或者有意被破坏，一旦它的

模糊性受到破坏，基础架构就必须具有足够的弹性以持续保护相关系

统的安全。

安全方法的可见性越高，就越能在多个角度评估其安全性。这需

要有一个平衡，但民航业不能依赖用模糊的方法改善飞机系统的安全

性，因为这种方法可能会阻碍更广泛、更有价值的合作。

独立评估和脆弱性管理

航空工业很早就认识到独立评估和对安全关键系统保障的价值。

失去这种独立性或严谨性已经导致了一些重大的航空事故。独立认证

和网络安全评估的价值对联网的飞机同样重要。在其他行业，正在增

加渗透测试、白/灰/黑盒测试、红队测试的价值和深度。此类活动

不仅评估所涉及的人员、流程和技术，还测试风险所有者的假设。

一些制造商和供应商开始采用某种形式的独立漏洞评估程序，在

漏洞被大众都获知之前找到并修复它们。尽管这些项目有许多是“邀

请”的，但随着行业的发展，人们希望这些计划将在规模、范围和复

杂程度上有所增加，这样有助于安全评估工作在知识、能力和创造力

46
等方面更加丰富。迄今为止，独立的网络安全研究人员与民航业之间

的关系一直很差，与他们建立信任关系对于提高整个民航业的网络安

全来说这是一件好事，尽管这可能需要时间，但必须被优先考虑。

未来网络

考虑到 ACARS 和其他此类系统在航空方面的独特性后，民航业

发起了一个使其现代化的项目。目标是基于当前的网络技术（如

TCP\IP, IPv6）开发航空互联网协议套件（IP 套件）。通过提高

标准化程度，人们希望可以更多地使用现成的商用组件。

可以想象，将来自不同域的不同数据集分离出来，安全可靠的方

法就是为每个域配备单独的硬件和负载。这这种方法会造成硬件重复

建设，从而影响成本和负载。此外，选择的载体将根据飞行阶段、相

对成本和可用速度而变化。卫星通讯系统将是在海洋上空的唯一选择，

陆地上有空对地连接的选择，机场有无线网络的选择。在关键安全和

非关键安全服务之间共享连接可能是实用的解决方案，但要找到一种

确保网络安全的解决方案可能会更困难，因为一旦来自不同域的数据

利用同一承载进行传输，就很难证明所谓的绝对隔离。

可以确定的是，无论对飞机安全做出何种决定，攻击者都会像评

估民航业一样评估潜在的漏洞。

一种平衡的行为——威胁、设计、保证

如果现在人们接受了互联的飞机是网络攻击者的潜在目标这一

事实，那么从飞机设计的初期就要考虑威胁模型。随着威胁模型的发

展，很难将新的威胁纳入项目设计中。

47
 制造商必须按照认证和安全规范标准进行设计，但由于飞机设计、

生产和运营需要多年，确定合适的平衡长期风险的基准是一项挑战。

许多国家和组织都在关注这个问题。在美国，联邦航空局（FAA）于

2015 年成立了飞机系统信息安全/保护(ASISP)工作组，旨在为

“ASISP 制定相关规则、政策和指导，包括初始认证和持续适航”提

供建议。

ASISP 工作组认识到固定平台和旋转平台的技术以及所面临的

挑战都是相似的，因此工作范围不仅包括飞机，而且还包括旋翼飞机。

将“无人机系统”和商业客运业务纳入其范围将使工作组更加全面。

其他组织，如航空无线电技术委员会，协助制定飞机标准，并就航空

现代化问题达成共识。

这意味着航空系统安全的特别委员会将会成为美国和欧洲的

ASISP 法规合作和发展的前线。通过公布的会议记录来审视他们的

工作，可以看到他们在推进监管方面做出了相当大的努力和对话，但

这个问题仍然很复杂。

不管威胁模式或法律如何，供应链及其治理的复杂性带来了另一

个挑战:跟踪组件和软件。随着安全漏洞被发现，网络安全立法或威

胁模型发生变化，能够快速识别所有受影响的组件和软件，对于快速

理解和降低风险至关重要。风险责任如何承担将需要整个生态系统的

讨论和协商。

组件和软件日益复杂，这意味着诸如《 2017 年物联网（IoT）

安全改进法案》之类的立法今后将变得非常重要。通过强制执行安全

48
补丁程序、不使用硬编码密码且没有已知漏洞、责任自负，供应商有

责任更好地保护客户。有些人可能认为这样的立法很繁琐，但是当民

航安全中有如此多的安全处于组件级别，面对这种情况通过立法解决

可能是为数不多的方法之一，通过立法可以快速勒令供应商消除所有

级别的漏洞。

威胁、系统设计和法规之间的平衡是一项艰巨的任务，这不仅是

因为它们经常以不同的速度发展而难以捕获，还因为威胁经常超过系

统设计和法规制定的速度。在这种情况下，随着飞机系统的不断连接

和发展，渐进式的改进可能是不够的。有一个强有力的论点，即除了

发现和修补漏洞之外，还必须致力于消除所有类型的漏洞，实际上是

在寻求减少复杂性。

49
空中交通管理

章节要点

>ATM 投资已经在安全、环境、机场、航班运营和财务等方面获

得回报。

>许多下一代 ATM 系统的概念是基于技术能力和在没有考虑有

动机的攻击者的情况下发展起来的。

>使用先进技术，如 GPS 和自动相关监视广播（ADS-B）可以大

大提高准确性和可靠性，但它们仍然容易受到环境危害和攻击者的影

响。

>当下一代 ATM 系统出现故障或攻击者干扰时，使用传统的系统

作为备份将提高操作安全性，但要以容量为代价。

“对于 ATM，应该鼓励为网络恢复所需的组织和技术措施定义一

些指导原则。这些机构必须认识到，组织和系统将遭受网络攻击，并

且在将来有些攻击可能会成功。
”

2015 年欧洲 ATM 总体规划

在民航业早期，管理和隔离飞机并不是一个大问题，因为没有太

多的飞机需要监督。随着飞机数量的增加，利用流程进行反冲突最终

让位给了无线电和雷达，这种技术和流程多年来占据了主导地位。尽

管已经对处理能力进行了提升，但传统的 ATM 基础设施在全球空中

交通运输量不断增加的情况下正不堪重负。在任一时刻，天空中都可

能有一万五千架飞机。随着空中交通平均每 15 年翻一番来计算，这

50
种情况将变得更加难以管理。随着飞机航程的增加，航线现在已经延

伸到海洋上空，在这些地方雷达很难覆盖到。

当需求开始超过空域容量时，会导致不可预测性的延迟和拥塞。

恶劣的天气和其他干扰会加剧挑战。对于飞行间隔短、利润率小的航

空公司来说，意外事件可能会对整个运营过程产生影响，如迫使飞机

改道、需要数天时间才能恢复，这些对环境和利润都会造成影响。

现代化的 ATM 将大大减轻此类问题并提高容量和灵活性。以下

各节将探讨未来的 ATM，它所使用的一些系统以及可能面临的一些挑

战。

提高能力和效率

由于对飞机管理能力的日益关注，国际民航组织（ICAO）于 1983

，以展望未来 25 年 ATM
年成立了未来航空导航系统委员会（FANS）

的发展。委员会的报告通过和认可之后，FANS 概念演变为所谓的通

信、导航和监视（CNS）/ ATM 系统。在一些国家和地区倡议开发新

的 CNS/ATM 系统之后，国际民航组织“认识到，技术本身并不是目

的，需要在明确的运行要求的基础上，建立一个综合性的全球 ATM

系统概念。”这个概念成为今天许多项目开展的基础。这一概念及其

在通信、导航和监视方面的改进正在全球范围内推广。例如，在美国，

联邦航空局（FAA）将这一概念作为下一代航空运输系统（NextGen）

加以推广，欧洲将其称为单一欧洲空中 ATM 计划（SESAR）

。关于未

来 ATM 系统的想法可以横向应用，因为上述举措的目标和概念大致

相似。可以说，这是 ATM 历史上规模最大、最复杂的变革，将给民

51
航业带来更多的好处。

联邦航空局副局长迈克尔·韦尔塔（Michael Huerta）讨论了

转型的好处：

•通过自动化、数据融合和数据通信技术实现态势感知，可以提

高飞行员和空中交通管制员安全性。

•通过直接航路或通过连续下降剖面削减飞机在水平飞行中花费

的时间，节省时间、燃料和降低噪音。

•改善机场的态势感知和交通流量，以提供可预测和更有效的服

务。

•飞行操作方面：首先，在“效率和容量”方面，可减少飞机安全

间隔距离、将天气影响降至最低、扩大飞行计划和航线选择，并改进

态势感知性能。其次，在“进入”方面中，态势感知将使跑道运行和

机场进出港更加高效。

在美国，ATM 的改造已经产生了收益。随着原型系统上线，试点
52
项目越来越多，联邦航空局（FAA）估计，2002 年至 2017 年期间，

NextGen 已实现 27 亿美元的收益，到 2030 年，这一数字预计将增

至 1610 亿美元。

空中交通管理生态系统

为了实现这些好处，新一代 ATM 系统将越来越多地取代传统的

同类系统。例如，一些典型的关键系统如下：

•系统信息管理（SWIM）这将成为 ATM 数据全球移动的 IP 数字

骨干/架构。它将多个系统定制的、点对点的通信转化为在 ATM 全球

内部网上的通过一点就可以访问所有航空数据。

•数据通信系统是在地面和驾驶舱内部的航空电子设备之间创建

数字连接。它允许在 ATC 和飞机之间建立语音通信，改善航空公司

ATC 信息的运营状况。 数据通信可用于飞行消息安全、许可、指令、

请求和报告等。随着程序的成熟，增强的功能将允许根据飞行员的请

求将接收到的消息自动加载到飞机的 FMS 中。

在数据通信中，以下两个系统是关键关注点：

•自动相关监视——广播，这改变了空中交通管制人员管理飞机的

架构。以前，飞机定位是由流程或雷达推导出来的。使用 ADS-B，

飞机广播其 GPS 位置和其他数据。ADS-B 有两种不同的服务，

ADS-B“out”是指飞机广播 GPS 位置和其他信息但不接收数据。通

过 ADS-B“in”和广播，飞机从地面单位和其他 ADS-B 飞机接收

ADS-B 信息，有效地使具有 ADS-B“in”功能的飞机获取的信息与空

中交通管制的态势感知获取的信息相同。

53
 •管制员飞行员数据链路通信（CPDLC），ACARS 用于飞机和“公

司”之间的通信，CPDLC 主要用于空中交通管制员和飞行员之间的数

字信息（类似于发送文本）。CPDLC 将逐渐取代传统的语音通信。

挑战

甚至在开发 NextGen 和其他技术之前，

ATM 都经历过干扰活动，

例如 2015 年在墨尔本周围进行的无线电呼叫欺骗造成了许多问题，

并迫使至少一架飞机中止了着陆。尽管安全性并未受到损害，但有关

的警察和航空组织不得不花费大量时间使公众安心。无线电价格便宜、

难以追踪并且可能导致不成比例的后果，这说明该行业在向前发展中

所面临的挑战。

未来 ATM 的支持技术是在人们不认为甚至不可能认为有攻击者

干扰的时期构想的。在当今世界上，计算能力和软件无线电（SDR）

既便宜又强大，并且 GPS 干扰器可以轻松在线获得，这使攻击者的

干扰能力迅速发展。

该报告的许多组织、研究人员和撰稿人对未授权干扰未来 ATM

系统各个要素的可能性表示了担忧。在国家层面，美国政府问责局

（GAO）还发布了许多报告，重点介绍了他们对 ATM（NextGen），

GPS 和 ATC 系统的关注。以下各节重点介绍其中一些潜在的挑战和

关注点。尽管针对以下要素之一的攻击可能会引起关注，但随着针对

民航业的威胁和能力日趋成熟，更大的担忧是攻击者可能会通过协调

多个要素的活动而导致多种严重故障。

天基要素

54
 天基能力对于在全世界推广 ATM 更新至关重要。下一代 ATM 和

类似系统依赖于全球导航卫星系统（GNSS）进行定位导航和授时

（PNT）
。GNSS 广泛的可访问性和可靠性，使用户通常不担心失去它

或遭受降级的服务。但作为一种低功耗信号，它极易受到地面环境干

扰和欺骗干扰。此外，随着飞机对旅客和飞机自身服务的卫星通信量

的增加，产生了需要保护的额外数据链路。

传统的飞机外部导航设备主要分为助航器和助降器。导航信标是

一种地面发射器，它能给飞机提供已知点的距离和方位。导航信标提

供了非常精确的跑道入口的距离、方位角和仰角。随着全球定位系统

（GPS）的发展和取代传统地面发射器的运动，人们朝着全面使用全

球定位系统（GPS）制导的基于性能导航（PBN）的方向迈进了一大

步。联邦航空局（FAA）的长期目标是使 PBN 成为标准的导航方法，

并减少传统的导航基础设施。

如果 PBN 对 GPS 的日益依赖是无可争议的，那么 GPS 的潜在弱

点也同样是无可争议的。除了 GPS 欺骗的复杂性和前面讨论过的针

对无人机的潜在威胁外，还有更广多挑战值得探讨。2013 年，政府

问责办公室（GAO）发表了一篇关于“GPS 中断对关键基础设施的风

险和潜在影响”的论文。本文强调 GPS 可以通过自然（如空间天气）、

无意或有意的方式进行干扰。最近，由于一颗卫星停止服务而导致的

13 微秒计时误差对全球用户造成了大约 12 小时的影响，这表明了

人们对这种意外错误的担忧。

尽管 GPS 干扰设备的使用被视为非法，但其易于采购，对 GPS

55
信号的故意干扰成为民航业的一个主要问题。 2013 年 8 月，纽瓦

克自由国际机场的 PNT 系统受到低成本移动干扰器的干扰，这一点

尤为突出。

干扰 GPS 信号曾经是故意破坏 GPS 的主要方法，但令人担忧的

是，更大规模、更复杂的欺骗干扰正越来越频繁。在黑海事件中，超

过 20 艘船报告 GPS 定位错误。一艘船在几天内一直显示其内陆 25

英里，GPS 精度不到一百米。此外，船只上用来向其他船只传送位置

的自动识别系统上出现了一些“幽灵船”。广域增强系统和陆基增强

系统，可以传输天基或地基信号纠正 GPS 信号错误，可能会使欺骗

航空系统更加困难，但这尚待评估。

对于民航业以及弹性的 PNT，安全卫星通信至关重要。随着空基

通信能力在民航业的各个方面的广泛应用，链路、卫星和地面站的安

全已与民航网络安全密不可分。

空间资产的网络安全挑战不是假设。 Chatham House 的一份

报告强调指出，整个太空生态系统都存在这种风险，威胁来自国家、

犯罪分子或个人黑客。因此，在评估民航网络安全时，必须假设攻击

者正试图获取或破坏太空资产，因此必须像对待其它攻击面一样对天

基要素予以考虑。

自动相关监视-广播

在 NextGen 中已经提到了 ADS-B 的优势，但是对于 ADS-B 的

潜在安全问题也存在截然不同的观点。一份 ICAO 关于 ADS-B 实施

和运营指导文件指出，“对于 ADS-B 的安全性，已经有相当多的危言

56
耸听的宣传”，而且“这种宣传在很大程度上没有考虑到空中交通管

制的性质和复杂性”。它进一步扩展说，“仔细评估目前 ADS-B 和其

他技术使用的安全策略，提供了一个更客观的观点。”“民航组织仅

向会员国公布的 ADS-B 漏洞评估，这些漏洞分别来自机密性、完整

性和可用性方面的威胁。它的行动方针……”是为未来提出的。此外，

ACAS-X 系统还可以接收和使用包括 ADS-B 在内的多种数据源来生

成躲避警告和命令。任何飞机防撞系统和 ADS-B 的集成都必须认真

考虑。研究人员指出，攻击者试图促使 ACAS 对虚假 ADS-B 信号采

取回避行动，这对民航业来讲是一个潜在的威胁。

ADS-B 是一个正在开发的项目，关于如何将飞机驾驶舱安全地

连接到全球内部网(如 SWIM)，还有许多细节需要解决。

管制员-飞行员数据链路通信（CPDLC）

像 ADS-B 一样，CPDLC 是未经加密或未经身份验证的数据链路，

因此很容易受到消息操纵、消息注入以及对地面要素或飞机欺骗的攻

击。这可能会给运营商在试图检测破坏或维护态势感知时带来许多挑

战。如果成功进行了破坏，则可以允许攻击者向空中交通管制员或飞

机发出指令或要求。但是机组人员和管制员一旦察觉，可以通过恢复

语音通信的方式以减轻这种攻击。挑战在于，正如已探讨的那样，欺

骗语音 ATC 便宜且可访问，

而 CPDLC 本质上是语音传输的数字版本。

因此，两个系统都可能容易受到相同效果的影响。无法使用 CPDLC

将使管制员和机组人员重新回到已经被证明容易受到攻击且容量有

限的传统语音的时代。

57
 全系统信息管理（SWIM）空中交通管（ATC）制服务已经成为

网络攻击的目标。例如，2006 年，一种计算机病毒感染了空中交通

管制系统，迫使联邦航空局关闭其在阿拉斯加的一部分系统。监察长

办公室（OIG）随后的一份报告中指出，这是一个“何时”的问题，而

不是“是否”的问题，网络攻击会严重损害空中交通管制的运作。

2009 年监察长办公室（OIG）发布的警告与一些美国政府问责

办公室（GAO）的报告中提到的 ATC/ATM 网络安全有相似之处。美

国政府问责办公室（GAO） 2015 年的一份报告指出，联邦航空局需

要一个“更全面地解决网络安全问题。“在向 NextGen 过渡的过程中，

另一份报告特别强调了保护空中交通管制系统所面临的网络安全挑

“除非得到解决，否则将会带来风险。 “空中交通管制系统不间
战，

断运行会增加不必要的风险。
”

这些报告中反复出现的主题（如身份验证、加密、审核、监视等）

密切反映了任何其他大型复杂组织在试图保护其信息体系结构的所

面临的挑战。政府问责办公室（GAO）强调，通过 SWIM 向基于 IP

的服务过渡，由于新老技术的混合和网络中潜在的弱点，增加了遭受

损害的风险。

国际民航组织（ICAO）于 2005 年左右开始研究 SWIM，并将其

描述为一个“松散耦合的环境。服务由多个实体提供和使用。”这有

效地使 SWIM 成为一个民航业内部网，在同一地区的实体之间可以像

与世界各地的实体一样轻松地共享信息。从 2018 年开始，它在五年

内按照区块部署的方式发展，并为每个区块增加网络连接。

58
 正如国际民航组织（ICAO）所讨论的，“从第 2 块（2023 年）

开始，进入第 3 块，飞机应作为一个 SWIM 接入点完全连接到网络上，

从而能够充分参与协作 ATM 进程，并可以访问大量动态数据。”值得

注意的是，作为一个发展中的计划，仍有许多细节需要研究，如关于

飞机驾驶舱将如何安全地连接到 SWIM 之类的全球内部网。飞机和潜

在攻击者之间的安全层必须非常强大和高度弹性。开发这样一个系统

将是非常复杂的，需要多个利益相关者从多角度提供投入。民航组织

秘书处已宣布，SWIM 的首要网络安全要求来自：

•附件 17，民航组织航空安全手册（民航组织文件 8973）

•ATM 安全手册，A 部分：ATM 系统基础设施的保护（国际民航

组织文件 9985）

此外，网络（SWIM）和应用层面的网络安全措施“应该形成共同

基础，使每个国家都能实施其国家措施”，各国都建立“自己的国家

安全计划”。成熟的 SWIM 管理和关注网络安全的工作正在进行中，

可能需要一段时间，正如国际航空工业协会协调理事会所指出的，“目

前还没有一个全球公认的 SWIM 定义和一个明确的实施指南。”

在过去十年中，美国联邦航空局（FAA）在 SWIM 的推出和网络

安全方面一直在迅速发展。其中包括开发了四个安全网关，“在 FAA

运营网络和所有外部用户之间提供内部应用程序和外部用户的访问”。

此外，FAA 还与 SWIM 协作探讨了身份访问管理需求。

国际民航组织（ICAO）还于 2017 年 1 月 17 日成立了 INNOVA

工作组，通过探讨诸如建立标准以及 IP 寻址、IPv6 和公钥基础设

59
施实践等主题，更好地了解全球 SWIM 体系结构及其网络安全的治理

和网络安全问题。其他正在进行的研究还探讨了例如航空域名系统网

络用例的开发以及机载 IP 套件路由器的原型（硬件和软件），这是

由欧洲资助的“The Clean Sky 2”项目牵头的。

SWIM 将为全球 ATM 服务提供大量有用的功能，但有关复杂性、

治理和不同成熟度级别的问题似乎尚未解决，这将使保障 SWIM 的安

全成为一个相当大的挑战。一些撰稿者对 SWIM 作为一个具有全局访

问点的系统表示不安，这使人们对威胁传播（蠕虫类型的攻击）或在

系统之间跳转的攻击者产生了严重的担忧。随着在广阔地理区域内多

个系统（地面和空中）之间的 IP 连接不断增加，必须考虑并降低此

类攻击和出现故障的可能性。备用选项将有助于防止安全错误，但必

须记住，这是以容量为代价的。

容量——备份系统的挑战

前几节中提到一个系统部分损坏可能会造成服务出现问题和一

定程度的中断。由于系统演化的性质，许多用于 NextGen 和类似全

球系统的备份系统的容量都降低了。如果发生安全事件导致恢复到传

统系统，管制员将空域中的飞机必须恢复到传统的间隔距离，并且必

须降低机场的着陆和起飞率。

事件的影响或受影响系统的数量越大，空域中飞机的容量减少的

就越多。当在 NextGen 类型系统满负荷运行时，级联回退到备份系

统将带来许多挑战。因此，由于备份系统的可用性而消除对 NextGen

漏洞的关注，可能会忽略 ATM 是一个对容量和吞吐量的影响敏感的

60
复杂系统。

未来的 ATM 系统对民航业来说是开创性的，对民航业和民航服

务的旅客都有许多好处。一旦交付，它将带来全球性、可预测性和可

靠性。但必须认识到，最初概念设计时，没人想到远程攻击者会利用

不安全链接进行攻击。因此，它的大部分底层架构都是在不考虑攻击

者的情况下设计和开发的。因此，随着该行业的发展，它应进一步注

重降低安全风险和保护自身的安全。

61
机场

章节要点

>机场是多个不同组织的联合体，在治理、风险、合规和运营方

面可能存在不同的方法，但其中任何一个组织的网络安全都可能会影

响其他组织的网络安全。

>对机场的物理安全系统采取适当网络安全措施至关重要。

>对机场面向公众的信息系统的网络攻击可能不会带来安全风险，

但可能会对公众的信心和信任产生负面影响。

保障和保持空中飞行安全和高效是一项从地面就开始的任务。在

提供所有配套服务的同时，成功地使大量人员和货物进出机场绝非易

事。除了维持一年 365 天、每天 24 小时的平稳运行，安全和安保团

队还必须确保机场基础设施、旅客和飞机免受多种威胁。随着互联技

术的发展越来越多地改变着这些地面服务，了解未来的远景以及可能

带来的挑战是至关重要的。

现状

机场安全管理的目标是安全运送和接收飞机、旅客、行李和货物。

因此，机场是航空业务的主要焦点，也是防范敌人的前线——这样的

叙述在研究过程中反复出现。

因此，改善机场网络安全的重要性应该显而易见。然而，正如撰

稿人所评论的那样，机场是一种联合管理服务，代表着处于不同风险

的所有者和治理结构下的众多公司和组织，这些组织和个人都为安全

62
和服务的交付做出了贡献。因此，必须从确保多个提供商操作多个系

统的角度考虑网络安全，这些提供商可能有助于共享意识和建立弹性

安全，也可能是薄弱环节。

机场是一个相互关联的目标，恐怖分子企图通过网络安全破坏物

理安全，保障物理安全不可避免地成为一个高度优先的事项。随着机

场监控和服务越来越紧密地联系在一起，攻击者可能通过破坏网络系

统来进行物理攻击。到目前为止，针对机场的网络攻击已经对运营或

旅客的不安造成了破坏性影响。尽管他们通常很少受到公众的关注，

但对机场的网络攻击事件有：

•一少年关闭机场无线电和电话系统长达 6 小时；

•2013 年发现一个针对美国 75 个机场的 APT 攻击，并成功入

侵了其中两个机场

•波兰航空公司航班计划中断，导致 1400 名旅客停飞，随后发

现华沙肖邦机场的航空公司计算机系统遭到破坏；

•对越南最大的两个机场及其旗下航空公司进行网络攻击，并劫

持了机场的航显系统和广播系统。

上述攻击案例似可能是出于意识形态、财务或恶作剧的目的而发

动的。目前机场联网的物理安全设备是一个尚未被利用的攻击面。

研究界对机场安保基础设施越来越感兴趣。例如，2014 年，研

究人员对机场安全设备的网络安全状况进行了调查。研究人员称，他

们能够控制或掩盖操作员在被调查的行李扫描仪上看到的图像，并能

够修改毒品或爆炸物扫描仪的检测能力。尽管运输安全管理局(TSA)

63
否认了研究人员的说法，称他们的“软件不会被黑客攻击或愚弄”，

但将网络与关键安全设备相结合，总会引起人们对如何保护它的关注。

监察长办公室（OIG）就运输安全管理局（TSA）的安全技术综

合计划（STIP）中审计的挑战编制了一份修订报告。该报告强调，

通过 STIP 发现旅客和行李安检设备的远程网络化管理存在若干安

全控制缺陷，包括没有扫描 STIP 服务器的技术漏洞、允许非 DHS

员工进入 STIP 服务器机房、

不包括信息安全计划中的 STIP 服务器，

也不在 STIP 和非 DHS 行李处理系统之间建立互联安全协议。还发

现，许多此类安全设备未被指定为 IT 设备，因此就其安全性被忽视。

从监察长办公室（OIG）审核中可以得出的主要结论是，网络技

术和物联网作为维护安全的关键基础层得到部署，但必须同时努力保

障这些技术的安全。该观察结果同样适用于机场，因为他们试图将物

联网嵌入其整个产业中。识别并保护它将是至关重要的，因为不这样

做可能会带来的严重风险。
（译者注：我国民航正在大力推广四型机

场，物联网技术是“四型机场”的重要支撑技术，因此在机场建设过

程中也应加强网络安全的防护工作）

快速发展的机场面临的挑战与许多拥有物联网设备和安全关键

系统（如石油和天然气设施）的大型关键安全组织的挑战相似，只是

机场内多个部门合作的性质带来了额外的复杂性。一些机场已经意识

到网络威胁，正在投入人员、流程和技术以更好地保护自己。随着这

一点的成熟，拥有一个由高级管理层制定的机场网络安全战略将变得

越来越普遍。这种体系结构还必须与其他可能有类似体系结构的机场
64
利益相关者合作。机场网络安全的强弱不取决于其中一个组织的安全

质量，而是取决于整体之间的协作程度。

目前已经对机场互联网共享和分析中心（ISAC）展开讨论，该

中心可以帮助所有机场运营商形成统一战线，促进网络安全信息的协

作和共享。是否需要这样一个正式的互联网共享和分析中心（ISAC）

类型的组织还有待观察，但在整个机场生态系统中共享和协作将是必

不可少的。有多种方式可以利用这种协作。知识、脆弱性和威胁管理

都可以用于提高战略层面的准备。但是，共同准备或预防工作必须与

在发生攻击时协同工作相匹配。

物理领域的安全实践早已通过了机场安全措施的测试，从而为利

益相关者提供了如何改进的宝贵经验。同样，网络安全也必须经过智

能基础架构管理的测试，以创造机会利用传感器、物联网和智能控件

等新技术来优化基础架构资源。

民航业、旅客和货运服务从这些机场技术中受益匪浅，但必须以

全面的网络安全措施为基础。对于许多刚刚开始建立的项目，对于了

解并更好地管理网络风险，所采用技术似乎还很遥远，甚至毫不相关。

然而，必须记住网络安全计划不是由其技术或其所保护的技术的性质

所驱动的，而是由人员、流程、文化、创造力、领导力和团队精神所

驱动的。抛开技术不谈，推动制定网络安全计划是现在就可以开展的

工作，以便更好地为未来做准备，这些工作将提升机场的网络安全能

力。

65
两个部门的故事：民航和网络安全

章节要点

>民航和网络安全各自了解各自的领域。随着这些领域越来越多

相互协作，共同的安全、恢复力和信任目标可以通过共同努力更快地

实现。

>保持民航业的优势有赖于对治理和问责的明确定义，并认识到

供应链和运营环境的共同责任。

>虽然网络安全和民航安全的目标非常相似，采用的 SMS 方法在

逆境中学习方面似乎优于当前的网络安全方法。

>如何将网络安全因素纳入民航事故或事故征候调查尚待标准化

和成熟。

保护相互关联的民航业所面临的挑战不仅仅是变得更加安全。随

着航空业和网络安全行业的关系越来越紧密，了解各自的优势和劣势

是很重要的。这两个行业需要加强对彼此的文化理解，以共同学习、

支持和加强两者之间的联系。

随着网络安全行业越来越多地参与到民航业，它必须记住，对于

一个在维护关键安全服务方面已经成熟的行业来说，网络安全行业扮

演着一个辅助角色。民航和网络安全行业都面临着困难的挑战，尤其

是如何理解安全和安保之间的关系。在建立一个技术先进、互联互通

的民航业时，充分发挥这两个行业的优势是很重要的。本节探讨行业

之间的一些细微差别，并强调潜在优势、合作领域和挑战。

66
 风险管理，治理和问责制

民航业在具有挑战性的环境中管理复杂风险方面具有丰富的经

验。它具有非常清晰的治理和问责制框架以及内在的安全文化，可确

保所有人员都承担管理风险和维护安全运营的责任。当涉及到网络安

全风险时，这种文化显然不够清晰，也有很多关与责任和问责的讨论。

政府问责办公室（GAO）对联邦航空局（FAA）信息安全的审查

指出，“ ATO（空中交通组织）内的多个实体共同负责空中交通管制

系统与信息安全相关的活动。”通过分担责任来管理网络安全，可能

会产生风险转移效应，以及真正理解风险和全面问责制的挑战。要让

一个多样化的工作组或委员会承担责任也很困难。民航业并不是唯一

面临这种挑战的行业。国会议员，英国财政委员会主席安德鲁·泰里

议员阁下指出，在整个英国金融业中，“减少网络威胁的责任基线和

问责制仍然不透明”，“金融服务业网络风险的单一责任点直接对应

一个官员负责。
。。。现在是必需的。”

飞机和整个行业中的多个供应商和服务商复杂的关系使我们很

难知道谁在哪里负责。例如，了解 OEM、航空公司、卫星通信提供商

或 GSM 提供商的职责所在将是至关重要的。随着越来越多的供应商

将更多的服务、复杂的关系和通信带到飞机、机场或关键服务，必须

确保安全和安保方面的明确责任。一个不透明的多方利益相关者委员

会是不够的。

从根本上说，由于民航业是一个相互联系、技术先进的行业，SMS

仍然是管理安全的主要方法。无论网络安全如何治理，但如果它与安

67
全关键系统相结合，它都是 SMS 的一部分。安全团队专注于预防事

故，网络安全团队专注于防止恶意攻击；两个团队在实现目标方面存

在差异和细微差别，但必须朝着同一个目标努力。随着关键安全航空

服务和平台对连接技术的安全需求的交织，安全与安保之间的关系将

比以往任何时候都更加密切和明确。

时任 SESAR 联合企业执行董事的弗洛里安•吉耶梅特问道:“安

保与安全真的有那么大的区别吗?我们能建立安全和安保管理体系

吗?”有证据表明，这一目标可能是确保民航业安全的关键，但实现

这一目标需要所有利益相关方的密切合作。

作为一个高度管制、注重安全的行业，民航业专注于预测、缓解、

处理和从故障中恢复。这包括人员、流程和技术的所有方面。如果事

故被阻止，应鼓励人员对相关情况保持开放和诚实、研究成果会分发

给其他人，以便他们可以从同伴那里学习。这种积极的飞行安全文化

成功地将民航业人员作为人工传感器，不断地发现安全问题、报告问

题、解决问题，并向他人学习。民航业在分享事故、事故症候，或接

近事故的详细数据方面高度合作，全行业的目标是不让同样的事故发

生两次。

可以肯定地说，网络安全行业正在努力实现相同水平的共享和学

习。随着民航业的发展，它必须与已经存在的共享文化合作。尽管有

人呼吁共享网络安全数据，但两个行业都需要证明共享的价值，以改

进实践。该价值在民航业中非常明显，因为人们有共同承担责任以降

低风险。在人为错误或失误的情况下重视和保护诚实和开放性的公享

68
文化，可快速、广泛地学习以确保飞行安全。同样的原则也必适用于

网络安全和安保方面。

在交付安全和可靠的系统时，交付组织必须对其产品或服务的安

全性或可靠性进行一系列评估。总的来说，民航业公认的独立审计和

对这些假设进行评估的总体上是非常有效，但是在没有进行审计或损

害其独立性的情况下，曾发生过几次事故。当民航生态系统正在寻求

标准化的方式以确保网络安全时，民航业已经认识到独立审计的价值，

这可能是一个很好的起点。一旦一架飞机被认证，其弱点和局限性就

会被知道。然而，对于互联技术来说，这些弱点会随着时间的推移而

演变。因此，可能需要进行定期的独立安全审计。在网络安全行业，

通过漏洞奖励计划、渗透测试、红队等项目，独立评估的价值越来越

受到重视。一些航空公司已经在推广这类计划，这些努力应该得到赞

扬和支持。不过，航空网络安全不仅仅是一项技术活动。技术审计必

须通过结合整个组织层面的实践来增强。这将帮助高级管理层核实他

们提出的问题，更好地定义安全和安保之间的界限。

处理失败

尽管努力保障民航业安全，但是事故仍时有发生。尽管努力保障

互联网行业的安全，但是网络攻击事件仍时有发生。我们有理由认为，

随着民航业和技术的进步，尽管我们努力保障这些系统的安全，但是

在某个阶段仍有网络安全事件影响到关键的民航服务。民航业必须做

好开展民航事故或事故征候中所涉及到的网络安全问题的调查工作。

（编者注：我国民航目前已经开始开展民航业运营过程中相关网络安

69
全事件的调查工作，但是目前关于网络安全的调查工作还没有形成完

成的体系）事后再考虑调查方法，将为时过晚。因为对于学习、适应

和保障整个民航产业的安全来说，时间是至关重要的。

在民航方面，美国国家运输安全委员会(NTSB)、英国航空事故

调查公司（AAIB）以及全球其他类似组织，对民航事故或事故征候

开展独立调查工作。尽管在网络安全行业已经有过类似的讨论和呼吁，

但到目前为止还没有出现。随着飞机、ATM 和机场之间的联系日益紧

密，从网络安全角度对事故或事故征候进行调查将成为调查工作的一

个重要内容。

在发生事故时，由对事故发生地区具有管辖权的国家或组织开展

事故调查工作。这可能意味着，为了调查事故，一个国家可能要求提

供软件、数据、网络日志和任何其它被认为与调查相关的信息。由第

三方(可能是国际组织)调查的网络安全事件非常罕见。这是因为不

仅在事故调查的安全和安保(单独的调查可能造成分歧)之间存在分

歧，而且在国际上也存在很大的分歧，因为目前政策尚未商定或者没

有先例可循。

由于这是一个全新的挑战，目前尚不清楚美国国家运输安全委员

会(NTSB)、英国航空事故调查公司（AAIB）或类似调查小组拥有什

么样的网络调查能力。如果网络方面的调查被拖延、混淆或受阻，只

会降低广大的利益相关者对民航业和调查结果的信任。要保持对调查

工作的信任，就需要在网络安全方面的调查速度、广度和深度上保持

一致。

70
政策和法规

章节要点

›尽管各国和国际上就安全和物理安保方面的政策和法规达成一

致，但民航网络安全如何才能达到同样的成熟和清晰尚不清楚。

›ICAO 在汇集全球众多民航网络安全倡议，它在保持一致性、

领导力、制定标准方面处于有利地位。

引领行业前进需要领导力和框架化的愿景。民航业在实现安全方

面已经取得了明显的成功，但人们仍在研究网络安全如何支撑这种安

全。对于业界或国际和国家领导人来说，应对网络安全挑战并不容易，

但合作应对这一挑战，对于领先于攻击者、降低风险至关重要。

民航业已经制定了一套自上而下的全球安全运营标准和公约，不

同的运营商和国家可以遵照这些标准和公约一起合作;这意味着全球

各个国家对要求充分理解，相关监管工作清晰明了。尽管许多民航网

络安全的国际标准和公约还没有到位。这可能会推迟制定和调整国家

战略的努力，例如，英国民航局的民航网络监管战略将其界定为“在

现有欧盟/英国/国际法规下的网络安全责任”。在欧洲，即将出台的

NIS 网络和信息系统安全指令可能会帮助民航组织了解对它们的要

求，但仍需要一段时间才能完善。在 NIS 指令中，民航运输对民航

承运人、机场管理机构和民航交通管理控制运营商的要求相当全面。

哪些运营商属于 NIS 指令的“范围”，例如一些年客流量不足 1000

万的机场可能不需要遵守规定，因此需要慎重考虑。但这可能会导致

71
部分运营商和供应商由于规模较小的原因被排除在外。

此外，2017 年 11 月 16 日，欧洲航空安全局发表了《民航网络

安全高层合作布加勒斯特宣言》
。宣言以"保护欧洲航空系统免受网络

威胁"为重点，提出了几个目标，如欧洲层面的协调、国际协作、信

息共享、风险评估、提高认识和研究。人们还希望法规在国际上得到

统一，并强调，尽管是一个超国家机构，但应对挑战仍需要采取更广

泛、全面的方法。

美国在促进民航网络安全方面所做的努力包括之前讨论过的《网

络航空法》
，以及国土安全部为确保关键交通基础设施安全所制定的

更明确的指导方针，显示出了极大的主动性和行动力。这些进步可能

是人们基于检索一些 GAO 报告后对网络安全挑战认识的基础上实现

的，更重要的是，寻找解决方案的愿望正日益成为高层思考的重中之

重。

国家和地区为改善民航网络安全所做的努力将促进对话的多样

性。但是，随着各国和各地区努力了解这一挑战并制定前进的路线，

保持民航业成功的国际合作至关重要。

国际民航组织（ICAO）的目标是“制定国际航空航行的原则和技

术，促进国际航空运输的规划和发展”，以“确保全球国际民用航空

的安全、有序发展”。“114 有了这些目标，民航组织在制定航空网

络安全全球标准方面的作用不容置疑;然而，如何推动它向前发展则

稍微复杂一些。要做到这一点，民航组织必须找到一个应对挑战的政

策工具。前面提到的由民航合作伙伴国家制定的民航网络安全框架将

72
大大有助于促进标准的制定，但全球制定标准可能还有其他手段。

《芝加哥公约》于 1947 年签署，"目的是使国际民用航空能够

安全有序地发展。"“为了反映产业和技术的发展(例如，第 8 条强调

了对无人驾驶飞机的特别授权)，公约的重点是如何保持全球工业的

秩序和统一，以促进合作和发展。这一点在第 37 条中得到了强调，

其中各国承诺“合作确保在规章、标准、流程和组织方面达到切实可

行的统一。如果《芝加哥公约》是为民航安全制定的全球安全标准文

件，则附件 17 对网络安全最为重要。

《公约》附件 17 着重于通过防止对飞机的“非法干扰”来保障和

维护飞行安全。附件目前关注的是物理干扰，但正如本报告所探讨的，

通过网络手段非法干扰现已成为现实。应当将与当前物理焦点有许多

相似之处的网络安全内容纳入附件 17，尤其强调利用网络手段进行

非法干扰与物理非法干扰具有同等性。

因此，如果需要一份文件推动和制定民航网络安全的全球标准的

话，它可能就是芝加哥公约的附件 17。经修订后以反映民航业相互

关联的现实，它不仅将促进各国在制定全球民航网络安全标准方面达

成一致，还将促进不同利益相关者群体之间的对话与合作，这是未来

成功的关键。

73
航空网络安全基础

“如果你认为技术可以解决你的安全问题，那么你就不了解问题，

也不了解技术。”

布鲁斯·施奈尔

前几节从飞机、ATM 和机场的角度探讨了民航网络安全，比较了

网络安全和安保的潜在优势和挑战。本节将把前面的章节浓缩为民航

网络安全的关键基础支柱。如前所述，民航网络安全是一项复杂的、

多方利益相关者参与的活动，在面对有动机的攻击者时，其隐含的要

求是保障民航运营的安全。

随着航空工业的进一步互联，拥有多个视角的利益相关者具有一

致性和清晰的愿景将是至关重要的。本报告提出以下设想:

“一个安全、繁荣的航空业，以及牢固的信任和系统。”

为了实现这一愿景，报告中反复出现了一些主题，这些主题被视

为解决民航网络安全挑战的基础。这些主题已发展成为可被视为愿景

的基本要素，并在下文加以强调。

连贯的系统思维、管理和问责使民航业成为一个复杂的国际芭蕾

舞团，由成千上万的人使用各种不同成熟度的不同系统运行。这种系

统的设计没有考虑到潜在的攻击者，而是基于对安全、效率、利润和

管理不同系统的关注而有机地发展起来的。前面讨论的 IT 干扰事件

表明，这个系统对干扰很敏感。

正如该报告已经探讨的，飞机、ATM 和机场在组织、国家和全球

74
层面上的复杂性和相互依赖性是相当大的。不难看出，这个链条中存

在许多薄弱环节。

在一个由相互依赖的系统组成的相互关联的系统中，薄弱环节可

能被忽视，并承担不成比例风险的影响。从网络安全中学到的一切都

表明，攻击者会以薄弱环节为攻击对象来实现他们的目标。例如，通

过网络攻击可能破坏大容量空调系统，或危及赌场的鱼缸，这些都表

明一个系统的强度只能取决于其最薄弱环节。在提高民航网络安全的

工作中，无论是在运营过程中还是在供应链深处，发现和保护系统中

的薄弱环节，不仅是一项基本要求，也是对治理和问责制的重要考验。

无论薄弱环节在哪里，都需要自上而下的领导才能改善全球民航

生态系统的治理和问责制。这进一步强调了国际民航组织（ICAO）

在与各国监管机构合作的工作，即决定民航业应如何应对网络风险，

然后将最佳做法和流程传达给所有利益相关者。这项活动不仅将改善

对网络安全风险的管理，还可能大大澄清和简化民航业利益相关者的

立法负担。

弹性系统

飞机系统被设计成在发生故障时安全降级。对付有能力的攻击者

“即使正确实施了所有必要的安全措施，并持续监控以确保修补程序

并关闭了漏洞，高明的攻击者仍然会破坏信息技术基础设施。”这种

对未来的破坏和潜在失败的假设，导致人们更加关注持续提供安全的

操作和业务流程，而不管对手试图实现什么或他们已经破坏了什么。

应急响应小组(Community Emergency Response Team,

75
CERT)风险管理模型将业务弹性定义为“可以在运营压力和破坏不超

过其运营极限的情况下继续执行其使命的应急资产。”从这一定义中，

我们可以区分网络安全、试图阻止网络破坏与网络弹性之间的细微差

别。两者都是同样重要，而且是互补的。努力使系统工程实践具有弹

性，并使员工具有弹性文化。

向民航组织第 39 届大会提交的一份工作文件中强调了网络抗灾

能力在民航领域的重要性。在承认今后发生网络事件的可能性有所增

加之后，国际民航组织呼吁“为民航系统制定全球一致的网络抗灾方

法”。这种全球的方法将在很大程度上平衡安全要求和抗灾需求的现

实。

弹性信任

利益相关者信任的重要性是民航网络安全挑战的重中之重。商用

航空的诞生并非易事，直到民航被广泛地接受为一种旅行方式，民航

才步入正轨。 Western Air Express 可能是第一家成功的航空

公司，前副总裁 James G. Woolley 谈到了飞机运输如何从“疯狂

的投机、极其不信任，冒险发展到成为公认的成熟行业，该行业赢得

了人们的信任和尊重。” 民航业从“极其不被信任”发展到建立全球

信任的基础。但是信任很难得到，但很容易失去。到目前为止，尽管

“永远在线”社会的头条新闻使坏消息迅速传播，信任迅速消失，但

对安全的绝对关注已经成功地建立并维护了对行业的信任。

民航生态系统必须考虑与网络安全一道建立应对信任的挑战。如

果对民航系统或飞机提出索赔，向所有利益相关者证明其可信性可能

76
会很困难。可以说，如果像克里斯•罗伯茨（Chris Roberts）一

案那样需要数周时间和数百万美元来证明或重新获得信任，那么这个

行业还有很长的路要走。能够快速调查潜在问题，更重要的是，证明

潜在影响和缓解措施将是未来民航业的一项基本技能。这需要将安全

的隐蔽性转移到一个能够成功地展示的行业，并且利益相关者和旅客

能够信任他们的地方。

不管安全关键软件的安全性有多好，如果攻击者可以破坏信任，

那么他们就有能力控制旅客的体验、观点和信心。如果旅客或监管机

构有足够的理由质疑某架飞机、系统或机场，运营商就必须应对这些

质疑，重建信任。时间越长，运营商在利益相关者眼中的可信度就越

低。

人工操作员作出的安全决策是安全链上的最后一环，他们制定和

及时执行，知情和安全决策的能力是航空的基石。保护这种能力免受

数据完整性攻击和对手攻击的风险是至关重要的。

在整个民航业，帮助人类在正确的时间做出安全决策的技术已经

到位。只要它们得到正确、及时的信息，人们就会遵循他们的培训并

采取相应的行动。然而，如果信息不正确，或者来得太快或太迟，决

策就会变得困难，更有可能会出错。如果所提供的信息对机组人员、

空中交通管制人员等来说变得混乱或难以应付，就会降低态势感知

（SA）并危及其执行主要任务的能力。对于那些处于辅助角色的人，

比如工程师和计划人员，保持注意力和准确性的挑战同样重要;性能

的降低、工作负载的增加和额外的干扰都可能导致严重的错误。

77
 人为失误或技术故障是不可避免的，但所有航空系统的设计都是

为了帮助操作员在事故或事件影响安全之前识别和处理事故或事故

征候。因此，在保护技术时，还必须关注如何保护运营商提供的数据

的完整性，以便他们能够做出安全的决策。

既然运营商必须在潜在的对手干扰或攻击中做出决策，那么民航

业也必须考虑运营商(如机组人员或空中交通管制员)在多大程度上

参与自己的网络安全，或者继续专注于自己的首要角色。在良好的系

统设计和依赖终端用户之间找到正确的网络弹性平衡是一个重要的

议题。尽管如此，民航运营商在处理故障方面还是很有经验的，无论

是机械故障还是其他故障。学习如何应对从拒绝到颠覆的网络攻击将

是一个不同的挑战，需要相应的训练。国际航空公司飞行员协会联合

会 (International Federation of Air Line

Pilots’Associations)已经提出了这一倡议的重要性，他们呼吁

进行培训，帮助飞行员识别网络攻击。

共同的观点和文化

合作的重要性不可低估。除了分享知识和观点，民航与网络安全

行业之间的文化交流还有很大的潜力。民航业作为一个系统体系对网

络安全进行了探索，漏洞可能会在多个地区、国家或服务提供商中得

到反映。全面、及时的信息共享可以最大程度地降低系统风险，因为

一旦发现网络漏洞，无论将其部署在何处，都会积极地对其进行修补。

共享有关漏洞和威胁的敏感信息并非易事。在美国和欧洲，与民航业

相关的 ISAC 都在增长。它们使参与的组织能够接收有关漏洞知识和

78
威胁情报，以更好地方式管理网络安全风险。

对于此类组织，获取和开发有价值的见解并将其分发给受信任的

团队是关键驱动力，但是由于信任程度各异，因此必须接受一定程度

的分层威胁和漏洞共享。关于如何促进建立信任的研究正在进行中，

但是从根本上说，这需要在时间、精力并且需要在合作方面加强投入。

例如，民航信息共享和分析中心（A-ISAC）正在寻求美国国家

航空航天局和俄罗斯之间的合作，以此作为国家如何在具有严格安全

要求的复杂技术项目上共同合作的一个例子。

A-ISAC 已经参与了一些事件，其快速共享知识的能力已成功减

轻了多个国际利益相关者的风险。 此类协作工作的价值将过去有关

漏洞或威胁的知识扩展到了相关人员。 A-ISAC 还是最佳实践的重

点，也是网络安全力量的倍增器。 新成立的欧洲航空网络安全中心

的目标与 A-ISAC 相似，并与欧盟 CERT 建立联系。这些组织的目标

是将合作提升到一个有价值的水平，在多个利益相关者之间进行有价

值的分享和学习，而不管他们的文化观点如何。

民航业在其所有活动中都有着浓厚的安全文化。当它与 IT 行业

交织在一起时，一个关键的要求就是理解和克服团队之间的文化差异。

一位撰稿人说，这是一个巨大的挑战，需要全球改革。建立一种共享

的文化，使双方协同合作，共同看待挑战和潜在的解决方案，这需要

跨学科的学习和共享文化的方法。这种共同的观点和愿景的好处是可

以提高风险意识和强大的抗风险能力。

79
下一步建议

提高民航网络安全是一个没有终点的旅程；因此早期的步骤非常

重要，特别是在解决具有相当规模和复杂性的挑战时。本节为所有利

益相关者列出了下一步行动的建议。

所有利益相关者的下一步行动是将加强领导力和标准化（全球、

国家、地区等）
。

挑战——攻击者能力发展的速度超过了民航业内互联技术迅速融

合和发展的速度，这导致个人、组织和国家在面对挑战时要更加努力

开展治理和问责工作。

行动——作为应对民航网络安全挑战的最高级航空机构，国际民

航组织（ICAO）应提供应对挑战的建议，并对全球民航领域网络安

全和网络风险的治理和问责提出明确要求。这些考虑应与国际民航组

织（ICAO）防止非法干扰的其他条例（如《芝加哥公约》附件 17）

一起规范化。

定义对民航网络安全和安全挑战的共同理解——维护安全系统的

治理和问责被视为主要的安全角色。如何在整个民航业复杂的安全关

键系统(有多个供应商)中转化风险的所有权和责任是一个挑战。安

全和安保之间的责任混淆可能会混淆对真正安全风险的认识。

行动——民航业必须确保对网络安全和网络安全的治理和问责有

充分的理解、定义和加强，并完全融入到 SMS 中。要做到这一点，

就必须加强，而不是削弱整个民航业已经确立的、有效的 SMS 服务。

80
这种方法在全球标准化的程度越高，对整个民航的真实风险理解就越

深入。

重新评估、开发和使用可靠的威胁模型

挑战——民航业面临着硬件寿命长、软件补丁周期长和威胁演变

速度快等艰巨的安全挑战。在利用风险评估模型对威胁进行评估时，

困难在于识别攻击者的能力和动机有多大。

行动——民航网络威胁模型必须在产品或系统的整个生命周期更

好地包含和预测攻击者的能力、动机和发展的情况。这项活动需要多

个利益相关者的合作，包括政府、民航业或独立研究人员。

对利益相关者来讲建立和传递一致的网络安全风险的是一个挑

战，民航业对其所面临的网络安全风险没有一致的立场。一些利益相

关者仍然宣称系统不会受到攻击。在成功的攻击事件中，可能很难使

利益相关者转变看法和恢复信任。

行动——民航业必须就网络安全风险及缓解措施保持清晰、实际

和一致的信息。这需要把利益相关者聚集在一起，共同承担解决问题

的责任，而不是试图推卸责任。

找到与非技术受众建立信任的方法

挑战——多年的安全改进意味着，利益相关者目前在很大程度上

信任民航业。围绕网络弹性建立信任的挑战在于很多受众不是技术性

的。物理安全和安保措施通常是可见和有形的，使利益相关者更容易

理解和建立对它们的信任。网络安全的技术复杂性意味着建立、沟通

和保护信任将更加困难。

81
 行动——航空业必须找到方法，在大部分非技术的旅客和利益相

关者之间建立网络安全方面的信任。这种信任必须建立在网络韧性的

现实基础上，并辅以可证明的措施。这种信任能被传达和展示得越多，

网络事件或索赔可能产生的影响就越小。

在民航安全关键系统中安装硬件和软件安全更新是一个漫长的

过程。随着民航业的连通性不断增强，我们有理由假设将发现的漏洞

试图进行掩盖的做法不是有效的策略。其他采用互联技术的行业已经

发现，一旦漏洞被发现，快速有效地安装补丁程序以降低风险，这对

服务和安全影响至关重要。

行动-建立和实施航空业的最佳实践方法，以提高硬件和软件安

全更新的灵活性。这应该包括加速补丁周期(包括安全发布)和开发

适当的缓解措施以弥补漏洞的方法。另外还应该考虑如何修改认证政

策和系统设计来帮助这个过程。

设计系统和流程来获取与网络安全相关的数据的挑战——目前许

多互联民航系统的可见性、度量或日志记录都非常少，这使得观察和

评估危害指标(IoC)成为一个挑战，更不用说补救或保护了。正如许

多相关行业所发现的那样，预防是最理想的，但监测是必须的。关键

数据的可见度低，或者在研究成果上缺乏合作，这将使人们很难理解

民航业面临的网络安全挑战的规模。

行动——无论系统有多复杂，民航业都需要开发数据捕获能力，

以检测硬件和系统中攻击者的活动(IoC)，无论是操作上的还是供应

链上的。还必须考虑事故后调查的独立性和严密性，允许对任何事故

82
或事故征候的潜在网络安全问题进行调查。

多学科的安全培训

挑战——精通并受过安全操作培训的民航人员可能不得不在网络

攻击者进行攻击的情况下进行操作。他们目前没有接受过识别、评估

或对这种情况作出适当反应的培训，这大大增加了任何攻击行动的潜

在影响。同样，网络安全人员也可能没有经过民航安全的培训，无法

理解与航空业务的细微差别。

行动-民航业必须建立适当的方法和跨学科的培训，以使所有人

员具备识别攻击者活动和维持安全操作的技能。与此同时，网络安全

处置人员必须接受培训，了解如何在出现紧急情况时最好地支持安全

航空行动。如果这些经验教训能够迅速反馈到整个民航生态系统中，

这种培训可能特别有价值。

将网络视角纳入事故和事故征候调查的挑战——民航事故和事故

征候通常由国家机构进行彻底和客观的调查。这些调查的重点是复原

事件，找出根本原因，以便行业的其他部门能够避免同样的事件发生。

如何将网络安全因素纳入此类调查，或者是否有必要的数据，目前尚

不得而知。

行动-就民航事故及意外的网络安全事件进行调查及提出建议。

这不仅关注组织结构、权力和技术，而且还应关注航空系统设计，以

便进行及时和合理的取证调查。

83
结论

各国政府、国际机构和投资者都知道，具有全球抗风险能力和繁

荣的民航业为国家经济增长、旅游业和制造业提供了支撑。从历史上

看，较低的事故率增强了信任和盈利能力，但这并不等于这种安全是

牢固的。在民航行业，一次事故或攻击可以迅速消弱信任，即使对非

关键系统的攻击也会降低利益相关者的信任和看法。

在对潜在攻击者的意图、能力以及民航工业所面临的后续风险的

认识上，也可能存在差距;一些利益相关者认为风险很小，而另一些

人则认为风险相当大。理解并将这些利益相关者聚集在一起，是将抵

御风险整体向前推进的一个重要工作。这需要与利益相关者进行明确

的对话和非党派的合作努力，因为这一挑战既复杂又有深度;没有一

个组织拥有所有的答案。现在是合作和行动的时候了，而不是无休止

的讨论。

使民航系统能够抵御网络攻击的能力，需要从概念到设计、保障、

供应、建造、交付和运营各个环节的努力。随着威胁格局的变化和演

变，其增长速度与潜在的攻击面一样快，管理风险和展望未来是一项

复杂的、关系到多方利益相关者的挑战。在本报告所探讨的关键领域，

技术创新不断显现，但风险感知方面的创新却难以找到。

无论是客机、无人机还是直升机，现在都必须被视为网络上的多

个节点，无论它们是否在空中。对机会和脆弱性的多重诉求，必须予

以应对，而不是不予理睬。。如果任何此类索赔随后以任何形式实现，

84
任何反驳都将导致潜在的信誉和信任损失。它将考虑并整合多个利益

相关者的看法，以减少攻击者看到行业没有看到的风险。在一个复杂、

相互依存的系统中，盲点是存在的。必须给予那些想给他们带来光明

的人信任和支持。

在一个互联的世界里管理空域，有很多技术可以提供。在降低利

润的同时提高效率和交通密度将使民航业能够满足未来的需求。该行

业的技术基础是构思、设计和达成一致，但在一段时间内，没有能力

预测诸如 SDR 和 GPS 干扰机之类的攻击。系统的机密性、完整性和

可用性要求在开发时没有考虑，而只是在事实发生之后才考虑。即使

有可用的备份系统，它们也会降低容量和能力。繁忙时期有针对性的

破坏将产生重大影响。

机场是多个行业利益相关者和攻击者关注的焦点。维护安全和安

保仍然至关重要。为了增加更多的旅客，使用技术来筛选和确认旅客

和行李，只是风险和机遇的一个例子。多个利益相关者正在创新并将

服务连接到一个具有多种风险视角的联合结构中。让他们在技术先进

的未来进行合作并形成对风险的共同认识，将是一项挑战，因为这是

至关重要的。

网络安全行业可以从民航业学到很多东西。多年来，在复杂的风

险面前管理安全在文化上已深深扎根于民航业。实现这一目标需要严

格的客观性，需要个人和共同的责任和问责制。当组织寻求利用民航

业互联互通的机会时，他们必须保持客观地了解收益和风险的能力。

创新的互联技术，如果能以同情和安全的方式集成，可以帮助提高效

85
率和安全性，但这决不能以未知的成本或不可接受的风险为代价。

尽管民航网络安全的挑战牢牢扎根于互联技术，但解决这一挑战

的办法可能在别处。技术解决方案的防御策略可能只有有限的期限。

在一个快速发展的环境中，这样的策略将类似于边跑边看。要真正的

走在问题的前面，这个行业必须大胆，放眼世界。

人们常说这是为了飞行安全和网络安全；人生的价值在于过程，

而不是过程本身。但布朗运动不是进步，活动也不是进步。需要领导

和团队合作，以明确的目标把利益相关者团结起来真正展望未来。

随着致力于了解和改善民航网络安全状况的研究团体的加入，由

充满激情的领导人实施的民航网络安全倡议数量也在不断增加。在强

有力的国际领导下，为保障未来几年民航业的安全和繁荣，找到结盟、

方向和进步的条件已经成熟。

86
关于作者

皮特·库珀(理学硕士，CISSP)，英国伦敦独立网络安全顾问，

大 西 洋 理 事 会 (Atlantic Council) 网 络 治 理 倡 议 (cyber

Statecraft Initiative)非常驻高级研究员。

皮特·库珀在英国皇家空军(RAF)的 24 年职业生涯的第一部分

是作为一名高速喷气式飞机飞行员和台风 GR4 的教官。随后，他成

为英国国防部(MoD)联合网络部队的早期成员，开发并整合英国和国

防部的网络行动流程。他最后的职位是国防部联合部队网络小组战略

网络行动顾问，在制定国家和国际政策、概念和理论方面发挥着关键

作用。

皮特·库珀拥有克兰菲尔德大学网络空间运营硕士学位。他发表

在《法律与网络战争杂志》上的论文《为主动网络防御增加认知维度》
，

探讨了如何更好地理解攻击者的心理，以增强合法的“主动网络防御”

方法。

自 2016 年离开皇家空军以来，皮特·库珀一直就网络安全挑战

和机遇向国内外提供咨询，支持各种组织制定战略。他还是“赛博

9/12”政策与战略竞赛(Cyber 9/12 policy and strategy

competition)的热情支持者，他曾在美国和欧洲的比赛中担任主

持人和裁判。作为赛博 9/12 英国公司(Cyber 9/12 UK)的总监，

他了在英国的首次推出该竞赛。

87
译者致谢

首先感谢皮特·库珀，当我看到这份报告时感觉就是这是第一个

系统介绍民航网络安全方面的报告，报告从飞机、空管和机场以及其

他相关利益者的角度谈到了民航网络安全的现状，并给出了具体的工

作建议，从中我也受益非浅。

同时也要感谢民航的各位朋友，没有各位朋友的支持我可能也无

法坚持将整个文件翻译完成。限于个人的水平有限，在翻译过程中可

能存在一些不妥之处，还望各位予以批评指正，以便进行改进。

同时该报告中没有提到民航旅客信息安全的问题，关于这方面的

问题《网络安全法》、《GDPR》等相关法律法规越来越严格，民航数

据安全面临的网络安全风险也越来越严峻，在和中航信合作的项目中

已经涉及到民航数据安全的问题，但是仍需要进一步的深入研究，降

低行业面临的安全风险。

88