波音787飞机网络安保持续适航管理研究

张文婷，邢广华

波音787飞机网络安保持续适航管理研究

张文婷1，邢广华2

（1.上海吉祥航空股份有限公司，上海 200336；2.中国民用航空上海航空器适航审定中心，上海 200335）

无论网络的安全性如何，其已应用于现今的商用飞机设计中。随着网络时代的到来，对飞机的维护不再停留在传统的光盘、软盘上。适航当局针对787机载网络系统安全性、完好性以及可用性等提出了要求，对如何开展飞机机载软件构型和机载网络系统的管理，以及飞机与地面之间网络连接的管理，实现机载网络系统的持续适航以及飞机的运行安全出台了持续适航文件，航空公司对如何管理持续适航文件要提出了相应的规定。

机载网络系统；网络安全；持续适航；飞机

随着电子信息技术和航空制造业的迅速发展，飞机已经不再是孤立的个体，日益成为整个地空信息网络的节点与终端。基于此，需要采用宽带网络连接机载设备与地面支持系统，新一代航空电子设备需具有高度灵活的语音和通信数据能力，但同时也对机载系统造成了威胁，因此，需要提高通信的安全性。飞机的制造也渐渐从传统走向互联网[1-3]。作为最先进的机型，波音787上就使用了机载网络系统，实现了飞机和地面的数据和故障信息共享，维修人员对飞机系统的软件装载不再需要传统的光盘和软盘，且可实时监视飞机的故障情况。

波音787飞机上大量应用先进的计算机软件技术和网络技术，这些技术和功能在投入运营后的使用维护中也要确保安全性。制造商需要根据局方适航规章要求制订相应的持续适航文件，航空公司也应落实持续适航文件的管理要求。

1 适航当局的适航要求

在波音787飞机的新型网络架构中，航空器将允许并接受源自外部和营运人数据网络（如廊桥数据连接）的访问。这使得传统意义上相对独立的影响航空器安全运行的航电数据网络域和航空公司信息服务网络域暴露在外部访问之下；同时，可能装载到航电数据网络域和航空公司信息服务网络域的外场可加载的软件程序和数据库将能通过电子手段传递。此外，在波音787飞机上使用机载有线或无线设备时，也可能访问航电数据（网络）域、航空公司信息服务（网络）域，这些设计特征以及可能发生的有意或无意的数据污染使得飞机的安全性及其维护工作受到安全防范威胁。适航当局针对机载网络系统的安全性、完好性以及可用性提出了以下要求及建议：①在飞机控制网络域和运营信息服务网络域内的系统、软件以及数据库不受未授权访问影响的保护要求；②对应用于飞机控制网络和运营信息服务网络系统，以及可能通过电子手段从外部传送到机上网络的外场可加载软件程序和数据库的保护要求；③确保飞机上的飞机控制网络域和运营信息服务网络域相关系统、软件以及数据库不受来自旅客信息系统以及娱乐系统的网络连接影响的要求。

作为满足上述适航要求的符合性活动之一，波音应编制运行和维护指南，以确保航空器进入商业运行后保持网络安保保护能力。运行和维护指南应包含物理安保、运行安保；同时，如果加密方法被用作网络安保保护手段，还应提供对其安保保护能力的评审、监控和管理程序。

2 制造商的持续适航文件

制造商就如何开展飞机机载软件构型和机载网络系统的管理以及飞机与地面之间网络连接的管理，实现机载网络系统的持续适航以及飞机的运行安全，制订了飞机网络安保运营人指南，提出了相应的网络安保需求和建议。

2.1 网络安全需求

基于安全考虑，每架飞机上系统产生的记录保留至少90 d。需要保留90 d的飞机日志文件清单由飞机制造商提供。飞机维修手册（AMM）和故障隔离手册（FIM）中包含了与安全相关的任务和维修人员需要的其他维修信息，其中AMM提供了将日志文件和报告从飞机机组信息系统和维修系统大容量存储器下载到维修笔记本电脑的操作程序。在地面维护过程中需要的信息可以查询手册中的ATA第45和46章。

为了确保日志文件充分的恢复与保留，运营人应该做好以下工作：①制订飞机网络安保日志保留的政策；②建立传输和存储飞机网络安保日志文件的程序；③必要时，评估和修改运营人的维修手册和维修程序，确保网络安保日志文件的保留政策在运营人组织架构内和第三方维修结构得到遵守；④培训飞机维修人员使用AMM和FIM解决网络安保相关的问题；⑤当维修人员遇到网络安保相关的问题时，AMM和FIM相关章节为维修人员提供参考和指南。

2.2 网络安全建议

飞机制造商制订具体的飞机网络安保建议。运营人应制订自身的网络安保计划，包括保护、检测和响应网络安保问题的机制。双方各负其责，以确保飞机的网络安保持续维持。

下列网络安保建议源于飞机制造商所做的飞机网络安保分析，用以识别和缓解飞机网络威胁，主要包括8条飞机网络外部控制方面的网络安保建议项目，如表1所示。

表1 飞机网络外部控制方面的网络安保建议

编号建议 1控制维修笔记本电脑的访问与使用 2控制访问机场有线和无线的服务网络 3控制访问LSAP Librarian资源 4制订安全组件签名程序和控制访问私钥 5控制/监视飞机的物理访问 6控制飞机与型号设计的符合性 7遵守地面安全程序 8控制访问蜂窝终端单元（TCU）的连接

2.3 航空公司的管理落实

航空公司根据以上波音的飞机网络安保运营人指南，为了确保波音787飞机机载设备软件的接收、下发、安装和构型管理，从而达到机载设备良好运行的目的，制定了相应的管理程序，并设计出了管理流程，如图1所示。

新飞机准备及基准LSAP构型管理中，工程师提交航空公司客户化LSAP，将波音发送过来的As-delivery和As-Flying的LSAP清单上传系统，并建立该架飞机的LSAP基准构型清单。工程管理人员增加机号，导入初始化构型数据。值得强调的是，在新飞机交付过程中，波音进行LSAP协助装载阶段，新飞机接收人员应确认EPSCT中规定的LSAP已经正确安装完毕。如果装载过程中出现问题，应立即通知工程处飞机软件工程师。通过随身携带的维护笔记本电脑接收LSAP库服务器的任务，并安装任务中的所有LSAP，如图2所示。

图2 建立新飞机软件构型

LSAP的获取途径有2种：①编制航空公司客户化的LSAP。②向波音或OME厂家获取LSAP，如果是新飞机，就按上述程序执行；如不是新飞机，工程师编制CR和EO，发布LSAP上传任务，如图3所示。

图3 LSAP的获取

遇到LSAP工程变更，流程系统工程管理人员需要编制EO或工卡，确保至少每90 d检查飞机实际构型清单与目标构型清单的符合性。维修人员在执行实际构型符合性的检查工卡时，当发现不符合的情况时，需要立即报告系统工程管理人员，如图4所示。

图4 LSAP工程变更流程

此外，还需要关注PKI系统的管理和维护笔记本电脑的管理。

2.3.1 PKI系统的管理

飞机引进阶段工程管理人员制作APSL AMI，并上传至LSAP库服务器。通过执行新飞机EO完成机载LSAP证书的初始化。飞机运行阶段工程管理人员在系统证书到期前120 d，颁发EO获取对应飞机的CSR文件；在证书到期前110 d，利用获取的证书制作OAS AMI，共4个LSAP，并上传至飞机的MSD区域；在证书到期前95 d，执行非计划类LSAP装载，将OAS AMI安装至飞机系统。

2.3.2 维护笔记本的管理

每个笔记本电脑包内需要可以安全存放以下物品：1台笔记本电脑、1根电源线、1台变压器、1根5 m的网络线；1个鼠标、1个TOOLBOX数据U盘。

公司的信息部门应负责在到期前完成对电脑的定期维护和系统软件、安全软件更新，并在笔记本电脑包上标注下次送检日期，确保其每180 d送检1次。

公司的工具设备管理人员负责维护所有笔记本电脑日常保管、发放、回收。根据使用情况，在EDMS系统上登记每个笔记本电脑状态为“借出”“归还”“已配上B-XXXX飞机”“送检”“故障”“丢失”。

2.3.3 应用软件管理

根据波音文件规定，系统工程管理人员确认并发布维护笔记本电脑的构型。

系统工程管理人员接收波音维护笔记本电脑应用软件的升级通知，并在3个工作日内发布相关软件给信息部系统管理员。系统工程管理人员检查并测试信息部相关人员制作的升级版维护笔记本电脑的镜像文件，如果确认没有问题，通知信息部系统管理员，使用新版本的应用软件。

3 总结

航空公司根据飞机制造商的持续适航文件要求，完成飞机机载网络系统维护体系的建设和管理，实现飞机机载软件构型和机载网络系统的管理以及飞机与地面之间网络连接的管理，持续完善飞机机载网络的适航管理，将有利于确保飞机的持续运行安全。

［1］刘建华，刘瑞，王宏杰，等.民航可联网飞机网络信息安全模型初探［J］.军民两用技术与产品，2016 （2）：1.

［2］孙志强，曹全新.民用飞机机载网络安保设计方法研究［J］.装备制造技术，2015（8）：158-160.

［3］孙志强.基于分区架构的机载网络安保研究［J］.计算机与网络，2015（14）：66-69.

TP393.08

A

10.15913/j.cnki.kjycx.2019.17.049

2095－6835（2019）17－0107－02

张文婷（1982—），女，本科，研究方向为安全质量管理、适航指令。邢广华（1980—），男，研究生，高级工程师，研究方向为持续适航、适航指令及服务通告。

〔编辑：张思楠〕