空管自动化系统、塔台管制自动化系统安全计算环境下的补丁管理分析

祁振杰

民航贵州空管分局 贵州 贵阳 550005

引言

随着国内空管事业的发展，在空管内部的地区局、分局（站）内已经建立了80余套的自动化系统（简称：ATC系统，AirTrafficControlSystem），目前包含空管自动化系统、塔台管制自动化系统两种。这两种系统是空管行业内生产控制、指挥调度类的信息系统，《民用航空网络安全等级保护定级指南》（MH/T 0069-2018）推荐定级为第三级的系统[1]，也是各地区确定的网络安全关键基础设施，对于这类重要系统的操作系统环境（安全计算环境），“如何进行升级、打补丁”是当前必须面对和关注的一个重要问题。ATC系统的安全计算环境，指的是安装ATC系统软件的操作系统，可能是AIX、RedHat、Windows等操作系统。

1 自动化系统中的环境补丁管理现状

根据《民航空管系统通信导航监视设备使用管理规定》（MD-TM-2010-006）中第四条的描述：自动化系统的使用年限不少于15年。第五条描述：自动化系统应在投入使用第13年启动更新改造项目。第六条描述 涉及计算机系统和软件系统的设备，在设备达到使用年限之前，应根据业务功能需要及时进行软件升级。第七条描述：自动化系统可根据硬件设备市场变化及备件存储情况，每六至八年对系统硬件进行更新[2]。

目前ATC系统的现状，在自动化系统的使用周期内，即使是6、8年内硬件更新内，对自动化系统的操作系统环境的升级几乎没有。从自动化系统投产使用后，也没有能够定期为环境操作系统应用补丁。此类现实情况就造成了环境操作系统的漏洞可能为网络安全造成隐患。以前自动化系统的整个网络结构仅为局域网系统，仅以串口方式接入雷达数据、AFTN电报数据。自2019年之后,随着ADS-B数据以网络方式接入自动化系统，近几年的气象数据、CDM系统数据也以的网络方式接入自动化系统，这对自动化系统本身的安全性造成一定的隐患。因此，考虑自动化系统的操作系统环境进行应用补丁的操作就显得迫在眉睫。

根据民航局空管局2023年7月3日下发的《中国民用航空局空中交通管理局网络安全保障方案》中第五章安全计算环境的第七条的要求：应在网络设备、操作系统和数据库等补丁程序经过测试后，及时安装、更新系统。由于客观原因确实无法安装补丁的，应记录原因，并采取其他有效的防护措施加以补偿，确保补丁管理过程中不影响业务的连续性[3]。可见，从民航空管的管理部门已经开始要求并重视操作系统环境的补丁应用。

2 自动化系统中的补丁管理问题分析

在ATC系统（空管自动化系统、塔台管制自动化系统）的安全计算环境上实施补丁管理程序时，维护人员将会面临许多风险挑战，给一个ATC系统安装补丁意味着改变原有的ATC系统，如果补丁安装不兼容，会对ATC系统的功能安全性、可操作性以及可靠性产生负面的影响。

因此，给ATC系统的安全计算环境安装补丁需要大量的准备工作，ATC系统的通导技术维护人员需要争取必要的资源来解决额外的工作量。针对ATC系统的每一个补丁，技术维护人员需要关注ATC系统涉及每个信息资产，通过“收集”和“分析”每个设备的补丁信息，首先在已经建设的ATC系统测试平台系统上安装与验证，最好能够有最终用户（管制用户）进行详细的功能测试，并且在补丁安装前后创建备份，确保在ATC系统在安装补丁后能够正常工作。

给ATC系统环境安装补丁需要大量的时间资源和工作量，大多数的情况ATC维护人员安排在其正常的日常维护中断期间安装补丁。有时这些中断的窗口是每季度一次，每年一次，甚至频率更低。目前国内的大部分空管分局（站）已经建立了主、备两套ATC系统，并且很多分局（站）已经建立了主备均衡使用计划，在系统切换至备用状态时，进行补丁的安装是一种很好的选择。

在ATC系统的安全运行环境上应用补丁是一种风险管理的决策。如果应用补丁的成本大于评估出的风险成本，则补丁安装可能被延迟，特别是如果存在其他可以减轻风险的控制措施（例如禁用或删除ATC系统的部分功能）。但是，延迟补丁安装会给ATC系统造成较大的安全风险，这也是ATC系统的维护人员对于是否安装补丁的一种风险管理决策的行为。因此，ATC系统的补丁安装应该纳入（目前还未纳入）风险隐患管理的范畴中，ATC系统的维护人员需要针对系统安全计算环境的补丁管理采取一种有行之有效的管理方式。

ATC系统作为空管行业内十分重要的信息系统，如果因为补丁管理不规范、有效，会造成多种意外后果，意外后果可能包括补丁和ATC系统软件不兼容、反病毒和反恶意代码系统产生误报、测试不充分导致系统性能、可用性和可操作性降低。

3 自动化系统的不良补丁管理的影响

考虑到ATC产品供应商以及维护人员始终需要努力保持ATC系统的操作系统环境是最新版本，以尽可能降低由操作系统层面的脆弱性所引起的ATC系统安全风险方面所面临的挑战。ATC系统维护人员是否应用补丁，需要通过风险管控来缓解脆弱性风险进行决定。即使暂时未应用补丁以消除ATC系统的操作系统所有的软件脆弱性，但仍需要评估不应用补丁带来的风险，并确定何时和如何应用操作系统环境补丁。

ATC系统的不良补丁管理的主要影响是增加了ATC系统损失和损害的风险。在空管行业内部，与其他办公类、管理类信息系统不同，作为生产系统的ATC系统如果受到不良补丁管理的影响，可能导致比数据丢失或者系统停机更加严重的后果，比如ATC系统提供服务的质量，服务的可用性等方面也是管理部门应该考虑的重要方面。

针对未及时应用补丁的ATC系统的定向及非定向攻击，将可能导致ATC系统无法正常工作，甚至可能导致设备被损坏，以致ATC系统可能无法对管制用户提供服务。

4 自动化系统的补丁周期状态管理

针对ATC系统的环境补丁，需要对补丁状态进行详细定义，补丁状态至少应该分为：可用、测试中、未认可、不适用、已认可、发布、内部测试中、未授权、已授权、有效、已安装等11种状态。由于补丁由ATC系统的供应商提供，所以需要ATC系统的维护人员与供应商，建立良好的补丁状态更新机制，ATC系统的国内厂商在此方面具备较强的优势。

ATC系统的维护人员可以通过资产识别、风险识别、网络边界防护等方法，确定ATC系统安全计算环境的补丁的周期状态。通过资产识别，应建立信息资产清单，明确ATC系统的每项资产。信息资产清单需划分类别，包含硬件、软件、数据、人员、服务以及其他。通过风险识别，按照风险管理的评估方法，识别重要网络和信息系统的脆弱性和面临的威胁，确认已有的安全措施，分析安全风险点，对发现的风险进行实时处理。识别掌握可能影响网络和信息系统安全的脆弱性、威胁主体、攻击途径及其潜在的攻击目标。通过网络边界防护，将所有外部链接被认为是不可信的，应在网络边界部署防火墙、入侵检测、安全审计以及非法外联检测、病毒防护等必要的安全设备，并配置有效的安全策略，并留存相关日志。

4.1 对ATC系统维护人员的要求

建立并维护与ATC系统相关的所有电子设备的清单，进入设备清单的设备可利用多种方式进行更新，主要的更新方式包含但不限于如修改功能、配置、操作、软件、固件、操作代码等方式，此类设备为“可更新”设备。

建立并维护ATC系统相关设备当前安装环境、软件版本的准确记录，即“已安装”软件、补丁版本。

定期确定“可更新”设备列表中所有设备的可用补丁升级和更新，即环境补丁、软件的“最新版本”。

定期确定由ATC产品供应厂家识别的可兼容的环境升级补丁和更新的“发布版本”，同时经过风险分析与系统测试明确这些“发布版本”是否满足ATC系统维护人员确定的“可更新”设备标准。

通过已经建立的ATC系统测试平台以及测试流程，对ATC补丁的安装进行测试，维护人员测试完成后，使最终管制用户对ATC系统的功能进行用户测试，确保在实际生产环境中给ATC安装补丁时，ATC的可靠性和可操作性不会受到负面影响，成功通过以上测试的补丁称为“已授权补丁”。

在充分考虑系统的冗余、容错、功能安全和操作使用要求（例如计划外中断、计划内中断、运行等）的情况下，在选择适当可行的时间区间内，安装“已授权”的有效补丁。

将所有ATC系统的补丁、软件更新周期进行固定，至少每个季度更新一次，包括每个“可更新设备”的已安装版本、已授权版本、有效版本和发布版本。

确定ATC系统中“可更新设备列表”中每种设备的安装环境补丁、软件更新的时间间隔，例如当具有补丁可用版本时，或者至少每季度更新一次。

定期（每月或者每季度）进行了ATC系统的环境补丁安装风险分析，以确定是否安装补丁以及通过实施补偿性对抗措施以缓解ATC系统存在的安全脆弱性，降低面临的风险等级。

4.2 对ATC系统的产品供应商的要求

定期提供文说明文档，说明其ATC系统的环境以及软件及其相关“可更新设备”的软件补丁策略。

定期提供对于ATC系统使用的操作系统的供应商发布的补丁，以及ATC产品可能用到的所有第三方软件的供应商发布的补丁，通过测试分析和验证这些补丁，确认补丁的适用性和与ATC系统软件的兼容性。

定期提供ATC系统中所有补丁清单及其状态信息清单。

建立机制，确保在ATC系统运行的操作系统或者第三方软件提供商发布补丁后30天内，通知ATC系统的维护人员，并更新补丁清单。

建立机制，规范针对即将停产的或者不再提供网络安全补丁的组件，至少提前两年或者更长时间提前提供停止更新的警告说明。

定期向ATC系统维护人员提供包括安全更新在内的，有关支持ATC系统产品的政策信息。

5 结束语

通过对当前民航规章要求以及自动化系统的现状分析，针对ATC系统的操作系统环境的补丁管理，结合其他行业的管理方式与要求，提出针对民航空管业内ATC系统的补丁管理应该从以下几个方面入手。

①业内制定ATC系统环境补丁更新的规范、规章、技术操作指南；②与ATC系统供应厂商建立补丁状态更新周期；③对未及时安装的补丁，建立风险防控机制；④建立补丁信息交换机制，针对所有使用该型号或品牌ATC系统的维护人员与ATC系统的供应厂商，应当共享更新、维护ATC系统的补丁信息以及应用升级列表。

希望通过本文的分析，能够引起业内人士的重视，为未来ATC系统的补丁升级、应用管理提供参考。