- 简体中文
- 繁体中文
- English
政府问责局(GAO)于10月9日发布了一份报告,概述了联邦航空局评估商用飞机航空电子系统网络安全的改进需求
.png)
政府问责局(GAO)于10月9日发布了一份报告,概述了联邦航空局评估商用飞机航空电子系统网络安全的改进需求。(GAO)
美国政府问责局(GAO)一份新的报告为联邦航空管理局(FAA)现行的商用飞机航空电子系统网络安全要求规定提出了6项关键建议。
该报告呼吁该机构雇用新员工,标准化其评估互联航空电子系统网络弹性的程序,并建立对飞机网络进行渗透测试的新方法。GAO分享的重要发现和见解也显示了一些软件漏洞和渗透测试中飞机网络功能的潜在中断,这使得联邦航空局如何处理这些建议变得非常复杂。
GAO在报告中说:“具体来说,联邦航空管理局没有评估其监督项目以确定航空电子设备网络安全风险的优先级,没有开发航空电子设备网络安全培训项目,没有发布独立的网络安全测试指南,也没有将定期测试作为其监控过程的一部分。”
报告中另一项重要发现是,该机构在对新飞机进行认证时,对独立测试提供了更多的指导。高的六条建议包括以几点:
确定“与其他安全问题相比,航空电子设备网络安全风险的相对优先级,并制定解决这些风险的计划。”
对“专门针对航空电子网络安全”的机构检查员进行新的培训。
包括新飞机设计的航空电子网络安全测试新指南中的独立测试
为已部署机队的航空电子网络安全控制“安全进行独立测试”开发程序
协调跟踪机制,确保电子设备网络安全问题在“内部利益相关者”之间得到解决。
审查该机构目前致力于航空电子网络安全的监督资源。
调查人员在报告中指出,美国联邦航空局同意了他们的六项建议中的五项。
报告称:“联邦航空局认为,在服役机队上进行的任何类型的测试都可能导致飞机系统的潜在腐败,危及安全,而不是检测到网络安全问题。”
报告强调了航空电子系统面临的几个网络风险,包括飞行数据欺骗攻击和老式飞机上的过时系统。其他风险包括软件漏洞和在役航空电子系统常见的长更新周期。恶意软件或恶意软件也被提及,因为它能够插入安装在电子飞行包(EFB)应用程序上,而电子飞行包越来越多地连接到飞行管理计算机上。
(飞机通信寻址和报告系统)ACARS的传输是未经认证的,因此,可能被拦截、改变或替换为虚假的传输。例如,未受保护的ACARS通信可能被欺骗和操纵,向飞机发送虚假或错误的信息,如不正确的定位信息或虚假的飞行计划,”报告说。
近年来,在一年一度的BlackHat和其他专业网络安全会议和活动上,几名网络安全研究人员也强调了空中连接系统的风险,并证明了其脆弱性。例如,在2020年8月的BlackHat虚拟演示中,一位牛津大学的研究人员展示了他的团队使用一些基本的家庭电视设备窃听卫星信号的结果,这些信号暴露了飞机上的乘客数据。
这项研究还能够查看与一家中国航空公司使用的飞机网络相连的平板EFB产生的通信和数据。
航空电子设备制造商已经采取措施解决漏洞在报告中强调,和美国联邦航空局与产业合作开发共识管理网络连接飞机系统风险主要是通过使用ed - 202 - 326 /适航安全流程规范共同开发的RTCA(美国)和EUROCAE(欧洲)。联邦航空局官员告诉GAO,他们仍在制定新的政策和官方法规,以更加一致的方式评估航空电子系统的网络安全。
一些技术供应商还开发了新的方法来监控和改善连接的航空电子系统的网络弹性。加拿大航空电子设备制造商CCX制造了一种用于实时监控飞机网络流量的计算机。
“我们的观点是,应该始终对机载网络、基于以太网的活动和专有的avion进行永久监控
政府问责局(GAO)于10月9日发布了一份报告,概述了联邦航空局评估商用飞机航空电子系统网络安全的改进需求
政府问责局(GAO)于10月9日发布了一份报告,概述了联邦航空局评估商用飞机航空电子系统网络安全的改进需求。(GAO)
美国政府问责局(GAO)一份新的报告为联邦航空管理局(FAA)现行的商用飞机航空电子系统网络安全要求规定提出了6项关键建议。
该报告呼吁该机构雇用新员工,标准化其评估互联航空电子系统网络弹性的程序,并建立对飞机网络进行渗透测试的新方法。GAO分享的重要发现和见解也显示了一些软件漏洞和渗透测试中飞机网络功能的潜在中断,这使得联邦航空局如何处理这些建议变得非常复杂。
GAO在报告中说:“具体来说,联邦航空管理局没有评估其监督项目以确定航空电子设备网络安全风险的优先级,没有开发航空电子设备网络安全培训项目,没有发布独立的网络安全测试指南,也没有将定期测试作为其监控过程的一部分。”
报告中另一项重要发现是,该机构在对新飞机进行认证时,对独立测试提供了更多的指导。高的六条建议包括以几点:
确定“与其他安全问题相比,航空电子设备网络安全风险的相对优先级,并制定解决这些风险的计划。”
对“专门针对航空电子网络安全”的机构检查员进行新的培训。
包括新飞机设计的航空电子网络安全测试新指南中的独立测试
为已部署机队的航空电子网络安全控制“安全进行独立测试”开发程序
协调跟踪机制,确保电子设备网络安全问题在“内部利益相关者”之间得到解决。
审查该机构目前致力于航空电子网络安全的监督资源。
调查人员在报告中指出,美国联邦航空局同意了他们的六项建议中的五项。
报告称:“联邦航空局认为,在服役机队上进行的任何类型的测试都可能导致飞机系统的潜在腐败,危及安全,而不是检测到网络安全问题。”
报告强调了航空电子系统面临的几个网络风险,包括飞行数据欺骗攻击和老式飞机上的过时系统。其他风险包括软件漏洞和在役航空电子系统常见的长更新周期。恶意软件或恶意软件也被提及,因为它能够插入安装在电子飞行包(EFB)应用程序上,而电子飞行包越来越多地连接到飞行管理计算机上。
(飞机通信寻址和报告系统)ACARS的传输是未经认证的,因此,可能被拦截、改变或替换为虚假的传输。例如,未受保护的ACARS通信可能被欺骗和操纵,向飞机发送虚假或错误的信息,如不正确的定位信息或虚假的飞行计划,”报告说。
近年来,在一年一度的BlackHat和其他专业网络安全会议和活动上,几名网络安全研究人员也强调了空中连接系统的风险,并证明了其脆弱性。例如,在2020年8月的BlackHat虚拟演示中,一位牛津大学的研究人员展示了他的团队使用一些基本的家庭电视设备窃听卫星信号的结果,这些信号暴露了飞机上的乘客数据。
这项研究还能够查看与一家中国航空公司使用的飞机网络相连的平板EFB产生的通信和数据。
航空电子设备制造商已经采取措施解决漏洞在报告中强调,和美国联邦航空局与产业合作开发共识管理网络连接飞机系统风险主要是通过使用ed - 202 - 326 /适航安全流程规范共同开发的RTCA(美国)和EUROCAE(欧洲)。联邦航空局官员告诉GAO,他们仍在制定新的政策和官方法规,以更加一致的方式评估航空电子系统的网络安全。
一些技术供应商还开发了新的方法来监控和改善连接的航空电子系统的网络弹性。加拿大航空电子设备制造商CCX制造了一种用于实时监控飞机网络流量的计算机。
“我们的观点是,应该始终对机载网络、基于以太网的活动和专有的avion进行永久监控