标准摘要
【适用范围】 本文件给出了基于蜂窝网络的低空航空器信息安全管理的整机安全、通信安全、数据安全和运维安全的相关要求。 本文件适用于指导基于蜂窝网络的低空航空器(含eVTOL)的鉴别与通信模块规划、设计与开发。 【主要技术内容】 .1 检测与准备 应为接收信号做好准备,保证低空航空器在飞行过程中能够正常接收与处理信息,做到信息可处理、状态可感知、操作可执行。 4.2 操作系统 4.2.1 应具备权限管理、身份识别与鉴权功能,并定期清理非必要账户,严格控制权限提升操作。 4.2.2 应具备访问控制功能,依据安全策略控制用户账号、进程等主体对客体的访问;对开发者调试接口进行严格管控,防范非授权访问风险。 4.2.3 应具备端口与服务管控能力,仅开放必要端口,关闭非必要端口及其关联的进程与服务。 4.2.4 应具备内存保护能力,防范缓冲区溢出等内存攻击风险。 4.2.5 不应存在国家权威漏洞平台公开发布超过6个月且未经处置的高危安全漏洞,同时应具备漏洞修复功能。 4.2.6 系统升级应满足下列安全要求: a) 建立升级设备与服务器(或离线设备)之间的认证机制,宜采用双向认证; b) 对升级包进行完整性与合法性校验,防止其被恶意篡改; c) 应同时具备上述双向认证与完整性校验功能。 4.3 硬件模块 应支持密码学身份认证与权限管理机制,确保硬件访问安全。硬件安全模块安全应满足如下要求: a) 可通过外部授权(对称验证)或非对称验证等方式等密码学算法确认使用者身份; b) 应设置权限管理机制,确定权限类别、访问权限属性和权限范围。 4.4 接口安全 接口安全应满足如下要求: a) 所有调试、测试、通信接口具备访问控制与身份鉴别能力; b) 支持刷写功能的诊断接口具备身份鉴别能力; c) 板载芯片及印制电路板不应用于访问芯片内存或更改芯片功能的隐蔽接口; d) 无隐藏的系统通信接口; e) 采用身份鉴别和访问控制措施实现对系统通信接口的访问; f) 记录关键接口操作日志。 4.5 入侵检测 航空器的核心系统与部件的入侵监测应满足如下要求: a) 监测并告警异常网络流量与非法连接行为,防范Dos/DDoS攻击及隐蔽信道; b) 监控系统资源消耗,识别因恶意程序导致的资源异常占用并触发告警; c) 检测并阻断未授权后门进程、非必要调试进程及已知/未知恶意进程; d) 监测文件完整性,及时发现文件篡改及恶意文件上传行为; e) 监控关键配置项变更,防止非授权增删改操作; f) 检测到入侵时自动触发应急响应,同步告警并留存完整记录; g) 支持特征库与规则引擎升级,确保对新型威胁的持续监测能力。 5 通信安全 5.1 通信要求 5.1.1 安全防护 5.1.1.1 应采用基于符合国家密码管理要求的密码算法混合加密机制对蜂窝网络、卫星互联网和飞行器自组织网络通信链路进行端到端加密,确保飞行指令、实时监测数据等关键信息在通信传输过程中的机密性和完整性。 5.1.1.2 应采用TLS/IPSec等协议保障飞行器与业务系统间、以及业务系统与监管系统等不同平台之间通信安全。 5.1.1.3 针对小微型飞行器运算资源受限特点,可采用短证书、标识公钥算法、无证书密码技术实现签名验签。 5.1.1.4 应利用轻量化密码算法、安全协议保证通信安全同时降低密码运算对飞行器计算资源、带宽资源的占用。 5.1.2 蜂窝网络 应通过网络侧二次鉴权、信道逻辑隔离、功能管控及多链路冗余等机制,保障通信的可靠性与安全性。其安全要求如下: a) 与网络侧通信设备之间应建立可控通信连接,充分使用通信技术提供的认证鉴权、加密解密等安全机制,平台侧具备对接入请求进行二次鉴权的能力,确保接入真实可靠的网络和请求接入的合法性; b) 与核心业务平台的通信信道采用蜂窝网络,与公网逻辑隔离; c) 通信系统具备多链路冗余设计,当主链路失效时,主备链路切换时间应小于3 s。 5.1.3 风险评估 5.1.3.1 应建立风险评估机制,明确评估主体、评估内容、评估周期等,确保评估工作的规范化和常态化。 5.1.3.2 应对设备供应商开展风险评估,包括: a) 识别设备供应环节的风险源,确定固件漏洞、供应链篡改等风险点; b) 划分风险等级,根据风险程度采取限制采购、加强测试或要求整改等处置措施。 5.1.3.3 应对运行使用环节开展风险评估,包括: a) 识别运行环境的风险源,确定飞行控制劫持、数据链路干扰、地面站非授权访问等风险点; b) 划分风险等级,根据风险程度采取加强飞行监控、升级加密措施或调整飞行策略等处置措施。 5.1.3.4 应对网络通信与服务保障环节开展风险评估,包括: a) 识别网络基础设施的风险源,确定基站仿冒、核心网攻击、云服务平台漏洞等风险点; b) 划分风险等级,根据风险程度采取网络加固、流量清洗或服务降级等处置措施。 5.2 可信身份认证 5.2.1 总则 构建基于密码技术的低空智联网统一身份认证体系,为航路规划审批、空域资源分配、飞控指令安全下达等核心业务开展提供数字身份凭证。 5.2.2 公钥基础设施 5.2.2.1 应提供符合国家密码管理要求的低空智联网数字证书服务。应为飞行器、信息系统、操作人员等提供数字证书的生成、注册、签发、存储、动态更新及撤销的全生命周期管理服务。 5.2.2.2 应支持国密算法。 5.2.3 可信安全接入 基于零信任安全理念,在相关设备中内置安全组件,除正常暴露之外,飞行器不应泄露自身位置、所有者身份等敏感信息的前提下完成身份验证和安全接入,实现低空智联网的身份接入安全可信。 5.2.4 跨域身份认证 应采用基于证书的安全可信根及区块链技术,实现飞行器跨区域、跨专业应用系统、跨管理部门间身份互认。 6 数据安全 6.1 数据分级 6.1.1 应明确机载设备系统、基础设施、服务/运营/监管平台及其相互间的通信数据等低空智能网联系统定义的数据分级。 6.1.2 应按照重要程度划分一般数据、重要数据、敏感数据的级别,明确各类数据对应的通用安全要求。 6.1.3 应动态调整数据分级。 6.2 全生命周期安全 6.2.1 数据采集
英文名称Requirements for information security management of low-altitude aircraft based on cellular network