HB 8628－2021 民用飞机适航信息安保过程规范 Specification of security process for civil aircraft in airworthiness 2021－04－19发布 2021－07－01实施 中华人民共和国工业和信息化部 发 布 ICS 49.090 V 45 HB 8628－2021 I 目 次 前言……………………………………………………………………………………………………………II 1 范围…………………………………………………………………………………………………………1 2 规范性引用文件……………………………………………………………………………………………1 3 术语和定义、缩略语………………………………………………………………………………………1 4 一般要求……………………………………………………………………………………………………3 5 详细要求……………………………………………………………………………………………………6 附录 A(规范性附录) 民用飞机适航信息安保过程活动…………………………………………………16 HB 8628－2021 II 前 言 本标准按照 GB/T 1.1－2009《标准化工作导则 第1 部分：标准的结构和编写》给出的规则起草。 本标准由中国航空综合技术研究所归口。 本标准起草单位：中国航空工业集团公司西安航空计算技术研究所、中国航空综合技术研究所。 本标准主要起草人：孔德岐、张 双、田丽蓉、王辰娇、胡风明、刘 绚、郑 涛、母方欣、杨 佳。 HB 8628－2021 1 民用飞机适航信息安保过程规范 1 范围 本标准规定了民用飞机机载系统在开发和适航过程中， 当面临蓄意非授权电子交互的威胁且影响飞 机安全性时，所需执行的设计要求和验证要求。 本标准适用于民用运输类飞机机载系统的适航，其他类飞机可参考使用。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。 SAE ARP 4754 A 民用飞机与系统开发指南 SAE ARP 4761 民用机载系统和设备的安全评估过程方法和指南 3 术语和定义、缩略语 3.1 术语和定义 下列术语和定义适用于本文件。 3.1.1 适航 airworthiness 部件(飞机、飞机系统或零部件)以安全的方式工作并完成其预定功能的状态。 3.1.2 适航信息安保过程 airworthiness security process 当受到蓄意非授权电子交互影响时，为了使飞机保持在安全运行的状态，所建立的一种完整过程。 3.1.3 资产 asset 飞机的逻辑和物理资源，包括功能、系统、部件、数据、接口、处理和信息。 3.1.4 部件 item 已定义了接口和范围的硬件或软件单元。 3.1.5 信息安保审定计划 plan for security aspects of certification 由申请人制定，用于对信息安保审定过程进行管理。 3.1.6 信息安保审定计划总结 plan for security aspect s of certification summary 用于提供与信息安保审定相关的证据。 3.1.7 信息安保边界 security perimeters 资产内部和其外部信息安保环境之间的安保界线。 HB 8628－2021 2 3.1.8 信息安保架构 security architecture 为满足信息安保需求，实现安保措施，定义单元、角色、责任和接口，单元可含有硬件、软件、算 法、程序和策略。 3.1.9 信息安保措施 security measure 用于减轻和管控威胁状态，可以是机上或机外的特性、方法或步骤，也可以是技术、运行或管理等 方面的相应措施。 3.1.10 信息安保环境 security environment 资产执行其功能的外部信息安保条件。飞机/系统的信息安保环境是信息安保边界外部的信息安保 假设，用于飞机/系统安全性评估。 3.1.11 攻击路径 attack path 攻击者实施攻击时所利用的路径、接口和行为。 3.1.12 威胁状态 threat condition 对飞机或它的乘员有着直接或间接影响的一种状态，该状态由一个或多个蓄意非授权电子交互引 起，包括网络威胁，与飞行阶段相关的不利于操作或环境的状态。 3.1.13 威胁场景 threat scenario 蓄意非授权电子交互的规范描述， 包括威胁源(攻击者和攻击向量)、 脆弱性、运行状态和威胁状态， 以及目标受攻击的事件。 3.1.14 威胁源 threat source 攻击者与攻击向量，是针对蓄意利用脆弱性或错误的触发脆弱性的意图和方法。 3.1.15 脆弱性 vulnerability 在系统规程、设计、实现或内部控制中的缺陷或弱点，它们无意地触发或故意的利用会导致信息安 保受损或违反系统信息安保策略。 3.1.16 已知脆弱性 well-known vulnerability 设备的某些单元在以前使用过程中已记录并公开的脆弱性。 3.1.17 脆弱性案卷 vulnerability dossier 根据信息安保风险评估，通过分析和脆弱性测试后确定为有脆弱特性的异常情况和威胁列表、分析 和分类。 3.1.18 信息安保有效性 security effectiveness 信息安保措施保护飞机不受蓄意非授权电子交互的有效程度。 3.1.19 信息安保有效性目标 security effectiveness objective 针对指定的信息安保环境，确定信息安保有效性应达到的级别。 HB 8628－2021 33.1.20 外部协定 external agreement 为了在系统和外部参与者间建立角色和责任，协调确定的假设和要求。 3.1.21 风险管理 risk management 通过风险评估，根据已识别的风险，识别、控制和减轻问题的持续性过程。 3.2 缩略语 下列缩略语适用于本文件。 ASAM—— Aircraft Security Architecture and Measures ，飞机信息安保架构和措施； ASOG—— Aircraft Security Operator Guidance ，飞机信息安保操作指南； ASV—— Aircraft Security Verification ，飞机信息安保验证； ASSD—— Aircraft Security Scope Definition ，飞机信息安保范围定义； ASRA—— Aircraft Security Risk Assessment ，飞机信息安保风险评估； CVSS—— Common Vulnerability Scoring System，通用脆弱性评分系统； FLS—— Field-Loadable Software，外场可加载软件； UMS—— User Modifiable Software，用户修改软件； PASRA—— Preliminary Aircraft Security Risk Assessment ，初步飞机信息安保风险评估； PSecAC—— Plan for Security Aspects of Certification ，信息安保审定计划； PSSRA—— Preliminary System Security Risk Assessment ，初步系统信息安保风险评估； SSSD—— System Security Scope Definition ，系统信息安保范围定义； SSRA—— System Security Risk Assessment ，系统信息安保风险评估； SSAM—— System Security Architecture and Measures ，系统信息安保架构和措施； SSIG—— System Security Integrator Guidance ，系统信息安保集成指南； SSV—— System Security Verification ，系统信息安保验证。 4 一般要求 4.1 适航信息安保过程 4.1.1 概述 适航信息安保过程应由三个部分组成，分别是信息安保审定活动(步骤1 和7)，用于管理审定过程 本身；信息安保风险评估活动(步骤 2、3 和决策门 4)，通过识别的威胁场景评估信息安保风险，进而 确定风险的可接受性；信息安保开发活动(步骤5 和6)实现所必须