CN107766166B - 航空电子系统的数据安全性分析方法 - Google Patents
航空电子系统的数据安全性分析方法 Download PDFInfo
- Publication number
- CN107766166B CN107766166B CN201710804777.7A CN201710804777A CN107766166B CN 107766166 B CN107766166 B CN 107766166B CN 201710804777 A CN201710804777 A CN 201710804777A CN 107766166 B CN107766166 B CN 107766166B
- Authority
- CN
- China
- Prior art keywords
- data
- hazard
- safety
- recommended
- error
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0736—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
- G06F11/0739—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/079—Root cause analysis, i.e. error or fault diagnosis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2201/00—Indexing scheme relating to error detection, to error correction, and to monitoring
- G06F2201/805—Real-time
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供了一种航空电子系统的数据安全性分析方法,包括:建立基于数据驱动的系统模型;根据所述系统模型识别安全相关数据;建立所述安全相关数据的数据供应链模型;根据所述数据供应链模型进行数据危害模式分析以及危险与可操作性分析;根据分析结果获得数据危害控制技术并进行评估;该方法可以发现航电系统的数据的静态和动态各种问题,提前发现数据带来的危险,提高系统的安全性,避免人员伤亡和财产损失,适用于军机和民机航电系统。
Description
技术领域
本发明涉及航空电子系统安全性研究技术领域,尤其涉及一种航空电子系统的数据安全性分析方法。
背景技术
目前数据密集型系统越来越广泛的应用于实时计算机系统中,尤其是在航电系统,数据可以用于描述环境的静态描述例如导航数据和飞机的性能数据;现代航空电子系统应用使用大量的标准化软硬件单元比如COTS产品,常常通过配置数据来实现特定的功能;而且系统外界环境的变化也会产生大量的动态数据。但是一个新的问题出现了:航空电子系统的安全运行越来越依赖于数据。航电系统中数据量大且种类繁多,描述对象复杂多样,数据使用周期长,共享程度要求和安全性要求较高。航电系统的安全性不仅依赖于其中的软硬件,而且受到系统接收、产生或者处理的数据的重要影响。英国安全关键组织(SCSC)对航空、航天、航海、铁路等领域的事故进行广泛地调研,发现数据错误造成的事故比例超过14%,而软硬件导致的事故比例仅占10%。
许多事故中并没有发生软硬件故障,而是数据错误的影响,数据错误的影响和系统软硬件故障是一样严重的。在数据密集型系统中,大量数据例如描述系统运行环境的变化、配置数据、地形或者空域数据构成了系统的重要元素,这类数据的开发与软件是独立的。传统的研究仅仅考虑软件中数据的安全性,而忽略了系统层次数据造成的潜在危险,因此无法全面地保证系统的数据安全。
通过对国防、航空、航天、铁路安全等领域的标准和文献进行广泛的调研,发现系统安全性分析工作中对于数据与系统其他的元素例如软硬件有很大的差距:
(1)没有对数据进行任何的危害分析,识别安全相关数据带来的风险;
(2)没有从系统层自顶向下的为安全相关的数据分配任何具体的安全性要求;
(3)缺少适用于数据安全性的分析技术以及将数据风险控制在可接受水平之下的措施;
(4)缺少开展数据安全性分析工作的指导。
发明内容
本发明的目的在于针对上述现有技术中的对安全性分析不足,提出一种航空电子系统的数据安全性分析方法,能够有效地提高安全性分析的全面性。
一种航空电子系统的数据安全性分析方法,包括:
建立基于数据驱动的系统模型;
根据所述系统模型识别安全相关数据;
建立所述安全相关数据的数据供应链模型;
根据所述数据供应链模型进行数据危害模式分析以及危险与可操作性分析;
根据分析结果获得数据危害控制技术并进行评估。
进一步地,建立基于数据驱动的系统模型,包括:
描述航空电子系统的系统组成、运行模式、各个飞行阶段功能运行过程、人员信息、交联系统以及任务;
定义系统边界、接口、状态以及数据使用场景;
对系统数据进行分类。
进一步地,根据所述系统模型识别安全相关数据,包括:
根据所述系统模型确定安全目标;
识别完成所述安全目标的安全相关功能;
识别所述安全相关功能的运行依据信息;
识别提供所述运行依据信息所需数据,并确定所述所需数据对系统事故或危害的影响程度;
根据所述影响程度确定危害等级。
进一步地,建立所述安全相关数据的数据供应链模型,包括:
确定各安全相关数据的数据供应链各个阶段;
通过数据流图建立数据供应链每一阶段的数据流图。
进一步地,根据所述数据供应链模型进行数据危害模式分析,包括:
通过数据危害模式检查单分析每个安全相关数据;
结合数据处理过程和要求对数据危害模式进行本地化,并进行汇总获得数据危害模式列表。
进一步地,所述数据危害模式检查单包括数据危害模式分类以及描述;
所述数据危害模式分类以及描述包括:
数据无意义:数据损坏而失去意义;
数据值不准确:数据值在有效范围内但错误;
数据关联错误:数据值正确,但指向错误的对象;
数据精度不足:数据没有精确表示出其对应的信息,没有达到预期功能的要求;
分辨率不足:数据的分辨率没有达到预期功能的要求;
数据描述有歧义:数据可以被解释为不同的信息;
数据描述对象错误:数据指向多个对象;
虚假数据:数据描述的对象不是系统的组成部分;
表示相同数据的不同实例不一致:不同来源的同一数据存在差异;
连续数据项之间不一致:连续数据项之间的关系不正确;
数据缺失:数据集中的数据项缺失;
数据重复:非预期的数据重复;
数据多余:出现不需要的部分数据;
单位错误:数据使用错误的计量单位;
测量基准错误:未从正确的基线开始测量;
类型错误:数据使用错误的物理表示方法;
数据超出范围:数据值超出对应数据类型的值范围;
描述语言错误:使用错误的无法识别的计算机语言;
排序错误:数据元素未正确排序;
中途丢失:数据在传递过程中丢失;
重复接收数据:欲接收数据发送了不止一次;
过早:数据接收时间比预期早;
过晚/超期:数据接收时间比预期晚;
接收次序错误:数据未按照正常次序接收;
未收到数据:没有接收到预期的数据;
虚假来源:数据不是来自识别出的来源;
未知来源:数据在使用期间没有保存或者留存时间过短,无法追溯数据来源;
数据源不可访问:数据源不允许特定的数据访问。
进一步地,根据所述数据供应链模型进行危险与可操作性分析,包括:
确定所述数据供应链模型中关键处理过程和数据传输过程;
结合所述数据危害模式检查单检查数据可能发生的危害模式;
分析数据安全性属性;
结合推荐引导词,分析数据可能的危害模式;
分析各个处理过程或传输过程中数据危害的影响和原因。
进一步地,所述数据安全性属性包括:
完整性:数据正确,为真实目标未改变;
完备性:数据未丢失;
一致性:数据与描述对象实际的情况是否符合;
格式:数据以某种方式表示供使用者读取;
准确性:数据要有足够的细节用于某种目的;
分辨率:最小精度可在数据存储、传输和显示系统中重现;
可追踪性:可以追溯到数据的来源或变化;
时效性:数据按照要求更新;
可用性:当授权的实体要求访问时数据可用并可获取;
有序性:数据按要求的顺序进行保存;
所述完整性的推荐引导词包括部分、虚假、值错误、有歧义、重复以及多余;
所述完备性的推荐引导词包括部分、丢失、重复以及多余;
所述一致性的推荐引导词包括部分、歧义、虚假以及顺序混乱;
所述格式的推荐引导词包括无、超限、类型错误、顺序混乱以及单位错误;
所述准确性的推荐引导词包括不足以及过大;
所述分辨率的推荐引导词包括过大和过小;
所述可追踪性的推荐引导词包括无、可以索引、混淆以及虚假;
所述时效性的推荐引导词包括过早、过晚、接收次序以及丢失;
所述可用性的推荐引导词包括无效和采样率过大过小;
所述有序性的推荐引导词包括重复、多余、缺失、错误以及顺序混乱。
进一步地,根据分析结果获得数据危害控制技术并进行评估,包括:
根据分析结果获得推荐的危害控制技术列表;
评估选取的危害控制技术是都满足关键数据安全性属性;
评估选取的危害控制技术是都满足可以解决每一个数据危害模式;
记录选取的危害控制技术列表以及分析过程。
本发明提供的航空电子系统的数据安全性分析方法,首次提出了系统化的航电系统数据安全性综合分析方法以及实施流程,可以全面地识别系统数据安全性问题。提供了一个自顶向下的系统化的方法来建立系统安全相关功能与相关的信息、数据的依赖关系,并基于数据驱动的系统模型对识别的数据进行分类以及确定安全关键数据。总结了当前现有事故案例和文献中的安全相关数据和数据危害模式,可以充分利用以往的经验总结,及时发现危险因素避免事故的再次发生。通过对数据供应链的安全性分析可以全面的识别各个阶段可能引入的数据错误,并找出数据危害产生的根源,便于指导采取针对性的措施控制数据危害。
给出的针对航电系统的数据的安全性综合分析方法,可以发现航电系统的数据的静态和动态各种问题,提前发现数据带来的危险,提高系统的安全性,避免人员伤亡和财产损失,适用于军机和民机航电系统。其综合分析过程和方法的思路,也可应用于铁路、核电等安全关键系统的数据安全性分析。
附图说明
图1为本发明提供的航空电子系统的数据安全性分析方法一种实施例的流程图。
图2为本发明提供的航空电子系统的数据安全性分析方法中基于数据驱动的系统模型一种实施例的结构示意图。
图3为本发明提供的航空电子系统的数据安全性分析方法一种应用场景下的基于数据驱动的系统模型的结构示意图。
图4为本发明提供的航空电子系统的数据安全性分析方法一种应用场景下的数据供应链第0级数据流示意图。
图5为本发明提供的航空电子系统的数据安全性分析方法一种应用场景下的数据收集第1级数据流示意图。
图6为本发明提供的航空电子系统的数据安全性分析方法一种应用场景下的数据验证与生成第1级数据流示意图。
图7为本发明提供的航空电子系统的数据安全性分析方法一种应用场景下的数据传输与发布第1级数据流示意图。
图8为本发明提供的航空电子系统的数据安全性分析方法一种应用场景下的数据应用第1级数据流示意图。
具体实施方式
为使本发明的目的、技术方案及效果更加清楚、明确,以下参照附图并举实施例对本发明进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
参考图1,本实施例提供一种航空电子系统的数据安全性分析方法,包括:
步骤S101,建立基于数据驱动的系统模型;
步骤S102,根据所述系统模型识别安全相关数据;
步骤S103,建立所述安全相关数据的数据供应链模型;
步骤S104,根据所述数据供应链模型进行数据危害模式分析以及危险与可操作性分析;
步骤S105,根据分析结果获得数据危害控制技术并进行评估。
进一步地,建立基于数据驱动的系统模型,包括:
描述航空电子系统的系统组成、运行模式、各个飞行阶段功能运行过程、人员信息、交联系统以及任务;
定义系统边界、接口、状态以及数据使用场景;
对系统数据进行分类。
基于数据驱动的系统模型用于描述系统以及系统层次数据的使用,确定分析范围,对航电系统里内外部的数据进行梳理和分类。
基于数据驱动的系统模型如图2所示。
航空电子系统的系统数据分类如表1所示:
表1
进一步地,根据所述系统模型识别安全相关数据,包括:
根据所述系统模型确定安全目标,必要时可以继续分解为子目标;
识别完成所述安全目标的安全相关功能;
识别所述安全相关功能的运行依据信息,该信息可以是由操作者或者系统内部的信息系统根据一定的规则和相关数据获得的,包括系统内部、环境、时空、地理等信息;
识别提供所述运行依据信息所需数据,并确定所述所需数据对系统事故或危害的影响程度,具体地,通过分析直接性、依赖性、可检测、可预防以及可更正性五个方面确定数据对于系统事故或危害的影响程度;
综合数据对于系统事故或危害的影响程度、事故或者危险的严重性确定危害等级。
数据对系统的影响程度评价表如表2所示:
表2
数据安全关键等级矩阵如表3所示:
表3
进一步地,建立所述安全相关数据的数据供应链模型,包括:
确定各安全相关数据的数据供应链各个阶段;
通过数据流图建立数据供应链每一阶段的数据流图。
建立安全相关数据的数据供应链模型,为数据的安全性分析提供依据。
进一步地,根据所述数据供应链模型进行数据危害模式分析,包括:
通过数据危害模式检查单分析每个安全相关数据;
结合数据处理过程和要求对数据危害模式进行本地化,并进行汇总获得数据危害模式列表。
通过数据危害检查单发现事故经验中已经发生过的数据危害,吸取事故教训。
进一步地,所述数据危害模式检查单包括数据危害模式分类以及描述;
所述数据危害模式分类以及描述包括:
数据无意义:数据损坏而失去意义;
数据值不准确:数据值在有效范围内但错误;
数据关联错误:数据值正确,但指向错误的对象;
数据精度不足:数据没有精确表示出其对应的信息,没有达到预期功能的要求;
分辨率不足:数据的分辨率没有达到预期功能的要求;
数据描述有歧义:数据可以被解释为不同的信息;
数据描述对象错误:数据指向多个对象;
虚假数据:数据描述的对象不是系统的组成部分;
表示相同数据的不同实例不一致:不同来源的同一数据存在差异;
连续数据项之间不一致:连续数据项之间的关系不正确;
数据缺失:数据集中的数据项缺失;
数据重复:非预期的数据重复;
数据多余:出现不需要的部分数据;
单位错误:数据使用错误的计量单位;
测量基准错误:未从正确的基线开始测量;
类型错误:数据使用错误的物理表示方法;
数据超出范围:数据值超出对应数据类型的值范围;
描述语言错误:使用错误的无法识别的计算机语言;
排序错误:数据元素未正确排序;
中途丢失:数据在传递过程中丢失;
重复接收数据:欲接收数据发送了不止一次;
过早:数据接收时间比预期早;
过晚/超期:数据接收时间比预期晚;
接收次序错误:数据未按照正常次序接收;
未收到数据:没有接收到预期的数据;
虚假来源:数据不是来自识别出的来源;
未知来源:数据在使用期间没有保存或者留存时间过短,无法追溯数据来源;
数据源不可访问:数据源不允许特定的数据访问。
数据危害模式检查单如表4所示:
表4
进一步地,根据所述数据供应链模型进行危险与可操作性分析,包括:
确定所述数据供应链模型中关键处理过程和数据传输过程;
结合所述数据危害模式检查单检查数据可能发生的危害模式;
分析数据安全性属性;
结合推荐引导词,分析数据可能的危害模式;
分析各个处理过程或传输过程中数据危害的影响和原因。
进一步地,所述数据安全性属性包括:
完整性:数据正确,为真实目标未改变;
完备性:数据未丢失;
一致性:数据与描述对象实际的情况是否符合;
格式:数据以某种方式表示供使用者读取;
准确性:数据要有足够的细节用于某种目的;
分辨率:最小精度可在数据存储、传输和显示系统中重现;
可追踪性:可以追溯到数据的来源或变化;
时效性:数据按照要求更新;
可用性:当授权的实体要求访问时数据可用并可获取;
有序性:数据按要求的顺序进行保存;
所述完整性的推荐引导词包括部分、虚假、值错误、有歧义、重复以及多余;
所述完备性的推荐引导词包括部分、丢失、重复以及多余;
所述一致性的推荐引导词包括部分、歧义、虚假以及顺序混乱;
所述格式的推荐引导词包括无、超限、类型错误、顺序混乱以及单位错误;
所述准确性的推荐引导词包括不足以及过大;
所述分辨率的推荐引导词包括过大和过小;
所述可追踪性的推荐引导词包括无、可以索引、混淆以及虚假;
所述时效性的推荐引导词包括过早、过晚、接收次序以及丢失;
所述可用性的推荐引导词包括无效和采样率过大过小;
所述有序性的推荐引导词包括重复、多余、缺失、错误以及顺序混乱。
数据安全性属性及其推荐引导词如表5所示:
表5
进一步地,根据分析结果获得数据危害控制技术并进行评估,包括:
根据分析结果获得推荐的危害控制技术列表;
评估选取的危害控制技术是都满足关键数据安全性属性;
评估选取的危害控制技术是都满足可以解决每一个数据危害模式;
记录选取的危害控制技术列表以及分析过程。
以下通过具体应用场景对本实施例提供的航空电子系统的数据安全性分析方法作进一步说明。
地形感知告警系统(TAWS)系统是一类典型安全关键的数据密集型系统,根据机载地形数据、机场跑道数据和障碍物数据,利用飞机高度、位置等数据预估飞行的轨迹,时刻比较飞机的数字地图数据,如有危险,立刻判断危险区域的影响给出如何避免相撞的措施,并警示飞行机组人员,同时发出相关指令给自动驾驶仪实现飞机的自动规避危险功能,切实保证了飞行的安全性。
首先,建立基于数据驱动的TAWS系统模型
TAWS的主要目的是避免飞机发生CFIT事故即与地面发生相撞的事故,通过实时监测飞机的航线和沿航线一定范围内的地形信息,根据机载数据库通过对比分析发现潜在的相撞的危险,发出警告并通过自动驾驶仪控制飞机改变高度和航线来避免事故的发生。由于飞机的飞行需要经历多个阶段,包括起飞阶段、巡航阶段、下降阶段、进近阶段等,不同的阶段遇到的危险不同,TAWS系统提供了多种告警模式来应对各个飞行阶段可能出现的危险。其中告警模式4-非着陆阶段的不安全越障告警是系统根据飞机所处的飞行阶段、计算空速以及飞机起落架和襟翼位置,在距离障碍物高度不足的情况下为机组人员提供告警的功能。该告警模式根据起落架和襟翼位置的不同分为模式4A、4B、4C三种告警模式。本实施例以处于巡航状态的模式4A为例进行分析。根据以上的分析,建立地形感知告警系统基于数据驱动的系统模型,系统模型结构示意图如图3所示。
根据系统模型和数据相关资料获得告警系统的数据,并进行分类,如表6所示。为接下来识别系统安全相关数据作铺垫。
表6
进一步地,识别安全相关数据。
根据地形感知告警系统的功能介绍,TAWS的主要目的是避免飞机发生CFIT事故即与地面发生相撞的事故,通过实时监测飞机的航线和沿航线一定范围内的地形信息,根据机载数据库通过对比分析发现潜在的相撞的危险,发出警告并通过自动驾驶仪控制飞机改变高度和航线来避免事故的发生。地形感知告警系统的GDTA部分分析结果如下:
安全目标:避免相撞;
自动飞行数据监视:监测飞行中相关参数,垂直距离是否超限?包括飞机与地形之间沿航线的垂直距离(Projected)、当前飞机与地形之间的垂直距离(Current)、飞机高度、高度精度、高度变化率(爬升/下降);
参数异常报警:垂直距离超限是否报警?包括飞机与地形之间沿航线的垂直距离超限(Projected)、当前飞机与地形之间的垂直距离超限(Current)、高度数据超限、超限比例。
地形警戒包线计算:计算飞行方位的一定空域内的地形包线、显示地形包线。
前视威胁判断:与地形参数比较建立危险等级、识别危险区域、预计未来的飞行轨迹与地形是否冲突、计算未来120秒飞行航迹(Projected)、当前飞机飞行轨迹(Current)、航向、航线、沿航线垂直和侧向距离、转弯点、转弯半径、转弯距离、航路点、潜在的与危险地形的冲突、预测飞机相对危险区域的位置(Projected)、当前飞机相对危险区域的位置(Current)、飞机飞行航线、危险区域位置、危险区域坐标、危险区域高度和范围、飞机和危险区域的边界、危险区域高度限制、前视危险等级地形显示。
语音告警;
根据系统运行原理,分析出“危险区域数据”可能导致的最严重的事故为CFIT,严重性为1级。危险区域数据对系统功能的影响程度可以从以下5个方面分析。
直接性:危险区域数据错误直接影响前视威胁判断功能,进而影响飞行员或者地形感知告警系统做出错误的判断导致事故;
依赖性:危险区域数据描述危险区域位置的主要数据,也是前视威胁判断功能的主要依据;
易检测:危险区域数据在发送和接受的时候都会进行检测,一旦错误不易检测出来,无法保证先于事故检测到数据错误,可评为低等;
易预防:该数据的开发需要经历源数据收集人员、评审员、数据库编辑员以及数据发布人员等人的检测,而且当前该类数据的开发只能通过政府指定的个别权威机构完成,开发人员综合素质较高且开发过程完善,可评为高等;
易更正:该数据的开发需要经历源数据评审、数据编辑以及数据确认和验证等过程,每一步发生错误均可及时发现和及时更正,因此可评为高等。
根据以上分析,确定出危险区域数据对事故的影响程度为中等,结合数据危害的严重性,危险区域数据的安全等级为关键。
进一步地,建立数据供应链建模。
根据以上分析,危险区域位置数据是安全关键数据。因此对数据的供应链各个阶段的过程以及之间关系,并通过数据流图(DFD)对数据供应链建模。
数据供应链功能分解参考表7:
表7
数据供应链第0级数据流如图4所示。
数据收集第1级数据流图如图5所示。
数据验证与生成第1级数据流图如图6所示。
数据传输与发布第1级数据流图如图7所示。
数据应用第1级数据流图如图8所示。
进一步地,进行数据危害模式检查单分析。
根据建立的数据供应链,选取其中处理过程2.3关键数据评估以及更新、4.1数据加载与格式转换进行数据危害模式检查单分析。2.3-关键数据评估以及更新:识别当前危险区域数据是否发生变化,与现有的地形数据库中不同;对安全关键的危险区域数据变化进行及时地更新,保证数据的精度和分辨率。4.1-数据加载与格式转换是将更新的地形数据加载到系统中,同时转换为系统可以识别的格式。
结合数据危害模式检查单找出“危险区域位置数据”可能发生的错误类型:在2.3阶段可能发生数据值错误、数据精度不足、数据分辨率不足等;在4.1阶段可能发生数据格式错误、数据单位错误、数据加载失败等。本实施例以2.3阶段数据值错误和4.1阶段可能发生数据格式错误为例分析其原因和影响。
数据危害模式检查单如表8所示。
表8
数据错误类型可以从数据在数据供应链处理过程中由于处理引入的错误和处理过程之间数据流引入的错误。根据建立的数据供应链,选取4.4状态实时监控和告警以及4.1与4.2之间的数据流作为分析对象。4.4-监视和告警功能时刻监控表示飞机位置和飞行状态的传感器数据,将其与地形数据库进行对比,如果存在相撞危险则发出告警。
接着以4.4状态实时监控和告警以及4.1与4.2之间的数据流作为分析对象应用数据危险与可操作性(HAZOP)分析,结果如表9所示。
表9
通过以上的分析获得数据的关键安全属性包括完整性、格式、完好性等,数据错误模式包括数据错误、数据格式错误、数据丢失、数据缺失等,数据的安全等级为关键。根据危害控制技术推荐列给出初始的危害控制列表,危害控制技术对数据关键属性和数据危害模式的评估列表如表10所示:
| 危害控制技术 | 完整性 | 格式 | 完好性 |
| 数据格式检验 | 无 | 充分 | 无 |
| 合理性检测 | 部分 | 部分 | 部分 |
| 闭环反馈 | 无 | 无 | 充分 |
| 定期完整性检查 | 充分 | 无 | 充分 |
| 残余风险 | 无额外风险 | 无额外风险 | 无额外风险 |
表10
评估危害控制技术是否解决数据危害如表11所示:
表11
通过评估危害控制技术对数据安全性属性的保证,选取的技术可以充分地保证数据的安全性属性。而由于选取的技术无法充分地解决数据错误、数据缺失2类数据危害模式,且这2类危害都有人员的参与,数据的质量受人员能力水平的影响较大,因此需要增加技术来解决这2类错误,分析如表12所示:
表12
通过分析本文最终选定以下6种方法:独立第三方检验、数据格式检验、合理性检测、闭环反馈、定期完整性检查、自动重发请求来保证数据的质量与安全。
本发明提供的航空电子系统的数据安全性分析方法,首次提出了系统化的航电系统数据安全性综合分析方法以及实施流程,可以全面地识别系统数据安全性问题。提供了一个自顶向下的系统化的方法来建立系统安全相关功能与相关的信息、数据的依赖关系,并基于数据驱动的系统模型对识别的数据进行分类以及确定安全关键数据。总结了当前现有事故案例和文献中的安全相关数据和数据危害模式,可以充分利用以往的经验总结,及时发现危险因素避免事故的再次发生。通过对数据供应链的安全性分析可以全面的识别各个阶段可能引入的数据错误,并找出数据危害产生的根源,便于指导采取针对性的措施控制数据危害。
给出的针对航电系统的数据的安全性综合分析方法,可以发现航电系统的数据的静态和动态各种问题,提前发现数据带来的危险,提高系统的安全性,避免人员伤亡和财产损失,适用于军机和民机航电系统。其综合分析过程和方法的思路,也可应用于铁路、核电等安全关键系统的数据安全性分析。
应当理解的是,对本领域普通技术人员来说,可以根据上述说明加以改进或变换,而所有这些改进和变换都应属于本发明所附权利要求的保护范围。
Claims (4)
1.一种航空电子系统的数据安全性分析方法,其特征在于,包括:
建立基于数据驱动的系统模型;
根据所述系统模型识别安全相关数据,包括:根据所述系统模型确定安全目标;识别完成所述安全目标的安全相关功能;识别所述安全相关功能的运行依据信息;识别提供所述运行依据信息所需数据,并确定所述所需数据对系统事故或危害的影响程度;根据所述影响程度确定危害等级;建立所述安全相关数据的数据供应链模型,包括:确定各安全相关数据的数据供应链各个阶段;通过数据流图建立数据供应链每一阶段的数据流图;
根据所述数据供应链模型进行数据危害模式分析,包括:通过数据危害模式检查单分析每个安全相关数据;结合数据处理过程和要求对数据危害模式进行本地化,找出每个安全相关数据可能发生的错误类型、分析处理过程中发生错误的原因和影响,并进行汇总获得数据危害模式列表;
根据所述数据供应链模型进行危险与可操作性分析,包括:根据错误类型从数据在数据供应链处理过程中由于处理引入的错误和处理过程之间数据流引入的错误,确定所述数据供应链模型中关键处理过程和数据传输过程;结合所述数据危害模式检查单检查数据可能发生的危害模式;分析数据安全性属性;结合推荐引导词,分析数据可能的危害模式;分析各个处理过程或传输过程中数据危害的影响和原因;
根据分析结果获得数据危害控制技术并进行评估,包括:根据分析结果获得推荐的危害控制技术列表;评估选取的危害控制技术是否满足关键数据安全性属性;评估选取的危害控制技术是否满足可以解决每一个数据危害模式;如果选取的危害控制技术不可以解决每一个数据危害模式且都有人员的参与时,则增加危害控制技术来解决无法满足的数据危害;记录选取的危害控制技术列表以及分析过程。
2.根据权利要求1所述的航空电子系统的数据安全性分析方法,其特征在于,建立基于数据驱动的系统模型,包括:
描述航空电子系统的系统组成、运行模式、各个飞行阶段功能运行过程、人员信息、交联系统以及任务;
定义系统边界、接口、状态以及数据使用场景;
对系统数据进行分类。
3.根据权利要求1所述的航空电子系统的数据安全性分析方法,其特征在于,所述数据危害模式检查单包括数据危害模式分类以及描述;
所述数据危害模式分类以及描述包括:
数据无意义:数据损坏而失去意义;
数据值不准确:数据值在有效范围内但错误;
数据关联错误:数据值正确,但指向错误的对象;
数据精度不足:数据没有精确表示出其对应的信息,没有达到预期功能的要求;
分辨率不足:数据的分辨率没有达到预期功能的要求;
数据描述有歧义:数据可以被解释为不同的信息;
数据描述对象错误:数据指向多个对象;
虚假数据:数据描述的对象不是系统的组成部分;
表示相同数据的不同实例不一致:不同来源的同一数据存在差异;
连续数据项之间不一致:连续数据项之间的关系不正确;
数据缺失:数据集中的数据项缺失;
数据重复:非预期的数据重复;
数据多余:出现不需要的部分数据;
单位错误:数据使用错误的计量单位;
测量基准错误:未从正确的基线开始测量;
类型错误:数据使用错误的物理表示方法;
数据超出范围:数据值超出对应数据类型的值范围;
描述语言错误:使用错误的无法识别的计算机语言;
排序错误:数据元素未正确排序;
中途丢失:数据在传递过程中丢失;
重复接收数据:欲接收数据发送了不止一次;
过早:数据接收时间比预期早;
过晚/超期:数据接收时间比预期晚;
接收次序错误:数据未按照正常次序接收;
未收到数据:没有接收到预期的数据;
虚假来源:数据不是来自识别出的来源;
未知来源:数据在使用期间没有保存或者留存时间过短,无法追溯数据来源;
数据源不可访问:数据源不允许特定的数据访问。
4.根据权利要求1所述的航空电子系统的数据安全性分析方法,其特征在于,所述数据安全性属性包括:
完整性:数据正确,为真实目标未改变;
完备性:数据未丢失;
一致性:数据与描述对象实际的情况是否符合;
格式:数据以某种方式表示供使用者读取;
准确性:数据要有足够的细节用于某种目的;
分辨率:最小精度可在数据存储、传输和显示系统中重现;
可追踪性:可以追溯到数据的来源或变化;
时效性:数据按照要求更新;
可用性:当授权的实体要求访问时数据可用并可获取;
有序性:数据按要求的顺序进行保存;
所述完整性的推荐引导词包括部分、虚假、值错误、有歧义、重复以及多余;
所述完备性的推荐引导词包括部分、丢失、重复以及多余;
所述一致性的推荐引导词包括部分、歧义、虚假以及顺序混乱;
所述格式的推荐引导词包括无、超限、类型错误、顺序混乱以及单位错误;
所述准确性的推荐引导词包括不足以及过大;
所述分辨率的推荐引导词包括过大和过小;
所述可追踪性的推荐引导词包括无、可以索引、混淆以及虚假;
所述时效性的推荐引导词包括过早、过晚、接收次序以及丢失;
所述可用性的推荐引导词包括无效和采样率过大过小;
所述有序性的推荐引导词包括重复、多余、缺失、错误以及顺序混乱。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710804777.7A CN107766166B (zh) | 2017-09-07 | 2017-09-07 | 航空电子系统的数据安全性分析方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710804777.7A CN107766166B (zh) | 2017-09-07 | 2017-09-07 | 航空电子系统的数据安全性分析方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107766166A CN107766166A (zh) | 2018-03-06 |
| CN107766166B true CN107766166B (zh) | 2020-10-09 |
Family
ID=61265371
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710804777.7A Active CN107766166B (zh) | 2017-09-07 | 2017-09-07 | 航空电子系统的数据安全性分析方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107766166B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112382039A (zh) * | 2020-11-11 | 2021-02-19 | 海云创数字科技(南京)有限公司 | 一种智慧家庭认知控制物联系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102609557B (zh) * | 2011-11-11 | 2013-11-06 | 南京航空航天大学 | 航空发动机转子非包容失效安全性分析方法 |
| CN105183957A (zh) * | 2015-08-24 | 2015-12-23 | 中国航空无线电电子研究所 | 一种用于航空电子系统的鲁棒性分析方法 |
| EP3101536A1 (en) * | 2015-06-02 | 2016-12-07 | BAE Systems PLC | Safe aircraft avionics system interface |
| CN103778295B (zh) * | 2014-01-26 | 2017-02-15 | 南京航空航天大学 | 多失效模式下多模型集成航空发动机运行可靠性评估方法 |
-
2017
- 2017-09-07 CN CN201710804777.7A patent/CN107766166B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102609557B (zh) * | 2011-11-11 | 2013-11-06 | 南京航空航天大学 | 航空发动机转子非包容失效安全性分析方法 |
| CN103778295B (zh) * | 2014-01-26 | 2017-02-15 | 南京航空航天大学 | 多失效模式下多模型集成航空发动机运行可靠性评估方法 |
| EP3101536A1 (en) * | 2015-06-02 | 2016-12-07 | BAE Systems PLC | Safe aircraft avionics system interface |
| CN105183957A (zh) * | 2015-08-24 | 2015-12-23 | 中国航空无线电电子研究所 | 一种用于航空电子系统的鲁棒性分析方法 |
Non-Patent Citations (1)
| Title |
|---|
| 航电系统数据危害的模式和原理;纪华东等;《电子技术与软件工程》;20170430(第8期);205-207 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107766166A (zh) | 2018-03-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106601033B (zh) | 一种空中交通管制中期冲突的检测方法及装置 | |
| RU2573735C2 (ru) | Способ и система для анализа полетных данных, записанных во время полета летательного аппарата | |
| CN110589018B (zh) | 一种无人机系统安全能力等级检验及围栏管理系统及方法 | |
| Sahawneh et al. | Detect and avoid for small unmanned aircraft systems using ADS-B | |
| Cook et al. | UAS sense and avoid development-the challenges of technology, standards, and certification | |
| Kuchar | Safety analysis methodology for unmanned aerial vehicle (UAV) collision avoidance systems | |
| Brooker | Air traffic control separation minima: Part 1–the current stasis | |
| CN107766166B (zh) | 航空电子系统的数据安全性分析方法 | |
| Zeitlin et al. | Collision avoidance for unmanned aircraft: Proving the safety case | |
| Brooker | Air Traffic Management accident risk. Part 1: The limits of realistic modelling | |
| Landry | Human centered design in the air traffic control system | |
| Sáez Nieto et al. | Development of a three-dimensional collision risk model tool to assess safety in high density en-route airspaces | |
| Bilimoria | Methodology for the performance evaluation of a conflict probe | |
| Hemm et al. | Assessment of system safety risks for NextGen concepts and technologies | |
| Hübner et al. | Concept and Benefits of a Technology-Agnostic Dynamic Alert Limit Framework for a VTOL Autoland System | |
| Denney et al. | Assurance-driven Design of Machine Learning-based Functionality in an Aviation Systems Context | |
| Kiran et al. | Autopilot mode transitions and voter logic validation using model checking: a design study of formal methods | |
| Sesso et al. | An approach to assess the safety of ADS-B based unmanned aerial systems | |
| de Haag et al. | A terrain database integrity monitor for synthetic vision systems | |
| de Matos et al. | Using design patterns for safety assessment of integrated modular avionics | |
| Kumar et al. | Classification and Analysis of Go-Arounds in Commercial Aviation Using ADS-B Data. Aerospace 2021, 8, 291 | |
| Zeitlin | Technology milestones-detect, sense & avoid for unmanned aircraft systems | |
| Hemm et al. | Safety analysis of the separation assurance function in today's national airspace system | |
| García González | Development of a 3-dimensional mathematical collision risk model based on recorded aircraft trajectories to estimate the safety level in high density en-route airspaces | |
| Geffert et al. | Formalization of automation risks for dependability-based safeguarding of the nominal function |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |