民航網絡信息安全風險評估

民航網絡信息安全風險評估楊宏宇中國民航大學計算機科學與技術學院提 綱熱點問題評估范圍評估依據風險評估準備威脅分析脆弱性分析現有控制措施有效性分析風險分析風險處置熱點問題威脅分析網絡和信息系統的脆弱性分析網絡與信息系統的安全性綜合評估民航電子商務中的安全保障應對措施評估范圍提供服務保障的基礎信息網絡和重要信息系統，包括公用電信網、廣播電視傳輸網以及鐵路運輸系統、民航離港系統、交通指揮系統、電力生產系統、海關電子口岸系統、網絡銀行系統等；政府網站、新聞宣傳媒體網站、門戶網站等涉及新聞報道的網站；其他信息系統、網絡和網站。評估依據《信息安全等級保護管理辦法》（公通字[2007]43號）《信息安全技術信息安全風險評估規(guī)范》（GB/T20984-2007）

評估目的

一、識別與分析民航基礎信息網絡和重要信息系統所依賴的網絡與信息系統存在的安全弱點已采取的安全措施的有效性二、確定評估對象潛在的安全風險等級三、提出風險管理的處置建議風險評估流程

風險評估準備

成立專門的風險評估小組

劃定風險評估的范圍確定風險評估目標和方法制定詳細的風險評估實施方案風險評估準備保護對象分析包括信息系統、網絡、網站及其承載的信息內容對保護對象的功能、業(yè)務特性等做深入的識別分析，并依據等級保護相關標準，確定保護對象的重要性級別。主要應考慮兩個方面：一是保護對象中所存儲、處理、傳輸的主要信息二是保護對象所提供的主要服務

風險評估準準備保護對象重重要性級別別依不同程程度分為5級保護對象重要性描述很低保護對象對于業(yè)務重要性很低，遭受破壞后造成的損失很低，甚至可以忽略不計。低保護對象對于業(yè)務重要性較低，遭受破壞后會造成較低的損失。中等保護對象對于業(yè)務比較重要，遭受破壞后會造成中等程度的損失。高保護對象對于業(yè)務重要性較高，遭受破壞后會造成比較嚴重的損失。很高保護對象對于業(yè)務重要性非常重要，遭受破壞后會造成非常嚴重的損失。威脅分析根據以往的的數據資料料積累根據基礎調調研獲取的的信息情況況根據有針對對性的情報報搜集工作作獲取的最最新情報信信息威脅分析的的依據:威脅識別對所有可能能的威脅進進行分析從不同層面面逐一排查查和篩選可可能對保護護對象造成成損害的威威脅源，排排除非真實實的威脅源源對確定的威威脅源進行行梳理分類類威脅識別來源描述威脅子類故意人為因素組織實施違法犯罪活動、發(fā)布違法信息、實施網絡攻擊、植入惡意代碼、竊泄密、篡改數據信息、實施物理破壞非故意人為因素未操作或操作失誤應該執(zhí)行而沒有執(zhí)行相應的操作，或無意執(zhí)行了錯誤的操作維護錯誤、操作失誤等管理不到位安全管理措施未落實或不到位，影響信息系統正常運行管理制度和策略不完善、管理規(guī)程缺失、職責不明確、監(jiān)督控管機制不健全、瀆職失職等環(huán)境因素及故障物理環(huán)境影響對系統正常運行造成影響的物理環(huán)境問題和自然災害斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災、火災、地震等軟硬件故障對業(yè)務實施或系統運行產生影響的設備硬件故障、通訊鏈路中斷、系統本身或軟件缺陷等問題設備硬件故障、傳輸設備故障、存儲媒體故障、系統軟件故障、應用軟件故障、數據庫軟件故障、開發(fā)環(huán)境故障等………威脅來源列列表確定威脅等等級威脅意圖和和威脅能力力脆弱性分析析脆弱性是保保護對象本本身存在的的，威脅總總是利用保保護對象的的脆弱性才才可能造成成危害只有找出每每一個保護護對象可能能被威脅源源利用的脆脆弱性并進進行分析，，才有可能能準確的確確定保護對對象面臨的的風險脆弱性分析析－脆弱性識識別從技術和管管理兩個方方面進行脆脆弱性識別別技術脆弱性性:物理層層、網絡層層、系統層層、應用層層等各個層層面的安全全問題管理脆弱性性:技術管管理脆弱性性、管理組組織脆弱性性、信息內內容管理脆脆弱性脆弱性分析析－脆弱性識識別脆弱性識別別所采用的的方法主要要有：問卷調查、、工具檢測測、人工核核查、文檔檔查閱、滲滲透性測試試、專家分分析和專項項調研等脆弱性分析析－脆弱性識識別類型識別對象識別內容技術脆弱性網絡結構從網絡結構設計、邊界保護、外部訪問控制策略、內部訪問控制策略、網絡設備安全配置等方面進行識別系統軟件從補丁安裝、物理保護、用戶帳號、口令策略、資源共享、事件審計、訪問控制、新系統配置、注冊表加固、網絡安全、系統管理等方面進行識別應用中間件從協議安全、交易完整性、數據的完整性、可用性和保密性等方面進行識別應用系統從審計機制、審計存儲、訪問控制策略、數據的完整性、可用性和保密性、通信、鑒別機制、密碼保護等方面進行識別脆弱性識別別內容表脆弱性分析析－脆弱性識識別類型識別對象識別內容管理脆弱性

技術管理從物理和環(huán)境安全、通信與操作管理、訪問控制、系統開發(fā)與維護、應用服務等方面進行識別組織管理從安全策略、組織結構、規(guī)章制度、人員管理等方面進行識別信息內容管理從待發(fā)布信息的審核機制、已發(fā)布信息的巡查處置等方面進行識別脆弱性識別別內容表（（續(xù)）脆弱性分析析－確定脆弱等等級脆弱性的嚴重重程度脆弱性對于威威脅的吸引程程度脆弱性嚴重程程度越突出，，受保護對象象威脅吸引力力就越大，受受到攻擊和破破壞的可能性性就越大脆弱性分析－確定脆弱等級級脆弱性等級描述很低保護對象弱點很不明顯，對威脅吸引力很小低保護對象弱點不明顯，對威脅吸引力小中等保護對象弱點比較明顯，對威脅吸引力較小高保護對象弱點明顯，對威脅吸引力大很高保護對象弱點非常明顯，對威脅吸引力非常大脆弱性等級劃劃分現有控制措施施有效性分析析依據國家現行行法律法規(guī)和和有關政策規(guī)規(guī)定及等級保保護相關標準準，識別現有有控制措施，，分析其措施施的有效性，，從而確定威威脅源利用弱弱點的實際可可能性現有控制措施施有效性分析析－現有控制措措施識別對現有控制措措施識別方法法：系統調研、相相關文檔復查查、人員面談談、現場勘查查、清單檢查查、建立數據據庫、經驗總總結梳理并列出清清單現有控制措施施有效性分析析－現有控制措措施識別控制措施可分分為以下幾類類：威懾性措施用于降低威脅脅源對信息網網絡實施蓄意意攻擊的可能能性，可在一一定程度上起起到威懾作用用，如法律宣宣傳、網絡反反恐演習等預警性措施用于保護信息息網絡，使干干擾破壞活動動難以實現，，或者降低干干擾破壞或威威脅因素造成成的影響，如如果強情報搜搜集、網絡和和系統監(jiān)控等等檢驗性措施用于及時發(fā)現現干擾破壞活活動或威脅因因素，以使損損害程度降到到最低，如系系統入侵檢測測、網絡實戰(zhàn)戰(zhàn)演練等處置性措施對已發(fā)生的風風險后果采取取措施，對已已實施的控制制措施進行完完善，可以使使因干擾破壞壞活動或威脅脅因素造成的的影響或損害害減小到最小小程度，如應應急響應、容容災備份等現有有控控制制措措施施有有效效性性分分析析－確確定定現現有有控控制制措措施施有有效效性性等等級級控制措施的有效性等級描述很低現有控制措施無效低現有控制措施幾乎無效中等現有控制措施有一定效果高現有控制措施有效很高現有控制措施非常有效風險險分分析析依據據保保護護對對象象重重要要性性等等級級、、威威脅脅等等級級、、脆脆弱弱性性等等級級、、現現有有控控制制措措施施有有效效性性等等級級，，綜綜合合確確定定風風險險率率和和風風險險后后果果，，并并最最終終確確定定風風險險等等級級風險險分分析析風險險分分析析原原理理風險險分分析析三個個關關鍵鍵計計算算環(huán)環(huán)節(jié)節(jié)：：確定定風風險險率率根據據威威脅脅等等級級、、脆脆弱弱性性等等級級及及現現有有控控制制措措施施有有效效性性等等級級，，計計算算風風險險發(fā)發(fā)生生的的可可能能性性，，即即風風險險概概率率確定定風風險險后后果果根據據被被保保護護對對象象的的重重要要性性程程度度，，計計算算風風險險事事件件一一旦旦發(fā)發(fā)生生后后造造成成的的損損失失，，即即風風險險后后果果確定定風風險險等等級級根據據計計算算出出的的風風險險概概率率以以及及風風險險后后果果，，確確定定風風險險等等級級風險險分分析析－確確定定風風險險概概率率風險險概概率率＝＝威威脅脅等等級級××脆脆弱弱性性等等級級／／現現有有控控制制措措施施有有效效性性等等級級威脅脅等等級級越越高高風風險險發(fā)發(fā)生生概概率率越越大大，，威威脅脅等等級級越越低低則則風風險險發(fā)發(fā)生生概概率率越越小小保護目標標脆弱性性等級越越低，則則遭受攻攻擊的可可能性越越小，脆脆弱性越越高，則則遭受攻攻擊的可可能性越越大控制措施施的效果果越小，，則保護護目標遭遭受攻擊擊的可能能性就會會越大，，現有控制制措施越越是有效效，則保保護目標標遭受攻攻擊的可可能性就就會越小小風險分析析－確定風風險概率率依風險發(fā)發(fā)生概率率大小將將其劃分分為5個個等級：：必然發(fā)生生→非常?？赡堋锌赡苣堋淮蟠罂赡堋静徊豢赡茱L險分析析－確定風風險概率率風險概率率分析過過程（中中間結果果）表風險分析析－確定風風險概率率風險概率率矩陣表表（風險險概率最最終結果果表）風險分析析－確定風風險概率率風險概率率描述表表等級描述必然發(fā)生肯定會發(fā)生非常可能在大多數情況下很有可能發(fā)生有可能有某些時候會發(fā)生不太可能只有在例外情況下可能會發(fā)生基本不可能基本不會發(fā)生風險分析析－確定風風險后果果評估風險險后果是是風險評評估過程程中最重重要的環(huán)環(huán)節(jié)之一一依據保護護對象的的重要性性等級，，判斷一一旦針對對保護對對象發(fā)生生風險事事件所造造成的風風險后果果。根據嚴重重程度將將風險后后果劃分分成5個個等級：：災難性→→高→中中→低→→很低風險分析析－確定風風險后果果風險后果果等級劃劃分等級描述災難性有關設施、財務受到嚴重損害，業(yè)務和重大活動受到嚴重干擾，給國家形象、外交關系、社會輿論和民眾心理造成嚴重負面影響等。高有關設施、財務受到較大損害，業(yè)務和重大活動受到較大干擾，給國家形象、社會輿論和民眾心理造成較大負面影響等。中有關設施、財物受到一定損失，業(yè)務和重大活動受到一定干擾，給國家形象、社會輿論和民眾心理造成負面影響等。低有關設施、財物受到較小損害，業(yè)務和重大活動受到較小干擾，給國家形象、社會輿論和民眾心理造成較小負面影響等。很低有關設施、財物幾乎沒有受到損害，業(yè)務和重大活動基本沒有受到干擾，基本沒有給國家形象、社會輿論和民眾心理造成影響等。風險分析析－確定風風險等級級評估風險險等級有有兩個關關鍵因素素：風險造成成的后果果及影響響風險發(fā)生生的可能能性前者通過過識別與與分析保保護對象象得到確確定后者可根根據威脅脅分析，，脆弱性性分析、、現有控控制措施施有效性性分析進進行確認認風險等級級計算方方式：風險等級級=風險險概率*風險后后果風險分析析－確定風風險等級級根據風險險大小程程度將風風險等級級劃分為為4個等等級：極高→高→中中等→低風險處置根據風險等級、保保護對象的重重要性等級、、威脅源及威威脅程度、脆弱性等級、、現有控制措措施有效性、、可能產生的的風險后果依據等級保護護相關標準，，統籌兼顧，，綜合考慮，，提出處理建建議目的是減低或或控制風險等等級，使風險險達到一個可可以接受的水水平風險處置－處置建議原原則可行性原則應在國家政策策和執(zhí)行單位位的資源及條條件允許范圍圍之內有效性原則能有效彌補安安全漏洞，改改進不足，防防止威脅，減減低或避免不不利后果，從從而降低或規(guī)規(guī)避風險針對性原則針對不同風險險等級，針對對不同風險源源，提出相應應處置建議成本效益原則則應該在一定資資源條件下，，尋求最適宜宜措施，獲取取最大安保效效應，將風險險降到最低風險處置－實施風險處置置依據可能接受受風險等級，，判斷現存風風險是否可接接受如果判斷結果果是可接受，，則選擇接受受風險，保持持現有控制措措施否則繼續(xù)風險險處置過程，，對于不可接接受的風險提提出實施風險險處置的意見見風險處置－實施風險處置置確定風險處置置目標根據現存風險險判斷的結果果，將不可能能接受的風險險作為實施風風險處置的目目標風險處置－實施風險處置置選擇風險處置置方式接受風險由于現有的風風險較低，