民航网络信息安全风险评估

民航网络信息安全风险评估杨宏宇中国民航大学计算机科学与技术学院提 纲热点问题评估范围评估依据风险评估准备威胁分析脆弱性分析现有控制措施有效性分析风险分析风险处置热点问题威胁分析网络和信息系统的脆弱性分析网络与信息系统的安全性综合评估民航电子商务中的安全保障应对措施评估范围提供服务保障的基础信息网络和重要信息系统，包括公用电信网、广播电视传输网以及铁路运输系统、民航离港系统、交通指挥系统、电力生产系统、海关电子口岸系统、网络银行系统等；政府网站、新闻宣传媒体网站、门户网站等涉及新闻报道的网站；其他信息系统、网络和网站。评估依据《信息安全等级保护管理办法》（公通字[2007]43号）《信息安全技术信息安全风险评估规范》（GB/T20984-2007）

评估目的

一、识别与分析民航基础信息网络和重要信息系统所依赖的网络与信息系统存在的安全弱点已采取的安全措施的有效性二、确定评估对象潜在的安全风险等级三、提出风险管理的处置建议风险评估流程

风险评估准备

成立专门的风险评估小组

划定风险评估的范围确定风险评估目标和方法制定详细的风险评估实施方案风险评估准备保护对象分析包括信息系统、网络、网站及其承载的信息内容对保护对象的功能、业务特性等做深入的识别分析，并依据等级保护相关标准，确定保护对象的重要性级别。主要应考虑两个方面：一是保护对象中所存储、处理、传输的主要信息二是保护对象所提供的主要服务

风险评估准准备保护对象重重要性级别别依不同程程度分为5级保护对象重要性描述很低保护对象对于业务重要性很低，遭受破坏后造成的损失很低，甚至可以忽略不计。低保护对象对于业务重要性较低，遭受破坏后会造成较低的损失。中等保护对象对于业务比较重要，遭受破坏后会造成中等程度的损失。高保护对象对于业务重要性较高，遭受破坏后会造成比较严重的损失。很高保护对象对于业务重要性非常重要，遭受破坏后会造成非常严重的损失。威胁分析根据以往的的数据资料料积累根据基础调调研获取的的信息情况况根据有针对对性的情报报搜集工作作获取的最最新情报信信息威胁分析的的依据:威胁识别对所有可能能的威胁进进行分析从不同层面面逐一排查查和筛选可可能对保护护对象造成成损害的威威胁源，排排除非真实实的威胁源源对确定的威威胁源进行行梳理分类类威胁识别来源描述威胁子类故意人为因素组织实施违法犯罪活动、发布违法信息、实施网络攻击、植入恶意代码、窃泄密、篡改数据信息、实施物理破坏非故意人为因素未操作或操作失误应该执行而没有执行相应的操作，或无意执行了错误的操作维护错误、操作失误等管理不到位安全管理措施未落实或不到位，影响信息系统正常运行管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全、渎职失职等环境因素及故障物理环境影响对系统正常运行造成影响的物理环境问题和自然灾害断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等软硬件故障对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件缺陷等问题设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障等………威胁来源列列表确定威胁等等级威胁意图和和威胁能力力脆弱性分析析脆弱性是保保护对象本本身存在的的，威胁总总是利用保保护对象的的脆弱性才才可能造成成危害只有找出每每一个保护护对象可能能被威胁源源利用的脆脆弱性并进进行分析，，才有可能能准确的确确定保护对对象面临的的风险脆弱性分析析－脆弱性识识别从技术和管管理两个方方面进行脆脆弱性识别别技术脆弱性性:物理层层、网络层层、系统层层、应用层层等各个层层面的安全全问题管理脆弱性性:技术管管理脆弱性性、管理组组织脆弱性性、信息内内容管理脆脆弱性脆弱性分析析－脆弱性识识别脆弱性识别别所采用的的方法主要要有：问卷调查、、工具检测测、人工核核查、文档档查阅、渗渗透性测试试、专家分分析和专项项调研等脆弱性分析析－脆弱性识识别类型识别对象识别内容技术脆弱性网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别系统软件从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别应用中间件从协议安全、交易完整性、数据的完整性、可用性和保密性等方面进行识别应用系统从审计机制、审计存储、访问控制策略、数据的完整性、可用性和保密性、通信、鉴别机制、密码保护等方面进行识别脆弱性识别别内容表脆弱性分析析－脆弱性识识别类型识别对象识别内容管理脆弱性

技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、应用服务等方面进行识别组织管理从安全策略、组织结构、规章制度、人员管理等方面进行识别信息内容管理从待发布信息的审核机制、已发布信息的巡查处置等方面进行识别脆弱性识别别内容表（（续）脆弱性分析析－确定脆弱等等级脆弱性的严重重程度脆弱性对于威威胁的吸引程程度脆弱性严重程程度越突出，，受保护对象象威胁吸引力力就越大，受受到攻击和破破坏的可能性性就越大脆弱性分析－确定脆弱等级级脆弱性等级描述很低保护对象弱点很不明显，对威胁吸引力很小低保护对象弱点不明显，对威胁吸引力小中等保护对象弱点比较明显，对威胁吸引力较小高保护对象弱点明显，对威胁吸引力大很高保护对象弱点非常明显，对威胁吸引力非常大脆弱性等级划划分现有控制措施施有效性分析析依据国家现行行法律法规和和有关政策规规定及等级保保护相关标准准，识别现有有控制措施，，分析其措施施的有效性，，从而确定威威胁源利用弱弱点的实际可可能性现有控制措施施有效性分析析－现有控制措措施识别对现有控制措措施识别方法法：系统调研、相相关文档复查查、人员面谈谈、现场勘查查、清单检查查、建立数据据库、经验总总结梳理并列出清清单现有控制措施施有效性分析析－现有控制措措施识别控制措施可分分为以下几类类：威慑性措施用于降低威胁胁源对信息网网络实施蓄意意攻击的可能能性，可在一一定程度上起起到威慑作用用，如法律宣宣传、网络反反恐演习等预警性措施用于保护信息息网络，使干干扰破坏活动动难以实现，，或者降低干干扰破坏或威威胁因素造成成的影响，如如果强情报搜搜集、网络和和系统监控等等检验性措施用于及时发现现干扰破坏活活动或威胁因因素，以使损损害程度降到到最低，如系系统入侵检测测、网络实战战演练等处置性措施对已发生的风风险后果采取取措施，对已已实施的控制制措施进行完完善，可以使使因干扰破坏坏活动或威胁胁因素造成的的影响或损害害减小到最小小程度，如应应急响应、容容灾备份等现有有控控制制措措施施有有效效性性分分析析－确确定定现现有有控控制制措措施施有有效效性性等等级级控制措施的有效性等级描述很低现有控制措施无效低现有控制措施几乎无效中等现有控制措施有一定效果高现有控制措施有效很高现有控制措施非常有效风险险分分析析依据据保保护护对对象象重重要要性性等等级级、、威威胁胁等等级级、、脆脆弱弱性性等等级级、、现现有有控控制制措措施施有有效效性性等等级级，，综综合合确确定定风风险险率率和和风风险险后后果果，，并并最最终终确确定定风风险险等等级级风险险分分析析风险险分分析析原原理理风险险分分析析三个个关关键键计计算算环环节节：：确定定风风险险率率根据据威威胁胁等等级级、、脆脆弱弱性性等等级级及及现现有有控控制制措措施施有有效效性性等等级级，，计计算算风风险险发发生生的的可可能能性性，，即即风风险险概概率率确定定风风险险后后果果根据据被被保保护护对对象象的的重重要要性性程程度度，，计计算算风风险险事事件件一一旦旦发发生生后后造造成成的的损损失失，，即即风风险险后后果果确定定风风险险等等级级根据据计计算算出出的的风风险险概概率率以以及及风风险险后后果果，，确确定定风风险险等等级级风险险分分析析－确确定定风风险险概概率率风险险概概率率＝＝威威胁胁等等级级××脆脆弱弱性性等等级级／／现现有有控控制制措措施施有有效效性性等等级级威胁胁等等级级越越高高风风险险发发生生概概率率越越大大，，威威胁胁等等级级越越低低则则风风险险发发生生概概率率越越小小保护目标标脆弱性性等级越越低，则则遭受攻攻击的可可能性越越小，脆脆弱性越越高，则则遭受攻攻击的可可能性越越大控制措施施的效果果越小，，则保护护目标遭遭受攻击击的可能能性就会会越大，，现有控制制措施越越是有效效，则保保护目标标遭受攻攻击的可可能性就就会越小小风险分析析－确定风风险概率率依风险发发生概率率大小将将其划分分为5个个等级：：必然发生生→非常常可能→→有可能能→不大大可能→→基本不不可能风险分析析－确定风风险概率率风险概率率分析过过程（中中间结果果）表风险分析析－确定风风险概率率风险概率率矩阵表表（风险险概率最最终结果果表）风险分析析－确定风风险概率率风险概率率描述表表等级描述必然发生肯定会发生非常可能在大多数情况下很有可能发生有可能有某些时候会发生不太可能只有在例外情况下可能会发生基本不可能基本不会发生风险分析析－确定风风险后果果评估风险险后果是是风险评评估过程程中最重重要的环环节之一一依据保护护对象的的重要性性等级，，判断一一旦针对对保护对对象发生生风险事事件所造造成的风风险后果果。根据严重重程度将将风险后后果划分分成5个个等级：：灾难性→→高→中中→低→→很低风险分析析－确定风风险后果果风险后果果等级划划分等级描述灾难性有关设施、财务受到严重损害，业务和重大活动受到严重干扰，给国家形象、外交关系、社会舆论和民众心理造成严重负面影响等。高有关设施、财务受到较大损害，业务和重大活动受到较大干扰，给国家形象、社会舆论和民众心理造成较大负面影响等。中有关设施、财物受到一定损失，业务和重大活动受到一定干扰，给国家形象、社会舆论和民众心理造成负面影响等。低有关设施、财物受到较小损害，业务和重大活动受到较小干扰，给国家形象、社会舆论和民众心理造成较小负面影响等。很低有关设施、财物几乎没有受到损害，业务和重大活动基本没有受到干扰，基本没有给国家形象、社会舆论和民众心理造成影响等。风险分析析－确定风风险等级级评估风险险等级有有两个关关键因素素：风险造成成的后果果及影响响风险发生生的可能能性前者通过过识别与与分析保保护对象象得到确确定后者可根根据威胁胁分析，，脆弱性性分析、、现有控控制措施施有效性性分析进进行确认认风险等级级计算方方式：风险等级级=风险险概率*风险后后果风险分析析－确定风风险等级级根据风险险大小程程度将风风险等级级划分为为4个等等级：极高→高→中中等→低风险处置根据风险等级、保保护对象的重重要性等级、、威胁源及威威胁程度、脆弱性等级、、现有控制措措施有效性、、可能产生的的风险后果依据等级保护护相关标准，，统筹兼顾，，综合考虑，，提出处理建建议目的是减低或或控制风险等等级，使风险险达到一个可可以接受的水水平风险处置－处置建议原原则可行性原则应在国家政策策和执行单位位的资源及条条件允许范围围之内有效性原则能有效弥补安安全漏洞，改改进不足，防防止威胁，减减低或避免不不利后果，从从而降低或规规避风险针对性原则针对不同风险险等级，针对对不同风险源源，提出相应应处置建议成本效益原则则应该在一定资资源条件下，，寻求最适宜宜措施，获取取最大安保效效应，将风险险降到最低风险处置－实施风险处置置依据可能接受受风险等级，，判断现存风风险是否可接接受如果判断结果果是可接受，，则选择接受受风险，保持持现有控制措措施否则继续风险险处置过程，，对于不可接接受的风险提提出实施风险险处置的意见见风险处置－实施风险处置置确定风险处置置目标根据现存风险险判断的结果果，将不可能能接受的风险险作为实施风风险处置的目目标风险处置－实施风险处置置选择风险处置置方式接受风险由于现有的风风险较低，