黃式敏,馬 勇,楊忠鵬,盧銳恒
(1.廈門(mén)兆翔智能科技有限公司,福建 廈門(mén) 361006;2.民航成都電子技術(shù)有限責(zé)任公司,四川 成都 610043;3.電子科技大學(xué),四川 成都 611731)
習(xí)近平總書(shū)記指出,在互聯(lián)網(wǎng)經(jīng)濟(jì)時(shí)代,數(shù)據(jù)是新的生產(chǎn)要素,是基礎(chǔ)性資源和戰(zhàn)略性資源,也是重要生產(chǎn)力。為加強(qiáng)數(shù)據(jù)安全管理,我國(guó)相繼出臺(tái)“四法一條例”,即《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》《中華人民共和國(guó)反電信網(wǎng)絡(luò)詐騙法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》,建立我國(guó)數(shù)據(jù)安全保護(hù)防線。民航作為一個(gè)敏感數(shù)據(jù)高度集中的行業(yè),數(shù)據(jù)安全問(wèn)題愈發(fā)凸顯。例如,2017 年11 月,50 多家民航網(wǎng)站被黑客入侵,竊取公民信息30 多萬(wàn)條,不法分子利用這些信息實(shí)施網(wǎng)絡(luò)詐騙,騙取金額1 000 多萬(wàn)元;2020 年7 月,一機(jī)場(chǎng)員工在“閑魚(yú)”被策反,多次刺探、截獲政府重要人員行程,被判刑13 年。因此,民航數(shù)據(jù)安全密切關(guān)系到旅客個(gè)人權(quán)益、產(chǎn)業(yè)健康發(fā)展乃至國(guó)家安全。
通過(guò)對(duì)民航行業(yè)數(shù)據(jù)安全保護(hù)工作的深入調(diào)研,在智慧民航背景下,民航行業(yè)對(duì)數(shù)據(jù)的依賴(lài)程度進(jìn)一步提高,其數(shù)據(jù)安全保護(hù)工作也更加迫切。民航數(shù)據(jù)安全面臨民航旅客數(shù)據(jù)泄露形勢(shì)嚴(yán)峻、新技術(shù)應(yīng)用衍生新的數(shù)據(jù)安全問(wèn)題、數(shù)據(jù)安全相關(guān)行業(yè)法規(guī)標(biāo)準(zhǔn)不健全等主要問(wèn)題。為提高民航行業(yè)數(shù)據(jù)安全保護(hù)能力,保障旅客合法權(quán)益,維護(hù)行業(yè)健康發(fā)展,《民航局關(guān)于印發(fā)〈推動(dòng)新型基礎(chǔ)設(shè)施建設(shè)促進(jìn)高質(zhì)量發(fā)展實(shí)施意見(jiàn)〉的通知》(民航發(fā)〔2020〕62 號(hào))中指出“完善數(shù)據(jù)安全治理體系”;《中國(guó)民用航空局關(guān)于印發(fā)智慧民航建設(shè)路線圖的通知》(民航發(fā)〔2022〕1 號(hào))中指出“加強(qiáng)旅客數(shù)據(jù)和隱私保護(hù)”;《“十四五”民用航空發(fā)展規(guī)劃》中指出“加強(qiáng)重要數(shù)據(jù)保護(hù),防止泄露、損害、違法使用旅客個(gè)人信息”。
同時(shí),民航也是一個(gè)國(guó)際性的行業(yè),國(guó)際民航組織(International Civil Aviation Organization,ICAO)對(duì)網(wǎng)絡(luò)安全工作同樣高度重視,ICAO 發(fā)布的《航空網(wǎng)絡(luò)安保戰(zhàn)略》中明確提出,要將網(wǎng)絡(luò)安保納入國(guó)家航空安保和安全監(jiān)督系統(tǒng),并將其作為全面的風(fēng)險(xiǎn)管理框架的組成部分。同時(shí),ICAO 也意識(shí)到存在不同的風(fēng)險(xiǎn)評(píng)估方法,因此應(yīng)優(yōu)先考慮修訂和制定關(guān)于網(wǎng)絡(luò)安保威脅和風(fēng)險(xiǎn)評(píng)估的指導(dǎo)材料,以便實(shí)現(xiàn)此類(lèi)評(píng)估結(jié)果的可比性。在整個(gè)民用航空部門(mén)內(nèi),網(wǎng)絡(luò)安保政策可以考慮到航空系統(tǒng)的完整生命周期,并納入各種因素,包括網(wǎng)絡(luò)安保文化、通過(guò)設(shè)計(jì)推動(dòng)安保、軟件和硬件的供應(yīng)鏈安保、數(shù)據(jù)完好性、適當(dāng)?shù)木W(wǎng)絡(luò)出入管制、積極主動(dòng)的管理薄弱環(huán)節(jié)、改進(jìn)安保更新的敏捷性而不損害安全,以及納入監(jiān)測(cè)網(wǎng)絡(luò)安保相關(guān)數(shù)據(jù)的系統(tǒng)和程序[1]。
對(duì)于民航行業(yè)數(shù)據(jù)數(shù)量多、類(lèi)型復(fù)雜的特點(diǎn),雖然民航行業(yè)針對(duì)數(shù)據(jù)安全開(kāi)展了部分工作,并制定了MH/T 5057—2021《智慧民航數(shù)據(jù)治理規(guī)范 數(shù)據(jù)安全》等相關(guān)標(biāo)準(zhǔn)規(guī)范,但是對(duì)于民航行業(yè)各個(gè)業(yè)務(wù)系統(tǒng)全生命周期所涉及的數(shù)據(jù)安全保護(hù)工作仍存在不足,為提升整個(gè)行業(yè)的數(shù)據(jù)安全防護(hù)能力,保障旅客權(quán)益、公共利益和國(guó)家安全,本文擬通過(guò)對(duì)民航數(shù)據(jù)安全評(píng)估體系的探討,研究民航數(shù)據(jù)安全評(píng)估的目標(biāo)、流程、方法等,為行業(yè)數(shù)據(jù)安全保護(hù)工作奠定基礎(chǔ)。
民航數(shù)據(jù)安全評(píng)估模型以GB/T 20984—2022《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估方法》為基礎(chǔ),主要從數(shù)據(jù)安全評(píng)估對(duì)象、評(píng)估目標(biāo)和評(píng)估內(nèi)容3 個(gè)維度出發(fā),充分考慮國(guó)家和行業(yè)數(shù)據(jù)安全法規(guī)標(biāo)準(zhǔn),以及民航數(shù)據(jù)平臺(tái)系統(tǒng)與數(shù)據(jù)安全要求的特點(diǎn),對(duì)數(shù)據(jù)安全保護(hù)工作進(jìn)行全面評(píng)估,得出綜合性的評(píng)估結(jié)果。圍繞數(shù)據(jù)生命周期采集、存儲(chǔ)、傳輸、處理、交換、銷(xiāo)毀的各個(gè)階段,開(kāi)展民航敏感數(shù)據(jù)梳理,并對(duì)數(shù)據(jù)安全存儲(chǔ)、監(jiān)控、審計(jì)、追溯等數(shù)據(jù)安全保護(hù)能力進(jìn)行評(píng)估,最終建立以數(shù)據(jù)資產(chǎn)識(shí)別為基礎(chǔ),以數(shù)據(jù)全生命周期的威脅識(shí)別、安全措施識(shí)別、脆弱性識(shí)別為抓手,以數(shù)據(jù)安全風(fēng)險(xiǎn)分析和數(shù)據(jù)安全評(píng)估結(jié)果為中心的數(shù)據(jù)安全評(píng)估模型,如圖1 所示。
圖1 數(shù)據(jù)安全評(píng)估模型
按照數(shù)據(jù)安全的生命周期對(duì)民航敏感數(shù)據(jù)進(jìn)行安全評(píng)估,對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行威脅識(shí)別、安全措施識(shí)別、脆弱性識(shí)別。
威脅識(shí)別是對(duì)數(shù)據(jù)資產(chǎn)在處理活動(dòng)中可能遭受的危害進(jìn)行識(shí)別,這些危害可能涉及保密性、完整性和可用性等方面。并進(jìn)一步分析這些威脅的動(dòng)機(jī)、發(fā)生的頻率和可能性,并從威脅來(lái)源、保護(hù)能力和攻擊態(tài)勢(shì)等方面出具威脅識(shí)別報(bào)告。
安全措施識(shí)別是針對(duì)民航企業(yè)已采取的安全措施有效性的確認(rèn),可以分預(yù)防性和保護(hù)性?xún)煞N。其中,預(yù)防性安全措施可以降低因威脅利用脆弱點(diǎn)而導(dǎo)致安全事件發(fā)生的可能性;保護(hù)性安全措施可以減少因安全事件發(fā)生對(duì)信息系統(tǒng)造成的影響,結(jié)合這兩個(gè)方面的內(nèi)容,可形成安全性措施識(shí)別報(bào)告。
脆弱性識(shí)別是風(fēng)險(xiǎn)評(píng)估中最重要的一個(gè)環(huán)節(jié),以資產(chǎn)為核心,針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn),識(shí)別可能被威脅利用的弱點(diǎn),這個(gè)過(guò)程需要從技術(shù)和管理兩個(gè)方面進(jìn)行,技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個(gè)層面的安全問(wèn)題;管理脆弱性又可分為技術(shù)管理脆弱性和組織管理脆弱性?xún)蓚€(gè)方面,前者與具體技術(shù)活動(dòng)相關(guān),后者與管理環(huán)境相關(guān),將技術(shù)與管理兩方面結(jié)合,可出具脆弱性識(shí)別報(bào)告[2]。
數(shù)據(jù)安全風(fēng)險(xiǎn)分析是理解風(fēng)險(xiǎn)本質(zhì)和確定風(fēng)險(xiǎn)水平的過(guò)程。
(1)根據(jù)數(shù)據(jù)威脅與脆弱性利用關(guān)系,結(jié)合數(shù)據(jù)威脅發(fā)生的可能性、脆弱性和可利用性,判斷安全事件發(fā)生的可能性。
(2)根據(jù)脆弱性影響嚴(yán)重程度及數(shù)據(jù)重要程度,計(jì)算安全事件影響嚴(yán)重程度。
(3)根據(jù)安全事件發(fā)生的可能性以及安全事件影響嚴(yán)重程度,判斷風(fēng)險(xiǎn)值。
數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)價(jià)將風(fēng)險(xiǎn)分析結(jié)果與風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較,以確定風(fēng)險(xiǎn)和/或其大小是否可以接受或可容忍的過(guò)程。
民航行業(yè)的敏感數(shù)據(jù)高度集中,如民航旅客信息等。本文認(rèn)為進(jìn)行民航數(shù)據(jù)資產(chǎn)的識(shí)別和保護(hù)工作應(yīng)該以相關(guān)組織的所有數(shù)據(jù)作為一個(gè)整體進(jìn)行保護(hù),統(tǒng)一對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行梳理和分類(lèi)分級(jí)。開(kāi)展數(shù)據(jù)資產(chǎn)識(shí)別的基礎(chǔ)工作是數(shù)據(jù)分類(lèi)分級(jí),民航行業(yè)制定了MH/T 5057—2021《智慧民航數(shù)據(jù)治理規(guī)范 數(shù)據(jù)安全》,明確了民航行業(yè)如何進(jìn)行數(shù)據(jù)分類(lèi)分級(jí)[3]。針對(duì)民航具體單位應(yīng)結(jié)合國(guó)家和行業(yè)相關(guān)標(biāo)準(zhǔn)開(kāi)展數(shù)據(jù)梳理和分類(lèi)分級(jí)工作,該工作亦是民航數(shù)據(jù)安全評(píng)估工作的基礎(chǔ)。
民航相關(guān)單位的數(shù)據(jù)具有數(shù)量多、類(lèi)型復(fù)雜、分布范圍廣的特點(diǎn),針對(duì)這些特點(diǎn)相關(guān)單位應(yīng)結(jié)合多種方式開(kāi)展數(shù)據(jù)資產(chǎn)的梳理工作,具體包括調(diào)研訪談、數(shù)據(jù)庫(kù)檢測(cè)、流量識(shí)別、文件掃描等方法。數(shù)據(jù)梳理工作的難點(diǎn)在于數(shù)據(jù)資產(chǎn)遺漏,因此在進(jìn)行數(shù)據(jù)資產(chǎn)梳理時(shí)應(yīng)將多種方式相結(jié)合,盡可能做到數(shù)據(jù)詳實(shí)。民航涉及的主要數(shù)據(jù)類(lèi)型如下:
(1)航空公司主要涉及的數(shù)據(jù):旅客數(shù)據(jù)、電商數(shù)據(jù)、運(yùn)營(yíng)數(shù)據(jù)、航班數(shù)據(jù)、航行情報(bào)、氣象數(shù)據(jù)等。
(2)機(jī)場(chǎng)主要涉及的數(shù)據(jù):旅客數(shù)據(jù)(含人臉識(shí)別數(shù)據(jù))、運(yùn)營(yíng)數(shù)據(jù)、商務(wù)數(shù)據(jù)、航班數(shù)據(jù)、航行情報(bào)、氣象數(shù)據(jù)等。
(3)空管主要涉及的數(shù)據(jù):航班數(shù)據(jù)、氣象數(shù)據(jù)、航行情報(bào)、飛行軌跡信息等。
本文將以民航企事業(yè)單位信息系統(tǒng)承載的旅客信息為例,介紹民航數(shù)據(jù)的特點(diǎn)。民航旅客信息數(shù)據(jù)字段包括身份證號(hào)、電話號(hào)碼、即時(shí)通信工具賬號(hào)、電子郵件賬號(hào)、家庭住址、銀行卡號(hào)、姓名、航班號(hào)、電子客票號(hào)碼、航班時(shí)間、出發(fā)地、目的地等。民航旅客信息的字段信息具有以下特征:
(1)部分字段信息符合長(zhǎng)度、字符類(lèi)型、格式等嚴(yán)格標(biāo)準(zhǔn)要求的,標(biāo)記為第一類(lèi)。如身份證號(hào)、電話號(hào)碼、電子客票號(hào)碼、航班號(hào)、銀行卡號(hào)、出發(fā)地和目的地編號(hào)等,特別是對(duì)身份證號(hào)、銀行卡號(hào)等字段信息還要滿足自身的校驗(yàn)要求[4]。
(2)部分字段信息包含一些關(guān)鍵字,標(biāo)記為第二類(lèi)。如即時(shí)通信工具的名稱(chēng)、郵箱、時(shí)間等,以及字段名稱(chēng)或前后置信息中包含QQ、微信、郵箱(Email)、時(shí)間(time)等關(guān)鍵字。
(3)部分字段信息以文本形式出現(xiàn),標(biāo)記為第三類(lèi)。如姓名、家庭住址等。
開(kāi)展數(shù)據(jù)分類(lèi)分級(jí)的首要工作是明確識(shí)別規(guī)則,民航各單位根據(jù)自身業(yè)務(wù)特點(diǎn)制定數(shù)據(jù)分類(lèi)分級(jí)規(guī)則,然后通過(guò)專(zhuān)家識(shí)別和利用算法自動(dòng)識(shí)別相結(jié)合的方式進(jìn)行分類(lèi)分級(jí),提供識(shí)別效率和準(zhǔn)確度。
2.3.1 字段分級(jí)
對(duì)于民航旅客信息中的不同字段,其敏感程度也不相同,本文首先對(duì)不同的字段進(jìn)行敏感性識(shí)別,主要分為以下3 類(lèi):
(1)非常敏感信息:身份證、電話號(hào)碼、姓名、電子客票號(hào)碼。不法分子獲取上述信息后,不但可以實(shí)施機(jī)票詐騙,還可能對(duì)旅客造成其他方面的困擾。
(2)比較敏感信息:家庭住址、銀行卡號(hào)、即時(shí)通信工具賬號(hào)、電子郵件賬號(hào)。不法分子如果利用這些信息,可進(jìn)行人肉搜索等。
(3)一般信息:航班號(hào)、航班時(shí)間、出發(fā)地、目的地等。不法分子如果獲取這些信息,可用于旅客的數(shù)量統(tǒng)計(jì)等[5]。
2.3.2 數(shù)據(jù)記錄分級(jí)
對(duì)于多條記錄,不同字段的組合,其重要性也不相同,如:身份證號(hào)+電話號(hào)碼+姓名+銀行卡號(hào)+電子客票號(hào)碼+家庭住址,這些字段信息是旅客信息的核心內(nèi)容,它們的組合可對(duì)旅客進(jìn)行精準(zhǔn)定位,造成旅客敏感信息的嚴(yán)重泄露。
依據(jù)《智慧民航數(shù)據(jù)治理規(guī)范 數(shù)據(jù)安全》,將數(shù)據(jù)分為5 個(gè)級(jí)別,如表1 所示。
表1 數(shù)據(jù)安全分級(jí)規(guī)則
在對(duì)民航數(shù)據(jù)進(jìn)行分類(lèi)分級(jí)時(shí),可以結(jié)合字段信息組合內(nèi)容的安全級(jí)別程度和核心字段的數(shù)量來(lái)進(jìn)行級(jí)別的評(píng)定。
2.3.3 數(shù)據(jù)自動(dòng)分類(lèi)分級(jí)
在大數(shù)據(jù)環(huán)境下,要對(duì)信息系統(tǒng)中的各類(lèi)數(shù)據(jù)進(jìn)行識(shí)別是一項(xiàng)非常具有挑戰(zhàn)性的工作。對(duì)于結(jié)構(gòu)化數(shù)據(jù),一般通過(guò)字段名稱(chēng)可以判斷出數(shù)據(jù)的安全級(jí)別,但是不同開(kāi)發(fā)人員對(duì)字段的定義不同,甚至通過(guò)字段的標(biāo)頭無(wú)法判斷出數(shù)據(jù)內(nèi)容。在大數(shù)據(jù)環(huán)境下,民航企事業(yè)單位信息系統(tǒng)數(shù)量眾多,涉及的數(shù)據(jù)庫(kù)表更是復(fù)雜,如果僅僅通過(guò)人工對(duì)數(shù)據(jù)的安全級(jí)別進(jìn)行識(shí)別和判斷,一方面工作效率低;另一方面可能會(huì)造成敏感信息二次泄露,對(duì)于非結(jié)構(gòu)化數(shù)據(jù)人工梳理的難度更大。為了提高數(shù)據(jù)梳理的效率,減少數(shù)據(jù)泄露的風(fēng)險(xiǎn),提高數(shù)據(jù)管理能力,本文提出一種敏感信息自動(dòng)化識(shí)別模型[6],具體內(nèi)容如圖2 所示。
圖2 數(shù)據(jù)自動(dòng)分級(jí)識(shí)別模型
該數(shù)據(jù)自動(dòng)分級(jí)識(shí)別模型適用于結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù),具體流程如下。
(1)輸入文件:包括結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)。
(2)特征識(shí)別:在該模塊下,先按照字段特征對(duì)文件內(nèi)容進(jìn)行分類(lèi)識(shí)別。
①針對(duì)第一類(lèi)字段信息:使用正則表達(dá)式,匹配數(shù)據(jù)的長(zhǎng)度、字符類(lèi)型和格式,初步將第一類(lèi)字段梳理出來(lái),梳理出來(lái)的內(nèi)容為字段的類(lèi)型(如身份證號(hào)、電話號(hào)碼、電子客票號(hào)碼、航班號(hào)、銀行卡號(hào)、出發(fā)地和目的地編號(hào)等),為保證數(shù)據(jù)識(shí)別的正確率,對(duì)身份證號(hào)、銀行卡號(hào)等字段信息進(jìn)行校驗(yàn)。
②針對(duì)第二類(lèi)字段信息:使用關(guān)鍵字匹配的方式對(duì)結(jié)構(gòu)化數(shù)據(jù)的標(biāo)頭進(jìn)行識(shí)別[7],通過(guò)實(shí)驗(yàn)發(fā)現(xiàn),由于開(kāi)發(fā)人員定義不規(guī)范的問(wèn)題,識(shí)別效果較差;使用關(guān)鍵字+模式匹配的方式進(jìn)行識(shí)別,通過(guò)識(shí)別文件中QQ、微信、郵箱等關(guān)鍵字,然后在關(guān)鍵字附件進(jìn)行模式匹配,識(shí)別是否存在敏感信息。
③針對(duì)第三類(lèi)字段信息:本文采用雙向長(zhǎng)短期記憶條件隨機(jī)場(chǎng)(Bidirectional Long Short-Term Memory Conditional Random Fields,BiLSTMCRF)模型進(jìn)行自然語(yǔ)言處理(Natural Language Processing,NLP)識(shí)別,BiLSTM-CRF 模型是雙向長(zhǎng)短期記憶網(wǎng)絡(luò)(Long Short-Term Memory,LSTM)模型和條件隨機(jī)場(chǎng)(Conditional Random Fields,CRF)的組合。
(3)字段安全級(jí)別識(shí)別:在該階段對(duì)上一階段識(shí)別的字段類(lèi)型(如身份證號(hào)、電話號(hào)碼、即時(shí)通信工具賬號(hào)、電子郵件賬號(hào)、家庭住址、銀行卡號(hào)、姓名、航班號(hào)、電子客票號(hào)碼、航班時(shí)間、出發(fā)地、目的地等)進(jìn)行安全級(jí)別標(biāo)注,并標(biāo)注每條記錄的數(shù)量。
(4)文件或記錄安全級(jí)別識(shí)別:LR為文件或數(shù)據(jù)庫(kù)的安全級(jí)別;L為字段的安全級(jí)別;N為數(shù)據(jù)庫(kù)中記錄的條目數(shù),則:
式中:li,lj,lk分別為每個(gè)安全級(jí)別不同字段的數(shù)量;α,β,γ為每個(gè)安全級(jí)別不同字段的權(quán)值。
對(duì)于非結(jié)構(gòu)化數(shù)據(jù),通過(guò)簡(jiǎn)單的統(tǒng)計(jì)無(wú)法獲知完整記錄的條目數(shù),本文采用了如下方法進(jìn)行判定。
集合R1={l11,…,l1i},其中R1為非常敏感信息字段的數(shù)量集合;l1i為非結(jié)構(gòu)化數(shù)據(jù)中非常敏感信息第i個(gè)字段的數(shù)量。
集合R2={l21,…,l2i},其中R2為比較敏感信息字段的數(shù)量集合;l2i為非結(jié)構(gòu)化數(shù)據(jù)中比較敏感信息第i個(gè)字段的數(shù)量。
集合R3={l31,…,l3i},其中R3為一般信息字段的數(shù)量集合,l3i為非結(jié)構(gòu)化數(shù)據(jù)中一般信息第i個(gè)字段的數(shù)量。
則針對(duì)文件或記錄的數(shù)據(jù)安全級(jí)別判定方法為:
式中:li,lj,lk分別為每個(gè)安全級(jí)別不同字段的數(shù)量。
通過(guò)上述方法,可以對(duì)待識(shí)別的文件或數(shù)據(jù)進(jìn)行定量的判定,對(duì)于提高文件或記錄安全級(jí)別的識(shí)別效率起到積極的作用。
數(shù)據(jù)越來(lái)越成為一種核心資產(chǎn),針對(duì)數(shù)據(jù)的安全威脅越來(lái)越多,通過(guò)黑色產(chǎn)業(yè)鏈中民航旅客信息售賣(mài)的價(jià)格,可在一定程度上直觀地反映出民航數(shù)據(jù)安全面臨的威脅程度[8]。對(duì)數(shù)據(jù)安全面臨的威脅識(shí)別方法主要如下:威脅來(lái)源分析、保護(hù)能力分析、攻擊態(tài)勢(shì)分析。
數(shù)據(jù)安全威脅來(lái)源可分為人為因素和環(huán)境因素兩個(gè)方面。通過(guò)對(duì)民航數(shù)據(jù)泄露情況進(jìn)行統(tǒng)計(jì)分析發(fā)現(xiàn),數(shù)據(jù)非法交易成為民航數(shù)據(jù)安全的重要威脅,其中既有內(nèi)部人員非法售賣(mài),也有不法分子非法入侵獲得。
數(shù)據(jù)安全保護(hù)能力分為數(shù)據(jù)安全管理能力和數(shù)據(jù)安全技術(shù)防護(hù)能力兩個(gè)方面,這兩個(gè)能力不足會(huì)增加不法分子的攻擊欲望和力度,特別是針對(duì)隨機(jī)主義的黑客,會(huì)給數(shù)據(jù)安全帶來(lái)潛在的威脅。
數(shù)據(jù)安全攻擊態(tài)勢(shì)可以從安全設(shè)備日志、威脅情報(bào)以及網(wǎng)絡(luò)安全黑色產(chǎn)業(yè)鏈交易信息等信息中獲取當(dāng)前民航數(shù)據(jù)安全態(tài)勢(shì),以分析出當(dāng)前的威脅級(jí)別,如通過(guò)監(jiān)測(cè)暗網(wǎng)民航數(shù)據(jù)交易的情況,可以分析出當(dāng)前民航哪些數(shù)據(jù)面臨什么樣的威脅。
通過(guò)對(duì)民航數(shù)據(jù)安全面臨的威脅進(jìn)行分析,得出民航網(wǎng)絡(luò)安全威脅賦值表,如表2 所示。
表2 民航網(wǎng)絡(luò)安全威脅賦值
民航數(shù)據(jù)安全保護(hù)工作尚在路上,針對(duì)數(shù)據(jù)的安全保護(hù)措施的評(píng)估工作主要分為兩個(gè)方面:預(yù)防性安全措施有效性識(shí)別和保護(hù)性安全措施有效性識(shí)別。
預(yù)防性安全措施有效性識(shí)別,即結(jié)合組織現(xiàn)有的各類(lèi)安全防護(hù)措施對(duì)威脅識(shí)別階段面臨的各種數(shù)據(jù)安全威脅進(jìn)行分析,主要包括:針對(duì)相關(guān)威脅是否有防護(hù)措施,防護(hù)措施是否能有效抵御威脅,保護(hù)措施是否具有持續(xù)性。
相關(guān)防護(hù)措施包括但不限于威脅情報(bào)、防火墻、入侵檢測(cè)、數(shù)據(jù)安全網(wǎng)關(guān)、數(shù)據(jù)泄密防護(hù)等安全防護(hù)系統(tǒng),通過(guò)相關(guān)策略的配置抵御相關(guān)威脅。由于民航業(yè)務(wù)在處理過(guò)程中涉及多個(gè)環(huán)節(jié),因此加強(qiáng)第三方服務(wù)商的安全管理也是一個(gè)重要措施。
保護(hù)性安全措施有效性識(shí)別,主要是組織現(xiàn)有各類(lèi)安全防護(hù)措施進(jìn)行梳理,并對(duì)其保護(hù)性措施進(jìn)行有效性的驗(yàn)證。將保護(hù)性安全措施有效性識(shí)別前置在脆弱性識(shí)別之間的目的:一是確認(rèn)保護(hù)性措施類(lèi)別;二是確認(rèn)保護(hù)性措施有效性;三是分析保護(hù)性措施對(duì)相關(guān)資產(chǎn)脆弱性消減的情況,通過(guò)保護(hù)性安全措施有效性識(shí)別,使脆弱性評(píng)估結(jié)果更加全面和準(zhǔn)確。
例如,應(yīng)用系統(tǒng)自身對(duì)傳輸?shù)臄?shù)據(jù)采取了符合國(guó)密要求的加密傳輸方式,因此在對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行脆弱性評(píng)估時(shí),采用非加密方式可以對(duì)傳輸?shù)拇嗳跣赃M(jìn)行消減,同樣,如果應(yīng)用系統(tǒng)采取了虛擬補(bǔ)丁的加固方式,那么可以對(duì)主機(jī)自身的脆弱性進(jìn)行消減[9],通過(guò)保護(hù)性安全措施有效性識(shí)別可以使脆弱性評(píng)估更加準(zhǔn)確,如表3 所示。
表3 保護(hù)性安全措施與脆弱性關(guān)聯(lián)示例
民航數(shù)據(jù)安全的脆弱性和承載它的業(yè)務(wù)系統(tǒng)、環(huán)境等密切相關(guān),脆弱性評(píng)估也是數(shù)據(jù)安全評(píng)估的重要環(huán)節(jié)。前文闡述了民航數(shù)據(jù)威脅識(shí)別和保護(hù)措施有效性識(shí)別,數(shù)據(jù)安全評(píng)估以數(shù)據(jù)資產(chǎn)為核心,圍繞與它相關(guān)的各類(lèi)資產(chǎn)進(jìn)行脆弱性評(píng)估。如果僅有脆弱性,沒(méi)有威脅也不會(huì)產(chǎn)生風(fēng)險(xiǎn),如果采取了防護(hù)措施并且防護(hù)措施有效,那么在進(jìn)行相關(guān)資產(chǎn)脆弱性評(píng)估時(shí),可按照實(shí)際環(huán)境進(jìn)行脆弱性消減,從而使風(fēng)險(xiǎn)評(píng)估結(jié)果更加準(zhǔn)確。
民航行業(yè),特別是航空公司具有國(guó)際性的特點(diǎn),民航數(shù)據(jù)安全脆弱性識(shí)別的依據(jù)不僅要遵循國(guó)家數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn),同樣也要遵循國(guó)際相關(guān)標(biāo)準(zhǔn)。ICAO 發(fā)布的《航空網(wǎng)絡(luò)安保戰(zhàn)略》指出,民用航空部門(mén)是一個(gè)全球性的相互依賴(lài)的體系,具有許多共同系統(tǒng),網(wǎng)絡(luò)攻擊可以輕易地傳播并產(chǎn)生全球影響。信息共享的目的就是預(yù)防、及早發(fā)現(xiàn)和減少網(wǎng)絡(luò)安保事件,從而減少整個(gè)航空部門(mén)的系統(tǒng)性網(wǎng)絡(luò)風(fēng)險(xiǎn)。通過(guò)建立相互信任的關(guān)系共享關(guān)于薄弱環(huán)節(jié)、威脅、事件和最佳做法等信息,可以減輕持續(xù)攻擊的影響。因此必須按照國(guó)際民航組織現(xiàn)行規(guī)定建立適當(dāng)?shù)男畔⒐蚕頇C(jī)制。
對(duì)應(yīng)用在不同環(huán)境中的相同弱點(diǎn),其脆弱性嚴(yán)重程度是不同的,評(píng)估者應(yīng)從組織安全策略的角度考慮、判斷數(shù)據(jù)資產(chǎn)的脆弱性及其嚴(yán)重程度。對(duì)于民航數(shù)據(jù)安全,不僅要考慮國(guó)家及組織內(nèi)部的安全防護(hù)要求,還要考慮國(guó)際標(biāo)準(zhǔn)及實(shí)際情況,如民航旅客電子登機(jī)牌信息,按照國(guó)際民航組織的標(biāo)準(zhǔn)是不用加密的,這些信息包含旅客的姓名、始發(fā)地、目的地、航班號(hào)、航班日期、艙位、座位號(hào)、登機(jī)序號(hào)等大量隱私信息,依針對(duì)這一脆弱性如何來(lái)解決。作為保障民航業(yè)務(wù)運(yùn)行的重要信息之一的廣播式自動(dòng)相關(guān)監(jiān)視系統(tǒng)(Automatic Dependent Surveillance-Broadcast,ADS-B)在傳輸信息時(shí)同樣采用明文傳輸?shù)姆绞剑@些數(shù)據(jù)安全的脆弱性問(wèn)題帶有民航的行業(yè)特點(diǎn),其脆弱性需要從整個(gè)行業(yè)角度進(jìn)行分析解決。
參照GB/T 20984—2022《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估方法》,民航數(shù)據(jù)安全風(fēng)險(xiǎn)分析需要綜合考慮數(shù)據(jù)資產(chǎn)的重要程度、所面臨的威脅程度以及存在的脆弱性,同時(shí)對(duì)數(shù)據(jù)及相關(guān)資產(chǎn)進(jìn)行風(fēng)險(xiǎn)值的計(jì)算。這些計(jì)算包括:安全事件發(fā)生的可能性、安全事件發(fā)生后的損失、系統(tǒng)資產(chǎn)風(fēng)險(xiǎn)值、業(yè)務(wù)風(fēng)險(xiǎn)值。
民航數(shù)據(jù)安全對(duì)業(yè)務(wù)的安全運(yùn)行有著重大影響,因此在進(jìn)行業(yè)務(wù)風(fēng)險(xiǎn)值計(jì)算時(shí),應(yīng)充分考慮以下因素:
(1)與業(yè)務(wù)系統(tǒng)受到破壞后造成的影響不同,民航數(shù)據(jù)特別是旅客身份數(shù)據(jù)一旦泄露,將對(duì)旅客造成長(zhǎng)期持續(xù)性影響,因此在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí),應(yīng)充分考慮數(shù)據(jù)安全威脅的持續(xù)性,以及相關(guān)危害的消除趨勢(shì)。
(2)民航數(shù)據(jù)安全所涉及的業(yè)務(wù)系統(tǒng)是多個(gè)層面的,不僅涉及組織本身,還可能涉及整個(gè)行業(yè),同樣是旅客信息,旅客數(shù)據(jù)一旦泄露一次,不法分子將可能利用相關(guān)系統(tǒng)再次查詢(xún)到旅客的行程信息,因此,在進(jìn)行數(shù)據(jù)安全風(fēng)險(xiǎn)計(jì)算時(shí),不僅要考慮對(duì)本組織的影響,還要考慮對(duì)行業(yè)內(nèi)以及行業(yè)外造成的影響。
(3)民航數(shù)據(jù)具有行業(yè)性的特點(diǎn),一旦某個(gè)環(huán)節(jié)的數(shù)據(jù)被泄露或篡改,可能會(huì)影響到整個(gè)行業(yè)業(yè)務(wù)的運(yùn)行,如航班信息被篡改,可能會(huì)影響到空管、航司和機(jī)場(chǎng)等民航行業(yè)部門(mén),甚至可能影響到國(guó)際民航的運(yùn)行,因此在考慮影響范圍時(shí)應(yīng)站在整個(gè)行業(yè)角度進(jìn)行分析。
民航數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)價(jià)參照GB/T 20984—2022《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估方法》,通過(guò)風(fēng)險(xiǎn)計(jì)算對(duì)風(fēng)險(xiǎn)情況進(jìn)行綜合分析與評(píng)價(jià)。風(fēng)險(xiǎn)分析是基于計(jì)算出的風(fēng)險(xiǎn)值確定風(fēng)險(xiǎn)等級(jí)的。風(fēng)險(xiǎn)評(píng)價(jià)則是對(duì)組織、業(yè)務(wù)或信息系統(tǒng)總體信息安全風(fēng)險(xiǎn)的評(píng)價(jià)。參照《智慧民航數(shù)據(jù)治理規(guī)范 數(shù)據(jù)安全》數(shù)據(jù)分級(jí)標(biāo)準(zhǔn),將民航數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)價(jià)劃分為很高、高、中等、低、很低5 個(gè)等級(jí)。
民航數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)價(jià)應(yīng)遵循動(dòng)態(tài)評(píng)價(jià)的原則,包括綜合考慮業(yè)務(wù)運(yùn)行、輿情熱點(diǎn)、旅客身份等特點(diǎn)并進(jìn)行動(dòng)態(tài)評(píng)價(jià),最終通過(guò)對(duì)不同等級(jí)的安全風(fēng)險(xiǎn)進(jìn)行統(tǒng)計(jì)、分析,依據(jù)各等級(jí)風(fēng)險(xiǎn)所占全部風(fēng)險(xiǎn)的百分比,確定民航數(shù)據(jù)安全總體風(fēng)險(xiǎn)狀況。
在智慧民航建設(shè)中,數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估是至關(guān)重要的一環(huán)。本文在深入調(diào)研民航行業(yè)數(shù)據(jù)安全工作的難點(diǎn)后,結(jié)合民航數(shù)據(jù)的特點(diǎn),探討了數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的相關(guān)模型、方法和工具。然而,盡管現(xiàn)有的模型和方法在一定程度上已經(jīng)能夠幫助我們更好地理解和保護(hù)數(shù)據(jù)安全,但它們?nèi)匀粺o(wú)法完全準(zhǔn)確地識(shí)別民航數(shù)據(jù)。因此,在未來(lái)的工作中,我們需要進(jìn)一步加強(qiáng)對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估體系的研究和應(yīng)用,以提高民航數(shù)據(jù)安全保護(hù)工作的效率和效果。