1、Page 1民航網絡信息安全風險評估民航網絡信息安全風險評估楊宏宇楊宏宇中國民航大學中國民航大學 計算機科學與技術學院計算機科學與技術學院Page 2提提 綱綱 熱點問題熱點問題 評估范圍評估范圍 評估依據評估依據 風險評估準備風險評估準備 威脅分析威脅分析 脆弱性分析脆弱性分析 現有控制措施有效性分析現有控制措施有效性分析 風險分析風險分析 風險處置風險處置Page 3熱點問題Page 4 威脅分析威脅分析 網絡和信息系統的脆弱性分析網絡和信息系統的脆弱性分析 網絡與信息系統的安全性綜合評估網絡與信息系統的安全性綜合評估 民航電子商務中的安全保障民航電子商務中的安全保障應對措施應對措施Pag

2、e 5評估范圍評估范圍提供服務保障的基礎信息網絡和重要信息系提供服務保障的基礎信息網絡和重要信息系統統，包括公用電信網、廣播電視傳輸網以及鐵路運輸系統、民航離港系統、交通指揮系統、民航離港系統、交通指揮系統、電力生產系統、海關電子口岸系統、網絡銀行系統等；政府網站、新聞宣傳媒體網站、門戶網站等涉及新聞報道的網站；其他信息系統、網絡和網站。Page 6評估依據評估依據信息安全等級保護管理辦法信息安全等級保護管理辦法（公通字（公通字200743號）號）信息安全技術信息安全技術 信息安全風險評估規范信息安全風險評估規范（GB/T 20984-2007） Page 7評估目的評估目的 一、識別與分析一

3、、識別與分析 民航基礎信息網絡和重要信息系統民航基礎信息網絡和重要信息系統 所依賴的網絡與信息系統存在的安全弱點所依賴的網絡與信息系統存在的安全弱點 已采取的安全措施的有效性已采取的安全措施的有效性二、確定評估對象潛在的安全風險等級二、確定評估對象潛在的安全風險等級三、提出風險管理的處置建議三、提出風險管理的處置建議Page 8風險評估流程風險評估流程 Page 9風險評估準備風險評估準備 成立專門的風險評估小組成立專門的風險評估小組 劃定風險評估的范圍劃定風險評估的范圍 確定風險評估目標和方法確定風險評估目標和方法 制定詳細的風險評估實施方案制定詳細的風險評估實施方案Page 10風險評估準

4、備風險評估準備保護對象分析保護對象分析包括信息系統、網絡、網站及其承載的信息內容包括信息系統、網絡、網站及其承載的信息內容 對保護對象的功能、業務特性等做深入的識別分對保護對象的功能、業務特性等做深入的識別分析，并依據等級保護相關標準，確定保護對象的析，并依據等級保護相關標準，確定保護對象的重要性級別。重要性級別。主要應考慮兩個方面：主要應考慮兩個方面：一是保護對象中所存儲、處理、傳輸的主要信息一是保護對象中所存儲、處理、傳輸的主要信息二是保護對象所提供的主要服務二是保護對象所提供的主要服務 Page 11風險評估準備風險評估準備 保護對象重要性級別依不同程度分為保護對象重要性級別依不同程度分

5、為5級級 保護對象重保護對象重要性要性描描 述述很低保護對象對于業務重要性很低，遭受破壞后造成的損失很低，甚至可以忽略不計。低保護對象對于業務重要性較低，遭受破壞后會造成較低的損失。中等保護對象對于業務比較重要，遭受破壞后會造成中等程度的損失。高保護對象對于業務重要性較高，遭受破壞后會造成比較嚴重的損失。很高保護對象對于業務重要性非常重要，遭受破壞后會造成非常嚴重的損失。Page 12威脅分析威脅分析 根據以往的數據資料積累根據以往的數據資料積累 根據基礎調研獲取的信息情況根據基礎調研獲取的信息情況 根據有針對性的情報搜集工作獲取的最新情報信息根據有針對性的情報搜集工作獲取的最新情報信息 威脅

6、分析的依據威脅分析的依據:Page 13威脅識別威脅識別對所有可能的威脅進行分析對所有可能的威脅進行分析從不同層面逐一排查和篩選可能對保護對象造成損從不同層面逐一排查和篩選可能對保護對象造成損害的威脅源，排除非真實的威脅源害的威脅源，排除非真實的威脅源對確定的威脅源進行梳理分類對確定的威脅源進行梳理分類Page 14威脅識別威脅識別來源來源描描 述述威脅子類威脅子類故意故意人為人為因素因素組織實施違法犯罪活動、發布違法信息、實施網絡攻擊、植入惡意代碼、竊泄密、篡改數據信息、實施物理破壞非故非故意人意人為因為因素素未操作或操作失誤應該執行而沒有執行相應的操作，或無意執行了錯誤的操作維護錯誤、操作

7、失誤等管理不到位安全管理措施未落實或不到位，影響信息系統正常運行管理制度和策略不完善、管理規程缺失、職責不明確、監督控管機制不健全、瀆職失職等環境環境因素因素及故及故障障物理環境影響對系統正常運行造成影響的物理環境問題和自然災害斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災、火災、地震等軟硬件故障對業務實施或系統運行產生影響的設備硬件故障、通訊鏈路中斷、系統本身或軟件缺陷等問題設備硬件故障、傳輸設備故障、存儲媒體故障、系統軟件故障、應用軟件故障、數據庫軟件故障、開發環境故障等 威脅來源列表威脅來源列表 Page 15確定威脅等級確定威脅等級 威脅意圖和威脅能力威脅意圖和威脅能力Page

8、 16脆弱性分析脆弱性分析 脆弱性是保護對象本身存在的，威脅總是脆弱性是保護對象本身存在的，威脅總是利用保護對象的脆弱性才可能造成危害利用保護對象的脆弱性才可能造成危害 只有找出每一個保護對象可能被威脅源利只有找出每一個保護對象可能被威脅源利用的脆弱性并進行分析，才有可能準確的用的脆弱性并進行分析，才有可能準確的確定保護對象面臨的風險確定保護對象面臨的風險Page 17脆弱性分析脆弱性分析脆弱性識別脆弱性識別從技術和管理兩個方面進行脆弱性識別從技術和管理兩個方面進行脆弱性識別 技術脆弱性技術脆弱性:物理層、網絡層、系統層、應物理層、網絡層、系統層、應用層等各個層面的安全問題用層等各個層面的安全

9、問題 管理脆弱性管理脆弱性:技術管理脆弱性、管理組織脆技術管理脆弱性、管理組織脆弱性、信息內容管理脆弱性弱性、信息內容管理脆弱性Page 18脆弱性分析脆弱性分析脆弱性識別脆弱性識別脆弱性識別所采用的方法主要有：脆弱性識別所采用的方法主要有：問卷調查、工具檢測、人工核查、文檔查閱、滲透問卷調查、工具檢測、人工核查、文檔查閱、滲透性測試、專家分析和專項調研等性測試、專家分析和專項調研等 Page 19脆弱性分析脆弱性分析脆弱性識別脆弱性識別類型類型識別對象識別對象識別內容識別內容技術脆弱性技術脆弱性網絡結構從網絡結構設計、邊界保護、外部訪問控制策略、內部訪問控制策略、網絡設備安全配置等方面進行識

10、別系統軟件從補丁安裝、物理保護、用戶帳號、口令策略、資源共享、事件審計、訪問控制、新系統配置、注冊表加固、網絡安全、系統管理等方面進行識別應用中間件從協議安全、交易完整性、數據的完整性、可用性和保密性等方面進行識別應用系統從審計機制、審計存儲、訪問控制策略、數據的完整性、可用性和保密性、通信、鑒別機制、密碼保護等方面進行識別脆弱性識別內容表脆弱性識別內容表 Page 20脆弱性分析脆弱性分析脆弱性識別脆弱性識別類型類型識別對象識別對象識別內容識別內容管管理理脆脆弱弱性性 技術管理從物理和環境安全、通信與操作管理、訪問控制、系統開發與維護、應用服務等方面進行識別組織管理 從安全策略、組織結構、規

11、章制度、人員管理等方面進行識別信息內容管理 從待發布信息的審核機制、已發布信息的巡查處置等方面進行識別脆弱性識別內容表（續）脆弱性識別內容表（續） Page 21脆弱性分析脆弱性分析 確定脆弱等級確定脆弱等級脆弱性的嚴重程度脆弱性的嚴重程度脆弱性對于威脅的吸引程度脆弱性對于威脅的吸引程度脆弱性嚴重程度越突出，受保護對象威脅吸引力就越大，脆弱性嚴重程度越突出，受保護對象威脅吸引力就越大，受到攻擊和破壞的可能性就越大受到攻擊和破壞的可能性就越大 Page 22脆弱性分析脆弱性分析 確定脆弱等級確定脆弱等級脆弱性等級描述很低保護對象弱點很不明顯，對威脅吸引力很小低保護對象弱點不明顯，對威脅吸引力小中

12、等保護對象弱點比較明顯，對威脅吸引力較小高保護對象弱點明顯，對威脅吸引力大很高保護對象弱點非常明顯，對威脅吸引力非常大脆弱性等級劃分脆弱性等級劃分 Page 23現有控制措施有效性分析現有控制措施有效性分析 依據國家現行法律法規和有關政策規定及等級保護相關標準，識別現有控制措施，分析其措施的有效性，從而確定威脅源利用弱點的實際可能性 Page 24現有控制措施有效性分析現有控制措施有效性分析現有控制措施識別現有控制措施識別對現有控制措施識別方法：對現有控制措施識別方法： 系統調研、相關文檔復查、人員面談、現場勘查、系統調研、相關文檔復查、人員面談、現場勘查、清單檢查、建立數據庫、經驗總結清單檢

13、查、建立數據庫、經驗總結 梳理并列出清單梳理并列出清單Page 25現有控制措施有效性分析現有控制措施有效性分析現有控制措施識別現有控制措施識別 控制措施可分為以下幾類：控制措施可分為以下幾類：威懾性措施威懾性措施用于降低威脅源對信息網絡實施蓄意攻擊的可能性，可在一定程度上起用于降低威脅源對信息網絡實施蓄意攻擊的可能性，可在一定程度上起到威懾作用，如法律宣傳、網絡反恐演習等到威懾作用，如法律宣傳、網絡反恐演習等 預警性措施預警性措施用于保護信息網絡，使干擾破壞活動難以實現，或者降低干擾破壞或威用于保護信息網絡，使干擾破壞活動難以實現，或者降低干擾破壞或威脅因素造成的影響，如果強情報搜集、網絡和

14、系統監控等脅因素造成的影響，如果強情報搜集、網絡和系統監控等檢驗性措施檢驗性措施用于及時發現干擾破壞活動或威脅因素，以使損害程度降到最低，如系用于及時發現干擾破壞活動或威脅因素，以使損害程度降到最低，如系統入侵檢測、網絡實戰演練等統入侵檢測、網絡實戰演練等處置性措施處置性措施對已發生的風險后果采取措施，對已實施的控制措施進行完善，可以使對已發生的風險后果采取措施，對已實施的控制措施進行完善，可以使因干擾破壞活動或威脅因素造成的影響或損害減小到最小程度，如應因干擾破壞活動或威脅因素造成的影響或損害減小到最小程度，如應急響應、容災備份等急響應、容災備份等 Page 26現有控制措施有效性分析現有控

15、制措施有效性分析確定現有控制措施有效性等級確定現有控制措施有效性等級控制措施的有控制措施的有效性等級效性等級描述描述很低現有控制措施無效低現有控制措施幾乎無效中等現有控制措施有一定效果高現有控制措施有效很高現有控制措施非常有效Page 27風險分析風險分析 依據保護對象重要性等級、威脅等級、脆弱性等級、現有控制措施有效性等級，綜合確定風險率和風險后果，并最終確定風險等級 Page 28風險分析風險分析 風險分析原理 Page 29風險分析風險分析 三個關鍵計算環節三個關鍵計算環節 ：確定風險率確定風險率根據威脅等級、脆弱性等級及現有控制措施有效性等根據威脅等級、脆弱性等級及現有控制措施有效性等

16、級，計算風險發生的可能性，即風險概率級，計算風險發生的可能性，即風險概率 確定風險后果確定風險后果根據被保護對象的重要性程度，計算風險事件一旦發根據被保護對象的重要性程度，計算風險事件一旦發生后造成的損失生后造成的損失 ，即風險后果，即風險后果確定風險等級確定風險等級根據計算出的風險概率以及風險后果，確定風險等級根據計算出的風險概率以及風險后果，確定風險等級 Page 30風險分析風險分析確定風險概率確定風險概率風險概率威脅等級風險概率威脅等級脆弱性等級現有控制措脆弱性等級現有控制措 施有效性等級施有效性等級 威脅等級越高風險發生概率越大，威脅等級越低則風險發威脅等級越高風險發生概率越大，威脅

17、等級越低則風險發生概率越小生概率越小保護目標脆弱性等級越低，則遭受攻擊的可能性越小，脆保護目標脆弱性等級越低，則遭受攻擊的可能性越小，脆弱性越高，則遭受攻擊的可能性越大弱性越高，則遭受攻擊的可能性越大控制措施的效果越小，則保護目標遭受攻擊的可能性就會控制措施的效果越小，則保護目標遭受攻擊的可能性就會越大，越大，現有控制措施越是有效，則保護目標遭受攻擊的可能性就現有控制措施越是有效，則保護目標遭受攻擊的可能性就會越小會越小 Page 31風險分析風險分析確定風險概率確定風險概率依風險發生概率大小將其劃分為依風險發生概率大小將其劃分為5個等級：個等級：必然發生必然發生非常可能非常可能有可能有可能不

18、大可能不大可能基本不可能基本不可能Page 32風險分析風險分析確定風險概率確定風險概率風險概率分析過程（中間結果）表風險概率分析過程（中間結果）表 Page 33風險分析風險分析確定風險概率確定風險概率風險概率矩陣表（風險概率最終結果表）風險概率矩陣表（風險概率最終結果表） Page 34風險分析風險分析確定風險概率確定風險概率風險概率描述表風險概率描述表 等級等級描述描述必然發生肯定會發生非常可能在大多數情況下很有可能發生有可能有某些時候會發生不太可能只有在例外情況下可能會發生基本不可能基本不會發生Page 35風險分析風險分析確定風險后果確定風險后果評估風險后果是風險評估過程中最重要的環

19、節評估風險后果是風險評估過程中最重要的環節之一之一 依據保護對象的重要性等級，判斷一旦針對保護對象發生風險事件所造成的風險后果。根據嚴重程度將風險后果劃分成5個等級： 災難性災難性高高中中低低很低很低Page 36風險分析風險分析確定風險后果確定風險后果風險后果等級劃分風險后果等級劃分 等級等級描述描述災災難難性性有關設施、財務受到嚴重損害，業務和重大活動受到嚴重干擾，給國家形象、外交關系、社會輿論和民眾心理造成嚴重負面影響等。高高有關設施、財務受到較大損害，業務和重大活動受到較大干擾，給國家形象、社會輿論和民眾心理造成較大負面影響等。中中有關設施、財物受到一定損失，業務和重大活動受到一定干擾

20、，給國家形象、社會輿論和民眾心理造成負面影響等。低低有關設施、財物受到較小損害，業務和重大活動受到較小干擾，給國家形象、社會輿論和民眾心理造成較小負面影響等。很低很低有關設施、財物幾乎沒有受到損害，業務和重大活動基本沒有受到干擾，基本沒有給國家形象、社會輿論和民眾心理造成影響等。Page 37風險分析風險分析確定風險等級確定風險等級評估風險等級有兩個關鍵因素：評估風險等級有兩個關鍵因素： 風險造成的后果及影響風險造成的后果及影響 風險發生的可能性風險發生的可能性前者通過識別與分析保護對象得到確定前者通過識別與分析保護對象得到確定后者可根據威脅分析，脆弱性分析、現有控制措后者可根據威脅分析，脆弱

21、性分析、現有控制措施有效性分析進行確認施有效性分析進行確認 風險等級計算方式：風險等級計算方式： 風險等級風險等級=風險概率風險概率*風險后果風險后果Page 38風險分析風險分析確定風險等級確定風險等級根據風險大小程度將風險等級劃分為根據風險大小程度將風險等級劃分為4個等級：個等級：極高極高高高中等中等低低Page 39風險處置風險處置 根據根據風險等級、保護對象的重要性等級、威脅源及威脅程度、風險等級、保護對象的重要性等級、威脅源及威脅程度、脆弱性等級、現有控制措施有效性、可能產生的風險后果脆弱性等級、現有控制措施有效性、可能產生的風險后果依據等級保護相關標準，統籌兼顧，綜合考慮，提出依據

22、等級保護相關標準，統籌兼顧，綜合考慮，提出處理建議處理建議目的是減低或控制風險等級，使風險達到一個可以接目的是減低或控制風險等級，使風險達到一個可以接受的水平受的水平Page 40風險處置風險處置處置建議原則處置建議原則 可行性原則可行性原則應在國家政策和執行單位的資源及條件允許范圍之內應在國家政策和執行單位的資源及條件允許范圍之內有效性原則有效性原則能有效彌補安全漏洞，改進不足，防止威脅，減低或避免不利能有效彌補安全漏洞，改進不足，防止威脅，減低或避免不利后果，從而降低或規避風險后果，從而降低或規避風險針對性原則針對性原則針對不同風險等級，針對不同風險源，提出相應處置建議針對不同風險等級，針

23、對不同風險源，提出相應處置建議成本效益原則成本效益原則應該在一定資源條件下，尋求最適宜措施，獲取最大安保效應，應該在一定資源條件下，尋求最適宜措施，獲取最大安保效應，將風險降到最低將風險降到最低 Page 41風險處置風險處置實施風險處置實施風險處置 依據可能接受風險等級，判斷現存風險是否可接受如果判斷結果是可接受，則選擇接受風險，保持現有如果判斷結果是可接受，則選擇接受風險，保持現有控制措施控制措施否則繼續風險處置過程，對于不可接受的風險提出實否則繼續風險處置過程，對于不可接受的風險提出實施風險處置的意見施風險處置的意見 Page 42風險處置風險處置實施風險處置實施風險處置 確定風險處置目標確定風險處置目標 根據現存風險判斷的結果，將不可能接受的風險作為根據現存風險判斷的結果，將不可能接受的風險作為實施風險處置的目標實施風險處置的目標 Page 43風險處置風險處置 實施風險處置實施風險處置 選擇風險處置方式選擇風險處置方式 接受風險接受風險由于現有的風險較低，有可接受的風險水平范圍之內，由于現有的風險較低，有可接受的風險水平范圍之內，風險管理單位維持工作措施現狀，不采取進一步的行風險管理單位維持工作措施現狀，不采取進一步的行動，不追加投入，或僅采取少量措施，鞏固現有的措動，不追加投入，或僅采取少量措施，鞏固現有的措施施降低風險降低風險指針對風險，完善