民航數據安全風險評估體系探討*

黃式敏，馬 勇，楊忠鵬，盧銳恒

（1.廈門兆翔智能科技有限公司，福建 廈門 361006；2.民航成都電子技術有限責任公司，四川 成都 610043；3.電子科技大學，四川 成都 611731）

0 引 言

習近平總書記指出，在互聯網經濟時代，數據是新的生產要素，是基礎性資源和戰略性資源，也是重要生產力。為加強數據安全管理，我國相繼出臺“四法一條例”，即《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國反電信網絡詐騙法》《關鍵信息基礎設施安全保護條例》，建立我國數據安全保護防線。民航作為一個敏感數據高度集中的行業，數據安全問題愈發凸顯。例如，2017 年11 月，50 多家民航網站被黑客入侵，竊取公民信息30 多萬條，不法分子利用這些信息實施網絡詐騙，騙取金額1 000 多萬元；2020 年7 月，一機場員工在“閑魚”被策反，多次刺探、截獲政府重要人員行程，被判刑13 年。因此，民航數據安全密切關系到旅客個人權益、產業健康發展乃至國家安全。

通過對民航行業數據安全保護工作的深入調研，在智慧民航背景下，民航行業對數據的依賴程度進一步提高，其數據安全保護工作也更加迫切。民航數據安全面臨民航旅客數據泄露形勢嚴峻、新技術應用衍生新的數據安全問題、數據安全相關行業法規標準不健全等主要問題。為提高民航行業數據安全保護能力，保障旅客合法權益，維護行業健康發展，《民航局關于印發〈推動新型基礎設施建設促進高質量發展實施意見〉的通知》（民航發〔2020〕62 號）中指出“完善數據安全治理體系”；《中國民用航空局關于印發智慧民航建設路線圖的通知》（民航發〔2022〕1 號）中指出“加強旅客數據和隱私保護”；《“十四五”民用航空發展規劃》中指出“加強重要數據保護，防止泄露、損害、違法使用旅客個人信息”。

同時，民航也是一個國際性的行業，國際民航組織（International Civil Aviation Organization，ICAO）對網絡安全工作同樣高度重視，ICAO 發布的《航空網絡安保戰略》中明確提出，要將網絡安保納入國家航空安保和安全監督系統，并將其作為全面的風險管理框架的組成部分。同時，ICAO 也意識到存在不同的風險評估方法，因此應優先考慮修訂和制定關于網絡安保威脅和風險評估的指導材料，以便實現此類評估結果的可比性。在整個民用航空部門內，網絡安保政策可以考慮到航空系統的完整生命周期，并納入各種因素，包括網絡安保文化、通過設計推動安保、軟件和硬件的供應鏈安保、數據完好性、適當的網絡出入管制、積極主動的管理薄弱環節、改進安保更新的敏捷性而不損害安全，以及納入監測網絡安保相關數據的系統和程序[1]。

對于民航行業數據數量多、類型復雜的特點，雖然民航行業針對數據安全開展了部分工作，并制定了MH/T 5057—2021《智慧民航數據治理規范 數據安全》等相關標準規范，但是對于民航行業各個業務系統全生命周期所涉及的數據安全保護工作仍存在不足，為提升整個行業的數據安全防護能力，保障旅客權益、公共利益和國家安全，本文擬通過對民航數據安全評估體系的探討，研究民航數據安全評估的目標、流程、方法等，為行業數據安全保護工作奠定基礎。

1 民航數據安全評估模型

民航數據安全評估模型以GB/T 20984—2022《信息安全技術 信息安全風險評估方法》為基礎，主要從數據安全評估對象、評估目標和評估內容3 個維度出發，充分考慮國家和行業數據安全法規標準，以及民航數據平臺系統與數據安全要求的特點，對數據安全保護工作進行全面評估，得出綜合性的評估結果。圍繞數據生命周期采集、存儲、傳輸、處理、交換、銷毀的各個階段，開展民航敏感數據梳理，并對數據安全存儲、監控、審計、追溯等數據安全保護能力進行評估，最終建立以數據資產識別為基礎，以數據全生命周期的威脅識別、安全措施識別、脆弱性識別為抓手，以數據安全風險分析和數據安全評估結果為中心的數據安全評估模型，如圖1 所示。

圖1 數據安全評估模型

按照數據安全的生命周期對民航敏感數據進行安全評估，對數據資產進行威脅識別、安全措施識別、脆弱性識別。

威脅識別是對數據資產在處理活動中可能遭受的危害進行識別，這些危害可能涉及保密性、完整性和可用性等方面。并進一步分析這些威脅的動機、發生的頻率和可能性，并從威脅來源、保護能力和攻擊態勢等方面出具威脅識別報告。

安全措施識別是針對民航企業已采取的安全措施有效性的確認，可以分預防性和保護性兩種。其中，預防性安全措施可以降低因威脅利用脆弱點而導致安全事件發生的可能性；保護性安全措施可以減少因安全事件發生對信息系統造成的影響，結合這兩個方面的內容，可形成安全性措施識別報告。

脆弱性識別是風險評估中最重要的一個環節，以資產為核心，針對每一項需要保護的資產，識別可能被威脅利用的弱點，這個過程需要從技術和管理兩個方面進行，技術脆弱性涉及物理層、網絡層、系統層、應用層等各個層面的安全問題；管理脆弱性又可分為技術管理脆弱性和組織管理脆弱性兩個方面，前者與具體技術活動相關，后者與管理環境相關，將技術與管理兩方面結合，可出具脆弱性識別報告[2]。

數據安全風險分析是理解風險本質和確定風險水平的過程。

（1）根據數據威脅與脆弱性利用關系，結合數據威脅發生的可能性、脆弱性和可利用性，判斷安全事件發生的可能性。

（2）根據脆弱性影響嚴重程度及數據重要程度，計算安全事件影響嚴重程度。

（3）根據安全事件發生的可能性以及安全事件影響嚴重程度，判斷風險值。

數據安全風險評價將風險分析結果與風險準則進行比較，以確定風險和/或其大小是否可以接受或可容忍的過程。

2 民航數據資產識別

民航行業的敏感數據高度集中，如民航旅客信息等。本文認為進行民航數據資產的識別和保護工作應該以相關組織的所有數據作為一個整體進行保護，統一對數據資產進行梳理和分類分級。開展數據資產識別的基礎工作是數據分類分級，民航行業制定了MH/T 5057—2021《智慧民航數據治理規范 數據安全》，明確了民航行業如何進行數據分類分級[3]。針對民航具體單位應結合國家和行業相關標準開展數據梳理和分類分級工作，該工作亦是民航數據安全評估工作的基礎。

2.1 民航數據梳理

民航相關單位的數據具有數量多、類型復雜、分布范圍廣的特點，針對這些特點相關單位應結合多種方式開展數據資產的梳理工作，具體包括調研訪談、數據庫檢測、流量識別、文件掃描等方法。數據梳理工作的難點在于數據資產遺漏，因此在進行數據資產梳理時應將多種方式相結合，盡可能做到數據詳實。民航涉及的主要數據類型如下：

（1）航空公司主要涉及的數據：旅客數據、電商數據、運營數據、航班數據、航行情報、氣象數據等。

（2）機場主要涉及的數據：旅客數據（含人臉識別數據）、運營數據、商務數據、航班數據、航行情報、氣象數據等。

（3）空管主要涉及的數據：航班數據、氣象數據、航行情報、飛行軌跡信息等。

本文將以民航企事業單位信息系統承載的旅客信息為例，介紹民航數據的特點。民航旅客信息數據字段包括身份證號、電話號碼、即時通信工具賬號、電子郵件賬號、家庭住址、銀行卡號、姓名、航班號、電子客票號碼、航班時間、出發地、目的地等。民航旅客信息的字段信息具有以下特征：

（1）部分字段信息符合長度、字符類型、格式等嚴格標準要求的，標記為第一類。如身份證號、電話號碼、電子客票號碼、航班號、銀行卡號、出發地和目的地編號等，特別是對身份證號、銀行卡號等字段信息還要滿足自身的校驗要求[4]。

（2）部分字段信息包含一些關鍵字，標記為第二類。如即時通信工具的名稱、郵箱、時間等，以及字段名稱或前后置信息中包含QQ、微信、郵箱（Email）、時間（time）等關鍵字。

（3）部分字段信息以文本形式出現，標記為第三類。如姓名、家庭住址等。

2.2 數據分類分級

開展數據分類分級的首要工作是明確識別規則，民航各單位根據自身業務特點制定數據分類分級規則，然后通過專家識別和利用算法自動識別相結合的方式進行分類分級，提供識別效率和準確度。

2.3 民航數據分類分級方法探討

2.3.1 字段分級

對于民航旅客信息中的不同字段，其敏感程度也不相同，本文首先對不同的字段進行敏感性識別，主要分為以下3 類：

（1）非常敏感信息：身份證、電話號碼、姓名、電子客票號碼。不法分子獲取上述信息后，不但可以實施機票詐騙，還可能對旅客造成其他方面的困擾。

（2）比較敏感信息：家庭住址、銀行卡號、即時通信工具賬號、電子郵件賬號。不法分子如果利用這些信息，可進行人肉搜索等。

（3）一般信息：航班號、航班時間、出發地、目的地等。不法分子如果獲取這些信息，可用于旅客的數量統計等[5]。

2.3.2 數據記錄分級

對于多條記錄，不同字段的組合，其重要性也不相同，如：身份證號+電話號碼+姓名+銀行卡號+電子客票號碼+家庭住址，這些字段信息是旅客信息的核心內容，它們的組合可對旅客進行精準定位，造成旅客敏感信息的嚴重泄露。

依據《智慧民航數據治理規范 數據安全》，將數據分為5 個級別，如表1 所示。

表1 數據安全分級規則

在對民航數據進行分類分級時，可以結合字段信息組合內容的安全級別程度和核心字段的數量來進行級別的評定。

2.3.3 數據自動分類分級

在大數據環境下，要對信息系統中的各類數據進行識別是一項非常具有挑戰性的工作。對于結構化數據，一般通過字段名稱可以判斷出數據的安全級別，但是不同開發人員對字段的定義不同，甚至通過字段的標頭無法判斷出數據內容。在大數據環境下，民航企事業單位信息系統數量眾多，涉及的數據庫表更是復雜，如果僅僅通過人工對數據的安全級別進行識別和判斷，一方面工作效率低；另一方面可能會造成敏感信息二次泄露，對于非結構化數據人工梳理的難度更大。為了提高數據梳理的效率，減少數據泄露的風險，提高數據管理能力，本文提出一種敏感信息自動化識別模型[6]，具體內容如圖2 所示。

圖2 數據自動分級識別模型

該數據自動分級識別模型適用于結構化數據和非結構化數據，具體流程如下。

（1）輸入文件：包括結構化數據、非結構化數據。

（2）特征識別：在該模塊下，先按照字段特征對文件內容進行分類識別。

①針對第一類字段信息：使用正則表達式，匹配數據的長度、字符類型和格式，初步將第一類字段梳理出來，梳理出來的內容為字段的類型（如身份證號、電話號碼、電子客票號碼、航班號、銀行卡號、出發地和目的地編號等），為保證數據識別的正確率，對身份證號、銀行卡號等字段信息進行校驗。

②針對第二類字段信息：使用關鍵字匹配的方式對結構化數據的標頭進行識別[7]，通過實驗發現，由于開發人員定義不規范的問題，識別效果較差；使用關鍵字+模式匹配的方式進行識別，通過識別文件中QQ、微信、郵箱等關鍵字，然后在關鍵字附件進行模式匹配，識別是否存在敏感信息。

③針對第三類字段信息：本文采用雙向長短期記憶條件隨機場（Bidirectional Long Short-Term Memory Conditional Random Fields，BiLSTMCRF）模型進行自然語言處理（Natural Language Processing，NLP）識別，BiLSTM-CRF 模型是雙向長短期記憶網絡（Long Short-Term Memory，LSTM）模型和條件隨機場（Conditional Random Fields，CRF）的組合。

（3）字段安全級別識別：在該階段對上一階段識別的字段類型（如身份證號、電話號碼、即時通信工具賬號、電子郵件賬號、家庭住址、銀行卡號、姓名、航班號、電子客票號碼、航班時間、出發地、目的地等）進行安全級別標注，并標注每條記錄的數量。

（4）文件或記錄安全級別識別：LR為文件或數據庫的安全級別；L為字段的安全級別；N為數據庫中記錄的條目數，則：

式中：li，lj，lk分別為每個安全級別不同字段的數量；α，β，γ為每個安全級別不同字段的權值。

對于非結構化數據，通過簡單的統計無法獲知完整記錄的條目數，本文采用了如下方法進行判定。

集合R1={l11,…,l1i}，其中R1為非常敏感信息字段的數量集合；l1i為非結構化數據中非常敏感信息第i個字段的數量。

集合R2={l21,…,l2i}，其中R2為比較敏感信息字段的數量集合；l2i為非結構化數據中比較敏感信息第i個字段的數量。

集合R3={l31,…,l3i}，其中R3為一般信息字段的數量集合，l3i為非結構化數據中一般信息第i個字段的數量。

則針對文件或記錄的數據安全級別判定方法為：

式中：li，lj，lk分別為每個安全級別不同字段的數量。

通過上述方法，可以對待識別的文件或數據進行定量的判定，對于提高文件或記錄安全級別的識別效率起到積極的作用。

3 數據安全威脅識別

數據越來越成為一種核心資產，針對數據的安全威脅越來越多，通過黑色產業鏈中民航旅客信息售賣的價格，可在一定程度上直觀地反映出民航數據安全面臨的威脅程度[8]。對數據安全面臨的威脅識別方法主要如下：威脅來源分析、保護能力分析、攻擊態勢分析。

3.1 威脅來源分析

數據安全威脅來源可分為人為因素和環境因素兩個方面。通過對民航數據泄露情況進行統計分析發現，數據非法交易成為民航數據安全的重要威脅，其中既有內部人員非法售賣，也有不法分子非法入侵獲得。

3.2 保護能力分析

數據安全保護能力分為數據安全管理能力和數據安全技術防護能力兩個方面，這兩個能力不足會增加不法分子的攻擊欲望和力度，特別是針對隨機主義的黑客，會給數據安全帶來潛在的威脅。

3.3 攻擊態勢分析

數據安全攻擊態勢可以從安全設備日志、威脅情報以及網絡安全黑色產業鏈交易信息等信息中獲取當前民航數據安全態勢，以分析出當前的威脅級別，如通過監測暗網民航數據交易的情況，可以分析出當前民航哪些數據面臨什么樣的威脅。

通過對民航數據安全面臨的威脅進行分析，得出民航網絡安全威脅賦值表，如表2 所示。

表2 民航網絡安全威脅賦值

4 民航數據安全保護有效措施識別

民航數據安全保護工作尚在路上，針對數據的安全保護措施的評估工作主要分為兩個方面：預防性安全措施有效性識別和保護性安全措施有效性識別。

4.1 預防性安全措施有效性識別

預防性安全措施有效性識別，即結合組織現有的各類安全防護措施對威脅識別階段面臨的各種數據安全威脅進行分析，主要包括：針對相關威脅是否有防護措施，防護措施是否能有效抵御威脅，保護措施是否具有持續性。

相關防護措施包括但不限于威脅情報、防火墻、入侵檢測、數據安全網關、數據泄密防護等安全防護系統，通過相關策略的配置抵御相關威脅。由于民航業務在處理過程中涉及多個環節，因此加強第三方服務商的安全管理也是一個重要措施。

4.2 保護性安全措施有效性識別

保護性安全措施有效性識別，主要是組織現有各類安全防護措施進行梳理，并對其保護性措施進行有效性的驗證。將保護性安全措施有效性識別前置在脆弱性識別之間的目的：一是確認保護性措施類別；二是確認保護性措施有效性；三是分析保護性措施對相關資產脆弱性消減的情況，通過保護性安全措施有效性識別，使脆弱性評估結果更加全面和準確。

例如，應用系統自身對傳輸的數據采取了符合國密要求的加密傳輸方式，因此在對網絡設備進行脆弱性評估時，采用非加密方式可以對傳輸的脆弱性進行消減，同樣，如果應用系統采取了虛擬補丁的加固方式，那么可以對主機自身的脆弱性進行消減[9]，通過保護性安全措施有效性識別可以使脆弱性評估更加準確，如表3 所示。

表3 保護性安全措施與脆弱性關聯示例

5 民航數據安全脆弱性評估

民航數據安全的脆弱性和承載它的業務系統、環境等密切相關，脆弱性評估也是數據安全評估的重要環節。前文闡述了民航數據威脅識別和保護措施有效性識別，數據安全評估以數據資產為核心，圍繞與它相關的各類資產進行脆弱性評估。如果僅有脆弱性，沒有威脅也不會產生風險，如果采取了防護措施并且防護措施有效，那么在進行相關資產脆弱性評估時，可按照實際環境進行脆弱性消減，從而使風險評估結果更加準確。

民航行業，特別是航空公司具有國際性的特點，民航數據安全脆弱性識別的依據不僅要遵循國家數據安全相關標準，同樣也要遵循國際相關標準。ICAO 發布的《航空網絡安保戰略》指出，民用航空部門是一個全球性的相互依賴的體系，具有許多共同系統，網絡攻擊可以輕易地傳播并產生全球影響。信息共享的目的就是預防、及早發現和減少網絡安保事件，從而減少整個航空部門的系統性網絡風險。通過建立相互信任的關系共享關于薄弱環節、威脅、事件和最佳做法等信息，可以減輕持續攻擊的影響。因此必須按照國際民航組織現行規定建立適當的信息共享機制。

對應用在不同環境中的相同弱點，其脆弱性嚴重程度是不同的，評估者應從組織安全策略的角度考慮、判斷數據資產的脆弱性及其嚴重程度。對于民航數據安全，不僅要考慮國家及組織內部的安全防護要求，還要考慮國際標準及實際情況，如民航旅客電子登機牌信息，按照國際民航組織的標準是不用加密的，這些信息包含旅客的姓名、始發地、目的地、航班號、航班日期、艙位、座位號、登機序號等大量隱私信息，依針對這一脆弱性如何來解決。作為保障民航業務運行的重要信息之一的廣播式自動相關監視系統（Automatic Dependent Surveillance-Broadcast，ADS-B）在傳輸信息時同樣采用明文傳輸的方式，這些數據安全的脆弱性問題帶有民航的行業特點，其脆弱性需要從整個行業角度進行分析解決。

6 民航數據安全風險分析

參照GB/T 20984—2022《信息安全技術 信息安全風險評估方法》，民航數據安全風險分析需要綜合考慮數據資產的重要程度、所面臨的威脅程度以及存在的脆弱性，同時對數據及相關資產進行風險值的計算。這些計算包括：安全事件發生的可能性、安全事件發生后的損失、系統資產風險值、業務風險值。

民航數據安全對業務的安全運行有著重大影響，因此在進行業務風險值計算時，應充分考慮以下因素：

（1）與業務系統受到破壞后造成的影響不同，民航數據特別是旅客身份數據一旦泄露，將對旅客造成長期持續性影響，因此在進行風險評估時，應充分考慮數據安全威脅的持續性，以及相關危害的消除趨勢。

（2）民航數據安全所涉及的業務系統是多個層面的，不僅涉及組織本身，還可能涉及整個行業，同樣是旅客信息，旅客數據一旦泄露一次，不法分子將可能利用相關系統再次查詢到旅客的行程信息，因此，在進行數據安全風險計算時，不僅要考慮對本組織的影響，還要考慮對行業內以及行業外造成的影響。

（3）民航數據具有行業性的特點，一旦某個環節的數據被泄露或篡改，可能會影響到整個行業業務的運行，如航班信息被篡改，可能會影響到空管、航司和機場等民航行業部門，甚至可能影響到國際民航的運行，因此在考慮影響范圍時應站在整個行業角度進行分析。

7 民航數據安全風險評價

民航數據安全風險評價參照GB/T 20984—2022《信息安全技術 信息安全風險評估方法》，通過風險計算對風險情況進行綜合分析與評價。風險分析是基于計算出的風險值確定風險等級的。風險評價則是對組織、業務或信息系統總體信息安全風險的評價。參照《智慧民航數據治理規范 數據安全》數據分級標準，將民航數據安全風險評價劃分為很高、高、中等、低、很低5 個等級。

民航數據安全風險評價應遵循動態評價的原則，包括綜合考慮業務運行、輿情熱點、旅客身份等特點并進行動態評價，最終通過對不同等級的安全風險進行統計、分析，依據各等級風險所占全部風險的百分比，確定民航數據安全總體風險狀況。

8 結 語

在智慧民航建設中，數據安全風險評估是至關重要的一環。本文在深入調研民航行業數據安全工作的難點后，結合民航數據的特點，探討了數據安全風險評估的相關模型、方法和工具。然而，盡管現有的模型和方法在一定程度上已經能夠幫助我們更好地理解和保護數據安全，但它們仍然無法完全準確地識別民航數據。因此，在未來的工作中，我們需要進一步加強對數據安全風險評估體系的研究和應用，以提高民航數據安全保護工作的效率和效果。