民航数据安全风险评估体系探讨

习近平总书记指出，在互联网经济时代，数据是新的生产要素，是基础性资源和战略性资源，也是重要生产力。为加强数据安全管理，我国相继出台“四法一条例”，即《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国反电信网络诈骗法》《关键信息基础设施安全保护条例》，建立我国数据安全保护防线。民航作为一个敏感数据高度集中的行业，数据安全问题愈发凸显。例如，2017 年11 月，50 多家民航网站被黑客入侵，窃取公民信息 30 多万条，不法分子利用这些信息实施网络诈骗，骗取金额 1 000 多万元；2020 年 7 月，一机场员工在“闲鱼”被策反，多次刺探、截获政府重要人员行程，被判刑 13 年。因此，民航数据安全密切关系到旅客个人权益、产业健康发展乃至国家安全。

通过对民航行业数据安全保护工作的深入调研，在智慧民航背景下，民航行业对数据的依赖程度进一步提高，其数据安全保护工作也更加迫切。民航数据安全面临民航旅客数据泄露形势严峻、新技术应用衍生新的数据安全问题、数据安全相关行业法规标准不健全等主要问题。为提高民航行业数据安全保护能力，保障旅客合法权益，维护行业健康发展，《民航局关于印发〈推动新型基础设施建设促进高质量发展实施意见〉的通知》（民航发〔2020〕62 号）中指出“完善数据安全治理体系”；《中国民用航空局关于印发智慧民航建设路线图的通知》（民航发〔2022〕1 号）中指出“加强旅客数据和隐私保护”；《“十四五”民用航空发展规划》中指出“加强重要数据保护，防止泄露、损害、违法使用旅客个人信息”。

同时，民航也是一个国际性的行业，国际民航组织（International Civil Aviation Organization，ICAO）对网络安全工作同样高度重视，ICAO 发布的《航空网络安保战略》中明确提出，要将网络安保纳入国家航空安保和安全监督系统，并将其作为全面的风险管理框架的组成部分。同时，ICAO 也意识到存在不同的风险评估方法，因此应优先考虑修订和制定关于网络安保威胁和风险评估的指导材料，以便实现此类评估结果的可比性。在整个民用航空部门内，网络安保政策可以考虑到航空系统的完整生命周期，并纳入各种因素，包括网络安保文化、通过设计推动安保、软件和硬件的供应链安保、数据完好性、适当的网络出入管制、积极主动的管理薄弱环节、改进安保更新的敏捷性而不损害安全，以及纳入监测网络安保相关数据的系统和程序。

对于民航行业数据数量多、类型复杂的特点，虽然民航行业针对数据安全开展了部分工作，并制定了 MH/T 5057—2021《智慧民航数据治理规范 数据安全》等相关标准规范，但是对于民航行业各个业务系统全生命周期所涉及的数据安全保护工作仍存在不足，为提升整个行业的数据安全防护能力，保障旅客权益、公共利益和国家安全，本文拟通过对民航数据安全评估体系的探讨，研究民航数据安全评估的目标、流程、方法等，为行业数据安全保护工作奠定基础。

民 航 数 据 安 全 评 估 模 型 以 GB/T 20984—2022《信息安全技术 信息安全风险评估方法》为基础，主要从数据安全评估对象、评估目标和评估内容 3 个维度出发，充分考虑国家和行业数据安全法规标准，以及民航数据平台系统与数据安全要求的特点，对数据安全保护工作进行全面评估，得出综合性的评估结果。围绕数据生命周期采集、存储、传输、处理、交换、销毁的各个阶段，开展民航敏感数据梳理，并对数据安全存储、监控、审计、追溯等数据安全保护能力进行评估，最终建立以数据资产识别为基础，以数据全生命周期的威胁识别、安全措施识别、脆弱性识别为抓手，以数据安全风险分析和数据安全评估结果为中心的数据安全评估模型，如图 1 所示。

图 1 数据安全评估模型

按照数据安全的生命周期对民航敏感数据进行安全评估，对数据资产进行威胁识别、安全措施识别、脆弱性识别。

威胁识别是对数据资产在处理活动中可能遭受的危害进行识别，这些危害可能涉及保密性、完整性和可用性等方面。并进一步分析这些威胁的动机、发生的频率和可能性，并从威胁来源、保护能力和攻击态势等方面出具威胁识别报告。

安全措施识别是针对民航企业已采取的安全措施有效性的确认，可以分预防性和保护性两种。其中，预防性安全措施可以降低因威胁利用脆弱点而导致安全事件发生的可能性；保护性安全措施可以减少因安全事件发生对信息系统造成的影响，结合这两个方面的内容，可形成安全性措施识别报告。

脆弱性识别是风险评估中最重要的一个环节，以资产为核心，针对每一项需要保护的资产，识别可能被威胁利用的弱点，这个过程需要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题；管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两个方面，前者与具体技术活动相关，后者与管理环境相关，将技术与管理两方面结合，可出具脆弱性识别报告。

数据安全风险分析是理解风险本质和确定风险水平的过程。

（1）根据数据威胁与脆弱性利用关系，结合数据威胁发生的可能性、脆弱性和可利用性，判断安全事件发生的可能性。

（2）根据脆弱性影响严重程度及数据重要程度，计算安全事件影响严重程度。

（3）根据安全事件发生的可能性以及安全事件影响严重程度，判断风险值。

数据安全风险评价将风险分析结果与风险准则进行比较，以确定风险和 / 或其大小是否可以接受或可容忍的过程。

民航行业的敏感数据高度集中，如民航旅客信息等。本文认为进行民航数据资产的识别和保护工作应该以相关组织的所有数据作为一个整体进行保护，统一对数据资产进行梳理和分类分级。开展数据资产识别的基础工作是数据分类分级，民航行业制定了 MH/T 5057—2021《智慧民航数据治理规范 数据安全》，明确了民航行业如何进行数据分类分级。针对民航具体单位应结合国家和行业相关标准开展数据梳理和分类分级工作，该工作亦是民航数据安全评估工作的基础。

2.1　民航数据梳理

民航相关单位的数据具有数量多、类型复杂、分布范围广的特点，针对这些特点相关单位应结合多种方式开展数据资产的梳理工作，具体包括调研访谈、数据库检测、流量识别、文件扫描等方法。数据梳理工作的难点在于数据资产遗漏，因此在进行数据资产梳理时应将多种方式相结合，尽可能做到数据详实。民航涉及的主要数据类型如下：

（1）航空公司主要涉及的数据：旅客数据、电商数据、运营数据、航班数据、航行情报、气象数据等。

（2）机场主要涉及的数据：旅客数据（含人脸识别数据）、运营数据、商务数据、航班数据、航行情报、气象数据等。

（3）空管主要涉及的数据：航班数据、气象数据、航行情报、飞行轨迹信息等。

本文将以民航企事业单位信息系统承载的旅客信息为例，介绍民航数据的特点。民航旅客信息数据字段包括身份证号、电话号码、即时通信工具账号、电子邮件账号、家庭住址、银行卡号、姓名、航班号、电子客票号码、航班时间、出发地、目的地等。民航旅客信息的字段信息具有以下特征：

（1）部分字段信息符合长度、字符类型、格式等严格标准要求的，标记为第一类。如身份证号、电话号码、电子客票号码、航班号、银行卡号、出发地和目的地编号等，特别是对身份证号、银行卡号等字段信息还要满足自身

的校验要求。

（2）部分字段信息包含一些关键字，标记为第二类。如即时通信工具的名称、邮箱、时间等，以及字段名称或前后置信息中包含QQ、微信、邮箱（Email）、时间（time）等关键字。

（3）部分字段信息以文本形式出现，标记为第三类。如姓名、家庭住址等。

2.2　数据分类分级

开展数据分类分级的首要工作是明确识别规则，民航各单位根据自身业务特点制定数据分类分级规则，然后通过专家识别和利用算法自动识别相结合的方式进行分类分级，提供识别效率和准确度。

2.3　民航数据分类分级方法探讨

2.3.1　字段分级

对于民航旅客信息中的不同字段，其敏感程度也不相同，本文首先对不同的字段进行敏感性识别，主要分为以下 3 类：

（1）非常敏感信息：身份证、电话号码、姓名、电子客票号码。不法分子获取上述信息后，不但可以实施机票诈骗，还可能对旅客造成其他方面的困扰。

（2）比较敏感信息：家庭住址、银行卡号、即时通信工具账号、电子邮件账号。不法分子如果利用这些信息，可进行人肉搜索等。

（3）一般信息：航班号、航班时间、出发地、目的地等。不法分子如果获取这些信息，可用于旅客的数量统计等。

2.3.2　数据记录分级

对于多条记录，不同字段的组合，其重要性也不相同，如：身份证号 + 电话号码 + 姓名 +银行卡号 + 电子客票号码 + 家庭住址，这些字段信息是旅客信息的核心内容，它们的组合可对旅客进行精准定位，造成旅客敏感信息的严重泄露。

依据《智慧民航数据治理规范 数据安全》，将数据分为 5 个级别，如表 1 所示。

表 1 数据安全分级规则

在对民航数据进行分类分级时，可以结合字段信息组合内容的安全级别程度和核心字段的数量来进行级别的评定。

2.3.3　数据自动分类分级

在大数据环境下，要对信息系统中的各类数据进行识别是一项非常具有挑战性的工作。对于结构化数据，一般通过字段名称可以判断出数据的安全级别，但是不同开发人员对字段的定义不同，甚至通过字段的标头无法判断出数据内容。在大数据环境下，民航企事业单位信息系统数量众多，涉及的数据库表更是复杂，如果仅仅通过人工对数据的安全级别进行识别和判断，一方面工作效率低；另一方面可能会造成敏感信息二次泄露，对于非结构化数据人工梳理的难度更大。为了提高数据梳理的效率，减少数据泄露的风险，提高数据管理能力，本文提出一种敏感信息自动化识别模型，具体内容如图 2 所示。

图 2 数据自动分级识别模型

该数据自动分级识别模型适用于结构化数据和非结构化数据，具体流程如下。

（1）输入文件：包括结构化数据、非结构化数据。

（2）特征识别：在该模块下，先按照字段特征对文件内容进行分类识别。

①针对第一类字段信息：使用正则表达式，匹配数据的长度、字符类型和格式，初步将第一类字段梳理出来，梳理出来的内容为字段的类型（如身份证号、电话号码、电子客票号码、航班号、银行卡号、出发地和目的地编号等），为保证数据识别的正确率，对身份证号、银行卡号等字段信息进行校验。

②针对第二类字段信息：使用关键字匹配的方式对结构化数据的标头进行识别，通过实验发现，由于开发人员定义不规范的问题，识别效果较差；使用关键字 + 模式匹配的方式进行识别，通过识别文件中 QQ、微信、邮箱等关键字，然后在关键字附件进行模式匹配，识别是否存在敏感信息。

③针对第三类字段信息：本文采用双向长短期记忆条件随机场（Bidirectional Long Short-Term Memory Conditional Random Fields，BiLSTM-CRF）模型进行自然语言处理（Natural Language Processing，NLP）识别，BiLSTM-CRF 模型是双向长短期记忆网络（Long Short-Term Memory，LSTM）模型和条件随机场（Conditional Random Fields，CRF）的组合。

（3）字段安全级别识别：在该阶段对上一阶段识别的字段类型（如身份证号、电话号码、即时通信工具账号、电子邮件账号、家庭住址、银行卡号、姓名、航班号、电子客票号码、航班时间、出发地、目的地等）进行安全级别标注，并标注每条记录的数量。

（4）文件或记录安全级别识别：LR 为文件或数据库的安全级别；L 为字段的安全级别；N为数据库中记录的条目数，则：

式中：分别为每个安全级别不同字段的数量；α，β，γ 为每个安全级别不同字段的权值。

对于非结构化数据，通过简单的统计无法获知完整记录的条目数，本文采用了如下方法进行判定。

集合其中为非常敏感信息字段的数量集合；为非结构化数据中非常敏感信息第 i 个字段的数量。

集合其中为比较敏感信息字段的数量集合；为非结构化数据中比较敏感信息第 i 个字段的数量。

集合其中为一般信息字段的数量集合，为非结构化数据中一般信息第 i个字段的数量。

则针对文件或记录的数据安全级别判定方法为：

式中：分别为每个安全级别不同字段的数量。

通过上述方法，可以对待识别的文件或数据进行定量的判定，对于提高文件或记录安全级别的识别效率起到积极的作用。

数据越来越成为一种核心资产，针对数据的安全威胁越来越多，通过黑色产业链中民航旅客信息售卖的价格，可在一定程度上直观地反映出民航数据安全面临的威胁程度。对数据安全面临的威胁识别方法主要如下：威胁来源分析、保护能力分析、攻击态势分析。

3.1　威胁来源分析

数据安全威胁来源可分为人为因素和环境因素两个方面。通过对民航数据泄露情况进行统计分析发现，数据非法交易成为民航数据安全的重要威胁，其中既有内部人员非法售卖，也有不法分子非法入侵获得。

3.2　保护能力分析

数据安全保护能力分为数据安全管理能力和数据安全技术防护能力两个方面，这两个能力不足会增加不法分子的攻击欲望和力度，特别是针对随机主义的黑客，会给数据安全带来潜在的威胁。

3.3　攻击态势分析

数据安全攻击态势可以从安全设备日志、威胁情报以及网络安全黑色产业链交易信息等信息中获取当前民航数据安全态势，以分析出当前的威胁级别，如通过监测暗网民航数据交易的情况，可以分析出当前民航哪些数据面临什么样的威胁。

通过对民航数据安全面临的威胁进行分析，得出民航网络安全威胁赋值表，如表 2 所示。

表 2 民航网络安全威胁赋值

民航数据安全保护工作尚在路上，针对数据的安全保护措施的评估工作主要分为两个方面：预防性安全措施有效性识别和保护性安全措施有效性识别。

4.1　预防性安全措施有效性识别

预防性安全措施有效性识别，即结合组织现有的各类安全防护措施对威胁识别阶段面临的各种数据安全威胁进行分析，主要包括：针对相关威胁是否有防护措施，防护措施是否能有效抵御威胁，保护措施是否具有持续性。相关防护措施包括但不限于威胁情报、防火墙、入侵检测、数据安全网关、数据泄密防护等安全防护系统，通过相关策略的配置抵御相关威胁。由于民航业务在处理过程中涉及多个环节，因此加强第三方服务商的安全管理也是一个重要措施。

4.2　保护性安全措施有效性识别

保护性安全措施有效性识别，主要是组织现有各类安全防护措施进行梳理，并对其保护性措施进行有效性的验证。将保护性安全措施有效性识别前置在脆弱性识别之间的目的：一是确认保护性措施类别；二是确认保护性措施有效性；三是分析保护性措施对相关资产脆弱性消减的情况，通过保护性安全措施有效性识别，使脆弱性评估结果更加全面和准确。

例如，应用系统自身对传输的数据采取了符合国密要求的加密传输方式，因此在对网络设备进行脆弱性评估时，采用非加密方式可以对传输的脆弱性进行消减，同样，如果应用系统采取了虚拟补丁的加固方式，那么可以对主机自身的脆弱性进行消减，通过保护性安全措施有效性识别可以使脆弱性评估更加准确，如表 3 所示。

表 3 保护性安全措施与脆弱性关联示例

民航数据安全的脆弱性和承载它的业务系统、环境等密切相关，脆弱性评估也是数据安全评估的重要环节。前文阐述了民航数据威胁识别和保护措施有效性识别，数据安全评估以数据资产为核心，围绕与它相关的各类资产进行脆弱性评估。如果仅有脆弱性，没有威胁也不会产生风险，如果采取了防护措施并且防护措施有效，那么在进行相关资产脆弱性评估时，可按照实际环境进行脆弱性消减，从而使风险评估结果更加准确。

民航行业，特别是航空公司具有国际性的特点，民航数据安全脆弱性识别的依据不仅要遵循国家数据安全相关标准，同样也要遵循国际相关标准。ICAO 发布的《航空网络安保战略》指出，民用航空部门是一个全球性的相互依赖的体系，具有许多共同系统，网络攻击可以轻易地传播并产生全球影响。信息共享的目的就是预防、及早发现和减少网络安保事件，从而减少整个航空部门的系统性网络风险。通过建立相互信任的关系共享关于薄弱环节、威胁、事件和最佳做法等信息，可以减轻持续攻击的影响。因此必须按照国际民航组织现行规定建立适当的信息共享机制。

对应用在不同环境中的相同弱点，其脆弱性严重程度是不同的，评估者应从组织安全策略的角度考虑、判断数据资产的脆弱性及其严重程度。对于民航数据安全，不仅要考虑国家及组织内部的安全防护要求，还要考虑国际标准及实际情况，如民航旅客电子登机牌信息，按照国际民客的姓名、始发地、目的地、航班号、航班日期、舱位、座位号、登机序号等大量隐私信息，依针对这一脆弱性如何来解决。作为保障民航业务运行的重要信息之一的广播式自动相关 监 视 系 统（Automatic Dependent Surveillance-Broadcast，ADS-B）在传输信息时同样采用明文传输的方式，这些数据安全的脆弱性问题带有民航的行业特点，其脆弱性需要从整个行业角度进行分析解决。

参照 GB/T 20984—2022《信息安全技术 信息安全风险评估方法》，民航数据安全风险分析需要综合考虑数据资产的重要程度、所面临的威胁程度以及存在的脆弱性，同时对数据及相关资产进行风险值的计算。这些计算包括：安全事件发生的可能性、安全事件发生后的损失、系统资产风险值、业务风险值。

民航数据安全对业务的安全运行有着重大影响，因此在进行业务风险值计算时，应充分考虑以下因素：

（1）与业务系统受到破坏后造成的影响不同，民航数据特别是旅客身份数据一旦泄露，将对旅客造成长期持续性影响，因此在进行风险评估时，应充分考虑数据安全威胁的持续性，以及相关危害的消除趋势。

（2）民航数据安全所涉及的业务系统是多个层面的，不仅涉及组织本身，还可能涉及整个行业，同样是旅客信息，旅客数据一旦泄露一次，不法分子将可能利用相关系统再次查询到旅客的行程信息，因此，在进行数据安全风险计算时，不仅要考虑对本组织的影响，还要考虑对行业内以及行业外造成的影响。

（3）民航数据具有行业性的特点，一旦某个环节的数据被泄露或篡改，可能会影响到整个行业业务的运行，如航班信息被篡改，可能会影响到空管、航司和机场等民航行业部门，甚至可能影响到国际民航的运行，因此在考虑影响范围时应站在整个行业角度进行分析。

民航数据安全风险评价参照 GB/T 20984—2022《信息安全技术 信息安全风险评估方法》，通过风险计算对风险情况进行综合分析与评价。风险分析是基于计算出的风险值确定风险等级的。风险评价则是对组织、业务或信息系统总体信息安全风险的评价。参照《智慧民航数据治理规范 数据安全》数据分级标准，将民航数据安全风险评价划分为很高、高、中等、低、很低 5 个等级。

民航数据安全风险评价应遵循动态评价的原则，包括综合考虑业务运行、舆情热点、旅客身份等特点并进行动态评价，最终通过对不同等级的安全风险进行统计、分析，依据各等级风险所占全部风险的百分比，确定民航数据安全总体风险状况。

在智慧民航建设中，数据安全风险评估是至关重要的一环。本文在深入调研民航行业数据安全工作的难点后，结合民航数据的特点，探讨了数据安全风险评估的相关模型、方法和工具。然而，尽管现有的模型和方法在一定程度上已经能够帮助我们更好地理解和保护数据安全，但它们仍然无法完全准确地识别民航数据。因此，在未来的工作中，我们需要进一步加强对数据安全风险评估体系的研究和应用，以提高民航数据安全保护工作的效率和效果。

商务合作 | 开白转载 | 媒体交流 | 理事服务 

请联系：15710013727（微信同号）

《信息安全与通信保密》杂志投稿

联系电话：13391516229（微信同号）

邮箱：[email protected]   

《通信技术》杂志投稿

联系电话：15198220331（微信同号）

邮箱：[email protected]

原文始发于微信公众号（信息安全与通信保密杂志社）：民航数据安全风险评估体系探讨