民航數(shù)據(jù)安全風險評估體系探討*

黃式敏，馬 勇，楊忠鵬，盧銳恒

（1.廈門兆翔智能科技有限公司，福建 廈門 361006；2.民航成都電子技術有限責任公司，四川 成都 610043；3.電子科技大學，四川 成都 611731）

0 引 言

習近平總書記指出，在互聯(lián)網經濟時代，數(shù)據(jù)是新的生產要素，是基礎性資源和戰(zhàn)略性資源，也是重要生產力。為加強數(shù)據(jù)安全管理，我國相繼出臺“四法一條例”，即《中華人民共和國網絡安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》《中華人民共和國反電信網絡詐騙法》《關鍵信息基礎設施安全保護條例》，建立我國數(shù)據(jù)安全保護防線。民航作為一個敏感數(shù)據(jù)高度集中的行業(yè)，數(shù)據(jù)安全問題愈發(fā)凸顯。例如，2017 年11 月，50 多家民航網站被黑客入侵，竊取公民信息30 多萬條，不法分子利用這些信息實施網絡詐騙，騙取金額1 000 多萬元；2020 年7 月，一機場員工在“閑魚”被策反，多次刺探、截獲政府重要人員行程，被判刑13 年。因此，民航數(shù)據(jù)安全密切關系到旅客個人權益、產業(yè)健康發(fā)展乃至國家安全。

通過對民航行業(yè)數(shù)據(jù)安全保護工作的深入調研，在智慧民航背景下，民航行業(yè)對數(shù)據(jù)的依賴程度進一步提高，其數(shù)據(jù)安全保護工作也更加迫切。民航數(shù)據(jù)安全面臨民航旅客數(shù)據(jù)泄露形勢嚴峻、新技術應用衍生新的數(shù)據(jù)安全問題、數(shù)據(jù)安全相關行業(yè)法規(guī)標準不健全等主要問題。為提高民航行業(yè)數(shù)據(jù)安全保護能力，保障旅客合法權益，維護行業(yè)健康發(fā)展，《民航局關于印發(fā)〈推動新型基礎設施建設促進高質量發(fā)展實施意見〉的通知》（民航發(fā)〔2020〕62 號）中指出“完善數(shù)據(jù)安全治理體系”；《中國民用航空局關于印發(fā)智慧民航建設路線圖的通知》（民航發(fā)〔2022〕1 號）中指出“加強旅客數(shù)據(jù)和隱私保護”；《“十四五”民用航空發(fā)展規(guī)劃》中指出“加強重要數(shù)據(jù)保護，防止泄露、損害、違法使用旅客個人信息”。

同時，民航也是一個國際性的行業(yè)，國際民航組織（International Civil Aviation Organization，ICAO）對網絡安全工作同樣高度重視，ICAO 發(fā)布的《航空網絡安保戰(zhàn)略》中明確提出，要將網絡安保納入國家航空安保和安全監(jiān)督系統(tǒng)，并將其作為全面的風險管理框架的組成部分。同時，ICAO 也意識到存在不同的風險評估方法，因此應優(yōu)先考慮修訂和制定關于網絡安保威脅和風險評估的指導材料，以便實現(xiàn)此類評估結果的可比性。在整個民用航空部門內，網絡安保政策可以考慮到航空系統(tǒng)的完整生命周期，并納入各種因素，包括網絡安保文化、通過設計推動安保、軟件和硬件的供應鏈安保、數(shù)據(jù)完好性、適當?shù)木W絡出入管制、積極主動的管理薄弱環(huán)節(jié)、改進安保更新的敏捷性而不損害安全，以及納入監(jiān)測網絡安保相關數(shù)據(jù)的系統(tǒng)和程序[1]。

對于民航行業(yè)數(shù)據(jù)數(shù)量多、類型復雜的特點，雖然民航行業(yè)針對數(shù)據(jù)安全開展了部分工作，并制定了MH/T 5057—2021《智慧民航數(shù)據(jù)治理規(guī)范 數(shù)據(jù)安全》等相關標準規(guī)范，但是對于民航行業(yè)各個業(yè)務系統(tǒng)全生命周期所涉及的數(shù)據(jù)安全保護工作仍存在不足，為提升整個行業(yè)的數(shù)據(jù)安全防護能力，保障旅客權益、公共利益和國家安全，本文擬通過對民航數(shù)據(jù)安全評估體系的探討，研究民航數(shù)據(jù)安全評估的目標、流程、方法等，為行業(yè)數(shù)據(jù)安全保護工作奠定基礎。

1 民航數(shù)據(jù)安全評估模型

民航數(shù)據(jù)安全評估模型以GB/T 20984—2022《信息安全技術 信息安全風險評估方法》為基礎，主要從數(shù)據(jù)安全評估對象、評估目標和評估內容3 個維度出發(fā)，充分考慮國家和行業(yè)數(shù)據(jù)安全法規(guī)標準，以及民航數(shù)據(jù)平臺系統(tǒng)與數(shù)據(jù)安全要求的特點，對數(shù)據(jù)安全保護工作進行全面評估，得出綜合性的評估結果。圍繞數(shù)據(jù)生命周期采集、存儲、傳輸、處理、交換、銷毀的各個階段，開展民航敏感數(shù)據(jù)梳理，并對數(shù)據(jù)安全存儲、監(jiān)控、審計、追溯等數(shù)據(jù)安全保護能力進行評估，最終建立以數(shù)據(jù)資產識別為基礎，以數(shù)據(jù)全生命周期的威脅識別、安全措施識別、脆弱性識別為抓手，以數(shù)據(jù)安全風險分析和數(shù)據(jù)安全評估結果為中心的數(shù)據(jù)安全評估模型，如圖1 所示。

圖1 數(shù)據(jù)安全評估模型

按照數(shù)據(jù)安全的生命周期對民航敏感數(shù)據(jù)進行安全評估，對數(shù)據(jù)資產進行威脅識別、安全措施識別、脆弱性識別。

威脅識別是對數(shù)據(jù)資產在處理活動中可能遭受的危害進行識別，這些危害可能涉及保密性、完整性和可用性等方面。并進一步分析這些威脅的動機、發(fā)生的頻率和可能性，并從威脅來源、保護能力和攻擊態(tài)勢等方面出具威脅識別報告。

安全措施識別是針對民航企業(yè)已采取的安全措施有效性的確認，可以分預防性和保護性兩種。其中，預防性安全措施可以降低因威脅利用脆弱點而導致安全事件發(fā)生的可能性；保護性安全措施可以減少因安全事件發(fā)生對信息系統(tǒng)造成的影響，結合這兩個方面的內容，可形成安全性措施識別報告。

脆弱性識別是風險評估中最重要的一個環(huán)節(jié)，以資產為核心，針對每一項需要保護的資產，識別可能被威脅利用的弱點，這個過程需要從技術和管理兩個方面進行，技術脆弱性涉及物理層、網絡層、系統(tǒng)層、應用層等各個層面的安全問題；管理脆弱性又可分為技術管理脆弱性和組織管理脆弱性兩個方面，前者與具體技術活動相關，后者與管理環(huán)境相關，將技術與管理兩方面結合，可出具脆弱性識別報告[2]。

數(shù)據(jù)安全風險分析是理解風險本質和確定風險水平的過程。

（1）根據(jù)數(shù)據(jù)威脅與脆弱性利用關系，結合數(shù)據(jù)威脅發(fā)生的可能性、脆弱性和可利用性，判斷安全事件發(fā)生的可能性。

（2）根據(jù)脆弱性影響嚴重程度及數(shù)據(jù)重要程度，計算安全事件影響嚴重程度。

（3）根據(jù)安全事件發(fā)生的可能性以及安全事件影響嚴重程度，判斷風險值。

數(shù)據(jù)安全風險評價將風險分析結果與風險準則進行比較，以確定風險和/或其大小是否可以接受或可容忍的過程。

2 民航數(shù)據(jù)資產識別

民航行業(yè)的敏感數(shù)據(jù)高度集中，如民航旅客信息等。本文認為進行民航數(shù)據(jù)資產的識別和保護工作應該以相關組織的所有數(shù)據(jù)作為一個整體進行保護，統(tǒng)一對數(shù)據(jù)資產進行梳理和分類分級。開展數(shù)據(jù)資產識別的基礎工作是數(shù)據(jù)分類分級，民航行業(yè)制定了MH/T 5057—2021《智慧民航數(shù)據(jù)治理規(guī)范 數(shù)據(jù)安全》，明確了民航行業(yè)如何進行數(shù)據(jù)分類分級[3]。針對民航具體單位應結合國家和行業(yè)相關標準開展數(shù)據(jù)梳理和分類分級工作，該工作亦是民航數(shù)據(jù)安全評估工作的基礎。

2.1 民航數(shù)據(jù)梳理

民航相關單位的數(shù)據(jù)具有數(shù)量多、類型復雜、分布范圍廣的特點，針對這些特點相關單位應結合多種方式開展數(shù)據(jù)資產的梳理工作，具體包括調研訪談、數(shù)據(jù)庫檢測、流量識別、文件掃描等方法。數(shù)據(jù)梳理工作的難點在于數(shù)據(jù)資產遺漏，因此在進行數(shù)據(jù)資產梳理時應將多種方式相結合，盡可能做到數(shù)據(jù)詳實。民航涉及的主要數(shù)據(jù)類型如下：

（1）航空公司主要涉及的數(shù)據(jù)：旅客數(shù)據(jù)、電商數(shù)據(jù)、運營數(shù)據(jù)、航班數(shù)據(jù)、航行情報、氣象數(shù)據(jù)等。

（2）機場主要涉及的數(shù)據(jù)：旅客數(shù)據(jù)（含人臉識別數(shù)據(jù)）、運營數(shù)據(jù)、商務數(shù)據(jù)、航班數(shù)據(jù)、航行情報、氣象數(shù)據(jù)等。

（3）空管主要涉及的數(shù)據(jù)：航班數(shù)據(jù)、氣象數(shù)據(jù)、航行情報、飛行軌跡信息等。

本文將以民航企事業(yè)單位信息系統(tǒng)承載的旅客信息為例，介紹民航數(shù)據(jù)的特點。民航旅客信息數(shù)據(jù)字段包括身份證號、電話號碼、即時通信工具賬號、電子郵件賬號、家庭住址、銀行卡號、姓名、航班號、電子客票號碼、航班時間、出發(fā)地、目的地等。民航旅客信息的字段信息具有以下特征：

（1）部分字段信息符合長度、字符類型、格式等嚴格標準要求的，標記為第一類。如身份證號、電話號碼、電子客票號碼、航班號、銀行卡號、出發(fā)地和目的地編號等，特別是對身份證號、銀行卡號等字段信息還要滿足自身的校驗要求[4]。

（2）部分字段信息包含一些關鍵字，標記為第二類。如即時通信工具的名稱、郵箱、時間等，以及字段名稱或前后置信息中包含QQ、微信、郵箱（Email）、時間（time）等關鍵字。

（3）部分字段信息以文本形式出現(xiàn)，標記為第三類。如姓名、家庭住址等。

2.2 數(shù)據(jù)分類分級

開展數(shù)據(jù)分類分級的首要工作是明確識別規(guī)則，民航各單位根據(jù)自身業(yè)務特點制定數(shù)據(jù)分類分級規(guī)則，然后通過專家識別和利用算法自動識別相結合的方式進行分類分級，提供識別效率和準確度。

2.3 民航數(shù)據(jù)分類分級方法探討

2.3.1 字段分級

對于民航旅客信息中的不同字段，其敏感程度也不相同，本文首先對不同的字段進行敏感性識別，主要分為以下3 類：

（1）非常敏感信息：身份證、電話號碼、姓名、電子客票號碼。不法分子獲取上述信息后，不但可以實施機票詐騙，還可能對旅客造成其他方面的困擾。

（2）比較敏感信息：家庭住址、銀行卡號、即時通信工具賬號、電子郵件賬號。不法分子如果利用這些信息，可進行人肉搜索等。

（3）一般信息：航班號、航班時間、出發(fā)地、目的地等。不法分子如果獲取這些信息，可用于旅客的數(shù)量統(tǒng)計等[5]。

2.3.2 數(shù)據(jù)記錄分級

對于多條記錄，不同字段的組合，其重要性也不相同，如：身份證號+電話號碼+姓名+銀行卡號+電子客票號碼+家庭住址，這些字段信息是旅客信息的核心內容，它們的組合可對旅客進行精準定位，造成旅客敏感信息的嚴重泄露。

依據(jù)《智慧民航數(shù)據(jù)治理規(guī)范 數(shù)據(jù)安全》，將數(shù)據(jù)分為5 個級別，如表1 所示。

表1 數(shù)據(jù)安全分級規(guī)則

在對民航數(shù)據(jù)進行分類分級時，可以結合字段信息組合內容的安全級別程度和核心字段的數(shù)量來進行級別的評定。

2.3.3 數(shù)據(jù)自動分類分級

在大數(shù)據(jù)環(huán)境下，要對信息系統(tǒng)中的各類數(shù)據(jù)進行識別是一項非常具有挑戰(zhàn)性的工作。對于結構化數(shù)據(jù)，一般通過字段名稱可以判斷出數(shù)據(jù)的安全級別，但是不同開發(fā)人員對字段的定義不同，甚至通過字段的標頭無法判斷出數(shù)據(jù)內容。在大數(shù)據(jù)環(huán)境下，民航企事業(yè)單位信息系統(tǒng)數(shù)量眾多，涉及的數(shù)據(jù)庫表更是復雜，如果僅僅通過人工對數(shù)據(jù)的安全級別進行識別和判斷，一方面工作效率低；另一方面可能會造成敏感信息二次泄露，對于非結構化數(shù)據(jù)人工梳理的難度更大。為了提高數(shù)據(jù)梳理的效率，減少數(shù)據(jù)泄露的風險，提高數(shù)據(jù)管理能力，本文提出一種敏感信息自動化識別模型[6]，具體內容如圖2 所示。

圖2 數(shù)據(jù)自動分級識別模型

該數(shù)據(jù)自動分級識別模型適用于結構化數(shù)據(jù)和非結構化數(shù)據(jù)，具體流程如下。

（1）輸入文件：包括結構化數(shù)據(jù)、非結構化數(shù)據(jù)。

（2）特征識別：在該模塊下，先按照字段特征對文件內容進行分類識別。

①針對第一類字段信息：使用正則表達式，匹配數(shù)據(jù)的長度、字符類型和格式，初步將第一類字段梳理出來，梳理出來的內容為字段的類型（如身份證號、電話號碼、電子客票號碼、航班號、銀行卡號、出發(fā)地和目的地編號等），為保證數(shù)據(jù)識別的正確率，對身份證號、銀行卡號等字段信息進行校驗。

②針對第二類字段信息：使用關鍵字匹配的方式對結構化數(shù)據(jù)的標頭進行識別[7]，通過實驗發(fā)現(xiàn)，由于開發(fā)人員定義不規(guī)范的問題，識別效果較差；使用關鍵字+模式匹配的方式進行識別，通過識別文件中QQ、微信、郵箱等關鍵字，然后在關鍵字附件進行模式匹配，識別是否存在敏感信息。

③針對第三類字段信息：本文采用雙向長短期記憶條件隨機場（Bidirectional Long Short-Term Memory Conditional Random Fields，BiLSTMCRF）模型進行自然語言處理（Natural Language Processing，NLP）識別，BiLSTM-CRF 模型是雙向長短期記憶網絡（Long Short-Term Memory，LSTM）模型和條件隨機場（Conditional Random Fields，CRF）的組合。

（3）字段安全級別識別：在該階段對上一階段識別的字段類型（如身份證號、電話號碼、即時通信工具賬號、電子郵件賬號、家庭住址、銀行卡號、姓名、航班號、電子客票號碼、航班時間、出發(fā)地、目的地等）進行安全級別標注，并標注每條記錄的數(shù)量。

（4）文件或記錄安全級別識別：LR為文件或數(shù)據(jù)庫的安全級別；L為字段的安全級別；N為數(shù)據(jù)庫中記錄的條目數(shù)，則：

式中：li，lj，lk分別為每個安全級別不同字段的數(shù)量；α，β，γ為每個安全級別不同字段的權值。

對于非結構化數(shù)據(jù)，通過簡單的統(tǒng)計無法獲知完整記錄的條目數(shù)，本文采用了如下方法進行判定。

集合R1={l11,…,l1i}，其中R1為非常敏感信息字段的數(shù)量集合；l1i為非結構化數(shù)據(jù)中非常敏感信息第i個字段的數(shù)量。

集合R2={l21,…,l2i}，其中R2為比較敏感信息字段的數(shù)量集合；l2i為非結構化數(shù)據(jù)中比較敏感信息第i個字段的數(shù)量。

集合R3={l31,…,l3i}，其中R3為一般信息字段的數(shù)量集合，l3i為非結構化數(shù)據(jù)中一般信息第i個字段的數(shù)量。

則針對文件或記錄的數(shù)據(jù)安全級別判定方法為：

式中：li，lj，lk分別為每個安全級別不同字段的數(shù)量。

通過上述方法，可以對待識別的文件或數(shù)據(jù)進行定量的判定，對于提高文件或記錄安全級別的識別效率起到積極的作用。

3 數(shù)據(jù)安全威脅識別

數(shù)據(jù)越來越成為一種核心資產，針對數(shù)據(jù)的安全威脅越來越多，通過黑色產業(yè)鏈中民航旅客信息售賣的價格，可在一定程度上直觀地反映出民航數(shù)據(jù)安全面臨的威脅程度[8]。對數(shù)據(jù)安全面臨的威脅識別方法主要如下：威脅來源分析、保護能力分析、攻擊態(tài)勢分析。

3.1 威脅來源分析

數(shù)據(jù)安全威脅來源可分為人為因素和環(huán)境因素兩個方面。通過對民航數(shù)據(jù)泄露情況進行統(tǒng)計分析發(fā)現(xiàn)，數(shù)據(jù)非法交易成為民航數(shù)據(jù)安全的重要威脅，其中既有內部人員非法售賣，也有不法分子非法入侵獲得。

3.2 保護能力分析

數(shù)據(jù)安全保護能力分為數(shù)據(jù)安全管理能力和數(shù)據(jù)安全技術防護能力兩個方面，這兩個能力不足會增加不法分子的攻擊欲望和力度，特別是針對隨機主義的黑客，會給數(shù)據(jù)安全帶來潛在的威脅。

3.3 攻擊態(tài)勢分析

數(shù)據(jù)安全攻擊態(tài)勢可以從安全設備日志、威脅情報以及網絡安全黑色產業(yè)鏈交易信息等信息中獲取當前民航數(shù)據(jù)安全態(tài)勢，以分析出當前的威脅級別，如通過監(jiān)測暗網民航數(shù)據(jù)交易的情況，可以分析出當前民航哪些數(shù)據(jù)面臨什么樣的威脅。

通過對民航數(shù)據(jù)安全面臨的威脅進行分析，得出民航網絡安全威脅賦值表，如表2 所示。

表2 民航網絡安全威脅賦值

4 民航數(shù)據(jù)安全保護有效措施識別

民航數(shù)據(jù)安全保護工作尚在路上，針對數(shù)據(jù)的安全保護措施的評估工作主要分為兩個方面：預防性安全措施有效性識別和保護性安全措施有效性識別。

4.1 預防性安全措施有效性識別

預防性安全措施有效性識別，即結合組織現(xiàn)有的各類安全防護措施對威脅識別階段面臨的各種數(shù)據(jù)安全威脅進行分析，主要包括：針對相關威脅是否有防護措施，防護措施是否能有效抵御威脅，保護措施是否具有持續(xù)性。

相關防護措施包括但不限于威脅情報、防火墻、入侵檢測、數(shù)據(jù)安全網關、數(shù)據(jù)泄密防護等安全防護系統(tǒng)，通過相關策略的配置抵御相關威脅。由于民航業(yè)務在處理過程中涉及多個環(huán)節(jié)，因此加強第三方服務商的安全管理也是一個重要措施。

4.2 保護性安全措施有效性識別

保護性安全措施有效性識別，主要是組織現(xiàn)有各類安全防護措施進行梳理，并對其保護性措施進行有效性的驗證。將保護性安全措施有效性識別前置在脆弱性識別之間的目的：一是確認保護性措施類別；二是確認保護性措施有效性；三是分析保護性措施對相關資產脆弱性消減的情況，通過保護性安全措施有效性識別，使脆弱性評估結果更加全面和準確。

例如，應用系統(tǒng)自身對傳輸?shù)臄?shù)據(jù)采取了符合國密要求的加密傳輸方式，因此在對網絡設備進行脆弱性評估時，采用非加密方式可以對傳輸?shù)拇嗳跣赃M行消減，同樣，如果應用系統(tǒng)采取了虛擬補丁的加固方式，那么可以對主機自身的脆弱性進行消減[9]，通過保護性安全措施有效性識別可以使脆弱性評估更加準確，如表3 所示。

表3 保護性安全措施與脆弱性關聯(lián)示例

5 民航數(shù)據(jù)安全脆弱性評估

民航數(shù)據(jù)安全的脆弱性和承載它的業(yè)務系統(tǒng)、環(huán)境等密切相關，脆弱性評估也是數(shù)據(jù)安全評估的重要環(huán)節(jié)。前文闡述了民航數(shù)據(jù)威脅識別和保護措施有效性識別，數(shù)據(jù)安全評估以數(shù)據(jù)資產為核心，圍繞與它相關的各類資產進行脆弱性評估。如果僅有脆弱性，沒有威脅也不會產生風險，如果采取了防護措施并且防護措施有效，那么在進行相關資產脆弱性評估時，可按照實際環(huán)境進行脆弱性消減，從而使風險評估結果更加準確。

民航行業(yè)，特別是航空公司具有國際性的特點，民航數(shù)據(jù)安全脆弱性識別的依據(jù)不僅要遵循國家數(shù)據(jù)安全相關標準，同樣也要遵循國際相關標準。ICAO 發(fā)布的《航空網絡安保戰(zhàn)略》指出，民用航空部門是一個全球性的相互依賴的體系，具有許多共同系統(tǒng)，網絡攻擊可以輕易地傳播并產生全球影響。信息共享的目的就是預防、及早發(fā)現(xiàn)和減少網絡安保事件，從而減少整個航空部門的系統(tǒng)性網絡風險。通過建立相互信任的關系共享關于薄弱環(huán)節(jié)、威脅、事件和最佳做法等信息，可以減輕持續(xù)攻擊的影響。因此必須按照國際民航組織現(xiàn)行規(guī)定建立適當?shù)男畔⒐蚕頇C制。

對應用在不同環(huán)境中的相同弱點，其脆弱性嚴重程度是不同的，評估者應從組織安全策略的角度考慮、判斷數(shù)據(jù)資產的脆弱性及其嚴重程度。對于民航數(shù)據(jù)安全，不僅要考慮國家及組織內部的安全防護要求，還要考慮國際標準及實際情況，如民航旅客電子登機牌信息，按照國際民航組織的標準是不用加密的，這些信息包含旅客的姓名、始發(fā)地、目的地、航班號、航班日期、艙位、座位號、登機序號等大量隱私信息，依針對這一脆弱性如何來解決。作為保障民航業(yè)務運行的重要信息之一的廣播式自動相關監(jiān)視系統(tǒng)（Automatic Dependent Surveillance-Broadcast，ADS-B）在傳輸信息時同樣采用明文傳輸?shù)姆绞?，這些數(shù)據(jù)安全的脆弱性問題帶有民航的行業(yè)特點，其脆弱性需要從整個行業(yè)角度進行分析解決。

6 民航數(shù)據(jù)安全風險分析

參照GB/T 20984—2022《信息安全技術 信息安全風險評估方法》，民航數(shù)據(jù)安全風險分析需要綜合考慮數(shù)據(jù)資產的重要程度、所面臨的威脅程度以及存在的脆弱性，同時對數(shù)據(jù)及相關資產進行風險值的計算。這些計算包括：安全事件發(fā)生的可能性、安全事件發(fā)生后的損失、系統(tǒng)資產風險值、業(yè)務風險值。

民航數(shù)據(jù)安全對業(yè)務的安全運行有著重大影響，因此在進行業(yè)務風險值計算時，應充分考慮以下因素：

（1）與業(yè)務系統(tǒng)受到破壞后造成的影響不同，民航數(shù)據(jù)特別是旅客身份數(shù)據(jù)一旦泄露，將對旅客造成長期持續(xù)性影響，因此在進行風險評估時，應充分考慮數(shù)據(jù)安全威脅的持續(xù)性，以及相關危害的消除趨勢。

（2）民航數(shù)據(jù)安全所涉及的業(yè)務系統(tǒng)是多個層面的，不僅涉及組織本身，還可能涉及整個行業(yè)，同樣是旅客信息，旅客數(shù)據(jù)一旦泄露一次，不法分子將可能利用相關系統(tǒng)再次查詢到旅客的行程信息，因此，在進行數(shù)據(jù)安全風險計算時，不僅要考慮對本組織的影響，還要考慮對行業(yè)內以及行業(yè)外造成的影響。

（3）民航數(shù)據(jù)具有行業(yè)性的特點，一旦某個環(huán)節(jié)的數(shù)據(jù)被泄露或篡改，可能會影響到整個行業(yè)業(yè)務的運行，如航班信息被篡改，可能會影響到空管、航司和機場等民航行業(yè)部門，甚至可能影響到國際民航的運行，因此在考慮影響范圍時應站在整個行業(yè)角度進行分析。

7 民航數(shù)據(jù)安全風險評價

民航數(shù)據(jù)安全風險評價參照GB/T 20984—2022《信息安全技術 信息安全風險評估方法》，通過風險計算對風險情況進行綜合分析與評價。風險分析是基于計算出的風險值確定風險等級的。風險評價則是對組織、業(yè)務或信息系統(tǒng)總體信息安全風險的評價。參照《智慧民航數(shù)據(jù)治理規(guī)范 數(shù)據(jù)安全》數(shù)據(jù)分級標準，將民航數(shù)據(jù)安全風險評價劃分為很高、高、中等、低、很低5 個等級。

民航數(shù)據(jù)安全風險評價應遵循動態(tài)評價的原則，包括綜合考慮業(yè)務運行、輿情熱點、旅客身份等特點并進行動態(tài)評價，最終通過對不同等級的安全風險進行統(tǒng)計、分析，依據(jù)各等級風險所占全部風險的百分比，確定民航數(shù)據(jù)安全總體風險狀況。

8 結 語

在智慧民航建設中，數(shù)據(jù)安全風險評估是至關重要的一環(huán)。本文在深入調研民航行業(yè)數(shù)據(jù)安全工作的難點后，結合民航數(shù)據(jù)的特點，探討了數(shù)據(jù)安全風險評估的相關模型、方法和工具。然而，盡管現(xiàn)有的模型和方法在一定程度上已經能夠幫助我們更好地理解和保護數(shù)據(jù)安全，但它們仍然無法完全準確地識別民航數(shù)據(jù)。因此，在未來的工作中，我們需要進一步加強對數(shù)據(jù)安全風險評估體系的研究和應用，以提高民航數(shù)據(jù)安全保護工作的效率和效果。