空管分局DDN網絡系統的運行風險評估及控制對策

摘要：空管分局DDN網絡系統是民航地區空管局信息網絡的一部分，它充分利用DDN的技術特性，開通雷達、自動轉報、甚高頻遙控、航空氣象、語音數據等業務，成為空管分局的綜合業務傳輸平臺。本文根據作者的工作實踐，具體介紹了對空管分局DDN網絡系統進行風險評估的基本方法和具體過程以及相應的控制對策。

關鍵詞：DDN網絡系統 風險評估 控制對策

0 引言

DDN(DIGITAL DATA NETWORK)數字數據網主要由數字傳輸電路和相對應的數字交叉復用設備構成，采用光纜、數字微波和衛星信道等數字信道提供永久性或半永久性的連接電路，為用戶提供專門的傳輸數據信號的通信網絡。采用DDN專線接入具有延時較短，便于開通、調配信道的優點，使用戶可以開通各種信息業務，傳輸任何合適的信息。空管分局DDN網絡系統是民航地區空管局信息網絡的一部分，它充分利用DDN的技術特性，開通雷達、自動轉報、甚高頻遙控、航空氣象、語音數據等業務，成為空管分局的綜合業務傳輸平臺，作為空管系統的通信基礎設施之一，其正常運行關系到多種空管通信、導航和監視設備的運行正常，對飛行安全工作的保障具有重要意義。

各空管分局的DDN網絡系統作為空管系統的通信基礎設施，確保其安全穩定運行的必要性毋庸置疑。為確保其持續安全，必須對其開展定期的運行風險評估，或在運行環境發生重大變化時開展特定條件下的運行風險評估，通過深入分析尋求有針對性的風險控制對策，從而降低系統運行風險，進一步提高該系統的防范風險和應對突發事件的保障能力。從而促進整個空管信息網絡的安全運行。下面，筆者結合自己從事空管分局DDN網絡日常維護工作的多年實踐，對空管分局的DDN網絡系統的風險評估方法及相應的控制對策制定的基本思路做一個簡單的闡述。

1 DDN網絡系統的組成及風險評估范圍

空管分局DDN網絡系統是民航地區空管局信息網絡的一部分，它充分利用DDN的技術特性，開通雷達、自動轉報、甚高頻遙控、航空氣象、語音數據等業務，成為空管分局的綜合業務傳輸平臺。該系統主要由核心路由器以及與之相連的各業務接入端口，以及為這些業務接入所配套的接入或復用設備組成。

分局站DDN網絡系統的風險評估，將評估邊界確定為核心路由器以及與之相連的各業務接入端口，以及為這些業務接入所配套的接入或復用設備。評估工作的依據即規范性文件為《信息安全等級保護管理辦法》（公通字[2007]43號）和《信息安全技術－信息安全風險評估規范》（GB/T 20984-2007）。根據評估結果，一般將系統風險等級設為高、中、低三個等級。

2 威脅分析

2.1 威脅來源的分析和認定 通過對分局DDN網絡系統管理、維護和日常運行等各具體業務開展情況的綜合分析，我們不難確定該系統的威脅來源，通常為非故意人為因素，環境因素及故障兩個方面。具體而言，非故意人為因素通常來源于操作失誤，機房環境（室溫、濕度、靜電干擾）不符要求和設備硬件故障則成為環境因素和故障威脅來源。

2.2 威脅分析的具體操作方法

2.2.1 維護操作失誤 影響維護操作失誤的主要因素有：一是設備維護人員在專業技術水平；二是設備維護人員在開展日常的維護操作工作過程中，對于已有的設備維護規章制度、維修維護操作實施細則是否能規范執行？三是維護人員的管理者執行監控運行規章制度的能力大小。我們通過對以上列舉的三方面因素造成的威脅能力、威脅意圖的具體深入分析，不難確定維護操作失誤相應于DDN網絡系統的威脅等級。

2.2.2 機房環境條件 機房環境條件最主要的是溫度、濕度和靜電三項因素，同時還包括機房環境配套的監測裝置和技術手段。由于上述裝置和手段對于機房環境影響很大，因此機房的溫濕度環境是否在設備技術說明書要求的范圍內？機務維護人員在日常的設備維護操作中是否能采取專門的防靜電措施（如佩戴防靜電護腕拔插電路板）？這些因素造成的威脅意圖和威脅能力需要我們重點分析，最終為機房環境對于DDN網絡系統的威脅明確定級。

2.2.3 設備硬件故障 空管分局DDN網絡系統由核心路由器以及與之相連的雷達、自動轉報、甚高頻遙控、航空氣象、語音數據等業務接入端口，以及為這些業務接入所配套的多種接入或復用設備構成。上述設備的主用、備用系統配置情況及故障時的切換方式，關鍵設備板件、接頭的儲備情況，是設備保障的關鍵點，也是分析威脅意圖和威脅能力的關鍵所在，由此我們可判斷硬件故障對于分局DDN網絡系統的威脅等級處于哪級？

通過對上述三方面的綜合考量，不難判定系統威脅等級所處的級別。

3 脆弱性分析

通常從管理、技術兩大角度開展脆弱性識別。

3.1 技術脆弱性分析 影響技術脆弱性的主要因素有：一是設備的硬件及配套軟件是否獲得民航行業主管部門的入網許可證？二是生產廠家售后服務如何，包括配套的系統軟件升級服務和響應時間？三是軟件系統登錄是否采用嚴格的用戶分級管理和復雜的密令策略？四是是否由專業技術人員從事日常運行維護工作？五是DDN網絡系統與其它網絡的物理隔離性如何（一般不能與其他網絡互聯）？

3.2 管理脆弱性 影響管理脆弱性的主要因素包括：一是設備維護制度、維修規程和應急處置預案的完備性；二是系統安全運行的組織管理水平，即由機房現場管理、人員管理水平決定的環境安全性；三是系統安全運行的技術管理水平，即設備定期維護制度的執行情況、業務培訓組織和應急演練實效性。

4 現有控制措施有效性分析

空管分局DDN網絡系統通常采用以下風險控制措施：一是要求維護人員嚴格執行設備定期維護巡檢制度，即維護周期為周、月、季、年的定期維護（實施內容由簡到繁）和每日分時的巡檢制度；二是及時開展有針對性的維護人員設備專業培訓（根據設備軟硬件更新變動情況）；三是詳細可行的應急處置預案，并定期組織演練，實時調整優化。

評估上述控制措施的有效性要把握點、線、面相結合的原則，既有就事論事的具體分析，也有統籌兼顧的綜合分析。一是對比控制措施實施前后的系統運行狀況，二是深入分析影響信息網絡安全運行的事件（如存在），三是分析具體的維護記錄。為確保分析的準確性，選取的案例要有針對性，具體真實、分析客觀。通過分析最終確定控制措施有效性所處于的等級。

5 風險分析

經過上述過程，我們可以得到最終的風險分析結果。

首先是根據威脅等級和脆弱性等級分析結果確定風險概率分析過程中間結果。

從威脅等級、脆弱性等級分析結果均為“低”，可以確定風險概率分析過程中間結果也為“低”。

然后根據風險概率矩陣表，得出風險概率最終結果。

6 風險控制對策

根據上述對分局DDN網絡系統運行情況風險分析的結果，可以最終確定該系統的風險處于什么級別。

處于風險高級別的DDN網絡系統，要反復審視其風險分析過程，特別是要考量僅僅在現有的系統架構上針對具體的威脅來源進行改進，對于降低該系統風險是否有決定性作用，特別重視從脆弱性角度評估系統正常運行的可持續性，打破原有思維定式進行改進。在多次改進仍無法將風險降至低等級的，要對現有DDN網絡系統進行升級改造或重建。

對于風險處于中級別的DDN網絡系統，主要采用對癥下藥的改進方法，依據風險分析過程，逐一有針對性的改進具體的威脅來源，從脆弱性角度進行技術和管理分析，逐一驗證每一項控制措施的有效性，改進完成后，重新組織評估工作，直到確定該系統風險處于低級別。

通過評估判斷為風險低級別的DDN網絡系統，說明其現有的控制措施有效性，必須繼續嚴格執行現行的有效控制措施，從業務培訓、專業維護、運行管理等方面加強對DDN網絡系統的日常維護檢查，提高設備運行可靠性，以重點系統設備（如核心路由器、接入復用設備等）、重點系統用戶/服務對象（如上/下級個節點系統、管制部門、雷達飛行數據處理系統、應急自動化系統等）的實時監控為工作重點，加強監控系統及重點用戶的使用狀況，及時排除問題，重視應急處置訓練，提高專業技術人員的應急處置能力。

7 結束語

近年來，民航全行業提出并推行了“持續安全”理念。三大區域管制中心的投入運行，使空管分局站原有的孤立式系統聯為一體，互相影響。空管全系統內對于確保空管系統業務運行連續性的要求不斷提升。面對持續增加的運行保障壓力，以及各地大飛行流量下排堵保暢的要求，我們必須防患于未然，通過對現有空管分局DDN網絡系統網絡拓撲結構及所涉及的通信技術做深入分析，尋找影響分局DDN網絡系統安全運行的關鍵所在，制定合理可行的安全運行保障策略，進一步提升空管設備運行保障工作水平。