空管*DDN网络系统的运行风险评估及控制对策

摘要：空管*ddn网络系统是民航地区空管局信息网络的一部分，它充分利用ddn的技术特性，开通雷达、自动转报、甚高频遥控、航空气象、语音数据等业务，成为空管*的综合业务传输平台。本文根据作者的工作实践，具体介绍了对空管*ddn网络系统进行风险评估的基本方法和具体过程以及相应的控制对策。

关键词：ddn网络系统 风险评估 控制对策

0 引言

ddn(digital data network)数字数据网主要由数字传输电路和相对应的数字交叉复用设备构成，采用光缆、数字微波和卫星信道等数字信道提供永久性或半永久性的连接电路，为用户提供专门的传输数据信号的通信网络。采用ddn专线接入具有延时较短，便于开通、调配信道的优点，使用户可以开通各种信息业务，传输任何合适的信息。空管*ddn网络系统是民航地区空管局信息网络的一部分，它充分利用ddn的技术特性，开通雷达、自动转报、甚高频遥控、航空气象、语音数据等业务，成为空管*的综合业务传输平台，作为空管系统的通信基础设施之一，其正常运行关系到多种空管通信、导航和监视设备的运行正常，对飞行安全工作的保障具有重要意义。

各空管*的ddn网络系统作为空管系统的通信基础设施，确保其安全稳定运行的必要性毋庸置疑。为确保其持续安全，必须对其开展定期的运行风险评估，或在运行环境发生重大变化时开展特定条件下的运行风险评估，通过深入分析寻求有针对性的风险控制对策，从而降低系统运行风险，进一步提高该系统的防范风险和应对突发事件的保障能力。wWw.11665.COM从而促进整个空管信息网络的安全运行。下面，笔者结合自己从事空管*ddn网络日常维护工作的多年实践，对空管*的ddn网络系统的风险评估方法及相应的控制对策制定的基本思路做一个简单的阐述。

1 ddn网络系统的组成及风险评估范围

空管*ddn网络系统是民航地区空管局信息网络的一部分，它充分利用ddn的技术特性，开通雷达、自动转报、甚高频遥控、航空气象、语音数据等业务，成为空管*的综合业务传输平台。该系统主要由核心路由器以及与之相连的各业务接入端口，以及为这些业务接入所配套的接入或复用设备组成。

*站ddn网络系统的风险评估，将评估边界确定为核心路由器以及与之相连的各业务接入端口，以及为这些业务接入所配套的接入或复用设备。评估工作的依据即规范性文件为《信息安全等级保护管理办法》（公通字[2007]43号）和《信息安全技术－信息安全风险评估规范》（gb/t 20984-2007）。根据评估结果，一般将系统风险等级设为高、中、低三个等级。

2 威胁分析

2.1 威胁来源的分析和认定 通过对*ddn网络系统管理、维护和日常运行等各具体业务开展情况的综合分析，我们不难确定该系统的威胁来源，通常为非故意人为因素，环境因素及故障两个方面。具体而言，非故意人为因素通常来源于操作失误，机房环境（室温、湿度、静电干扰）不符要求和设备硬件故障则成为环境因素和故障威胁来源。

2.2 威胁分析的具体操作方法

2.2.1 维护操作失误 影响维护操作失误的主要因素有：一是设备维护人员在专业技术水平；二是设备维护人员在开展日常的维护操作工作过程中，对于已有的设备维护规章制度、维修维护操作实施细则是否能规范执行？三是维护人员的管理者执行监控运行规章制度的能力大小。我们通过对以上列举的三方面因素造成的威胁能力、威胁意图的具体深入分析，不难确定维护操作失误相应于ddn网络系统的威胁等级。

2.2.2 机房环境条件 机房环境条件最主要的是温度、湿度和静电三项因素，同时还包括机房环境配套的监测装置和技术手段。由于上述装置和手段对于机房环境影响很大，因此机房的温湿度环境是否在设备技术说明书要求的范围内？机务维护人员在日常的设备维护操作中是否能采取专门的防静电措施（如佩戴防静电护腕拔插电路板）？这些因素造成的威胁意图和威胁能力需要我们重点分析，最终为机房环境对于ddn网络系统的威胁明确定级。

2.2.3 设备硬件故障 空管*ddn网络系统由核心路由器以及与之相连的雷达、自动转报、甚高频遥控、航空气象、语音数据等业务接入端口，以及为这些业务接入所配套的多种接入或复用设备构成。上述设备的主用、备用系统配置情况及故障时的切换方式，关键设备板件、接头的储备情况，是设备保

的关键点，也是分析威胁意图和威胁能力的关键所在，由此我们可判断硬件故障对于*ddn网络系统的威胁等级处于哪级？

通过对上述三方面的综合考量，不难判定系统威胁等级所处的级别。

3 脆弱性分析

通常从管理、技术两大角度开展脆弱性识别。

3.1 技术脆弱性分析 影响技术脆弱性的主要因素有：一是设备的硬件及配套软件是否获得民航行业主管部门的入网许可证？二是生产厂家售后服务如何，包括配套的系统软件升级服务和响应时间？三是软件系统登录是否采用严格的用户分级管理和复杂的密令策略？四是是否由专业技术人员从事日常运行维护工作？五是ddn网络系统与其它网络的物理隔离性如何（一般不能与其他网络互联）？

3.2 管理脆弱性 影响管理脆弱性的主要因素包括：一是设备维护制度、维修规程和应急处置预案的完备性；二是系统安全运行的组织管理水平，即由机房现场管理、人员管理水平决定的环境安全性；三是系统安全运行的技术管理水平，即设备定期维护制度的执行情况、业务培训组织和应急演练实效性。

4 现有控制措施有效性分析

空管*ddn网络系统通常采用以下风险控制措施：一是要求维护人员严格执行设备定期维护巡检制度，即维护周期为周、月、季、年的定期维护（实施内容由简到繁）和每日分时的巡检制度；二是及时开展有针对性的维护人员设备专业培训（根据设备软硬件更新变动情况）；三是详细可行的应急处置预案，并定期组织演练，实时调整优化。

评估上述控制措施的有效性要把握点、线、面相结合的原则，既有就事论事的具体分析，也有统筹兼顾的综合分析。一是对比控制措施实施前后的系统运行状况，二是深入分析影响信息网络安全运行的事件（如存在），三是分析具体的维护记录。为确保分析的准确性，选取的案例要有针对性，具体真实、分析客观。通过分析最终确定控制措施有效性所处于的等级。

5 风险分析

经过上述过程，我们可以得到最终的风险分析结果。

首先是根据威胁等级和脆弱性等级分析结果确定风险概率分析过程中间结果。

从威胁等级、脆弱性等级分析结果均为“低”，可以确定风险概率分析过程中间结果也为“低”。

然后根据风险概率矩阵表，得出风险概率最终结果。

6 风险控制对策

根据上述对*ddn网络系统运行情况风险分析的结果，可以最终确定该系统的风险处于什么级别。

处于风险高级别的ddn网络系统，要反复审视其风险分析过程，特别是要考量仅仅在现有的系统架构上针对具体的威胁来源进行改进，对于降低该系统风险是否有决定性作用，特别重视从脆弱性角度评估系统正常运行的可持续性，打破原有思维定式进行改进。在多次改进仍无法将风险降至低等级的，要对现有ddn网络系统进行升级改造或重建。

对于风险处于中级别的ddn网络系统，主要采用对症下药的改进方法，依据风险分析过程，逐一有针对性的改进具体的威胁来源，从脆弱性角度进行技术和管理分析，逐一验证每一项控制措施的有效性，改进完成后，重新组织评估工作，直到确定该系统风险处于低级别。

通过评估判断为风险低级别的ddn网络系统，说明其现有的控制措施有效性，必须继续严格执行现行的有效控制措施，从业务培训、专业维护、运行管理等方面加强对ddn网络系统的日常维护检查，提高设备运行可靠性，以重点系统设备（如核心路由器、接入复用设备等）、重点系统用户/服务对象（如上/下级个节点系统、管制部门、雷达飞行数据处理系统、应急自动化系统等）的实时监控为工作重点，加强监控系统及重点用户的使用状况，及时排除问题，重视应急处置训练，提高专业技术人员的应急处置能力。

7 结束语

近年来，民航全行业提出并推行了“持续安全”理念。三大区域管制中心的投入运行，使空管*站原有的孤立式系统联为一体，互相影响。空管全系统内对于确保空管系统业务运行连续性的要求不断提升。面对持续增加的运行保障压力，以及各地大飞行流量下排堵保畅的要求，我们必须防患于未然，通过对现有空管*ddn网络系统网络拓扑结构及所涉及的通信技术做深入分析，寻找影响*ddn网络系统安全运行的关键所在，制定合理可行的安全运行保障策略，进一步提升空管设备运行保障工作水平。