MH T 0069-2018 民用航空网络安全等级保护定级指南.pdf

上传人:李朗 文档编号:1499446 上传时间:2021-03-11 格式:PDF 页数:12 大小:493.07KB
下载 相关 举报
MH T 0069-2018 民用航空网络安全等级保护定级指南.pdf_第1页
第1页 / 共12页
MH T 0069-2018 民用航空网络安全等级保护定级指南.pdf_第2页
第2页 / 共12页
MH T 0069-2018 民用航空网络安全等级保护定级指南.pdf_第3页
第3页 / 共12页
MH T 0069-2018 民用航空网络安全等级保护定级指南.pdf_第4页
第4页 / 共12页
MH T 0069-2018 民用航空网络安全等级保护定级指南.pdf_第5页
第5页 / 共12页
亲,该文档总共12页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

1、ICS 35.020 V 08 MH 中华人民共和国民用航空行业标准 MH/T 00692018 民用航空网络安全等级保护定级指南 Guidelines for grading of classified cyber security protection in civil aviation 2018 - 12 - 14 发布 2019 - 04 - 01 实施 中国民用航空局 发布 MH/T 00692018 I 前 言 本标准按照GB/T 1.1-2009给出的规则起草。 本标准由中国民用航空局人事科教司提出。 本标准由中国民航科学技术研究院归口。 本标准起草单位:中国民航大学、广东机场白

2、云信息科技有限公司、南开大学、中国民用航空局空 中交通管理局、中国民用航空华北地区空中交通管理局、中国民用航空华东地区空中交通管理局。 本标准主要起草人:刘春波、魏勇、周景贤、黄诚智、贾春福、王双、张礼哲、马勇、江志强、唐 屹、陈宝刚、顾弘毅、吕宗平。 M H MH/T 00692018 1 民用航空网络安全等级保护定级指南 1 范围 本标准规定了民用航空行业网络安全等级保护的定级原理、方法和等级变更等内容。 本标准适用于民用航空行业非涉密网络与信息系统的等级保护定级工作。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。 凡是不注日

3、期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 25069 信息安全技术 术语 GB/T 22240200 8 信息安全技术 信息系统安全等级保护定级指南 3 术语和定义 GB/T 25069和GB/ T 22240-2008确立的以及下列术语和定义适用于本文件。为了便于使用,以下重 复列出了GB/T 22240 -2008中的一些术语和定义。 3.1 等级保护对象 target of classified protection 网络安全等级保护工作的作用对象,主要包括基础通信网络、信息系统和数据资源。 3.2 关键信息基础设施 critical information

4、infrastructure 支撑国家经济社会运行,一旦遭到破坏、丧失功能或数据泄露,可能严重危害国家安全、国计民生 和公共利益的网络设施和信息系统。 3.3 客体 object 受法律保护的、等级保护对象受到破坏时所侵害的社会关系,如国家安全、社会秩序、公共利益以 及公民、法人或其他组织的合法权益。 GB/T 222402008,定义3.2 3.4 系统服务 system service 信息系统为支撑其所承载业务而提供的程序化过程。 GB/T 222402008,定义3.4 M H MH/T 00692018 2 3.5 业务信息 business information 信息系统经过程序

5、化过程生产得出的数据信息或正常运行所需的支撑性数据信息。 3.6 调整年旅客吞吐量 adjusted annual passenger handling capacity 民用运输机场上一年度旅客吞吐量与设计目标年年旅客吞吐量相比较,取其中数值较大者。 4 定级原理及流程 4.1 安全保护等级 民用航空网络安全保护等级按GB/T 222402 008中4.1的规定,分为五级。 4.2 定级要素 4.2.1 GB/T 222402008 中 4.2 规定,等级保护对象的安全保护等级由两个一级定级要素决定:等级 保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。 4.2.2 根据民用航空网络与

6、信息系统的业务信息和系统服务特征,将一级要素“对客体的侵害程度” 进一步分解为以下两个二级要素: 业务重要性; 网络与信息系统规模。 4.3 一级要素与安全保护等级的关系 一级要素与安全保护等级的关系如表 1所示。 表1 一级要素与安全保护等级的关系 受侵害的客体 对客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第三级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 4.4 二级要素 4.4.1 业务重要性 4.4.1.1 业务重要性是指网络与信息系统承载业务的重要程度,可分为一般、重要、核心三个级别。 不同类别

7、的网络与信息系统的业务重要性在 6.2 中具体分析。 4.4.1.2 业务重要性与对客体的侵害程度正相关。业务越重要,则对客体的侵害程度越严重。 4.4.2 网络与信息系统规模 4.4.2.1 网络与信息系统规模可用业务量或服务范围加以评价。 4.4.2.2 业务量是指提供对外服务的民用航空网络与信息系统所承载的运输业务量。根据业务量的多 少,划分为不同级别。业务量与对客体的侵害程度正相关。业务量越大,则对客体 的侵害程度越严重。 MH/T 00692018 3 4.4.2.3 服务范围是指民用航空网络与信息系统服务的地理范围,适用于地理服务范围有差异的信息 系统,可分为全国、区域、省等级别。

8、服务范围与对客体的侵害程度正相关。服务范围越广,则对客体 的侵害程度越严重。 4.5 定级流程 民用航空网络与信息系统定级的一般流程如下: a) 确定定级对象; b) 初步确定等级; c) 专家评审; d) 主管部门审核; e) 公安机关备案审查。 5 确定定级对象 民用航空网络与信息系统可以分为空中交通管理类信息系统、航务类信息系统、机务类信息系统、 商务/ 旅客服务类信息系统、机场生产运行类信息系统、电子政务类系统、通用管理类信息系统、门户 网站(不包含业务应用)类系统、支撑类网络与信息系统、其他信息设施等类别: 空中交通管理类信息系统:对空中交通管制信息、航空气象信息以及航行情报信息进行

9、收集、 加工、处理和发布的信息系统,如空中交通管制自动化系统、民航气象数据库系统、自动转报 系统、航空情报自动化系统等; 航务类信息系统:以航班生产保障为核心的信息系统,如航班运行控制系统、飞行员网上准备 系统等; 机务类信息系统:以飞机维修管理的自动化、规范化、信息化和数字化为核心的信息系统,如 机务维修管理系统、航材管理系统等; 商务 /旅客服务类信息系统:以订座、离港、分销、结算四大业务为核心的面向旅客服务的信 息系统; 机场生产运行类信息系统:以航空业务保障为核心的机场信息系统,如信息集成系统、航班信 息显示系统、安检信息管理系统、行李处理系统等; 电子政务类信息系统:支持民航各级政务

10、部门开展政务工作的信息服务系统,如民航综合统计 信息系统、民航飞行标准监督管理系统等; 通用管理类信息系统:以办公自动化为核心的实现企业资源管理的信息系统,如办公自动化系 统、财务管理系统、资产管理系统等; 门户网站(不包含业务应用)类信息系统:通过互联网为公众提供综合信息服务的 Web 应用 系统,不包含订票、值机等业务应用; 支撑类网络与信息系统:支撑多个信息系统实现计算、操作或通信等功能所依赖的系统运行环 境,包括基础信息网络、云计算平台、物联网、移动互联网、大数据平台等; 其他信息设施:不包含在上述各类网络与信息系统范围之内的民航信息设施,如机场助航灯光 监控系统、机场安全防范系统、机

11、场供油控制系统等。 6 初步确定安全保护等级 6.1 方法概述 M H MH/T 00692018 4 对于一般的民用航空网络与信息系统,其定级方法应按照本条描述进行;对于基础信息网络、云计 算平台、物联网、移动互联网、大数据平台等支撑类网络与信息系统,其定级方法应参照 6.3。 民用航空网络与信息系统安全包括业务信息安全和系统服务安全, 与之相关的受侵害客体和对客体 的侵害程度可能不同。因此,安全保护等级也应由业务信息安全和系统服务安全两方面确定。 从业务信息安全角度反映的定级对象安全保护等级称业务信息安全保护等级。 从系统服务安全角度反映的定级对象安全保护等级称系统服务安全保护等级。 定级

12、方法如下: a) 确定受到破坏时所侵害的客体,包括: 1) 确定业务信息受到破坏时所侵害的客体; 2) 确定系统服务受到破坏时所侵害的客体; b) 确定对客体的侵害程度,包括: 1) 根据不同的受侵害客体, 采用两个二级要素综合评定业务信息安全被破坏对客体的侵害程 度; 2) 根据不同的受侵害客体, 采用两个二级要素综合评定系统服务安全被破坏对客体的侵害程 度; c) 确定安全保护等级,包括: 1) 依据表 2,得到业务信息安全保护等级; 2) 依据表 3,得到系统服务安全保护等级; 3) 将业务信息安全保护等级和系统服务安全保护等级的较高者初步确定为定级对象的安全 保护等级。 表2 业务信息

13、安全保护等级矩阵表 业务信息安全被破坏时所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第三级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 表3 系统服务安全保护等级矩阵表 系统服务安全被破坏时所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第三级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 6.2 民用航空网络与信息系统安全保护等级 采用上述方法, 可分别确定各级各类民用航空网络与信息系

14、统的业务信息安全等级和系统服务安全 等级,进而确定其安全保护等级。为了节省篇幅,本标准省略中间过程,直接给出各类民航网络与信息 系统的定级建议,分别见表4至表11。各单位根据本单位等级保护对象的业务功能,进行按照定级,安 全保护等级应不低于建议级别,也就是说,业务信息安全等级和系统服务安全等级中,应至少有一方面 不低于建议级别;对于承载复杂功能的等级保护对象,安全等级可高于建议级别;对于承载多个业务功 MH/T 00692018 5 能的等级保护对象,应以建议的最高安全等级进行定级;未在建议表中列出的等级保护对象,可根据其 承载的业务功能,参照本标准进行定级。 表4 空中交通管理类信息系统安全

15、保护等级 业务重要性 服务范围 空管分局(站) 全国或地区空管局 空管生产管理一般业务 第一级 第二级 空管生产管理重要业务 第二级 第三级 空管生产控制、指挥调度 第三级 第三级 表5 航务类信息系统安全保护等级 业务重要性 业务量(年旅客运输量 P:万人次) P200 200P1000 P1000 一般业务 第一级 第一级 第二级 重要业务(涉及航班计划、航班 动态、飞机参数等航班数据) 第二级 第二级 第二级 核心业务(航班运行控制) 第二级 第三级 第三级 表6 机务类信息系统安全保护等级 业务重要性 业务量(年旅客运输量 P:万人次) P200 200P1000 P1000 一般业务

16、 第一级 第一级 第二级 重要业务(直接影响飞机适航性) 第一级 第二级 第二级 表7 商务/旅客服务类信息系统安全保护等级 业务重要性 服务范围 区域 全国 一般业务(涉及企业商业秘密) 第一级 第二级 重要业务(涉及企业核心商业秘 密和旅客个人信息) 第二级 第三级 核心业务(直接影响旅客流程) 第三级 第三级 表8 机场生产运行类信息系统安全保护等级 业务重要性 业务量(调整年旅客吞吐量 A:万人次) A200 200A1000 1000A4000 A4000 一般业务(不直接影响旅客服务) 第一级 第一级 第一级 第二级 重要业务(直接影响旅客服务) 第一级 第二级 第二级 第二级 核

17、心业务(直接影响旅客流程、 行李流程、航空器流程) 第二级 第二级 第三级 第三级 M H MH/T 00692018 6 表9 电子政务类信息系统安全保护等级 业务重要性 服务范围 区域 全国 一般业务 第一级 第二级 重要业务(涉及重要的局部性政 务信息) 第二级 第二级 核心业务(涉及关键性、全局性 政务信息) 第三级 第三级 表10 通用管理类信息系统安全保护等级 业务重要性 信息系统规模 仅覆盖一个地区或业务量较小 覆盖全国或业务量较大 一般业务 第一级 第一级 重要业务(涉及主要办公信息) 第一级 第二级 注: 对于机场的通用管理信息系统,调整年旅客吞吐量在200万人次以上为业务量

18、较大,反之 为业务量较小。对于航空公司的通用管理信息系统,年旅客运输量在200万人次以上为业 务量较大,反之为业务量较小。 表11 门户网站(不包含业务应用)类信息系统安全保护等级 单位规模 地区性或中小型企事业单位、社会团体 全国性或大型企事业单位、社会团体 安全保护等级 第二级 第三级 各类网络与信息系统中,对应不同业务重要性的典型系统参见附录A。 6.3 特定定级对象定级说明 对于基础信息网络、云计算平台、物联网、移动互联网、大数据平台等支撑类网络与信息系统,应 根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级, 安全保护等级应不低于其承载 的等级保护对象的安全保护等级。

19、对于大数据,应综合考虑数据规模、数据价值等因素,根据数据资源(完整性、保密性、可用性) 遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素 确定其安全保护等级。 对于确定为关键信息基础设施的,原则上其安全保护等级不低于第三级。 7 等级变更 对于已定级的民用航空网络与信息系统,当所处理的信息、业务状态和系统服务范围发生变化,可 能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度有较大的变化时, 应 根据本标准要求重新确定定级对象和安全保护等级。 MH/T 00692018 7 A A 附 录 A (资料性附录) 各类民航网络与信息系

20、统的典型实例 本附录给出各类民航网络与信息系统中,对应 不同业务重要性的典型系统,分别见表A.1表A.7, 供民航企事业单位开展定级工作时参考。 表A.1 典型的空中交通管理类信息系统 业务重要性 典型系统 空管生产管理一般业务 自动气象观测系统等 空管生产管理重要业务 民航气象数据库系统、自动转报系统、航空情报自动化系统等 空管生产控制、指挥调度 空中交通管制自动化系统等 表A.2 典型的航务类信息系统 业务重要性 典型系统 一般业务 地面保障系统等 重要业务(涉及航班计划、航班动态、 飞机参数等航班数据) 飞行员网上准备系统等 核心业务(航班运行控制) 航班运行控制系统等 表A.3 典型的

21、机务类信息系统 业务重要性 典型系统 一般业务 航材管理系统等 重要业务(直接影响飞机适航性) 机务维修管理系统等 表A.4 典型的商务/旅客服务类信息系统 业务重要性 典型系统 一般业务(涉及企业商业秘密) 运价系统、收益管理系统、货运管理系统等 重要业务(涉及企业核心商业秘密和 旅客个人信息) 代理人分销系统、电子客票系统、常旅客管理系统(客户关系管理 系统)等 核心业务(直接影响旅客流程) 航班控制系统、离港控制系统等 表A.5 典型的机场生产运行类信息系统 业务重要性 典型系统 一般业务(不直接影响旅客服务) 内部通信系统、时钟系统等 重要业务(直接影响旅客服务) 安检信息管理系统、航班信息显示系统、广播系统等 核心业务(直接影响旅客流程、行李 流程、航空器流程) 信息集成系统、离港前端系统、机坪塔台指挥系统等 M H MH/T 00692018 8 表A.6 典型的电子政务类信息系统 业务重要性 典型系统 一般业务 (略) 重要业务(涉及重要的局部性政务信 息) 民航飞行标准监督管理系统等 核心业务(涉及关键性、全局性政务 信息) 民航综合统计信息系统等 表A.7 典型的通用管理类信息系统 业务重要性 典型系统 一般业务 (略) 重要业务(涉及主要办公信息) 办公自动化系统、财务管理系统等 _

展开阅读全文
相关资源
猜你喜欢
  • BS ISO 19399-2016 Paints and varnishes Wedge-cut method for determination of film thickness (scribe and drill method)《涂料和清漆 用于测定薄膜厚度的楔形切割法(划线法和钻法)》.pdf BS ISO 19399-2016 Paints and varnishes Wedge-cut method for determination of film thickness (scribe and drill method)《涂料和清漆 用于测定薄膜厚度的楔形切割法(划线法和钻法)》.pdf
  • BS ISO 19403-1-2017 Paints and varnishes Wettability Terminology and general principles《色漆和清漆 润湿性 术语和一般原则》.pdf BS ISO 19403-1-2017 Paints and varnishes Wettability Terminology and general principles《色漆和清漆 润湿性 术语和一般原则》.pdf
  • BS ISO 19403-2-2017 Paints and varnishes Wettability Determination of the surface free energy of solid surfaces by measuring the contact angle《色漆和清漆 润湿性 接触角测定固体表面自由能》.pdf BS ISO 19403-2-2017 Paints and varnishes Wettability Determination of the surface free energy of solid surfaces by measuring the contact angle《色漆和清漆 润湿性 接触角测定固体表面自由能》.pdf
  • BS ISO 19403-3-2017 Paints and varnishes Wettability Determination of the surface tension of liquids using the pendant drop method《色漆和清漆 润湿性 悬滴法测定液体表面张力》.pdf BS ISO 19403-3-2017 Paints and varnishes Wettability Determination of the surface tension of liquids using the pendant drop method《色漆和清漆 润湿性 悬滴法测定液体表面张力》.pdf
  • BS ISO 19403-4-2017 Paints and varnishes Wettability Determination of the polar and dispersive fractions of the surface tension of liquids from an interfacial tension《色漆和清漆 润湿性 由界面.pdf BS ISO 19403-4-2017 Paints and varnishes Wettability Determination of the polar and dispersive fractions of the surface tension of liquids from an interfacial tension《色漆和清漆 润湿性 由界面.pdf
  • BS ISO 19403-5-2017 Paints and varnishes Wettability Determination of the polar and dispersive fractions of the surface tension of liquids from contact angles measurements on a sola.pdf BS ISO 19403-5-2017 Paints and varnishes Wettability Determination of the polar and dispersive fractions of the surface tension of liquids from contact angles measurements on a sola.pdf
  • BS ISO 19403-6-2017 Paints and varnishes Wettability Measurement of dynamic contact angle《色漆和清漆 润湿性 动态接触角测量》.pdf BS ISO 19403-6-2017 Paints and varnishes Wettability Measurement of dynamic contact angle《色漆和清漆 润湿性 动态接触角测量》.pdf
  • BS ISO 19403-7-2017 Paints and varnishes Wettability Measurement of the contact angle on a tilt stage (roll-off angle)《色漆和清漆 润湿性 倾斜台上接触角的测量(滚降角)》.pdf BS ISO 19403-7-2017 Paints and varnishes Wettability Measurement of the contact angle on a tilt stage (roll-off angle)《色漆和清漆 润湿性 倾斜台上接触角的测量(滚降角)》.pdf
  • BS ISO 19430-2016 Particle size analysis Particle tracking analysis (PTA) method《粒径分析 粒子径迹分析(PTA)方法》.pdf BS ISO 19430-2016 Particle size analysis Particle tracking analysis (PTA) method《粒径分析 粒子径迹分析(PTA)方法》.pdf
  • 相关搜索

    当前位置:首页 > 标准规范 > 行业标准 > MH民用航空

    copyright@ 2008-2019 麦多课文库(www.mydoc123.com)网站版权所有
    备案/许可证编号:苏ICP备17064731号-1