ICS 35.020 V 08 MH 中华人民共和国民用航空行业标准 MH/T 0069—2018 民用航空网络安全等级保护定级指南 Guidelines for grading of classified cybe r security protection in civil aviation 2018 - 12 - 14 发布 2019 - 04-01 实施 中国民用航空局 发布 MH/T 0069— 2018 I 前 言 本标准按照GB/T 1.1-2009给出的规则起草。 本标准由中国民用航空局人事科教司提出。 本标准由中国民航科学技术研究院归口。 本标准起草单位:中国民航大学、广东机场白云信息科技有限公司、南开大学、中国民用航空局空 中交通管理局、中国民用航空华北地区空中交通管理局、中国民用航空华东地区空中交通管理局。 本标准主要起草人:刘春波、魏勇、周景贤、黄诚智、贾春福、王双、张礼哲、马勇、江志强、唐 屹、陈宝刚、顾弘毅、吕宗平。 MHMH/T 0069— 2018 1 民用航空网络安全等级保护定级指南 1 范围 本标准规定了民用航空行业网络安全等级保护的定级原理、方法和等级变更等内容。 本标准适用于民用航空行业非涉密网络与信息系统的等级保护定级工作。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件, 仅注日期的版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 25069 信息安全技术 术语 GB/T 22240—200 8 信息安全技术 信息系统安全等级保护定级指南 3 术语和定义 GB/T 25069和GB/ T 22240-2008确立的以及下列术语和定义适用于本文件。为了便于使用,以下重 复列出了GB/T 22240 -2008中的一些术语和定义。 3.1 等级保护对象 target of classified protection 网络安全等级保护工作的作用对象,主要包括基础通信网络、信息系统和数据资源。 3.2 关键信息基础设施 critical information infrastructure 支撑国家经济社会运行,一旦遭到破坏、丧失功能或数据泄露,可能严重危害国家安全、国计民生 和公共利益的网络设施和信息系统。 3.3 客体 object 受法律保护的、等级保护对象受到破坏时所侵害的社会关系,如国家安全、社会秩序、公共利益以 及公民、法人或其他组织的合法权益。 [GB/T 22240—2008,定义3.2] 3.4 系统服务 system service 信息系统为支撑其所承载业务而提供的程序化过程。 [GB/T 22240—2008,定义3.4] MHMH/T 0069 —2018 2 3.5 业务信息 business information 信息系统经过程序化过程生产得出的数据信息或正常运行所需的支撑性数据信息。 3.6 调整年旅客吞吐量 adjusted annual passenger handling capacity 民用运输机场上一年度旅客吞吐量与设计目标年年旅客吞吐量相比较,取其中数值较大者。 4 定级原理及流程 4.1 安全保护等级 民用航空网络安全保护等级按GB/T 22240—2 008中4.1的规定,分为五级。 4.2 定级要素 4.2.1 GB/T 22240—2008中 4.2规定,等级保护对象的安全保护等级由两个一级定级要素决定:等级 保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。 4.2.2 根据民用航空网络与信息系统的业务信息和系统服务特征,将一级要素“对客体的侵害程度” 进一步分解为以下两个二级要素: ——业务重要性; ——网络与信息系统规模。 4.3 一级要素与安全保护等级的关系 一级要素与安全保护等级的关系如表 1所示。 表1 一级要素与安全保护等级的关系 受侵害的客体 对客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第三级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 4.4 二级要素 4.4.1 业务重要性 4.4.1.1 业务重要性是指网络与信息系统承载业务的重要程度,可分为一般、重要、核心三个级别。 不同类别的网络与信息系统的业务重要性在 6.2 中具体分析。 4.4.1.2 业务重要性与对客体的侵害程度正相关。业务越重要,则对客体的侵害程度越严重。 4.4.2 网络与信息系统规模 4.4.2.1 网络与信息系统规模可用业务量或服务范围加以评价。 4.4.2.2 业务量是指提供对外服务的民用航空网络与信息系统所承载的运输业务量。根据业务量的多 少,划分为不同级别。业务量与对客体的侵害程度正相关。业务量越大,则对客体 的侵害程度越严重。 MH/T 0069— 2018 3 4.4.2.3 服务范围是指民用航空网络与信息系统服务的地理范围,适用于地理服务范围有差异的信息 系统,可分为全国、区域、省等级别。服务范围与对客体的侵害程度正相关。服务范围越广,则对客体 的侵害程度越严重。 4.5 定级流程 民用航空网络与信息系统定级的一般流程如下: a) 确定定级对象; b) 初步确定等级; c) 专家评审; d) 主管部门审核; e) 公安机关备案审查。 5 确定定级对象 民用航空网络与信息系统可以分为空中交通管理类信息系统、航务类信息系统、机务类信息系统、 商务/旅客服务类信息系统、机场生产运行类信息系统、电子政务类系统、通用管理类信息系统、门户 网站(不包含业务应用)类系统、支撑类网络与信息系统、其他信息设施等类别: ——空中交通管理类信息系统:对空中交通管制信息、航空气象信息以及航行情报信息进行收集、 加工、处理和发布的信息系统,如空中交通管制自动化系统、民航气象数据库系统、自动转报系统、航空情报自动化系统等; ——航务类信息系统:以航班生产保障为核心的信息系统,如航班运行控制系统、飞行员网上准备 系统等; ——机务类信息系统:以飞机维修管理的自动化、规范化、信息化和数字化为核心的信息系统,如 机务维修管理系统、航材管理系统等; ——商务 /旅客服务类信息系统:以订座、离港、分销、结算四大业务为核心的面向旅客服务的信 息系统; ——机场生产运行类信息系统:以航空业务保障为核心的机场信息系统,如信息集成系统、航班信 息显示系统、安检信息管理系统、行李处理系统等; ——电子政务类信息系统:支持民航各级政务部门开展政务工作的信息服务系统,如民航综合统计 信息系统、民航飞行标准监督管理系统等; ——通用管理类信息系统:以办公自动化为核心的实现企业资源管理的信息系统,如办公自动化系 统、财务管理系统、资产管理系统等; ——门户网站(不包含业务应用)类信息系统:通过互联网为公众提供综合信息服务的 Web应用 系统,不包含订票、值机等业务应用; ——支撑类网络与信息系统:支撑多个信息系统实现计算、操作或通信等功能所依赖的系统运行环 境,包括基础信息网络、云计算平台、物联网、移动互联网、大数据平台等; ——其他信息设施:不包含在上述各类网络与信息系统范围之内的民航信息设施,如机场助航灯光 监控系统、机场安全防范系统、机场供油控制系统等。 6 初步确定安全保护等级 6.1 方法概述 MHMH/T 0069 —2018 4 对于一般的民用航空网络与信息系统,其定级方法应按照本条描述进行;对于基础信息网络、云计 算平台、物联网、移动互联网、大数据平台等支撑类网络与信息系统,其定级方法应参照 6.3。 民用航空网络与信息系统安全包括业务信息安全和系统服务安全, 与之相关的受侵害客体和对客体 的侵害程度可能不同。因此,安全保护等级也应由业务信息安全和系统服务安全两方面确定。 从业务信息安全角度反映的定级对象安全保护等级称业务信息安全保护等级。 从系统服务安全角度反映的定级对象安全保护等级称系统服务安全保护等级。 定级方法如下: a) 确定受到破坏时所侵害的客体,包括: 1) 确定业务信息受到破坏时所侵害的客体; 2) 确定系统服务受到破坏时所侵害的客体; b) 确定对客体的侵害程度,包括: 1) 根据不同的受侵害客体, 采用两个二级要素综合评定业务信息安全被破坏对客体的侵害程 度; 2) 根据不同的受侵害客体, 采用两个二级要素综合评定系统服务安全被破坏对客体的侵害程 度; c) 确定安全保护等级,包括: 1) 依据表 2,得到业务信息安全保护等级; 2) 依据表 3,得到系统服务安全保护等级; 3) 将业务信息安全保护等级和系统服务安全保护等级的较高者初步确定为定级对象的安全 保护等级。 表2 业务信息安全保护等级矩阵表 业务信息安全被破坏时所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第三级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 表3 系统服务安全保护等级矩阵表 系统服务安全被破坏时所侵害的客体 对相应客体

pdf文档 民航 MH-T 0069-2018 民用航空网络安全等级保护定级指南

文档预览
中文文档 11 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共11页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
民航 MH-T 0069-2018 民用航空网络安全等级保护定级指南 第 1 页 民航 MH-T 0069-2018 民用航空网络安全等级保护定级指南 第 2 页 民航 MH-T 0069-2018 民用航空网络安全等级保护定级指南 第 3 页
下载文档到电脑,方便使用
本文档由 思安 于 2022-12-04 23:35:16上传分享
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。