民用航空网络安全等级保护基本要求
2021-10-27
来源:计算机与网络安全
本标准规定了民用航空网络安全等级保护的第一级到第四级等级保护对象的安全通用要求和安全扩展要求。本标准适用于指导分等级的非涉密民用航空网络安全等级保护对象的安全建设和监督管理。
注:第五级等级保护对象是非常重要的监督管理对象,对其有特殊的管理模式和安全要求,所以不在本标准中进行描述。
等级保护对象是指网络安全等级保护工作中的对象,通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,主要包括基础信息网络、云计算平台/系统、大数据平台/系统、物联网、工业控制系统以及采用移动互联技术的系统等。等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高被划分为五个安全保护等级。
由于业务目标的不同、使用技术的不同、应用场景的不同等因素,不同的等级保护对象会以不同的形态出现,表现形式可能称之为基础信息网络、信息系统(包含采用移动互联等技术的系统)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统等。形态不同的等级保护对象面临的威胁有所不同,安全保护需求也会有所差异。为了便于实现对不同级别的和不同形态的等级保护对象的共性化和个性化保护,等级保护要求分为安全通用要求和安全扩展要求。
安全通用要求针对共性化保护需求提出,等级保护对象无论以何种形式出现,必须根据安全保护等级实现相应级别的安全通用要求;安全扩展要求针对个性化保护需求提出,需要根据安全保护等级和使用的特定技术或特定的应用场景选择性实现安全扩展要求。安全通用要求和安全扩展要求共同构成了对等级保护对象的安全要求。安全要求的选择见附录A,整体安全保护能力的要求见附录B。
本文件根据民用航空行业的实际情况,对GB/T 22239中的安全通用要求进行了细化或增强,对云计算、移动互联、物联网、工业控制系统的安全扩展要求与GB/T 22239一致。对于采用其他特殊技术或处于特殊应用场景的等级保护对象,应在安全风险评估的基础上,针对安全风险采取特殊的安全措施作为补充。