MH-T 0069-2018民用航空網(wǎng)絡(luò)安全等級保護(hù)定級指南

ICS35.020

V08

MH

中華人民共和國民用航空行業(yè)標(biāo)準(zhǔn)

MH/T0069—2018

民用航空網(wǎng)絡(luò)安全等級保護(hù)定級指南

Guidelinesforgradingofclassifiedcybersecurityprotectionincivilaviation

2018-12-14發(fā)布2019-04-01實(shí)施

中國民用航空局發(fā)布

MH/T0069—2018

民用航空網(wǎng)絡(luò)安全等級保護(hù)定級指南

1范圍

本標(biāo)準(zhǔn)規(guī)定了民用航空行業(yè)網(wǎng)絡(luò)安全等級保護(hù)的定級原理、方法和等級變更等內(nèi)容。

本標(biāo)準(zhǔn)適用于民用航空行業(yè)非涉密網(wǎng)絡(luò)與信息系統(tǒng)的等級保護(hù)定級工作。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T25069信息安全技術(shù)術(shù)語

GB/T22240—2008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南

3術(shù)語和定義

GB/T25069和GB/T22240-2008確立的以及下列術(shù)語和定義適用于本文件。為了便于使用，以下重

復(fù)列出了GB/T22240-2008中的一些術(shù)語和定義。

3.1

等級保護(hù)對象targetofclassifiedprotection

網(wǎng)絡(luò)安全等級保護(hù)工作的作用對象，主要包括基礎(chǔ)通信網(wǎng)絡(luò)、信息系統(tǒng)和數(shù)據(jù)資源。

3.2

關(guān)鍵信息基礎(chǔ)設(shè)施criticalinformationinfrastructure

支撐國家經(jīng)濟(jì)社會運(yùn)行，一旦遭到破壞、喪失功能或數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生

和公共利益的網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)。

3.3

客體object

受法律保護(hù)的、等級保護(hù)對象受到破壞時(shí)所侵害的社會關(guān)系，如國家安全、社會秩序、公共利益以

及公民、法人或其他組織的合法權(quán)益。

[GB/T22240—2008，定義3.2]

3.4MH

系統(tǒng)服務(wù)systemservice

信息系統(tǒng)為支撐其所承載業(yè)務(wù)而提供的程序化過程。

[GB/T22240—2008，定義3.4]

1

MH/T0069—2018

3.5

業(yè)務(wù)信息businessinformation

信息系統(tǒng)經(jīng)過程序化過程生產(chǎn)得出的數(shù)據(jù)信息或正常運(yùn)行所需的支撐性數(shù)據(jù)信息。

3.6

調(diào)整年旅客吞吐量adjustedannualpassengerhandlingcapacity

民用運(yùn)輸機(jī)場上一年度旅客吞吐量與設(shè)計(jì)目標(biāo)年年旅客吞吐量相比較，取其中數(shù)值較大者。

4定級原理及流程

4.1安全保護(hù)等級

民用航空網(wǎng)絡(luò)安全保護(hù)等級按GB/T22240—2008中4.1的規(guī)定，分為五級。

4.2定級要素

4.2.1GB/T22240—2008中4.2規(guī)定，等級保護(hù)對象的安全保護(hù)等級由兩個(gè)一級定級要素決定：等級

保護(hù)對象受到破壞時(shí)所侵害的客體和對客體造成侵害的程度。

4.2.2根據(jù)民用航空網(wǎng)絡(luò)與信息系統(tǒng)的業(yè)務(wù)信息和系統(tǒng)服務(wù)特征，將一級要素“對客體的侵害程度”

進(jìn)一步分解為以下兩個(gè)二級要素：

——業(yè)務(wù)重要性；

——網(wǎng)絡(luò)與信息系統(tǒng)規(guī)模。

4.3一級要素與安全保護(hù)等級的關(guān)系

一級要素與安全保護(hù)等級的關(guān)系如表1所示。

表1一級要素與安全保護(hù)等級的關(guān)系

對客體的侵害程度

受侵害的客體

一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害

公民、法人和其他組織的合法權(quán)益第一級第二級第三級

社會秩序、公共利益第二級第三級第四級

國家安全第三級第四級第五級

4.4二級要素

4.4.1業(yè)務(wù)重要性

4.4.1.1業(yè)務(wù)重要性是指網(wǎng)絡(luò)與信息系統(tǒng)承載業(yè)務(wù)的重要程度，可分為一般、重要、核心三個(gè)級別。

不同類別的網(wǎng)絡(luò)與信息系統(tǒng)的業(yè)務(wù)重要性在6.2中具體分析。

4.4.1.2業(yè)務(wù)重要性與對客體的侵害程度正相關(guān)。業(yè)務(wù)越重要，則對客體的侵害程度越嚴(yán)重。

4.4.2網(wǎng)絡(luò)與信息系統(tǒng)規(guī)模

4.4.2.1網(wǎng)絡(luò)與信息系統(tǒng)規(guī)模可用業(yè)務(wù)量或服務(wù)范圍加以評價(jià)。

4.4.2.2業(yè)務(wù)量是指提供對外服務(wù)的民用航空網(wǎng)絡(luò)與信息系統(tǒng)所承載的運(yùn)輸業(yè)務(wù)量。根據(jù)業(yè)務(wù)量的多

少，劃分為不同級別。業(yè)務(wù)量與對客體的侵害程度正相關(guān)。業(yè)務(wù)量越大，則對客體的侵害程度越嚴(yán)重。

2

MH/T0069—2018

4.4.2.3服務(wù)范圍是指民用航空網(wǎng)絡(luò)與信息系統(tǒng)服務(wù)的地理范圍，適用于地理服務(wù)范圍有差異的信息

系統(tǒng)，可分為全國、區(qū)域、省等級別。服務(wù)范圍與對客體的侵害程度正相關(guān)。服務(wù)范圍越廣，則對客體

的侵害程度越嚴(yán)重。

4.5定級流程

民用航空網(wǎng)絡(luò)與信息系統(tǒng)定級的一般流程如下：

a)確定定級對象；

b)初步確定等級；

c)專家評審；

d)主管部門審核；

e)公安機(jī)關(guān)備案審查。

5確定定級對象

民用航空網(wǎng)絡(luò)與信息系統(tǒng)可以分為空中交通管理類信息系統(tǒng)、航務(wù)類信息系統(tǒng)、機(jī)務(wù)類信息系統(tǒng)、

商務(wù)/旅客服務(wù)類信息系統(tǒng)、機(jī)場生產(chǎn)運(yùn)行類信息系統(tǒng)、電子政務(wù)類系統(tǒng)、通用管理類信息系統(tǒng)、門戶

網(wǎng)站（不包含業(yè)務(wù)應(yīng)用）類系統(tǒng)、支撐類網(wǎng)絡(luò)與信息系統(tǒng)、其他信息設(shè)施等類別：

——空中交通管理類信息系統(tǒng)：對空中交通管制信息、航空氣象信息以及航行情報(bào)信息進(jìn)行收集、

加工、處理和發(fā)布的信息系統(tǒng)，如空中交通管制自動(dòng)化系統(tǒng)、民航氣象數(shù)據(jù)庫系統(tǒng)、自動(dòng)轉(zhuǎn)報(bào)

系統(tǒng)、航空情報(bào)自動(dòng)化系統(tǒng)等；

——航務(wù)類信息系統(tǒng)：以航班生產(chǎn)保障為核心的信息系統(tǒng)，如航班運(yùn)行控制系統(tǒng)、飛行員網(wǎng)上準(zhǔn)備

系統(tǒng)等；

——機(jī)務(wù)類信息系統(tǒng)：以飛機(jī)維修管理的自動(dòng)化、規(guī)范化、信息化和數(shù)字化為核心的信息系統(tǒng)，如

機(jī)務(wù)維修管理系統(tǒng)、航材管理系統(tǒng)等；

——商務(wù)/旅客服務(wù)類信息系統(tǒng)：以訂座、離港、分銷、結(jié)算四大業(yè)務(wù)為核心的面向旅客服務(wù)的信

息系統(tǒng)；

——機(jī)場生產(chǎn)運(yùn)行類信息系統(tǒng)：以航空業(yè)務(wù)保障為核心的機(jī)場信息系統(tǒng)，如信息集成系統(tǒng)、航班信

息顯示系統(tǒng)、安檢信息管理系統(tǒng)、行李處理系統(tǒng)等；

——電子政務(wù)類信息系統(tǒng)：支持民航各級政務(wù)部門開展政務(wù)工作的信息服務(wù)系統(tǒng)，如民航綜合統(tǒng)計(jì)

信息系統(tǒng)、民航飛行標(biāo)準(zhǔn)監(jiān)督管理系統(tǒng)等；

——通用管理類信息系統(tǒng)：以辦公自動(dòng)化為核心的實(shí)現(xiàn)企業(yè)資源管理的信息系統(tǒng)，如辦公自動(dòng)化系

統(tǒng)、財(cái)務(wù)管理系統(tǒng)、資產(chǎn)管理系統(tǒng)等；

——門戶網(wǎng)站（不包含業(yè)務(wù)應(yīng)用）類信息系統(tǒng)：通過互聯(lián)網(wǎng)為公眾提供綜合信息服務(wù)的Web應(yīng)用

系統(tǒng)，不包含訂票、值機(jī)等業(yè)務(wù)應(yīng)用；

——支撐類網(wǎng)絡(luò)與信息系統(tǒng)：支撐多個(gè)信息系統(tǒng)實(shí)現(xiàn)計(jì)算、操作或通信等功能所依賴的系統(tǒng)運(yùn)行環(huán)

境，包括基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算平臺、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)平臺等；

——其他信息設(shè)施：不包含在上述各類網(wǎng)絡(luò)與信息系統(tǒng)范圍之內(nèi)的民航信息設(shè)施，如機(jī)場助航燈光

M監(jiān)控系統(tǒng)、機(jī)場安全防范系統(tǒng)、機(jī)場供油控制系統(tǒng)等。H

6初步確定安全保護(hù)等級

6.1方法概述

3

MH/T0069—2018

對于一般的民用航空網(wǎng)絡(luò)與信息系統(tǒng)，其定級方法應(yīng)按照本條描述進(jìn)行；對于基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)

算平臺、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)平臺等支撐類網(wǎng)絡(luò)與信息系統(tǒng)，其定級方法應(yīng)參照6.3。

民用航空網(wǎng)絡(luò)與信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，與之相關(guān)的受侵害客體和對客體

的侵害程度可能不同。因此，安全保護(hù)等級也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。

從業(yè)務(wù)信息安全角度反映的定級對象安全保護(hù)等級稱業(yè)務(wù)信息安全保護(hù)等級。

從系統(tǒng)服務(wù)安全角度反映的定級對象安全保護(hù)等級稱系統(tǒng)服務(wù)安全保護(hù)等級。

定級方法如下：

a)確定受到破壞時(shí)所侵害的客體，包括：

1)確定業(yè)務(wù)信息受到破壞時(shí)所侵害的客體；

2)確定系統(tǒng)服務(wù)受到破壞時(shí)所侵害的客體；

b)確定對客體的侵害程度，包括：

1)根據(jù)不同的受侵害客體，采用兩個(gè)二級要素綜合評定業(yè)務(wù)信息安全被破壞對客體的侵害程

度；

2)根據(jù)不同的受侵害客體，采用兩個(gè)二級要素綜合評定系統(tǒng)服務(wù)安全被破壞對客體的侵害程

度；

c)確定安全保護(hù)等級，包括：

1)依據(jù)表2，得到業(yè)務(wù)信息安全保護(hù)等級；

2)依據(jù)表3，得到系統(tǒng)服務(wù)安全保護(hù)等級；

3)將業(yè)務(wù)信息安全保護(hù)等級和系統(tǒng)服務(wù)安全保護(hù)等級的較高者初步確定為定級對象的安全

保護(hù)等級。

表2業(yè)務(wù)信息安全保護(hù)等級矩陣表

對相應(yīng)客體的侵害程度

業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體

一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害

公民、法人和其他組織的合法權(quán)益第一級第二級第三級

社會秩序、公共利益第二級第三級第四級

國家安全第三級第四級第五級

表3系統(tǒng)服務(wù)安全保護(hù)等級矩陣表

對相應(yīng)客體的侵害程度

系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體

一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害

公民、法人和其他組織的合法權(quán)益第一級第二級第三級

社會秩序、公共利益第二級第三級第四級

國家安全第三級第四級第五級

6.2民用航空網(wǎng)絡(luò)與信息系統(tǒng)安全保護(hù)等級

采用上述方法，可分別確定各級各類民用航空網(wǎng)絡(luò)與信息系統(tǒng)的業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全

等級，進(jìn)而確定其安全保護(hù)等級。為了節(jié)省篇幅，本標(biāo)準(zhǔn)省略中間過程，直接給出各類民航網(wǎng)絡(luò)與信息

系統(tǒng)的定級建議，分別見表4至表11。各單位根據(jù)本單位等級保護(hù)對象的業(yè)務(wù)功能，進(jìn)行按照定級，安

全保護(hù)等級應(yīng)不低于建議級別，也就是說，業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級中，應(yīng)至少有一方面

不低于建議級別；對于承載復(fù)雜功能的等級保護(hù)對象，安全等級可高于建議級別；對于承載多個(gè)業(yè)務(wù)功

4

MH/T0069—2018

能的等級保護(hù)對象，應(yīng)以建議的最高安全等級進(jìn)行定級；未在建議表中列出的等級保護(hù)對象，可根據(jù)其

承載的業(yè)務(wù)功能，參照本標(biāo)準(zhǔn)進(jìn)行定級。

表4空中交通管理類信息系統(tǒng)安全保護(hù)等級

服務(wù)范圍

業(yè)務(wù)重要性

空管分局（站）全國或地區(qū)空管局

空管生產(chǎn)管理一般業(yè)務(wù)第一級第二級

空管生產(chǎn)管理重要業(yè)務(wù)第二級第三級

空管生產(chǎn)控制、指揮調(diào)度第三級第三級

表5航務(wù)類信息系統(tǒng)安全保護(hù)等級

業(yè)務(wù)量（年旅客運(yùn)輸量P：萬人次）

業(yè)務(wù)重要性

P200200P1000P1000

一般業(yè)務(wù)第一級第一級第二級

重要業(yè)務(wù)（涉及航班計(jì)劃、航班

第二級第二級第二級

動(dòng)態(tài)、飛機(jī)參數(shù)等航班數(shù)據(jù)）

核心業(yè)務(wù)（航班運(yùn)行控制）第二級第三級第三級

表6機(jī)務(wù)類信息系統(tǒng)安全保護(hù)等級

業(yè)務(wù)量（年旅客運(yùn)輸量P：萬人次）

業(yè)務(wù)重要性

P200200P1000P1000

一般業(yè)務(wù)第一級第一級第二級

重要業(yè)務(wù)（直接影響飛機(jī)適航性）第一級第二級第二級

表7商務(wù)/旅客服務(wù)類信息系統(tǒng)安全保護(hù)等級

服務(wù)范圍

業(yè)務(wù)重要性

區(qū)域全國

一般業(yè)務(wù)（涉及企業(yè)商業(yè)秘密）第一級第二級

重要業(yè)務(wù)（涉及企業(yè)核心商業(yè)秘

第二級第三級

密和旅客個(gè)人信息）

核心業(yè)務(wù)（直接影響旅客流程）第三級第三級

表8機(jī)場生產(chǎn)運(yùn)行類信息系統(tǒng)安全保護(hù)等級

業(yè)務(wù)量（調(diào)整年旅客吞吐量A：萬人次）

業(yè)務(wù)重要性

A200200A10001000A4000A4000

M一般業(yè)務(wù)（不直接影響旅客服務(wù)）第一級H第一級第一級第二級

重要業(yè)務(wù)（直接影響旅客服務(wù)）第一級第二級第二級第二級

核心業(yè)務(wù)（直接影響旅客流程、

第二級第二級第三級第三級

行李流程、航空器流程）

5

MH/T0069—2018

表9電子政務(wù)類信息系統(tǒng)安全保護(hù)等級

服務(wù)范圍

業(yè)務(wù)重要性

區(qū)域全國

一般業(yè)務(wù)第一級第二級

重要業(yè)務(wù)（涉及重要的局部性政

第二級第二級

務(wù)信息）

核心業(yè)務(wù)（涉及關(guān)鍵性、全局性

第三級第三級

政務(wù)信息）

表10通用管理類信息系統(tǒng)安全保護(hù)等級

信息系統(tǒng)規(guī)模

業(yè)務(wù)重要性

僅覆蓋一個(gè)地區(qū)或業(yè)務(wù)量較小覆蓋全國或業(yè)務(wù)量較大

一般業(yè)務(wù)第一級第一級

重要業(yè)務(wù)（涉及主要辦公信息）第一級第二級

注：對于機(jī)場的通用管理信息系統(tǒng)，調(diào)整年旅客吞吐量在200萬人次以上為業(yè)務(wù)量較大，反之

為業(yè)務(wù)量較小。對于航空公司的通用管理信息系統(tǒng)，年旅客運(yùn)輸量在200萬人次以上為業(yè)

務(wù)量較大，反之為業(yè)務(wù)量較小。

表11門戶網(wǎng)站（不包含業(yè)務(wù)應(yīng)用）類信息系統(tǒng)安全保護(hù)等級

單位規(guī)模地區(qū)性或中小型企事業(yè)單位、社會團(tuán)體全國性或大型企事業(yè)單位、社會團(tuán)體

安全保護(hù)等級第二級第三級

各類網(wǎng)絡(luò)與信息系統(tǒng)中，對應(yīng)不同業(yè)務(wù)重要性的典型系統(tǒng)參見附錄A。

6.3特定定級對象定級說明

對于基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算平臺、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)平臺等支撐類網(wǎng)絡(luò)與信息系統(tǒng)，應(yīng)

根據(jù)其承載或?qū)⒁休d的等級保護(hù)對象的重要程度確定其安全保護(hù)等級，安全保護(hù)等級應(yīng)不低于其承載

的等級保護(hù)對象的安全保護(hù)等級。

對于大數(shù)據(jù)，應(yīng)綜合考慮數(shù)據(jù)規(guī)模、數(shù)據(jù)價(jià)值等因素，根據(jù)數(shù)據(jù)資源（完整性、保密性、可用性）

遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的侵害程度等因素

確定其安全保護(hù)等級。

對于確定為關(guān)鍵信息基礎(chǔ)設(shè)施的，原則上其安全保護(hù)等級不低于第三級。

7等級變更

對于已定級的民用航空網(wǎng)絡(luò)與信息系統(tǒng)，當(dāng)所處理的信息、業(yè)務(wù)狀態(tài)和系統(tǒng)服務(wù)范圍發(fā)生變化，可

能導(dǎo)致業(yè)務(wù)信息安全或系統(tǒng)服務(wù)安全受到破壞后的受侵害客體和對客體的侵害程度有較大的變化時(shí)，應(yīng)

根據(jù)本標(biāo)準(zhǔn)要求重新確定定級對象和安全保護(hù)等級。

6

MH/T0069—2018

AA

附錄A

（資料性附錄）

各類民航網(wǎng)絡(luò)與信息系統(tǒng)的典型實(shí)例

本附錄給出各類民航網(wǎng)絡(luò)與信息系統(tǒng)中，對應(yīng)不同業(yè)務(wù)重要性的典型系統(tǒng)，分別見表A.1～表A.7，

供民航企事業(yè)單位開展定級工作時(shí)參考。

表A.1典型的空中交通管理類信息系統(tǒng)

業(yè)務(wù)重要性典型系統(tǒng)

空管生產(chǎn)管理一般業(yè)務(wù)自動(dòng)氣象觀測系統(tǒng)等

空管生產(chǎn)管理重要業(yè)務(wù)民航氣象數(shù)據(jù)庫系統(tǒng)、自動(dòng)轉(zhuǎn)報(bào)系統(tǒng)、航空情報(bào)自動(dòng)化系統(tǒng)等

空管生產(chǎn)控制、指揮調(diào)度空中交通管制自動(dòng)化系統(tǒng)等

表A.2典型的航務(wù)類信息系統(tǒng)

業(yè)務(wù)重要性典型系統(tǒng)

一般業(yè)務(wù)地面保障系統(tǒng)等

重要業(yè)務(wù)（涉及航班計(jì)劃、航班動(dòng)態(tài)、

飛行員網(wǎng)上準(zhǔn)備系統(tǒng)等

飛機(jī)參數(shù)等航班數(shù)據(jù)）

核心業(yè)務(wù)（航班運(yùn)行控制）航班運(yùn)行控制系統(tǒng)等

表A.3典型的機(jī)務(wù)類信息系統(tǒng)

業(yè)務(wù)重要性典型系統(tǒng)

一般業(yè)務(wù)航材管理系統(tǒng)等

重要業(yè)務(wù)（直接影響飛機(jī)適航性）機(jī)務(wù)維修管理系統(tǒng)等

表A.4典型的商務(wù)/旅客服務(wù)類信息系統(tǒng)

業(yè)務(wù)重要性典型系統(tǒng)

一般業(yè)務(wù)（涉及企業(yè)商業(yè)秘密）運(yùn)價(jià)系統(tǒng)、收益管理系統(tǒng)、貨運(yùn)管理系統(tǒng)等

重要業(yè)務(wù)（涉及企業(yè)核心商業(yè)秘密和代理人分銷系統(tǒng)、電子客票系統(tǒng)、常旅客管理系統(tǒng)（客戶關(guān)系管理

旅客個(gè)人信息）系統(tǒng)）等

核心業(yè)務(wù)（直接影響旅客流程）航班控制系統(tǒng)、離港控制系統(tǒng)等

表A.5典型的機(jī)場生產(chǎn)運(yùn)行類信息系統(tǒng)

業(yè)務(wù)重要性典型系統(tǒng)

M一般業(yè)務(wù)（不直接影響旅客服務(wù)）H內(nèi)部通信系統(tǒng)、時(shí)鐘系統(tǒng)等

重要業(yè)務(wù)（直接影響旅客服務(wù)）安檢信息管理系統(tǒng)、航班信息顯示系統(tǒng)、廣播系統(tǒng)等

核心業(yè)務(wù)（直接影響旅客流程、行李

信息集成系統(tǒng)、離港前端系統(tǒng)、機(jī)坪塔臺指揮系統(tǒng)等

流程、航空器流程）

7

MH/T0069—2018

表A.6典型的電子政務(wù)類信息系統(tǒng)

業(yè)務(wù)重要性典型系統(tǒng)

一般業(yè)務(wù)（略）

重要業(yè)務(wù)（涉及重要的局部性政務(wù)信

民航飛行標(biāo)準(zhǔn)監(jiān)督管理系統(tǒng)等

息）

核心業(yè)務(wù)（涉及關(guān)鍵性、全局性政務(wù)

民航綜合統(tǒng)計(jì)信息系統(tǒng)等

信息）

表A.7典型的通用管理類信息系統(tǒng)

業(yè)務(wù)重要性典型系統(tǒng)

一般業(yè)務(wù)（略）

重要業(yè)務(wù)（涉及主要辦公信息）辦公自動(dòng)化系統(tǒng)、財(cái)務(wù)管理系統(tǒng)等

_________________________________

8

MH/T0069—2018

前言

本標(biāo)準(zhǔn)按照GB/T1.1-2009給出的規(guī)則起草。

本標(biāo)準(zhǔn)由中國民用航空局人事科教司提出。

本標(biāo)準(zhǔn)由中國民航科學(xué)技術(shù)研究院歸口。

本標(biāo)準(zhǔn)起草單位：中國民航大學(xué)、廣東機(jī)場白云信息科技有限公司、南開大學(xué)、中國民用航空局空

中交通管理局、中國民用航空華北地區(qū)空中交通管理局、中國民用航空華東地區(qū)空中交通管理局。

本標(biāo)準(zhǔn)主要起草人：劉春波、魏勇、周景賢、黃誠智、賈春福、王雙、張禮哲、馬勇、江志強(qiáng)、唐

屹、陳寶剛、顧弘毅、呂宗平。MH

I

MH/T0069—2018

民用航空網(wǎng)絡(luò)安全等級保護(hù)定級指南

1范圍

本標(biāo)準(zhǔn)規(guī)定了民用航空行業(yè)網(wǎng)絡(luò)安全等級保護(hù)的定級原理、方法和等級變更等內(nèi)容。

本標(biāo)準(zhǔn)適用于民用航空行業(yè)非涉密網(wǎng)絡(luò)與信息系統(tǒng)的等級保護(hù)定級工作。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T25069信息安全技術(shù)術(shù)語

GB/T22240—2008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南

3術(shù)語和定義

GB/T25069和GB/T22240-2008確立的以及下列術(shù)語和定義適用于本文件。為了便于使用，以下重

復(fù)列出了GB/T22240-2008中的一些術(shù)語和定義。

3.1

等級保護(hù)對象targetofclassifiedprotection

網(wǎng)絡(luò)安全等級保護(hù)工作的作用對象，主要包括基礎(chǔ)通信網(wǎng)絡(luò)、信息系統(tǒng)和數(shù)據(jù)資源。

3.2

關(guān)鍵信息基礎(chǔ)設(shè)施criticalinformationinfrastructure

支撐國家經(jīng)濟(jì)社會運(yùn)行，一旦遭到破壞、喪失功能或數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生

和公共利益的網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)。

3.3

客體object

受法律保護(hù)的、等級保護(hù)對象受到破壞時(shí)所侵害的社會關(guān)系，如國家安全、社會秩序、公共利益以

及公民、法人或其他組織的合法權(quán)益。

[GB/T22240—2008，定義3.2]

3.4MH

系統(tǒng)服務(wù)systemservice

信息系統(tǒng)為支撐其所承載業(yè)務(wù)而提供的程序化過程。

[GB/T22240—2008，定義3.4]

1

MH/T0069—2018

3.5

業(yè)務(wù)信息businessinformation

信息系統(tǒng)經(jīng)過程序化過程生產(chǎn)得出的數(shù)據(jù)信息或正常運(yùn)行所需的支撐性數(shù)據(jù)信息。

3.6

調(diào)整年旅客吞吐量adjustedannualpassengerhandlingcapacity

民用運(yùn)輸機(jī)場上一年度旅客吞吐量與設(shè)計(jì)目標(biāo)年年旅客吞吐量相比較，取其中數(shù)值較大者。

4定級原理及流程

4.1安全保護(hù)等級

民用航空網(wǎng)絡(luò)安全保護(hù)等級按GB/T22240—2008中4.1的規(guī)定，分為五級。

4.2定級要素

4.2.1GB/T22240—2008中4.2規(guī)定，等級保護(hù)對象的安全保護(hù)等級由兩個(gè)一級定級要素決定：等級

保護(hù)對象受到破壞時(shí)所侵害的客體和對客體造成侵害的程度。

4.2.2根據(jù)民用航空網(wǎng)絡(luò)與信息系統(tǒng)的業(yè)務(wù)信息和系統(tǒng)服務(wù)特征，將一級要素“對客體的侵害程度”

進(jìn)一步分解為以下兩個(gè)二級要素：

——業(yè)務(wù)重要性；

——網(wǎng)絡(luò)與信息系統(tǒng)規(guī)模。

4.3一級要素與安全保護(hù)等級的關(guān)系

一級要素與安全保護(hù)等級的關(guān)系如表1所示。

表1一級要素與安全保護(hù)等級的關(guān)系

對客體的侵害程度

受侵害的客體

一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害

公民、法人和其他組織的合法權(quán)益第一級第二級第三級

社會秩序、公共利益第二級第三級第四級

國家安全第三級第四級第五級

4.4二級要素

4.4.1業(yè)務(wù)重要性

4.4.1.1業(yè)務(wù)重要性是指網(wǎng)絡(luò)與信息系統(tǒng)承載業(yè)務(wù)的重要程度，可分為一般、重要、核心三個(gè)級別。

不同類別的網(wǎng)絡(luò)與信息系統(tǒng)的業(yè)務(wù)重要性在6.2中具體分析。

4.4.1.2業(yè)務(wù)重要性與對客體的侵害程度正相關(guān)。業(yè)務(wù)越重要，則對客體的侵害程度越嚴(yán)重。

4.4.2網(wǎng)絡(luò)與信息系統(tǒng)規(guī)模

4.4.2.1網(wǎng)絡(luò)與信息系統(tǒng)規(guī)?？捎脴I(yè)務(wù)量或服務(wù)范圍加以評價(jià)。

4.4.2.2業(yè)務(wù)量是指提供對外服務(wù)的民用航空網(wǎng)絡(luò)與信息系統(tǒng)所承載的運(yùn)輸業(yè)務(wù)量。根據(jù)業(yè)務(wù)量的多

少，劃分為不同級別。業(yè)務(wù)量與對客體的侵害程度正相關(guān)。業(yè)務(wù)量越大，則對客體的侵害程度越嚴(yán)重。

2

MH/T0069—2018

4.4.2.3服務(wù)范圍是指民用航空網(wǎng)絡(luò)與信息系統(tǒng)服務(wù)的地理范圍，適用于地理服務(wù)范圍有差異的信息

系統(tǒng)，可分為全國、區(qū)域、省等級別。服務(wù)范圍與對客體的侵害程度正相關(guān)。服務(wù)范圍越廣，則對客體

的侵害程度越嚴(yán)重。

4.5定級流程

民用航空網(wǎng)絡(luò)與信息系統(tǒng)定級的一般流程如下：

a)確定定級對象；

b)初步確定等級；

c)專家評審；

d)主管部門審核；

e)公安機(jī)關(guān)備案審查。

5確定定級對象

民用航空網(wǎng)絡(luò)與信息系統(tǒng)可以分為空中交通管理類信息系統(tǒng)、航務(wù)類信息系統(tǒng)、機(jī)務(wù)類信息系統(tǒng)、

商務(wù)/旅客服務(wù)類信息系統(tǒng)、機(jī)場生產(chǎn)運(yùn)行類信息系統(tǒng)、電子政務(wù)類系統(tǒng)、通用管理類信息系統(tǒng)、門戶

網(wǎng)站（不包含業(yè)務(wù)應(yīng)用）類系統(tǒng)、支撐類網(wǎng)絡(luò)與信息系統(tǒng)、其他信息設(shè)施等類別：

——空中交通管理類信息系統(tǒng)：對空中交通管制信息、航空氣象信息以及航行情報(bào)信息進(jìn)行收集、

加工、處理和發(fā)布的信息系統(tǒng)，如空中交通管制自動(dòng)化系統(tǒng)、民航氣象數(shù)據(jù)庫系統(tǒng)、自動(dòng)轉(zhuǎn)報(bào)

系統(tǒng)、航空情報(bào)自動(dòng)化系統(tǒng)等；

——航務(wù)類信息系統(tǒng)：以航班生產(chǎn)保障為核心的信息系統(tǒng)，如航班運(yùn)行控制系統(tǒng)、飛行員網(wǎng)上準(zhǔn)備

系統(tǒng)等；

——機(jī)務(wù)類信息系統(tǒng)：以飛機(jī)維修管理的自動(dòng)化、規(guī)范化、信息化和數(shù)字化為核心的信息系統(tǒng)，如

機(jī)務(wù)維修管理系統(tǒng)、航材管理系統(tǒng)等；

——商務(wù)/旅客服務(wù)類信息系統(tǒng)：以訂座、離港、分銷、結(jié)算四大業(yè)務(wù)為核心的面向旅客服務(wù)的信

息系統(tǒng)；

——機(jī)場生產(chǎn)運(yùn)行類信息系統(tǒng)：以航空業(yè)務(wù)保障為核心的機(jī)場信息系統(tǒng)，如信息集成系統(tǒng)、航班信

息顯示系統(tǒng)、安檢信息管理系統(tǒng)、行李處理系統(tǒng)等；

——電子政務(wù)類信息系統(tǒng)：支持民航各級政務(wù)部門開展政務(wù)工作的信息服務(wù)系統(tǒng)，如民航綜合統(tǒng)計(jì)

信息系統(tǒng)、民航飛行標(biāo)準(zhǔn)監(jiān)督管理系統(tǒng)等；

——通用管理類信息系統(tǒng)：以辦公自動(dòng)化為核心的實(shí)現(xiàn)企業(yè)資源管理的信息系統(tǒng)，如辦公自動(dòng)化系

統(tǒng)、財(cái)務(wù)管理系統(tǒng)、資產(chǎn)管理系統(tǒng)等；

——門戶網(wǎng)站（不包含業(yè)務(wù)應(yīng)用）類信息系統(tǒng)：通過互聯(lián)網(wǎng)為公眾提供綜合信息服務(wù)的Web應(yīng)用

系統(tǒng)，不包含訂票、值機(jī)等業(yè)務(wù)應(yīng)用；

——支撐類網(wǎng)絡(luò)與信息系統(tǒng)：支撐多個(gè)信息系統(tǒng)實(shí)現(xiàn)計(jì)算、操作或通信等功能所依賴的系統(tǒng)運(yùn)行環(huán)

境，包括基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算平臺、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)平臺等；

——其他信息設(shè)施：不包含在上述各類網(wǎng)絡(luò)與信息系統(tǒng)范圍之內(nèi)的民航信息設(shè)施，如機(jī)場助航燈光

M監(jiān)控系統(tǒng)、機(jī)場安全防范系統(tǒng)、機(jī)場供油控制系統(tǒng)等。H

6初步確定安全保護(hù)等級

6.1方法概述

3

MH/T0069—2018

對于一般的民用航空網(wǎng)絡(luò)與信息系統(tǒng)，其定級方法應(yīng)按照本條描述進(jìn)行；對于基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)

算平臺、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)平臺等支撐類網(wǎng)絡(luò)與信息系統(tǒng)，其定級方法應(yīng)參照6.3。

民用航空網(wǎng)絡(luò)與信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，與之相關(guān)的受侵害客體和對客體

的侵害程度可能不同。因此，安全保護(hù)等級也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。

從業(yè)務(wù)信息安全角度反映的定級對象安全保護(hù)等級稱業(yè)務(wù)信息安全保護(hù)等級。

從系統(tǒng)服務(wù)安全角度反映的定級對象安全保護(hù)等級稱系統(tǒng)服務(wù)安全保護(hù)等級。

定級方法如下：

a)確定受到破壞時(shí)所侵害的客體，包括：

1)確定業(yè)務(wù)信息受到破壞時(shí)所侵害的客體；

2)確定系統(tǒng)服務(wù)受到破壞時(shí)所侵害的客體；

b)確定對客體的侵害程度，包括：

1)根據(jù)不同的受侵害客體，采用兩個(gè)二級要素綜合評定業(yè)務(wù)信息安全被破壞對客體的侵害程

度；

2)根據(jù)不同的受侵害客體，采用兩個(gè)二級要素綜合評定系統(tǒng)服務(wù)安全被破壞對客體的侵害程

度；

c)確定安全保護(hù)等級，包括：

1)依據(jù)表2，得到業(yè)務(wù)信息安全保護(hù)等級；

2)依據(jù)表3，得到系統(tǒng)服務(wù)安全保護(hù)等級；

3)將業(yè)務(wù)信息安全保護(hù)等級和系統(tǒng)服務(wù)安全保護(hù)等級的較高者初步確定為定級對象的安全

保護(hù)等級。

表2業(yè)務(wù)信息安全保護(hù)等級矩陣表

對相應(yīng)客體的侵害程度

業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體

一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害

公民、法人和其他組織的合法權(quán)益第一級第二級第三級

社會秩序、公共利益第二級第三級第四級

國家安全第三級第四級第五級

表3系統(tǒng)服務(wù)安全保護(hù)等級矩陣表

對相應(yīng)客體的侵害程度

系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體

一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害

公民、法人和其他組織的合法權(quán)益第一級第二級第三級

社會秩序、公共利益第二級第三級第四級

國家安全第三級第四級第五級

6.2民用航空網(wǎng)絡(luò)與信息系統(tǒng)安全保護(hù)等級

采用上述方法，可分別確定各級各類民用航空網(wǎng)絡(luò)與信息系統(tǒng)的業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全

等級，進(jìn)而確定其安全保護(hù)等級。為了節(jié)省篇幅，本標(biāo)準(zhǔn)省略中間過程，直接給出各類民航網(wǎng)絡(luò)與信息

系統(tǒng)的定級建議，分別見表4至表11。各單位根據(jù)本單位等級保護(hù)對象的業(yè)務(wù)功能，進(jìn)行按照定級，安

全保護(hù)等級應(yīng)不低于建議級別，也就是說，業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級中，應(yīng)至少有一方面

不低于建議級別；對于承載復(fù)雜功能的等級保護(hù)對象，安全等級可高于建議級別；對于承載多個(gè)業(yè)務(wù)功

4

MH/T0069—2018

能的等級保護(hù)對象，應(yīng)以建議的最高安全等級進(jìn)行定級；未在建議表中列出的等級保護(hù)對象，可根據(jù)其

承載的業(yè)務(wù)功能，參照本標(biāo)準(zhǔn)進(jìn)行定級。

表4空中交通管理類信息系統(tǒng)安全保護(hù)等級

服務(wù)范圍

業(yè)務(wù)重要性

空管分局（站）全國或地區(qū)空管局

空管生產(chǎn)管理一般業(yè)務(wù)第一級第二級

空管生產(chǎn)管理重要業(yè)務(wù)第二級第三級

空管生產(chǎn)控制、指揮調(diào)度第三級第三級

表5航務(wù)類信息系統(tǒng)安全保護(hù)等級

業(yè)務(wù)量（年旅客運(yùn)輸量P：萬人次）

業(yè)務(wù)重要性

P200200P1000P1000

一般業(yè)務(wù)第一級第一級第二級

重要業(yè)務(wù)（涉及航班計(jì)劃、航班

第二級第二級第二級

動(dòng)態(tài)、飛機(jī)參數(shù)等航班數(shù)據(jù)）

核心業(yè)務(wù)（航班運(yùn)行控制）第二級第三級第三級

表6機(jī)務(wù)類信息系統(tǒng)安全保護(hù)等級

業(yè)務(wù)量（年旅客運(yùn)輸量P：萬人次）

業(yè)務(wù)重要性

P200200P1000P1000

一般業(yè)務(wù)第一級第一級第二級

重要業(yè)務(wù)（直接影響飛機(jī)適航性）第一級第二級第二級

表7商務(wù)/旅客服務(wù)類信息系統(tǒng)安全保護(hù)等級

服務(wù)范圍

業(yè)務(wù)重要性

區(qū)域全國

一般業(yè)務(wù)（涉及企業(yè)商業(yè)秘密）第一級第二級

重要業(yè)務(wù)（涉及企業(yè)核心商業(yè)秘

第二級第三級