MH/T 0052.2-2017 民用航空信息系统安全状态评估指南 第2部分：评估方法

ICS35.240.60

V07

MH

中华人民共和国民用航空行业标准

MH/T0052.2—2017

民用航空信息系统安全状态评估指南

第2部分评估方法

Guidetocivilaviationinformationsystemsecuritysituationassessment

Part2:Assessmentmethod

2017-03-17发布2017-06-01实施

中国民用航空局发布

MH/T0052.2—2017

前言

MH/T0052《民用航空信息系统安全状态评估规范》分为二部分：

——第1部分：指标体系；

——第2部分：评估方法。

本部分为MH/T0052的第2部分。

本部分按照GB/T1.1-2009给出的规则起草。

本部分由中国用航空局人事科教司提出。

本部分由中国民用航空局航空器适航审定司批准立项。

本部分由中国民航科学技术研究院归口。

本部分起草单位：中国民航大学

本标准起草人：谢丽霞、熊育婷、成翔、杨宏宇、钟安鸣、仇晓锐

MH

I

MH/T0052.2—2017

民用航空信息系统安全状态评估指南第2部分评估方法

1范围

MH/T0052的本部分规定了民用航空信息系统安全状态评估的方法、流程、安全状态指数计算方法。

本部分适用于民用航空信息系统的安全状态评估。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

MH/T0052.1民用航空信息安全状态评估指南第1部分：指标体系

3术语和定义

3.1

信息安全状态评估informationsecuritysituationassessment

获取信息系统的多个安全要素和指标并进行处理，计算并获得多角度、多层次的安全状况指标，最

终得到反映信息系统的综合安全状态。

[MH/T0052.1-2015中2.1]

3.2

信息安全informationsecurity

保持信息的保密性、完整性、可用性；另外也可包括诸如真实性、可核查性、不可否认性和可靠性

等。

[GB/T22081-2008中2.5]

4评估方法

应依据MH/T0052.1的民用航空信息安全状态评估指标，采用信息系统安全状态评估方法对民航网

络和信息系统的安全状态进行量化计算，并对民航网络和信息系统的安全状态进行定量计算和定性描MH

述。

5评估流程

5.1流程图

1

MH/T0052.2—2017

如图1所示。

图1流程图

5.2评估准备

应由评估方、被评估方及必要的第三方（例如系统开发实施单位）组成评估小组。

应明确被评估方信息系统安全状态评估的目标和范围，依据MH/T0052.1和本部分制定评估方案，

确定系统清单、访谈单位、人员清单和记录表（格式参见附录A）。

5.3现场访谈

组织被评估方人员依据评估方案进行现场访谈，并进行记录（格式参见附录B）。

5.4已有安全措施确认

依据MH/T0052.1和现场访谈的记录，评估人员应对被评估方信息系统已有安全措施进行确认，形

成评估过程文档。

5.5状态评估指标项的赋值与确认

对被评估方信息系统的安全状态评估指标及参考权重中的二级指标项赋值并对赋值进行说明，评估

组和被评估方的责任人对赋值结果进行确认。民航信息系统安全状态评估指标及参考权重和安全状态评

估指标评分准则参见附录C和附录D。

5.6安全状态指数计算

2

MH/T0052.2—2017

依据每类二级指标项的赋值结果，依次计算获得每个一级指标的安全状态指数，然后计算系统的整

体安全状态指数。安全状态指数包括：

a)t时刻的一级指标的安全状态指数E，计算步骤如下：

注：t时刻指

1)计算g(Aj)：设被评估系统的一级指标为i(i=1,2,…,n)，一级指标i包含m个二级

指标，见公式(1)：

jjtAAg5)()(....................................(1)

式中：

Aj——二级指标，j=1,2,…,m；

Aj(t)——t时刻二级指标Aj的评估赋值；

g(Aj)——Aj(t)的归一化值；

2)计算wi，见公式(2)：

m

wi=........................................(2)

wji()

j1

式中：

i——一级指标的个数；

j——二级指标的个数，j=1,2,…,m；

wi(j)——一级指标i中的二级指标j的权重；

wi——一级指标i的二级指标总权重；

3)计算Ei(t)，见公式(3)：

m

Ei(t)=................................(3)

((wjii()/w)gA(j))

j1

式中：

Ei(t)——t时刻一级指标i(i=1,2,…,n)的安全状态指数；

g(Aj)——Aj(t)的归一化值；

i——一级指标的个数；i=1,2,…,n；

j——二级指标的个数，j=1,2,…,m；

wi(j)——一级指标i中的二级指标j的权重；

wi——一级指标i的二级指标总权重。

4)重复1）～3），依次计算得到全部一级指标的安全状态指数Ei(t)，i(i=1,2,…,n)；

b)t时刻系统的安全状态指数T，计算步骤如下：

1)计算W，见公式(4)；

n

W=........................................(4)

Wi

i1

式中：

W——系统的全部一级指标总权重；

MWi——第i个一级指标的权重。H

2)计算聚集函数，见公式(5)；

n

............................(5)

(EtEt12(),(),L,Etnii())((W/W)E)

i1

式中：

3

MH/T0052.2—2017

Φ(t)——聚集函数；

W——系统的全部一级指标总权重；

Wi——第i个一级指标的权重；

Ei(t)——t时刻一级指标i(i=1,2,…,n)的安全状态指数。

3)计算T(t)，见公式(6)；

Tt()(E12(),tE(),tL,En())t..............................(6)

式中：

T(t)——t时刻系统的安全状态指数；

Ei(t)——t时刻一级指标i(i=1,2,…,n)的安全状态指数；

Φ(t)——聚集函数；

µ——调节因子，一般取10。

5.7安全状态确定

参考民航信息系统安全状态指数定性描述表（参见附录E），查表获得信息系统的安全状态级别。

民航信息系统安全状态评估计算示例见附录F。

5.8安全状态评估报告

应根据民航信息系统的安全级别和评估过程文档，撰写民航信息系统安全状态评估报告。

安全状态报告应包括：

——评估方案；

——评估过程；

——评估结果；

——分析与建议。

4

MH/T0052.2—2017

AA

附录A

（资料性附录）

民航信息系统安全状态评估记录表

参见表A.1。

表A.1

被评估系统评估时间

被评估单位评估实施单位

评

估

方

案

概

要

访谈地点访谈时间

现

姓名所属部门职务备注

场

访

访谈对象

谈

一级指标权重一级指标评估值

物理环境安全评估指标5

网络和信息系统业务安全评估指标5

安

网络和信息系统数据安全评估指标5

全

状网络和信息系统通信安全评估指标5

态

网络和信息系统业务连续性评估指标5

评

网络和信息系统安全管理组织评估指标5

估

结民航业务系统可用性评估指标5

果

M物理环境安全评估指标H5

安全状态安全状态

评估值评估结果

被评估方评估方

负责人签字负责人签字

5

MH/T0052.2—2017

附录B

（资料性附录）

民航信息系统安全状态评估现场访谈记录表

参见表B.1。

表B.1

被评估系统访谈时间

访谈地点访谈形式