MH/T 0062.1-2017 民用航空信息安全等级保护评估指南 第1部分：技术指标

ICS35.240.60

V07

MH

中华人民共和国民用航空行业标准

MH/T0062.1—2017

民用航空信息安全等级保护评估指南

第1部分：技术指标

Assessmentguidetoinformationsystemsecurityclassifiedprotectionofcivil

aviation－

Part1:Technicalindex

2017–03–17发布2017–06–01实施

中国民用航空局发布

MH/T0062.1—2017

前言

MH/T0062《民用航空信息安全等级保护评估指南》分为三个部分：

——第1部分：技术指标；

——第2部分：管理指标；

——第3部分：评估方法。

本部分为MH/T0062的第1部分。

本标准按照GB/T1.1-2009给出的规则起草。

本标准由中国民用航空局人事科教司提出。

本标准由中国民用航空局航空器适航审定司批准立项。

本标准由中国民航科学技术研究院归口。

本标准起草单位：中国民航大学。

本标准起草人：杨宏宇、成翔、熊育婷、仇晓锐、谢丽霞、钟安鸣、王信元。

MH

I

MH/T0062.1—2017

民用航空信息安全等级保护评估指南

第1部分：技术指标

1范围

MH/T0062的本部分规定了民用航空信息系统安全等级保护评估依据的技术指标。

本部分适用于民用航空信息系统安全等级保护评估。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T22240-2008信息安全技术信息系统安全等级保护定级指南

GB50174-2008电子信息系统机房设计规范

3术语和定义

安全保护能力securityprotectionability

系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度。

[GB/T22239，定义3.1]

4民用航空信息系统安全等级保护

4.1民用航空信息系统安全保护等级

根据民用航空信息系统在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、

社会秩序、民航市场稳定、公共利益以及民航旅客、法人和其他组织的合法权益的危害程度，由低到高

将其安全保护等级划分为五级，五级定义见GB/T22240-2008的4.1。

4.2不同等级的安全保护能力

民用航空信息系统的安全保护等级普遍为二级至四级，不同安全保护等级的民用航空信息系统应具

备的基本安全保护能力为：

M第二级：应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般H

的自然灾难，以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事

件，在系统遭到损害后，能够在一段时间内恢复部分功能。

第三级：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁

源发起的恶意攻击、较为严重的自然灾难，以及其他相当危害程度的威胁所造成的主要资源损害，能够

发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。

1

MH/T0062.1—2017

第四级：应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威

胁源发起的恶意攻击、严重的自然灾难，以及其他相当危害程度的威胁所造成的资源损害，能够发现安

全漏洞和安全事件，在系统遭到损害后，能够迅速恢复所有功能。

4.3评估技术指标

MH/T0062的本部分从物理安全、网络安全、主机安全、应用安全和数据安全层面提出二、三、四

级安全保护等级的评估技术指标。

5第二级技术指标

5.1物理安全

以下技术指标应符合GB50174-2008的B级机房设计规范：

——机房的物理位置选择；

——物理访问控制；

——机房监控与安全防范；

——防雷击；

——防火；

——防水和防潮；

——防静电；

——温湿度控制；

——电力供应；

——电磁防护。

5.2网络安全

5.2.1结构安全

应保证关键网络设备的业务处理能力具备冗余空间，满足业务高峰期需要。

应保证接入网络和核心网络的带宽满足业务高峰期需要。

应绘制与当前运行情况相符的网络拓扑结构图。

应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按

照方便管理和控制的原则为各子网、网段分配地址段。

5.2.2访问控制

应在网络边界部署访问控制设备，启用访问控制功能。

应能根据会话状态信息为数据流提供明确的允许或拒绝访问的能力，控制粒度为网段级。

网络边界访问控制设备应设定过滤规则集。规则集应涵盖对所有出入边界的数据包的处理方式，对

于没有明确定义的数据包，应缺省拒绝。

应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为

单个用户。

应限制具有拨号访问权限的用户数量。

不应通过互联网对重要信息系统进行远程维护和管理。

5.2.3安全审计

2

MH/T0062.1—2017

应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录，日志记录存储应不少

于90天。

审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。

5.2.4边界完整性检查

应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。

5.2.5入侵防范

应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区

溢出攻击、IP碎片攻击和网络蠕虫攻击等。

5.2.6网络设备防护

应对登录网络设备的用户进行身份鉴别。

应对网络设备的管理员登录地址进行限制。

网络设备用户的标识应唯一。

身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换。

应具有登录失败处理功能。

当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。

5.3主机安全

5.3.1身份鉴别

应对登录操作系统和数据库系统的用户进行身份标识和鉴别。

操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更

换。

应启用登录失败处理功能。

当对主机进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。

应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。

5.3.2访问控制

应启用访问控制功能，依据安全策略控制用户对资源的访问。

应实现操作系统和数据库系统特权用户的权限分离。

应限制默认账户的访问权限。

应及时删除多余的、过期的账户，避免共享账户的存在。

5.3.3安全审计

审计范围应覆盖到主机上的每个操作系统用户和数据库用户。

M审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相H

关事件。

审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。

应保护审计记录，避免受到未预期的删除、修改或覆盖等。

5.3.4入侵防范

3

MH/T0062.1—2017

操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保

持系统补丁及时得到更新。

5.3.5恶意代码防范

应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库。

应支持防恶意代码软件的统一管理。

5.3.6资源控制

应通过设定终端接入方式、网络地址范围等条件限制终端登录。

应根据安全策略设置登录终端的操作超时锁定。

应限制单个用户对系统资源的最大或最小使用限度。

5.4应用安全

5.4.1身份鉴别

应提供专用的登录控制模块对登录用户进行身份标识和鉴别。

应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，

身份鉴别信息不易被冒用。

应提供登录失败处理功能。

5.4.2访问控制

应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问。

访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作。

应由授权主体配置访问控制策略，并严格限制默认账户的访问权限。

应授予不同账户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。

5.4.3安全审计

应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计。

应保证无法删除、修改或覆盖审计记录。

审计记录的内容至少应包括事件日期、时间、发起者信息、类型、