本標準規定了民用航空網絡安全等級保護的第一級到第四級等級保護對象的安全通用要求和安全擴展要求。本標準適用于指導分等級的非涉密民用航空網絡安全等級保護對象的安全建設和監督管理。
注:第五級等級保護對象是非常重要的監督管理對象,對其有特殊的管理模式和安全要求,所以不在本標準中進行描述。
等級保護對象是指網絡安全等級保護工作中的對象,通常是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統,主要包括基礎信息網絡、云計算平臺/系統、大數據平臺/系統、物聯網、工業控制系統以及采用移動互聯技術的系統等。等級保護對象根據其在國家安全、經濟建設、社會生活中的重要程度,遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等,由低到高被劃分為五個安全保護等級。
由于業務目標的不同、使用技術的不同、應用場景的不同等因素,不同的等級保護對象會以不同的形態出現,表現形式可能稱之為基礎信息網絡、信息系統(包含采用移動互聯等技術的系統)、云計算平臺/系統、大數據平臺/系統、物聯網、工業控制系統等。形態不同的等級保護對象面臨的威脅有所不同,安全保護需求也會有所差異。為了便于實現對不同級別的和不同形態的等級保護對象的共性化和個性化保護,等級保護要求分為安全通用要求和安全擴展要求。
安全通用要求針對共性化保護需求提出,等級保護對象無論以何種形式出現,必須根據安全保護等級實現相應級別的安全通用要求;安全擴展要求針對個性化保護需求提出,需要根據安全保護等級和使用的特定技術或特定的應用場景選擇性實現安全擴展要求。安全通用要求和安全擴展要求共同構成了對等級保護對象的安全要求。安全要求的選擇見附錄A,整體安全保護能力的要求見附錄B。
本文件根據民用航空行業的實際情況,對GB/T 22239中的安全通用要求進行了細化或增強,對云計算、移動互聯、物聯網、工業控制系統的安全擴展要求與GB/T 22239一致。對于采用其他特殊技術或處于特殊應用場景的等級保護對象,應在安全風險評估的基礎上,針對安全風險采取特殊的安全措施作為補充。