本標(biāo)準(zhǔn)規(guī)定了民用航空網(wǎng)絡(luò)安全等級(jí)保護(hù)的第一級(jí)到第四級(jí)等級(jí)保護(hù)對(duì)象的安全通用要求和安全擴(kuò)展要求。本標(biāo)準(zhǔn)適用于指導(dǎo)分等級(jí)的非涉密民用航空網(wǎng)絡(luò)安全等級(jí)保護(hù)對(duì)象的安全建設(shè)和監(jiān)督管理。
注:第五級(jí)等級(jí)保護(hù)對(duì)象是非常重要的監(jiān)督管理對(duì)象,對(duì)其有特殊的管理模式和安全要求,所以不在本標(biāo)準(zhǔn)中進(jìn)行描述。
等級(jí)保護(hù)對(duì)象是指網(wǎng)絡(luò)安全等級(jí)保護(hù)工作中的對(duì)象,通常是指由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲(chǔ)、傳輸、交換、處理的系統(tǒng),主要包括基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算平臺(tái)/系統(tǒng)、大數(shù)據(jù)平臺(tái)/系統(tǒng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)以及采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)等。等級(jí)保護(hù)對(duì)象根據(jù)其在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度,遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等,由低到高被劃分為五個(gè)安全保護(hù)等級(jí)。
由于業(yè)務(wù)目標(biāo)的不同、使用技術(shù)的不同、應(yīng)用場(chǎng)景的不同等因素,不同的等級(jí)保護(hù)對(duì)象會(huì)以不同的形態(tài)出現(xiàn),表現(xiàn)形式可能稱之為基礎(chǔ)信息網(wǎng)絡(luò)、信息系統(tǒng)(包含采用移動(dòng)互聯(lián)等技術(shù)的系統(tǒng))、云計(jì)算平臺(tái)/系統(tǒng)、大數(shù)據(jù)平臺(tái)/系統(tǒng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等。形態(tài)不同的等級(jí)保護(hù)對(duì)象面臨的威脅有所不同,安全保護(hù)需求也會(huì)有所差異。為了便于實(shí)現(xiàn)對(duì)不同級(jí)別的和不同形態(tài)的等級(jí)保護(hù)對(duì)象的共性化和個(gè)性化保護(hù),等級(jí)保護(hù)要求分為安全通用要求和安全擴(kuò)展要求。
安全通用要求針對(duì)共性化保護(hù)需求提出,等級(jí)保護(hù)對(duì)象無(wú)論以何種形式出現(xiàn),必須根據(jù)安全保護(hù)等級(jí)實(shí)現(xiàn)相應(yīng)級(jí)別的安全通用要求;安全擴(kuò)展要求針對(duì)個(gè)性化保護(hù)需求提出,需要根據(jù)安全保護(hù)等級(jí)和使用的特定技術(shù)或特定的應(yīng)用場(chǎng)景選擇性實(shí)現(xiàn)安全擴(kuò)展要求。安全通用要求和安全擴(kuò)展要求共同構(gòu)成了對(duì)等級(jí)保護(hù)對(duì)象的安全要求。安全要求的選擇見(jiàn)附錄A,整體安全保護(hù)能力的要求見(jiàn)附錄B。
本文件根據(jù)民用航空行業(yè)的實(shí)際情況,對(duì)GB/T 22239中的安全通用要求進(jìn)行了細(xì)化或增強(qiáng),對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)的安全擴(kuò)展要求與GB/T 22239一致。對(duì)于采用其他特殊技術(shù)或處于特殊應(yīng)用場(chǎng)景的等級(jí)保護(hù)對(duì)象,應(yīng)在安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上,針對(duì)安全風(fēng)險(xiǎn)采取特殊的安全措施作為補(bǔ)充。