MH_T 0052.2-2017民用航空信息系统安全状态评估指南 第2部分：评估方法.pdf

ICS 35. 240. 60LO AMH中华人民共和国民用航空行业标准MH/T 0052.22017民用航空信息系统安全状态评估指南第2部分评估方法Guide to civil aviation information system security situation assessmentPart 2: Assessment method2017-03-17发布2017-06-01实施中国民用航空局发布 MH/T 0052. 2—2017附录C（资料性附录）民航信息系统安全状态评估指标及参数权重参见表C.1。级指标的权重和二级指标的权重可根据实际情况动态调整：可针对每个二级指标设定相应的参数要求，并据此确定二级指标的账值。表 C.1级指标权重二级指标权重赋值说明场地选择5机房防火5供电系统静电防护4防雷电物理环境评告指标5接地温湿度控制防水防主鼠害盗防致出入口控制记录介质安全骨干网络链路状况的监控设施内网络运行况的监控投施网络和信息系统业务评民新重要信点系统运行状况的监控设施指标恶意软件的防专薇措施网络、数据库以及信息系统的操作日志系统的安全审计功能3民航重要信息系统的应用审计功能3重要数据库的监控设施4网络和信息系统数据评信网络和信息系统数据传输的加密措施3指标5数据库的访间控制措施4重要数据库的备份措施3存储备份措施4物理安全控制措施5网络和信息系统通信评信5网络边界防护措施指标网络与信息系统访间控制措施4系统访问用户的身份识别措施47 MH/T 0052.2—2017表 C.1(续)一级指标权重二级指标权重赋值说明重要通信线路及通信控制装置的备份服务器的备份网络和信息系统业务连续5重要网络和信息系统信息的备份性评估指标灾难恢复的技术对策信息安全事件报告机制应急响应预案5信息安全组织机构5信息安全策略文档信息安全策略的评审与评估3信息安全人员管理制度5网络和信息系统安全管理人员安全职责12组织评告指标5第三方访间控制策略5委外管理的安全要求信息安全培训计划和培训制度4民航重要信息系统的等级保护定级登记建档制度3民航业务系统可用性评估主要业务系统的可用性5指标5主要业务系统的操作响应及时性5主要业务系统的故障恢复可控性8 MH/T 0052. 2—2017附录D（资料性附录）安全状态评估指标评分参见表D.1.表 D.1赋值描速5根据业务需要保证适度安全，控制措施的有效性高。4能够采取大部分安全控制措施，控制措施有效性较高Ito能够采取大部分安全控制措施，只有少部分控制措施的有效性不足，2采取少部分安全控制措施，或采取的大部分控制措施的有效性不足，MH没有相应安全控制措施，体现在没有相应管理制度或未采取技术控制措施 MH/T 0052. 2—2017附录E（资料性附录）民航信息系统安全状态指数定性描述参见表E.1指数范围指定的数值不应包含下界，但可包含上界。在描述部分攻击数量、影响和补救措施之间是“或”关系。表E.1安全状态指数吸别安全暖别说明9安全状态指数≤10优系统整体安全状况达到安全策略要求，天安全隐患，7安全状态指数≤9良系统整体安全状况达到安全策略要求，存在少量安全隐患，但不影响系统整体安全。系统整体安全状况达基本到安全策略要3安全状态播数≤7中求，存在一定数量安全隐患且对系统安全有一定影响，系统整体安全状况没有达到安全策略要1安全状态指数≤3差求，存在安全隐思较多且对系统安全有明落香系统安全状况完全不符合安全策略要求，0安全状态指数≤1高危系统处于高危状态，存在高危隐患较多且对系统有严重影响。10 MH/T 0052.2—2017附录F（资料性附录）民航信息系统安全状态评估计算示例F.1一级指标和二级指标赋值结果的确认依据信息系统安全状态评估指标及参考权重（见附求C），对某单位的某信息系统的安全状态评估指标体系的二级指标项进行赋值并进行赋值结果确认，赋值结果如下表F.1所示：表 F.1序号一级指标权重二级指标权重现状描速二级指标默值场地选择5机房设置在具备防震、防风和防雨的建筑物内，且处于楼层中间5机房防火5机房采用防火材料装修，配备了灭火设备5电系统5主要设备配备了UPS供电系线4电防护4铺设了防静电地板物理环4境安全防雷电4机房设置了交流电源地线41评估指5接地4机房设置了交流电源地线4温湿度控制机房安装了的空调4防水5机房内无水管穿越4防虫鼠害机房配置一定数量的防鼠器具及3药物3脉盗防数4机房设置监控系统4出入口控制4机房设置了出人的门禁系统3记录介质安全4机房介质安全记录较详尽4骨干网络链路状况有一定的监控设肾干网络链路状况的监控设施383内网络运行状况的监控设施企业内网路运行有较完善的监控设5施网络和民航重要信息系统运行状况的重要信息系统运行状况有较完善的监控设施5监控设施4信息系统业