中华人民共和国民用航空行业标准 MH／T 401 8．2—2004 民用航空空中交通管理 管理信息系统技术规范 第2部分： 系统与网络安全 ， I’ echnicaI standards air air traffic management of civil aviation management information system— Part 2： System and network security 2004—12—20发布 2005-04-01实施 中国民用航空总局 发布 目次 前言 1 范围 1 2规范性引用文件 1 3术语和定义 1 4物理安全 1 4．1环境安全 1 4．2设备安全 2 4．3记录介质安全 2 4．4安全管理中心的安全 2 5 网络安全 2 5．1网络安全建设 2 5．2网络安全基本要求 4 5．3网络基本安全技术 4 5．4详细技术要求 5 6操作系统安全 5 6．1技术要求 5 6．2使用 6 6．3检查测试 6 7数据库管理系统安全 6 7．1基本要求 6 7．2身份鉴别 6 7．3标记与访问控制 6 7．4数据完整性 6 7．5数据库安全审计 6 7．6客体重用 6 7．7数据库可信恢复 6 7．8隐蔽信道分析 6 7．9可信路径 7 7．10推理控制 7 8应用系统安全 7 8．1输人数据的确认 7 8．2内部处理控制 7 8．3信息验证 7 8．4输出数据的确认 7 8．5开发和支持过程的安全 7 8．6计算机病毒的预防 7 前言 MH／T 4018 《民用航空空中交通管理管理信息系统技术规范》 分为三个部分： ——第1部分： 系统数据与接口； ——第2部分： 系统与网络安全； ——第3部分： 系统网络与接入。 本部分为MH／T 4018的第2部分。 本部分由中国民用航空总局空中交通管理局提出并负责解释。 本部分由中国民用航空总局航空安全技术中心归口。 本部分由中国民用航总局空中交通管理局负责起草， 中国民用航空东北地区管理局空中交通管理局 参加起草。 本部分主要起草人： 吕小平、 李朝阳、 齐鸣、 李作明、 赵凡、 闫鹏、 郑雪松、 唐朝达、 邱镭。 民用航空空中交通管理管理信息系统技术规范 第2部分： 系统与网络安全 1 范围 MH／T 4018的本部分规定了民用航空空中交通管理(以下简称空管)管理信息系统与网络安全的技 术规范。 本部分适用于空管管理信息系统的设计与建设。 2规范性引用文件 下列文件中的条款通过MH／T 4018的本部分的引用而成为本部分的条款。凡是注日期的引用文件， 其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分， 然而， 鼓励根据本部分达成协 议的各方研究是否可使用这些文件的最新版本。凡是不注明日期的引用文件， 其最新版本适用于本部分。 GB／T 2887—2000电子计算机场地通用规范 GB／T 9387．2—1995信息处理系统 开放系统互连基本参考模型 第2部分： 安全体系结构(idt ISO 7498—2： 1989) GB 17859—1999计算机信息系统安全保护等级划分准则 GB 50174 1993 电子计算机机房设计规范 GA／T 387—2002 计算机信息系统安全等级保护网络技术要求 GA／T 388—2002计算机信息系统安全等级保护操作系统技术要求 GA／T 389—2002 计算机信息系统安全等级保护数据库管理系统技术要求 GA／T 390—2002计算机信息系统安全等级保护通用技术要求 ISO 9001： 1994质量系统设计研制、 生产、 装配和维修的质量认证规范 3术语和定义 GB 17859—1999、 GA／T 387～390—2002、 GB／T 2887—2000所确立的术语和定义均适用于MH／T 4018的本部分。 4物理安全 4．1 环境安全 4．1．1 中心机房的安全保护 4．1．1．1 机房场地的选择应符合GB 50174—1993中2．1的要求。 4．1．1．2机房内部安全防护应符合GB 50174—1993中4．2的要求。 4．1．1．3机房防火应符合GB 50174—1993中4．3的要求。 4．1．1．4机房供电、 配电应符合GB 50174—1993中6．1的要求。 4．1．1．5机房空调、 降温应符合GB 50174—1993中第3章的要求。 4．1．1．6机房防水、 防潮应符合GB 50174—1993中第7章的要求。 4．1．1．7机房防静电应符合GB 50174—1993中6．3的要求。 4．1．1．8机房接地与防雷击应符合GB 50174—1993中6．4的要求。 4．1．1．9机房电磁干扰防护应符合GB 50174—1993中3．2的要求。 4．1．2通信线路的安全防护 4．1．2．1 应采用有效措施， 预防线路截获， 使线路截获设备无法工作。 4．1．2．2应设置线路截获探测装置， 及时发现线路截获事件并报警。 4．1．2．3应设置线路截获定位装置， 及时发现线路截获、 窃取设备的准确位置。 4．1．2．4 应定期测试信号强度， 检查是否有非法装置接入线路。 4．1．2．5应定期检查接线盒及其他易被人接近的线路部位。 4．1．2．6应定期检查传输线路各线段及接点， 更换老化变质的电缆。 4．1．2．7传输线路应采用屏蔽电缆并有露天保护或埋于地下， 远离强电线路或强电磁场发射源， 以减少 由于干扰引起的数据错误。 4．1．2．8铺设室外电缆应采用金属铠装、 屏蔽电缆或加装金属套管， 以减少各种监控辐射对线路的干扰。 4．1．2．9调制解调器应放置在受监视的区域， 以防止外来连接的企图。应定期检查调制解调器的连接是 否有篡改行为。 4．1．3信息传输安全 4．1．3．1 密级信息到达终点之前， 不应呈现明文状态。 4．1．3．2传输密级信息时应进行网络加密， 如链路加密、 节点加密和用户加密等。 4．1．3．3为保证密级数据的安全传递， 应有备份的网络节点机。 4．1．3．4不传送信息时接口应阻断。 4．1．3．5应具有辨认正当通信伙伴的功能。 4．1．3．6用拨号线能接触网络时， 拨号码应予以保护、 同时保密信息不宜存放在节点机内。 4．2设备安全 4．2．1 设备的防盗和防毁 4．2．1．1计算机系统的设备和部件应有明显标记。 4．2．1．2计算机中心应利用光、 电、 无源红外等技术设置机房报警系统， 并有专人值守。 4．2．1．3机房应采用特殊门锁。 4．2．1．4机房外部的网络设备应采取加固防护等措施。 4．2．2设备的安全可用 4．2．2．1 支持计算机信息系统运行的所有设备， 包括计算机主机、 外部设备、 网络设备以及其他辅助设 备均应安全可用。 4．2．2．2应提供可靠的运行支持， 并有故障容错和故障恢复能力。 4．3记录介质安全 4．3．1 应采取措施， 防止存放有用数据的各类记录介质被盗、 被毁和受损。 4．3．2系统中有很高使用价值或很高机密程度的重要数据， 应采取加密等方法进行保护。 4．3．3应采取措施， 防止删除和销毁的数据被非法拷贝。 4．4安全管理中心的安全 4．4．1 安全管理中心应符合GB／T 2887—2000中4．9的要求。 4．4．2安全管理中心应设置在中心机房， 以各种方式与计算机信息系统的各类安全机制相连接。 4．4．3安全管理中心除了按照一般的机房建设要求进行建设外， 还应设置关卡， 必要时可安装闭路摄像 监视系统。 5 网络安全 5．1 网络安全建设 5．1．1应确定所设计、 实现的网络设备、 网络协议、 网络软件及网络环境。 5．1．2应分析网络设备、 网络协议、 网络软件及网络环境的安全要求， 分析其可能存在的薄弱环节以及 这些环节可能造成的危害和由此产生的后果。 5．1．3应确定网络设备、 网络协议、 网络软件及网络环境的安全策略， 根据安全需求分析的结果， 确定 应控制的危害因素及控制程度、 应保护的资源和保护程度。 5．1．4应确定网络设备、 网络协议、 网络软件及网络环境应达到的安全等级。 5．1．5应根据GB／T 9387．2 1995确定网络设备、 网络协议、 网络软件及网络环境在ISO／OSI开放系 统互联参考模型中所处的网络层次。 5．1．6应确定安全等级及网络层次， 网络安全等级和网络各层次所对应的安全要素见表1。 5．1．7应根据5．4的要求， 使网络设备、 网络协议、 网络软件及网络环境达到预期的安全需求、 安全等 级。 5．2网络安全基本要求 5．2．1 网络应具有对全网网络拓扑、 网络配置及网络参数的统一管理、 监督与控制功能。 5．2．2应采取安全措施， 确保网络实体的环境安全、 防电磁干扰和辐射干扰。 5．2．3应采取安全措施， 确保网络数据传输、 交换、 存储处理及通信控制的安全。 5．2．4 网络应具有计算机病毒的预防措施。 5．2．5对灾难性事件应有应急措施。 5．2．6网络应具有必要的冗余度和降级处理能力。 5．2．7网络安全设施的接口设备应方便用户并实现透明操作。 5．2．8 网络应具有承受允许的最严重错误的能力。 5．2．9在确保安全的前提下应充分发挥资源共享的效能。 5．2．10网络应采取多重安全控制手段。每个安全控制手段均能产生充分的证据， 以表明所完成操作的 正确性。 5．2．11 网络应记载用户进入网络的各种活动， 以提供事后检查。 5．2．12存取控制应逐级授权。网络在为授权用户提供合法服务的同时， 应具有拒绝非法访问的功能。 5．2．13 网络应具有监视和控制网络负载状态的功能， 以防止其崩