版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
ICS35.020
L07
MH
中华人民共和国民用航空行业标准
MH/T0073—2020
民用航空跨网数据交换安全技术要求
Securitytechnicalrequirementfordataexchangingacrossregionalnetworksofcivil
aviation
2020-07-20发布2020-10-01实施
中国民用航空局发布
MH/T0073—2020
民用航空跨网数据交换安全技术要求
1范围
本标准规定了民用航空(以下简称民航)跨网数据交换区技术框架和安全技术要求。
本标准适用于民航不同单位、不同安全等级网络之间的跨网数据安全交换系统的设计、建设和运行。
2术语和定义
下列术语和定义适用于本标准。
2.1
跨网数据交换区AcrossRegionalNetworksExchangeArea
采取逻辑隔离或物理隔离的不同网络之间进行数据交换时,对各类交换业务进行注册、接入认证、
操作监控与审计的区域。
3跨网数据交换区技术框架要求
3.1通则
跨网数据交换业务应采用跨网数据交换区作为统一的出入口,应采取设备认证、格式检查等安全措
施实现两个不同网络之间的数据交换,保证数据交换的保密性、完整性、可用性。
3.2数据分类和交换方式
交换数据包括数据库数据、文件数据、流媒体数据、请求命令与响应数据等。交换方式包括单向数
据传输、双向数据传输。
3.3跨网数据交换区组成
跨网数据交换区位于交换网络之间,由网络接入区、边界保护区、应用服务区、安全隔离区和安全
监测区五部分组成,整体架构见图1。
MH跨网交换区
网络接入边界保护应用服务安全隔离
数据交换
接入链路数据交换
网络2网络1
安全监测
图1跨网数据交换区架构图
1
MH/T0073—2020
图1中各区域功能要求如下:
a)网络接入区:实现不同网络与数据交换系统的连接、路由访问控制,安全策略设置;
b)边界防护区:实现对数据交换系统的安全保护,包括网络级的身份认证、访问控制、权限管理、
恶意代码防范等;
c)应用服务区:处理各类不同网络之间传输和数据,实现应用级的身份认证、访问控制等功能,
防止非法访问;
d)安全隔离区:实现不同网络之间的安全隔离与信息交换,根据安全策略实现网络之间的安全数
据摆渡;
e)安全监测区:对各种应用和操作进行监测、统计分析及安全审计,实现整个数据交换的安全监
测和审计。
4安全技术要求
4.1网络接入
应支持接入访问控制,并对交换数据来源进行识别和控制。
4.2边界保护
4.2.1应支持接入应用的身份认证,并采用安全的双向认证协议。
4.2.2应支持接入应用的安全访问控制,并将接入应用的访问权限限定于跨网交换区内,且只能访问
指定应用和数据。
4.2.3应支持及时发现入侵行为、病毒、恶意代码传播行为和报警,并能防止重放、篡改和伪造等攻
击。
4.3应用服务
4.3.1业务操作方式如为“数据交换”类型,在进行数据交换之前,跨网交换区必须对交换业务的数
据流量实现通信协议的剥离。并按照业务预先注册的数据格式要求,对数据的类型,格式进行严格检查,
对数据内容进行过滤,限制所有不符合要求的数据传入跨网交换区。
4.3.2业务操作方式如为“授权访问”类型,应实现应用系统的身份认证,细粒度访问控制和授权管
理。
4.3.3应支持应用级日志记录,并按照集中监控与审计要求进行报送。
4.4安全隔离
4.4.1应采用光闸或网闸作为数据传输连接通道;应通过协议转换,以信息摆渡的方式实现数据交换,
单向数据传输必须确保数据无反向传输。
4.4.2数据库数据、文件数据交换时,交换服务应具备设备认证、数据抽取、数据装载、格式检查、
内容过滤等功能。
4.4.3流媒体数据、请求命令与响应数据交换时,交换服务应具备设备认证、格式检查、内容过滤等
功能。
4.5安全监测
4.5.1应支持实时监测跨网数据安全交换业务状态、设备运行状态。
2
MH/T0073—2020
4.5.2应支持对跨网数据安全交换业务的行为、安全事件和交换内容进行审计。
4.5.3应支持对系统管理和运维人员的管理行为进行审计
4.5.4应支持对安全事件进行报警。
4.5.5应支持配置文件、审计日志的备份功能,并提供备份数据的导入、到处、查询功能。
4.5.6应支持设备日志、网络日志、审计日志等数据留存不少于六个月。
5可用性要求
5.1单向数据传输系统支持线路冗余,应在一条线路故障时保证单向数据的传输。
5.2双向数据交换系统支持热备,应在故障时自动切换交换任务到其他运行的双向数据交换系统。
5.3双向数据交换系统支持负载均衡,应根据负载自动切换交换任务到其他运行的双向数据交换系统。
5.4网络设备、主机服务器、安全设备支持热备,应在故障时自动切换到其他运行的设备
5.5应用系统支持低耦合性、易扩展性,以及系统的故障处理机制,应在系统的运行故障时快速回滚
以保障业务连续性。
MH
3
MH/T0073—2020
参考文献
[1]GB/T20273-2019信息安全技术数据库管理系统安全技术要求
[2]GB/T20279-2006信息安全技术网络和终端设备隔离部件安全技术要求
[3]GW0205-2014国家电子政务外网跨网数据安全交换技术要求与实施指南
_________________________________
4
MH/T0073—2020
前言
本标准按照GB/T1.1-2009《标准化工作导则第1部分:标准的结构和编写》给出的规则起草。
本标准由中国民用航空局人事科教司提出。
本标准由中国民航科学技术研究院归口。
本标准起草单位:中国民航大学、中国民用航空局空中交通管理局。
本标准主要起草人:钟安明、周景贤、王双、杨锐、唐屹、顾兆军、张礼哲、刘春波、隋翯、刘超、
吕宗平、陈宝刚。
MH
I
MH/T0073—2020
民用航空跨网数据交换安全技术要求
1范围
本标准规定了民用航空(以下简称民航)跨网数据交换区技术框架和安全技术要求。
本标准适用于民航不同单位、不同安全等级网络之间的跨网数据安全交换系统的设计、建设和运行。
2术语和定义
下列术语和定义适用于本标准。
2.1
跨网数据交换区AcrossRegionalNetworksExchangeArea
采取逻辑隔离或物理隔离的不同网络之间进行数据交换时,对各类交换业务进行注册、接入认证、
操作监控与审计的区域。
3跨网数据交换区技术框架要求
3.1通则
跨网数据交换业务应采用跨网数据交换区作为统一的出入口,应采取设备认证、格式检查等安全措
施实现两个不同网络之间的数据交换,保证数据交换的保密性、完整性、可用性。
3.2数据分类和交换方式
交换数据包括数据库数据、文件数据、流媒体数据、请求命令与响应数据等。交换方式包括单向数
据传输、双向数据传输。
3.3跨网数据交换区组成
跨网数据交换区位于交换网络之间,由网络接入区、边界保护区、应用服务区、安全隔离区和安全
监测区五部分组成,整体架构见图1。
MH跨网交换区
网络接入边界保护应用服务安全隔离
数据交换
接入链路数据交换
网络2网络1
安全监测
图1跨网数据交换区架构图
1
MH/T0073—2020
图1中各区域功能要求如下:
a)网络接入区:实现不同网络与数据交换系统的连接、路由访问控制,安全策略设置;
b)边界防护区:实现对数据交换系统的安全保护,包括网络级的身份认证、访问控制、权限管理、
恶意代码防范等;
c)应用服务区:处理各类不同网络之间传输和数据,实现应用级的身份认证、访问控制等功能,
防止非法访问;
d)安全隔离区:实现不同网络之间的安全隔离与信息交换,根据安全策略实现网络之间的安全数
据摆渡;
e)安全监测区:对各种应用和操作进行监测、统计分析及安全审计,实现整个数据交换的安全监
测和审计。
4安全技术要求
4.1网络接入
应支持接入访问控制,并对交换数据来源进行识别和控制。
4.2边界保护
4.2.1应支持接入应用的身份认证,并采用安全的双向认证协议。
4.2.2应支持接入应用的安全访问控制,并将接入应用的访问权限限定于跨网交换区内,且只能访问
指定应用和数据。
4.2.3应支持及时发现入侵行为、病毒、恶意代码传播行为和报警,并能防止重放、篡改和伪造等攻
击。
4.3应用服务
4.3.1业务操作方式如为“数据交换”类型,在进行数据交换之前,跨网交换区必须对交换业务的数
据流量实现通信协议的剥离。并按照业务预先注册的数据格式要求,对数据的类型,格式进行严格检查,
对数据内容进行过滤,限制所有不符合要求的数据传入跨网交换区。
4.3.2业务操作方式如为“授权访问”类型,应实现应用系统的身份认证,细粒度访问控制和授权管
理。
4.3.3应支持应用级日志记录,并按照集中监控与审计要求进行报送。
4.4安全隔离
4.4.1应采用光闸或网闸作为数据传输连接通道;应通过协议转换,以信息摆渡的方式实现数据交换,
单向数据传输必须确保数据无反向传输。
4.4.2数据库数据、文件数据交换时,交换服务应具备设备认证、数据抽取、数据装载、格式检查、
内容过滤等功能。
4.4.3流媒体数据、请求命令与响应数据交换时,
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- Lesson 24 The Diffos(教学设计)-2023-2024学年冀教版(三起)英语四年级下册
- 护理颅内压增高
- 三年级信息技术上册 2 认识计算机教案3 (新版)苏科版
- 第02课 依法有效保护财产权(课件)
- 护理质量总结
- 英语语法 课件 3 动词和一般现在时
- 12 《富起来到强起来》第一课时《改革创新谋发展》教学设计-2023-2024学年道德与法治五年级下册统编版
- 七年级语文上册 第六单元 课外古诗词《秋词(其一)》教案 新人教版
- 项目部员工考勤管理制度
- Unit2 SectionA 1a-2d 教学设计2024-2025学年人教版英语八年级上册
- 城市轨道交通联锁系统-联锁系统概念
- 小学五年级上册《书法练习指导》教案
- 2022年下半年广西普通高中学业水平合格性考试试题(思想政治)
- 法院起诉收款账户确认书范本
- 网络安全宣传
- 微生物课件-病原微生物的分类和特征
- 液压行业现状分析
- 小学英语-Have some cake,please教学课件设计
- 塔器吊装方案
- 2023年语文教研组工作计划小学数学教研组工作计划模板(10篇)
- 新安法宣贯:新《安全生产法》总体概况
评论
0/150
提交评论