2024民用航空生产运行工业控制系统网络安全防护技术要求

民用航空生产运行工业控制系统网络安全防护技术要求II目 次前言 II112范引文件 13语定义 14略语 25全护围 26备安技要求 2现设安全 2控设安全 3工主安全 3网设安全 4防设安全 47统安技要求 5分分与离护 5数与信全 6安监与急置 6系运安全 7软供链全 8附录A（料）民航空产行业制统典示例 9A.1概述 9A.2助灯系统 9A.3行处系统 9A.4楼自化统 9A.5油供（输）自化统 10参考献 1111民用航空生产运行工业控制系统网络安全防护技术要求范围注：本文件中提及的技术要求除特别说明外，适用于网络安全等级保护第一级、第二级和第三级系统。（GB/T22239—2019信息安全技术网络安全等级保护基本要求GB/T25069—2022信息安全技术术语GB/T37933—2019信息安全技术工业控制系统专用防火墙技术要求GB/T22239—2019GB/T25069—2022GB/T37933—2019飞行区airfieldareaMH/T5002—2020，2.1.7]航站区passengerterminalareaMH/T5002—2020,2.1.8]工作区comprehensivesupportingarea[来源：MH/T5002—2020,2.1.11]现场设备fieldequipment控制设备controlequipment民航运行过程中用于控制执行器以及采集传感器数据的装置。工业主机industrialhost22双机热备dual-machinehotstandby行李处理系统baggagehandlingsystemMH/T5103—2004，3.9]楼宇自动化系统buildingautomationsystemMH/T5009—2016，2.2.1]油库供油自动化系统automationsystemofoilsupplyinoildepot长输管道自动化系统automationsystemoflongoilpipeline缩略语下列缩略语适用于本文件。APT：高级持续性威胁（AdvancedPersistentThreat）CPU：中央处理器（CentralProcessingUnit）DMZ：非军事区（DemilitarizedZone）DoS：拒绝服务（DenialofService）IP：互联网协议（InternetProtocol）OLE：对象连接与嵌入（ObjectLinkingandEmbedding）OPC：用于过程控制的对象连接与嵌入（OLEforProcessControl）RPO：恢复点目标（RecoveryPointObjective）RTO：恢复时间目标（RecoveryTimeObjective）SSH：安全外壳（SecureShell）SFTP：安全文件传输协议（SSHFileTransferProtocol））A按照GB/T22239—2019附录G，本文件中民用航空生产运行工业控制系统安全防护范围涉及过程监控层、现场控制层和现场设备层，包括以下内容：33CPU100200Mbps10网络安全等级保护第三级系统的边界安全防护应满足以下要求：150us；GB/T37933—20196.1.3表1访问控制设备性能指标设备类型性能指标吞吐量吞吐量达90%时平均时延（us）最大连接速率（个每秒）百兆级设备64字节短包≥线速的10%≤500≥1500256字节中长包≥线速的30%≤500≥1500512字节长包≥线速的50%≤500≥1500千兆级设备64字节短包≥线速的20%≤200≥5000256字节中长包≥线速的40%≤200≥5000512字节长包≥线速的70%≤200≥5000U44OPCOPCOPCOPCWebWebwebIPMAC网络设备安全应满足以下要求：CPU70%；55身份识别与认证应满足以下要求：8数据保护应满足以下要求：分区分域与隔离防护安全区域划分应满足以下要求：66数据与通信安全网络安全等级保护第三级系统的数据与通信安全应满足以下要求：DoSIPIPIP物理抑制应满足以下要求：77IP应用抑制应满足以下要求：网络安全等级保护第三级系统的主机抑制应满足以下要求：威胁清除应满足以下要求：RTO12h、RPOdRTO10min、RPO30min系统运维安全运维操作应满足以下要求。运维行为审计应满足以下要求：SSHSFTP886软件供应链安全系统开发软件资产库应满足以下要求：（SO99概述

附录A（资料性）民用航空生产运行工业控制系统典型示例民用航空生产运行工业控制系统一般包括飞行区的助航灯光系统，航站区的行李处理系统和楼宇（助航灯光系统具有以下业务特点。行李处理系统是使用条码识别技术和智能控制技术对旅客托运的行李进行集中传送、分拣与处理行李处理系统