MH-T 3035-2023 民用航空生產(chǎn)運行工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護技術(shù)要求

ICS

35.020CCS

L

07MH中華人民共和國民用航空行業(yè)標(biāo)準(zhǔn)MH/T

3035—2023民用航空生產(chǎn)運行工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護技術(shù)要求Technical

protection

of

productiveoperation

industrial

2023-12-06

發(fā)布2024-01-01

實施中國民用航空局發(fā)

布MH/T

3035—2023 前言

.................................................................................

II1

...............................................................................

12 規(guī)范性引用文件

.....................................................................

13 術(shù)語和定義

.........................................................................

14 縮略語

.............................................................................

25 安全防護對象

.......................................................................

26 設(shè)備級安全技術(shù)要求

.................................................................

2現(xiàn)場設(shè)備安全

...................................................................

2控制設(shè)備安全

...................................................................

3工業(yè)主機安全

...................................................................

3網(wǎng)絡(luò)設(shè)備安全

...................................................................

4網(wǎng)絡(luò)安全設(shè)備安全

...............................................................

47 系統(tǒng)級安全技術(shù)要求

.................................................................

5分區(qū)分域與隔離防護

.............................................................

5數(shù)據(jù)與通信安全

.................................................................

5安全監(jiān)控與應(yīng)急處置

.............................................................

5系統(tǒng)運維安全

...................................................................

7軟件開發(fā)安全

...................................................................

7附錄

A（資料性） 民用航空生產(chǎn)運行工業(yè)控制系統(tǒng).........................................

9A.1

概述

...........................................................................

9A.2

助航燈光系統(tǒng)

...................................................................

9A.3

行李處理系統(tǒng)

...................................................................

9A.4

樓宇自動化系統(tǒng)

.................................................................

9A.5

油庫供油（長輸管道）自動化系統(tǒng)

................................................

10參考文獻

.............................................................................

11MH/T

3035—2023 本文件按照GB/T

1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則

第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由中國民用航空局人事科教司提出。本文件由中國民航科學(xué)技術(shù)研究院歸口。()股份有限公司、中國電子科技網(wǎng)絡(luò)信息安全有限公司。周景賢、賀勝中、楊洪宇、楊建偉、李昉、杜斌、梁鈺涓、楊洪欣、楊汶佼、張海敏、羅圣美、任江、姚文廣、傅濤、張俊峰、張大朋、李江力、李長京、趙壽康、龔麗、張雯、林嵩松、安成飛、周啟鵬、趙強、張博、郭占先、張衍順、趙學(xué)全、李一超、項有為、鄒大均。IIMH/T

3035—20231 范圍主機、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備等設(shè)備級安全技術(shù)要求，以及分區(qū)分域與隔離防護、數(shù)據(jù)與通信安全、安全監(jiān)控與應(yīng)急處置、系統(tǒng)運維安全、軟件供應(yīng)鏈安全等系統(tǒng)級安全技術(shù)要求。作為行業(yè)管理部門開展監(jiān)督檢查工作的依據(jù)。2 規(guī)范性引用文件文件。GB/T

25069—2022 信息安全技術(shù) 術(shù)語GB/T

37933—2019 信息安全技術(shù) 工業(yè)控制系統(tǒng)專用防火墻技術(shù)要求GB/T

40813—2021 信息安全技術(shù) 工業(yè)控制系統(tǒng)安全防護技術(shù)要求和測試評價方法3 術(shù)語和定義GB/T

25069—2022、GB/T

37933—2019、GB/T

40813—2021界定的以及下列術(shù)語和定義適用于本文件。飛行區(qū)

機場內(nèi)由建筑物和室外隔離設(shè)施所圍合的區(qū)域，包含跑道、滑行道、機坪等設(shè)施和場地。[來源：

5002—2020，2.1.7]航站區(qū)

area機場內(nèi)航站樓及其配套的站坪、交通、服務(wù)等設(shè)施所在的區(qū)域。[來源：MH/T

5002—2020，2.1.8]工作區(qū) comprehensive

supporting

area障等設(shè)施和場地。[來源：MH/T

5002—2020，2.1.11]現(xiàn)場設(shè)備

民航運行過程中用于感知與操作運行過程,并具有計算和信息處理能力的傳感器與執(zhí)行設(shè)備單元。控制設(shè)備control

民航運行過程中用于控制執(zhí)行設(shè)備單元以及采集傳感器數(shù)據(jù)的裝置。PLCDDCRTU工業(yè)主機

master

equipment要信息存儲等工作的設(shè)備。MH/T

3035—2023雙機熱備 dual-machine

standby機自動代替主機。助航燈光系統(tǒng)

systems光供電系統(tǒng)和監(jiān)視與控制系統(tǒng)的總稱。行李處理系統(tǒng)baggage

handling

使用條碼識別技術(shù)和智能控制技術(shù)對旅客托運的行李進行集中傳送、分揀與處理的自動化系統(tǒng)。[來源：

5103—2004，3.9]樓宇自動化系統(tǒng)

automation

對航站樓內(nèi)所控機電設(shè)備的狀態(tài)進行集中監(jiān)視，分散控制、測量的管理系統(tǒng)的總稱。[來源：

5009—2016，2.2.1]油庫供油自動化系統(tǒng) automation

of

oil

oil

depot實現(xiàn)油品收發(fā)、儲存、灌油等過程自動控制，以及對相關(guān)設(shè)備的運行狀態(tài)進行監(jiān)測和報警的系統(tǒng)。長輸管道自動化系統(tǒng) automation

of

oil

pipeline行情況和工藝參數(shù)進行監(jiān)控，并能對關(guān)鍵設(shè)備進行遠程控制的系統(tǒng)。4 縮略語下列縮略語適用于本文件。CPU：中央處理器（

Processing

Unit）DoS：拒絕服務(wù)（Denial

Service）httpsHyper

Text

Transfer

Protocol

Secure

SocketLayer）IP：互聯(lián)網(wǎng)協(xié)議（

Protocol）OPC：用于過程控制的對象連接與嵌入（

）RPO：恢復(fù)點目標(biāo)（

Point

Objective）RTORecovery

Time

Objective）SSH：安全外殼（Secure

Shell）SFTP：安全文件傳輸協(xié)議（SSH

File

Transfer

Protocol）5 安全防護對象區(qū)行李處理系統(tǒng)、樓宇自動化系統(tǒng)，工作區(qū)的油庫供油（長輸管道）自動化系統(tǒng)。系統(tǒng)介紹見附錄A。民航工控系統(tǒng)的安全防護對象包括：a)

設(shè)備級安全：現(xiàn)場設(shè)備、控制設(shè)備、工業(yè)主機、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備等軟硬件安全；b)

軟件供應(yīng)鏈安全。6 設(shè)備級安全技術(shù)要求現(xiàn)場設(shè)備安全90%us/s6410%500

25630%500

51250%500

6420%200

25640%200

51270%200

MH/T

3035—20236.1.1 現(xiàn)場設(shè)備應(yīng)具有受控接口，僅允許經(jīng)授權(quán)的通信或控制信號接入。6.1.2網(wǎng)絡(luò)安全等級保護第三級系統(tǒng)的現(xiàn)場設(shè)備宜采用嵌入式安全模塊，具備身份鑒別等功能。控制設(shè)備安全6.2.1 本體安全 網(wǎng)絡(luò)安全等級保護第三級系統(tǒng)的本體安全應(yīng)滿足以下要求：a)

設(shè)置控制設(shè)備

訪問級別，合理分配對實時數(shù)據(jù)的讀寫權(quán)限；b)

配置控制設(shè)備的程序密碼保護和機密組態(tài)數(shù)據(jù)保護機制；c)

使用設(shè)備原廠商的專用系統(tǒng)對控制設(shè)備進行固件升級或更新；d)

通過其他方式修補存在安全漏洞且難以實現(xiàn)補丁更新的控制設(shè)備漏洞。加密傳輸?shù)裙δ堋?.2.2 數(shù)據(jù)與通信安全網(wǎng)絡(luò)安全等級保護第三級系統(tǒng)控制設(shè)備與上位控制或管理設(shè)備之間宜采用經(jīng)國家密碼主管部門核準(zhǔn)的商用密碼技術(shù)保護傳輸數(shù)據(jù)的完整性、保密性,控制設(shè)備加解密運算性能不應(yīng)低于

10

Mbps，上位控制或管理設(shè)備加解密運算性能不應(yīng)低于

100

Mbps，整體加解密對于通信延時影響不應(yīng)大于

10%。6.2.3 邊界安全防護網(wǎng)絡(luò)安全等級保護第三級系統(tǒng)的邊界安全防護應(yīng)滿足以下要求：a)

控制設(shè)備前部署工控防火墻或者等同能力的訪問控制設(shè)備，對工業(yè)控制協(xié)議數(shù)據(jù)包深度解析據(jù)值域限制等指令級配置操作；b)

按照

37933—

中

6.1.3

的要求，控制設(shè)備前部署的訪問控制設(shè)備性能指標(biāo)符合表

1要求。表1表1 訪問控制設(shè)備性能指標(biāo)6.3.1 本體安全 本體安全應(yīng)滿足以下要求：a)

法端口；b)

U

移動硬盤等移動介質(zhì)使用時可能出現(xiàn)的惡意代碼等安全威脅；c)

響系統(tǒng)可用性的前提下更新；如難以修復(fù)漏洞，采取其他等效安全加固措施。 網(wǎng)絡(luò)安全等級保護第三級系統(tǒng)應(yīng)具備基于密碼的身份認證等功能。MH/T

3035—20工程師站、操作員站、

服務(wù)器、實時數(shù)據(jù)庫服務(wù)器等工業(yè)主機設(shè)備宜部署經(jīng)驗證的防惡下更新程序。6.3.2數(shù)據(jù)與通信安全 數(shù)據(jù)與通信安全應(yīng)滿足以下基本要求：a)

許交換符合安全策略的指定格式數(shù)據(jù)；b)

會話，并提供會話超時重新認證功能；c)

備份，數(shù)據(jù)發(fā)生較大調(diào)整后立即全備份；d)

在實時數(shù)據(jù)庫同步結(jié)束后完全清除數(shù)據(jù)，釋放或重新分配存儲空間，防止惡意恢復(fù)數(shù)據(jù)。 網(wǎng)絡(luò)安全等級保護第三級系統(tǒng)的數(shù)據(jù)與通信安全應(yīng)滿足以下要求：a)

據(jù)調(diào)整后立即全備份；b)

程序、實時數(shù)據(jù)庫用戶及密碼表項、OPC

服務(wù)器數(shù)據(jù)文件等重要信息資源設(shè)置敏感標(biāo)記；c)

庫服務(wù)器等重要工業(yè)數(shù)據(jù)資產(chǎn)的讀寫權(quán)限進行點位級的控制；d)

通過廣域網(wǎng)交換控制指令或相關(guān)數(shù)據(jù)時，采用經(jīng)國家密碼主管部門核準(zhǔn)的商用密碼技術(shù)實現(xiàn)身份認證、訪問控制和數(shù)據(jù)加密傳輸。6.3.3 邊界安全防護網(wǎng)絡(luò)安全等級保護第三級系統(tǒng)部署在工業(yè)主機前的訪問控制設(shè)備應(yīng)具備雙機熱備能力，當(dāng)主設(shè)備自身斷電或出現(xiàn)其他軟硬件故障時，備用設(shè)備立即發(fā)現(xiàn)并接管主設(shè)備的工作。網(wǎng)絡(luò)設(shè)備安全網(wǎng)絡(luò)設(shè)備安全應(yīng)滿足以下要求：a)

保證設(shè)備性能滿足業(yè)務(wù)高峰時的需求，

和內(nèi)存使用率峰值不大于

；b)

在核心網(wǎng)絡(luò)接口處限制網(wǎng)絡(luò)最大流量和網(wǎng)絡(luò)連接數(shù)；c)

對重要網(wǎng)段采取技術(shù)措施以防止地址欺騙；d)

件運行狀態(tài)異常時能自動切換到冗余設(shè)備或冗余部件。網(wǎng)絡(luò)安全設(shè)備安全6.5.1本體安全 本體安全應(yīng)滿足以下要求：a)

能避免對自身未經(jīng)授權(quán)的修改和破壞；b)

不存在已公布的高危漏洞，預(yù)裝軟件、補丁包/升級包不存在惡意程序，不存在未聲明的功能遠程調(diào)試接口、帶內(nèi)管理等訪問接口；c)

控制設(shè)備與工業(yè)主機之間的串接類設(shè)備具備旁路功能，設(shè)備出現(xiàn)故障時自動啟動旁路功能并報警；d)

或偽造的升級包。 本體安全宜支持導(dǎo)入策略的校驗和導(dǎo)出策略的加密機制。6.5.2身份識別與認證MH/T

3035—2023身份識別與認證應(yīng)滿足以下要求：a)

并在使用過程中驗證用戶身份；b)

數(shù)據(jù)等信息；c)

為；d)

符等不少于

3

種類型、不低于

8

位的口令設(shè)置功能。6.5.3 數(shù)據(jù)保護數(shù)據(jù)保護應(yīng)滿足以下要求：a)

對策略配置等安全功能數(shù)據(jù)進行加密存儲，免受未授權(quán)的查看、修改和刪除；b)

具備會話交互超時中斷功能，可自定義超時時間；c)

對策略配置等安全功能數(shù)據(jù)進行加密傳輸，以防止數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中被泄露和篡改。7 系統(tǒng)級安全技術(shù)要求分區(qū)分域與隔離防護7.1.1 安全區(qū)域劃分安全區(qū)域劃分應(yīng)滿足以下要求：a)

與其他系統(tǒng)劃分明確的網(wǎng)絡(luò)邊界；b)

能合規(guī)控制內(nèi)部數(shù)據(jù)的訪問和傳輸行為；c)

設(shè)備安全隔離；d)

系統(tǒng)測試環(huán)境不連接生產(chǎn)環(huán)境。7.1.2 邊界隔離防護 邊界隔離防護應(yīng)滿足以下要求：a)

源地址、目的地址、源端口、目的端口和協(xié)議等檢查后允許或拒絕數(shù)據(jù)包出入；b)

在系統(tǒng)內(nèi)部不同區(qū)域邊界部署工控防火墻等隔離防護設(shè)備，解析常用工業(yè)控制協(xié)議數(shù)據(jù)包并域限制等指令級配置操作。 網(wǎng)絡(luò)安全等級保護第三級系統(tǒng)與不存在數(shù)據(jù)通信的其他系統(tǒng)邊界應(yīng)采取物理隔離措施；如與其他系統(tǒng)存在數(shù)據(jù)通信，應(yīng)在系統(tǒng)邊界采取單向技術(shù)隔離措施，確保策略配置安全有效。數(shù)據(jù)與通信安全網(wǎng)絡(luò)安全等級保護第三級系統(tǒng)的數(shù)據(jù)與通信安全應(yīng)滿足以下要求：a)

在向其他系統(tǒng)傳輸數(shù)據(jù)時，采用經(jīng)國家密碼主管部門核準(zhǔn)的商用密碼技術(shù)校驗通信數(shù)據(jù)的完整性和機密性；b)

支持自動密鑰協(xié)商機制；c)

戶端雙向身份認證。安全監(jiān)控與應(yīng)急處置7.3.1 監(jiān)測審計 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點部署監(jiān)測審計設(shè)備，并具備如下能力：MH/T

3035—2023a)

感知和識別各類工業(yè)控制系統(tǒng)信息資產(chǎn)；b)

實時記錄攻擊源

IP、攻擊類型、攻擊目標(biāo)

IP威脅告警規(guī)則自定義模式；c)

警，并分析潛在危害；d)

以便于理解的方式提供審計記錄和查詢方法，分析審計記錄并生成報表；e)

控制對審計記錄的訪問權(quán)限，并監(jiān)測審計記錄的狀態(tài)變化、修改行為等；f)

對工業(yè)協(xié)議提供操作功能碼、數(shù)據(jù)類型、值域、讀寫方向等要素的審計記錄；g)

支持對工業(yè)控制協(xié)議應(yīng)用數(shù)據(jù)進行分析和還原，支持系統(tǒng)常用的工業(yè)控制協(xié)議；h)

監(jiān)視并識別系統(tǒng)邊界和關(guān)鍵網(wǎng)絡(luò)節(jié)點的常見攻擊行為，如端口掃描攻擊、木馬后門攻擊、攻擊、緩沖區(qū)溢出攻擊、

碎片攻擊、網(wǎng)絡(luò)蠕蟲、主機受控等。 網(wǎng)絡(luò)安全等級保護第三級系統(tǒng)的監(jiān)測審計設(shè)備應(yīng)具備檢測和分析新型網(wǎng)絡(luò)攻擊行為的能力，并及時更新產(chǎn)品特征庫。7.3.2 集中管控 網(wǎng)絡(luò)安全等級保護第三級系統(tǒng)的集中管控應(yīng)滿足以下要求：a)

師站、服務(wù)器等設(shè)備資產(chǎn)；b)

部署具備集中管控功能的設(shè)備，集中管理系統(tǒng)中的安全設(shè)備。 網(wǎng)絡(luò)安全等級保護第三級系統(tǒng)宜部署具備以下網(wǎng)絡(luò)安全態(tài)勢感知和管理功能的平臺。a)

能分析研判鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等日志中的威脅信息；b)

能采集和分析網(wǎng)絡(luò)流量、異常行為、威脅告警日志、資產(chǎn)漏洞等不同種類數(shù)據(jù)；c)

能分析、評估和展示資產(chǎn)、威脅和攻擊等多種態(tài)勢；d)

能基于已知的安全威脅事件，以攻擊鏈方式展示威脅路徑過程和攻擊手法；e)

能自定義安全威脅事件功能，對安全風(fēng)險形成工單并下發(fā)預(yù)警通知。7.3.3 事件應(yīng)急處置 網(wǎng)絡(luò)處置網(wǎng)絡(luò)處置應(yīng)滿足以下要求：a)

立即切斷系統(tǒng)與外部網(wǎng)絡(luò)之間連接，如：關(guān)閉網(wǎng)絡(luò)設(shè)備或切斷線路；b)

在不影響系統(tǒng)正常運行的情況下，立即關(guān)閉上位控制設(shè)備；c)

脅

IP，阻斷異常指令、非法數(shù)據(jù)包在系統(tǒng)內(nèi)傳播。 應(yīng)用處置.1 應(yīng)用處置應(yīng)滿足以下要求：a)

禁用或刪除被攻破的應(yīng)用賬號和攻擊者生成的應(yīng)用賬號；b)

關(guān)閉應(yīng)用服務(wù)，避免系統(tǒng)繼續(xù)遭受攻擊；c)

經(jīng)有效評估后，有針對性地掃描和查殺工業(yè)主機感染的木馬、病毒，及時消除惡意文件；d)

修復(fù)被感染的工業(yè)主機存在的已被利用或可能會被利用的高危漏洞；e)

修改所有賬戶的口令。.2網(wǎng)絡(luò)安全等級保護第三級系統(tǒng)的應(yīng)用處置應(yīng)滿足以下要求：a)

禁用或刪除主機中被攻破的賬號和攻擊者生成的賬號；b)

修復(fù)設(shè)備原有的訪問控制、日志、審計等安全機制。 系統(tǒng)恢復(fù).1 系統(tǒng)恢復(fù)應(yīng)滿足以下要求：a)

借助備份數(shù)據(jù)盡快將所有被攻破的系統(tǒng)恢復(fù)到正常工作狀態(tài)；MH/T

3035—2023b)

系統(tǒng)數(shù)據(jù)恢復(fù)能力符合

小于

12

h、

1

d。.2 網(wǎng)絡(luò)安全等級保護第三級系統(tǒng)數(shù)據(jù)恢復(fù)能力應(yīng)符合

GB/T

40813—

中

滿足

、

小于

30

。系統(tǒng)運維安全7.4.1 運維操作運維操作應(yīng)滿足以下要求。a)

設(shè)置運維人員專用賬號，建立運維操作規(guī)范。b)

實施方案、風(fēng)險評估、應(yīng)急措施等。c)

工具中的敏感數(shù)據(jù)。d)

如具備測試系統(tǒng)，優(yōu)先在測試系統(tǒng)中驗證運維操作行為的安全性。e)

對數(shù)據(jù)庫執(zhí)行增刪改查等操作前測試結(jié)構(gòu)化查詢語句并備案，運維人員僅執(zhí)行已備案語句。f)

實時監(jiān)控運維過程，及時對高危指令告警，設(shè)置拒絕執(zhí)行高危指令規(guī)則，切斷異常會話。7.4.2 運維行為審計運維行為審計應(yīng)滿足以下要求：a)

采用技術(shù)手段對運維人員進行身份鑒別、訪問控制和行為審計；b)

對系統(tǒng)實行基于唯一身份標(biāo)識的全局實名制管理，統(tǒng)一賬號；c)

信息；d)

對系統(tǒng)數(shù)據(jù)調(diào)用行為進行審計，審計和控制數(shù)據(jù)庫操作行為；e)

實時監(jiān)控

、SFTP

和數(shù)據(jù)庫的高危操作指令，必要時告警、阻斷會話；f)

保護審計記錄，避免受到未經(jīng)授權(quán)的刪除、修改或覆蓋等；g)

加密存儲用戶口令等敏感數(shù)據(jù)；h)

審計日志留存不少于

6

個月。軟件開發(fā)安全7.5.1 系統(tǒng)開發(fā)軟件資產(chǎn)庫系統(tǒng)開發(fā)軟件資產(chǎn)庫應(yīng)滿足以下要求：a)

權(quán)碼等數(shù)據(jù)；b)

使用軟件資產(chǎn)庫中安全的開源組件和第三方組件進行軟件開發(fā)；c)

使用軟件資產(chǎn)庫中安全的開發(fā)工具進行代碼編輯、集成、編譯等；d)

植入惡意代碼等。7.5.2 開發(fā)代碼安全性檢測 開發(fā)代碼安全性檢測應(yīng)滿足以下要求：a)

告與修復(fù)方案；b)

在系統(tǒng)發(fā)布階段整體封裝軟件代碼，在運行階段檢測軟件完整性；c)

出的預(yù)期結(jié)果一致性和有效性，檢查代碼是否存在內(nèi)存泄漏、異常值返回等情況。網(wǎng)絡(luò)安全等級保護第三級系統(tǒng)在系統(tǒng)部署與測試階段，應(yīng)委托具有資質(zhì)的第三方測評機構(gòu)進行安全性測評并出具測評報告，宜委托具有資質(zhì)的第三方測評機構(gòu)開展源代碼成分分析并出具測評報告。 接收到軟件供應(yīng)鏈安全通知時，應(yīng)校驗軟件成分并做出相應(yīng)處置。MH/T

3035—20237.5.3 開源組件及其安全性檢測開源組件及其安全性檢測應(yīng)滿足以下要求：a)

料清單標(biāo)準(zhǔn)要求的軟件成分信息數(shù)據(jù)；b)

在系統(tǒng)部署與測試階段對軟件的開源組件和第三方組件進行檢測，檢查組件的安全性和開源許可證合規(guī)性，防止出現(xiàn)開源組件存在高危漏洞或者開源許可證有沖突等情況。 開源組件及其安全性檢測宜委托具有資質(zhì)的第三方測評機構(gòu)，測試開源組件安全性并出具測評報告。7.5.4 軟件上線前安全性檢測 開發(fā)軟件上線前安全性檢測應(yīng)滿足以下要求：a)

角色和操作訪問控制關(guān)系，防止出現(xiàn)權(quán)限繞過和超級管理員權(quán)限賬號等風(fēng)險；b)

檢測并修復(fù)監(jiān)控軟件、組態(tài)軟件、數(shù)據(jù)庫軟件和操作系統(tǒng)的漏洞后方可上線；c)

檢測外部數(shù)據(jù)接口，防止出現(xiàn)接口協(xié)議漏洞、未授權(quán)數(shù)據(jù)調(diào)用、未授權(quán)訪問等異常行為。 網(wǎng)絡(luò)安全等級保護第三級系統(tǒng)開發(fā)軟件上線前安全性檢測應(yīng)滿足以下要求：a)

對軟件進行國密算法數(shù)字簽名處理，在部署階段校驗文件來源和完整性；b)

委托具有資質(zhì)的第三方測評機構(gòu)開展安全測試，并出具測評報告。MH/T

3035—2023附 錄 A（資料性）民用航空生產(chǎn)運行工業(yè)控制系統(tǒng)A.1 概述民用航空生產(chǎn)運行工業(yè)控制系統(tǒng)一般包括飛行區(qū)的助航燈光系統(tǒng)，航站區(qū)的行李處理系統(tǒng)和樓宇場的運行秩序造成影響。A.2 助航燈光系統(tǒng)遞和交換。開關(guān)等功能，一般包括單燈控制計算機、單燈監(jiān)控主機、單燈監(jiān)控裝置以及必要的探測傳感器。助航燈光系統(tǒng)具有以下業(yè)務(wù)特點?！煽啃裕合到y(tǒng)對機場飛行區(qū)安全與飛行器安全非常重要，助航燈光系統(tǒng)重點保障飛行器在夜間和復(fù)雜氣象條件下的正常起落飛行，對整體系統(tǒng)軟硬件可靠性提出很高要求?！獙崟r性：系統(tǒng)需要在規(guī)定時間內(nèi)迅速執(zhí)行燈光控制指令，并且及時反饋燈光狀態(tài)至塔臺內(nèi)的監(jiān)控平臺?！踩裕合到y(tǒng)的控制權(quán)限劃分非常清晰，控制一般由權(quán)限最高的中心控制計算機對燈光回路實施控制。控制權(quán)限可以通過授權(quán)方式下放到主/次燈光站，因此需要確保系統(tǒng)的權(quán)限管理以及運維操作的安全性。A.3 行李處理系統(tǒng)行李處理系統(tǒng)是使用條碼識別技術(shù)和智能控制技術(shù)對旅客托運的行李進行集中傳送、分揀與處理托運行李的跟蹤識別、路由控制、設(shè)備狀態(tài)監(jiān)控、航班信息處理、行李源信息處理等功能。行李處理系統(tǒng)具有以下業(yè)務(wù)特點?！煽啃裕合到y(tǒng)的可靠運行對機場運營非常重要，對系統(tǒng)的硬件可靠性、控制軟件合理性、分揀容錯率方面提出了很高的要求，在不間斷承擔(dān)行李識別、運輸、轉(zhuǎn)存的過程中，要求系統(tǒng)對臨時任務(wù)的靈活處理并且不影響整體控制流程?！恢滦裕合到y(tǒng)具有多系統(tǒng)信息共享、聯(lián)動控制的特性，依據(jù)航班信息狀態(tài)以及機場其他信息系統(tǒng)對于航班的調(diào)整，及時更新行李處理流程?！踩裕合到y(tǒng)呈現(xiàn)高度自動化趨勢，人工工作量持續(xù)減少，需要確保系統(tǒng)的控制流程以及負責(zé)實現(xiàn)控制任務(wù)的軟硬件的安全性，需要將針對工業(yè)控制系統(tǒng)的防護手段融入到業(yè)務(wù)流程中。A.4 樓宇自動化系統(tǒng)數(shù)據(jù)