1民航旅客服務系統安全事件應急處理指南本指南提出了民航旅客服務系統的組織機構與職責、安全事件分類分級、安全事件應急處理準備與培訓演練、安全事件應急處理流程的建議。本指南適用于航空公司、機場及其系統運營商應急處理民航旅客服務系統安全事件。2規范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T20985.2信息安全技術信息安全事件管理第2部分：事件響應規劃和準備指南GB/T20986信息安全技術網絡安全事件分類分級指南GB/T28827.3信息服務技術運行維護第3部分：應急響應規范GB/T38645信息安全技術網絡安全事件應急演練指南GB/T39204信息安全技術關鍵信息基礎設施安全保護要求MH/T0069民用航空網絡信息安全等級保護定級指南3術語和定義下列術語和定義適用于本文件。3.1民航旅客服務系統passengerservicesystem以面向旅客服務為核心的民航業務信息系統。注：包括航班管理系統、訂票銷售系統、乘客信息管理系統、登機系統、值機系統、行李處理系統、客戶關系管理系統等。4應急處理機制4.1系統用戶和運維單位宜成立系統安全事件應急處理領導小組和工作組。4.2應急處理領導小組負責系統安全事件的應急管理工作。4.3應急處理工作組宜建立值班制度，具體負責本單位安全事件的應急處置工作。4.4宜建立職責范圍和操作權限明確的應急隊伍。應急隊伍宜具有可靠的通信渠道，包括值班電話、短信群組、加密通訊軟件等。宜定期對應急隊伍成員進行專業培訓，組織實戰演練，模擬真實場景，檢驗應急預案的可行性和人員的熟練程度。5分類與分級5.1分類參照GB/T20986，宜將民航旅客服務系統安全事件分為“運營故障安全事件”、“信息安全事件”和“數據安全事件”。5.2分級2參照GB/T20986，宜將民航旅客服務系統安全事件級別劃分為“特別重大安全事件”、“重大安全事件”、“較大安全事件”、“一般安全事件”和“輕微安全事件”。5.3分類分級構成民航旅客服務系統安全事件分類分級構成見表1。表1民航旅客服務系統安全事件分類分級構成運營故障安全事件信息安全事件數據安全事件安全事件1.系統異常導致07：00-20：00機場客運繁忙時段，全部機場離港業務不能開展60分鐘以上。2.系統異常導致全部訂座或者分銷業務不能開展120分鐘以上。1．受到持續、大量、有組織的網絡攻擊，導致特別嚴重的業務損失。2．系統多次病毒發作或嚴重發作，導致特別嚴重的業務損失。3．關鍵功能出現嚴重有害信息，對系統功能造成損害，造成特別重大社會危害。系統中大量旅客敏感信息或業務數據泄漏，導致特別嚴重的業務損失或造成特別重大的社會危害。事件1．系統異常導致07：00-20：00機場客運繁忙時段全部機場離港業務不能開展20分鐘以上。2．系統異常導致年旅客吞吐量大于5000萬的單個機場離港業務不能開展30分鐘以3．系統異常導致全部訂座或者分銷業務不能開展30分鐘以上。1．系統頻繁受到多次網絡攻擊，導致嚴重的業務損失。2．系統多次病毒發作或嚴重發作，導致嚴重的業務損失。3．系統出現嚴重有害信息，傳播廣泛，造成重大社會危害。系統中大量或者少量旅客敏感信息或相關業務數據泄漏，導致嚴重的業務損失，造成重大的社會危害。事件1.系統異常導致07：00-20：00機場客運繁忙時段，全部機場離港業務不能開展10分鐘以上的情況。2.系統異常導致年旅客吞吐量大于5000萬單個機場離港業務不能開展20分鐘以上。3.系統異常導致年旅客吞吐量大于2000萬單個機場離港業務不能開展30分鐘以上。4.系統異常導致全部訂座或者分銷業務不能開展15分鐘以上。1．系統遭受多次網絡攻擊，導致較大業務損失。2．系統大面積病毒發作，導致較大業務損失。3．系統出現較嚴重的有害信息等，經有限傳播造成較大的社會危害。重要信息系統中少量旅客敏感信息或業務數據泄漏，導致較大的業務損失，造成較大的社會危害。3表1民航旅客服務系統安全事件分類分級構成（續）運營故障安全事件信息安全事件數據安全事件事件5.系統異常導致07：00-20：00機場客運繁忙時段，全部機場離港業務不能開展10分鐘以上的情況。6.系統異常導致年旅客吞吐量大于5000萬單個機場離港業務不能開展20分鐘以上。7.系統異常導致年旅客吞吐量大于2000萬單個機場離港業務不能開展30分鐘以上。8.系統異常導致全部訂座或者分銷業務不能開展15分鐘以上。4．系統遭受多次網絡攻擊，導致較大業務損失。5．系統大面積病毒發作，導致較大業務損失。6．系統出現較嚴重的有害信息等，經有限傳播造成較大的社會危害。重要信息系統中少量旅客敏感信息或業務數據泄漏，導致較大的業務損失，造成較大的社會危害。事件1.系統異常導致07：00-20：00機場客運繁忙時段，全部機場離港業務不能開展5分鐘以上的情況。2.系統異常導致年旅客吞吐量大于5000萬的單個機場離港業務不能開展10分鐘以3.系統異常導致年旅客吞吐量大于2000萬單個機場離港業務不能開展20分鐘以上。4.系統異常導致全部訂座或者分銷業務不能開展10分鐘以上。5.系統異常導致部分重要業務不能正常開展30分鐘以上的情況。1．系統受到一次網絡攻擊事件，導致較小的業務損失。2．系統小范圍病毒發作，導致較小的業務損失。3．系統出現有害信息，及時發現并刪除，導致較小的業務損失。經確認的少量旅客敏感信息或業務數據泄漏，及時發現并控制，導致較小的業務損失。事件1.系統異常導致年旅客吞吐量大于5000萬的單個機場離港業務不能開展5分鐘以2.系統異常導致年旅客吞吐量大于2000萬的單個機場離港業務不能正常開展10分鐘以上。1．系統受到一次嘗試失敗的網絡攻擊、沒有導致業務損失。2．系統無影響的病毒發作，沒有導致業務損失。3.系統出現輕微有害信息等，及時發現并刪除，沒有導致業務損可能的少量旅客敏感信息或業務數據泄漏，沒有導致業務損失。43.系統異常導致部分重要業務不能開展15分鐘以上的情況。6應急預案與應急演練6.1航空公司、機場及其系統運營商宜制定安全事件的應急預案并定期開展應急演練。應急預案宜包括預案啟動條件和判斷標準、事件升級流程、技術或者業務處置過程等內容。6.2航空公司、機場及其系統運營商宜對全體員工進行民航旅客服務系統安全意識培訓，對技術和業務人員宜開展包括案例學習、應急處理流程等安全技能培訓，對特別重要崗位宜獲得企業或行業安全資質認證。6.3航空公司、機場及其系統運營商建立安全事件知識庫，對民航旅客服務系統安全事件的處理知識進行管理和共享。7應急處理流程7.1監控7.1.1系統用戶監測系統用戶在日常工作中宜關注不正常的系統提示、錯誤信息或性能下降等，發現服務中斷、數據丟失、安全警告等異常現象后，宜盡可能保留與問題相關的截圖、日志信息或其他證據，并通過客服熱線、在線反饋系統向系統運營單位報告。7.1.2系統運營單位監測系統運營單位宜構建包括性能監控、安全監控、日志管理的監控工具，實時捕獲并響應各類應急事件，自動觸發報警，告知運維人員。7.2報告系統運營單位接到報警后，確認事件對客戶服務造成的影響，按照應急預案設定的流程向應急處理工作組或領導小組報告，內容宜包括受影響的用戶、故障發生時間等基本情況。應急處理工作組或領導小組接到報告后應立即啟動應急處理流程并密切關注事件進展。7.3應急處理7.3.1應急處理方式應急處理方式參考表2。表2應急處理方式事件分類分級處理方式1航司系統異常系統故障一般事件調查和修復較大事件切換或降級重大事件及以上災備或手工2民航旅客服務系統異常系統故障一般事件調查和修復較大事件切換或降級重大事件及以上災備或手工3航空公司旅客數據泄露數據泄露一般事件調查和修復較大事件24小時修復重大事件及以上一鍵關停表2應急處理方式（續）事件分類分級處理方式4航司訂票網站頁面篡改數據篡改一般事件調查和修復較大事件24小時修復重大事件及以上一鍵關停5機票價格異常數據錯誤一般事件調查和修復較大事件功能降級重大事件及以上熔斷機制6旅客證件假冒數據錯誤一般事件調查和修復較大事件旅客行程暫停或中止重大事件及以上熔斷機制7大量旅客退票極端操作一般事件調查和通報較大事件聯合保障重大事件及以上專項小組8突發事件航班數據保護極端操作一般事件緊急處置較大事件聯合保障重大事件及以上熔斷機制9機場網絡故障系統故障一般事件切換至冗余設備辦理較大事件區域切換或引導至基于公網途徑辦理重大事件及以上切換災備或手工模式值機登機系統故障系統故障一般事件調查和修復較大事件切換或降級重大事件及以上災備或手工6配載系統故障系統故障一般事件調查和修復較大事件手工配載重大事件及以上手工配載配載系統無數據系統故障一般事件調查和修復較大事件手工錄入數據重大事件及以上手工錄入數據表2應急處理方式（續）事件分類分級處理方式安檢數據錯誤數據錯誤一般事件調查和修復較大事件人工安檢重大事件及以上人工安檢航顯廣播篡改數據篡改一般事件調查和修復較大事件一鍵關停重大事件及以上一鍵關停機場旅客數據泄露數據泄露一般事件調查和修復較大事件24小時修復重大事件及以上歷史數據清除接口服務錯誤或者系統故障一般事件調查和修復較大事件切換或降級重大事件及以上備用方案接口流量異常系統故障一般事件調查和修復較大事件限流或降級重大事件及以上備用方案7.3.2常用應急處理方式說明7.3.2.1系統發生安全事件后，當正常的處理手段無法快速恢復系統功能，導致短時間服務中斷、功能降級、效率降低、性能下降等情況，存在整個系統業務中斷的風險時，宜啟用備份系統，將業務轉移到備份系統。7.3.2.2在多機環境中部署的系統，如果系統業務模塊耦合度較低，當部分服務器硬件、網絡、軟件等出