T_CIIPA 00012—2024 自主可控网络安全技术基于网络靶场的软件自主可控能力测试指南-团体标准
目录
| 标准详细信息 | |
|---|---|
| 标准状态 | 现行 |
| 标准编号 | T/CIIPA 00012—2024 |
| 中文标题 | 自主可控网络安全技术基于网络靶场的软件自主可控能力测试指南 |
| 英文标题 | Autonomous and controllable cybersecurity technology-Guideline for testingthe autonomous and controllable capabilities of software based on cyber range |
| 国际标准分类号 | 35.030 |
| 中国标准分类号 | 中国 |
| 国民经济分类 | I659 其他信息技术服务业 |
| 发布日期 | 2025年06月09日 |
| 实施日期 | 2025年06月11日 |
| 起草人 | 刘立、郑新华、赵志娟、毛庆梅、张海彬、任燕、苗德成、栾浩、杜君、雷健波、刘如才赵菁华、王舒、王喆、郑旻、段古纳、王珊珊、腾迪、王思登、孙可、刘先宝、郑国忠、王雪珊、严爱明、赵晶晶韩月华、王晓怡、张坤。 |
| 起草单位 | 奇安信科技集团股份有限公司、软极网络技术(北京)有限公司、中国工业互联网研究院、可信华泰科技有限公司、北京大学、长沙市轨道交通运营有限公司、北京市科学技术研究院中国移动通信集团有限公司、韶关学院,中共扬州市委网络安全和信息化委员会办公室、扬州市大数据管理中心、北京柏睿数据技术股份有限公司、浙江脑动极光医疗科技有限公司。 |
| 范围 | 本文件描述了一套基于网络靶场对软件自主可控能力进行持续性测试的方法论,包括在软件生命周期各阶段进行静态测试、仿真测试、实网测试时,如何制定测试方案、搭建测试环境、执行测试任务和输出测试报告。 本文件适用于指导组织基于网络靶场开展软件资产自主可控能力测评工作,能供软件产品研制单位、使用单位、测评机构等相关方参考使用。 |
| 主要技术内容 | 5.1软件自主可控能力测试范围 软件自主可控能力测试包含对技术掌控能力、持续交付能力和网络安全能力的测试评估:a)技术掌控能力考察软件代码自主率; b)持续交付能力考察开源及第三方组件许可证合规性; 网络安全能力考察代码缺陷、组件漏洞、资产漏洞及其他潜在的网络安全风险应对能力。c) 5.2软件自主可控能力管理粒度 软件资产自主可控能力管理的粒度宜达到组件级,并明确处理组件间的依赖关系和交互。要求软件资产具备完整的SBOM,能够清晰反映软件的构成及每个组件的情况,以实现自主可控能力评价和风险管理 5.3软件自主可控能力测试框架 软件自主可控能力测试宜持续开展,贯穿软件的开发阶段、测试阶段和运营阶段 测试类型包括静态测试、仿真测试和实网测试。静态测试指在非运行环境下对软件源代码或二进制代码进行检测,包括成分分析和安全测试:仿真测试指在仿真运行环境下对运行态程序进行安全测试:实网测试指在实际网络环境下对运行态程序进行安全测试。静态测试结果包括代码来源、开源许可证有效性、组件级的代码缺陷和漏洞:仿真测试和实网测试的结果是软件资产的安全漏洞。测试方法主要包括SCA,代码安全审计,漏洞扫描,模糊测试,渗透测试和安全众测等。在软件生命周期的各阶段可采用的测试类型和测试方法如表1所示。 |
| 是否包含专利信息 | 否 |
| 标准文本 | 查看 |
| 团体详细信息 | |||
|---|---|---|---|
| 团体名称 | 中关村华安关键信息基础设施安全保护联盟 | ||
| 登记证号 | 51110000MJ0101046N | 发证机关 | 北京市民政局 |
| 业务范围 | 开展关键信息基础设施安全保护领域相关的技术研究、技术交流、标准制定、人才培养、咨询服务、会议会展、支持科技成果转化服务、交流合作、承办委托。 | ||
| 法定代表人/负责人 | 林皓 | ||
| 依托单位名称 | |||
| 通讯地址 | 北京市海淀区世纪金源商务中心607 | 邮编 : 100097 | |