自主可控网络安全技术 基于网络靶场的软件自主可控能力测试.docx

自主可控网络安全技术基于网络靶场的软件自主可控能力测试指南

1范围

本标准描述了一套基于网络靶场对软件自主可控能力进行持续性测试的方法论，包括在静态测试、仿真测试、实网测试各阶段，如何制定测试方案、搭建测试环境、执行测试任务和反馈测试结果。

本文件适用于指导组织基于网络靶场开展软件资产自主可控能力测评工作，可供软件产品研制单位、使用单位、测评机构等相关方参考使用。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

GB/T25069信息安全技术术语

GB/T36630.1信息安全技术信息技术产品安全可控评价指标第1部分：总则GB/T39412-2020信息安全技术代码安全审计规范

GB/T43848-2024信息安全技术软件产品开源代码安全评价方法T/CSAC001-2023网络靶场基于技战术模型的安全测评方法

3术语和定义

GB/T25069中界定的以及下列术语和定义适用于本文件。

3.1自主可控autonomousandcontrollable

产品在核心技术、原材料和零部件、生产工艺等方面不依赖于外部国家或公司，能够自主研发、生产、运营，并符合安全可控标准和监管要求。

3.2安全可控controllabilityforsecurity

信息技术产品具备的保证其应用方的数据支配权、产品控制权、产品选择权等不受损害的属性。[来源:GB/T36630.1-2018,3.2]

3.3软件资产softwareasset

对组织有价值的软件资源，是自主可控测试的对象。

3.4测试要素testelement

与测试活动相关的各种要素，包括但不限于测试目标、测试计划、测试人员、测试环境、测试方案、测试用例、测试工具和缺陷漏洞管理等。

3.5软件成分分析softwarecompositionanalysis

用于识别、分析和追踪二进制软件的组成部分的技术。SCA的目标是识别和清点开源软件（OSS）的组件及其构成和依赖关系，并精准识别系统中存在的已知安全漏洞或潜在的许可证授权问题。

3.6代码安全审计codesecurityaudit

对代码进行安全分析，以发现代码安全缺陷或违反代码安全规范的动作。[来源：GB/T39412-2020,3.1.1]

3.7代码自主率codeautonomyrate

指软件代码中自主可控成分所占百分比。

3.8开源许可证opensourcelicense

一种具有法律效力的、允许用户自由使用、修改、复制或分发软件代码的授权条款格式合同或协议。[来源:GB/T43848-2024,3.3]

3.9仿真测试simulationtest

指使用网络靶场构建仿真环境，以模拟实际运行情况检测软件资产的安全性是否符合预期。3.10实网测试realnetworktest

在实际运行网络环境下对软件资产进行安全性测试。

3.11安全众测crowdsourcingsecuritytest

组织非特定的自然人或组织，在审计及监督下，对网络产品和系统开展漏洞发现等安全测试的过程。

4缩略语

下列缩略语适用于本文件。

SBOM：软件物料清单（SoftwareBillofMaterials）

SCA：软件成分分析（SoftwareCompositionAnalysis）

CVE：通用漏洞披露（CommonVulnerabilitiesExposures）CWE：通用缺陷列表（CommonWeaknessEnumeration）

CNNVD：中国国家信息安全漏洞库（ChinaNationalVulnerabilityDatabaseofInformationSecurity）

5概述

5.1软件自主可控能力测试范围

软件自主可控能力测试应包含对技术掌控能力、持续交付能力和网络安全能力的测试评估。

a)技术掌控能力考察软件代码自主率；

b)持续交付能力考察开源及第三方组件许可证合规性；

c)网络安全能力考察代码缺陷、组件漏洞、资产漏洞及其它潜在的网络安全风险应对能力。

5.2软件自主可控能力管理粒度

软件资产自主可控能力管理的粒度应达到组件级。要求软件资产具备完整的SBOM，能够清晰反应软件的构成及每个组件的情况，以实现自主可控能力评价和风险管理。

5.3软件自主可控能力测试框架

软件自主可控能力测试应持续开展，贯穿软件的开发阶段、测试阶段和运营