前言:寻找写作灵感?中文期刊网用心挑选的应用软件安全标准体系分析探究,希望能为您的阅读和创作带来灵感,欢迎大家阅读并分享。
摘要:应用软件安全性是保障应用软件功能实现的核心要素之一,构建完善、科学、系统的应用软件安全标准体系,用标准化的手段指导行业健康、有序发展是十分必要的。南京市质检院国家软件产品质量检验检测中心(江苏)于2019年9月-2020年4月期间,开展了应用软件安全标准体系研究,调研了相关国家、行业、地方、团体标准700余项,国际和国外先进标准200余项,初步构建了应用软件安全领域标准体系,并结合研究成果,对相关领域标准化工作提出建议。
关键词:应用软件,安全,标准体系,标准
软件是信息技术之魂、网络安全之盾和数字社会之基,是引领新一轮科技创新的源动力。“软件定义”正在全面融入经济社会各领域,驱动数字经济蓬勃发展,推动智慧社会加速演进。应用软件是人们日常生产、生活必需的软件工具,是信息化与网络化建设的基础与前提,也是推进我国现代化建设的重要手段。应用软件安全性是保障应用软件功能实现的核心要素之一。近年来,软件安全漏洞导致的恶性事件频发,对人们的生产、生活带来恶劣影响,因此,构建完善、科学、系统的应用软件安全标准体系,用标准化的手段指导行业健康、有序发展是十分必要的。
1软件和信息技术服务业概况
随着软件信息技术、互联网技术在社会各领域的渗透和应用,软件和信息技术服务业面临着新的而又广阔的应用市场。目前,软件和信息技术服务业已经成为了竞相争夺的战略高地。从国际看,世界各国(地区)普遍加快软件技术、标准、产业的布局,力图巩固既有优势、抢占发展先机和战略制高点。从国内来看,国家成立了中央网络安全与信息化小组,表明网络安全与信息化已经上升为国家战略进行顶层设计以及整体的布局[1]。近年来,我国软件产业市场竞争力不断增强,正在步入加速迭代、群体突破的关键时期,迎来从量的增长转向质的提升的新阶段。2018年,我国软件产业实现业务收入6.3万亿元,同比增长14.2%。2019年1-5月,实现业务收入2.63万亿元,同比增长14.7%。软件产业结构持续优化,“软件定义”全面融入经济社会各领域,软件创新引擎作用更加凸显[2]。
2应用软件安全领域标准化现状研究
2.1国内标准现状
2.1.1现有标准情况
本体系包含应用软件安全相关国家标准、行业标准、地方标准、团体标准共计709项,其中国家标准443项、行业标准215项、地方标准14项、团体标准37项;现行580项、在研102项、拟制定27项。按照标准类型分基础标准41项,方法标准267项,安全、卫生、环保标准3项,产品过程服务标准398项。应用软件安全领域标准统计表如表1所示。
2.1.2在研标准情况
本体系共收集到14家归口单位的在研标准计划102项,涉及信息安全管理、风险评估、智慧城市、工业控制、食品安全追溯体系等内容,在研标准情况统计表如表2所示。
2.1.3拟制定标准情况
本体系共提出拟制定地方标准及国家标准27项,具体涵盖产品认证、智能终端、电子政务、交通运输、智慧城市等领域。
2.2现行国际标准和国外先进标准现状
本体系共包含应用软件安全相关国际标准和国外先进标准219项,其中国际标准175项,国外先进标准44项。现行国际标准和国外先进标准统计表如表3所示。
2.3国内标准化技术组织现状
本体系包含的709项标准主要归口在全国信息安全标准化技术委员会(SAC/TC260)(349项),公安部信息系统安全标准化技术委员会(111项),全国信息技术标准化技术委员会(SAC/TC28)(20项)。该三个标准化技术委员会(480项)归口的标准占本标准体系总量的67.7%。
2.4国际标准化技术组织现状
本体系共包含应用软件安全相关国际标准和国外先进标准219项,其中国际标准175项,国外先进标准44项。国际标准主要归口在ISO/IECJTC1/SC27。175项国际标准中,等同采用23项,修改采用5项。JTC1/SC27由ISO、IEC联合成立,秘书处由ANSI(美国国家标准学会)承担,负责通用信息技术安全标准的制定。国内对口组织为全国信息安全标准化技术委员会(TC260)。JTC1/SC27已发布的国际标准有142项。
2.5江苏省内应用软件安全领域企业标准抽样调研
本项目调研了2020年1月7日前在企业标准信息公共服务平台上公开的前17家江苏省内应用软件安全领域企业自我公开的标准,其中8家制定了企业标准,9家采用了国家标准或行业标准。经研究,8个企业标准的主要问题有缺少关键技术指标、检测方法、关键岗位人员、灾备要求等内容。其中,对应用软件安全相关岗位人员要求、相关培训及应用软件运维灾备要求缺失现象较为普遍。
3应用软件安全标准体系
应用软件安全标准体系共分四级:第一级分01-基础、02-支撑环境、03-新技术应用、04-特定领域4个子体系:01-基础子体系下分:01-01术语编码文档包括术语定义、分类编码、文档要求3个子体系共31项标准;01-02管理类包括组织、人员、项目3个子体系共51项标准。02-支撑环境子体系下分:02-01通用要求包括密码技术、评估方法、其他3个子体系共226项标准;02-02硬件设备包括计算机、智能终端、外部设备3个子体系共43项标准;02-03网络包括协议、防火墙、网关、路由器、交换机等8个子体系共55项标准;02-04操作系统包括5项标准;02-05物理环境包括1项标准。03-新技术应用子体系下分:03-01数据库包括7项标准;03-02移动APP包括12项标准;03-03大数据包括3项标准;03-04云计算包括13项标准;03-05可信计算包括8项标准;03-06区块链包括1项标准;03-07数据包括通用技术、公共信息、个人信息3个子体系共70项标准;03-08物联网包括12项标准。04-特定领域子体系下分:04-01电子政务包括18项标准;04-02交通运输包括32项标准;04-03电商/金融包括17项标准;04-04公安包括10项标准;04-05教育包括2项标准;04-06医疗卫生包括3项标准;04-07工业控制包括45项标准;04-08军民融合包括4项标准;04-09电力包括11项标准;04-10农业包括5项标准;04-11智慧城市包括12项标准;04-12电信包括6项标准;04-13其他包括6项标准。详细标准体系结构图如图1所示。
4应用软件安全领域标准化工作建议
4.1密码应用领域安全标准研制
《密码法》的颁布实施,将全面提升密码领域法制化水平,密码领域标准作为《密码法》实施的技术支撑,需求比较旺盛。随着密码应用进入新的阶段,应用领域快速扩展,应用场景复杂多变,加之新技术、新应用、新业态的不断涌现,多元化的密码标准需求与密码标准有效供给能力相对不足之间的矛盾凸显。当前,密码与量子技术、云计算、大数据、物联网、人工智能、区块链等新技术在快速的融合演进,而在这些领域我国的密码行业标准仍基本处于缺标可循、无标可依的被动局面,这无疑制约和阻碍了密码技术的应用,也不利于引导和规范密码在新兴领域正确、合规、有效的应用[3]。故急需开展密码应用领域尤其是国产密码领域标准研制,为密码安全构筑标准防线。
4.2国际标准、国外先进标准采标工作
本体系包含的219项国际标准、国外先进标准中,已等同采用、修改采用28项,采标率12.79%。且研究发现,国内采标标准更新速度远低于国际标准研发速度,许多新技术领域标准未采标或采标周期过长,导致部分引用标准已废止。未来需加强国际标准、国外先进标准采标工作,保持应用软件安全领域关键技术标准的先进性。
4.3安全服务领域标准及体系研究
2021年下半年先后实施的《数据安全法》和《个人信息保护法》明确了数据安全、信息安全领域检测、评估、认证的要求。《数据安全法》第十八条规定:国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动;《个人信息保护法》第三十八条规定,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证等。应围绕两部法律落地需求,开展安全服务领域标准及相关体系研究,为安服行业健康、规范发展提供标准支撑。
4.4信息安全领域从业人员认证标准宣贯
经过对江苏省内应用软件安全领域企业标准抽样调研,结合省内企业标准对信息安全领域从业人员资质要求的缺失情况,建议组织相关企业开展应用软件安全领域通用标准、信息安全保障人员认证标准宣贯,提高企业对相关标准的认知,提升信息安全从业人员入职门槛,提高企业信息安全管理能力。
作者:荣鼎慧 单位:南京市产品质量监督检验院 国家软件产品质量检验检测中心