應用軟件安全標準體系分析探究

前言：尋找寫作靈感？中文期刊網用心挑選的應用軟件安全標準體系分析探究，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：應用軟件安全性是保障應用軟件功能實現的核心要素之一，構建完善、科學、系統的應用軟件安全標準體系，用標準化的手段指導行業健康、有序發展是十分必要的。南京市質檢院國家軟件產品質量檢驗檢測中心（江蘇）于2019年9月-2020年4月期間，開展了應用軟件安全標準體系研究，調研了相關國家、行業、地方、團體標準700余項，國際和國外先進標準200余項，初步構建了應用軟件安全領域標準體系，并結合研究成果，對相關領域標準化工作提出建議。

關鍵詞：應用軟件，安全，標準體系，標準

軟件是信息技術之魂、網絡安全之盾和數字社會之基，是引領新一輪科技創新的源動力。“軟件定義”正在全面融入經濟社會各領域，驅動數字經濟蓬勃發展，推動智慧社會加速演進。應用軟件是人們日常生產、生活必需的軟件工具，是信息化與網絡化建設的基礎與前提，也是推進我國現代化建設的重要手段。應用軟件安全性是保障應用軟件功能實現的核心要素之一。近年來，軟件安全漏洞導致的惡性事件頻發，對人們的生產、生活帶來惡劣影響，因此，構建完善、科學、系統的應用軟件安全標準體系，用標準化的手段指導行業健康、有序發展是十分必要的。

1軟件和信息技術服務業概況

隨著軟件信息技術、互聯網技術在社會各領域的滲透和應用，軟件和信息技術服務業面臨著新的而又廣闊的應用市場。目前，軟件和信息技術服務業已經成為了競相爭奪的戰略高地。從國際看，世界各國（地區）普遍加快軟件技術、標準、產業的布局，力圖鞏固既有優勢、搶占發展先機和戰略制高點。從國內來看，國家成立了中央網絡安全與信息化小組，表明網絡安全與信息化已經上升為國家戰略進行頂層設計以及整體的布局[1]。近年來，我國軟件產業市場競爭力不斷增強，正在步入加速迭代、群體突破的關鍵時期，迎來從量的增長轉向質的提升的新階段。2018年，我國軟件產業實現業務收入6.3萬億元，同比增長14.2%。2019年1-5月，實現業務收入2.63萬億元，同比增長14.7%。軟件產業結構持續優化，“軟件定義”全面融入經濟社會各領域，軟件創新引擎作用更加凸顯[2]。

2應用軟件安全領域標準化現狀研究

2.1國內標準現狀

2.1.1現有標準情況

本體系包含應用軟件安全相關國家標準、行業標準、地方標準、團體標準共計709項，其中國家標準443項、行業標準215項、地方標準14項、團體標準37項；現行580項、在研102項、擬制定27項。按照標準類型分基礎標準41項，方法標準267項，安全、衛生、環保標準3項，產品過程服務標準398項。應用軟件安全領域標準統計表如表1所示。

2.1.2在研標準情況

本體系共收集到14家歸口單位的在研標準計劃102項，涉及信息安全管理、風險評估、智慧城市、工業控制、食品安全追溯體系等內容，在研標準情況統計表如表2所示。

2.1.3擬制定標準情況

本體系共提出擬制定地方標準及國家標準27項，具體涵蓋產品認證、智能終端、電子政務、交通運輸、智慧城市等領域。

2.2現行國際標準和國外先進標準現狀

本體系共包含應用軟件安全相關國際標準和國外先進標準219項，其中國際標準175項，國外先進標準44項。現行國際標準和國外先進標準統計表如表3所示。

2.3國內標準化技術組織現狀

本體系包含的709項標準主要歸口在全國信息安全標準化技術委員會（SAC/TC260）（349項），公安部信息系統安全標準化技術委員會（111項），全國信息技術標準化技術委員會（SAC/TC28）（20項）。該三個標準化技術委員會（480項）歸口的標準占本標準體系總量的67.7%。

2.4國際標準化技術組織現狀

本體系共包含應用軟件安全相關國際標準和國外先進標準219項，其中國際標準175項，國外先進標準44項。國際標準主要歸口在ISO/IECJTC1/SC27。175項國際標準中，等同采用23項，修改采用5項。JTC1/SC27由ISO、IEC聯合成立，秘書處由ANSI（美國國家標準學會）承擔，負責通用信息技術安全標準的制定。國內對口組織為全國信息安全標準化技術委員會（TC260）。JTC1/SC27已發布的國際標準有142項。

2.5江蘇省內應用軟件安全領域企業標準抽樣調研

本項目調研了2020年1月7日前在企業標準信息公共服務平臺上公開的前17家江蘇省內應用軟件安全領域企業自我公開的標準，其中8家制定了企業標準，9家采用了國家標準或行業標準。經研究，8個企業標準的主要問題有缺少關鍵技術指標、檢測方法、關鍵崗位人員、災備要求等內容。其中，對應用軟件安全相關崗位人員要求、相關培訓及應用軟件運維災備要求缺失現象較為普遍。

3應用軟件安全標準體系

應用軟件安全標準體系共分四級：第一級分01-基礎、02-支撐環境、03-新技術應用、04-特定領域4個子體系：01-基礎子體系下分：01-01術語編碼文檔包括術語定義、分類編碼、文檔要求3個子體系共31項標準；01-02管理類包括組織、人員、項目3個子體系共51項標準。02-支撐環境子體系下分：02-01通用要求包括密碼技術、評估方法、其他3個子體系共226項標準；02-02硬件設備包括計算機、智能終端、外部設備3個子體系共43項標準；02-03網絡包括協議、防火墻、網關、路由器、交換機等8個子體系共55項標準；02-04操作系統包括5項標準；02-05物理環境包括1項標準。03-新技術應用子體系下分：03-01數據庫包括7項標準；03-02移動APP包括12項標準；03-03大數據包括3項標準；03-04云計算包括13項標準；03-05可信計算包括8項標準；03-06區塊鏈包括1項標準；03-07數據包括通用技術、公共信息、個人信息3個子體系共70項標準；03-08物聯網包括12項標準。04-特定領域子體系下分：04-01電子政務包括18項標準；04-02交通運輸包括32項標準；04-03電商/金融包括17項標準；04-04公安包括10項標準；04-05教育包括2項標準；04-06醫療衛生包括3項標準；04-07工業控制包括45項標準；04-08軍民融合包括4項標準；04-09電力包括11項標準；04-10農業包括5項標準；04-11智慧城市包括12項標準；04-12電信包括6項標準；04-13其他包括6項標準。詳細標準體系結構圖如圖1所示。

4應用軟件安全領域標準化工作建議

4.1密碼應用領域安全標準研制

《密碼法》的頒布實施，將全面提升密碼領域法制化水平，密碼領域標準作為《密碼法》實施的技術支撐，需求比較旺盛。隨著密碼應用進入新的階段，應用領域快速擴展，應用場景復雜多變，加之新技術、新應用、新業態的不斷涌現，多元化的密碼標準需求與密碼標準有效供給能力相對不足之間的矛盾凸顯。當前，密碼與量子技術、云計算、大數據、物聯網、人工智能、區塊鏈等新技術在快速的融合演進，而在這些領域我國的密碼行業標準仍基本處于缺標可循、無標可依的被動局面，這無疑制約和阻礙了密碼技術的應用，也不利于引導和規范密碼在新興領域正確、合規、有效的應用[3]。故急需開展密碼應用領域尤其是國產密碼領域標準研制，為密碼安全構筑標準防線。

4.2國際標準、國外先進標準采標工作

本體系包含的219項國際標準、國外先進標準中，已等同采用、修改采用28項，采標率12.79%。且研究發現，國內采標標準更新速度遠低于國際標準研發速度，許多新技術領域標準未采標或采標周期過長，導致部分引用標準已廢止。未來需加強國際標準、國外先進標準采標工作，保持應用軟件安全領域關鍵技術標準的先進性。

4.3安全服務領域標準及體系研究

2021年下半年先后實施的《數據安全法》和《個人信息保護法》明確了數據安全、信息安全領域檢測、評估、認證的要求?！稊祿踩ā返谑藯l規定：國家促進數據安全檢測評估、認證等服務的發展，支持數據安全檢測評估、認證等專業機構依法開展服務活動；《個人信息保護法》第三十八條規定，個人信息處理者因業務等需要，確需向中華人民共和國境外提供個人信息的，應當具備下列條件之一：（一）依照本法第四十條的規定通過國家網信部門組織的安全評估；（二）按照國家網信部門的規定經專業機構進行個人信息保護認證等。應圍繞兩部法律落地需求，開展安全服務領域標準及相關體系研究，為安服行業健康、規范發展提供標準支撐。

4.4信息安全領域從業人員認證標準宣貫

經過對江蘇省內應用軟件安全領域企業標準抽樣調研，結合省內企業標準對信息安全領域從業人員資質要求的缺失情況，建議組織相關企業開展應用軟件安全領域通用標準、信息安全保障人員認證標準宣貫，提高企業對相關標準的認知，提升信息安全從業人員入職門檻，提高企業信息安全管理能力。

作者：榮鼎慧 單位：南京市產品質量監督檢驗院 國家軟件產品質量檢驗檢測中心