11月1日起,《网络安全技术 信息技术安全评估准则》等13项网络安全国家标准开始实施,将为引领网络安全产业高质量发展,增强广大人民群众的获得感、幸福感和安全感提供标准支撑。
《网络安全技术 软件供应链安全要求》(GB/T 43698—2024)《网络安全技术 软件产品开源代码安全评价方法》(GB/T 43848—2024)《网络安全技术 网络安全众测服务要求》(GB/T 43741—2024)
上述3项推荐性国家标准,分别确立了软件供应链安全目标,规定了软件供应链安全风险管理要求和供需双方的组织管理和供应活动管理安全要求,描述了网络安全众测服务的角色以及职责、服务流程、安全风险、服务要求,规定了软件产品中的开源代码成分安全评价要素和评价流程,对软件供应链中的供需双方开展风险管理、组织管理和供应活动管理具有引领和促进作用,将为网络安全众测服务活动提供帮助指导,助力各方对软件产品包含的开源代码成分进行静态安全评价。
《网络安全技术 信息技术安全评估准则 第1部分:简介和一般模型》(GB/T 18336.1—2024) 《网络安全技术 信息技术安全评估准则 第2部分:安全功能组件》(GB/T 18336.2—2024)《网络安全技术 信息技术安全评估准则 第3部分:安全保障组件》(GB/T 18336.3—2024)《网络安全技术 信息技术安全评估准则 第4部分:评估方法和活动的规范框架》(GB/T 18336.4—2024)《网络安全技术 信息技术安全评估准则 第5部分:预定义的安全要求包》(GB/T 18336.5—2024)《网络安全技术 信息技术安全评估方法》(GB/T 30270—2024)
上述6项推荐性国家标准,是对软件、硬件、固件形式的IT产品及其组合进行安全测评的基础标准,为产品消费者、开发者、评估者提供了基本的安全功能和保障组件,内容吸纳了国际网络安全评估领域模块化评估、多重保障评估、供应链分析等最新理念,将为我国具有安全功能IT产品的开发、评估以及采购过程提供指导。
《网络安全技术 无线局域网客户端安全技术要求》(GB/T 33563—2024)《网络安全技术 无线局域网接入系统安全技术要求》(GB/T 33565—2024)
上述两项推荐性国家标准,规定了无线局域网客户端与接入系统的安全功能要求和安全保障要求,给出了无线局域网客户端与接入系统面临安全问题的说明,能够为无线局域网客户端产品与接入系统的测试、研制和开发提供指导。
《网络安全技术 零信任参考体系架构》(GB/T 43696—2024)《网络安全技术 证书应用综合服务接口规范》(GB/T 43694—2024)
上述两项推荐性国家标准,分别规定了零信任参考体系架构以及面向证书应用的综合服务接口要求和相应验证方法,对于采用零信任体系框架的信息系统的规划、设计,公钥密码基础设施应用技术体系下证书应用中间件和证书应用系统的开发,以及密码应用支撑平台的研制和检测具有重要意义。《网络安全技术 软件供应链安全要求》(GB/T 43698—2024)的主要内容包括:1. 安全要求概述:介绍了软件供应链安全的基本概念和重要性,强调了从设计、编码、测试到部署、维护和最终废弃的整个生命周期中的安全管理。2. 风险管理:涉及如何识别、评估和管理软件供应链中的安全风险,以保障软件的安全性和可靠性。3. 安全控制措施:提出了一系列安全控制措施,以保护软件供应链的安全,包括组织管理和技术防护两个层面。4. 安全审计和监控:介绍了如何通过审计和监控来确保软件供应链的持续安全。5. 应急响应和事件处理:提供了应急响应计划和事件处理流程,以应对安全事件。6.合规性和法规遵循:指导如何确保软件供应链符合相关法律法规的要求。7. 组织管理层面:包括软件供应链管理制度、组织机构、人员管理等,明确了负责指导和协调组织相关部门的供应链安全管理工作的供应链安全管理部门并定义软件供应链安全管理职责。8. 技术防护层面:针对软件供应链的开发、交付、使用等重要环节中所涉及的相关实体和要素及其存在的安全风险,提出相关安全要求。这包括需求设计、编码实现、开源代码使用、第三方组件使用、外包开发、定制化开发、许可证、集成商、自测、第三方测试评估等方面规范开发流程。9. 交付环节安全要求:根据不同类型软件的交付流程,从交付渠道和方式、交付流程、相关资质评估等方面提出安全要求。10. 使用环节安全要求:从软件使用、升级、维护、应急响应、供应能力、使用环节测试评估等方面提出安全要求。该标准为软件供应链安全管理提供了全面的指导,旨在提升软件供应链的安全性和可靠性,保护企业和用户的网络安全。
《网络安全技术 软件产品开源代码安全评价方法》(GB/T 43848—2024)的主要内容包括:1. 评价目标:旨在通过评价软件产品中开源代码的编码语言、贡献量、丰富度等情况,掌握开源代码来源,降低供应中断风险,保障软件产品包含的开源代码部分使用过程中能够持续使用开源代码。2. 评价指标体系:从开源代码来源、开源代码质量、开源代码知识产权、开源代码管理能力四个维度设置安全评价指标体系。3. 评价要素:包括开源代码来源、开源代码安全质量、开源代码知识产权和开源代码管理四个方面。4. 代码来源评价:考察开源组件可控比例、开源代码数量、编码语言、开源代码所属国家及所属组织、代码体积占比、境内代码维护者数量和代码贡献者比例、开源代码丰富度、项目托管地址、项目下载地址等,以达到可信度安全原则。5. 代码质量评价:主要通过考察漏洞数量、漏洞严重性、漏洞影响范围、漏洞攻击复杂性、新版本更新时间等,以达到安全性可控原则。6. 知识产权评价:考察许可证种类、许可证传染型、许可证兼容性、许可证商标权、专利权授予等,以达到符合性安全原则。7. 产品成熟度评价:考察总体架构设计、代码设计、代码生成、项目管理和研制团队背景等,以达到可信度、符合性和稳定性安全原则。8. 评价流程:详细描述了开源代码来源评价流程、开源代码安全质量评价流程、开源代码知识产权评价流程和开源代码管理评价流程。9. 安全风险:附录中提供了开源代码安全风险的资料性说明,包括网络安全风险、知识产权风险和持续性风险。参与者、组织者、需求方,可能需要仔细研读,《网络安全技术 网络安全众测服务要求》(GB/T 43741-2024)的主要内容包括:1. 定义和服务流程:确立了网络安全众测服务的定义,包括众测服务、众测服务平台、众测需求方、众测组织方、授权测试方和众测审计方等,并描述了服务流程。2. 安全风险:识别了网络安全众测服务可能存在的安全风险,包括授权测试方行为不可控的风险、系统正常运行受到影响的风险以及敏感信息泄露的风险。3. 角色及职责:明确了网络安全众测服务各相关方的职责,包括众测需求方、众测组织方、授权测试方和众测审计方,以及他们在众测项目实施过程中的交互关系。4. 服务要求:规定了在网络安全众测服务的准备阶段、实施阶段、后处理阶段各相关方应遵循的要求。后处理阶段包括交付安全众测报告及安全审计报告,其中安全众测报告内容包括安全测试对象、测试时间、测试人员、测试对象整体安全情况分析、漏洞分布及分析、漏洞信息、漏洞修复建议、安全防护建议等;安全审计报告内容包括测试范围、测试时间、测试人员、审计内容及审计结果等。5. 平台安全要求:包括用户数据隔离要求、数据库加固要求、身份鉴别要求、访问控制要求等。6. 平台功能参考:提供了网络安全众测服务平台功能参考。7. 授权测试方行为准则:规范了授权测试方的行为,包括提供真实有效的身份信息、不泄露敏感信息、严格按照项目规定的测试时间进行测试等。该标准为网络安全众测服务提供了标准化的指导,有助于规范众测服务的开展,降低安全风险,并促进产业的健康发展。
转自|大信创圈
编辑|周沁怡
审核|周沁怡
责编|文玥
长沙市国链安全可靠计算机产业促进中心
联系电话:18673117341