自主可控网络安全技术基于网络靶场的软件自主可控能力测试指南.docxVIP

ICS35.030CCSL80

团体标准

T/CIIPA00012—2024

自主可控网络安全技术基于网络靶场的软件自主可控能力测试指南

Autonomousandcontrollablecybersecuritytechnology—Guidelinefortestingtheautonomousandcontrollablecapabilitiesofsoftwarebasedoncyberrange

2025?06?09发布2025?06?11实施

中关村华安关键信息基础设施安全保护联盟中国标准出版社

发

发出

布版

Ⅱ

T/CIIPA00012—2024

目次

前言 Ⅲ

引言 Ⅳ

1范围 1

2规范性引用文件 1

3术语和定义 1

4缩略语 2

5概述 3

5.1软件自主可控能力测试范围 3

5.2软件自主可控能力管理粒度 3

5.3软件自主可控能力测试框架 3

5.4软件自主可控能力评估 4

5.5基于网络靶场的测试管理 4

6软件资产自主可控能力测评方法 4

6.1建立基础库 4

6.2资产信息初始化 5

6.3静态测试 5

6.4仿真测试 6

6.5实网测试 8

6.6漏洞处置优先级评定 10

6.7软件自主可控能力评定 11

附录A（资料性）资产库 13

附录B（资料性）组件库 14

附录C（资料性）漏洞库 15

参考文献 16

T/CIIPA00012—2024

1

自主可控网络安全技术基于网络靶场的软件自主可控能力测试指南

1范围

本文件描述了一套基于网络靶场对软件自主可控能力进行持续性测试的方法论，包括在软件生命周期各阶段进行静态测试、仿真测试、实网测试时，如何制定测试方案、搭建测试环境、执行测试任务和输出测试报告。

本文件适用于指导组织基于网络靶场开展软件资产自主可控能力测评工作，能供软件产品研制单位、使用单位、测评机构等相关方参考使用。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

GB/T20984—2022信息安全技术信息安全风险评估方法

GB/T25069—2022信息安全技术术语

T/CSAC001—2023网络靶场基于技战术模型的安全测评方法

T/ZISIA01—2024自主创新型网络安全技术框架

3术语和定义

GB/T25069—2022中界定的以及下列术语和定义适用于本文件。

3.1

自主可控autonomousandcontrollable

产品在核心技术、原材料和零部件、生产工艺等方面不依赖于外部国家或公司，能够自主研发、生产、运营，并符合安全可控标准和监管要求。

3.2

安全可控controllabilityforsecurity

信息技术产品具备的保证其应用方的数据支配权、产品控制权、产品选择权等不受损害的属性。[来源：GB/T36630.1—2018，3.2]

3.3

软件资产softwareasset

对组织有价值的软件资源，是自主可控测试的对象。

3.4

测试要素testelement

与测试活动相关的各种要素，包括但不限于测试目标、测试计划、测试人员、测试环境、测试方案、测试用例、测试工具和缺陷漏洞管理等。

2

T/CIIPA00012—2024

3.5

软件成分分析softwarecompositionanalysis；SCA

用于识别、分析和追踪二进制软件的组成部分的技术。

注：SCA的目标是识别和清点开源软件的组件及其构成和依赖关系，并精准识别系统中存在的已知安全漏洞或潜在的许可证授权问题。

3.6

代码安全审计codesecurityaudit

对代码进行安全分析，以发现代码安全