網(wǎng)絡(luò)安全產(chǎn)品能力評價體系6YD/TxxxX.1-xxxX安全產(chǎn)品質(zhì)量可由若干個特性組成，包括：b)性能效率：g)可維護(hù)性：每個特性由一組相關(guān)子特性組成。5.1安全產(chǎn)品成熟度評價安全產(chǎn)品成熟度是技術(shù)相對于某個產(chǎn)品或平臺所處的發(fā)展?fàn)顟B(tài)，其客觀、量化地反映了技術(shù)對于產(chǎn)品預(yù)期目標(biāo)的滿足程度。安全產(chǎn)品成熟度等級是一種基于技術(shù)發(fā)展成熟規(guī)律，采用標(biāo)準(zhǔn)化等級對技術(shù)就緒水平進(jìn)行評測的系統(tǒng)化過程和程序。對安全產(chǎn)品技術(shù)成熟度等級的定義是后續(xù)進(jìn)行安全產(chǎn)品能力評價的前提。安全產(chǎn)品成熟度等級度量和評測特定產(chǎn)品成熟程度的標(biāo)準(zhǔn)和尺度，被劃分為5個級別，即五個產(chǎn)品研發(fā)階段：概念產(chǎn)品、實驗室產(chǎn)品、工程化產(chǎn)品、定制化產(chǎn)品和市場化產(chǎn)品。其中1級最低，5級最高，如表1所示。表1安全產(chǎn)品成熟度等級表5.2.1通用部分通用部分是安全產(chǎn)品的質(zhì)量特性，適用于所有安全產(chǎn)品評價。包括功能性、性能效率、兼容性、易用性、可靠性、安全性和可維護(hù)性。5.2.1.1功能性功能性包括安全產(chǎn)品的功能完備性、功能正確性、功能適合性和功能的依從性a)功能完備性：指功能集對指定的任務(wù)或用戶目標(biāo)的覆蓋程度：b)功能正確性：指安全產(chǎn)品提供具有所需精度的正確結(jié)果的程度c)功能適合性：指功能促使指定的任務(wù)和目標(biāo)實現(xiàn)的程度：d)功能的遵從性：指安全產(chǎn)品遵循與功能性相關(guān)的標(biāo)準(zhǔn)、約定或法規(guī)以及類似規(guī)定的程度。5.2.1.2性能效率性能效率包括安全產(chǎn)品的時間特性、資源利用性、容量、性能效率的依從性。a)時間特性：指安全產(chǎn)品執(zhí)行其功能時，其響應(yīng)時間、處理時間及吞吐率滿足需求的程度：b)資源利用性：指安全產(chǎn)品執(zhí)行其功能時，所使用資源數(shù)量和類型滿足需求的程度：c)容量：指安全產(chǎn)品參數(shù)的最大限量滿足需求的程度：7YD/TxxxX.1-xxxXd)性能效率的遵從性：指安全產(chǎn)品遵循與性能效率相關(guān)的標(biāo)準(zhǔn)、約定或法規(guī)以及類似規(guī)定的程兼容性包括安全產(chǎn)品的共存性、互操作性和兼容性的依從性a)共存性：指在與其他安全產(chǎn)品共享通用環(huán)境和資源的條件下，安全產(chǎn)品能夠有效執(zhí)行其所需的功能并且不會對其他安全產(chǎn)品造成負(fù)面影響的程度：b)互操作性：指兩個或多個系統(tǒng)、產(chǎn)品或組件能夠交換信息并使用已交換的信息的程度c)兼容性的遵從性：指安全產(chǎn)品遵循與兼容性相關(guān)的標(biāo)準(zhǔn)、約定或法規(guī)以及類似規(guī)定的程度。易用性包括安全產(chǎn)品的可辨識性、易學(xué)性、易操作性、用戶差錯防御性、用戶界面便利性、易訪問性和易用性的依從性。a)可辨識性：指用戶能夠辨識安全產(chǎn)品是否適合他們的要求的程度：b)易學(xué)性：在指定使用環(huán)境中，安全產(chǎn)品在有效性、效率、抗風(fēng)險和滿意度特性方面，為了學(xué)習(xí)使用該產(chǎn)品或系統(tǒng)這一指定目標(biāo)?？蔀橹付ㄓ脩羰褂玫某潭龋篶)易操作性：指安全產(chǎn)品具有易于操作和控制的屬性的程度d)用戶差錯防御性：指安全產(chǎn)品預(yù)防用戶犯錯的程度：e)用戶界面便利性：指用戶界面簡單、提供令人愉悅和滿意易于的交互的程度：f)易訪問性：指在指定使用環(huán)境中，為了達(dá)到指定的目標(biāo)，安全產(chǎn)品被具有最廣泛的特征和能力的個體所使用的程度8)易用性的遵從性：指安全產(chǎn)品道循與易用性相關(guān)的標(biāo)準(zhǔn)、約定或法規(guī)以及類似規(guī)定的程度?？煽啃园ò踩a(chǎn)品的成熟性、可用性、容錯性、易恢復(fù)性和可靠性的依從性。a)成熟性：指系統(tǒng)、安全產(chǎn)品或組件在正常運營時滿足的可靠性要求的程度；b)可用性：指系統(tǒng)、安全產(chǎn)品或組件在需要使用時能夠進(jìn)行操作和訪問的程度；c)容錯性：指當(dāng)存在硬件或軟件故障時，系統(tǒng)、安全產(chǎn)品或組件的運行符合預(yù)期的程度；d)易恢復(fù)性：指發(fā)生中斷或失效時，安全產(chǎn)品能夠恢復(fù)直接受影響的數(shù)據(jù)并重建期望的系統(tǒng)狀態(tài)的程度；e)可靠性的遵從性：指安全產(chǎn)品道循與可靠性相關(guān)的標(biāo)準(zhǔn)、約定或法規(guī)以及類似規(guī)定的程度。安全性保密性、完整性、抗抵賴性、可核查性、真實性和安全性的依從性a)保密性：指安全產(chǎn)品確保數(shù)據(jù)只有在被授權(quán)時才能被訪問的程度；b)完整性：指系統(tǒng)、安全產(chǎn)品或組件防止未授權(quán)訪問、篡改計算機程序或數(shù)據(jù)的程度；c)抗抵賴性：指活動或事件發(fā)生后可以被證實且不可被否認(rèn)的程度d)可核查性：指實體的活動可以被唯一地追溯到該實體的程度：e)真實性：指對象或資源的身份標(biāo)識能夠被證實符合其聲明的程度：f)安全性的遵從性：指安全產(chǎn)品遵循與安全性相關(guān)的標(biāo)準(zhǔn)、約定或法規(guī)以及類似規(guī)定的程度。5.2.1.7可維護(hù)性8YD/TXXXX.1-xxXX可維護(hù)性包括安全產(chǎn)品的模塊化、可重復(fù)性、易分析性、易修改性、易測試性和可維護(hù)性的依從a)模塊化：指由多個獨立組件組成的系統(tǒng)或計算機程序，其中一個組件變更對其他組件的影響最小的程度：b)可復(fù)用性：指資產(chǎn)能夠被用于多個系統(tǒng)，或其他資產(chǎn)建設(shè)的程度：c)易分析性：指可以評價預(yù)期變更(變更產(chǎn)品或系統(tǒng)的一個或多個部分)對安全產(chǎn)品的影響診斷產(chǎn)品的缺陷或失效原因、識別待修改部分的有效性和效率的程度。易分析性可以實現(xiàn)包括為安全產(chǎn)品提供機制，以分析其自身故障以及在失效或其他事件前提供報告：d)易修改性：指安全產(chǎn)品可以被有效地、高效地修改，且不會引入缺陷或降低現(xiàn)有產(chǎn)品質(zhì)量的程度。其實現(xiàn)包括編碼、設(shè)計、文檔和驗證的變更。模塊化和易分析性會影響到易修改性：e)易測試性：指能夠為系統(tǒng)、安全產(chǎn)品或組件建立測試準(zhǔn)則，并通過測試執(zhí)行來確定測試準(zhǔn)則是否被滿足的有效性和效率的程度：f)可維護(hù)性的遵從性：指安全產(chǎn)品遵循與可維護(hù)性相關(guān)的標(biāo)準(zhǔn)、約定或法規(guī)以及類似規(guī)定的程5.2.2關(guān)鍵部分關(guān)鍵部分是安全產(chǎn)品的核心能力，包括發(fā)現(xiàn)能力、防護(hù)能力、分析能力、接口能力和管理能力。這些能力需根據(jù)具體安全產(chǎn)品評價方法匹配對應(yīng)能力要求。5.2.2.1發(fā)現(xiàn)能力發(fā)現(xiàn)能力指安全產(chǎn)品對網(wǎng)絡(luò)安全對象的識別和檢測全面性和準(zhǔn)確性等，識別檢測通常采用數(shù)據(jù)主動爬取或者流量采集還原的方式實現(xiàn)。網(wǎng)絡(luò)安全對象包括網(wǎng)絡(luò)空間資產(chǎn)、漏洞、惡意程序、攻擊行為等。識別檢測能力適用于對核心功能為識別和檢測類產(chǎn)品的能力檢驗防護(hù)能力指安全產(chǎn)品對各類網(wǎng)絡(luò)攻擊成功阻斷的功能、性能效率和準(zhǔn)確率等產(chǎn)品能力。5.2.2.3分析能力分析能力指安全產(chǎn)品對數(shù)據(jù)分析能力的先進(jìn)性、效率、準(zhǔn)確性等。包含通過流量采集還原的數(shù)據(jù)或主動爬取的數(shù)據(jù)的安全分析能力等5.2.2.4接口能力接口能力指安全產(chǎn)品和除自身之外的模塊、組件、系統(tǒng)、產(chǎn)品或平臺的數(shù)據(jù)互聯(lián)互通能力。包含但不限于XML、RPC、Restful、websocket等。5.2.2.5管理能力管理能力指安全產(chǎn)品對自身管理功能的完善程度。包括用戶管理、存儲管理、安全管理、配置管理、故障分析等。9YD/TxxxX.1-xxxX[1]GB/T22900-2009科學(xué)技術(shù)研究項目評價[2]GB/T25000.51-2016系統(tǒng)與軟件工程系統(tǒng)與軟件質(zhì)量要求和評價(SQuaRE)第51部分：就緒可用軟件產(chǎn)品(RUSP)的質(zhì)量要求和測試細(xì)則[3]GB