ICS35.030CCSL80團體標準T/CIIPA00012—2024自主可控網(wǎng)絡(luò)安全技術(shù)基于網(wǎng)絡(luò)靶場的軟件自主可控能力測試指南Autonomousandcontrollablecybersecuritytechnology—Guidelinefortestingtheautonomousandcontrollablecapabilitiesofsoftwarebasedoncyberrange2025-06-09發(fā)布2025-06-11實施中關(guān)村華安關(guān)鍵信息基礎(chǔ)設(shè)施安全保護聯(lián)盟發(fā)發(fā)出布版ⅡT/CIIPA00012—2024前言 Ⅲ引言 Ⅳ 12規(guī)范性引用文件 13術(shù)語和定義 14縮略語 2 35.1軟件自主可控能力測試范圍 35.2軟件自主可控能力管理粒度 35.3軟件自主可控能力測試框架 35.4軟件自主可控能力評估 45.5基于網(wǎng)絡(luò)靶場的測試管理 46軟件資產(chǎn)自主可控能力測評方法 46.1建立基礎(chǔ)庫 46.2資產(chǎn)信息初始化 56.3靜態(tài)測試 56.4仿真測試 66.5實網(wǎng)測試 86.6漏洞處置優(yōu)先級評定 106.7軟件自主可控能力評定 11附錄A（資料性）資產(chǎn)庫 附錄B（資料性）組件庫 附錄C（資料性）漏洞庫 參考文獻 ⅢT/CIIPA00012—2024本文件按照GB/T1.1—2020《標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由中關(guān)村華安關(guān)鍵信息基礎(chǔ)設(shè)施安全保護聯(lián)盟提出并歸口。本文件起草單位：奇安信科技集團股份有限公司、軟極網(wǎng)絡(luò)技術(shù)（北京）有限公司、中國工業(yè)互聯(lián)網(wǎng)研究院、可信華泰科技有限公司、北京大學(xué)、長沙市軌道交通運營有限公司、北京市科學(xué)技術(shù)研究院、中國移動通信集團有限公司、韶關(guān)學(xué)院、中共揚州市委網(wǎng)絡(luò)安全和信息化委員會辦公室、揚州市大數(shù)據(jù)管理中心、北京柏睿數(shù)據(jù)技術(shù)股份有限公司、浙江腦動極光醫(yī)療科技有限公司。ⅣT/CIIPA00012—2024引言軟件產(chǎn)品自主可控能夠有效規(guī)避停服斷供或安插后門等安全隱患，對于確保國家在關(guān)鍵領(lǐng)域的獨立性和安全性意義重大。加強對軟件自主可控能力的測試管理，掌握當前的實際水平和潛在風(fēng)險，是提升自主可控能力必不可少的措施。制定本團體標準，旨在規(guī)范軟件研制單位、使用單位、測評機構(gòu)的測試行為，提升其測試管理能力，確保軟件自主可控能力的穩(wěn)步提升。本文件圍繞軟件自主可控能力測試方法進行深入剖析，主要包括兩大部分，一是軟件自主可控能力測試的管理框架，包括測試范圍、管理粒度、測試框架以及如何基于網(wǎng)絡(luò)靶場對測試過程和測試結(jié)果進行閉環(huán)管理。二是基于網(wǎng)絡(luò)靶場開展軟件自主可控能力測試的具體方法，首先要建立資產(chǎn)庫、組件庫、漏洞庫等基礎(chǔ)庫，對軟件資產(chǎn)信息進行初始化，然后結(jié)合軟件生命周期階段和安全管理需求開展靜態(tài)測試、仿真測試和實網(wǎng)測試，對每種測試方法從制定測試方案、搭建測試環(huán)境、執(zhí)行測試任務(wù)到輸出測試報告給予詳細的指導(dǎo)，根據(jù)測試結(jié)果評定漏洞處置優(yōu)先級，并對軟件自主可控能力進行判定。本文件旨在幫助軟件研制單位、使用單位、測評機構(gòu)提升軟件自主可控能力測試過程的科學(xué)性和嚴謹性，加強測試結(jié)果的連續(xù)性管理，進而提升對軟件產(chǎn)品的技術(shù)掌控能力、持續(xù)交付能力和漏洞管理能力，為數(shù)字經(jīng)濟的健康發(fā)展提供有力支撐。1T/CIIPA00012—2024自主可控網(wǎng)絡(luò)安全技術(shù)基于網(wǎng)絡(luò)靶場的軟件自主可控能力測試指南本文件描述了一套基于網(wǎng)絡(luò)靶場對軟件自主可控能力進行持續(xù)性測試的方法論，包括在軟件生命周期各階段進行靜態(tài)測試、仿真測試、實網(wǎng)測試時，如何制定測試方案、搭建測試環(huán)境、執(zhí)行測試任務(wù)和輸出測試報告。本文件適用于指導(dǎo)組織基于網(wǎng)絡(luò)靶場開展軟件資產(chǎn)自主可控能力測評工作，能供軟件產(chǎn)品研制單位、使用單位、測評機構(gòu)等相關(guān)方參考使用。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T20984—2022信息安全技術(shù)信息安全風(fēng)險評估方法GB/T25069—2022信息安全技術(shù)術(shù)語T/CSAC001—2023網(wǎng)絡(luò)靶場基于技戰(zhàn)術(shù)模型的安全測評方法T/ZISIA01—2024自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)框架3術(shù)語和定義GB/T25069—2022中界定的以及下列術(shù)語和定義適用于本文件。自主可控autonomousandcontrollable產(chǎn)品在核心技術(shù)、原材料和零部件、生產(chǎn)工藝等方面不依賴于外部國家或公司，能夠自主研發(fā)、生產(chǎn)、運營，并符合安全可控標準和監(jiān)管要求。安全可控controllabilityforsecurity信息技術(shù)產(chǎn)品具備的保證其應(yīng)用方的數(shù)據(jù)支配權(quán)、產(chǎn)品控制權(quán)、產(chǎn)品選擇權(quán)等不受損害的屬性。[來源：GB/T36630.1—2018，3.2]軟件資產(chǎn)softwareasset對組織有價值的軟件資源，是自主可控測試的對象。測試要素testelement與測試活動相關(guān)的各種要素，包括但不限于測試目標、測試計劃、測試人員、測試環(huán)境、測試方案、測試用例、測試工具和缺陷漏洞管理等。2T/CIIPA00012—2024軟件成分分析softwarecompositionanalysis；SCA用于識別、分析和追蹤二進制軟件的組成部分的技術(shù)。注：SCA的目標是識別和清點開源軟件的組件及其構(gòu)成和依賴關(guān)系，并精準識別系統(tǒng)中存在的已知安全漏洞或潛在的許可證授權(quán)問題。代碼安全審計codesecurityaudit對代碼進行安全分析，以發(fā)現(xiàn)代碼安全缺陷或違反代碼安全規(guī)范的動作。[來源：GB/T39412—2020，3.1.1]代碼自主率codeautonomyrate軟件代碼中自主可控成分所占百分比。開源許可證opensourcelicense一種具有法律效力的、允許用戶自由使用、修改、復(fù)制或分發(fā)軟件代碼的授權(quán)條款格式合同或協(xié)議。[來源：GB/T43848—2024，3.3]仿真測試simulationtest使用網(wǎng)絡(luò)靶場構(gòu)建仿真環(huán)境，以模擬實際運行情況檢測軟件資產(chǎn)的安全性是否符合預(yù)期。實網(wǎng)測試realnetworktest在實際運行網(wǎng)絡(luò)環(huán)境下對軟件資產(chǎn)進行安全性測試。安全眾測crowdsourcingsecuritytest組織非特定的自然人或組織，在審計及監(jiān)督下，對網(wǎng)絡(luò)產(chǎn)品和系統(tǒng)開展漏洞發(fā)現(xiàn)等安全測試的過程。網(wǎng)絡(luò)靶場cyberrange一種大型網(wǎng)絡(luò)仿真測試平臺。該平臺支持：為網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品提供定量與定性評估，為網(wǎng)絡(luò)安全培訓(xùn)和實驗提供安全可控的設(shè)施，為模擬真實的網(wǎng)絡(luò)攻防作戰(zhàn)提供虛擬環(huán)境。[來源：T/CSAC002—2023，3.1，有修改]4縮略語下列縮略語適用于本文件。SBOM：軟件物料清單（SoftwareBillofMaterials）CVE：通用漏洞披露（CommonVulnerabilities&Exposures）CWE：通用缺陷列表（CommonWeaknessEnumeration）CNVD：國家信息安全漏洞共享平臺（ChinaNationalVulnerabilityDatabase）CNNVD：國家信息安全漏洞庫（ChinaNationalVulnerabilityDatabaseofInformationSecurity）3T/CIIPA00012—20245概述5.1軟件自主可控能力測試范圍軟件自主可控能力測試包含對技術(shù)掌控能力、持續(xù)交付能力和網(wǎng)絡(luò)安全能力的測試評估：a）技術(shù)掌控能力考察軟件代碼自主率；b）持續(xù)交付能力考察開源及第三方組件許可證合規(guī)性；c）網(wǎng)絡(luò)安全能力考察代碼缺陷、組件漏洞、資產(chǎn)漏洞及其他潛在的網(wǎng)絡(luò)安全風(fēng)險應(yīng)對能力。5.2軟件自主可控能力管理粒度軟件資產(chǎn)自主可控能力管理的粒度宜達到組件級，并明確處理組件間的依賴關(guān)系和交互。要求軟件資產(chǎn)具備完整的SBOM，能夠清晰反映軟件的構(gòu)成及每個組件的情況，以實現(xiàn)自主可控能力評價和風(fēng)險管理。5.3軟件自主可控能力測試框架軟件自主可控能力測試宜持續(xù)開展，貫穿軟件的開發(fā)階段、測試階段和運營階段。測試類型包括靜態(tài)測試、仿真測試和實網(wǎng)測試。靜態(tài)測試指在非運行環(huán)境下對軟件源代碼或二進制代碼進行檢測，包括成分分析和安全測試；仿真測試指在仿真運行環(huán)境下對運行態(tài)程序進行安全測試；實網(wǎng)測試指在實際網(wǎng)絡(luò)環(huán)境下對運行態(tài)程序進行安全測試。靜態(tài)測試結(jié)果包括代碼來源、開源許可證有效性、組件級的代碼缺陷和漏洞；仿真測試和實網(wǎng)測試的結(jié)果是軟件資產(chǎn)的安全漏洞。測試方法主要包括SCA，代碼安全審計，漏洞掃描，模糊測試、滲透測試和安全眾測等。在軟件生命周期的各階段可采用的測試類型和測試方法如表1所示。表1軟件生命周期各階段可采用的測試類型和測試方法生命周期階段開發(fā)階段測試階段運營階段測試類型靜態(tài)測試靜態(tài)測試/仿真測試仿真測試/實網(wǎng)測試測試方法SCA、代碼安全審計等糊測試、滲透測試等漏洞掃描、滲透測試、安全眾測等在軟件生命周期中，各種測試均非一次性過程。在開發(fā)和測試階段，測試活動宜迭代進行，直至達到自主可控能力基線要求；在運營階段，可根據(jù)信息系統(tǒng)的安全等級要求進行周期性測試，此外當發(fā)生包括但不限于以下情況時，宜進行迭代測試：a）軟件升級；b）與軟件資產(chǎn)相關(guān)的漏洞庫重大更新；c）出現(xiàn)以軟件資產(chǎn)類型或所處行業(yè)為目標的新型攻擊手段。軟件自主可控能力測試框架如圖1。4T/CIIPA00012—2024圖1軟件自主可控能力測試框架5.4軟件自主可控能力評估根據(jù)測試任務(wù)反饋的結(jié)果，采用定性評價、定量評價相結(jié)合的方法，評定漏洞處置優(yōu)先級和軟件自主可控能力等級，輸出完整的測試評估報告，并為應(yīng)對網(wǎng)絡(luò)安全風(fēng)險、提升軟件自主可控能力制定短期計劃和長期策略。5.5基于網(wǎng)絡(luò)靶場的測試管理宜根據(jù)T/ZISIA01—2024的要求，基于網(wǎng)絡(luò)靶場對軟件資產(chǎn)自主可控能力的測試過程和測試結(jié)果進行閉環(huán)管理，包括但不限于以下內(nèi)容。a）對測試過程進行監(jiān)控和記錄，能夠查詢復(fù)現(xiàn)測試環(huán)境、測試工具、測試人員動作、測試用例反饋等，支持審計回溯，從而保障測試過程的規(guī)范性，防范被測對象的機密性和完整性受損、隱瞞和不當利用測試發(fā)現(xiàn)的漏洞等情況。b）對測試結(jié)果進行關(guān)聯(lián)性管理，靜態(tài)測試、仿真測試和實網(wǎng)測試發(fā)現(xiàn)的安全漏洞通過軟件資產(chǎn)的SBOM相互關(guān)聯(lián)；對于組件級的風(fēng)險，對其他采用相同組件的軟件提示風(fēng)險。c）對測試結(jié)果進行連續(xù)性管理，包括風(fēng)險被發(fā)現(xiàn)的時間和方式、當前狀態(tài)、修復(fù)情況、跟蹤措施6軟件資產(chǎn)自主可控能力測評方法6.1建立基礎(chǔ)庫自主可控能力測試涉及多種測試要素，包括測試對象、測試任務(wù)、測試環(huán)境、測試資源、測試人員、測試結(jié)果等。為實現(xiàn)軟件資產(chǎn)自主可控能力測試的閉環(huán)管理，需基于網(wǎng)絡(luò)靶場平臺建立基礎(chǔ)庫對各測試要素進行管理，并形成以資產(chǎn)為核心的測試要素關(guān)聯(lián)關(guān)系，如圖2所示。5T/CIIPA00012—2024圖2以資產(chǎn)為核心的測試要素關(guān)聯(lián)關(guān)系基礎(chǔ)庫包括資產(chǎn)庫、組件庫、漏洞庫等，各基礎(chǔ)庫的構(gòu)成參見附錄A、附錄B和附錄C。網(wǎng)絡(luò)靶場需支持對基礎(chǔ)庫、各測試要素及其關(guān)聯(lián)關(guān)系的管理。6.2資產(chǎn)信息初始化初始化過程指將供應(yīng)商提供的、未經(jīng)測試驗證的軟件資產(chǎn)原始信息錄入資產(chǎn)庫和SBOM，包括：a）軟件資產(chǎn)的基礎(chǔ)數(shù)據(jù)、組件關(guān)聯(lián)信息和運行環(huán)境數(shù)據(jù)；b）資產(chǎn)組件的基礎(chǔ)信息、資產(chǎn)關(guān)聯(lián)信息和開源許可證信息。6.3靜態(tài)測試靜態(tài)測試包括SCA和代碼安全審計。SCA分析的對象可以是源代碼也可以是經(jīng)過編譯的二進制文件，分析目標是精確識別構(gòu)成軟件資產(chǎn)的組件，并進一步識別組件的來源、依賴關(guān)系、開源許可證及已知的缺陷和漏洞信息。代碼安全審計的對象是軟件的源代碼，測試目標是檢測代碼質(zhì)量，發(fā)現(xiàn)代碼存在的缺陷、漏洞等。6.3.2制定測試方案根據(jù)資產(chǎn)類型和測試目標確定檢測項列表，并選擇相應(yīng)的測試工具。在靜態(tài)測試的工具選擇上，遵循如下原則：a）根據(jù)源代碼所采用的編程語言，選取恰當?shù)臏y試工具；b）結(jié)合所需的集成開發(fā)環(huán)境，選取恰當?shù)臏y試工具；c）測試工具需能夠被網(wǎng)絡(luò)靶場管理和調(diào)用的接口，接收靶場下達的任務(wù)指令，并向靶場的數(shù)據(jù)采集接口實時傳輸測試過程數(shù)據(jù)；d）基于有利于全面發(fā)現(xiàn)代碼缺陷和漏洞的原則，可采用多種測試工具和測試方法進行測試。6.3.3搭建測試環(huán)境在網(wǎng)絡(luò)靶場上搭建測試環(huán)境。關(guān)鍵步驟包括：a）虛擬節(jié)點管理和軟件預(yù)裝，構(gòu)建測試工具的運行環(huán)境，并進行參數(shù)配置；b）配置測試流程及測試工具調(diào)用；c）配置數(shù)據(jù)采集策略。6T/CIIPA00012—20246.3.4執(zhí)行測試任務(wù)測試人員按照事前擬定的測試方案執(zhí)行測試任務(wù)。在測試執(zhí)行過程中，通過網(wǎng)絡(luò)靶場采集測試過程產(chǎn)生的相關(guān)數(shù)據(jù)，并記錄測試結(jié)果，包括代碼缺6.3.5輸出測試報告6.3.5.1軟件成分分析（SCA）記錄組件識別的結(jié)果，驗證和更新SBOM信息。對于不具備原始組件信息的，可通過測試活動生成SBOM。將識別出的組件與公共組件庫進行對比，獲得以下結(jié)果：a）獲取組件的來源信息，包括供應(yīng)商信息和深度依賴關(guān)系，判斷組件是否自主可控；b）獲取組件的許可證信息，判斷是否存在知識產(chǎn)權(quán)風(fēng)險；c）發(fā)現(xiàn)組件中存在的已知漏洞，對于已具有修復(fù)方案進行修復(fù)，對尚無修復(fù)方案的，制定應(yīng)對策略對潛在的風(fēng)險進行管控。6.3.5.2代碼安全審計記錄代碼安全審計的結(jié)果，將發(fā)現(xiàn)的代碼缺陷、安全漏洞、修復(fù)情況等記入漏洞庫。6.3.5.3結(jié)果判定綜合所有組件的來源信息、許可證情況、缺陷和漏洞信息，依據(jù)事先制定的評價規(guī)則對技術(shù)掌控能力、持續(xù)交付能力和網(wǎng)絡(luò)安全能力進行評價。對于存在的停服斷供風(fēng)險、網(wǎng)絡(luò)安全風(fēng)險宜制定短期和長期的應(yīng)對策略。6.4仿真測試仿真測試的對象是運行態(tài)程序。仿真測試目標是在軟件上線前通過在仿真環(huán)境下進行安全測試，提前發(fā)現(xiàn)和修復(fù)在靜態(tài)測試中難以發(fā)現(xiàn)的漏洞和潛在風(fēng)險。仿真測試采用的方式包括但不限于漏洞掃描、模糊測試和滲透測試。6.4.2制定測試方案根據(jù)被測對象和測試目標構(gòu)建指標樹，選定測試方式，并選擇恰當?shù)臏y試用例、攻擊技戰(zhàn)術(shù)及測試工具。在進行漏洞掃描時，遵循如下原則：a）結(jié)合被測對象的類型、已知的漏洞信息，選取恰當?shù)穆┒磼呙韫ぞ?；b）結(jié)合歷史測試數(shù)據(jù)，針對發(fā)現(xiàn)過的漏洞進行復(fù)測；c）選取恰當?shù)臏y試用例和漏洞掃描工具；d）測試工具需能夠被網(wǎng)絡(luò)靶場管理和調(diào)用的接口，接收靶場下達的任務(wù)指令，并向靶場的數(shù)據(jù)采集接口實時傳輸測試過程數(shù)據(jù)。在進行模糊測試時，遵循如下原則：a）測試工具能夠自動生成隨機的程序輸入；7T/CIIPA00012—2024b）測試工具能夠檢測程序的反饋；c）測試工具需能夠被網(wǎng)絡(luò)靶場管理和調(diào)用的接口，接收靶場下達的任務(wù)指令，并向靶場的數(shù)據(jù)采集接口實時傳輸測試過程數(shù)據(jù)。在進行滲透測試時，遵循如下原則：a）結(jié)合被測對象的類型、已發(fā)生的攻擊事件等信息，分析軟件/軟件組件易遭受的攻擊類型，選擇恰當?shù)墓舴椒?；手法；c）排除技術(shù)復(fù)雜，無法在實驗室環(huán)境中實現(xiàn)的攻擊操作；d）選定攻擊模擬軟件、計劃、測試用例；e）在工具選擇上，宜盡量大程度上自動化還原整體攻擊測試流程。6.4.3搭建測試環(huán)境仿真測試需采用基于網(wǎng)絡(luò)靶場搭建的仿真測試環(huán)境。測試人員宜根據(jù)測試需求，設(shè)計整體環(huán)境搭建方案，包括目標網(wǎng)絡(luò)拓撲設(shè)計和資源規(guī)劃，為搭建目標場景環(huán)境提供指導(dǎo)。測試環(huán)境搭建的具體流程宜參考T/CSAC001—2023，見圖3。圖3測試環(huán)境搭建流程a）制定測評環(huán)境搭建計劃，計劃內(nèi)容包括但不限于：網(wǎng)絡(luò)拓撲、資源分配、靶標設(shè)計、預(yù)裝軟件、任務(wù)制定、采集及檢測范圍、分析及評估對象等。置等。c）測評場景環(huán)境部署：依據(jù)測評環(huán)境搭建計劃和網(wǎng)絡(luò)拓撲設(shè)計進行部署。d）虛擬節(jié)點管理和軟件預(yù)裝。6.4.4執(zhí)行測試任務(wù)測試人員按照事前擬定的測試方案執(zhí)行測試任務(wù)。在執(zhí)行漏洞掃描或模糊測試時，在靶場中配置測試流程，通過調(diào)用選定的測試工具，自動化執(zhí)行測試任務(wù)。測試工具宜能生成滿足測試任務(wù)所需格式和范圍的數(shù)據(jù)。在執(zhí)行滲透測試時，由測試人員執(zhí)行既定的攻擊技術(shù)，模擬黑客的攻擊行為，檢測被測對象的響應(yīng)。在執(zhí)行任務(wù)過程中，觀察測試用例的反饋，完整采集測試過程產(chǎn)生的相關(guān)數(shù)據(jù)，包括但不限于日志類、流量信息、武器使用信息等。8T/CIIPA00012—20246.4.5輸出測試報告6.4.5.1漏洞掃描輸出測試報告，詳細記錄測試發(fā)現(xiàn)的安全漏洞和潛在風(fēng)險，報告宜包括如下內(nèi)容：a）各漏洞的CVE編號、CWE編號、CNVD編號或CNNVD編號；b）漏洞的詳細描述；c）漏洞的風(fēng)險等級；d）漏洞的修復(fù)情況。對于未能修復(fù)的漏洞，可持續(xù)關(guān)注公共漏洞庫的更新情況，在具有修復(fù)辦法后及時修復(fù)并復(fù)測。6.4.5.2模糊測試輸出測試報告，詳細記錄測試發(fā)現(xiàn)的安全漏洞和潛在風(fēng)險，報告宜包括如下內(nèi)容：a）漏洞的詳細描述；b）漏洞的風(fēng)險等級；c）處置優(yōu)先級。進一步分析定位缺陷，及時修復(fù)并復(fù)測。對于未能修復(fù)的缺陷漏洞，根據(jù)風(fēng)險等級制定應(yīng)對策略，并跟蹤管理。6.4.5.3滲透測試輸出測試報告，詳細記錄測試發(fā)現(xiàn)的安全漏洞和潛在風(fēng)險，報告宜包括如下內(nèi)容：a）漏洞的詳細描述，包含漏洞利用情況；b）漏洞的風(fēng)險等級；c）處置優(yōu)先級。進一步分析定位風(fēng)險原因，及時修復(fù)并復(fù)測。對于未能修復(fù)的缺陷漏洞，根據(jù)風(fēng)險等級制定應(yīng)對策略，并跟蹤管理。6.4.5.4結(jié)果判定綜合漏洞掃描、模糊測試和滲透測試發(fā)現(xiàn)的所有漏洞信息，依據(jù)事先制定的評價規(guī)則對自主可控系統(tǒng)的網(wǎng)絡(luò)安全能力進行評價。依據(jù)評價結(jié)果判定軟件是否達到上線運行的安全預(yù)期。同時，對于存在的網(wǎng)絡(luò)安全風(fēng)險宜制定短期和長期的應(yīng)對策略。6.5實網(wǎng)測試6.5.1概述實網(wǎng)測試是根據(jù)信息系統(tǒng)安全等級要求定期開展的周期性測試，測試范圍內(nèi)的資產(chǎn)均為被測對象。軟件資產(chǎn)實網(wǎng)測試的對象是運行態(tài)程序，測試目的是通過周期性測試，進一步挖掘在先前測試中未暴露的漏洞和潛在風(fēng)險。實網(wǎng)測試采用的方式包括漏洞掃描、滲透測試和安全眾測。在實際運行網(wǎng)絡(luò)環(huán)境下進行測試宜充分考慮對業(yè)務(wù)的影響，在確保不影響業(yè)務(wù)連續(xù)性的情況下或在約定的時間窗口內(nèi)執(zhí)行測試任務(wù)。實網(wǎng)測試宜預(yù)先制定突發(fā)情況下的應(yīng)急處置方案。9T/CIIPA00012—20246.5.2制定測試方案根據(jù)被測對象和測試目標構(gòu)建指標樹，選定測試方式，并選擇恰當?shù)臏y試用例、攻擊技戰(zhàn)術(shù)及測試工具。在進行漏洞掃描時，遵循如下原則：a）結(jié)合被測對象的類型、已知的漏洞信息，選取恰當?shù)穆┒磼呙韫ぞ撸籦）結(jié)合歷史測試數(shù)據(jù)，針對發(fā)現(xiàn)過的漏洞進行復(fù)測；c）選取恰當?shù)臏y試用例和漏洞掃描工具；d）測試工具需能夠被網(wǎng)絡(luò)靶場管理和調(diào)用的接口，接收靶場下達的指令執(zhí)行測試任務(wù)，并向靶場的數(shù)據(jù)采集接口實時傳輸測試過程數(shù)據(jù)。在進行滲透測試時，遵循如下原則：a）選擇一系列代表性技術(shù)進行測評；b）結(jié)合被測信息系統(tǒng)的類型、子系統(tǒng)類型、已發(fā)生的攻擊事件等信息，分析系統(tǒng)/子系統(tǒng)易遭受的攻擊類型，選擇恰當?shù)墓舴椒ǎ皇址?；d）選定攻擊模擬軟件、計劃、測試用例；e）在工具選擇上，宜盡量大程度上自動化還原整體攻擊測試流程。在進行安全眾測時，遵循如下原則：a）選擇的測試人員在擅長的技術(shù)方向上盡量多樣化；b）對參與測試人員制定嚴密的授權(quán)管理策略；c）制定測試過程數(shù)據(jù)采集、存儲的策略，以便進行回溯分析及后期取證；d）制定突發(fā)情況下的應(yīng)急處置方案。6.5.3搭建測試環(huán)境在實網(wǎng)測試中，被測對象運行在實網(wǎng)環(huán)境下，但網(wǎng)絡(luò)靶場需對測試過程和結(jié)果進行監(jiān)測和管理，包括測試工具調(diào)用、測試過程管理、數(shù)據(jù)采集和結(jié)果輸出。在網(wǎng)絡(luò)靶場上配置測試環(huán)境。關(guān)鍵步驟包括：a）虛擬節(jié)點管理和軟件預(yù)裝，構(gòu)建測試工具的運行環(huán)境，并進行參數(shù)配置；b）配置測試流程及測試工具調(diào)用；c）配置數(shù)據(jù)采集策略。為應(yīng)對實網(wǎng)測試中各種可能的突發(fā)事件，測試環(huán)境宜具備包含但不限于以下功能：a）依靠網(wǎng)絡(luò)資源探測功能對被測對象的聯(lián)通性、狀態(tài)和信息等進行實時監(jiān)測；b）依靠數(shù)據(jù)采集功能對測試環(huán)境進行實時監(jiān)測，監(jiān)測的指標包括：測試場景的拓撲合理性、網(wǎng)絡(luò)連通性以及設(shè)備穩(wěn)定性，并監(jiān)測測試流程各步驟的狀態(tài)和結(jié)果等；c）測試過程的復(fù)盤功能，以滿足特殊情況下的測試工作審計需求。6.5.4執(zhí)行測試任務(wù)測試人員按照事前擬定的測試方案執(zhí)行測試任務(wù)。執(zhí)行漏洞掃描時，在靶場中配置測試流程，通過調(diào)用選定的測試工具，自動化執(zhí)行測試任務(wù)。執(zhí)行滲透測試時，由測試人員執(zhí)行既定的攻擊技術(shù)，模擬黑客的攻擊行為，檢測被測對象的響應(yīng)。執(zhí)行安全眾測時，由所有被授權(quán)的測試人員在審計監(jiān)督下對被測系統(tǒng)進行攻擊，測試人員自由選T/CIIPA00012—2024擇工具和技戰(zhàn)術(shù)，從不同角度挖掘系統(tǒng)存在的安全漏洞。在執(zhí)行任務(wù)過程中，觀察測試用例的反饋，完整采集測試過程產(chǎn)生的相關(guān)數(shù)據(jù)，包括但不限于日志類，流量信息，武器使用信息等。同時，實時監(jiān)測被測對象的聯(lián)通性和運行狀態(tài)，一旦測試環(huán)境或被測對象發(fā)生故障或受到損害，影響關(guān)鍵業(yè)務(wù)連續(xù)性，宜立即停止測試活動，啟動預(yù)先制定的應(yīng)急處置方案。對于安全眾測過程，重點檢查測試人員是否有未授權(quán)的入侵網(wǎng)絡(luò)、干擾網(wǎng)絡(luò)正常功能、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全的行為或活動，并保存原始日志滿足追溯要求。6.5.5輸出測試報告6.5.5.1漏洞掃描輸出測試報告，詳細記錄測試發(fā)現(xiàn)的安全漏洞和潛在風(fēng)險，報告宜包括如下內(nèi)容：a）各漏洞的CVE編號、CWE編號、CNVD編號或CNNVD編號；b）漏洞的詳細描述；c）漏洞的風(fēng)險等級；d）漏洞的修復(fù)情況。對于未能修復(fù)的漏洞，可持續(xù)關(guān)注公共漏洞庫的更新情況，在具有修復(fù)辦法后及時修復(fù)并復(fù)測。6.5.5.2滲透測試輸出測試報告，詳細記錄測試發(fā)現(xiàn)的安全漏洞和潛在風(fēng)險，報告宜包括如下內(nèi)容：a）漏洞的詳細描述，包含漏洞利用情況；b）漏洞的風(fēng)險等級；c）處置優(yōu)先級。進一步分析定位風(fēng)險原因，及時修復(fù)并復(fù)測。對于未能修復(fù)的漏洞，制定應(yīng)對策略，并跟蹤管理。6.5.5.3安全眾測所有授權(quán)測試人員提交真實完整且描述清晰的漏洞信息，由測試組織方匯總信息輸出完整的測試報告，詳細記錄測試發(fā)現(xiàn)的安全漏洞和潛在風(fēng)險，報告宜包括如下內(nèi)容：a）漏洞的詳細描述，包含漏洞利用情況；b）漏洞的風(fēng)險等級；c）受影響產(chǎn)品或服務(wù)；d）處置優(yōu)先級；e）檢測工具；f）修復(fù)辦法。及時修復(fù)測試發(fā)現(xiàn)的風(fēng)險漏洞并復(fù)測。對于未能修復(fù)的漏洞，制定應(yīng)對策略，并跟蹤管理。6.5.5.4結(jié)果判定綜合漏洞掃描、滲透測試和安全眾測發(fā)現(xiàn)的所有漏洞信息，依據(jù)事先制定的評價規(guī)則對自主可控系統(tǒng)的網(wǎng)絡(luò)安全能力進行評價。對于存在的網(wǎng)絡(luò)安全風(fēng)險宜制定短期和長期的應(yīng)對策略。6.6漏洞處置優(yōu)先級評定對于測試發(fā)現(xiàn)的漏洞，其處置優(yōu)先級與關(guān)聯(lián)資產(chǎn)的重要性、漏洞等級、漏洞被利用的可能性相關(guān)，將這三方面的因素分別進行量化賦值。T/CIIPA00012—2024a）資產(chǎn)值：根據(jù)GB/T20984—2022，按照資產(chǎn)的重要性，取值區(qū)間為1~5，重要性最高的資產(chǎn)賦值為5，依次向下分為五個等級。b）漏洞值：它與漏洞等級相對應(yīng)；漏洞等級，按照漏洞潛在的危害程度分為五級：超危、高危、中危、中低危和低危；相應(yīng)地，漏洞值取值區(qū)間為1~5，超危的漏洞賦值為5，依次向下賦值。c）威脅值：按照漏洞易被發(fā)現(xiàn)和利用程度，即風(fēng)險發(fā)生的可能性進行賦值，取值區(qū)間為1~5，暴露性最強、最易于被利用的漏洞風(fēng)險等級最高，賦值為5，依次向下分為五個等級。d）漏洞風(fēng)險值=資產(chǎn)值×漏洞值×威脅值。風(fēng)險值越高的漏洞越宜優(yōu)先處置，避免造成較大的損害。由上述計算方法可知漏洞風(fēng)險值的取值區(qū)間為1~125，可按照取值的區(qū)段將處置優(yōu)先級分為五個等級，見表2。表2處置優(yōu)先級評定表漏洞風(fēng)險值處置優(yōu)先級≥100高80~99中高60~79中40~59中低<40低6.7軟件自主可控能力評定軟件自主可控能力主要考察技術(shù)掌控能力、持續(xù)交付能力和軟件安全能力，將這三方面的能力分別進行量化評估。a）技術(shù)掌控能力值：依據(jù)代碼自主率對技術(shù)掌控能力值進行評分，代碼自主率=（自主研發(fā)組件數(shù)+來自國內(nèi)的開源組件數(shù)）/軟件組件總數(shù)，參考表3。表3技術(shù)掌控能力評分表代碼自主率技術(shù)掌控能力值評分≥95%585%~94%470%~84%350%~69%2<50%1b）持續(xù)交付能力值：根據(jù)許可證合規(guī)率來確定，許可證合規(guī)率=具有有效許可證的開源組件數(shù)/開源組件總數(shù)，可參考表3的形式依據(jù)開源許可證合規(guī)率制定持續(xù)交付能力評分表，評分取值區(qū)間為1~5。c）軟件安全能力值：軟件風(fēng)險值與漏洞數(shù)、每個漏洞的嚴重性和被利用的概率有關(guān)，漏洞數(shù)量越多、等級越高、越容易被利用，則軟件風(fēng)險值越高，軟件安全能力值評分越低，見表4。在進行軟件安全能力值評分時，已被修復(fù)的漏洞不計算在內(nèi)，僅考慮待處置漏洞引起的安全性風(fēng)險。軟件風(fēng)險值=漏洞值1×威脅值1+漏洞值2×威脅值2+漏洞值n×威脅值n，其中每個漏洞造成的軟件風(fēng)險值取值區(qū)間為1~25。T/CIIPA00012—2024