《信息技术软件安全性保障规范》

《信息技术软件安全性保障规范》

ID:33983714

大小:62.50 KB

页数:6页

时间:2019-03-02

《信息技术软件安全性保障规范》_第1页
《信息技术软件安全性保障规范》_第2页
《信息技术软件安全性保障规范》_第3页
《信息技术软件安全性保障规范》_第4页
《信息技术软件安全性保障规范》_第5页
资源描述:

《《信息技术软件安全性保障规范》》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、《信息技术软件安全性保障规范》(征求意见稿)编制说明一、任务来源根据国家标准化管理委员会2008年下达的第3批标准制修订计划,国家标准《信息技术软件安全性规范》由电子技术标准化研究院、复旦大学、总装备部武器装备论证研究中心、浙江省电子信息产品检验所、北京东方通科技股份有限公司、上海计算机软件技术开发中心、万达信息技术有限公司、装备学院共同起草。其标准计划编号是20081350-T-469。二、编制背景及原则软件安全性问题一直是一个大家关注的问题,特别是随着信息技术的发展,商业现货软件的出现为系统的组合和架构提供了

2、简便、快捷的方式,缩短了系统研发的周期,但是随之而来的问题是:如何评价这些商业现货软件的安全性?在软件生存周期的各阶段,如何确保软件的安全性?从哪些角度来分析软件安全性?因此有必要制定一个从软件安全性活动、数据和软件的采购和研发等方面进行规范并提供相应的指导原则。在国内软件安全性标准方面,仅有国军标GJB/Z142-2005提供军用软件安全性分析的指南,还没有对安全攸关系统中的安全攸关软件的采购、研发等安全活动进行规范的标准。美国美国航空航天局NASA针对航空航天工程制定了一系列软件安全性方面的规范,并且有大量的

3、实际应用案例。本标准在编制过程中参照了美国NASA-STD-8719.13B(SOFTWARESAFETYSTANDARD)、NASA-GB-8719.13(SoftwareSafetyGuidebook)和NASA—STD-8739.8(StandardforSoftwareAssurance),并根据国内的实际情况进行了裁剪,以适应国内的实际应用。一、编制过程根据标准计划要求,于2009年10月成立了由研究机构、高校和企业单位共同参与的标准编制小组。由于国际上ISO/IECJTC1SC27重点关注的是信息安全

4、技术,SC7则关注的是软件开发和工程实施过程中的一些标准。我们在研究的过程中发现,为了保证安全攸关软件的安全性,不仅要保证系统集成过程中的安全性,更要关注软件在开发过程中一些重要环节,从而确保软件在集成后,能够不因自己的软件安全性而影响系统的安全性。本标准在研究与编制过程中,查阅了大量的相关技术文献。国际标准化组织的标准中没有直接可以参考的资料,美国NASA在此方面有一些标准可以借鉴。为此标准起草组首先对NASA的相关标准进行了翻译,并多次组织研究人员进行认真的讨论,数易其稿。在此基础上根据国内的实情情况,对翻译

5、的标准进行了适应性的裁剪,于2011年2月形成了本标准初稿。针对本标准的初稿,利用标准研讨会的形式,邀请软件安全方面的专家进行了多次研究、讨论和修改,从技术内容上保证了标准的质量。组织信息技术中心及软件研究室内部标准化方面的专家对初稿进行了3次研讨和修改,从标准要求和格式等方面进行了修改。于2012年12月形成了征求意见稿。二、有关内容说明1、本标准的适用范围本标准规定了获取或开发一个安全攸关系统中的软件所必需的软件安全性活动、数据和文档。本标准适用于安全攸关软件的开发和获取过程,也适用于驻留在硬件中的软件(固件

6、),同样适用于COTS软件和任何可复用的软件。2、本标准的主要内容在安全攸关系统中,软件的安全性对系统的安全运行和任务的顺利完成起着重要的作用。本标准针对这类安全攸关软件的安全性进行了规范。主要内容有第4章的安全攸关软件的确定(确定过程、安全性分析)、第5章的软件安全性管理(软件安全性计划、人员认证及培训、软件生存周期、文档要求、可追踪性、软件配置管理活动、软件保障活动、工具支持与批准、现货软件、合同管理、认证过程、放弃/偏离、安全保密性)、第6章的软件开发的安全性需求分析和第7章的软件的运行使用。这些内容涉及到

7、软件的界定、管理、开发和使用等各个方面,是对安全攸关软件的一个全生命周期的规范。1、其他说明3.1关于修改标准名称的说明在标准编制计划中标准的名称是《软件安全性规范》。在标准编制过程中,发现名称与标准内容不是十分相符。在专家提议下,经过标准编制小组的研究决定,把标准名称修改为《软件安全性保障规范》,以与标准内容更符合、更准确。3.2对于原标准的引用的问题NASA—STD-8739.13B第2章相关文件中包含了ISO标准、IEEE标准、NASA标准和其它文件。参照其它国标的惯例,建议将第2章改为“引用文件”,其内容

8、只包括ISO标准和IEEE标准,并删去文中对其他文件的引用,相关的文字作适当的调整。如果IEEE标准有对应的国标或ISO标准(如“软件生存周期过程”),则采用国标或ISO标准。在3.1节的术语和定义中,如果二者语义上基本相同,则将原引用的文字改为国标或ISO标准中的相应文字;如果二者有较大差异,则仍保留对IEEE标准的引用,原引用的文字不改。3.3关于对原有标准中的一些称

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。