工业应用程序（工业APP）通用安全检测方法.pdf

工业应用程序（工业APP）通用安全检测方法

1范围

本文件规定了对工业APP的通用安全检测方法，分别针对工业互联网平台APP、工业计算机应用软

件、工业互联网移动APP提出了检测要求。

本文件适用于指导软件开发商、各类工业企业、主管机构、第三方评估机构等单位开展工业APP的

安全检测工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T25069信息安全技术术语

GB/T28452信息安全技术应用软件系统通用安全技术要求

GB/T34975信息安全技术移动智能终端应用软件安全技术要求和测试方法

GB/T35273信息安全技术个人信息安全规范

3术语和定义

GB/T25069界定的以及下列术语和定义适用于本文件。

3.1

工业应用程序industrialInternetapplicationsoftware

基于工业互联网，承载工业知识和经验，面向工业领域，满足工艺研发与设计、生产制造与加工、

经营管理等特定场景或需求的工业应用软件，即工业APP。

注：本文件中的工业APP不包括工控系统、工业设备终端的嵌入式软件与操作系统。

3.2

工业互联网平台企业industrialInternetplatformenterprise

建设和运营工业互联网平台的企业。

3.3

工业数据industrialInternetdata

工业领域产品和服务全生命周期产生和应用的数据，包括但不限于工业企业在研发设计、生产制造、

经营管理、运维服务等环节中生成和使用的数据，以及工业互联网平台企业在设备接入、平台运行、工

业软件等过程中生成和使用的数据。

注：工业数据可分为一般、重要、核心三个级别，具体分级见YD/TXXXXX附录A的相关内容。

4缩略语

1

下列缩略语适用于本文件：

APP：应用程序（Application）

CNVD：中国国家漏洞数据库（ChinaNationalVulnerabilityDatabase）

CNNVD：中国国家信息安全漏洞数据库（ChinaNationalVulnerabilityDatabaseofInformation

Security）

NVDB：工业和信息化部网络安全威胁和漏洞信息共享平台（NationalVulnerabilityDataBase）

PaaS：平台即服务（PlatformasaService）

SaaS：软件即服务（SoftwareasaService）

5安全检测要求

5.1检测对象

工业APP可分为工业互联网平台APP、工业计算机应用软件、工业互联网移动APP三类，本文件检

测对象即为这三类工业APP。

5.2检测要素

检测要素包括检测指标、检测方法、预期结果及结果判定四部分。其中，检测指标来源于YD/T

XXXXX第5章中的各项技术要求，检测方法描述测评过程中使用的具体检测方法、涉及的检测对象和具

体检测取证过程的要求，预期结果描述满足检测指标的检测实施产生的数据，结果判定描述检测人员执

行检测实施并产生各种检测数据后，如何依据这些数据来判定工业APP是否满足检测指标要求的原则

和方法。

5.3工业互联网平台APP安全检测要求

5.3.1安全功能要求检测

5.3.1.1鉴别机制

5.3.1.1.1身份认证

工业互联网平台APP（以下简称平台APP）身份认证的检测要求如下：

a)检测方法：

1)检查用户访问业务前，平台APP是否对其身份进行鉴别；

2)连续尝试登录失败时，检查平台APP是否具备鉴别失败处理措施（如锁定账号等）；

3)用户登录后长时间不进行任何操作。

b)预期结果：

1)只有身份认证成功的应用用户才能使用平台APP；

2)具备鉴别失败处理措施；