- 1、本文档共9页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
工业应用程序(工业APP)通用安全检测方法
1范围
本文件规定了对工业APP的通用安全检测方法,分别针对工业互联网平台APP、工业计算机应用软
件、工业互联网移动APP提出了检测要求。
本文件适用于指导软件开发商、各类工业企业、主管机构、第三方评估机构等单位开展工业APP的
安全检测工作。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,
仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本
文件。
GB/T25069信息安全技术术语
GB/T28452信息安全技术应用软件系统通用安全技术要求
GB/T34975信息安全技术移动智能终端应用软件安全技术要求和测试方法
GB/T35273信息安全技术个人信息安全规范
3术语和定义
GB/T25069界定的以及下列术语和定义适用于本文件。
3.1
工业应用程序industrialInternetapplicationsoftware
基于工业互联网,承载工业知识和经验,面向工业领域,满足工艺研发与设计、生产制造与加工、
经营管理等特定场景或需求的工业应用软件,即工业APP。
注:本文件中的工业APP不包括工控系统、工业设备终端的嵌入式软件与操作系统。
3.2
工业互联网平台企业industrialInternetplatformenterprise
建设和运营工业互联网平台的企业。
3.3
工业数据industrialInternetdata
工业领域产品和服务全生命周期产生和应用的数据,包括但不限于工业企业在研发设计、生产制造、
经营管理、运维服务等环节中生成和使用的数据,以及工业互联网平台企业在设备接入、平台运行、工
业软件等过程中生成和使用的数据。
注:工业数据可分为一般、重要、核心三个级别,具体分级见YD/TXXXXX附录A的相关内容。
4缩略语
1
下列缩略语适用于本文件:
APP:应用程序(Application)
CNVD:中国国家漏洞数据库(ChinaNationalVulnerabilityDatabase)
CNNVD:中国国家信息安全漏洞数据库(ChinaNationalVulnerabilityDatabaseofInformation
Security)
NVDB:工业和信息化部网络安全威胁和漏洞信息共享平台(NationalVulnerabilityDataBase)
PaaS:平台即服务(PlatformasaService)
SaaS:软件即服务(SoftwareasaService)
5安全检测要求
5.1检测对象
工业APP可分为工业互联网平台APP、工业计算机应用软件、工业互联网移动APP三类,本文件检
测对象即为这三类工业APP。
5.2检测要素
检测要素包括检测指标、检测方法、预期结果及结果判定四部分。其中,检测指标来源于YD/T
XXXXX第5章中的各项技术要求,检测方法描述测评过程中使用的具体检测方法、涉及的检测对象和具
体检测取证过程的要求,预期结果描述满足检测指标的检测实施产生的数据,结果判定描述检测人员执
行检测实施并产生各种检测数据后,如何依据这些数据来判定工业APP是否满足检测指标要求的原则
和方法。
5.3工业互联网平台APP安全检测要求
5.3.1安全功能要求检测
5.3.1.1鉴别机制
5.3.1.1.1身份认证
工业互联网平台APP(以下简称平台APP)身份认证的检测要求如下:
a)检测方法:
1)检查用户访问业务前,平台APP是否对其身份进行鉴别;
2)连续尝试登录失败时,检查平台APP是否具备鉴别失败处理措施(如锁定账号等);
3)用户登录后长时间不进行任何操作。
b)预期结果:
1)只有身份认证成功的应用用户才能使用平台APP;
2)具备鉴别失败处理措施;
您可能关注的文档
- 基于SDN的宽带接入网 控制器.pdf
- 基于SDN的宽带接入网测试方法 基于PON设备YANG模型的控制器南向接口.pdf
- 基于SDN的网络随选系统 基于以太网VPN方式的技术要求.pdf
- 基于SDN的移动性管理技术要求.pdf
- 基于电信网的云化虚拟现实 端到端业务质量要求和监测方法.pdf
- 基于电信网的云化虚拟现实 网络技术要求.pdf
- 基于电信网的云化虚拟现实 总体技术要求.pdf
- 基于多协议标记交换二层虚拟专用网(MPLS L2VPN)的以太网树(E-Tree)技术要求.pdf
- 基于公用电信网的宽带客户网关虚拟化测试方法 第3部分:业务要求.pdf
- 基于公用电信网的智慧多功能杆网关技术要求.pdf
文档评论(0)