编制说明《自主可控网络安全技术 基于网络靶场的软件自主可控能力测试指南》.pdfVIP

《自主可控网络安全技术基于网络靶场的软件自主可控能力

测试指南》（征求意见稿）编制说明

一、工作简况

1.任务来源当前，软件测试领域缺少面向自主可控安全能力的系统性测试方

法，并且软件安全测试活动是离散的，安全风险管理缺少连续性。经过前沿

用户探索和实践，证实基于网络靶场进行软件自主可控能力测试是实现系统

性测试和连续性管理的有效途径。本标准基于上述最佳实践，提出一套面向

软件自主可控能力进行系统性测试的方法论，以网络靶场为载体实现测试过

程监测和测试结果的连续性管理，旨在帮助软件研制单位和使用单位提升自

主可控能力的测试能力和管理水平。

2.协作单位参与本标准编制工作的主要单位及其分工如下：奇安信科技集团

股份有限公司负责确立标准的方向和定位、管理标准编制的进度和质量、组

织评审和改进等工作；软极网络技术（北京）有限公司负责制定标准的主体

架构、编写主体内容、与各协作单位的沟通等工作；中关村华安关键信息基

础设施安全保护联盟负责组织专家资源进行各阶段的评审，确保标准的引领

性、实用性和规范性；工业互联网研究院、可信华泰科技有限公司、北京大

学、长沙市轨道交通运营有限公司等单位基于各自实践经验对标准的相关章

节进行编写或补充，以提升标准的实用性。各单位分工协作，共同完成了本

标准的编制。

3.主要工作过程

–立项筹备阶段：对两个测试机构、三个基于网络靶场进行软件自主

可控能力测试项目的开发人员、交付人员和用户进行调研，梳理软件

自主可控能力测试的现状和需求，发现存在以下问题：1）软件自主

可控能力测试缺乏规范性；2）软件自主可控能力历次测试结果缺乏

关联性管理；3）在没有网络靶场的情况下，对于自主可控软件的安

全性只能做简单的合规性测试，难以进行复杂环境下的攻防测试，更

无法进行上线运行后的的持续性检测。总结一套基于网络靶场进行软

件自主可控能力测试的方法论，指导软件开发者、使用者和测试机构

系统化、规范化地开展测试活动和管理测试结果是非常必要的。

–起草阶段：起草组由各参编单位的代表组成，其中包括了自主可控

软件的开发单位、使用单位和测试机构，以确保编制的测试指南符合

不同角色的使用需求。起草阶段的主要工作内容包括：1）收集国内

外相关的标准文档，作为制定本标准的参考材料，同时保证本标准的

创新性；2）收集、整理相关市场项目的测试方案，从中吸取成功的

做法；3）详细讨论测试评估工作各环节，确定本标准的框架和各部

分的主要内容；4）分工写作；5）多轮次评审优化。

–征求意见阶段（如果已经进行部分征求意见工作）：已经开展了部

分征求意见工作，以邮件和会议方式向具有基于网络靶场开展软件测

试经验的企业用户征求意见，并吸纳反馈的意见进行优化。

二、标准编制原则和确定标准主要内容的依据

1.编制原则

–本标准起草过程中，在文件编制原则、文件结构的合理性、术语和定

义的规范性等方面，严格按照GB/T1.1—2020《标准化工作导则第

1部分：标准化文件的结构和起草规则》进行。

–科学性与合理性：本标准中测试方法的选择、测试要素的确定等是

基于最佳实践总结提炼的，经过科学论证具有普遍适用性，从而确保

测试指南在实际应用中的可行性和有效性。

–通用性与适用性：本标准中的测试方法是基于最佳实践总结提炼

的，而且在标准编制各阶段向软件产品研制单位、使用单位、测评机

构等相关方广泛征求意见，遵循文件使用者原则编制文件，从而确保

符合实际工