T∕CIIPA 0000X—2024《自主可控网络安全技术 基于网络靶场的软件自主可控能力测试指南》.pdf

ICS35.030

CSSL80CIIPA

团体标准

T/CIIPA00012-2024

自主可控网络安全技术基于网络靶场的

软件自主可控能力测试指南

Autonomousandcontrollablecybersecuritytechnology-Guidanceforsoftware

autonomousandcontrollableabilitytestbasedoncyberrange

（征求意见稿）

20XX-XX-XX发布20XX-XX-XX实施

中关村华安关键信息基础设施安全保护联盟发布

目次

前言3

引言4

1范围5

2规范性引用文件5

3术语和定义5

3.1自主可控autonomousandcontrollable5

3.2安全可控controllabilityforsecurity5

3.3软件资产softwareasset5

3.4测试要素testelement5

3.5软件成分分析softwarecompositionanalysis5

3.6代码安全审计codesecurityaudit5

3.7代码自主率codeautonomyrate6

3.8开源许可证opensourcelicense6

3.9仿真测试simulationtest6

3.10实网测试realnetworktest6

3.11安全众测crowdsourcingsecuritytest6

4缩略语6

5概述6

5.1软件自主可控能力测试范围6

5.2软件自主可控能力管理粒度6

5.3软件自主可控能力测试框架6

5.4软件自主可控能力测试评估7

5.5基于网络靶场的测试管理9

6软件资产自主可控能力测试方法9

6.1建立基础库9

6.2资产信息初始化9

6.3静态测试10

6.4仿真测试11

6.5实网测试13

附录A（资料性）资产库15

附录B（资料性）组件库16

附录C（资料性）漏洞库17

自主可控网络安全技术基于网络靶场的软件自主可控能力测试指

南

1范围

本标准描述了一套基于网络靶场对软件自主可控能力进行持续性测试的方法论，包括在静态测试、

仿真测试、实网测试各阶段，如何制定测试方案、搭建测试环境、执行测试任务和反馈测试结果。

本文件适用于指导组织基于网络靶场开展软件资产自主可控能力测评工作，可供软件产品研制单

位、使用单位、测评机构等相关方参考使用。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069信息安全技术术语

GB/T36630.1信息安全技术信息技术产品安全可控评价指标第1部分：总则

GB/T39412-2020信息安全技术代码安全审计规范

GB/T43848-2024信息安全技术软件产品开源代码安全评价方法

T/CSAC001-2023网络靶场基于技战术模型的安全测评方法

3术语和定义

GB/T25069中界定的以及下列术语和定义适用于本文件。

3.1自主可控autonomousandcontrollable

产品在核心技术、原材料和零部件、生产工艺等方面不依赖于