自主可控網(wǎng)絡(luò)安全技術(shù) 基于網(wǎng)絡(luò)靶場的軟件自主可控能力測試

自主可控網(wǎng)絡(luò)安全技術(shù)基于網(wǎng)絡(luò)靶場的軟件自主可控能力測試指南仿真測試、實網(wǎng)測試各階段，如何制定測試方案、搭建測試環(huán)境、執(zhí)行測試任務(wù)和反饋測試本文件適用于指導(dǎo)組織基于網(wǎng)絡(luò)靶場開展軟件資產(chǎn)自主可控能力測評工作，可供軟件產(chǎn)品研制單凡是不注日期的引用文件，其最新版本（包括所有的修改單）GB/T25069信息安全技術(shù)術(shù)語GB/T39412-2020信息安全技術(shù)代碼GB/T43848-2024信息安全技術(shù)軟件產(chǎn)品開源代T/CSAC001-2023網(wǎng)絡(luò)靶場基于技戰(zhàn)術(shù)模型的安全測對組織有價值的軟件資源，是自主可控測試的3.5軟件成分分析softwarecompositionan3.8開源許可證opensourcelicense3.10實網(wǎng)測試realnetwo在實際運行網(wǎng)絡(luò)環(huán)境下對軟件資產(chǎn)進行安全性3.11安全眾測crowdsour4縮略語SBOM：軟件物料清單（SoftwareBillofMaterials）SCA：軟件成分分析（SoftwareCompositiCVE：通用漏洞披露（CommonVulnerabiCWE：通用缺陷列表（CommonWeaknessEnumeraCNNVD：中國國家信息安全漏洞庫（ChinaNationalVulnerabilityDatabaseofInformationSecurity）5概述5.1軟件自主可控能力測試范圍軟件自主可控能力測試應(yīng)包含對技術(shù)掌控能力、c)網(wǎng)絡(luò)安全能力考察代碼缺陷、組件漏洞、資產(chǎn)漏洞及5.2軟件自主可控能力管理粒度5.3軟件自主可控能力測試框架在軟件生命周期的各階段可采用的測試類型和測試方法如下表所漏洞掃描、滲透測試、安全b)與軟件資產(chǎn)相關(guān)的漏洞庫重大更新；5.4軟件自主可控能力測試評估根據(jù)測試任務(wù)的反饋，應(yīng)按照預(yù)先制定的策漏洞風(fēng)險值=資產(chǎn)值×漏洞值×威脅值高中低代碼自主率=（自主研發(fā)組件數(shù)+來自國內(nèi)的開源組件數(shù)）/軟件組件總數(shù)，可依據(jù)代碼自主率對技54321軟件風(fēng)險值=漏洞值1×威脅值1+漏洞值2×威脅值2+漏洞值n×威脅值n，其中每個漏洞造54321自主可控值=技術(shù)掌控能力×持續(xù)交付能力×軟件安全能力高中低5.5基于網(wǎng)絡(luò)靶場的測試管理b)能夠?qū)y試結(jié)果進行關(guān)聯(lián)性管理，靜態(tài)測試、仿真測試和實網(wǎng)測試發(fā)現(xiàn)的安全漏洞通過軟件資要素進行管理，并形成以資產(chǎn)為核心的測試要素關(guān)聯(lián)關(guān)系基礎(chǔ)庫包括資產(chǎn)庫、組件庫、漏洞庫等，各基礎(chǔ)庫的構(gòu)成參見b)資產(chǎn)組件的基礎(chǔ)信息、資產(chǎn)關(guān)聯(lián)信息和開源許可證信息SCA分析的對象可以是源代碼也可以是經(jīng)過編譯的二進制文件，分析目標(biāo)是精確識別產(chǎn)的組件，并進一步識別組件的來源、依賴關(guān)系、開源許可證及已知的缺陷和漏洞信息。代碼安全審計的對象是軟件的源代碼，測試目b)結(jié)合所需的集成開發(fā)環(huán)境，選取恰當(dāng)?shù)臏y試工具；c)測試工具應(yīng)具備能夠被網(wǎng)絡(luò)靶場管理和調(diào)用的接口，接收靶場下達(dá)的任務(wù)指令，并向靶場的數(shù)d)基于有利于全面發(fā)現(xiàn)代碼缺陷和漏洞的原則，可采用b)配置測試流程及測試工具調(diào)用；a)獲取組件的來源信息，包括供應(yīng)商信息和深度依賴關(guān)系，判斷組件是否自主可控；c)發(fā)現(xiàn)組件中存在的已知漏洞，對于已具有修復(fù)方案的進行修復(fù)，對尚無修復(fù)方案的，制定應(yīng)對對于存在的停服斷供風(fēng)險、網(wǎng)絡(luò)安全風(fēng)險應(yīng)制定短期和長期的應(yīng)對策仿真測試采用的方式包括但不限于漏洞掃描、模糊測試和b)結(jié)合歷史測試數(shù)據(jù)，針對發(fā)現(xiàn)過的漏洞進行復(fù)測；d)測試工具應(yīng)具備能夠被網(wǎng)絡(luò)靶場管理和調(diào)用的接口，接收靶場下達(dá)的任務(wù)指令，并向靶場的數(shù)b)測試工具能夠檢測程序的反饋；c)測試工具應(yīng)具備能夠被網(wǎng)絡(luò)靶場管理和調(diào)用的接口，接收靶場下達(dá)的任務(wù)指令，并向靶場的數(shù)a)結(jié)合被測對象的類型、已發(fā)生的攻擊事件等信息，分析軟件/軟件組件易遭受的攻擊類c)測評場景環(huán)境部署：依據(jù)測評環(huán)境搭建計劃和網(wǎng)絡(luò)拓?fù)湓O(shè)計進行部對于未能修復(fù)的漏洞，應(yīng)持續(xù)關(guān)注公共漏洞庫的更新情況，在實際運行網(wǎng)絡(luò)環(huán)境下進行測試應(yīng)充分考慮對業(yè)務(wù)的影響，在確保不影響業(yè)務(wù)連續(xù)性的情況下或在約定的時間窗口內(nèi)執(zhí)行測試任務(wù)。實網(wǎng)測試必須預(yù)先制定突發(fā)情況下的應(yīng)急處置方案。b)結(jié)合歷史測試數(shù)據(jù)，針對發(fā)現(xiàn)過的漏洞進行復(fù)測；d)測試工具應(yīng)具備能夠被網(wǎng)絡(luò)靶場管理和調(diào)用的接口，接收靶場下達(dá)的指令執(zhí)行測試任務(wù)，并向b)結(jié)合被測信息系統(tǒng)的類型、子系統(tǒng)類型、已發(fā)生的攻擊事件等信息，分析系統(tǒng)a)選擇的測試人員在擅長的技術(shù)方向上盡量c)制定測試過程數(shù)據(jù)采集、存儲的策略，以便進行回溯分析及后期取b)配置測試流程及測試工具調(diào)用；a)依靠網(wǎng)絡(luò)資源探測功能對被測對象的聯(lián)通性、狀態(tài)和信息等進行實時b)依靠數(shù)據(jù)采集功能對測試環(huán)境進行實時監(jiān)測，監(jiān)測的指標(biāo)包括：測試場景的拓?fù)浜侠硇?、網(wǎng)絡(luò)執(zhí)行漏洞掃描時，在靶場中配置測試流程，通過調(diào)用選定的測試工具，自動化執(zhí)行測試任務(wù)。執(zhí)行滲透測試時，由測試人員執(zhí)行既定的攻數(shù)據(jù)等危害網(wǎng)絡(luò)安全的行為或活動，并保存原始日志滿足追溯對于未能修復(fù)的漏洞，應(yīng)持續(xù)關(guān)注公共漏洞庫的更新情況，所有授權(quán)測試人員應(yīng)提交真實完整且描述清晰的漏洞信息，由測試組織方匯總信息輸出完整的測應(yīng)及時修復(fù)測試發(fā)現(xiàn)的風(fēng)險漏洞并復(fù)測。對于未能修復(fù)的漏洞，制定應(yīng)對策略，并跟蹤管理。資產(chǎn)庫組件庫漏洞庫后門/發(fā)現(xiàn)備份文