網(wǎng)絡(luò)安全產(chǎn)品能力評(píng)價(jià)體系 第1部分：概念和模型

網(wǎng)絡(luò)安全產(chǎn)品能力評(píng)價(jià)體系6YD/TxxxX.1-xxxX安全產(chǎn)品質(zhì)量可由若干個(gè)特性組成，包括：b)性能效率：g)可維護(hù)性：每個(gè)特性由一組相關(guān)子特性組成。5.1安全產(chǎn)品成熟度評(píng)價(jià)安全產(chǎn)品成熟度是技術(shù)相對(duì)于某個(gè)產(chǎn)品或平臺(tái)所處的發(fā)展?fàn)顟B(tài)，其客觀、量化地反映了技術(shù)對(duì)于產(chǎn)品預(yù)期目標(biāo)的滿足程度。安全產(chǎn)品成熟度等級(jí)是一種基于技術(shù)發(fā)展成熟規(guī)律，采用標(biāo)準(zhǔn)化等級(jí)對(duì)技術(shù)就緒水平進(jìn)行評(píng)測(cè)的系統(tǒng)化過程和程序。對(duì)安全產(chǎn)品技術(shù)成熟度等級(jí)的定義是后續(xù)進(jìn)行安全產(chǎn)品能力評(píng)價(jià)的前提。安全產(chǎn)品成熟度等級(jí)度量和評(píng)測(cè)特定產(chǎn)品成熟程度的標(biāo)準(zhǔn)和尺度，被劃分為5個(gè)級(jí)別，即五個(gè)產(chǎn)品研發(fā)階段：概念產(chǎn)品、實(shí)驗(yàn)室產(chǎn)品、工程化產(chǎn)品、定制化產(chǎn)品和市場(chǎng)化產(chǎn)品。其中1級(jí)最低，5級(jí)最高，如表1所示。表1安全產(chǎn)品成熟度等級(jí)表5.2.1通用部分通用部分是安全產(chǎn)品的質(zhì)量特性，適用于所有安全產(chǎn)品評(píng)價(jià)。包括功能性、性能效率、兼容性、易用性、可靠性、安全性和可維護(hù)性。5.2.1.1功能性功能性包括安全產(chǎn)品的功能完備性、功能正確性、功能適合性和功能的依從性a)功能完備性：指功能集對(duì)指定的任務(wù)或用戶目標(biāo)的覆蓋程度：b)功能正確性：指安全產(chǎn)品提供具有所需精度的正確結(jié)果的程度c)功能適合性：指功能促使指定的任務(wù)和目標(biāo)實(shí)現(xiàn)的程度：d)功能的遵從性：指安全產(chǎn)品遵循與功能性相關(guān)的標(biāo)準(zhǔn)、約定或法規(guī)以及類似規(guī)定的程度。5.2.1.2性能效率性能效率包括安全產(chǎn)品的時(shí)間特性、資源利用性、容量、性能效率的依從性。a)時(shí)間特性：指安全產(chǎn)品執(zhí)行其功能時(shí)，其響應(yīng)時(shí)間、處理時(shí)間及吞吐率滿足需求的程度：b)資源利用性：指安全產(chǎn)品執(zhí)行其功能時(shí)，所使用資源數(shù)量和類型滿足需求的程度：c)容量：指安全產(chǎn)品參數(shù)的最大限量滿足需求的程度：7YD/TxxxX.1-xxxXd)性能效率的遵從性：指安全產(chǎn)品遵循與性能效率相關(guān)的標(biāo)準(zhǔn)、約定或法規(guī)以及類似規(guī)定的程兼容性包括安全產(chǎn)品的共存性、互操作性和兼容性的依從性a)共存性：指在與其他安全產(chǎn)品共享通用環(huán)境和資源的條件下，安全產(chǎn)品能夠有效執(zhí)行其所需的功能并且不會(huì)對(duì)其他安全產(chǎn)品造成負(fù)面影響的程度：b)互操作性：指兩個(gè)或多個(gè)系統(tǒng)、產(chǎn)品或組件能夠交換信息并使用已交換的信息的程度c)兼容性的遵從性：指安全產(chǎn)品遵循與兼容性相關(guān)的標(biāo)準(zhǔn)、約定或法規(guī)以及類似規(guī)定的程度。易用性包括安全產(chǎn)品的可辨識(shí)性、易學(xué)性、易操作性、用戶差錯(cuò)防御性、用戶界面便利性、易訪問性和易用性的依從性。a)可辨識(shí)性：指用戶能夠辨識(shí)安全產(chǎn)品是否適合他們的要求的程度：b)易學(xué)性：在指定使用環(huán)境中，安全產(chǎn)品在有效性、效率、抗風(fēng)險(xiǎn)和滿意度特性方面，為了學(xué)習(xí)使用該產(chǎn)品或系統(tǒng)這一指定目標(biāo)。可為指定用戶使用的程度：c)易操作性：指安全產(chǎn)品具有易于操作和控制的屬性的程度d)用戶差錯(cuò)防御性：指安全產(chǎn)品預(yù)防用戶犯錯(cuò)的程度：e)用戶界面便利性：指用戶界面簡(jiǎn)單、提供令人愉悅和滿意易于的交互的程度：f)易訪問性：指在指定使用環(huán)境中，為了達(dá)到指定的目標(biāo)，安全產(chǎn)品被具有最廣泛的特征和能力的個(gè)體所使用的程度8)易用性的遵從性：指安全產(chǎn)品道循與易用性相關(guān)的標(biāo)準(zhǔn)、約定或法規(guī)以及類似規(guī)定的程度?？煽啃园ò踩a(chǎn)品的成熟性、可用性、容錯(cuò)性、易恢復(fù)性和可靠性的依從性。a)成熟性：指系統(tǒng)、安全產(chǎn)品或組件在正常運(yùn)營(yíng)時(shí)滿足的可靠性要求的程度；b)可用性：指系統(tǒng)、安全產(chǎn)品或組件在需要使用時(shí)能夠進(jìn)行操作和訪問的程度；c)容錯(cuò)性：指當(dāng)存在硬件或軟件故障時(shí)，系統(tǒng)、安全產(chǎn)品或組件的運(yùn)行符合預(yù)期的程度；d)易恢復(fù)性：指發(fā)生中斷或失效時(shí)，安全產(chǎn)品能夠恢復(fù)直接受影響的數(shù)據(jù)并重建期望的系統(tǒng)狀態(tài)的程度；e)可靠性的遵從性：指安全產(chǎn)品道循與可靠性相關(guān)的標(biāo)準(zhǔn)、約定或法規(guī)以及類似規(guī)定的程度。安全性保密性、完整性、抗抵賴性、可核查性、真實(shí)性和安全性的依從性a)保密性：指安全產(chǎn)品確保數(shù)據(jù)只有在被授權(quán)時(shí)才能被訪問的程度；b)完整性：指系統(tǒng)、安全產(chǎn)品或組件防止未授權(quán)訪問、篡改計(jì)算機(jī)程序或數(shù)據(jù)的程度；c)抗抵賴性：指活動(dòng)或事件發(fā)生后可以被證實(shí)且不可被否認(rèn)的程度d)可核查性：指實(shí)體的活動(dòng)可以被唯一地追溯到該實(shí)體的程度：e)真實(shí)性：指對(duì)象或資源的身份標(biāo)識(shí)能夠被證實(shí)符合其聲明的程度：f)安全性的遵從性：指安全產(chǎn)品遵循與安全性相關(guān)的標(biāo)準(zhǔn)、約定或法規(guī)以及類似規(guī)定的程度。5.2.1.7可維護(hù)性8YD/TXXXX.1-xxXX可維護(hù)性包括安全產(chǎn)品的模塊化、可重復(fù)性、易分析性、易修改性、易測(cè)試性和可維護(hù)性的依從a)模塊化：指由多個(gè)獨(dú)立組件組成的系統(tǒng)或計(jì)算機(jī)程序，其中一個(gè)組件變更對(duì)其他組件的影響最小的程度：b)可復(fù)用性：指資產(chǎn)能夠被用于多個(gè)系統(tǒng)，或其他資產(chǎn)建設(shè)的程度：c)易分析性：指可以評(píng)價(jià)預(yù)期變更(變更產(chǎn)品或系統(tǒng)的一個(gè)或多個(gè)部分)對(duì)安全產(chǎn)品的影響診斷產(chǎn)品的缺陷或失效原因、識(shí)別待修改部分的有效性和效率的程度。易分析性可以實(shí)現(xiàn)包括為安全產(chǎn)品提供機(jī)制，以分析其自身故障以及在失效或其他事件前提供報(bào)告：d)易修改性：指安全產(chǎn)品可以被有效地、高效地修改，且不會(huì)引入缺陷或降低現(xiàn)有產(chǎn)品質(zhì)量的程度。其實(shí)現(xiàn)包括編碼、設(shè)計(jì)、文檔和驗(yàn)證的變更。模塊化和易分析性會(huì)影響到易修改性：e)易測(cè)試性：指能夠?yàn)橄到y(tǒng)、安全產(chǎn)品或組件建立測(cè)試準(zhǔn)則，并通過測(cè)試執(zhí)行來確定測(cè)試準(zhǔn)則是否被滿足的有效性和效率的程度：f)可維護(hù)性的遵從性：指安全產(chǎn)品遵循與可維護(hù)性相關(guān)的標(biāo)準(zhǔn)、約定或法規(guī)以及類似規(guī)定的程5.2.2關(guān)鍵部分關(guān)鍵部分是安全產(chǎn)品的核心能力，包括發(fā)現(xiàn)能力、防護(hù)能力、分析能力、接口能力和管理能力。這些能力需根據(jù)具體安全產(chǎn)品評(píng)價(jià)方法匹配對(duì)應(yīng)能力要求。5.2.2.1發(fā)現(xiàn)能力發(fā)現(xiàn)能力指安全產(chǎn)品對(duì)網(wǎng)絡(luò)安全對(duì)象的識(shí)別和檢測(cè)全面性和準(zhǔn)確性等，識(shí)別檢測(cè)通常采用數(shù)據(jù)主動(dòng)爬取或者流量采集還原的方式實(shí)現(xiàn)。網(wǎng)絡(luò)安全對(duì)象包括網(wǎng)絡(luò)空間資產(chǎn)、漏洞、惡意程序、攻擊行為等。識(shí)別檢測(cè)能力適用于對(duì)核心功能為識(shí)別和檢測(cè)類產(chǎn)品的能力檢驗(yàn)防護(hù)能力指安全產(chǎn)品對(duì)各類網(wǎng)絡(luò)攻擊成功阻斷的功能、性能效率和準(zhǔn)確率等產(chǎn)品能力。5.2.2.3分析能力分析能力指安全產(chǎn)品對(duì)數(shù)據(jù)分析能力的先進(jìn)性、效率、準(zhǔn)確性等。包含通過流量采集還原的數(shù)據(jù)或主動(dòng)爬取的數(shù)據(jù)的安全分析能力等5.2.2.4接口能力接口能力指安全產(chǎn)品和除自身之外的模塊、組件、系統(tǒng)、產(chǎn)品或平臺(tái)的數(shù)據(jù)互聯(lián)互通能力。包含但不限于XML、RPC、Restful、websocket等。5.2.2.5管理能力管理能力指安全產(chǎn)品對(duì)自身管理功能的完善程度。包括用戶管理、存儲(chǔ)管理、安全管理、配置管理、故障分析等。9YD/TxxxX.1-xxxX[1]GB/T22900-2009科學(xué)技術(shù)研究項(xiàng)目評(píng)價(jià)[2]GB/T25000.51-2016系統(tǒng)與軟件工程系統(tǒng)與軟件質(zhì)量要求和評(píng)價(jià)(SQuaRE)第51部分：就緒可用軟件產(chǎn)品(RUSP)的質(zhì)量要求和測(cè)試細(xì)則[3]GB