T∕SIA 008.1-2018 就绪可用软件产品(RUSP)安全质量评价标准 第1部分 安全质量模型.pdf
《T∕SIA 008.1-2018 就绪可用软件产品(RUSP)安全质量评价标准 第1部分 安全质量模型.pdf》由会员分享,可在线阅读,更多相关《T∕SIA 008.1-2018 就绪可用软件产品(RUSP)安全质量评价标准 第1部分 安全质量模型.pdf(9页珍藏版)》请在咨信网上搜索。
1、 T/ SIA 中 国 软 件 行 业 协 会 团 体 标 准 T/SIA 008.12018 就绪可用软件产品(RUSP)安全质量评价标准 第 1 部分 安全质量模型 Ready to Use Software Product (RUSP) Security Evaluation CriteriaPart 1:Security Quality Model ICS 35.020 I651 _ 2018-12-12 发布 2018-12-12 实施 中 国 软 件 行 业 协 会 发 布 T/SIA 008.12018 I 目 录 前言 . II 1 范围 . 1 2 规范性引用文件 . 1 3
2、 术语、定义和缩略语 . 1 3.1 软件质量 . 1 3.2 软件安全 . 1 3.3 软件安全质量 . 2 3.4 本质安全 . 2 3.5 结构安全 . 2 3.6 安全属性 . 2 3.7 就绪可用软件产品 . 2 4 安全质量模型框架 . 2 4.1 模型结构 . 2 4.2 安全质量模型及属性说明 . 2 4.3 安全质量模型目标 . 5 4.4 利益相关方 . 5 4.5 安全质量模型的使用 . 6 5 参考文献 . 6 T/SIA 008.12018 II 前 言 本标准按照GB/T 1.1-2009给出的规则起草。 本标准由中国软件行业协会提出并归口。 本标准起草单位:中国软
3、件行业协会系统安全工程分会、大连理工大学、北京天融信网络安全技术有限公司、联想集团(北京公司)、远光软件股份有限公司、北京圣世信通科技发展有限公司。 本标准主要起草人:宋明秋、付晓宇、陈宝国、张然、陈兴跃、李汝鑫、李锋、李广志。 本标准为首次制定。 T/SIA 008.12018 1 1 范围 本标准的本部分定义了: a)软件产品安全质量模型,该模型由9个属性组成,每一个属性又可以进一步细分为一些子属性, 这些属性关系到软件的静态安全性和系统的动态安全性。 这一模型用于指导就绪可用软件产品的安全质量要求。 b)本部分为就绪可用软件产品(RUSP)安全质量评价标准的第1部分。 c)本部分在GB/
4、T 25000.10/ISO/IEC 25010的系统与软件质量模型基础之上,进一步清晰了软件产品在安全性方面应该具有的属性特征, 以及描述这些安全属性的子属性。 这些属性是基于网络与信息系统安全的基本特性而建立或划分的,一般认为它们具有原子性特征。 d)本部分可用于指导RUSP软件开发的安全质量管理。 注1:RUSP是指一种打包出售给对其特征和质量没有任何影响的需方的软件产品。典型的情况是,这种软件产品与其用户文档集一起预先包装好出售,或者从Web商店下载。用户能在任何时间通过云计算平台下载使用的软件产品都可以认为是RUSP软件产品。 注2:RUSP的例子包括但不限于:文本处理程序、电子表格
5、、数据库管理软件、图形包、以及用于技术的、科学的或实时的嵌入式功能的软件(例如实时操作系统)、人力资源管理软件、营销管理、生产管理、库存管理、智能手机应用APP、免费软件、以及诸如Web网站和主页生成器之类的Web软件。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注明日期的引用文件, 仅注日期的版本同样适用于本文件。凡是不注日期文件的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 25000.10-2016 系统与软件工程 系统与软件质量要求和评价 (SQuaRE) 第10部分:系统与软件质量模型。 GB/T 25000.51-2016 系统与软件质量要
6、求和评价(SQuaRE)第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则。 本标准为首次制定。 3 术语、定义和缩略语 3.1 软件质量 Software Quality 在规定条件下使用时,软件产品满足明确和隐含要求的能力。 3.2 软件安全 Software Security 在面临蓄意威胁其可靠性的事件的情形下依然能够提供所需功能的能力。 T/SIA 008.12018 2 3.3 软件安全质量 Software Security Quality 描述了软件产品在受到它方信息安全攻击破坏的时候保护自身及所承载文件、 数据的能力,即软件产品内在的本质安全特性。 3.4 本质安全
7、 Intrinsic Security 指通过设计等手段使生产设备或生产系统本身具有安全性, 即使在误操作或发生故障的情况下也不会造成事故的功能。 具体包括失误安全功能 (误操作不会导致事故发生或自动阻止误操作),以及故障安全功能(设备、工艺发生故障时还能暂时正常工作或自动转变为安全状态)。 3.5 结构安全 Secure Structures 指软件/系统的框架结构上的安全程度, 包括模块组成、 块间关联及交互机制的安全性。 3.6 安全属性 Secure Attributes 安全属性是指软件产品本身固有的持久的安全特性,用于描述软件产品的安全质量。 3.7 就绪可用软件产品 Ready
8、to Use Software Product(RUSP) 无论是否付费,任何用户可以不经历开发活动就能获得的软件产品。 注1:RUSP包括:产品说明(包括全部封面信息、数据表、网页信息等);用户文档集(安装和使用软件所必需的文档) , 包括为运行该软件产品所要求的操作系统或目标计算机的任何配置; 计算机媒体 (磁盘、CD-ROM、网络可下载的媒体等)上的软件。 注2:软件主要由程序和数据组成。 注3:本定义也适用于产品说明、用户文档集,以及作为单独的制成品而被生产和支撑的软件,该软件不收取通常的商业费用和证书费用。 4 安全质量模型框架 4.1 模型结构 本标准采用ISO/IEC 25000
9、系列标准中质量模型的树形结构予以表达。其中安全质量用安全属性集合来描述, 并在某些情况下将安全属性进一步分解为子属性 (某些子属性又被分解为子子属性)。这一层次化分解提供了便利的产品质量分级方法,也与系统工程的结构化分析方法相符合。 4.2 安全质量模型及属性说明 软件安全质量模型包括保密性、完整性、可用性、真实性、访问授权、可记账性/可审 T/SIA 008.12018 3 计性、结构安全性、脆弱性和隐私安全性共9个属性特征,这些属性又被进一步分解为下一级的子属性。分解的目的是为了获得对该属性的可导出的质量测度。 4.2.1 安全质量模型 软件安全质量模型框架如图 1 所示。 图1 软件安全
10、质量模型框架 4.2.2 属性说明 4.2.2.1 保密性 确保数据只有在授权时才能被访问的程度。主要包括: a)保密机制。为保护数据资产不被未授权用户非法读取而采取的加密技术或措施,如采用对称加密、非对称加密、信息摘要技术或者隐写术等。 b)密钥管理。对密钥生命周期全过程的安全管理,包括密钥的产生、交换、存储、更新、归档和销毁的过程管理。 4.2.2.2 完整性 描述软件、系统或组件防止未授权访问、篡改计算机程序或数据的程度。主要包括: a)软件自身的完整性。指软件能够按照预期的功能运行,不受任何有意的或者无意的非法错误所破坏的属性。 b)数据/文件的完整性。指软件在传输、存储信息或数据的过
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- TSIA 008.1-2018 就绪可用软件产品RUSP安全质量评价标准 第1部分 安全质量模型 SIA 008.1 2018 就绪 可用 软件产品 RUSP 安全 质量 评价 标准 部分 模型
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【fangha****n2009】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【fangha****n2009】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
链接地址:https://www.zixin.com.cn/doc/77513.html