T/CICC
中国指挥与控制学会团体标准
T/CICC35001-2026
复杂软件系统信息安全性技术要求
Technicalrequirementsfor security of plex software systems
中国指挥与控制学会 发布
目次
前言 III1范围.2规范性引用文件 3术语与定义.4缩略语5软件信息安全性定性要求5.1软件信息安全性分析5.1.2完整性要求 5.1.1保密性要求,5.1.3抗抵赖性要求,5.1.4可核查性要求.5.2代码信息安全性要求 5.1.5真实性要求.5.2.1安全编码规范.5.2.2安全依赖与组件管理5.2.3代码自检与静态分析5.3接口信息安全性要求. 5.3.1接口规范化,5.3.2接口认证与授权..5.3.3数据保护与可观测性5.3.4接口鲁棒性与隔离性 55.4模型信息安全性要求. 5.4.1模型管理与访问控制.5.4.2模型逻辑与形式化验证5.4.3模型实现一致性..5.5软件系统信息安全性要求. 5.4.4模型仿真与早期评估,5.5.1软件系统模式与可测性,5.5.2软件系统行为可控性5.5.3软件系统自检与持续安全运营 66软件信息安全性定量指标 6.1访问的可审核性6.2访问的可控制性.6.3数据的抗抵赖性,6.4数据加密覆盖率. 6.5抗注入攻击能力覆盖率6.6权限变更合规率6.7敏感操作响应时效达标率.6.8安全补丁安装覆盖率 86.9数据传输加密率.
6.10身份认证成功率 86.11安全日志留存达标率 66.12漏润扫描覆盖率 66.13会话超时合规率 96.15日志自动化分析覆盖率 6.14错误信息淮露率. 67软件信息安全性支撑技术. 107.1软件信息安全性需求阶段支撑技术.. 107.1.1需求阶段代码级信息安全支撑技术 7.1.2需求阶段接口级信息安全支撑技术 11 107.1.3需求阶段模型级信息安全支撑技术, 137.1.4需求阶段软件系统级信息安全支撑技术 147.2软件信息安全性设计阶段支撑技术. 167.2.1设计阶段代码级信息安全支撑技术 7.2.2设计阶段接口级信息安全支撑技术. 17 167.2.3设计阶段模型级信息安全支撑技术. 197.2.4设计阶段软件系统级信息安全支撑技术 207.3软件信息安全性实现阶段支撑技术. 7.3.1实现阶段代码级信息安全支撑技术 227.3.2实现阶段接口级信息安全支撑技术 247.3.3实现阶段模型级信息安全支撑技术. 257.3.4实现阶段软件系统级信息安全支撑技术, 277.4软件信息安全性测试阶段支撑技术. 7.4.1测试阶段代码级信息安全支撑技术. 287.4.2测试阶段接口级信息安全支撑技术. 307.4.3测试阶段模型级信息安全支撑技术.7.4.4测试阶段软件系统级信息安全支撑技术, 347.5软件信息安全性发布与维护阶段支撑技术. 7.5.1发布与维护阶段代码级信息安全支撑技术 35 357.5.2发布与维护阶段接口级信息安全支撑技术 377.5.3发布与维护阶段模型级信息安全支撑技术8软件信息安全性全生命周期活动和适应阶段, 7.5.4发布与维护阶段软件系统级安全支撑技术, 408.1需求阶段活动. 428.2设计阶段活动 438.3实现阶段活动... .438.5发布与维护阶段活动 8.4测试阶段活动.. 44 45参考文献.....
前言
本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草.
请注意本文件的某些内容可能涉及专利,本文件的发布机构不承担识别专利的责任.
本文件由中国指挥与控制学会提出并归口.
航天大学国际创新学院)、中国科学院声学研究所、中国船舶集团有限公司综合技术经济研究院、可 本文件起草参与单位:北京航空航天大学、杭州市北京航空航天大学国际创新研究院(北京航空靠性与环境工程技术国家级重点实验室、北京航空航天大学可靠性工程研究所.
本文件主要起草人:杨顺昆、彭晟豪、郝程鹏、周怡婧、司昌龙、丁健洋、王晶、吴梦丹、刘佳、张炜华.
