信息技术软件安全性保障规范

《信息技术软件安全性保障规范》

（征求意见稿）

编制说明

一、任务来源

根据国家标准化管理委员会2008年下达的第3批标准制修订计划，国家标准《信息技术软件安全性规范》由电子技术标准化研究院、复旦大学、总装备部武器装备论证研究中心、浙江省电子信息产品检验所、北京东方通科技股份有限公司、上海计算机软件技术开发中心、万达信息技术有限公司、装备学院共同起草。其标准计划编号是20081350-T-469。

二、编制背景及原则

软件安全性问题一直是一个大家关注的问题，特别是随着信息技术的发展，商业现货软件的出现为系统的组合和架构提供了简便、快捷的方式，缩短了系统研发的周期，但是随之而来的问题是：如何评价这些商业现货软件的安全性？在软件生存周期的各阶段，如何确保软件的安全性？从哪些角度来分析软件安全性？因此有必要制定一个从软件安全性活动、数据和软件的采购和研发等方面进行规范并提供相应的指导原则。在国内软件安全性标准方面，仅有国军标GJB/Z142-2005提供军用软件安全性分析的指南，还没有对安全攸关系统中的安全攸关软件的采购、研发等安全活动进行规范的标准。

美国美国航空航天局NASA针对航空航天工程制定了一系列软件安全性方面的规范，并且有大量的实际应用案例。本标准在编制过程中参照了美国NASA-STD-8719.13B（SOFTWARE SAFETY STANDARD）、NASA-GB-8719.13（Software Safety Guidebook）和NASA—STD-8739.8（Standard for Software Assurance），并根据国内的实际情况进行了裁剪，以适应国内的实际应用。

三、编制过程

根据标准计划要求，于2009年10月成立了由研究机构、高校和企业单位共同参与的标准编制小组。由于国际上ISO/IEC JTC1 SC27重点关注的是信息安全技术，SC7则关注的是软件开发和工程实施过程中的一些标准。我们在研究的过程中发现，为了保证安全攸关软件的安全性，不仅要保证系统集成过程中的安全性，更要关注软件在开发过程中一些重要环节，从而确保软件在集成后，能够不因自己的软件安全性而影响系统的安全性。

本标准在研究与编制过程中，查阅了大量的相关技术文献。国际标准化组织的标准中没有直接可以参考的资料，美国NASA在此方面有一些标准可以借鉴。为此标准起草组首先对NASA的相关标准进行了翻译，并多次组织研究人员进行认真的讨论，数易其稿。在此基础上根据国内的实情情况，对翻译的标准进行了适应性的裁剪，于2011年2月形成了本标准初稿。

针对本标准的初稿，利用标准研讨会的形式，邀请软件安全方面的专家进行了多次研究、讨论和修改，从技术内容上保证了标准的质量。组织信息技术中心及软件研究室内部标准化方面的专家对初稿进行了3次研讨和修改，从标准要求和格式等方面进行了修改。于2012年12月形成了征求意见稿。

四、有关内容说明

1、本标准的适用范围

本标准规定了获取或开发一个安全攸关系统中的软件所必需的软件安全性活动、数据和文档。本标准适用于安全攸关软件的开发和获取过程，也适用于驻留在硬件中的软件（固件），同样适用于COTS软件和任何可复用的软件。

2、本标准的主要内容

在安全攸关系统中，软件的安全性对系统的安全运行和任务的顺利完成起着重要的作用。本标准针对这类安全攸关软件的安全性进行了规范。主要内容有第4章的安全攸关软件的确定（确定过程、安全性分析）、第5章的软件安全性管理（软件安全性计划、人员认证及培训、软件生存周期、文档要求、可追踪性、软件配置管理活动、软件保障活动、工具支持与批准、现货软件、合同管理、认证

过程、放弃/偏离、安全保密性)、第6章的软件开发的安全性需求分析和第7章的软件的运行使用。这些内容涉及到软件的界定、管理、开发和使用等各个方面，是对安全攸关软件的一个全生命周期的规范。

3、其他说明

3.1关于修改标准名称的说明

在标准编制计划中标准的名称是《软件安全性规范》。在标准编制过程中，发现名称与标准内容不是十分相符。在专家提议下，经过标准编制小组的研究决定，把标准名称修改为《软件安全性保障规范》，以与标准内容更符合、更准确。

3.2对于原标准的引用的问题

NASA—STD-8739.13B第2章相关文件中包含了ISO标准、IEEE标准、NASA 标准和其它文件。参照其它国标的惯例，建议将第2章改为“引用文件”，其内容只包括ISO标准和IEEE标准，并删去文中对其他文件的引用，相关的文字作适当的调整。如果IEEE标准有对应的国标或ISO标准（如“软件生存周期过程”），则采用国标或ISO标准。在3.1节的术语和定义中，如果二者语义上基本相同，则将原引用的文字改为国标或ISO标准中的相应文字；如果二者有较大差异，则仍保留对IEEE标准的引用，原引用的文字不改。

3.3关于对原有标准中的一些称谓的修改

在编制过程中，由于NASA—STD-8739.13B标准中涉及到很多NASA本身的一些机构和管理方式，为此在标准中将一些原标准相关机构名称改为对我国具有普适意义的组织机构称谓。如“中心SMA”和“工程SMA组织”都更改为“安全机构”，“变更控制委员会(CCB ，Change Control Board)”更改为“变更控制小组”，“中心项目安全组织”更改为“项目安全机构”。

3.4 关于缩略语及其全称的使用

对原有标准缩略语根据标准文本的修改对相关的缩略语进行了裁剪，特别是与NASA相关的缩略语（如Code Q、GB、GOTS、NASA、NPD、NPR）删去或用其他缩略语替代。

3.5 对于NASA等美国标准相关的引用内容的修改

文中与NASA等美国标准相关的引用内容大体可分以下几类：

1）与NASA其他标准有关的描述。如果该描述不影响对上下文的理解，做了