ICS35. 240 CCS L 67 中华人民共和国行业标准 YD/T XXXXX-XXXX 互联网应用安全能力建设框架 Framework for Internet application security capability construction 点击此处添加与国际标准一致性程度的标识 报批稿 行业标准信息服务平台 XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发 布
YD/TXXXXXXXXX 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规 定起草.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别的责任.
本文件由中国通信标准化协会提出并归口.
本文件起草单位:阿里巴巴(中国)有限公司、中国信息通信研究院、中国互联网络信息中心、 中国联合网络通信集团有限公司、恒安嘉新(北京)科技股份公司.
本文件主要起草人:白晓媛、朱红儒、林晓明、龚自洪、戈志勇、姚健康、高枫、崔婷婷.
行业标准信息服务平台
YD/TXXXXXXXXX 目次 前言 引言.
1范围 2规范性引用文件 3术语与定义, 4概述.... 4.1应用安全能力建设框架.
4.2应用安全保护目标.
4.3应用安全生命周期.. 4.4应用安全能力建设原则. 5基本能力建设... 5.1组织级应用安全能力建设, 5.2应用级应用安全能力建设, 行业标准信息服务平台
YD/T xXXXXXXXX 互联网应用安全能力建设框架 1范围 本文件提供了组织在互联网应用安全能力建设所应具备的技术和管理要求能力框架.
本文件适用于为组织开展互联网应用的设计、开发、测试、运营、维护、处置全生命周期的的安全 保障能力建设提供指导.
2规范性引用文件 本文件没有规范性引用文件.
3术语和定义 下列术语和定义适用于本文件.
3.1 组织 organization 由互联网及相关系统中不同作用的个体为实施共同的业务目标而建立的结构,组织的特性在于为完 成目标而分工、合作:一个单位是一个组织,某个业务部门也可以是一个组织.
[来源:YD/T 1736-2008,3.1.4] 3.2 应用application 用以帮助组织或个人执行特定任务或解决特定业务问题的应用软件和应用数据的集合.
3.3 互联网应用Internet application 在互联网(Internet)环境下运行和维护,承载具有开放、连续、快速选变等特点的互联网业务服 务的应用,包括Web应用、移动终端联网应用、固定终端联网应用及其应用层支撑软件组件.
3.4 应用安全application security 保护应用软件使用过程和结果的可信性以及保护相关应用数据的机密性、完整性和可用性.
3.5 应用安全能力applicationsecuritycapability 组织采取管理和技术控制措施以保障应用安全的能力.
YD/T XXXXXXXXX 3.6 组织级organization level 在组织维度建立的应用安全能力知识库.
3.7 应用级application level 在应用维度建立的应用安全能力知识库.
3.8 安全加固 securityhardening 通过代码加密、代码混淆、防调试追踪、完整性校验等技术,防止被反编译、分析、恶意募改,用 于提高移动应用安全性的技术方法统称.
[来源:3669-2020,2.12] 4概述 4.1应用安全能力建设框架 互联网应用安全能力建设框架如图1所示.
互联网应用安全能力建设框架以应用安全保护目标为导 向,建设组织级应用安全能力和应用级应用安全能力.
标 满足政策合规要求 满足业务安全要求 保护应用规范安全 防止技术环境损害 组织能力 流程能力 人员能力 培训能力 组织级 产品/工具能力 漏洞治理能力 解决方案能力 体系度量能力 能力怕出 能力 应急处置阶段 分级处置 修复和追溯 项目评估 安全运营阶段 运营策略 日常运营 上线/变更阶段 安全配置 软件保护 应急计划 应 级 用 安全测试阶段 安全审核 安全测试 代码修复 安全开发阶段 安全编码 安全编译 静态分析 安全设计阶段 安全设计 安全功能 设计评审 需求分析阶段 场景描述 需求分析 需求评审 图1应用安全能力建设框架
