ICS 35.110 CCS M 11 YD 、 中华人民共和国 通信行业标准 YD/T XXXXX—XXXX 网络空间安全仿真 产品安全测评管理系统 技术要求 Cybersecurity emulation ─ Product security assessment management system technical requirements 报批稿 XXXX - XX - XX发布 XXXX - XX - XX实施 中华人民共和国工业和信息化部 发 布 XX/T XXXXX—XXXX I目 次 前言 .................................................................................. II 1 范围 ................................................................................. 1 2 规范性引用文件 ....................................................................... 1 3 术语和定义和缩略语 ................................................................... 1 4 概述 ................................................................................. 2 5 功能要求 ............................................................................. 2 5.1 测评资源管理 ..................................................................... 2 5.2 测评对象管理 ..................................................................... 2 5.3 测评拓扑管理 ..................................................................... 3 5.4 测评任务管理 ..................................................................... 3 5.5 测试用例管理 ..................................................................... 3 5.6 测评流程管理 ..................................................................... 4 5.7 测评自动执行 ..................................................................... 4 5.8 测评报告自动生成 ................................................................. 4 5.9 测评工具管理 ..................................................................... 4 5.10 测评结果管理 .................................................................... 4 6 自身安全要求 ......................................................................... 4 6.1 用户标识和权限管理 ............................................................... 4 6.2 身份鉴别管理 ..................................................................... 5 6.3 安全审计 ......................................................................... 5 6.4 入侵防范 ......................................................................... 5 6.5 数据安全 ......................................................................... 6 XX/T XXXXX—XXXX II前 言 本文件按照 GB/T1.1-2020 《标准化工作导则 第1部分：标准化文件的结构和起草规则 》的规定起草 。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位 ：北京天融信网络安全技术有限公司、鹏城实验室、广州大学网络空间先进技术研 究院、北京奇虎科技有限公司 、中兴通讯股份有限公司 、贵州国卫信安科技有限公司 、中国科学技术大 学、南京理工大学 、南开大学 、华为技术有限公司 、华信咨询设计研究院有限公司 、四川亿览态势科技 有限公司、网络通信与安全紫金山实验室。 本文件主要起草人 ：李雪莹、李树栋、贾焰、万可、雷晓锋、王龑、王继刚、刘宇泽、高晶、张屹、 田志宏、钱晓斌、曾凡平、李千目、惠红刚、韩伟红、张健、余晓光、孙小平、蔡翰智、杨洪起、邢真、 刘霈霖、张玉、王志、董平。 XX/T XXXXX—XXXX 1网络空间安全仿真 产品安全测评管理系统技术要求 1　范围 本文件规定了在网络空间安全仿真环境中对于安全产品 、网络产品和主机产品进行安全方面的自动 化在线测评的系统的技术要求。 本文件适用于指导网络空间安全仿真环境中的产品安全自动在线测评系统的设计 、开发、建设、部 署及检测，其他场景下的产品安全测评管理系统也可参考使用。 2　规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。其中，注日期的引用文件 ， 仅该日期对应的版本适用于本文件 ；不注日期的引用文件，其最新版本（包括所有的修改单 ）适用于本 文件。 GB/T 25069-2022 信息安全技术 术语 3　术语和定义和缩略语 GB/T 25069-2022 界定的以及下列术语和定义适用于本文件。 3.1　 评价对象 　target of evaluation 被评价的信息技术产品或系统及其相关的指南文档。 3.2　 测评任务 test task 为测试评价对象的安全功能、安全性等所进行的的测试活动。 3.3　 测试用例 test case 为测试某个特殊功能或性能而编制的一组测试输入 、执行条件以及预期结果 ，其内容包括测试目标 、 测试环境 、输入数据 、测试步骤 、预期结果 、测试脚本等 ，用于核实某个测试对象是否满足某个特定要 求。 3.4　 测试组件 test suite 一组具有相关功能的测试用例的集合。 XX/T XXXXX—XXXX 24　概述 基于网络安全仿真环境的产品安全测评管理系统能够将针对仿真环境中的评价对象设备的安全评 估任务分解成若干个自动化测试任务 ，并触发这些测试任务在仿真环境中的在线执行 ，从参与测试的设 备上收集测试结果 ，自动生成评估报告 ，给出对评价对象设备的评估结果 ，系统也提供全流程的信息化 支持和智能评估等辅助功能 。产品安全测评管理系统支持测评资源管理 、测评拓扑管理 、测评用例管理 、 测评流程管理 、测评自动执行 、测评报告自动生成和测评工具集成管理等功能 ，能够 根据所定义的测试 任务的需求动态分配并调度网络安全仿真环境中的测试工具 、测试仪表 、测试代理 、基准应用服务等测 试资源，在测试任务完成后 ，可自动生成测试报告 ，释放资源给其他测试任务利用 ，从而实现对安全产 品、网络产品和主机产品的安全性进行自动化的在线测试与评估。 图1　网络安全仿真环境中安全测评管理系统部署应用示例 如图1所示，在网络安全仿真环境中，为达到一定的测试目的，如测试评价对象的安全功能、性能 及自身安全性等 ，用户可通过测评管理系统创建针对评价对象的测评任务 ，为该任务选择合适的测试用 例并设定测评流程 ，调度网络安全仿真环境中的测试仪表和测试代理等资源 ，对测试对象进行在线测试 与评估。 5　 功能要求 5.1　测评资源管理 本项要求包括： a) 应支持对网络安全仿真环境中测试仪表 、网络设备 、服务器、测试工具 、测试代理和被测设备 等资源的管理； b) 应支持对测试资源的基本信息的添加、编辑、删除等维护操作； c) 应支持在测试过程中对测试资源进行动