团 体 标 准 ICS 35.030 CCS L 80 T/ CIIPA 00012—2024 自主可控网络安全技术　基于网络靶场的 软件自主可控能力测试指南 Autonomous and controllable cybersecurity technology —Guideline for testing the autonomous and controllable capabilities of software based on cyber range 2025 ⁃06⁃09 发布 2025 ⁃06⁃11 实施 中关村华安关键信息基础设施安全保护联盟 发 布 中 国 标 准 出 版 社 出 版 全国团体标准信息平台 T/ CIIPA 00012—2024 目　　次 前言………………………………………………………………………………………………………… Ⅲ 引言………………………………………………………………………………………………………… Ⅳ 1　范围……………………………………………………………………………………………………… 1 2　规范性引用文件 ………………………………………………………………………………………… 1 3　术语和定义 ……………………………………………………………………………………………… 1 4　缩略语 …………………………………………………………………………………………………… 2 5　概述……………………………………………………………………………………………………… 3 5.1　软件自主可控能力测试范围 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · …3 5.2　软件自主可控能力管理粒度 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · …3 5.3　软件自主可控能力测试框架 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · …3 5.4　软件自主可控能力评估 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · …4 5.5　基于网络靶场的测试管理 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · …4 6　软件资产自主可控能力测评方法 ……………………………………………………………………… 4 6.1　建立基础库 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · …4 6.2　资产信息初始化 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · …5 6.3　静态测试 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · …5 6.4　仿真测试 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · …6 6.5　实网测试 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · …8 6.6　漏洞处置优先级评定 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · …10 6.7　软件自主可控能力评定 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · …11 附录 A （资料性）　资产库 ………………………………………………………………………………… 13 附录 B （资料性）　组件库 ………………………………………………………………………………… 14 附录 C （资料性）　漏洞库 ………………………………………………………………………………… 15 参考文献 …………………………………………………………………………………………………… 16 Ⅱ 全国团体标准信息平台 T/ CIIPA 00012—2024 前　　言 本文件按照 GB/T 1.1—2020《标准化工作导则　第 1部分：标准化文件的结构和起草规则 》的规 定起草。 请注意本文件的某些内容可能涉及专利 。本文件的发布机构不承担识别专利的责任 。 本文件由中关村华安关键信息基础设施安全保护联盟提出并归口 。 本文件起草单位 ：奇安信科技集团股份有限公司 、软极网络技术 （北京）有限公司 、中国工业互联网 研究院、可信华泰科技有限公司 、北京大学 、长沙市轨道交通运营有限公司 、北京市科学技术研究院 、 中国移动通信集团有限公司 、韶关学院 、中共扬州市委网络安全和信息化委员会办公室 、扬州市大数据 管理中心 、北京柏睿数据技术股份有限公司 、浙江脑动极光医疗科技有限公司 。 本文件主要起草人 ：刘立、郑新华、赵志娟、毛庆梅、张海彬、任燕、苗德成、栾浩、杜君、雷健波、刘如才、 赵菁华、王舒、王喆、郑旻、段古纳、王珊珊、腾迪、王思登、孙可俽、刘先宝、郑国忠、王雪珊、严爱明、赵晶晶、 韩月华、王晓怡、张坤。 Ⅲ 全国团体标准信息平台 T/ CIIPA 00012—2024 引　　言 软件产品自主可控能够有效规避停服断供或安插后门等安全隐患 ，对于确保国家在关键领域的独 立性和安全性 意义重大 。加强对软件自主可控能力的测试管理 ，掌握当前的实际水平和潜在风险 ，是 提升自主可控能力必不可少的措施 。制定本团体标准 ，旨在规范软件研制单位 、使用单位 、测评机构的 测试行为 ，提升其测试管理能力 ，确保软件自主可控能力的稳步提升 。 本文件围绕软件自主可控能力测试方法进行深入剖析 ，主要包括两大部分 ，一是软件自主可控能 力测试的管理框架 ，包括测试范围 、管理粒度 、测试框架以及如何基于网络靶场对测试过程和