《信息安全技术 面向服务架构类应用安全技术要求》（征求意见稿）编制说明

1《信息安全技术面向服务架构类应用安全技术要求》一、工作简况（一）任务来源本标准2023年由北京启明星辰信息安全技术有限公司向中国基本建设优化研究会（简称：中基会）提出立项，中基会于2023年5月31日正式下达立项计划，计划编号为：P2023-06。本标准由中国基本建设优化研究会提出并归口。本标准由北京启明星辰信息安全技术有限公司为牵头单位的起草小组组织起草。（二）标准制订的目的和意义目前，安全开发生命周期（SDL）在国内外有广泛的应用，并在此基础上进行修改以求适配当前企业现状。同时BSIMM相关软件成熟度评估模型也逐步扩大影响力，用于从指标/量化方面进行应用安全相关评估从而更好的知道应用安全防御体系的建设。在应用安全风险检测/防御领域，目前业内对运行时应用自我保护（RASP）等新型防御技术以及交互式应用程序安全测试（IAST）等检测技术投入相当大的关注度和研究过程，希望从运行态中进行更加全面/更加有效的风险检测/防御。但因为两者在复杂的业务技术场景下对业务稳定性的影响不好评估，因此在工业界还处于初步尝试落地状态。结合应用软件行业快速迭代，快速交付等特性，应用安全标准未来的发展趋势，需要着力于解决日常业务复杂性和业务体量增加带来的挑战，专家经验无法复用需要沉淀、业务运营成本高、安全人员支撑系统部完备、风险感知滞后等痛点问题。伴随互联网的快速发展，传统PC应用逐步扩张到移动、IoT等领域，应用的复杂度、应用面临的攻击面也随之扩大。相关组织在实际业务生产过程中，或多或少会面临来自外界的安全风险，而应用作为直接对外暴露的主要服务之一，它的安全也是组织的第一道防线，组织如何建立有效的应用安全机制对线上业务安全高效运行显得尤其重要。目前我们已经发布和在研的应用安全相关标准，如《应用软件安全编程指南》、《应用软件系统通用安全技术要求》、《应用软件系统安全等级保护通用技术指南》等是对具体编程、系统方面的要求和指导，没有对组织能力建设方面的指导性标准。因此迫切需要相关标准为组织应用安全能力体系建设提供参考依据。本标准可用于指导组织开展应用安全能力体系建设，也可用于第三方评估机构等对组织的应用安全能力进行评估时参考。主要解决的问题如下：（1）组织如何建设和提升应用安全能力；（2）在应用安全实践中，如何降本增效，如何推进应用安全的有效执行；（3）如何评估应用安全执行的效果；（4）在应用软件开发过程中，数据安全、供应链安全等也成为不可忽视的重要安全因素，如何将应用安全、数据安全、供应链安全等有机整合，全方位提升应用安全水平。（三）主要工作过程2（1）项目预研项目前期，主编单位、中国基本建设优化研究会、北京蓝象标准咨询服务有限公司对信息安全技术进行了系统的研究，针对应用软件的市场情况、需求情况等进行了资料查证和企业走访调研，并结合专家意见形成了立项建议书和标准草案框架。2023年5月29日召开了立项评估会，经专家论证，同意该标准立项。中国基本建设优化研究会于2023年5月31日下达了标准制定计划。（2）项目立项2023年5月31日上午，中国基本建设优化研究会下达了《信息安全技术应用安全能力体系建设指南》等7项“信息安全技术”系列团体标准立项通知，要求标准主要起草单位抓紧落实和实施计划，在标准起草过程中加强与有关方面的协调，广泛听取意见，保证标准质量和水平，按时完成团体标准制订任务。（3）项目启动及首次研讨会2023年6月27日，由中国基本建设优化研究会主办、北京蓝象标准咨询服务有限公司承办的《信息安全技术面向服务架构类应用安全技术要求》等7项“信息安全技术”系列团体标准启动会在北京召开。中国基本建设优化研究会党委书记（会长）孙晓洲、中国标准化委员会委员（博士生导师）强毅出席会议并致辞，中国基本建设优化研究会秘书长宫然、中国基本建设优化研究会标准化技术委员会主任委员段小莉出席会议并总结发言，公安部科技信息化局原局长厉剑、中国科学院计算机网络信息中心大数据部副主任（国家基础学科公共科学数据中心主任）胡良霖、中国标准化研究院高新技术与信息标准化研究所副所长王志强、国家信息技术安全研究中心原副总工程师宫亚峰等领导和专家出席会议。会议由中国基本建设优化研究会标准化技术委员会副主任委员（北京蓝象标准咨询服务有限公司首席技术官）张德保主持。《信息安全技术应用安全能力体系建设指南》等7项“信息安全技术”系列团体标准首次研讨会由中国基本建设优化研究会标准化技术委员会副主任委员（中国科学院计算机网络信息中心大数据部副主任、国家基础学科公共科学数据中心主任）胡良霖主持，北京启明星辰信息安全技术有限公司代表标准起草组，对《信息安全技术应用安全能力体系建设指南》标准的主笔单位、研制背景、标准主要内容和标准编制情况进行了介绍，并汇报了会议前收到的修改意见预处理情况。随后，参会代表结合意见预处理情况，围绕标准的名称、技术框架、条款的陈述方式等方面展开了热烈的讨论，主编单位代表对各参会代表所提建议和意见进行了详细的记录和解答。会后，标准起草组针对启动会会前和会上，和专家提出的27条建议和意见进行分析和研究，对标准草案进行相应修改与完善，形成新一版的标准文本。经标准研制组研究讨论，将标准名称改为《信息安全技术面向服务架构类应用安全技术要求》。（4）第二次研讨会2023年10月20日，由中国基本建设优化研究会主办，北京蓝象标准咨询服务有限公司、中国工业互联网研究院联合承办的《信息安全技术面向服务架构类应用安全技术要求》等7项信息安全技术系列团体标准第二次研讨会在京成功召开。中国基本建设优化研究会标准化技术委员会主任委员、北京蓝象标准咨询服务有限公司总经理段小莉，中国工业互联网研究院主任薛强出席会议并致辞，公安部科技信息化局原党委书记、局长（研究员）厉剑作为特邀专家出席会议并做点评。自59家企事业单位60余名代表参加3了会议，会议由中国基本建设优化研究会标准化技术委员会标准化工程师吴建全主持。主编单位北京启明星辰信息安全技术有限公司代表标准起草组介绍标准讨论稿和意见处理情况，参会领导、专家和企业代表重点围绕标准的范围和定位、技术框架、性能指标、条款内容等方面展开了热烈的讨论，并对标准文本的修改和完善提出了很多宝贵的建议和意见。同时，特邀专家公安部科技信息化局原党委书记、局长（研究员）厉剑从专业技术角度对标准进行了专业点评。主编单位代表对各参编单位代表所提建议和意见进行了详细的记录和解答，会后，标准起草组针对各单位和专家提出的31条修改建议进行了处理，并对相应的标准文本进行修改。（四）主要参加起草单位和工作组成员所做的工作本标准起草工作组由北京启明星辰信息安全技术有限公司为牵头单位组成。起草组承担了标准起草的组织、标准文本的编制、重点企业意见征求、标准编制说明的撰写和内审等工作。二、标准编制原则和确定标准主要内容的依据（一）标准编写原则本标准按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。起草过程，充分考虑现有相关标准的统一和协调；标准的要求充分考虑了国内当前的行业技术水平，对草案内容进行多次征求意见和充分讨论。（二）确定标准主要技术指标的基本原则编制文件的目标是通过规定清楚、准确和无歧义的条款,使得本指南能够为未来技术发展提供框架。并被未参加文件编制的专业人员所理解且易于应用,从而促进应用安全产品和技术的发展以及技术合作。,起草本指南时，编制组基于应用安全最新技术水平和当前市场情况，认真分析应用安全领域的标准化需求，考虑了以下总体原则:1)一致性原则：本文件各章节之间结构以及要素的表述宜保持一致；2)协调性原则：起草的文件与现行有效的文件之间宜相互协调，避免重复和不必要的差异；3)易用性原则：本文件的内容的表述宜便于直接应用,并且易于被其他文件引用或剪裁使用。（三）主要内容本标准给出了以面向服本文件针对面向服务架构方法设计的应用系统，安全技术要求由技术要求和安全管理要求两部分构成，其中应用安全防护技术要求又分为应用运营安全防护技术要求、动态访问控制技术要求以及密码服务技术要求；应用安全管理要求又分为安全防护能力配置管理和应用功能管理。务架构方法构建的应用安全技术要求和应用安全管理要求。（1）应用安全技术要求——应用运营安全防护技术：应用安全识别、应用安全防护、应用安全监测、应用安全响应、溯源与反制。——动态访问控制技术：应用认证、应用权限、应用审计、终端环境感知——密码服务技术：算法和密钥相关技术4（2）安全管理要求——安全防护能力配置管理：支持对安全识别、安全防护、安全检测、安全响应等服务的各种配置的统一管理，包括但不限于相应服务的基本配置、管理界面、使用界面。——应用功能管理：认证管理、权限管理、终端环境感知管理、审计管理。——运维管理：各子系统、组件程序；系统设备、接口运行等。（四）主要依据本标准在贯彻落实我国网络安全、信息安全相关国家政策基础上，通过研究分析相关国家标准、行业标准提出本项目的研制思路，主要参考以下标准：GB/T20271-2006信息安全技术信息系统通用安全技术要求GB/T22239-2019信息安全技术网络安全等级保护基本要求GB/T25069信息安全技术术语GB/T34080.4-2021基于云计算的电子政务公共平台安全规范第4部分:应用安全GA/DSJ300GA/DSJ350GA/DSJ351GA/DSJ352公安大数据安全总体技术框架公安大数据安全安全访问与数据交换技术设计要求公安大数据安全零信任体系技术设计要求公安大数据安全安全防护体系技术设计要求GM/T0054-2018信息系统密码应用基本要求三、与国际、国外同类标准技术内容的对比情况国外暂无面向服务架构的应用安全能力体系相关标准。四、与有关法律、行政法规及相关标准关系的说明目前我们已经发布和在研的应用安全相关标准，如《应用软件安全编程指南》、《应用软件系统通用安全技术要求》、《应用软件系统安全等级保护通用技术指南》等是对具体编程、系统方面的要求和指导，没有对组织能力建设方面的指导性标准。本标准填补相关空白，为组织应用安全能力体系建设提供参考依据。五、重大分歧意见的处理经过和依据本文件在起草过程中，对标准中的技术内容没有发生重大分歧。六、涉及专利的有关说明本文件不涉及专利。七、数据验证5核心内容和技术要求依据：本标准通过收集、整理当前信息安全技术面向服务架构的应用安全能力体系产品技术相关国内外文献22篇，查阅数字化相关现行国家、行业标准数十项，并调研涉及信息安全技术面向服务架构的应用安全能力体系技术应用的企业5家。为本标准核心内容和技术指标做了哪些验证？本文件核心内容分为两部分，分别为应用安全技术要求和应用安全管理要求；其中应用安全技术要求又分为应用运营安全防护技术要求、动态访问控制技术要求以及密码服务技术要求。应用运营安全防护技术聚焦于应用运行过程安全防护，以IPDRR作为为基础框架，建立了以识别为基础，以防护、检测为中心，以响应恢复和常态化保障作为支撑，最终建立“事前、事中、事后”的全过程支撑能力，变被动为主动，直至达到完全的动态自适应安全能力。本文件中的应用运行过程安全防护技术要求中的能力已在公安、政法、政务、金融、央企等多个行业进行了落地和验证，产品与解决方案均较为成熟。动态访问控技术要求和应用安全管理要求均是以零信任框架，包括了认证、权限、环境感知、审计；最开始在远程办公场景使用，随着需求和产品的丰富，现已逐步使用于更广泛的场景：如分支机构接入、开发测试、安全运维、跨域访问、跨网访问、跨网交换等，在各行各业打造典型了众多样版案例。密码服务要求从算法支持和安全密钥更新周期的设置给出了要求，在密码产品中均已实现，如VPN、各类密码机等。八、预期社会经济效益目前，安全开发生命周期（SDL）在国内外有广泛的应用，并在此基础上进行修改以求适配当前企业现状。同时BSIMM相关软件成熟度评估模型也逐步扩大影响力，用于从指标/量化方面进行应用安全相关评估从而更好的知道应用安全防御体系的建设。在应用安全风险检测/防御领域，目前业内对运行时应用自我保护（RASP）等新型防御技术以及交互式应用程序安全测试（IAST）等检测技术投入相当大的关注度和研究过程，希望从运行态中进行更加全面/更加有