标准详情
GB/T 37691-2019《可编程逻辑器件软件安全性设计指南》基本信息
标准号:GB/T 37691-2019
中文名称:《可编程逻辑器件软件安全性设计指南》
发布日期:2019-08-30
实施日期:2020-03-01
发布部门:国家市场监督管理总局 国家标准化管理委员会
提出单位:全国信息技术标准化技术委员会(SAC/TC 28)
归口单位:全国信息技术标准化技术委员会(SAC/TC 28)
起草单位:中国航天科工集团公司第三研究院第三○四研究所、中国电子技术标准化研究院、中国电子科技集团第三十研究所、国家卫星海洋应用中心
起草人:孟伟、杨楠、王黎、姜晓辉、胡勇、黄琼、王国锋、张津荣、李文鹏、朱琳、张国宇、肖崇俭、寇科男、李恺、巫忠跃、彭鸣、毛伟、许卓琦、张旸旸、陈元、史玥、陈鹏、刘廷、杨永生、王希、孙健、葛永娇
中国标准分类号:L77软件工程
国际标准分类号:35.080软件开发和系统文件
GB/T 37691-2019《可编程逻辑器件软件安全性设计指南》介绍
国家市场监督管理总局联合国家标准化管理委员会于2019年8月30日发布了GB/T 37691-2019《可编程逻辑器件软件安全性设计指南》(以下简称“本标准”)。本标准自2020年3月1日起正式实施,
一、标准目的与适用范围
本标准适用于所有涉及可编程逻辑器件软件设计的企业和个人,无论是在设计、开发还是测试阶段,都应遵循本标准的要求。
二、标准内容概览
1、设计原则:明确了在设计可编程逻辑器件软件时应遵循的基本安全原则,包括最小化风险、确保数据完整性和保密性、以及实现有效的错误处理机制。
2、生命周期管理:介绍了从需求分析到软件退役的整个生命周期中,应如何管理和控制软件的安全性。
3、风险评估:提供了一套风险评估框架,帮助设计人员识别和评估软件设计中可能存在的安全风险。
4、安全特性:详细描述了软件应具备的安全特性,如访问控制、加密和认证机制等。
5、测试与验证:指导如何对软件进行测试和验证,以确保其安全性。
6、维护与更新:强调了软件维护和更新过程中的安全性要求,包括及时修复安全漏洞和发布安全补丁。
三、设计原则详解
安全性与功能性并重:在设计过程中,应平衡软件的功能性与安全性,确保两者都能得到充分的考虑。
数据保护:软件应采取有效措施保护数据不被未经授权的访问和篡改。
错误处理:软件应能够妥善处理异常情况和错误,避免因错误处理不当导致的安全问题。
四、生命周期管理的重要性
软件的生命周期管理是确保其安全性的关键环节。本标准强调了从需求分析、设计、编码、测试、部署到维护和退役的每个阶段都应有明确的安全要求和措施。这有助于在整个生命周期中持续监控和改进软件的安全性。
五、风险评估方法
风险评估是识别和量化软件潜在安全风险的过程。本标准提供了一套系统的风险评估方法,包括风险识别、风险分析和风险处理。通过这一过程,设计人员可以更好地理解软件的潜在风险,并采取相应的措施来减轻这些风险。
六、安全特性的实现
访问控制:确保只有授权用户才能访问系统资源。
加密:对敏感数据进行加密,防止数据泄露。
认证机制:确保用户身份的真实性。
七、测试与验证的必要性
测试与验证是确保软件安全性的重要环节。本标准指导设计人员如何进行软件的测试和验证,包括单元测试、集成测试和系统测试等。通过这些测试,可以发现并修复软件中的安全漏洞。
八、维护与更新策略
定期检查:定期检查软件的安全状态,及时发现并修复安全漏洞。
安全补丁:及时发布安全补丁,修复已知的安全漏洞。
用户教育:教育用户如何安全地使用软件,提高整体的安全性。
GB/T 37691-2019《可编程逻辑器件软件安全性设计指南》为可编程逻辑器件软件的设计提供了一套全面的安全指导原则。通过遵循本标准,企业和设计人员可以有效地提高软件的安全性,减少由于软件缺陷导致的安全风险。
