ICS 35.240 CCS L 67 中华人民共和国行业标准 YD/T XXXXX—XXXX 互联网应用安全能力建设框架 Framework for Internet application security capability construction 点击此处添加与国际标准一致性程度的标识 报批稿 XXXX - XX - XX发布 XXXX - XX - XX实施 中华人民共和国工业和信息化部 发 布 YD/T XXXXX—XXXX I 前 言 本文件按照 GB/T 1.1—2020《标准化工作导则 　第1部分：标准化文件的结构和起草规则》的规 定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位： 阿里巴巴（中国）有限公司、中国信息通信研究院、中国互联网络信息中心、 中国联合网络通信集团有限公司、恒安嘉新（北京）科技股份公司。 本文件主要起草人：白晓媛、朱红儒、林晓明、龚自洪、戈志勇、姚健康、高枫、崔婷婷。 YD/T XXXXX—XXXX II 目 次 前言 ................................................................................... I 引言 ........................................................................ II 1 范围 ................................................................................. 1 2 规范性引用文件 ....................................................................... 1 3 术语与定义 ........................................................................... 1 4 概述 ................................................................................. 2 4.1 应用安全能力建设框架 ...................................................... 2 4.2 应用安全保护目标 ......................................................... 3 4.3 应用安全生命周期 ......................................................... 3 4.4 应用安全能力建设原则 ...................................................... 3 5 基本能力建设 ......................................................................... 4 5.1 组织级应用安全能力建设 .................................................... 4 5.2 应用级应用安全能力建设 .................................................... 5 YD/T XXXXX—XXXX 1 互联网应用安全能力建设框架 1　范围 本文件提供了组织在互联网应用安全能力建设所应具备的技术和管理要求能力框架。 本文件适用于为组织开展互联网应用的设计 、开发、测试、运营、维护、处置全生命周期的的安全 保障能力建设提供指导。 2　规范性引用文件 本文件没有规范性引用文件。 3　术语和定义 下列术语和定义适用于本文件。 3.1　 组织 organization 由互联网及相关系统中不同作用的个体为实施共同的业务目标而建立的结构 ，组织的特性在于为完 成目标而分工、合作；一个单位是一个组织，某个业务部门也可以是一个组织。 [来源：YD/T 1736-2008 ，3.1.4] 3.2　 应用 application 用以帮助组织或个人执行特定任务或解决特定业务问题的应用软件和应用数据的集合。 3.3　 互联网应用 Internet application 在互联网 （Internet ）环境下运行和维护 ，承载具有开放 、连续、快速迭变等特点的互联网业务服 务的应用，包括 Web应用、移动终端联网应用、固定终端联网应用及其应用层支撑软件组件。 3.4　 应用安全 application security 保护应用软件使用过程和结果的可信性以及保护相关应用数据的机密性、完整性和可用性。 3.5　 应用安全能力 application security capability 组织采取管理和技术控制措施以保障应用安全的能力。 YD/T XXXXX—XXXX 2 3.6　 组织级 organization level 在组织维度建立的应用安全能力知识库。 3.7　 应用级 application level 在应用维度建立的应用安全能力知识库。 3.8　 安全加固 security hardening 通过代码加密 、代码混淆 、防调试追踪 、完整性校验等技术 ，防止被反编译 、分析、恶意篡改 ，用 于提高移动应用安全性的技术方法统称。 [来源：3669-2020 ，2.12] 4　概述 4.1　应用安全能力建设框架 互联网应用安全能力建设框架如图 1所示。互联网应用安全能力建设框架以应用安全保护目标为导 向，建设组织级应用安全能力和应用级应用安全能力。 图1 应用安全能力建设框架 YD/T XXXXX—XXXX 3 组织级应用安全能力要求包括组织能力、流程能力、人员能力、产品 /工具能力、数据指标能力、 风险感知能力、体系度量能力、安全管控能力等能力项。 应用级应用安全能力以应用安全生命周期阶段为导引，每个阶段定义相应的应用安全能力。 应用安全能力建设工作并非从零开始 ，应该与组织已有的信息安全管理体系 、实际应用生命周期相 结合。本文件仅描述互联网应用安全能力建设的目标状态 ，如何将安全能力技术化或流程化 ，并且与组 织实际信息安全管理体系、应用生命周期融合，不在本文件范围之内。 4.2　应用安全保护目标 应用依赖于特定的上下文环境 ，包括政策法规约束 、支撑特定业务活动 、组织策略下关于应用的约 束规则，并且依赖于底层的软硬件平台，因此，应用安全保护目标包括四个方面： a) 满足政策合规要求：满足政策法规对互联网应用运行和服务的安全要求。 b) 满足业务安全要求：满足应用所承载业务的安全需求，提供安全功能支撑和安全保障能力。 c) 保护应用规范安全：保护组织关于应用安全的约束规则等不被篡改、不被旁路。 d) 防止技术环境损害：防止对应用软件赖以运行的硬件、操作系统或其他应用造成完整性、可 用性损害。 4.3　应用安全生命周期 基于应用安全活动的阶段性特征划分 ，定义互联网应用安全生命周期的需求分析 、安全设计 、安全 开发、安全测试、上线或变更、安全运维、下线处置七个阶段，具体阶段的定义如下： a) 需求分析：指分析、梳理、明确应用安全需求的阶段。 b) 安全设计：指针对应用安全需求，进行总体的或具体的安全功能、安全保障能力设计，评价 选择具体技术实现路线的阶段。 c) 安全开发：指基于应用安全设计，进行编码开发实现的阶段。 d) 安全测试：指结合应用安全需求，进行测试用例设计、实现、执行并评价、记录测试结果的 阶段。 e) 上线或变更：指将测试验证的应用新部署或变更到互联网环境的阶段。 f) 安全运营：指应用上线 /变更后所进行的所有安全相关运营、维护工作的阶段。 g) 应急处置：紧急状况下进行止血或下线等处置活动阶段。 应用安全生命周期的七个阶段并非一定具有时序上的严格先后关系 ，而是作为一般性的控制措施容 器，可根据组织的实际情况进行裁剪或重编排。 4.4　应用安全能力建设原则 互联网应用安全能力建设既有传统应用安全能力建设的特点 ，同时也需针对互联网应用开放 、连续 等特点，进行针对性的应用安全能力建设。基于以下原则进行互联网应用安全能力建设： a) 基于风险管理原则：基于风险评估和组织的风险接受程度，采取适当管控措施处置和管理应 用安全风险。 b) 成本可接受原则：通过建立自动化、可复制的应用安全能力，将计划、建立、维护、改进互 联网应用安全能力的成本控制在组织可接受的范围。 c) 流程全覆盖原则：建立覆盖具体应用的全生命周期过程的技术和管理控制措施，实现全流程 能力闭环。 d) 能力可迭代原则：建立组织级应用安全能力知识库，与应用级应用安全能力形成贯通、促进 和反馈、提升。 YD/T XXXXX—XXXX 4 e) 框架相适应原则：互联