文库搜索
切换导航
首页
频道
联系我们
首页
联系我们
批量下载
ICS35.080 L 77 中华人民共和国国家标准 GB/T36099—2018 基于行为声明的应用软件可信性验证 Application software trustworthiness verification based on behavior declaration 2018-10-01实施 2018-03-15发布 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T36099—2018 目 次 前言 1 范围 2 术语和定义 3 缩略语 应用软件行为声明内容要求 验证过程 5 应用软件可信性验证示例 6 附录A(资料性附录)应用软件可信性验证示例 SZIG GB/T36099—2018 前言 本标准按照GB/T1.1—2009给出的规则起草 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任 本标准由全国信息技术标准化技术委员会(SAC/TC28)提出并归口。 本标准起草单位:国家应用软件产品质量监督检验中心、中国电子技术标准化研究院、北京工业大 学、北京数字冰電信息技术有限公司。 本标准主要起草人:宋红波、梁勇、于学军、汪璞、李健、王坤、邓潇 GB/T360992018 基于行为声明的应用软件可信性验证 1范围 本标准适用于对个人计算机及移动信息处理设备上的应用软件进行可信性验证 2 术语和定义 下列术语和定义适用于本文件。 2.1 应用软件可信性 Eapplication software trustworthiness 应用软件实际行为与所声明行为的一致性。 2.2 行为声明behaviordeclaration 应用软件开发者对应用软件的敏感行为作出的明示承诺文件。 2.3 敏感行为 sensitivebehavior 以下一种或多种行为:可能侵犯应用软件的用户权利的行为、可能侵犯其他软件权利的行为,可能 影响其他软件运行的行为,可能引发用户无法预期的软硬件环境配置改变的行为 注:包括但不限于与设备相关、与配置相关、与数据相关、与环境相关的行为。 SZG 3 3缩略语 下列缩略语适用于本文件。 API:应用程序编程接口(ApplicationProgrammingInterface) TCP:传输控制协议(TransmissionControlProtocol) UDP:用户数据报协议(UserDatagramProtocol) XML:可扩展置标语言(ExtensibleMarkupLanguage) 4 应用软件行为声明内容要求 应用软件行为声明内容要求如下: a) 行为声明文件自身应具备完整性验证机制。行为声明文件中包括基于数字签名的自身完整性 验证方法,以防止对行为声明的篡改,确保行为声明的有效性。 b) 行为声明应具备对应用软件的版本和完整性进行验证的信息。行为声明包括应用软件的版 本验证机制和软件完整性验证机制,以防止对应用软件文件的篡改,同时防止将行为声明用 于非预期的软件版本, 行为声明应包括应用软件敏感行为清单。该清单描述应用软件运行中可能产生的敏感行为, c) 此处所述的敏感行为是指可能侵犯其用户权利的行为、可能侵犯其他软件权利的行为、可能影 1 GB/T36099—2018 对用户隐私数据的访问、对系统配置(例如操作系统配置数据)的访问、对网络的访问、对传感 器的访问、对外设(例如摄像头)的访问,以及对于其他用户关心的操作系统资源访问。 应用软件敏感行为清单中声明的每项敏感行为应包含以下各项: P 1)行为名称:给出可以简要表达行为含义的行为名称。 2) 行为标识:给出行为的唯一标识。 3) 行为触发条件:描述何种条件下会触发该行为。 4) 行为授权属性:指出所描述的行为是授权的行为(应用软件允许该行为的发生),还是禁 止的行为(应用软件不准许该行为的发生)。 5) 行为技术参数:对于需要使用一个或多个参数进行描述的行为,给出相应的参数值。对 于无需参数进行描述的行为,此项不适用。 6) 行为预期结果:对于需要指出行为产生的结果的行为,用于表明对结果的预期。若不需 要指出行为的预期结果,此项不适用。 e) 建议使用XML格式编写行为声明 5验证过程 5.1验证准备 应用软件在进行可信性验证前,按以下规程进行验证准备工作: 同时应具备软件行为监测手段。 b) 行为声明准备。按以下步骤准备行为声明: 1 从开发方取得与应用软件配套的行为声明文件。 2) 确定行为声明的合理性,在满足应用软件本身必须功能的前提下,不应包含与应用软件 功能无关的多余内容。 3)不 确定行为声明的充分性,即行为声明描述了软件中所包含的所有敏感行为 录要求。所包含的用例和外部数据可以引用相应的文件号。 2验证执行 5.2 应在符合5.1的条件下,依照验证方案进行验证工作。 5.3 验证报告 验证报告应符合如下要求: a)J 应反映受检应用软件在相应验证条件下的可信性验证结果。 b) 应对行为声明中敏感行为清单所列条目给出验证结果数据记录。 合格判定一一针对行为声明中描述的每个项目,比较验证结果与行为声明,若一致,则判定为 符合可信性要求;若不一致,则判定为不符合可信性要求。 形成报告一一将所有项目分析和合格判定的结果汇总,形成该应用软件的可信性验证报告 报告文本应包括下列内容: 验证工作基本信息描述:被测样品的名称、版本信息、软件开发单位信息、验证依据和执 行时间等信息 2) 被测样品的验证结果综述:主要描述被测样品在磁盘访问、操作系统配置数据访问、网络 2 GB/T36099—2018 访问、API调用等方面的验证结果。 3) 验证工具列表:工具名称、工具版本信息、工具用途等信息。 4) e 报告文本建议提供下列内容: 1) 可信性声明文件的内容; 2) 验证工具软件的原始数据导出结果。 应用软件可信性验证示例 6 在特定环境下对于应用软件部分项目的可信性验证示例参见附录A。 3 GB/T36099—2018 附录A (资料性附录) 应用软件可信性验证示例 A.1说明 本附录给出某种操作系统下的桌面应用软件可信性验证示例。 本附录依据第5章的要求,给出可信性验证准备环节的具体示例。验证执行环节和验证报告具有 较强的灵活性,由执行方自行设计。 A.2验证准备 A.2.1 验证环境准备 本示例的验证环境如图A.1所示。 被测软件 应用行为监测工具软件 虚拟机服务器 操作系统 虚拟机沙盒 图A.1验证环境示意图 验证环境由一台虚拟机服务器组成,服务器内部运行一个虚拟机沙盒,沙盒内是一个带有操作系统 的虚拟机环境,环境内部安装了被测软件和应用行为监测工具软件。系统配置如下: 虚拟机服务器硬件环境配置: a)CPU:4核8线程4.0GHz; b) 内存:64G; c) 硬盘:1T。 虚拟机服务器软件环境配置: 虚机沙盒服务软件:商用虚机服务器软件 a) 虚拟机沙盒硬件环境配置(虚拟硬件): a) CPU:4核; b) 内存:16 G; c) 硬盘:50G。 4
GB-T 36099-2018 基于行为声明的应用软件可信性验证
文档预览
中文文档
13 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
赞助2元下载(无需注册)
温馨提示:本文档共13页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
下载文档到电脑,方便使用
赞助2元下载
本文档由 思安 于
2023-01-25 06:01:24
上传分享
举报
下载
原文档
(1.8 MB)
分享
友情链接
GB-T 38645-2020 信息安全技术 网络安全事件应急演练指南.pdf
T-GSA 2—2018 信息化项目软件开发费用测算规范.pdf
T-CSTM 00837—2022 材料基因工程数据 元数据标准化基本原则与方法.pdf
GB-T 11107-2018 金属及其化合物粉末 比表面积和粒度测定 空气透过法.pdf
GB-T 17245-2004 成年人人体惯性参数.pdf
GB-T 24425.1-2009 普通型钢丝螺套.pdf
GB-T 34583-2017 加氢站用储氢装置安全技术要求.pdf
GB-T 29246-2023 信息安全技术 信息安全管理体系 概述和词汇.pdf
GB-T 30825-2014 热处理温度测量.pdf
ISO IEC 27034-3-2018.pdf
2021年数据安全法律手册-完整版.pdf
GB 19156-2019 消防炮.pdf
DB65-T3105-2023 平欧杂种榛栽培技术规程 新疆维吾尔自治区.pdf
数据安全实践指南 读书笔记.pdf
GA-T 460.3-2020 居民身份证卡体材料及打印薄膜技术规范 第3部分:制卡用保护层PETG薄膜.pdf
GB-T 32293-2015 真空技术 真空设备的检漏方法选择.pdf
GB-T 7814-2017 工业用异丙醇.pdf
GB-T 34690.6-2017 印刷技术 胶印数字化过程控制 第6部分:数字硬打样.pdf
GB-T 38671-2020 信息安全技术 远程人脸识别系统技术要求.pdf
GB-T 22071.1-2018 互感器试验导则 第1部分:电流互感器.pdf
1
/
3
13
评价文档
赞助2元 点击下载(1.8 MB)
回到顶部
×
微信扫码支付
2
元 自动下载
点击进入官方售后微信群
支付 完成后 如未跳转 点击这里下载
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们
微信(点击查看客服)
,我们将及时删除相关资源。