标准与方法

国信检测带您了解GB/T 25000.51-2016-信息安全性方法解读及重点分析

  • 发布时间:2026-07-03
  • 发布者: 管理员
  • 来源: 本站
  • 阅读量:

在CNAS软件检测领域,GB/T 25000.51-2016 《系统与软件工程 系统与软件质量要求和评价(SQuaRE)第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》,是目前国内对就绪可用软件产品软件检测标准,而其中对于软件的信息安全性也做了相关的要求,为测试软件的安全性提供了指南。

GB/T 25000.51-2016 标准原文:

11.png

一、保密性(Confidentiality)

定义:防止未授权主体访问、泄露、窃取敏感数据,仅允许合法授权用户查看、获取指定信息,杜绝数据外泄、偷窥、非法调取。

场景举例:

1.软件用户手机号、身份证、支付密码仅本人和管理员可见,游客无法读取;

2.传输文件加密,即使数据被截获,第三方也无法解密查看内容;

3.后台业务涉密数据分级权限,普通员工无权查看核心机密数据。

 

二、完整性(Integrity)

定义:保证数据在存储、传输、修改全过程中不被篡改、删除、插入、损坏,数据收发前后内容完全一致,一旦被非法改动可被检测发现。

场景举例:

1.报文传输带校验码、哈希值,中途篡改数据后校验失败,系统拒绝接收;

2.电子合同签署后禁止单方面私自修改条款,修改会留下异常记录;

3.系统日志无法被恶意删除、改写,保证业务数据原始状态。

 

三、抗抵赖性(不可否认性,Non-repudiation)

定义:用户完成操作(发送消息、提交交易、签署文件、数据上传)后,无法事后否认自己执行过该行为,操作行为绑定唯一身份,具备不可推翻的行为凭证。

场景举例:

1.网银转账、线上签约采用数字证书签名,交易发起方不能否认自己发起转账 / 签约;

2.管理员后台操作全程实名留痕,不能否认自己删除、修改过配置;

3.电子签章、时间戳固化操作行为,形成法律认可的行为证据。

 

四、可核查性(Auditability / Accountability)

定义:系统所有安全相关操作、数据访问、权限变更、异常访问都会生成完整日志,可追溯操作人、操作时间、操作内容、设备 IP,支持事后审计、排查安全事故、追责溯源。

场景举例:

1.谁在几点登录后台、查看了哪条隐私数据、修改了哪项配置全部留痕;

2.发生数据泄露、违规访问时,审计日志定位风险源头;

3.满足监管审计要求,日志不可清空、不可篡改,长期留存备查。


五、真实性(Authenticity)

定义:确认访问主体、数据来源、通信对象是合法真实身份,杜绝仿冒账号、伪造数据、伪装设备接入,保证交互双方身份可信、数据来源可信。

场景举例:

1.登录时人脸、短信、密钥核验,防止盗号冒充本人登录;

2.对接第三方接口时身份鉴权,拒绝伪造第三方虚假请求;

3.接收外部上传文件时校验来源,拦截伪造虚假业务数据。

 

六、信息安全性的依从性(安全合规符合性)

定义:产品整体安全设计、功能、管控措施符合国标 GB/T 25000.10—2016 及配套法律法规、行业规范、安全等级要求,安全机制满足标准条款约束,且能出具书面、可核验的合规证明材料。

核心两层含义

1.设计依从:软件安全功能(加密、权限、日志、身份认证)严格贴合标准要求,无合规缺口;

2.证据可验证:必须以书面文档、测试报告、第三方检测证书、配置截图、日志样本等形式,证明安全能力达标,评审方可以复核、查验有效性,不能口头承诺合规。

场景举例:

软件登记测试、等保测评、CNAS 检测报告、安全配置说明文档,均可作为依从性验证证据,用于产品验收、上市备案。

 

 

 


免责声明:本站支持广告法相关规定, 且已竭力规避使用“极限化违禁词",如不慎出现仅限本站范围内对比,不支持以任何"违禁词”为借口举报我司违反《广告法》的变相勒索行为! 本站部分素材来源互联网,以传播信息为目的进行转载,如涉及版权请直接与客服联系,我们将及时更正删除,谢谢。

186-8498-1363