國網(wǎng)電力標(biāo)準(zhǔn)解讀丨Q/GDW 1597-2015
軟件評測機(jī)構(gòu)在進(jìn)行電力系統(tǒng)測試時,一般會根據(jù)測試類型,采用一系列標(biāo)準(zhǔn)和規(guī)范來進(jìn)行評估和測試。其中,GB/T 25000.51-2016《系統(tǒng)與軟件工程 系統(tǒng)與軟件質(zhì)量要求和評價》是一直在使用的非常重要的標(biāo)準(zhǔn)。
而2022-12-30發(fā)布并實施的新版標(biāo)準(zhǔn)“Q/GDW 10597-2022《應(yīng)用軟件系統(tǒng)通用安全技術(shù)要求及測試規(guī)范》”,則主要針對電力行業(yè)的應(yīng)用軟件系統(tǒng),替代了目前在用的Q/GDW-1597-2015和Q/GDW-10942-2018兩個標(biāo)準(zhǔn)。新版標(biāo)準(zhǔn)規(guī)定了在設(shè)計、開發(fā)、運行和維護(hù)軟件系統(tǒng)時應(yīng)遵循的一系列安全要求,涵蓋網(wǎng)絡(luò)安全、數(shù)據(jù)安全、用戶安全、系統(tǒng)安全、安全管理等多個方面。這是一項強(qiáng)制性的行業(yè)標(biāo)準(zhǔn),對國家電網(wǎng)公司的所有應(yīng)用軟件系統(tǒng)開發(fā)和運行過程有指導(dǎo)作用,同時也是評估和審核電力行業(yè)軟件安全的重要依據(jù)。新標(biāo)準(zhǔn)包含測試要求和測試方法兩部分內(nèi)容,整體變化不大,主要有以下三方面的差異:
1、在檢查項中增加的內(nèi)容:
1)“6.7 個人信息保護(hù)”;
2)“6.10 端口管理”;
3)“6.11.2 C/S架構(gòu)系統(tǒng)”的檢查項;
2、整體結(jié)論的評價方法中,增加了“端口測試”的單項測試結(jié)論,以及其在整體評價中的使用方法;
3、刪除了1597的“通用安全保障要求”。
以下是目前電力系統(tǒng)軟件測試中常用的幾個關(guān)鍵標(biāo)準(zhǔn):
1. Q/GDW 10597-2022《應(yīng)用軟件系統(tǒng)通用安全技術(shù)要求及測試規(guī)范》
發(fā)布與實施日期:2022年12月30日
適用范圍:適用于國家電網(wǎng)有限公司的應(yīng)用軟件系統(tǒng),涵蓋設(shè)計、開發(fā)、運行和維護(hù)全過程。
安全技術(shù)要求:包括身份鑒別、訪問控制、數(shù)據(jù)保密性、數(shù)據(jù)完整性、軟件容錯、個人信息保護(hù)等11個基本型要求,以及抗抵賴、資源控制等增強(qiáng)型要求。
測試規(guī)范:明確了測試流程、方法和評價標(biāo)準(zhǔn),特別是增加了端口管理、個人信息保護(hù)等內(nèi)容。
重要性:該標(biāo)準(zhǔn)是電力行業(yè)應(yīng)用軟件系統(tǒng)安全測試的重要依據(jù),旨在提升軟件系統(tǒng)的安全防護(hù)能力。
2. GB/T 25000.51-2016《系統(tǒng)與軟件工程 系統(tǒng)與軟件質(zhì)量要求和評價(SQuaRE)》
適用范圍:適用于電力系統(tǒng)軟件產(chǎn)品的質(zhì)量評估和上線測試。
主要內(nèi)容:
功能完備性與正確性:確保軟件實現(xiàn)預(yù)定功能且執(zhí)行結(jié)果準(zhǔn)確。
性能效率:通過負(fù)載測試、壓力測試等手段評估軟件性能。
兼容性與互操作性:驗證軟件在不同硬件平臺、操作系統(tǒng)及與其他系統(tǒng)間的兼容性。
安全性與隱私保護(hù):涵蓋身份認(rèn)證、數(shù)據(jù)加密、日志審計等。
可靠性與容錯性:確保系統(tǒng)在故障條件下仍能維持基本功能。
重要性:該標(biāo)準(zhǔn)為電力系統(tǒng)軟件的就緒可用性提供了質(zhì)量要求和測評細(xì)則,確保軟件在上線前達(dá)到高度成熟和穩(wěn)定。
3. Q/GDW10929.5-2018《信息系統(tǒng)應(yīng)用安全第5部分:代碼安全檢測》
適用范圍:適用于國家電網(wǎng)有限公司信息系統(tǒng)的源代碼檢測
檢測內(nèi)容與方法:規(guī)定了代碼安全檢測的具體內(nèi)容。標(biāo)準(zhǔn)還提供了人工審查的建議,以確保檢測結(jié)果的準(zhǔn)確性和完整性。
以上幾個標(biāo)準(zhǔn)相輔相成,能夠更好地保障電力系統(tǒng)軟件的安全性。