GB/T 37691-2019《可编程逻辑器件软件安全性设计指南》

GB/T 37691-2019《可编程逻辑器件软件安全性设计指南》基本信息

标准号：GB/T 37691-2019

中文名称：《可编程逻辑器件软件安全性设计指南》

发布日期：2019-08-30    

实施日期：2020-03-01

发布部门：国家市场监督管理总局  国家标准化管理委员会    

提出单位：全国信息技术标准化技术委员会(SAC/TC 28)    

归口单位：全国信息技术标准化技术委员会(SAC/TC 28)    

起草单位：中国航天科工集团公司第三研究院第三○四研究所、中国电子技术标准化研究院、中国电子科技集团第三十研究所、国家卫星海洋应用中心

起草人：孟伟、杨楠、王黎、姜晓辉、胡勇、黄琼、王国锋、张津荣、李文鹏、朱琳、张国宇、肖崇俭、寇科男、李恺、巫忠跃、彭鸣、毛伟、许卓琦、张旸旸、陈元、史玥、陈鹏、刘廷、杨永生、王希、孙健、葛永娇    

中国标准分类号：L77软件工程

国际标准分类号：35.080软件开发和系统文件

GB/T 37691-2019《可编程逻辑器件软件安全性设计指南》介绍

国家市场监督管理总局联合国家标准化管理委员会于2019年8月30日发布了GB/T 37691-2019《可编程逻辑器件软件安全性设计指南》（以下简称“本标准”）。本标准自2020年3月1日起正式实施，

一、标准目的与适用范围

本标准适用于所有涉及可编程逻辑器件软件设计的企业和个人，无论是在设计、开发还是测试阶段，都应遵循本标准的要求。

二、标准内容概览

1、设计原则：明确了在设计可编程逻辑器件软件时应遵循的基本安全原则，包括最小化风险、确保数据完整性和保密性、以及实现有效的错误处理机制。

2、生命周期管理：介绍了从需求分析到软件退役的整个生命周期中，应如何管理和控制软件的安全性。

3、风险评估：提供了一套风险评估框架，帮助设计人员识别和评估软件设计中可能存在的安全风险。

4、安全特性：详细描述了软件应具备的安全特性，如访问控制、加密和认证机制等。

5、测试与验证：指导如何对软件进行测试和验证，以确保其安全性。

6、维护与更新：强调了软件维护和更新过程中的安全性要求，包括及时修复安全漏洞和发布安全补丁。

三、设计原则详解

安全性与功能性并重：在设计过程中，应平衡软件的功能性与安全性，确保两者都能得到充分的考虑。

数据保护：软件应采取有效措施保护数据不被未经授权的访问和篡改。

错误处理：软件应能够妥善处理异常情况和错误，避免因错误处理不当导致的安全问题。

四、生命周期管理的重要性

软件的生命周期管理是确保其安全性的关键环节。本标准强调了从需求分析、设计、编码、测试、部署到维护和退役的每个阶段都应有明确的安全要求和措施。这有助于在整个生命周期中持续监控和改进软件的安全性。

五、风险评估方法

风险评估是识别和量化软件潜在安全风险的过程。本标准提供了一套系统的风险评估方法，包括风险识别、风险分析和风险处理。通过这一过程，设计人员可以更好地理解软件的潜在风险，并采取相应的措施来减轻这些风险。

六、安全特性的实现

访问控制：确保只有授权用户才能访问系统资源。

加密：对敏感数据进行加密，防止数据泄露。

认证机制：确保用户身份的真实性。

七、测试与验证的必要性

测试与验证是确保软件安全性的重要环节。本标准指导设计人员如何进行软件的测试和验证，包括单元测试、集成测试和系统测试等。通过这些测试，可以发现并修复软件中的安全漏洞。

八、维护与更新策略

定期检查：定期检查软件的安全状态，及时发现并修复安全漏洞。

安全补丁：及时发布安全补丁，修复已知的安全漏洞。

用户教育：教育用户如何安全地使用软件，提高整体的安全性。

GB/T 37691-2019《可编程逻辑器件软件安全性设计指南》为可编程逻辑器件软件的设计提供了一套全面的安全指导原则。通过遵循本标准，企业和设计人员可以有效地提高软件的安全性，减少由于软件缺陷导致的安全风险。