一、标准概述

新版标准国网"Q/GDW 10597-2022《应用软件系统通用安全技术要求及测试规范》"是由中国国家电网公司发布的技术标准，该标准已于2022-12-30发布并实施。替代了目前在用的Q/GDW-1597-2015和Q/GDW-10942-2018两个标准。新标准包含测试要求和测试方法两部分内容，整体变化不大，主要有以下三方面的差异：1、在检查项中增加的内容：1）“6.7 个人信息保护”；2）“6.10 端口管理”；3）“6.11.2 C/S架构系统”的检查项；2、整体结论的评价方法中，增加了“端口测试”的单项测试结论，以及其在整体评价中的使用方法；3、删除了1597的“通用安全保障要求”。

1、 背景和意义

新版标准主要针对电力行业的应用软件系统，规定了在设计、开发、运行和维护软件系统时应遵循的一系列安全要求。它涵盖了网络安全、数据安全、用户安全、系统安全、安全管理等多个方面，旨在保障国家电网公司的信息系统安全，防止数据泄露、系统瘫痪等风险，确保电力系统的稳定运行和信息的保密性。这是一项强制性的行业标准，对国家电网公司的所有应用软件系统开发和运行过程有指导作用，同时也是评估和审核电力行业软件安全的重要依据。通过遵循这个标准，可以提升软件系统的安全防护能力，确保电网业务的正常运作和信息安全。

2、 标准适用读者

1）测试人员：可明确国网对应用系统在信息安全性方面的最新要求；

2）开发人员：了解符合国网相关要求的应用系统的信息安全性要求，便于设计及开发 出符合国网应用层安全要求的应用系统。

3、 标准适用范围

本文件适用于应用在电力行业的应用软件所在公司的系统内部安全测试及实验室第三方安全测试。

二、主要内容解读

Q/GDW-1597-2015和Q/GDW-10942-2018这两个标准适用范围是：管理信息大区安全等级为“二级”和“三级”的管理信息类的应用系统。而新版Q/GDW-10597-2022则是不再强调管理信息大区，也没有提到“管理信息类”的应用系统，从文字描述上来看，适用范围是扩大了。1597-2015&Q/10942-2018&10597-2022适用范围对照表如下所示：

国家电网新版Q/GDW 10597-2022《应用软件系统通用安全技术要求及测试规范》标准的基本框架如下图所示：

具体的安全要求，基本型通用安全技术要求包括：身份鉴别、访问控制、安全审计、数据完整性、数据保密性、软件容错、个人信息保护、会话管理、外部接口、端口管理和安全漏洞11个方面，增强型通用安全技术要求则在基本型要求的基础上，增加了：抗抵赖、资源控制，共计13个方面的安全要求。每个安全要求又定义了具体的若干检查项。

1、总体要求解读

（1）10597在“5.1概述”的内容与1597的“4 概述”内容相近，做了一定的简化，具体的内容如下表所示：

10597依然明确可依据“运行环境、主要威胁、安全等级和业务功能特性等因素确定要求子集”，并删除了“对选择的依据进行明确说明”的说法。

（2）10597“5.2测试项风险级别”中，测试项级别仍被定义为高、中、低三个等级，但每个测试项的风险等级，是在具体的检查项中进行标识，10942则是在集中在6.2章节罗列出各等级的所有测试项章节号。从阅读的角度来说，新版10597的标识方式更便捷。对于高、中、低风险等级的定义，则与10942完全一致。

（3）10597中的“5.3 测试环境”，对应10942的“4.1 测试环境”和“4.2 测试手段”。具体的文字内容对照见下表所示：

这部分内容的主要差别有：

（1）10597在内容上极大的简化了“4.1 测试环境”的内容。仅以“应符合系统相关设计文档”进行说明；

（2）10597增加了“开源组件应符合公司的相关要求”，但该条款并未在第6、7章节中出现对应条款；

（3）在“测试手段”的内容上，新版标准标明了“经过认可”。像CNAS对于某个参数测试能力的认可，也是首先看机构是否配备了行业普遍认可的测试工具。

2、基本型/增强型安全技术要求及测试方法解读

10597用第6、7章两个章节分别描述“基本型”和“增强型”的要求和方法，与旧版类似，检测项仍被划分了类型，每类检测项的检查点数量统计如下表所示：

表中可见，10597检查内容的主要变化有：

（1）新增两类检查项：“个人信息保护”和“端口管理”；

（2）相应的测试类型新增了一项“端口测试”； 

（3）“安全漏洞”检查项，按B/S、C/S进行分类，与10942相比，增加了C/S常见的 15项安全漏洞，并且按漏洞进行分项描述，因此在数量上增加较多；

（4）“标识和鉴别”的名称修改为“身份鉴别”，非身份鉴别类的检查项挪到了“访问控制” 中。整体上来说，10597在安全要求和测试方法上，未进行大幅度的变动，仅是小部分 的增加和完善。

三、博智工控漏洞扫描系统在该标准的应用

工控漏洞扫描系统凭借卓越的性能和显著的技术优势，是全国首家荣获公安部颁发的工业控制系统漏洞检测（增强级）网络安全专用产品安全检测证书和资质。

该产品是一款集资产探测与管理、主机安全扫描、工控漏洞扫描、web安全扫描、数据库扫描、弱口令发现、基线配置核查、协议模糊测试、固件分析、漏洞验证等能力于一身的综合全面的工业互联网安全检测扫描产品，能够对工控系统、操作系统、数据库、应用程序、网络设备、物联网、虚拟化、大数据等类型目标进行整体安全评估，可全面发现系统中存在的安全漏洞、安全配置问题（如身份鉴别、访问控制和安全审计等）、弱口令，收集系统不必要开放的账号、服务、端口，形成整体安全风险报告。可以对应该标准的安全功能测试、渗透测试和端口测试等内容。核心功能如下所示：

（1）漏洞扫描：漏洞扫描支持主机安全扫描、工控漏洞扫描、web安全扫描、数控扫描、弱口令发现和基线配置核查，对设备、主机、应用的已知漏洞进行检测。

协议模糊测试：支持丰富的协议用例库模板进行用例的选择，覆盖IT、工控（电力、医疗、轨交、制造...）、物联网、车联网、无线等场景，协议支持数量超过100种，其中工控协议超过50种，覆盖测试接口类型包括RJ45、RS232、RS485/RS422、CAN、WIFI、蓝牙、4G接口等，对设备及协议的未知漏洞进行挖掘。

（3）固件分析：支持识别固件的基本信息，如：文件大小、子文件类型与统计、CPU架构等。加密认证检查，敏感文件分析，软件组件识别与分析，识别固件cve/cnnvd安全漏洞和cwe缺陷挖掘。

四、文件分享

Q/GDW 10597-2022《应用软件系统通用安全技术要求及测试规范》标准文件下载链接：https://pan.baidu.com/s/1gna_F-RVsLON0FoXHwk7cw?pwd=0109 提取码：0109