DB61T 1283-2019 區(qū)塊鏈安全測(cè)評(píng) 指標(biāo)體系_第1頁
DB61T 1283-2019 區(qū)塊鏈安全測(cè)評(píng) 指標(biāo)體系_第2頁
DB61T 1283-2019 區(qū)塊鏈安全測(cè)評(píng) 指標(biāo)體系_第3頁
DB61T 1283-2019 區(qū)塊鏈安全測(cè)評(píng) 指標(biāo)體系_第4頁
DB61T 1283-2019 區(qū)塊鏈安全測(cè)評(píng) 指標(biāo)體系_第5頁
已閱讀5頁,還剩2頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

ICS35.020DB61BlockchainSecurityAssessment—Indicator陜西省市場(chǎng)監(jiān)督管理局發(fā)布IDB61/T1283—2019前言 12規(guī)范性引用文件 13術(shù)語和定義 14區(qū)塊鏈安全測(cè)評(píng)指標(biāo)體系 15安全測(cè)評(píng)指標(biāo) 2DB61/T1283—2019本標(biāo)準(zhǔn)按照GB/T1.1—2009給出的規(guī)則起草。本標(biāo)準(zhǔn)由陜西省工業(yè)和信息化廳提出并歸口。本標(biāo)準(zhǔn)起草單位:西安電子科技大學(xué)、西安西電鏈融科技有限公司、陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心、廣東安創(chuàng)信息科技開發(fā)有限公司。本標(biāo)準(zhǔn)主要起草人:劉景偉、裴慶祺、李志奇、楊帆、趙首花、陳晨、楊向東、何果、梁天宇、李本標(biāo)準(zhǔn)由西安電子科技大學(xué)負(fù)責(zé)解釋。本標(biāo)準(zhǔn)首次發(fā)布。聯(lián)系信息如下:?jiǎn)挝唬何靼搽娮涌萍即髮W(xué)電話址:西安市太白南路2號(hào)郵編:710071DB61/T1283—20191區(qū)塊鏈安全測(cè)評(píng)指標(biāo)體系本標(biāo)準(zhǔn)規(guī)定了區(qū)塊鏈系統(tǒng)的安全架構(gòu)、測(cè)評(píng)模型、測(cè)評(píng)指標(biāo)體系和測(cè)評(píng)技術(shù)要求。本標(biāo)準(zhǔn)適用于區(qū)塊鏈安全系統(tǒng)的測(cè)試評(píng)價(jià)。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。GB/T25069信息安全技術(shù)術(shù)語3術(shù)語和定義GB/T25069界定的以及下列術(shù)語和定義適用于本文件。3.1區(qū)塊鏈blockchain在網(wǎng)絡(luò)環(huán)境下,通過透明、可信的規(guī)則,構(gòu)建的不可偽造、不可篡改和可追溯的分布式數(shù)據(jù)庫。3.2共識(shí)算法consensusalgorithm在分布式的網(wǎng)絡(luò)環(huán)境下,使區(qū)塊鏈各節(jié)點(diǎn)間達(dá)成一致的計(jì)算方法。3.3分布式賬本distributedledger在多個(gè)站點(diǎn)、不同地理位置或者多個(gè)機(jī)構(gòu)組成的網(wǎng)絡(luò)里實(shí)現(xiàn)共同治理及分享的資產(chǎn)數(shù)據(jù)庫。3.4智能合約smartcontract基于預(yù)定事件觸發(fā)、不可篡改、自動(dòng)執(zhí)行的計(jì)算機(jī)程序。4區(qū)塊鏈安全測(cè)評(píng)指標(biāo)體系4.1評(píng)測(cè)模型區(qū)塊鏈安全測(cè)評(píng)模型如圖1所示。DB61/T1283—20192圖1區(qū)塊鏈安全測(cè)評(píng)模型4.2測(cè)評(píng)指標(biāo)體系區(qū)塊鏈安全測(cè)評(píng)指標(biāo)體系如圖2所示。圖2區(qū)塊鏈安全測(cè)評(píng)指標(biāo)體系5安全測(cè)評(píng)指標(biāo)5.1基礎(chǔ)設(shè)施安全5.1.1網(wǎng)絡(luò)與通信安全要求如下:a)應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力達(dá)到規(guī)定的閾值;b)網(wǎng)絡(luò)節(jié)點(diǎn)的監(jiān)控能力應(yīng)達(dá)到及時(shí)發(fā)現(xiàn)和抵抗網(wǎng)絡(luò)攻擊的要求。5.1.2分布式數(shù)據(jù)庫安全要求如下:a)應(yīng)具備檢測(cè)和防御各種攻擊行為的能力;b)應(yīng)保證數(shù)據(jù)交互過程中的高效性和隱私性;c)應(yīng)具有修復(fù)損壞數(shù)據(jù)的能力。DB61/T1283—201935.1.3運(yùn)行環(huán)境安全要求如下:a)應(yīng)具備防范入侵的能力;b)應(yīng)具備防范惡意代碼的能力;c)應(yīng)具備處理漏洞和防范風(fēng)險(xiǎn)的能力。5.2算法與結(jié)構(gòu)安全5.2.1密碼算法要求如下:a)應(yīng)支持國際主流密碼算法和我國商密算法,如AES、RSA、ECC、SM2、SM3、SM4、SM9等;b)應(yīng)具備抵御破解的能力,定期審核加密算法的安全性;c)應(yīng)滿足參數(shù)配置和生成過程、隨機(jī)數(shù)的使用、操作模式等安全性需求。5.2.2賬本安全要求如下:a)應(yīng)具備持久化存儲(chǔ)賬本記錄的能力,保證數(shù)據(jù)的可追溯性;b)應(yīng)保證各個(gè)節(jié)點(diǎn)能對(duì)正確的賬本進(jìn)行同步;c)應(yīng)具備向獲得授權(quán)者提供真實(shí)數(shù)據(jù)的能力。5.2.3區(qū)塊安全要求如下:a)區(qū)塊應(yīng)通過健壯的激勵(lì)機(jī)制形成;b)區(qū)塊應(yīng)具備抵抗攻擊的能力。5.2.4密鑰安全要求如下:a)應(yīng)具有明確的密鑰管理方案;b)密鑰應(yīng)安全生成、導(dǎo)入和存儲(chǔ);c)密鑰應(yīng)能夠正確、有效、安全備份;d)應(yīng)具有密鑰找回功能;e)應(yīng)提供密鑰撤銷機(jī)制。5.3協(xié)議與機(jī)制安全5.3.1共識(shí)機(jī)制安全要求如下:a)正常運(yùn)行的節(jié)點(diǎn)的請(qǐng)求應(yīng)能在規(guī)定時(shí)間內(nèi)達(dá)成正確、一致的共識(shí);b)不超過理論值的節(jié)點(diǎn)數(shù)故障應(yīng)不影響整個(gè)系統(tǒng)正常工作;c)每一參與節(jié)點(diǎn)應(yīng)具有獨(dú)立判斷能力;d)共識(shí)方案的發(fā)布應(yīng)具備清晰的應(yīng)用場(chǎng)景和規(guī)模參數(shù);e)在理論值范圍內(nèi)的惡意節(jié)點(diǎn)發(fā)出惡意請(qǐng)求時(shí),系統(tǒng)應(yīng)能夠做出正確的響應(yīng),保證一致性。5.3.2激勵(lì)機(jī)制安全要求如下:a)應(yīng)保證激勵(lì)發(fā)行和分配過程的公平性;b)應(yīng)考慮通信成本、網(wǎng)絡(luò)維護(hù)成本以及計(jì)算資源消耗成本;c)應(yīng)設(shè)置對(duì)節(jié)點(diǎn)惡意行為的懲罰機(jī)制。5.3.3智能合約安全要求如下:a)智能合約開發(fā)應(yīng)標(biāo)準(zhǔn)化、規(guī)范化;b)智能合約代碼應(yīng)能夠進(jìn)行安全性測(cè)試;c)智能合約代碼審計(jì)驗(yàn)證應(yīng)標(biāo)準(zhǔn)化、規(guī)范化;d)應(yīng)建立智能合約安全漏洞信息平臺(tái);e)智能合約應(yīng)不可被惡意篡改。5.3.4跨鏈通信安全要求如下:a)應(yīng)保持分布式網(wǎng)絡(luò)里節(jié)點(diǎn)之間連接狀態(tài)的強(qiáng)健性;DB61/T1283—2019b)應(yīng)建立統(tǒng)一的跨鏈通信數(shù)據(jù)共享所需的數(shù)據(jù)格式和通信協(xié)議;c)應(yīng)抵御跨鏈間的各種攻擊。5.4數(shù)據(jù)安全5.4.1機(jī)密性要求如下:a)數(shù)據(jù)存儲(chǔ)應(yīng)具備機(jī)密性;b)數(shù)據(jù)傳輸應(yīng)具備機(jī)密性。5.4.2完整性要求如下:a)數(shù)據(jù)存儲(chǔ)應(yīng)具備完整性;b)數(shù)據(jù)傳輸應(yīng)具備完整性。5.4.3可用性要求如下:a)授權(quán)主體在需要數(shù)據(jù)時(shí)應(yīng)能及時(shí)得到服務(wù);b)應(yīng)具備數(shù)據(jù)的備份和恢復(fù)能力。5.5應(yīng)用安全5.5.1身份認(rèn)證要求如下:a)應(yīng)具備用戶注冊(cè)、更改與注銷等功能;b)認(rèn)證信息應(yīng)以密文存儲(chǔ)和傳輸;c)應(yīng)具有賬戶安全警告、鎖定、找回功能;d)用戶信息應(yīng)與個(gè)人真實(shí)身份具有關(guān)聯(lián)性。5.5.2訪問控制要求如下:a)應(yīng)具有對(duì)不同級(jí)別的用戶授予不同權(quán)限的功能;b)應(yīng)具有根據(jù)需要來更改系統(tǒng)內(nèi)容的訪問等級(jí)與用戶的訪問權(quán)限等級(jí)的功能;c)應(yīng)避免單一權(quán)威機(jī)構(gòu)的權(quán)限壟斷。5.5.3隱私保護(hù)要求如下:a)用戶的隱私信息不得以明文傳輸、存儲(chǔ);b)應(yīng)將數(shù)據(jù)分為多個(gè)隱私等級(jí);c)應(yīng)對(duì)系統(tǒng)中關(guān)鍵數(shù)據(jù)的隱私進(jìn)行保護(hù)。5.6安全管理5.6.1機(jī)制管理要求如下:a)應(yīng)建立相應(yīng)的人員管理制度;b)應(yīng)建立軟、硬件維護(hù)的管理制度;c)應(yīng)建立區(qū)塊鏈系統(tǒng)及應(yīng)用的安全評(píng)估制度;d)應(yīng)建立區(qū)塊鏈系統(tǒng)及應(yīng)用的安全審計(jì)制度。5.6.2數(shù)字證書管理要求如下:a)應(yīng)具有完善

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論