ICS35.240信息安全技術(shù)區(qū)塊鏈數(shù)據(jù)安全技術(shù)測(cè)評(píng)要求2020-09-30發(fā)布2020-12-30實(shí)施湖南省市場(chǎng)監(jiān)督管理局發(fā)布IDB43/T1843—2020前言 Ⅲ 12規(guī)范性引用文件 13術(shù)語(yǔ)和定義 14等級(jí)測(cè)評(píng)概述 14.1等級(jí)測(cè)評(píng)方法 14.2單項(xiàng)測(cè)評(píng) 25第一級(jí)測(cè)評(píng)要求 25.1數(shù)據(jù)存儲(chǔ)測(cè)評(píng)要求 25.2數(shù)據(jù)傳輸測(cè)評(píng)要求 35.3數(shù)據(jù)訪問(wèn)測(cè)評(píng)要求 45.4區(qū)塊數(shù)據(jù)測(cè)評(píng)要求 55.5數(shù)據(jù)管理測(cè)評(píng)要求 56第二級(jí)測(cè)評(píng)要求 66.1數(shù)據(jù)存儲(chǔ)測(cè)評(píng)要求 66.2數(shù)據(jù)傳輸測(cè)評(píng)要求 86.3數(shù)據(jù)訪問(wèn)測(cè)評(píng)要求 96.4區(qū)塊數(shù)據(jù)測(cè)評(píng)要求 6.5數(shù)據(jù)管理測(cè)評(píng)要求 7第三級(jí)測(cè)評(píng)要求 7.1數(shù)據(jù)存儲(chǔ)測(cè)評(píng)要求 7.2數(shù)據(jù)傳輸測(cè)評(píng)要求 7.3數(shù)據(jù)訪問(wèn)測(cè)評(píng)要求 7.4區(qū)塊數(shù)據(jù)測(cè)評(píng)要求 7.5數(shù)據(jù)管理測(cè)評(píng)要求 8第四級(jí)測(cè)評(píng)要求 8.1數(shù)據(jù)存儲(chǔ)測(cè)評(píng)要求 8.2數(shù)據(jù)傳輸測(cè)評(píng)要求 8.3數(shù)據(jù)訪問(wèn)測(cè)評(píng)要求 208.4區(qū)塊數(shù)據(jù)測(cè)評(píng)要求 218.5數(shù)據(jù)管理測(cè)評(píng)要求 229測(cè)評(píng)結(jié)論 239.1風(fēng)險(xiǎn)分析和評(píng)價(jià) 23DB43/T1843—20209.2等級(jí)測(cè)評(píng)結(jié)論 23參考文獻(xiàn) 25DB43/T1843—2020本文件按照GB/T1.1—2020給出的規(guī)則起草。本文件由中共湖南省委網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室提出。本文件由湖南省區(qū)塊鏈和分布式記賬技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)(籌)歸口。本文件起草單位：湖南鏈信安科技有限公司、湖南天河國(guó)云科技有限公司、湖南省東方區(qū)塊鏈安全技術(shù)檢測(cè)中心、湖南省人民政府發(fā)展研究中心、湖南天河云鏈科技有限公司。本文件主要起草人：梁琪、楊征、李財(cái)、陳昕、譚林、聶璐璐、梁亮、聶朗、尹海波、黃帥、汪武、柳興、郭慧、殷新文、丁雅琪、沈浪、張祥、宋姝、姜載樂(lè)、劉齊平、鄭婷婷、胡欽、鄒曼瑜等。DB43/T1843—20201信息安全技術(shù)區(qū)塊鏈數(shù)據(jù)安全技術(shù)測(cè)評(píng)要求本文件規(guī)定了區(qū)塊鏈數(shù)據(jù)安全技術(shù)測(cè)評(píng)指標(biāo)要求。包括第一級(jí)、第二級(jí)、第三級(jí)和第四級(jí)區(qū)塊鏈數(shù)據(jù)安全技術(shù)測(cè)評(píng)要求。本文件適用于測(cè)評(píng)機(jī)構(gòu)對(duì)區(qū)塊鏈數(shù)據(jù)安全進(jìn)行的測(cè)評(píng)工作，也適用于區(qū)塊鏈技術(shù)開(kāi)發(fā)者參考使用。2規(guī)范性引用文件該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T25069-2010信息安全技術(shù)術(shù)語(yǔ)GB/T29765—2013信息安全技術(shù)數(shù)據(jù)備份與恢復(fù)產(chǎn)品技術(shù)要求與測(cè)試評(píng)價(jià)方法3術(shù)語(yǔ)和定義GB/T25069—2010、GB/T29765—2013界定的下列術(shù)語(yǔ)和定義適用于本文件。3.1區(qū)塊block區(qū)塊鏈中存放電子記錄的塊式數(shù)據(jù)結(jié)構(gòu)。3.2區(qū)塊激勵(lì)blockreward區(qū)塊鏈體系給予區(qū)塊生產(chǎn)者創(chuàng)建區(qū)塊的獎(jiǎng)勵(lì)。3.3口令password用于身份鑒別的秘密的字、短語(yǔ)、數(shù)字或字符序列，通常是被默記的弱秘密。[GB/T25069—2010]3.4數(shù)據(jù)恢復(fù)datarecovery利用備份數(shù)據(jù)將目標(biāo)數(shù)據(jù)還原為某一備份時(shí)間點(diǎn)的內(nèi)容或狀態(tài)的過(guò)程。[GB/T29765—2013]4等級(jí)測(cè)評(píng)概述4.1等級(jí)測(cè)評(píng)方法等級(jí)測(cè)評(píng)實(shí)施的基本方法是針對(duì)待定的測(cè)評(píng)對(duì)象，采用相關(guān)的測(cè)評(píng)手段，遵從一定的測(cè)評(píng)規(guī)程，獲取需要的證據(jù)數(shù)據(jù)，給出是否達(dá)到特定級(jí)別安全保護(hù)能力的評(píng)判。2DB43/T1843—2020本標(biāo)準(zhǔn)中針對(duì)每一個(gè)要求項(xiàng)的測(cè)評(píng)就構(gòu)成一個(gè)單項(xiàng)測(cè)評(píng)，針對(duì)某個(gè)要求項(xiàng)的所有具體測(cè)評(píng)內(nèi)容構(gòu)成測(cè)評(píng)實(shí)施。根據(jù)調(diào)研結(jié)果，分析等級(jí)保護(hù)對(duì)象的業(yè)務(wù)流程和數(shù)據(jù)流，確定測(cè)評(píng)工作范圍。結(jié)合等級(jí)保護(hù)對(duì)象的安全級(jí)別進(jìn)行綜合分析，測(cè)評(píng)對(duì)象可以根據(jù)類別加以描述，包括數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸、數(shù)據(jù)訪問(wèn)、區(qū)塊數(shù)據(jù)、數(shù)據(jù)管理。本標(biāo)準(zhǔn)賬中每個(gè)級(jí)別測(cè)評(píng)要求都包括數(shù)據(jù)存儲(chǔ)測(cè)評(píng)要求、數(shù)據(jù)傳輸測(cè)評(píng)要求、數(shù)據(jù)訪問(wèn)測(cè)評(píng)要求、區(qū)塊數(shù)據(jù)測(cè)評(píng)要求、數(shù)據(jù)管理測(cè)評(píng)要求五部分內(nèi)容。4.2單項(xiàng)測(cè)評(píng)單項(xiàng)測(cè)評(píng)是針對(duì)各安全要求項(xiàng)的測(cè)評(píng)，支持測(cè)評(píng)結(jié)果的可重復(fù)性和可再現(xiàn)性。本標(biāo)準(zhǔn)中單項(xiàng)測(cè)評(píng)包括測(cè)評(píng)指標(biāo)、測(cè)評(píng)對(duì)象、測(cè)評(píng)實(shí)施和測(cè)評(píng)判定結(jié)果構(gòu)成。5第一級(jí)測(cè)評(píng)要求5.1數(shù)據(jù)存儲(chǔ)測(cè)評(píng)要求5.1.1數(shù)據(jù)存儲(chǔ)機(jī)密性該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證數(shù)據(jù)存儲(chǔ)機(jī)密性。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)存儲(chǔ)形式。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)在數(shù)據(jù)存儲(chǔ)過(guò)程中是否采用密文的形式進(jìn)行存儲(chǔ)。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本測(cè)評(píng)單元指標(biāo)要求。5.1.2數(shù)據(jù)存儲(chǔ)完整性該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證數(shù)據(jù)存儲(chǔ)完整性。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)存儲(chǔ)策略。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)數(shù)據(jù)存儲(chǔ)是否建立數(shù)據(jù)存儲(chǔ)冗余策略和管理制度，及數(shù)據(jù)備份與恢復(fù)操作過(guò)程規(guī)范。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本測(cè)評(píng)單元指標(biāo)要求。5.1.3數(shù)據(jù)存儲(chǔ)可靠性該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證數(shù)據(jù)存儲(chǔ)可靠性。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)存儲(chǔ)策略類。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)數(shù)據(jù)存儲(chǔ)時(shí)是否具有存儲(chǔ)策略類文檔，文檔內(nèi)容包括但不限于存儲(chǔ)管理制度和數(shù)據(jù)備份操作；2)數(shù)據(jù)存儲(chǔ)內(nèi)容是否包含完整的用戶訪問(wèn)記錄、數(shù)據(jù)處理記錄等內(nèi)容。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分DB43/T1843—20203符合本測(cè)評(píng)單元指標(biāo)要求。5.1.4數(shù)據(jù)備份可用性該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：保證數(shù)據(jù)備份可用性。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)備份與恢復(fù)能力。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)重要數(shù)據(jù)是否具有備份機(jī)制；2)重要數(shù)據(jù)是否設(shè)置數(shù)據(jù)定期備份的策略。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。5.1.5數(shù)據(jù)恢復(fù)可用性該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證數(shù)據(jù)恢復(fù)功能可用性。b)測(cè)評(píng)對(duì)象：遇到故障時(shí)數(shù)據(jù)恢復(fù)能力。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)是否具有數(shù)據(jù)故障處置預(yù)案。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本測(cè)評(píng)單元指標(biāo)要求。5.2數(shù)據(jù)傳輸測(cè)評(píng)要求5.2.1數(shù)據(jù)傳輸機(jī)密性該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證數(shù)據(jù)傳輸過(guò)程中區(qū)塊鏈數(shù)據(jù)的機(jī)密性。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)傳輸策略。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)數(shù)據(jù)傳輸過(guò)程是否采用加密技術(shù)；2)數(shù)據(jù)傳輸是否在已授權(quán)節(jié)點(diǎn)之間進(jìn)行。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。5.2.2數(shù)據(jù)傳輸完整性該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證數(shù)據(jù)傳輸過(guò)程中區(qū)塊鏈數(shù)據(jù)的完整性。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)傳輸策略。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)在數(shù)據(jù)傳輸過(guò)程中是否提供數(shù)據(jù)完整性驗(yàn)證協(xié)議。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本測(cè)評(píng)單元指標(biāo)要求。5.2.3數(shù)據(jù)傳輸可靠性4DB43/T1843—2020該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證數(shù)據(jù)傳輸過(guò)程中區(qū)塊鏈數(shù)據(jù)的可靠性。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)傳輸策略。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)傳輸連接建立之前，是否對(duì)發(fā)送方和接收方進(jìn)行身份鑒別操作，例如利用密碼技術(shù)進(jìn)行初始化會(huì)話驗(yàn)證；2)數(shù)據(jù)傳輸過(guò)程中是否采用加解密技術(shù)。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。5.2.4數(shù)據(jù)傳輸可用性該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證數(shù)據(jù)傳輸過(guò)程中區(qū)塊鏈數(shù)據(jù)的可用性。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)傳輸策略。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)通過(guò)傳輸接收到的數(shù)據(jù)是否與系統(tǒng)采用統(tǒng)一時(shí)間標(biāo)準(zhǔn)。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本測(cè)評(píng)單元指標(biāo)要求。5.3數(shù)據(jù)訪問(wèn)測(cè)評(píng)要求5.3.1訪問(wèn)權(quán)限控制該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證設(shè)置數(shù)據(jù)訪問(wèn)控制權(quán)限、訪問(wèn)控制策略。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)訪問(wèn)權(quán)限控制功能。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)是否具有數(shù)據(jù)訪問(wèn)權(quán)限控制策略。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本測(cè)評(píng)單元指標(biāo)要求。5.3.2數(shù)據(jù)訪問(wèn)處理該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證數(shù)據(jù)處理時(shí)明確處理的目的和范圍、遵守?cái)?shù)據(jù)使用規(guī)范。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)訪問(wèn)流程。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)是否根據(jù)法律法規(guī)要求，明確數(shù)據(jù)處理的目的和范圍；2)是否設(shè)置數(shù)據(jù)訪問(wèn)處理規(guī)范類文檔及相關(guān)違規(guī)處理的懲戒措施。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，杏則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。5.3.3加密訪問(wèn)控制該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證對(duì)數(shù)據(jù)進(jìn)行加密訪問(wèn)控制、數(shù)據(jù)訪問(wèn)權(quán)限設(shè)置采用多私鑰規(guī)則以及屬性加密DB43/T1843—20205等規(guī)則。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)訪問(wèn)權(quán)限控制。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)數(shù)據(jù)是否通過(guò)加密方式進(jìn)行訪問(wèn)控制。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本測(cè)評(píng)單元指標(biāo)要求。5.3.4數(shù)據(jù)服務(wù)該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)指定數(shù)據(jù)服務(wù)安控制策略和明確安全規(guī)范。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)服務(wù)功能。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)數(shù)據(jù)服務(wù)是否制定安全控制策略，明確規(guī)定使用服務(wù)的安全限制和安全控制措施，如身份鑒別、授權(quán)策略、訪問(wèn)控制機(jī)制、簽名、時(shí)間戳、安全協(xié)議等。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本測(cè)評(píng)單元指標(biāo)要求。5.4區(qū)塊數(shù)據(jù)測(cè)評(píng)要求5.4.1區(qū)塊激勵(lì)機(jī)制該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證設(shè)置合法、合理的區(qū)塊激勵(lì)機(jī)制。b)測(cè)評(píng)對(duì)象：區(qū)塊激勵(lì)機(jī)制。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)是否具有區(qū)塊激勵(lì)機(jī)制。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本測(cè)評(píng)單元指標(biāo)要求。5.4.2區(qū)塊防攻擊能力該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證區(qū)塊大小在安全范圍內(nèi)，并具備一定的防攻擊能力。b)測(cè)評(píng)對(duì)象：區(qū)塊程序。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)區(qū)塊大小是否在安全范圍內(nèi)。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本測(cè)評(píng)單元指標(biāo)要求。5.5數(shù)據(jù)管理測(cè)評(píng)要求5.5.1數(shù)據(jù)管理制度該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)制定區(qū)塊鏈數(shù)據(jù)安全工作的總體方針、數(shù)據(jù)安全策略。b)測(cè)評(píng)對(duì)象：總體方針策略類文檔、數(shù)據(jù)安全管理制度類文檔。6DB43/T1843—2020c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)數(shù)據(jù)安全工作的總體方針和安全策略文件是否明確規(guī)定數(shù)據(jù)安全工作的總體目標(biāo)范圍、原則以及各類安全策略等；2)數(shù)據(jù)管理制度是否覆蓋數(shù)據(jù)庫(kù)、區(qū)塊數(shù)據(jù)、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸?shù)裙芾韮?nèi)容。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。5.5.2數(shù)據(jù)管理機(jī)構(gòu)該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)設(shè)立適合區(qū)塊鏈系統(tǒng)的數(shù)據(jù)管理機(jī)構(gòu)。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)制度。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)各類數(shù)據(jù)變更記錄是否針對(duì)數(shù)據(jù)存儲(chǔ)變更、數(shù)據(jù)操作記錄、數(shù)據(jù)訪問(wèn)等事項(xiàng)進(jìn)行及時(shí)記錄。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本測(cè)評(píng)單元指標(biāo)要求。5.5.3數(shù)據(jù)管理人員該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)配備完善的數(shù)據(jù)管理人員體系。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)管理制度。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)是否制定數(shù)據(jù)服務(wù)人力資源安全策略，明確不同崗位人員在數(shù)據(jù)生命周期各階段數(shù)據(jù)服務(wù)和系統(tǒng)服務(wù)相關(guān)的工作范疇和安全管控措施；2)是否制定數(shù)據(jù)服務(wù)人員招聘、錄用、上崗、調(diào)崗、離崗、考核、選拔等人員安全管理制度；3)是否在錄用重要崗位人員前對(duì)其進(jìn)行背景調(diào)查，確保符合相關(guān)的法律、法規(guī)合同和道德要求，并與所有涉及數(shù)據(jù)服務(wù)崗位人員簽訂安全責(zé)任協(xié)議；4)是否在重要崗位人員調(diào)離或終止勞動(dòng)合同時(shí)，與其簽訂保密協(xié)議。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。6第二級(jí)測(cè)評(píng)要求6.1數(shù)據(jù)存儲(chǔ)測(cè)評(píng)要求6.1.1數(shù)據(jù)存儲(chǔ)機(jī)密性該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證數(shù)據(jù)存儲(chǔ)機(jī)密性。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)存儲(chǔ)形式。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)在數(shù)據(jù)存儲(chǔ)過(guò)程中是否采用密文的形式進(jìn)行存儲(chǔ)；2)在數(shù)據(jù)存儲(chǔ)時(shí)是否設(shè)置用戶訪問(wèn)權(quán)限；3)數(shù)據(jù)信息是否進(jìn)行安全保護(hù)分級(jí)。DB43/T1843—20207d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。6.1.2數(shù)據(jù)存儲(chǔ)完整性該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證數(shù)據(jù)存儲(chǔ)完整性。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)存儲(chǔ)策略。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)數(shù)據(jù)存儲(chǔ)是否建立數(shù)據(jù)存儲(chǔ)冗余策略和管理制度，及數(shù)據(jù)備份與恢復(fù)操作過(guò)程規(guī)范；2)數(shù)據(jù)存儲(chǔ)是否具有數(shù)據(jù)完整性驗(yàn)證機(jī)制。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。6.1.3數(shù)據(jù)存儲(chǔ)可靠性該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證數(shù)據(jù)存儲(chǔ)可靠性。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)存儲(chǔ)策略類。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)數(shù)據(jù)存儲(chǔ)時(shí)是否具有存儲(chǔ)策略類文檔，文檔內(nèi)容包括但不限于存儲(chǔ)管理制度和數(shù)據(jù)備份操作；2)數(shù)據(jù)存儲(chǔ)內(nèi)容是否包含完整的用戶訪問(wèn)記錄、數(shù)據(jù)處理記錄等內(nèi)容；3)數(shù)據(jù)存儲(chǔ)是否建立數(shù)據(jù)的細(xì)顆粒度審計(jì)機(jī)制。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。6.1.4數(shù)據(jù)備份可用性該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：保證數(shù)據(jù)備份可用性。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)備份與恢復(fù)能力。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)重要數(shù)據(jù)是否具有備份機(jī)制；2)重要數(shù)據(jù)是否設(shè)置數(shù)據(jù)定期備份的策略；3)是否采用分散式方式進(jìn)行數(shù)據(jù)備份；4)是否建立備份操作過(guò)程規(guī)范，包括備份日志記錄規(guī)范。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。6.1.5數(shù)據(jù)恢復(fù)可用性該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證數(shù)據(jù)恢復(fù)功能可用性。b)測(cè)評(píng)對(duì)象：遇到故障時(shí)數(shù)據(jù)恢復(fù)能力。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：DB43/T1843—202081)是否具有數(shù)據(jù)故障處置預(yù)案；2)故障預(yù)案是否能及時(shí)解決故障并迅速恢復(fù)數(shù)據(jù)；3)是否建立恢復(fù)操作過(guò)程規(guī)范，包括恢復(fù)日志記錄規(guī)范；4)在節(jié)點(diǎn)重新接入?yún)^(qū)塊時(shí)，是否能重新恢復(fù)數(shù)據(jù)。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。6.2數(shù)據(jù)傳輸測(cè)評(píng)要求6.2.1數(shù)據(jù)傳輸機(jī)密性該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證數(shù)據(jù)傳輸過(guò)程中區(qū)塊鏈數(shù)據(jù)的機(jī)密性。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)傳輸策略。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)數(shù)據(jù)傳輸過(guò)程是否采用加密技術(shù)；2)數(shù)據(jù)傳輸是否在已授權(quán)節(jié)點(diǎn)之間進(jìn)行；3)機(jī)密和絕密數(shù)據(jù)是否在傳輸過(guò)程中使用數(shù)字簽名。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。6.2.2數(shù)據(jù)傳輸完整性該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證數(shù)據(jù)傳輸過(guò)程中區(qū)塊鏈數(shù)據(jù)的完整性。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)傳輸策略。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)在數(shù)據(jù)傳輸過(guò)程中是否提供數(shù)據(jù)完整性驗(yàn)證協(xié)議；2)數(shù)據(jù)傳輸協(xié)議是否能夠保證業(yè)務(wù)數(shù)據(jù)的傳輸完整性。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本測(cè)評(píng)單元指標(biāo)要求。6.2.3數(shù)據(jù)傳輸可靠性該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證數(shù)據(jù)傳輸過(guò)程中區(qū)塊鏈數(shù)據(jù)的可靠性。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)傳輸策略。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)傳輸連接建立之前，是否對(duì)發(fā)送方和接收方進(jìn)行身份鑒別操作，例如利用密碼技術(shù)進(jìn)行初始化會(huì)話驗(yàn)證；2)數(shù)據(jù)傳輸過(guò)程中是否采用加解密技術(shù)；3)數(shù)據(jù)傳輸是否采用滿足數(shù)據(jù)傳輸安全策略的相應(yīng)安全控制措施，如安全通道、可信通道、數(shù)據(jù)加密等。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。DB43/T1843—202096.2.4數(shù)據(jù)傳輸可用性該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證數(shù)據(jù)傳輸過(guò)程中區(qū)塊鏈數(shù)據(jù)的可用性。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)傳輸策略。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)通過(guò)傳輸接收到的數(shù)據(jù)是否與系統(tǒng)采用統(tǒng)一時(shí)間標(biāo)準(zhǔn)；2)是否具備對(duì)傳輸數(shù)據(jù)的可用性進(jìn)行檢測(cè)的能力。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。6.3數(shù)據(jù)訪問(wèn)測(cè)評(píng)要求6.3.1訪問(wèn)權(quán)限控制該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證設(shè)置數(shù)據(jù)訪問(wèn)控制權(quán)限、訪問(wèn)控制策略。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)訪問(wèn)權(quán)限控制功能。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)是否具有數(shù)據(jù)訪問(wèn)權(quán)限控制策略；2)針對(duì)系統(tǒng)中安全相關(guān)的操作，例如備份作業(yè)、日志訪問(wèn)、策略管理等，是否具備安全策略；3)是否具有訪問(wèn)錯(cuò)誤次數(shù)限制機(jī)制，例如當(dāng)異常操作次數(shù)超過(guò)三次時(shí)，應(yīng)能阻止該用戶的進(jìn)一步操作嘗試。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。6.3.2數(shù)據(jù)訪問(wèn)處理該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證數(shù)據(jù)處理時(shí)明確處理的目的和范圍、遵守?cái)?shù)據(jù)使用規(guī)范。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)訪問(wèn)流程。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)是否根據(jù)法律法規(guī)要求，明確數(shù)據(jù)處理的目的和范圍；2)是否設(shè)置數(shù)據(jù)訪問(wèn)處理規(guī)范類文檔及相關(guān)違規(guī)處理的懲戒措施；3)是否建立特定操作日志文檔，記錄和管理區(qū)塊鏈數(shù)據(jù)訪問(wèn)處理活動(dòng)中的相關(guān)操作。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。6.3.3加密訪問(wèn)控制該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證對(duì)數(shù)據(jù)進(jìn)行加密訪問(wèn)控制、數(shù)據(jù)訪問(wèn)權(quán)限設(shè)置采用多私鑰規(guī)則以及屬性加密等規(guī)則。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)訪問(wèn)權(quán)限控制。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)數(shù)據(jù)是否通過(guò)加密方式進(jìn)行訪問(wèn)控制；DB43/T1843—20202)數(shù)據(jù)訪問(wèn)權(quán)限設(shè)置是否采用屬性加密方法進(jìn)行訪問(wèn)權(quán)限控制。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。6.3.4數(shù)據(jù)服務(wù)該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)指定數(shù)據(jù)服務(wù)安控制策略和明確安全規(guī)范。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)服務(wù)功能。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)數(shù)據(jù)服務(wù)是否制定安全控制策略，明確規(guī)定使用服務(wù)的安全限制和安全控制措施，如身份鑒別、授權(quán)策略、訪問(wèn)控制機(jī)制、簽名、時(shí)間戳、安全協(xié)議等；2)數(shù)據(jù)服務(wù)是否明確安全規(guī)范，包括服務(wù)名稱、服務(wù)參數(shù)、服務(wù)安全要求等，具備對(duì)服務(wù)不安全參數(shù)進(jìn)行限制或過(guò)濾能力，為服務(wù)提供異常處理能力。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。6.4區(qū)塊數(shù)據(jù)測(cè)評(píng)要求6.4.1區(qū)塊激勵(lì)機(jī)制該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證設(shè)置合法、合理的區(qū)塊激勵(lì)機(jī)制。b)測(cè)評(píng)對(duì)象：區(qū)塊激勵(lì)機(jī)制。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)是否具有區(qū)塊激勵(lì)機(jī)制；2)區(qū)塊激勵(lì)機(jī)制是否合理、合法。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。6.4.2區(qū)塊防攻擊能力該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證區(qū)塊大小在安全范圍內(nèi)，并具備一定的防攻擊能力。b)測(cè)評(píng)對(duì)象：區(qū)塊程序。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)區(qū)塊大小是否在安全范圍內(nèi)；2)區(qū)塊是否能有效防御競(jìng)態(tài)攻擊等同類攻擊；3)區(qū)塊是否能有效防御芬尼攻擊等同類攻擊；4)區(qū)塊是否能有效防御51%算力攻擊等同類攻擊。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。6.5數(shù)據(jù)管理測(cè)評(píng)要求6.5.1數(shù)據(jù)管理制度該測(cè)評(píng)單元包括以下要求：DB43/T1843—2020a)測(cè)評(píng)指標(biāo)：應(yīng)制定區(qū)塊鏈數(shù)據(jù)安全工作的總體方針、數(shù)據(jù)安全策略。b)測(cè)評(píng)對(duì)象：總體方針策略類文檔、數(shù)據(jù)安全管理制度類文檔。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)數(shù)據(jù)安全工作的總體方針和安全策略文件是否明確規(guī)定數(shù)據(jù)安全工作的總體目標(biāo)范圍、原則以及各類安全策略等；2)數(shù)據(jù)管理制度是否覆蓋數(shù)據(jù)庫(kù)、區(qū)塊數(shù)據(jù)、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸?shù)裙芾韮?nèi)容；3)數(shù)據(jù)安全管理人員是否定期對(duì)數(shù)據(jù)安全管理制度的合理性和適用性進(jìn)行評(píng)審修訂。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。6.5.2數(shù)據(jù)管理機(jī)構(gòu)該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)設(shè)立適合區(qū)塊鏈系統(tǒng)的數(shù)據(jù)管理機(jī)構(gòu)。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)制度。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)各類數(shù)據(jù)變更記錄是否針對(duì)數(shù)據(jù)存儲(chǔ)變更、數(shù)據(jù)操作記錄、數(shù)據(jù)訪問(wèn)等事項(xiàng)進(jìn)行及時(shí)記錄；2)是否建立安全領(lǐng)導(dǎo)小組，指定機(jī)構(gòu)最高管理者或授權(quán)代表?yè)?dān)任小組組長(zhǎng)，并明確組長(zhǎng)責(zé)任與權(quán)力；3)是否建立機(jī)構(gòu)內(nèi)部監(jiān)督管理職能部門(mén)，對(duì)數(shù)據(jù)管理和各用戶操作行為進(jìn)行安全監(jiān)督管理。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。6.5.3數(shù)據(jù)管理人員該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)配備完善的數(shù)據(jù)管理人員體系。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)管理制度。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)是否制定數(shù)據(jù)服務(wù)人力資源安全策略，明確不同崗位人員在數(shù)據(jù)生命周期各階段數(shù)據(jù)服務(wù)和系統(tǒng)服務(wù)相關(guān)的工作范疇和安全管控措施；2)是否制定數(shù)據(jù)服務(wù)人員招聘、錄用、上崗、調(diào)崗、離崗、考核、選拔等人員安全管理制度；3)是否在錄用重要崗位人員前對(duì)其進(jìn)行背景調(diào)查，確保符合相關(guān)的法律、法規(guī)合同和道德要求，并與所有涉及數(shù)據(jù)服務(wù)崗位人員簽訂安全責(zé)任協(xié)議；4)是否在重要崗位人員調(diào)離或終止勞動(dòng)合同時(shí)，與其簽訂保密協(xié)議；5)是否明確數(shù)據(jù)服務(wù)重要崗位的兼職和輪崗、權(quán)限分離、多人共管等安全管理要求；6)是否建立人員安全責(zé)任獎(jiǎng)懲管理制度，并按照規(guī)定對(duì)造成數(shù)據(jù)服務(wù)損失的人員給予相應(yīng)的處理，記錄并保存相關(guān)信息。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。7第三級(jí)測(cè)評(píng)要求7.1數(shù)據(jù)存儲(chǔ)測(cè)評(píng)要求DB43/T1843—20207.1.1數(shù)據(jù)存儲(chǔ)機(jī)密性該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證數(shù)據(jù)存儲(chǔ)機(jī)密性。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)存儲(chǔ)形式。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)在數(shù)據(jù)存儲(chǔ)過(guò)程中是否采用密文的形式進(jìn)行存儲(chǔ)；2)在數(shù)據(jù)存儲(chǔ)時(shí)是否設(shè)置用戶訪問(wèn)權(quán)限；3)數(shù)據(jù)信息是否進(jìn)行安全保護(hù)分級(jí)。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。7.1.2數(shù)據(jù)存儲(chǔ)完整性該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證數(shù)據(jù)存儲(chǔ)完整性。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)存儲(chǔ)策略。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)數(shù)據(jù)存儲(chǔ)是否建立數(shù)據(jù)存儲(chǔ)冗余策略和管理制度，及數(shù)據(jù)備份與恢復(fù)操作過(guò)程規(guī)范；2)數(shù)據(jù)存儲(chǔ)是否具有數(shù)據(jù)完整性驗(yàn)證機(jī)制。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。7.1.3數(shù)據(jù)存儲(chǔ)可靠性該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證數(shù)據(jù)存儲(chǔ)可靠性。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)存儲(chǔ)策略類。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)數(shù)據(jù)存儲(chǔ)時(shí)是否具有存儲(chǔ)策略類文檔，文檔內(nèi)容包括但不限于存儲(chǔ)管理制度和數(shù)據(jù)備份操作；2)數(shù)據(jù)存儲(chǔ)內(nèi)容是否包含完整的用戶訪問(wèn)記錄、數(shù)據(jù)處理記錄等內(nèi)容；3)數(shù)據(jù)存儲(chǔ)是否建立數(shù)據(jù)的細(xì)顆粒度審計(jì)機(jī)制；4)數(shù)據(jù)存儲(chǔ)架構(gòu)是否可伸縮，以滿足數(shù)據(jù)量持續(xù)增長(zhǎng)、數(shù)據(jù)分類分級(jí)存儲(chǔ)等需求。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。7.1.4數(shù)據(jù)備份可用性該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：保證數(shù)據(jù)備份可用性。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)備份與恢復(fù)能力。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)重要數(shù)據(jù)是否具有備份機(jī)制；2)重要數(shù)據(jù)是否設(shè)置數(shù)據(jù)定期備份的策略；DB43/T1843—20203)是否采用分散式方式進(jìn)行數(shù)據(jù)備份；4)是否建立備份操作過(guò)程規(guī)范，包括備份日志記錄規(guī)范；5)是否明確數(shù)據(jù)邏輯存儲(chǔ)隔離授權(quán)與操作規(guī)范、確保具備數(shù)據(jù)存儲(chǔ)安全隔離能力。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。7.1.5數(shù)據(jù)恢復(fù)可用性該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證數(shù)據(jù)恢復(fù)功能可用性。b)測(cè)評(píng)對(duì)象：遇到故障時(shí)數(shù)據(jù)恢復(fù)能力。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)是否具有數(shù)據(jù)故障處置預(yù)案；2)故障預(yù)案是否能及時(shí)解決故障并迅速恢復(fù)數(shù)據(jù)；3)是否建立恢復(fù)操作過(guò)程規(guī)范，包括恢復(fù)日志記錄規(guī)范；4)在節(jié)點(diǎn)重新接入?yún)^(qū)塊時(shí)，是否能重新恢復(fù)數(shù)據(jù)；5)在數(shù)據(jù)故障時(shí)是否具備自動(dòng)恢復(fù)能力。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。7.2數(shù)據(jù)傳輸測(cè)評(píng)要求7.2.1數(shù)據(jù)傳輸機(jī)密性該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證數(shù)據(jù)傳輸過(guò)程中區(qū)塊鏈數(shù)據(jù)的機(jī)密性。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)傳輸策略。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)數(shù)據(jù)傳輸過(guò)程是否采用加密技術(shù)；2)數(shù)據(jù)傳輸是否在已授權(quán)節(jié)點(diǎn)之間進(jìn)行；3)機(jī)密和絕密數(shù)據(jù)是否在傳輸過(guò)程中使用數(shù)字簽名；4)數(shù)字簽名的密鑰的類型、屬性以及密鑰長(zhǎng)度是否達(dá)到安全需求。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。7.2.2數(shù)據(jù)傳輸完整性該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證數(shù)據(jù)傳輸過(guò)程中區(qū)塊鏈數(shù)據(jù)的完整性。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)傳輸策略。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)在數(shù)據(jù)傳輸過(guò)程中是否提供數(shù)據(jù)完整性驗(yàn)證協(xié)議；2)數(shù)據(jù)傳輸協(xié)議是否能夠保證業(yè)務(wù)數(shù)據(jù)的傳輸完整性。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本測(cè)評(píng)單元指標(biāo)要求。DB43/T1843—20207.2.3數(shù)據(jù)傳輸可靠性該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證數(shù)據(jù)傳輸過(guò)程中區(qū)塊鏈數(shù)據(jù)的可靠性。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)傳輸策略。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)傳輸連接建立之前，是否對(duì)發(fā)送方和接收方進(jìn)行身份鑒別操作，例如利用密碼技術(shù)進(jìn)行初始化會(huì)話驗(yàn)證；2)數(shù)據(jù)傳輸過(guò)程中是否采用加解密技術(shù)；3)數(shù)據(jù)傳輸是否采用滿足數(shù)據(jù)傳輸安全策略的相應(yīng)安全控制措施，如安全通道、可信通道、數(shù)據(jù)加密等；4)重要數(shù)據(jù)傳輸時(shí)是否采用隱蔽、隨機(jī)化等方式的傳輸協(xié)議，或者采用專用的傳輸協(xié)議等，保障數(shù)據(jù)傳輸過(guò)程中數(shù)據(jù)安全性。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。7.2.4數(shù)據(jù)傳輸可用性該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證數(shù)據(jù)傳輸過(guò)程中區(qū)塊鏈數(shù)據(jù)的可用性。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)傳輸策略。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)通過(guò)傳輸接收到的數(shù)據(jù)是否與系統(tǒng)采用統(tǒng)一時(shí)間標(biāo)準(zhǔn)；2)是否具備對(duì)傳輸數(shù)據(jù)的可用性進(jìn)行檢測(cè)的能力；3)數(shù)據(jù)傳輸過(guò)程中是否具有數(shù)據(jù)自動(dòng)矯正機(jī)制。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。7.3數(shù)據(jù)訪問(wèn)測(cè)評(píng)要求7.3.1訪問(wèn)權(quán)限控制該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證設(shè)置數(shù)據(jù)訪問(wèn)控制權(quán)限、訪問(wèn)控制策略。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)訪問(wèn)權(quán)限控制功能。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)是否具有數(shù)據(jù)訪問(wèn)權(quán)限控制策略；2)針對(duì)系統(tǒng)中安全相關(guān)的操作，例如備份作業(yè)、日志訪問(wèn)、策略管理等，是否具備安全策略；3)是否具有訪問(wèn)錯(cuò)誤次數(shù)限制機(jī)制，例如當(dāng)異常操作次數(shù)超過(guò)三次時(shí)，應(yīng)能阻止該用戶的進(jìn)一步操作嘗試；4)是否具有訪問(wèn)超時(shí)鎖定功能，例如在設(shè)定時(shí)間段內(nèi)沒(méi)有任何操作，系統(tǒng)會(huì)自動(dòng)終止會(huì)話，需要再次進(jìn)行身份鑒別才能夠重新操作。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。DB43/T1843—20207.3.2數(shù)據(jù)訪問(wèn)處理該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證數(shù)據(jù)處理時(shí)明確處理的目的和范圍、遵守?cái)?shù)據(jù)使用規(guī)范。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)訪問(wèn)流程。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)是否根據(jù)法律法規(guī)要求，明確數(shù)據(jù)處理的目的和范圍；2)是否設(shè)置數(shù)據(jù)訪問(wèn)處理規(guī)范類文檔及相關(guān)違規(guī)處理的懲戒措施；3)是否建立特定操作日志文檔，記錄和管理區(qū)塊鏈數(shù)據(jù)訪問(wèn)處理活動(dòng)中的相關(guān)操作；4)是否設(shè)置風(fēng)險(xiǎn)評(píng)估體系，評(píng)估數(shù)據(jù)訪問(wèn)處理結(jié)果，避免數(shù)據(jù)處理過(guò)程中涉及到相關(guān)敏感等重要數(shù)據(jù)。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。7.3.3加密訪問(wèn)控制該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證對(duì)數(shù)據(jù)進(jìn)行加密訪問(wèn)控制、數(shù)據(jù)訪問(wèn)權(quán)限設(shè)置采用多私鑰規(guī)則以及屬性加密等規(guī)則。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)訪問(wèn)權(quán)限控制。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)數(shù)據(jù)是否通過(guò)加密方式進(jìn)行訪問(wèn)控制；2)數(shù)據(jù)訪問(wèn)權(quán)限設(shè)置是否采用屬性加密方法進(jìn)行訪問(wèn)權(quán)限控制；3)數(shù)據(jù)訪問(wèn)權(quán)限設(shè)置是否采用多層加密規(guī)則。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。7.3.4數(shù)據(jù)服務(wù)該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)指定數(shù)據(jù)服務(wù)安控制策略和明確安全規(guī)范。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)服務(wù)功能。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)數(shù)據(jù)服務(wù)是否制定安全控制策略，明確規(guī)定使用服務(wù)的安全限制和安全控制措施，如身份鑒別、授權(quán)策略、訪問(wèn)控制機(jī)制、簽名、時(shí)間戳、安全協(xié)議等；2)數(shù)據(jù)服務(wù)是否明確安全規(guī)范，包括服務(wù)名稱、服務(wù)參數(shù)、服務(wù)安全要求等，具備對(duì)服務(wù)不安全參數(shù)進(jìn)行限制或過(guò)濾能力，為服務(wù)提供異常處理能力；3)數(shù)據(jù)服務(wù)調(diào)用是否采用安全通道、加密傳輸?shù)葯C(jī)制。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。7.4區(qū)塊數(shù)據(jù)測(cè)評(píng)要求7.4.1區(qū)塊激勵(lì)機(jī)制該測(cè)評(píng)單元包括以下要求：DB43/T1843—2020a)測(cè)評(píng)指標(biāo)：應(yīng)保證設(shè)置合法、合理的區(qū)塊激勵(lì)機(jī)制。b)測(cè)評(píng)對(duì)象：區(qū)塊激勵(lì)機(jī)制。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)是否具有區(qū)塊激勵(lì)機(jī)制；2)區(qū)塊激勵(lì)機(jī)制是否合理、合法；3)區(qū)塊激勵(lì)機(jī)制設(shè)置是否能使得共識(shí)節(jié)點(diǎn)最大化自身收益的個(gè)體行為與區(qū)塊鏈系統(tǒng)的安全性和有效性相契合；4)區(qū)塊激勵(lì)機(jī)制設(shè)置是否能使得大規(guī)模節(jié)點(diǎn)形成穩(wěn)定的共識(shí)。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。7.4.2區(qū)塊防攻擊能力該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證區(qū)塊大小在安全范圍內(nèi)，并具備一定的防攻擊能力。b)測(cè)評(píng)對(duì)象：區(qū)塊程序。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)區(qū)塊大小是否在安全范圍內(nèi)；2)區(qū)塊是否能有效防御競(jìng)態(tài)攻擊等同類攻擊；3)區(qū)塊是否能有效防御芬尼攻擊等同類攻擊；4)區(qū)塊是否能有效防御51%算力攻擊等同類攻擊。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。7.5數(shù)據(jù)管理測(cè)評(píng)要求7.5.1數(shù)據(jù)管理制度該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)制定區(qū)塊鏈數(shù)據(jù)安全工作的總體方針、數(shù)據(jù)安全策略。b)測(cè)評(píng)對(duì)象：總體方針策略類文檔、數(shù)據(jù)安全管理制度類文檔。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)數(shù)據(jù)安全工作的總體方針和安全策略文件是否明確規(guī)定數(shù)據(jù)安全工作的總體目標(biāo)范圍、原則以及各類安全策略等；2)數(shù)據(jù)管理制度是否覆蓋數(shù)據(jù)庫(kù)、區(qū)塊數(shù)據(jù)、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸?shù)裙芾韮?nèi)容；3)數(shù)據(jù)安全管理人員是否定期對(duì)數(shù)據(jù)安全管理制度的合理性和適用性進(jìn)行評(píng)審修訂；4)是否設(shè)置專門(mén)的人員負(fù)責(zé)制定數(shù)據(jù)安全管理制度。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。7.5.2數(shù)據(jù)管理機(jī)構(gòu)該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)設(shè)立適合區(qū)塊鏈系統(tǒng)的數(shù)據(jù)管理機(jī)構(gòu)。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)制度。DB43/T1843—2020c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)各類數(shù)據(jù)變更記錄是否針對(duì)數(shù)據(jù)存儲(chǔ)變更、數(shù)據(jù)操作記錄、數(shù)據(jù)訪問(wèn)等事項(xiàng)進(jìn)行及時(shí)記錄；2)是否建立安全領(lǐng)導(dǎo)小組，指定機(jī)構(gòu)最高管理者或授權(quán)代表?yè)?dān)任小組組長(zhǎng)，并明確組長(zhǎng)責(zé)任與權(quán)力；3)是否建立機(jī)構(gòu)內(nèi)部監(jiān)督管理職能部門(mén)，對(duì)數(shù)據(jù)管理和各用戶操作行為進(jìn)行安全監(jiān)督管理；4)機(jī)構(gòu)最高管理者或組長(zhǎng)是否明確了安全崗位和崗位用戶職責(zé)；5)數(shù)據(jù)安全主管是否配備了系統(tǒng)管理員、數(shù)據(jù)安全管理員等必需崗位；6)數(shù)據(jù)安全各崗位職責(zé)文檔是否明確了各崗位職責(zé)；7)是否制定數(shù)據(jù)安全追責(zé)制度，定期對(duì)責(zé)任部門(mén)或安全崗位組織安全檢查，形成檢查報(bào)告。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。7.5.3數(shù)據(jù)管理人員該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)配備完善的數(shù)據(jù)管理人員體系。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)管理制度。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)是否制定數(shù)據(jù)服務(wù)人力資源安全策略，明確不同崗位人員在數(shù)據(jù)生命周期各階段數(shù)據(jù)服務(wù)和系統(tǒng)服務(wù)相關(guān)的工作范疇和安全管控措施；2)是否制定數(shù)據(jù)服務(wù)人員招聘、錄用、上崗、調(diào)崗、離崗、考核、選拔等人員安全管理制度；3)是否在錄用重要崗位人員前對(duì)其進(jìn)行背景調(diào)查，確保符合相關(guān)的法律、法規(guī)合同和道德要求，并與所有涉及數(shù)據(jù)服務(wù)崗位人員簽訂安全責(zé)任協(xié)議；4)是否在重要崗位人員調(diào)離或終止勞動(dòng)合同時(shí)，與其簽訂保密協(xié)議；5)是否明確數(shù)據(jù)服務(wù)重要崗位的兼職和輪崗、權(quán)限分離、多人共管等安全管理要求；6)是否建立人員安全責(zé)任獎(jiǎng)懲管理制度，并按照規(guī)定對(duì)造成數(shù)據(jù)服務(wù)損失的人員給予相應(yīng)的處理，記錄并保存相關(guān)信息；7)是否建立第三方人員安全管理制度，對(duì)接觸個(gè)人信息、重要數(shù)據(jù)等數(shù)據(jù)的人員進(jìn)行審批和登記，并要求簽署保密協(xié)議，定期對(duì)這些人員行為進(jìn)行安全審查。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。8第四級(jí)測(cè)評(píng)要求8.1數(shù)據(jù)存儲(chǔ)測(cè)評(píng)要求8.1.1數(shù)據(jù)存儲(chǔ)機(jī)密性該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證數(shù)據(jù)存儲(chǔ)機(jī)密性。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)存儲(chǔ)形式。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)在數(shù)據(jù)存儲(chǔ)過(guò)程中是否采用密文的形式進(jìn)行存儲(chǔ)；2)在數(shù)據(jù)存儲(chǔ)時(shí)是否設(shè)置用戶訪問(wèn)權(quán)限；DB43/T1843—20203)數(shù)據(jù)信息是否進(jìn)行安全保護(hù)分級(jí)；4)敏感信息的主體是否采用匿名化方式存儲(chǔ)。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。8.1.2數(shù)據(jù)存儲(chǔ)完整性該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證數(shù)據(jù)存儲(chǔ)完整性。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)存儲(chǔ)策略。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)數(shù)據(jù)存儲(chǔ)是否建立數(shù)據(jù)存儲(chǔ)冗余策略和管理制度，及數(shù)據(jù)備份與恢復(fù)操作過(guò)程規(guī)范；2)數(shù)據(jù)存儲(chǔ)是否具有數(shù)據(jù)完整性驗(yàn)證機(jī)制。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。8.1.3數(shù)據(jù)存儲(chǔ)可靠性該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證數(shù)據(jù)存儲(chǔ)可靠性。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)存儲(chǔ)策略類。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)數(shù)據(jù)存儲(chǔ)時(shí)是否具有存儲(chǔ)策略類文檔，文檔內(nèi)容包括但不限于存儲(chǔ)管理制度和數(shù)據(jù)備2)數(shù)據(jù)存儲(chǔ)內(nèi)容是否包含完整的用戶訪問(wèn)記錄、數(shù)據(jù)處理記錄等內(nèi)容；3)數(shù)據(jù)存儲(chǔ)是否建立數(shù)據(jù)的細(xì)顆粒度審計(jì)機(jī)制；4)數(shù)據(jù)存儲(chǔ)架構(gòu)是否可伸縮，以滿足數(shù)據(jù)量持續(xù)增長(zhǎng)、數(shù)據(jù)分類分級(jí)存儲(chǔ)等需求；5)是否將不同類別和級(jí)別的數(shù)據(jù)分開(kāi)存儲(chǔ)，并采取物理或邏輯隔離機(jī)制。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。8.1.4數(shù)據(jù)備份可用性該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：保證數(shù)據(jù)備份可用性。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)備份與恢復(fù)能力。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)重要數(shù)據(jù)是否具有備份機(jī)制；2)重要數(shù)據(jù)是否設(shè)置數(shù)據(jù)定期備份的策略；3)是否采用分散式方式進(jìn)行數(shù)據(jù)備份；4)是否建立備份操作過(guò)程規(guī)范，包括備份日志記錄規(guī)范；5)是否明確數(shù)據(jù)邏輯存儲(chǔ)隔離授權(quán)與操作規(guī)范、確保具備數(shù)據(jù)存儲(chǔ)安全隔離能力。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。DB43/T1843—20208.1.5數(shù)據(jù)恢復(fù)可用性該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證數(shù)據(jù)恢復(fù)功能可用性。b)測(cè)評(píng)對(duì)象：遇到故障時(shí)數(shù)據(jù)恢復(fù)能力。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)是否具有數(shù)據(jù)故障處置預(yù)案；2)故障預(yù)案是否能及時(shí)解決故障并迅速恢復(fù)數(shù)據(jù)；3)是否建立恢復(fù)操作過(guò)程規(guī)范，包括恢復(fù)日志記錄規(guī)范；4)在節(jié)點(diǎn)重新接入?yún)^(qū)塊時(shí)，是否能重新恢復(fù)數(shù)據(jù)；5)在數(shù)據(jù)故障時(shí)是否具備自動(dòng)恢復(fù)能力；6)是否具有數(shù)據(jù)安全分析能力，例如基于數(shù)據(jù)驅(qū)動(dòng)的誤用檢測(cè)、安全事件檢測(cè)等相關(guān)能力。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。8.2數(shù)據(jù)傳輸測(cè)評(píng)要求8.2.1數(shù)據(jù)傳輸機(jī)密性該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證數(shù)據(jù)傳輸過(guò)程中區(qū)塊鏈數(shù)據(jù)的機(jī)密性。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)傳輸策略。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)數(shù)據(jù)傳輸過(guò)程是否采用加密技術(shù)；2)數(shù)據(jù)傳輸是否在已授權(quán)節(jié)點(diǎn)之間進(jìn)行；3)機(jī)密和絕密數(shù)據(jù)是否在傳輸過(guò)程中使用數(shù)字簽名；4)數(shù)字簽名的密鑰的類型、屬性以及密鑰長(zhǎng)度是否達(dá)到安全需求；5)敏感數(shù)據(jù)傳輸時(shí)，是否采用用戶口令、生物特征、密鑰等加密傳輸策略。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。8.2.2數(shù)據(jù)傳輸完整性該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證數(shù)據(jù)傳輸過(guò)程中區(qū)塊鏈數(shù)據(jù)的完整性。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)傳輸策略。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)在數(shù)據(jù)傳輸過(guò)程中是否提供數(shù)據(jù)完整性驗(yàn)證協(xié)議；2)數(shù)據(jù)傳輸協(xié)議是否能夠保證業(yè)務(wù)數(shù)據(jù)的傳輸完整性。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本測(cè)評(píng)單元指標(biāo)要求。8.2.3數(shù)據(jù)傳輸可靠性該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證數(shù)據(jù)傳輸過(guò)程中區(qū)塊鏈數(shù)據(jù)的可靠性。DB43/T1843—202020b)測(cè)評(píng)對(duì)象：數(shù)據(jù)傳輸策略。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)傳輸連接建立之前，是否對(duì)發(fā)送方和接收方進(jìn)行身份鑒別操作，例如利用密碼技術(shù)進(jìn)行初始化會(huì)話驗(yàn)證；2)數(shù)據(jù)傳輸過(guò)程中是否采用加解密技術(shù)；3)數(shù)據(jù)傳輸是否采用滿足數(shù)據(jù)傳輸安全策略的相應(yīng)安全控制措施，如安全通道、可信通道、數(shù)據(jù)加密等；4)重要數(shù)據(jù)傳輸時(shí)是否采用隱蔽、隨機(jī)化等方式的傳輸協(xié)議，或者采用專用的傳輸協(xié)議等，保障數(shù)據(jù)傳輸過(guò)程中數(shù)據(jù)安全性。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。8.2.4數(shù)據(jù)傳輸可用性該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證數(shù)據(jù)傳輸過(guò)程中區(qū)塊鏈數(shù)據(jù)的可用性。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)傳輸策略。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)通過(guò)傳輸接收到的數(shù)據(jù)是否與系統(tǒng)采用統(tǒng)一時(shí)間標(biāo)準(zhǔn)；2)是否具備對(duì)傳輸數(shù)據(jù)的可用性進(jìn)行檢測(cè)的能力；3)數(shù)據(jù)傳輸過(guò)程中是否具有數(shù)據(jù)自動(dòng)矯正機(jī)制。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。8.3數(shù)據(jù)訪問(wèn)測(cè)評(píng)要求8.3.1訪問(wèn)權(quán)限控制該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證設(shè)置數(shù)據(jù)訪問(wèn)控制權(quán)限、訪問(wèn)控制策略。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)訪問(wèn)權(quán)限控制功能。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)是否具有數(shù)據(jù)訪問(wèn)權(quán)限控制策略；策略；3)是否具有訪問(wèn)錯(cuò)誤次數(shù)限制機(jī)制，例如當(dāng)異常操作次數(shù)超過(guò)三次時(shí)，應(yīng)能阻止該用戶的進(jìn)一步操作嘗試；4)是否具有訪問(wèn)超時(shí)鎖定功能，例如在設(shè)定時(shí)間段內(nèi)沒(méi)有任何操作，系統(tǒng)會(huì)自動(dòng)終止會(huì)話，需要再次進(jìn)行身份鑒別才能夠重新操作。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。8.3.2數(shù)據(jù)訪問(wèn)處理該測(cè)評(píng)單元包括以下要求：DB43/T1843—202021a)測(cè)評(píng)指標(biāo)：應(yīng)保證數(shù)據(jù)處理時(shí)明確處理的目的和范圍、遵守?cái)?shù)據(jù)使用規(guī)范。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)訪問(wèn)流程。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)是否根據(jù)法律法規(guī)要求，明確數(shù)據(jù)處理的目的和范圍；2)是否設(shè)置數(shù)據(jù)訪問(wèn)處理規(guī)范類文檔及相關(guān)違規(guī)處理的懲戒措施；3)是否建立特定操作日志文檔，記錄和管理區(qū)塊鏈數(shù)據(jù)訪問(wèn)處理活動(dòng)中的相關(guān)操作；4)是否設(shè)置風(fēng)險(xiǎn)評(píng)估體系，評(píng)估數(shù)據(jù)訪問(wèn)處理結(jié)果，避免數(shù)據(jù)處理過(guò)程中涉及到相關(guān)敏感等重要數(shù)據(jù)。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。8.3.3加密訪問(wèn)控制該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證對(duì)數(shù)據(jù)進(jìn)行加密訪問(wèn)控制、數(shù)據(jù)訪問(wèn)權(quán)限設(shè)置采用多私鑰規(guī)則以及屬性加密等規(guī)則。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)訪問(wèn)權(quán)限控制。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)數(shù)據(jù)是否通過(guò)加密方式進(jìn)行訪問(wèn)控制；2)數(shù)據(jù)訪問(wèn)權(quán)限設(shè)置是否采用屬性加密方法進(jìn)行訪問(wèn)權(quán)限控制；3)數(shù)據(jù)訪問(wèn)權(quán)限設(shè)置是否采用多層加密規(guī)則；4)數(shù)據(jù)訪問(wèn)權(quán)限設(shè)置是否同時(shí)采用多種密碼學(xué)方法控制訪問(wèn)權(quán)限。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。8.3.4數(shù)據(jù)服務(wù)該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)指定數(shù)據(jù)服務(wù)安控制策略和明確安全規(guī)范。b)測(cè)評(píng)對(duì)象：數(shù)據(jù)服務(wù)功能。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)數(shù)據(jù)服務(wù)是否制定安全控制策略，明確規(guī)定使用服務(wù)的安全限制和安全控制措施，如身份鑒別、授權(quán)策略、訪問(wèn)控制機(jī)制、簽名、時(shí)間戳、安全協(xié)議等；2)數(shù)據(jù)服務(wù)是否明確安全規(guī)范，包括服務(wù)名稱、服務(wù)參數(shù)、服務(wù)安全要求等，具備對(duì)服務(wù)不安全參數(shù)進(jìn)行限制或過(guò)濾能力，為服務(wù)提供異常處理能力；3)數(shù)據(jù)服務(wù)調(diào)用是否采用安全通道、加密傳輸?shù)葯C(jī)制；4)數(shù)據(jù)服務(wù)是否具備訪問(wèn)的審計(jì)能力，并能為數(shù)據(jù)安全審計(jì)提供可配置的數(shù)據(jù)服務(wù)。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。8.4區(qū)塊數(shù)據(jù)測(cè)評(píng)要求8.4.1區(qū)塊激勵(lì)機(jī)制該測(cè)評(píng)單元包括以下要求：DB43/T1843—202022a)測(cè)評(píng)指標(biāo)：應(yīng)保證設(shè)置合法、合理的區(qū)塊激勵(lì)機(jī)制。b)測(cè)評(píng)對(duì)象：區(qū)塊激勵(lì)機(jī)制。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)是否具有區(qū)塊激勵(lì)機(jī)制；2)區(qū)塊激勵(lì)機(jī)制是否合理、合法；3)區(qū)塊激勵(lì)機(jī)制設(shè)置是否能使得共識(shí)節(jié)點(diǎn)最大化自身收益的個(gè)體行為與區(qū)塊鏈系統(tǒng)的安全性和有效性相契合；4)區(qū)塊激勵(lì)機(jī)制設(shè)置是否能使得大規(guī)模節(jié)點(diǎn)形成穩(wěn)定的共識(shí)。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。8.4.2區(qū)塊防攻擊能力該測(cè)評(píng)單元包括以下要求：a)測(cè)評(píng)指標(biāo)：應(yīng)保證區(qū)塊大小在安全范圍內(nèi)，并具備一定的防攻擊能力。b)測(cè)評(píng)對(duì)象：區(qū)塊程序。c)測(cè)評(píng)實(shí)施包括以下內(nèi)容：1)區(qū)塊大小是否在安全范圍內(nèi)；2)區(qū)塊是否能有效防御競(jìng)態(tài)攻擊等同類攻擊；3)區(qū)塊是否能有效防御芬尼攻擊等同類攻擊；4)區(qū)塊是否能有效防御51%算力攻擊等同類攻擊。d)測(cè)評(píng)判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。8.5數(shù)據(jù)管理測(cè)