ICS35.020

L70

DB61

陜西省地方標(biāo)準(zhǔn)

DB61/T1283—2019

區(qū)塊鏈安全測評指標(biāo)體系

BlockchainSecurityAssessment—Indicatorsystem

2019-11-27發(fā)布2019-12-27實(shí)施

陜西省市場監(jiān)督管理局發(fā)布

DB61/T1283—2019

目??次

前言.....................................................................................................................................................................II

1范圍.................................................................................................................................................................1

2規(guī)范性引用文件.............................................................................................................................................1

3術(shù)語和定義.....................................................................................................................................................1

4區(qū)塊鏈安全測評指標(biāo)體系.............................................................................................................................1

5安全測評指標(biāo).................................................................................................................................................2

I

DB61/T1283—2019

前??言

本標(biāo)準(zhǔn)按照GB/T1.1—2009給出的規(guī)則起草。

本標(biāo)準(zhǔn)由陜西省工業(yè)和信息化廳提出并歸口。

本標(biāo)準(zhǔn)起草單位：西安電子科技大學(xué)、西安西電鏈融科技有限公司、陜西省網(wǎng)絡(luò)與信息安全測評中

心、廣東安創(chuàng)信息科技開發(fā)有限公司。

本標(biāo)準(zhǔn)主要起草人：劉景偉、裴慶祺、李志奇、楊帆、趙首花、陳晨、楊向東、何果、梁天宇、李

曉璐。

本標(biāo)準(zhǔn)由西安電子科技大學(xué)負(fù)責(zé)解釋。

本標(biāo)準(zhǔn)首次發(fā)布。

聯(lián)系信息如下：

單位：西安電子科技大學(xué)

電話/p>

地址：西安市太白南路2號

郵編：710071

II

DB61/T1283—2019

區(qū)塊鏈安全測評指標(biāo)體系

1范圍

本標(biāo)準(zhǔn)規(guī)定了區(qū)塊鏈系統(tǒng)的安全架構(gòu)、測評模型、測評指標(biāo)體系和測評技術(shù)要求。

本標(biāo)準(zhǔn)適用于區(qū)塊鏈安全系統(tǒng)的測試評價。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T25069信息安全技術(shù)術(shù)語

3術(shù)語和定義

GB/T25069界定的以及下列術(shù)語和定義適用于本文件。

3.1

區(qū)塊鏈blockchain

在網(wǎng)絡(luò)環(huán)境下，通過透明、可信的規(guī)則，構(gòu)建的不可偽造、不可篡改和可追溯的分布式數(shù)據(jù)庫。

3.2

共識算法consensusalgorithm

在分布式的網(wǎng)絡(luò)環(huán)境下，使區(qū)塊鏈各節(jié)點(diǎn)間達(dá)成一致的計(jì)算方法。

3.3

分布式賬本distributedledger

在多個站點(diǎn)、不同地理位置或者多個機(jī)構(gòu)組成的網(wǎng)絡(luò)里實(shí)現(xiàn)共同治理及分享的資產(chǎn)數(shù)據(jù)庫。

3.4

智能合約smartcontract

基于預(yù)定事件觸發(fā)、不可篡改、自動執(zhí)行的計(jì)算機(jī)程序。

4區(qū)塊鏈安全測評指標(biāo)體系

4.1評測模型

區(qū)塊鏈安全測評模型如圖1所示。

1

DB61/T1283—2019

圖1區(qū)塊鏈安全測評模型

4.2測評指標(biāo)體系

區(qū)塊鏈安全測評指標(biāo)體系如圖2所示。

圖2區(qū)塊鏈安全測評指標(biāo)體系

5安全測評指標(biāo)

5.1基礎(chǔ)設(shè)施安全

5.1.1網(wǎng)絡(luò)與通信安全要求如下：

a)應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力達(dá)到規(guī)定的閾值；

b)網(wǎng)絡(luò)節(jié)點(diǎn)的監(jiān)控能力應(yīng)達(dá)到及時發(fā)現(xiàn)和抵抗網(wǎng)絡(luò)攻擊的要求。

5.1.2分布式數(shù)據(jù)庫安全要求如下：

a)應(yīng)具備檢測和防御各種攻擊行為的能力；

b)應(yīng)保證數(shù)據(jù)交互過程中的高效性和隱私性；

c)應(yīng)具有修復(fù)損壞數(shù)據(jù)的能力。

2

DB61/T1283—2019

5.1.3運(yùn)行環(huán)境安全要求如下：

a)應(yīng)具備防范入侵的能力；

b)應(yīng)具備防范惡意代碼的能力；

c)應(yīng)具備處理漏洞和防范風(fēng)險的能力。

5.2算法與結(jié)構(gòu)安全

5.2.1密碼算法要求如下：

a)應(yīng)支持國際主流密碼算法和我國商密算法，如AES、RSA、ECC、SM2、SM3、SM4、SM9等；

b)應(yīng)具備抵御破解的能力，定期審核加密算法的安全性；

c)應(yīng)滿足參數(shù)配置和生成過程、隨機(jī)數(shù)的使用、操作模式等安全性需求。

5.2.2賬本安全要求如下：

a)應(yīng)具備持久化存儲賬本記錄的能力，保證數(shù)據(jù)的可追溯性；

b)應(yīng)保證各個節(jié)點(diǎn)能對正確的賬本進(jìn)行同步；

c)應(yīng)具備向獲得授權(quán)者提供真實(shí)數(shù)據(jù)的能力。

5.2.3區(qū)塊安全要求如下：

a)區(qū)塊應(yīng)通過健壯的激勵機(jī)制形成；

b)區(qū)塊應(yīng)具備抵抗攻擊的能力。

5.2.4密鑰安全要求如下：

a)應(yīng)具有明確的密鑰管理方案；

b)密鑰應(yīng)安全生成、導(dǎo)入和存儲；

c)密鑰應(yīng)能夠正確、有效、安全備份；

d)應(yīng)具有密鑰找回功能；

e)應(yīng)提供密鑰撤銷機(jī)制。

5.3協(xié)議與機(jī)制安全

5.3.1共識機(jī)制安全要求如下：

a)正常運(yùn)行的節(jié)點(diǎn)的請求應(yīng)能在規(guī)定時間內(nèi)達(dá)成正確、一致的共識；

b)不超過理論值的節(jié)點(diǎn)數(shù)故障應(yīng)不影響整個系統(tǒng)正常工作；

c)每一參與節(jié)點(diǎn)應(yīng)具有獨(dú)立判斷能力；

d)共識方案的發(fā)布應(yīng)具備清晰的應(yīng)用場景和規(guī)模參數(shù)；

e)在理論值范圍內(nèi)的惡意節(jié)點(diǎn)發(fā)出惡意請求時，系統(tǒng)應(yīng)能夠做出正確的響應(yīng)，保證一致性。

5.3.2激勵機(jī)制安全要求如下：

a)應(yīng)保證激勵發(fā)行和分配過程的公平性；

b)應(yīng)考慮通信成本、網(wǎng)絡(luò)維護(hù)成本以及計(jì)算資源消耗成本；

c)應(yīng)設(shè)置對節(jié)點(diǎn)惡意行為的懲罰機(jī)制。

5.3.3智能合約安全要求如下：

a)智能合約開發(fā)應(yīng)標(biāo)準(zhǔn)化、規(guī)范化；

b)智能合約代碼應(yīng)能夠進(jìn)行安全性測試；

c)智能合約代碼審計(jì)驗(yàn)證應(yīng)標(biāo)準(zhǔn)化、規(guī)范化；

d)應(yīng)建立智能合約安全漏洞信息平臺；

e)智能合約應(yīng)不可被惡意篡改。

5.3.4跨鏈通信安全要求如下：

a)應(yīng)保持分布式網(wǎng)絡(luò)里節(jié)點(diǎn)之間連接狀態(tài)的強(qiáng)健性；

3

DB61/T1283—2019

b)應(yīng)建立統(tǒng)一的跨鏈通信數(shù)據(jù)共享所需的數(shù)據(jù)格式和通信協(xié)議；

c)應(yīng)抵御跨鏈間的各種攻擊。

5.4數(shù)據(jù)安全

5.4.1機(jī)密性要求如下：

a)數(shù)據(jù)存儲應(yīng)具備機(jī)密性；

b)數(shù)據(jù)傳輸應(yīng)具備機(jī)密性。

5.4.2完整性要求如下：

a)數(shù)據(jù)存儲應(yīng)具備完整性；

b)數(shù)據(jù)傳輸應(yīng)具備完整性。

5.4.3可用性要求如下：

a)授權(quán)主體在需要數(shù)據(jù)時應(yīng)能及時得到服務(wù)；

b)應(yīng)具備數(shù)據(jù)的備份和恢復(fù)能力。

5.5應(yīng)用安全

5.5.1身份認(rèn)證要求如下：

a)應(yīng)具備用戶注冊、更改與注銷等功能；

b)認(rèn)證信息應(yīng)以密文存儲和傳輸；

c)應(yīng)具有賬戶安全警告、鎖定、找回功能；

d)用戶信息應(yīng)與個人真實(shí)身份具有關(guān)聯(lián)性。

5.5.2訪問控制要求如下：

a)應(yīng)具有對不同級別的用戶授予不同權(quán)限的功能；

b)應(yīng)具有根據(jù)需要來更改系統(tǒng)內(nèi)容的訪問等級與用戶的訪問權(quán)限等級的功能；

c)應(yīng)避免單一權(quán)威機(jī)構(gòu)的權(quán)限壟斷。

5.5.3隱私保護(hù)要求如下：

a)用戶的隱私信息不得以明文傳輸、存儲；

b)應(yīng)將數(shù)據(jù)分為多個隱私等級；

c)應(yīng)對系統(tǒng)中關(guān)鍵數(shù)據(jù)的隱私進(jìn)行保護(hù)。

5.6安全管理

5.6.1機(jī)制管理要求如下：

a)應(yīng)建立相應(yīng)的人員管理制度；

b)應(yīng)建立軟、硬件維護(hù)的管理制度；

c)應(yīng)建立區(qū)塊鏈系統(tǒng)及應(yīng)用的安全評估制度；

d)應(yīng)建立區(qū)塊鏈系統(tǒng)及應(yīng)用的安全審計(jì)