信息安全技术 网络安全等级保护区块链安全扩展要求-编制说明.pdfVIP

团体标准《信息安全技术 网络安全等级保护区块链安全扩 展要求》（草案稿）编制说明 一、工作简况 1、任务来源 本项目为2021年的中关村信息安全测评联盟团体标准制定项目，标准名称为 《信息安全技术 网络安全等级保护区块链安全基本要求》，中关村信息安全测 评联盟的团体标准立项公告文件号为：信安联﹝2021 ﹞15号。 2、标准编制的主要成员单位 本项目由公安部信息安全等级保护评估中心牵头，参与起草单位包括中国移 动通信有限公司研究院、华为技术有限公司、长春吉大正元信息技术股份有限公 司、绿盟科技集团股份有限公司、北方实验室（沈阳）股份有限公司、深圳市腾 讯计算机系统有限公司。 3、主要工作过程 1、2021年1月至2021年2月，标准牵头单位及协作单位调动相关技术人员对 标准的内容进行预研，分析了国内外相关形势及发展趋势，研究了国内外的相关 政策法规及标准，草拟了标准草案的大纲。 2、2021年3月，提交了团体标准制修订的立项申请书。 3、2021年3月15日，中关村信息安全测评联盟下发了《关于信息安全技术 网 络安全等级保护区块链安全基本要求等两项团体标准立项的公告》 （信安联 [2021]15号）。 4，2021年4月-9月，对标准草案的第三级内容进行了编制，并根据工作组成 员单位专家意见进行完善修改，依照专家意见组织编制组讨论并继续完善草案内 容。 5、2021年10月-12月，组织编制组成员编制标准草案的第一级、第二级和第 四级内容。 6、2022年1月-3月，项目组完成标准草案的第一级至第四级的所内容修订和 完善。 1 7、2022年4月-5月，公安部信息安全等级保护评估中心组织专家对标准草案 进行了2轮评审，并建议标准名称修改为《信息安全技术 网络安全等级保护区块 链安全扩展要求》，项目组根据专家意见对标准草案进行了修订和完善。 8、2022年6月，项目组根据专家意见完成标准草案的修订和完善，并形成意 见汇总处理表，相应的材料提交给中关村信息安全测评联盟。 二、标准编制原则和确定主要内容的论据及解决的主要问题 1、编制原则 本标准的编制原则是： 1）通用性 本文件规定了网络安全等级保护第一级至第四级区块链基础设施网络安全 等级保护对象的安全扩展要求，适用于私有链安全建设及服务，也可用于指导联 盟链安全建设及服务。 2）实用性 根据我国国情、实际运用环境和国家有关政策编制本标准，使其在指导网络 安全等级保护区块链安全保护方面具有很强的实用性。 3）符合性 符合国家有关法律法规和已有标准规范的相关要求。 2、确定主要内容的依据 标准制定的依据为： a）标准格式按照GB/T 1.1—2020 标准要求编写。 b）本标准制定参考以下国家标准： GB/T 25069-2010 信息安全技术 术语 GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求 GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南 GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求 GB/T 39786-2021 信息安全技术 信息系统密码应用基本要求 3、解决的主要问题 由于区块链技术匿名性、分布式存储等特征，区块链信息服务在用户隐私 保护、信息安全方面有优势，但其去中心化机制、链上信息难以修改等特征也为 信息安全管理带来了调整，由于区块链产业发展时间短，信息安全管理措施和技 2 术保障能力缺失缺位，进一步加剧了区块链技术使用过程中的安全风险隐患。为 此，需要研究网络安全等级保护区块链安全扩展要求，规定私有链基础设施第一 级至第四级应满足的安全扩展要求，包括安全技术扩展要求和安全管理扩展要 求。 该标准适用于指导区块链基础设施安全建设及安全服务。标准主要框架如 下： 前言 1 范围 本文件规定了网络安全等级保护第一级至第四级区块链基础设施网络安全 等级保护对象的安全扩展要求。 本文件适用于私有链安全建设及服务，也可用于指导联盟链安全建设及服 务。 2