DB23_T 3697—2024 区块链项目安全评估指南.docx

ICS35.240.30

CCSL07DB23

黑龙江省地方标准

DB23/T3697—2024

区块链项目安全评估指南

2024-06-13发布2024-07-12实施黑龙江省市场监督管理局发布

DB23/T3697-2024

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起

草。

请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的责任。本文件由黑龙江省互联网信息办公室提出并归口。

本文件起草单位：黑龙江省大数据产业协会、黑龙江亿林网络股份有限公司、哈尔滨财富通科技发展有限公司、中国铁塔股份有限公司哈尔滨市分公司、哈尔滨伟祺科技开发有限公司、工单科技(黑龙江)有限公司、杭州金诚信息安全科技有限公司、中国移动通信集团设计院有限公司黑龙江分公司。

本文件主要起草人：孙甲子、李璐昆、杜飞、鞠昆仑、王唯合、李文才、李清洋、苏建洋、刘婷婷、孙传友、纪云龙、冯冬鑫、姜子寒。

DB23/T3697-2024

区块链项目安全评估指南

1范围

本文件给出了区块链项目安全评估的安全体系架构、评估对象、评估与审核、评估流程的指导。本文件适用于黑龙江省区块链项目的安全评估工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB/T22239信息安全技术网络安全等级保护基本要求GB/T42570信息安全技术区块链技术安全框架

3术语和定义

GB/T22239和GB/T42570界定的以及下列术语和定义适用于本文件。

3.1

分布式共识协议

分布式系统中用于确保多个节点之间数据一致性的一组算法和规则。

3.2

拜占庭容错

一种容错机制，在分布式系统存在恶意节点的情况下，能够正确地执行其功能并达成一致的决策。

3.3

鲁棒性

系统、模型或算法在面对错误、异常或者不确定性条件时仍能保持其性能和功能的能力。

3.4

校验和

一种校验方法，用于检测数据在存储或传输过程中是否发生了错误。

3.5

静态代码分析

一种代码审查技术，它允许开发者在不实际运行程序的情况下，通过分析源代码的语法、结构和数据流来发现潜在的程序设计错误、安全漏洞和其他问题。

3.6

形式化验证

2

DB23/T3697-2024

一种基于数学的技术，用于确保软件和硬件系统的规范、设计和实现的正确性。

4安全体系架构

4.1总体架构描述

安全体系架构由下到上依次为物理安全层、网络安全层、节点安全层、数据安全层、智能合约安全层、身份和访问管理层、应用和应用程序编程接口安全层以及法律法规和政策层、安全监控和审计层。

总体架构示意图如图1所示。

总体架构示意图如图1所示。

法律合规和政策层

应用程序编程接口安全去中心化应用安全

身份和访问管理层

身份验证和授权多因素认证密钥管理

智能合约安全层

安全监控

代码审计正式验证漏洞修复和管理

数据安全层

数据加密数据完整性保护备份和灾难恢复

节点安全层

应急响应

节点身份验证节点通信加密共识机制安全

网络安全层

防火墙和入侵检测系统网络隔离和分段安全访问控制

物理安全层

场地安全硬件设备节点部署安全硬件加密设备安全

应用和应用程序编程接口安全层

安全监控和审计层

安全政策

和程序

合规性审查

日志管理

图1安全体系架构图

4.2物理安全层

4.2.1场地安全

场地安全包括：

a)数据中心位置：

1)系统节点的物理位置，可以通过IP地址定位确定位于中国境内；

2)定期进行地理和气候风险评