DB43T 1839-2020 信息安全技术 区块链合约安全技术测评要求.docxVIP

ICS35.240L70

DB43

湖南省地方标准

DB43/T1839—2020

信息安全技术

区块链合约安全技术测评要求

Informationsecuritytechnology-Evaluationrequirementsforblockchaincontractsecuritytechnology

2020-09-30发布2020-12-30实施

湖南省市场监督管理局发布

I

DB43/T1839—2020

目次

前言 Ⅲ

1范围 1

2规范性引用文件 1

3术语和定义 1

4等级测评概述 2

4.1等级测评方法 2

4.2单项测评 2

5第一级测评要求 2

5.1合约可终止性测评要求 2

5.2合约确定性测评要求 3

5.3合约可审计性测评要求 3

5.4合约常用漏洞防护测评要求 4

6第二级测评要求 5

6.1合约可终止性测评要求 5

6.2合约确定性测评要求 6

6.3合约可审计性测评要求 7

6.4合约常用漏洞防护测评要求 7

7第三级测评要求 9

7.1合约可终止性测评要求 9

7.2合约确定性测评要求 10

7.3合约可审计性测评要求 11

7.4合约常用漏洞防护测评要求 11

8第四级测评要求 14

8.1合约可终止性测评要求 14

8.2合约确定性测评要求 15

8.3合约可审计性测评要求 15

8.4合约常用漏洞防护测评要求 16

9测评结论 18

9.1风险分析和评价 18

9.2等级测评结论 18

参考文献 20

III

DB43/T1839—2020

前言

本文件按照GB/T1.1—2020给出的规则起草。

本文件由中共湖南省委网络安全和信息化委员会办公室提出。

本文件由湖南省区块链和分布式记账技术标准化技术委员会（筹）归口。

本文件起草单位：湖南链信安科技有限公司、湖南天河国云科技有限公司、湖南省东方区块链安全技术检测中心、湖南省人民政府发展研究中心、湖南天河云链科技有限公司。

本文件主要起草人：陈昕、谭林、杨征、梁亮、聂璐璐、梁琪、李财、聂朗、汪武、尹海波、黄帅、柳兴、郭慧、殷新文、丁雅琪、沈浪、张祥、宋姝、姜载乐、刘齐平、郑婷婷、胡钦、邹曼瑜等。

1

DB43/T1839—2020

信息安全技术区块链合约安全技术测评要求

1范围

本文件规定了区块链合约安全技术测评指标要求。包括第一级、第二级、第三级和第四级区块链合约安全技术测评要求。

本文件适用于测评机构对区块链合约安全进行的测评工作，也适用于区块链技术开发者参考使用。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069—2010信息安全技术术语

GB/T28458—2012信息安全技术安全漏洞标识与描述规范

3术语和定义

GB/T25069—2010、GB/T28458—2012界定的下列术语和定义适用于本文件。3.1

智能合约smartcontracts

由事件驱动的、具有状态的、运行在可复制的共享区块链数据账本上的一段计算机代码，是现实世界中合约和规则的算法实现。

3.2

函数可重入functionreentrant

某函数被调用，没有执行完成，又一次被调用。

3.3

整数溢出lntegeroverflow

整数溢出漏洞包括上溢和下溢，上溢时指已经达到类型能表示的最大值后，再增加的话就会溢出，从一个很大的值变为0，下溢是指已经是类型能表示的最小值，继续减小的话，就会变成一个很大的值。3.4

安全审计securityaudit

对信息系统的各种事件及行为实行监测、信息采集、分析，并针对特定事件及行为采取相应的动作。

[GB/T25069—2010]3.5

安全漏洞vulnerability

计算机信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的缺陷。这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中，一旦被恶意主体所利用，就会对计