DB43∕T 1842-2020 区块链应用安全技术测评标准.docx

ICS35.240L70

DB43

湖南省地方标准

DB43/T1842—2020

信息安全技术

区块链应用安全技术测评要求

Informationsecuritytechnology-Evaluationrequirementsforblockchainapplicationsecuritytechnology

2020-09-30发布2020-12-30实施

湖南省市场监督管理局发布

I

DB43/T1842—2020

目次

前言 Ⅲ

1范围 1

2规范性引用文件 1

3术语和定义 1

4等级测评概述 2

4.1等级测评方法 2

4.2单项测评 2

5第一级测评要求 2

5.1应用系统测评要求 2

5.2漏洞防护测评要求 3

5.3安全审计测评要求 3

6第二级测评要求 5

6.1应用系统测评要求 5

6.2漏洞防护测评要求 6

6.3安全审计测评要求 7

7第三级测评要求 9

7.1应用系统测评要求 9

7.2漏洞防护测评要求 10

7.3安全审计测评要求 12

8第四级测评要求 13

8.1应用系统测评要求 13

8.2漏洞防护测评要求 15

8.3安全审计测评要求 16

9测评结论 18

9.1风险分析和评价 18

9.2等级测评结论 18

参考文献 19

DB43/T1842—2020

III

前言

本文件按照GB/T1.1—2020给出的规则起草。

本文件由中共湖南省委网络安全和信息化委员会办公室提出。

本文件由湖南省区块链和分布式记账技术标准化技术委员会（筹）归口。

本文件起草单位：湖南链信安科技有限公司、湖南天河国云科技有限公司、湖南省东方区块链安全技术检测中心、湖南省人民政府发展研究中心、湖南天河云链科技有限公司。

本文件主要起草人：谭林、聂朗、梁琪、杨征、陈昕、李财、聂璐璐、梁亮、尹海波、黄帅、汪武、柳兴、郭慧、殷新文、丁雅琪、沈浪、张祥、宋姝、姜载乐、刘齐平、郑婷婷、胡钦、邹曼瑜等。

DB43/T1842—2020

1

信息安全技术区块链应用安全技术测评要求

1范围

本文件规定了区块链应用安全技术测评指标要求。包括第一级、第二级、第三级和第四级区块链应用安全技术测评要求。

本文件适用于测评机构对区块链应用安全进行的测评工作，也适用于区块链技术开发者参考使用。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069—2010信息安全技术术语

GB/T28458—2012信息安全技术安全漏洞标识与描述规范

3术语和定义

GB/T25069—2010、GB/T28458—2012界定的下列术语和定义适用于本文件。

3.1

安全审计securityaudit

对信息系统的各种事件及行为实行监测、信息采集、分析，并针对特定事件及行为采取相应的动作。[GB/T25069—2010]

3.2

访问控制accesslevel

一种保证数据处理系统的资源只能由被授权主体按授权方式进行访问的手段。

[GB/T25069—2010]

3.3

安全漏洞vulnerability

计算机信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的缺陷。这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中，一旦被恶意主体所利用，就会对计算机信息系统的安全造成损害，从而影响计算机信息系统的正常运行。

[GB/T28458—2012]

3.4

联盟链consortiumblockchain

联盟链是一种共识过程受到预先设定节点控制的区块链类型，只限于预先选定的联盟成员参与，每个联盟成员作为一个节点，各个节点在链上的权限按联盟共同制定的规则来设定。

3.5

私有链privateblockchain

私有链是一种中心化的区块链类型，它所有的权限由这个中心化的组织和机构来控制。

DB43/T1842—2020

2

4等级测评概述

4.1等级测评方法

等级测评实施的基本方法是针对待定的测评对象