收藏
下载资源

信息安全技术 区块链加密安全技术测评标准-湖南

上传人:木92****502 文档编号:127488325 上传时间:2020-04-02 格式:DOC 页数:37 大小:243.50KB
返回 下载 相关 举报
信息安全技术 区块链加密安全技术测评标准-湖南_第1页
第1页 / 共37页
信息安全技术 区块链加密安全技术测评标准-湖南_第2页
第2页 / 共37页
信息安全技术 区块链加密安全技术测评标准-湖南_第3页
第3页 / 共37页
信息安全技术 区块链加密安全技术测评标准-湖南_第4页
第4页 / 共37页
信息安全技术 区块链加密安全技术测评标准-湖南_第5页
第5页 / 共37页
点击查看更多>>
资源描述

《信息安全技术 区块链加密安全技术测评标准-湖南》由会员分享,可在线阅读,更多相关《信息安全技术 区块链加密安全技术测评标准-湖南(37页珍藏版)》请在金锄头文库上搜索。

1、DB/T 湖南省市场监督管理局 发布-实施-发布信息安全技术区块链加密安全技术测评标准DBXXXXXXXXDBXX湖南省地方标准ICS备案号:DB XXXXXXXXX目 次目 次I前言III引言IV信息安全技术 区块链加密安全技术测评标准11. 范围12. 规范性引用文件13. 术语和定义14. 等级测评概述24.1等级测评方法24.2单项测评35. 第一级测评要求35.1. 密码算法安全测评要求35.2. 账本安全测评要求45.3. 数字签名测评要求45.4. CA认证测评要求55.5. 隐私保护测评要求66. 第二级测评要求76.1. 密码算法安全测评要求76.2. 账本安全测评要求86.

2、3. 数字签名测评要求96.4. CA认证测评要求106.5. 隐私保护测评要求107. 第三级测评要求117.1. 密码算法安全测评要求117.2. 账本安全测评要求137.3. 数字签名测评要求147.4. CA认证测评要求157.5. 隐私保护测评要求158. 第四级测评要求168.1. 密码算法安全测评要求168.2. 账本安全测评要求188.3. 数字签名测评要求198.4. CA认证测评要求218.5. 隐私保护测评要求219. 第五级测评要求229.1. 密码算法安全测评要求229.2. 账本安全测评要求259.3. 数字签名测评要求269.4. CA认证测评要求279.5. 隐

3、私保护测评要求2810. 测评结论2910.1. 风险分析和评价2910.2. 等级测评结论29附录A 测评力度301) 概述302) 测评力度30附录B (资料性附录) 测评单元编号说明313) 测评单元编码规则314) 专用缩略语31参考文献32前言 本标准按照GB/T1.12009标准化工作导则 第1部分:标准的结构和编写给出的规则起草。本标准由湖南省区块链和分布式记账技术标准化技术委员会(筹)提出。本标准由湖南省委网络安全和信息化办公室归口。本标准起草单位:国防科技大学、湖南链信安科技有限公司、湖南天河国云科技有限公司、长沙红岸科技有限公司、湖南旭顺科技有限公司等。本标准主要起草人:谭

4、林、杨征、谭霜、梁亮、丁兆云、汪武、陈昕、尹海波、李旷、钟稳、梁琪、聂璐璐、黄帅、李财、聂朗、姜载乐、殷新文、丁雅琪、沈浪、张祥、宋姝、舒旭东、刘齐平、吴金彪、武洋、郑婷婷、胡钦、汪帅国、邹曼瑜等。本标准为首次制订。III引言本标准规定区块链加密安全技术测评要求。区块链加密技术有助于预防区块链数字货币交易过程中篡改数据及伪造信息等风险,是区块链安全中极其重要、不可或缺的一部分。本标准的制定有助于增强区块链自身抵御破解的能力,为区块链技术的匿名性、不可伪造等特点保驾护航。本标准规定了区块链加密安全技术测评指标要求。通过对加密算法及加密技术应用场景的风险分析,规定本标准的主要内容包括密码算法安全、

5、账本安全、密钥安全、数字摘要、数字签名验签、CA认证以及隐私保护等。IV信息安全技术 区块链加密安全技术测评标准1. 范围本标准规定了区块链加密安全技术测评指标要求。包括第一级、第二级、第三级、第四级和第五级加密安全技术测评要求。本标准适用于测评机构从区块链加密安全技术的角度对区块链安全进行的测评工作,也适用于区块链技术开发者参考使用。2. 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。1 GB/T 31495.1-2015 信息安全技术 信息安全保障指标体系及评价方法

6、第1部分:概念和模型2 GB/T 25069-2010 信息安全技术 术语3 GB/T 31495.2-2015 信息安全技术 信息安全保障指标体系及评价方法 第2部分:指标体系4 GB/T 20271-2006的信息安全技术 信息系统通用安全技术要求5 GA/T 988-2012 信息安全技术 文件加密产品安全技术要求.6 GBT 36624-2018 信息技术安全技术 可鉴别的加密机制(OCR).7 GBT 36624-2018 信息技术安全技术 可鉴别的加密机制.8 GBT 35275-2017 信息安全技术 SM2密码算法加密签名消息语法规范3. 术语和定义下列术语和定义适用于本文件。

7、3.1 访谈 interview测评人员通过引导等级保护对象相关人员进行有目的的(有针对性的)交流以帮助测评人员理解、澄清或取得证据的过程。3.2核查 examine测评人员通过对测评对象(如制度文档、各类设备及相关安全配置等)进行观察、查验和分析,以帮助测评人员理解、澄清或取得证据的过程。3.3 评估 evaluate对测评对象可能存在的威胁及其可能产生的后果进行综合评价和预测的过程。3.4 测评对象 target of testing and evaluation等级测评过程中不同测评方法作用的对象,主要涉及相关配套制度文档、设备设施及人员等。3.5 等级测评 testing and ev

8、aluation for classified cybersecurity protection测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密的网络安全等级保护状况进行检测评估的活动。3.6区块链 Blockchain是一种按照时间顺序将数据区块以链条的方式组合成特定数据结构, 并通过密码学等方式保证数据不可篡改和不可伪造的去中心化的互联网公开账本。3.7密钥 key一串符号序列,实现控制密码变换操作(加密、解密)的关键信息或参数。3.8私钥 private key私钥是一串数据,它是允许您访问特定钱包中的令牌。它们作为密码,除了地址的所有者之外,都被隐

9、藏。3.9公钥 public key是和私钥成对出现的,公钥可以算出币的地址,因此可以作为拥有这个币地址的凭证。3.10密码算法 cryptographic algorithm在密钥控制下的一簇数学运算,规定了完成数据加解密的程序的一系列规则,以实现明文和密文之间的相互变换。3.11对称加密 symmetric encryption采用单钥密码的加密方法,同一个密钥可以同时用来加密和解密,这种加密方法称为对称加密,也称为单密钥加密。3.12非对称加密 asymmetric cryptographic指加密和解密使用不同密钥的加密算法,也称为公私钥加密。4. 等级测评概述4.1等级测评方法等级测

10、评实施的基本方法是针对待定的测评对象,采用相关的测评手段,遵从一定的测评规程,获取需要的证据数据,给出是否达到特定级别安全保护能力的评判。本标准中针对每一个要求项的测评就构成一个单项测评,针对某个要求项的所有具体测评内容构成测评实施。在对每一要求项进行测评时,可能用到访谈、核查和测试三种测评方法,也可能用到其中一种或两种。根据调研结果,分析等级保护对象的业务流程和数据流,确定测评工作范围。结合等级保护对象的安全级别进行综合分析,测评对象可以根据类别加以描述,包括密码算法、密钥、数字签名、CA认证以及隐私保护等。等级测评活动中涉及测评力度,包括测评广度(覆盖面)和测评深度(强弱度)。安全保护等级

11、较高的测评实施应选择覆盖面更广的测评对象和更强的测评手段,可以获得可信度更高的测评证据,测评力度的具体描述参见附录A。每个级别测评要求都包括密码算法安全测评要求、账本安全测评要求、数字签名测评要求、CA认证测评要求以及隐私保护测评要求5个部分。4.2单项测评单项测评是针对各安全要求项的测评,支持测评结果的可重复性和可再现性。本标准中单项测评包括测评指标、测评对象、测评实施和单元判定结果构成。5. 第一级测评要求5.1. 密码算法安全测评要求5.1.1. 对称加密算法5.1.1.1. 评价单元(L1-CAS-01)该测评单元包括以下要求:a) 测评指标:应保证密码算法支持国内外相关对称加密算法。

12、b) 测评对象:区块链加密算法实施策略文档或者算法程序模块。c) 测评实施包括以下内容:1) 应核查密码算法是否支持国内SM4、SM7对称加密算法。d) 单元判定:如果以上测评内容均为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。5.1.2. 非对称加密算法5.1.2.1. 评价单元(L1-CAS-02)该测评单元包括以下要求:a) 测评指标:应保证密码算法支持非对称加密算法b) 测评对象:区块链加密算法实施策略文档或者算法程序模块;c) 测评实施包括以下内容:1) 应核查密码算法是否支持国内SM2、SM9等非对称加密算法;d) 单元判定:如果以上测评内容均为肯定,则符合本测评

13、单元指标要求,否则不符合本测评单元指标要求。5.1.3. 密钥生成5.1.3.1. 评价单元(L1-CAS-03)该测评单元包括以下要求:a) 测评指标:应保证密钥可以正常生成、导入以及其安全性;b) 测评对象:区块链密钥生成策略文档、密钥应用程序等模块;c) 测评实施包括以下内容:1) 应核查密钥是否能正常生成;d) 单元判定:如果以上测评内容均为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。5.1.4. 密钥管理5.1.4.1. 评价单元(L1-CAS-04)该测评单元包括以下要求:a) 测评指标:应保证具备明确的密钥管理机制;b) 测评对象:密钥管理机制策略文档、密钥管理

14、人员、数字签名算法内容等;c) 测评实施包括以下内容:1) 应访谈加密算法策略制定人员或者相关管理人员制定的加密策略、数字签名算法等是否符合国家有关规定;d) 单元判定:如果以上测评内容均为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。5.1.5. 参数配置5.1.5.1. 评价单元(L1-CAS-05)该测评单元包括以下要求:a) 测评指标:应保证算法结构能够正确配置参数、参数生成正常运行;b) 测评对象:区块链加密算法实施过程中涉及到的算法参数及其对应的参数配置、策略文档等;c) 测评实施包括以下内容:1) 应核查密码算法参数配置是否正确;d) 单元判定:如果以上测评内容均为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。5.2. 账本安全测评要求5.2.1. 账本存储5.2.1.1. 评价单元(L1-LSE-01)该测评单元包括以下要求:a) 测评指标:应保证区块链账本存储具备持久化、可追溯性;b) 测评对象:区块链账本配置策略性文档;c) 测评实施包括以下内容:1) 应核查区块链账本是否具备存储持久化能力;d) 单元判定:如果以上测评内容均为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。5.2.2. 账本记录5.2.2.1. 评价单元(L1-LSE-02)该测评单元包括以下要

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 国内外标准规范

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号