《信息安全 区块链网络安全技术测评标准-湖南》由会员分享,可在线阅读,更多相关《信息安全 区块链网络安全技术测评标准-湖南(37页珍藏版)》请在金锄头文库上搜索。
1、DBXXXXXXXX湖南省市场监督管理局 发布-实施-发布信息安全区块链网络安全技术测评标准DBXXXXXXXXDBXX湖南省地方标准ICS备案号:目次目次I前言III引言IV区块链网络安全技术测评标准11 范围12 规范性引用文件13 术语和定义14 缩略语35 等级测评概述35.1 等级测评方法35.2 单项测评和整体测评46 第一级测评要求46.1 物理网络测评标准46.2 组网机制测评标准56.3 数据传播机制测评标准66.4 数据验证机制测评标准76.5 网络路由机制测评标准76.6 跨链通信测评标准87 第二级测评要求97.1 物理网络测评标准97.2 组网机制测评标准107.3
2、数据传播机制测评标准117.4 数据验证机制测评标准127.5 网络路由机制测评标准137.6 跨链通信测评标准148 第三级测评要求158.1 物理网络测评标准158.2 组网机制测评标准168.3 数据传播机制测评标准178.4 数据验证机制测评标准188.5 网络路由机制测评标准198.6 跨链通信测评标准209 第四级测评要求219.1 物理网络测评标准219.2 组网机制测评标准229.3 数据传播机制测评标准249.4 数据验证机制测评标准259.5 网络路由机制测评标准259.6 跨链通信测评标准2610 测评结论2710.1 风险分析和评价2710.2 风险分析和评价等级测评结
3、论28附录A (资料性附录) 测评力度28A.1 概述28A.2 等级测评力度29附录B (资料性附录) 测评单元编号说明29B.1 测评单元编码规则30B.2 专用缩略语30参考文献31前言本标准按照GB/T 1.12009标准化工作导则 第1部分:标准的结构和编写给出的规则起草。本标准由湖南省区块链和分布式记账技术标准化技术委员会(筹)提出。本标准由湖南省委网络安全和信息化办公室归口。本标准起草单位:国防科技大学、湖南链信安科技有限公司、湖南天河国云科技有限公司、长沙红岸科技有限公司、湖南旭顺科技有限公司等。本标准主要起草人:谭林、杨征、谭霜、梁亮、丁兆云、汪武、陈昕、尹海波、李旷、钟稳、
4、梁琪、聂璐璐、黄帅、李财、聂朗、姜载乐、殷新文、丁雅琪、沈浪、张祥、宋姝、舒旭东、刘齐平、吴金彪、武洋、郑婷婷、胡钦、汪帅国、邹曼瑜等。本标准为首次制订。引言本标准规定了区块链网络安全技术测评指标要求,有助于加强网络层的安全性、隐私性,严格控制数据访问权限,保证区块链网络层的物理安全、网络结构安全和系统管理安全,促进区块链技术健康发展。本标准制定了区块链网络安全测评的主要内容包括物理网络测评标准及组网机制测评标准、数据传播机制测评标准、数据验证机制测评标准以及网络路由机制测评标准和跨链通信测评标准等项6测评要求。IVDBXXXXXXXX区块链网络安全技术测评标准1 范围本标准规定了区块链网络安
5、全技术测评指标要求。通过对区块链网络层安全机制风险分析,规定本标准的主要内容包括对等网络组网机制(支持节点管理、安全防护能力以及资源控制能力)、网络传输机制(安全通信协议、数据完整及保密等)、验证机制以及跨链通信机制等。本标准适用于测评机构从区块链网络安全技术的角度对区块链安全进行的测评工作,也适用于区块链技术开发者参考使用。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。1GB/T 26069-2010 信息安全技术 术语2GB/T 31496.1-2016 信息安全
6、技术 信息安全保障指标体系及评价方法 第1部分:概念和模型3GB/T 31496.2-2016 信息安全技术 信息安全保障指标体系及评价方法 第2部分:指标体系4GB/T18018-2019 信息安全技术 路由器安全技术要求5GB/T21050-2019 信息安全技术 网络交换机安全技术要求6GB/T25058-2019 信息安全技术 网络安全等级保护实施指南7GB/T37931-2019 信息安全技术 Web应用安全检测系统安全技术和测试评价8GB/T37932-2019 信息安全技术 数据交易服务安全 9GB/T25070-2019 信息安全技术 网络安全等级保护安全设计技术要求 10GB
7、/T22239-2019 信息安全技术 网络安全等级保护基本要求 3 术语和定义GB/T18018-2019、GB/T21050-2019、GB/T25058-2019、GB/T37931-2019、GB/T37932-2019、GB/T25070-2019和GB/T22239-2019界定的以及下列术语和定义适用于本文件。为了便于使用,以下重复列出了某些术语和定义。下列术语和定义适用于本文件。3.1 区块链 Blockchain 是一种按照时间顺序将数据区块以链条的方式组合成特定数据结构, 并通过密码学等方式保证数据不可篡改和不可伪造的去中心化的互联网公开账本。3.2 通信链路 Commun
8、ication link 网络中两个节点之间的物理通道称为通信链路。通信链路的传输介质主要有双绞线、光纤和微波。3.3 防火墙 firewall 防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。3.4 访问控制 access control 访问控制技术,指防止对任何资源进行未授权的访问,从而使系统在合法的范围内使用。指用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用的一种技术。3.6 结构化网络 Structured network对网络拓扑结
9、构有着较强组织要求,对等网络中节点的放置受控制,系统中每一个数据文件所 放置位置由特定协议决定,具有查询高效和精准的特点。3.7 帧 frame 网路中传递的数据包。3.8 非对称加密算法 asymmetric encryption algorithms 用于公钥和私钥对数据的存储和传输的加密和解密的一种算法。其在区块链的应用场景主要包括信息加密、 数字签名和登录认证等。 区块链系统中, 涉及到非对称加密算法主要有RSA、 D-H、 ECC(椭圆曲线加密算法) 等。3.9 校验码 check code 校验码通常是一组数字的最后一位,由前面的数字通过某种运算得出,用以检验该组数字的正确性。3.
10、10 交易 transactions区块链中的交易指网络中账户与账户之间转账的交易记录。3.11 数据结构 data structure数据结构是存储、组织数据的方式。数据结构是指相互之间存在一种或多种特定关系的数据元素的集合3.12 消息广播 Message broadcast网络中节点与节点之间的消息传递。3.13 TCP协议 Transmission Control Protocol是一种面向连接的、可靠的、基于字节流的传输层通信协议。TCP旨在适应支持多网络应用的分层协议层次结构。 连接到不同但互连的计算机通信网络的主计算机中的成对进程之间依靠TCP提供可靠的通信服务。3.12 UDP
11、协议 User Datagram Protocol用户数据报协议,一种无连接的传输层协议,提供面向事务的简单不可靠信息传送服务。用于不要求分组顺序到达的传输中,分组传输顺序的检查与排序由应用层完成。3.13 SCTP协议 Stream Control Transmission Protocol。在是可以确保数据传输的,和TCP类似,也是通过确认机制来实现的,不同的是SCTP是以数据块为单位传输的,可以多路径传输,可以多流独立有序/无序传输,连接的建立过程需要四步握手。3.14 TLS协议 Transport Layer SecurityTLS是建立在传输层TCP协议之上的协议,服务于应用层,它
12、的前身是SSL(Secure Socket Layer,安全套接字层),它实现了将应用层的报文进行加密后再交由TCP进行传输的功能。3.16 路由 routing路由是指分组从源到目的地时,决定端到端路径的网络范围的进程。3.16 跨链通信 Cross-chain communication跨链技术本质上是一种将一条链上的数据(或信息)安全可信地转移到另一条链并在另一条链上产生预期效果的一种技术。4 缩略语下列缩略语适用于本文件。ECC:椭圆曲线密码学(Elliptic Curve Cryptography)KYC:客户识别(Know Your Customer)ABR:区域边界路由(Area
13、 Border Router)ACL:访问控制列表(Access Control List)ADSL:非对称数字用户线(Asymmetric Digital Subscriber Line)BFD:双向转发检测(Bidirectional Forwarding Detection)GE:千兆比特以太网(Gigabit Ethernet)HA:高可靠性能(High Availability)IPSec:网络安全协议(IP Security IP)5 等级测评概述5.1 等级测评方法等级测评实施的基本方法是针对特定的测评对象,采用相关的测评手段,遵从一定的测评规程,获取需要的证据数据,给出是否达到
14、特定级别安全保护能力的评判。本标准中针对每一个要求项的测评就构成一个单项测评,针对某个要求项的所有具体测评内容构成测评实施。单项测评中的每一个具体测评实施要求项(以下简称“测评要求项”)是与安全控制点下面所包括的要求项(测评指标)相对应的。在对每一要求项进行测评时,可能用到访谈、核查和测试三种测评方法,也可能用到其中一种或两种。根据调研结果,分析等级保护对象的业务流程和数据流,确定测评工作的范围。结合等级保护对象的安全级别,综合分析系统中各个设备和组件的功能和特性,依据国家信息安全等级保护制度规定,运用科学的手段和方法,对处理特定应用场景的网络系统采用安全技术测评和安全管理测评结合的方式。 等级测评活动中涉及测评力度,包括测评广度(覆盖面)和测评深度(强弱度)。安全保护等级较高的测评实施应选择覆盖面更广的测评对象和更强的测评手段,可以获得可信度更高的测评证据,测评力度的具体描述参见附录A。每个级别测评要求都包括物理网络测评、组网机制测评标准、数据传播机制测评标准、数据验证机制测评标准、网络路由机制测评标准和跨链通信测评标准6个部分5.2 单项测评和整体测评等级测评包括单项测评和整体测评。单项测评是针对各安全要求项的测评,支持测评结果的可重复性和可再现性。本标准中单项测评由测评指标、测评对象、测评实施和单元判定结果构成。整体测评是在单项测评基础上,对等级保护对象整体安全保护能力
