《《信息安全技术 区块链安全技术测评标准》系列标准编制说明》由会员分享,可在线阅读,更多相关《《信息安全技术 区块链安全技术测评标准》系列标准编制说明(9页珍藏版)》请在金锄头文库上搜索。
1、湖南省地方标准区块链安全技术测评标准系列地方标准(征求意见稿)编制说明2020年04月区块链安全技术测评标准(征求意见稿)编制说明一、工作简况(一) 任务来源2020年2月,本项目由中共湖南省委网络安全和信息化委员会办公室委托湖南链信安科技有限公司、湖南天河国云科技有限公司等单位,向湖南省市场监督管理局申请,项目起止时间为2020年2月至2020年3月。(二) 参与单位湖南链信安科技有限公司、湖南天河国云科技有限公司、长沙经岸科技有限公司、湖南旭顺科技有限公司是该标准的主要承担单位。(三) 工作过程2020年2月,经中共湖南省委网络安全和信息化委员会办公室委托并后,成立标准编制项目组并编制实施
2、方案。2020年2月中旬至2020年2月下旬,参考相关文献资料,遵循国家标准GB/T1.1-2009标准化工作导则第1部分:标准的结构和编写规则,经项目组多次讨论修改,于2020年3月上旬前形成标准初稿。2020年3月中旬,征求专家意见,并根据专家意见修改标准,于2020年3月中下旬形成标准征求意见稿。标准编制技术路线:前期项目查新调研项目申报项目立项资料采集数据统计标准草案的编写编写编制说明征求专家意见回收专家意见根据专家意见进行标准修改网上征求意见形成标准审查稿专家会议审查标准再修改形成标准审定稿报湖南省市场监督管理局审批发布实施。(四) 标准主要起草人及其所做的工作项目由湖南链信安科技有
3、限公司、湖南天河国云科技有限公司、长沙红岸科技有限公司、湖南旭顺科技有限公司和国防科技大学等单位相关研究人员组成,对区块链领域相关的基础技术、应用技术、标准规范、政策规划等情况非常熟悉,负责资料搜集、实地调研、文件起草、标准撰写等各项具体工作。项目组成员有参加相关标准编制的经历和工作经验,完全能搞好本标准的编制工作。表1 项目主要参加单位及人员分工姓 名单 位职称/职务分工谭 林湖南天河国云科技有限公司博 士标准审定梁 亮湖南天河国云科技有限公司博 士标准审定李 旷湖南天河国云科技有限公司博 士标准审定杨 征湖南天河国云科技有限公司博 士标准编写陈 昕湖南链信安科技有限公司硕 士标准编写汪 武
4、湖南链信安科技有限公司硕 士标准编写尹海波湖南链信安科技有限公司硕 士标准编写姜载乐湖南旭顺科技有限公司硕 士标准编写聂璐璐湖南旭顺科技有限公司硕 士标准编写黄 帅长沙红岸科技有限公司硕 士标准编写梁 琪长沙红岸科技有限公司硕 士标准编写李 财长沙红岸科技有限公司本 科标准编写聂 朗湖南链信安科技有限公司本 科标准编写殷新文湖南链信安科技有限公司本 科标准编写丁雅琪湖南链信安科技有限公司本 科标准编写沈 浪湖南链信安科技有限公司本 科标准编写张 祥湖南链信安科技有限公司本 科标准编写宋 姝湖南天河国云科技有限公司本 科标准编写舒旭东湖南天河国云科技有限公司本 科标准编写刘齐平湖南天河国云科技有
5、限公司本 科标准编写吴金彪湖南天河国云科技有限公司本 科标准编写武 洋湖南天河国云科技有限公司本 科标准编写郑婷婷湖南天河国云科技有限公司本 科标准编写胡 钦湖南天河国云科技有限公司本 科标准编写汪帅国湖南天河国云科技有限公司本 科标准编写邹曼瑜湖南天河国云科技有限公司本 科标准编写(五) 工作基础项目组成员有25人,其中博士学历3人,硕士学历7人,本科学历15人。目前,湖南链信安科技有限公司、湖南天河国云科技有限公司、长沙经岸科技有限公司、湖南旭顺科技有限公司共同起草了区块链安全技术测评标准部分相关内容,具有较好基础。二、制定(修订)标准的必要性和意义区块链技术随着比特币、以太坊和EOS的兴
6、起,做为一门新兴技术,经过近10年的发展,目前在各个领域的探索逐步增加,各行业的落地应用逐步凸显。习近平总书记在中央政治局第十八次集体学习时强调“要把区块链作为核心技术自主创新重要突破口,加快推动区块链技术和产业创新发展”,并且明确提出“要加强对区块链技术的引导和规范,加强对区块链安全风险的研究和分析,密切跟踪发展动态,积极探索发展规律”,“要加强区块链标准化研究,提升国际话语权和规则制定权”。因此,组织区块链领域的专家和机构加快区块链安全技术测评相关标准的研究与制定,是推动区块链健康发展的必要途径,也是推动区块链技术应用推广的关键因素,主要意义有以下几点:1) 区块链安全技术测评标准的制定能
7、够有效防范区块链技术常见的共识攻击、跨链攻击,增强区块链技术自身抵御破解的能力,避免可能导致的交易欺诈等,为区块链技术构建强健的底层安全体系,为区块链技术的匿名信、不可伪造性等特点保驾护航,维护区块链系统和相关业务的有序进行。2) 区块链安全技术测评标准的制定有助于加强数据层的机密性、完整性,确保只能合约的安全性,防止智能合约被恶意滥用,严格控制数据访问权限,加强用户身份认证机制,设置有效的访问控制策略,完善漏洞扫描及修复功能,保证数据层区块的安全,踧踖区块链技术健康发展。3) 区块链安全技术测评标准的制定有助于统一对区块链的认识,辨识区块链的真伪,规范和指导高质量的区块链在各行业的发展,促进
8、区块链的共性技术攻关,对于促进区块链产业健康发展意义重大。三、标准编制原则与主要内容(一) 编制原则1. 本规程的编制遵循中华人民共和国国家标准GB/T1.1-2009标准化工作导则第1部分:标准的结构和编写规则。2. 标准的内容紧密联系我省区块链安全技术发展现状,各项技术指标先进、合理,系统性和可操作性强。(二) 主要内容1. 主要技术内容按照国家标准和行业标准的格式,本次编制地方标准主要内容规定了区块链应用的安全需求、区块链安全体系参考架构和指标体系、区块链安全测评技术要求等内容,技术要求又包括加密安全、共识安全、合约安全、数据安全、网络安全、应用安全等六个方面。本标准将统一对区块链的认识
9、,规范和指导区块链在各行业的发展,促进解决区块链的关键技术问题,有助于加强我国国家主权区块链基础平台的研发,提升国际话语权和规则制定权。2. 本标准适用范围本标准适用于区块链共识安全技术测评要求、区块链加密安全技术测评要求、区块链应用安全技术测评要求、区块链合约安全技术测评要求、区块链网络安全技术测评要求以及区块链数据安全技术测评要求。可供湖南省内政府、科研、企业等部门参考。四、本标准的推广应用及预期效果通过本标准的修订及推广应用,使湖南省区块链技术发展有规可循,有助于辨识区块链技术应用的真伪,规范和指导高质量的区块链在各行业的发展,促进区块链的共性技术攻关,对于促进区块链产业健康发展意义重大
10、。 五、采用国内外先进标准的程度,以及与国内外同类标准水平的对比情况目前,国内外关于区块链技术相关的行标或国标较少,且已发表的标准也存在覆盖范围较窄等问题,本标准涉及的测评范围较广、技术含量相对较高。六、贯彻标准的要求和措施建议本标准通过审查后,建议作为推荐性行业标准发布实施。参考文献1 GB 178591999 计算机信息系统安全保护等级划分准则2 GB/T 222392018 信息安全技术 网络安全等级保护基本要求3 GB/T 25069 信息安全技术 术语4 GB/T 250702018 信息安全技术 网络安全等级保护安全设计技术要求5 GB/T 284492018 信息安全技术 网络安
11、全等级保护测评过程指南6 JR/T 0184-2020 金融分布式账本技术安全规范7GB/T20270-2006的信息安全技术网络基础安全技术要求8GB/T20271-2006的信息安全技术信息系统通用安全技术要求9GB/T20272-2006的信息安全技术操作系统安全技术要求10区块链安全技术指南M.北京.机械工业出版社11智能合约安全分析和审计指南M.北京.电子工业出版社12区块链智能合约审计白皮书13 GBT 36624-2018 信息技术安全技术 可鉴别的加密机制(OCR)14 GBT 36624-2018 信息技术安全技术 可鉴别的加密机制15 GBT 35275-2017 信息安全
12、技术 SM2密码算法加密签名消息语法规范16GB/T29765-2013 信息安全技术 数据备份与恢复产品技术要求与测试评价方法17IEC 61784 工业通信网络协议集(Industrial communication networks)18IEC 61850-90-12(2015) Communication networks and systems for power utility automation-Part 90-12:Wide area network engineering guidelines19NIST Special Publication 800-53 Security and Privacy Controls for Federal Information Systems and Organizations20 GB/T 37931-2019 信息安全技术 Web应用安全检测系统安全技术要求和测试评价方法区块链安全技术测评标准标准起草小组 2020年04月01日9
