2022年4月,由中国信息通信研究院安全研究所牵头,联合中国移动通信集团有限公司、北京知道创宇信息技术股份有限公司、北京华顺信安科技有限公司、科大国盾量子技术股份有限公司、上海观安信息技术股份有限公司、上海玄猫信息科技有限公司等单位共同研制的行业标准YD/T 4055-2022《电信网和互联网区块链基础设施安全防护要求》,历时3年,由工业和信息化部批准发布,将于2022年7月1日正式实施。
作为国内首部针对区块链基础设施安全的行业标准,该标准界定了区块链基础设施安全防护范围,规定了区块链基础设施安全保护等级的安全防护要求,为区块链基础设施安全设计、开发、部署、运维提供指导依据。
一、标准制定背景
区块链凭借其倡导的公开、透明、共享的技术理念,对促进数字技术与实体经济融合发挥重要作用。区块链基础设施作为区块链生态中对上承载各类区块链应用、对下衔接网络基础设施的核心枢纽,其安全发展逐渐成为推动区块链业务主流化的决胜关键所在。
在此背景下,2019年3月,中国通信标准化协会CCSA电信网和互联网安全防护特设组NTC4启动制定行业标准《电信网和互联网区块链基础设施安全防护要求》,为区块链基础设施平台开发者和运营者提升区块链基础设施安全防护能力提供指导。
CCSA NTC4简介
NTC4(电信网和互联网安全防护特设组)是在工业与信息化部网络安全管理局指导下,由中国通信标准化协会CCSA于2006年10月18日组织成立。NTC4负责“电信网和互联网安全防护体系”系列标准的研究和起草工作,以支撑通信网络安全防护工作整体、规范、科学、有序开展。现任组长为中国信息通信研究院安全研究所所长谢玮,成员单位涵盖基础企业、互联网企业、设备商、安全企业等。
二、标准适用对象
本标准作为工信部“电信网和互联网安全防护体系”系列标准之一,适用于基础电信业务经营者和增值电信业务经营者开发、运营的区块链基础设施平台。
何为区块链基础设施?
区块链基础设施是指通过结合P2P网络、共识机制、非对称加密机制、去中心化存储等区块链技术核心机制,构建公有链、私有链、联盟链等底层架构和平台,为各类上层应用提供底层存储、传输、计算、开发和测试等服务的基础设施集合。
三、标准主要内容
本标准界定了区块链基础设施安全防护范围,明确区块链基础设施安全风险,规定了区块链基础设施安全保护等级的安全防护要求,具体涉及业务服务安全、网络安全、设备安全、物理环境安全和管理安全5个领域共112条安全要求。
112条安全防护要求包含什么?
四、标准落地验证
为发挥并提升本标准的实际效用,2020年至2021年间,中国信息通信研究院安全研究所开展了多轮区块链安全能力验证工作,对本标准进行试点验证。
通过验证工作,既切实发现了参评项目中存在入侵检测功能缺失、私钥明文存储、默认账户未更新等多项安全隐患,帮助参评项目排除隐患,又基于验证现状公开发布分析成果,与行业共筑扎实的区块链安全基础设施,不断反馈完善标准内容,证实了本标准指导行业提升安全水平的可行性和有效性。
标准验证工作成果如何?
、
2轮区块链基础设施安全能力验证
2020年11月-12月:首轮区块链安全能力验证工作
2021年5月-7月:第二轮区块链安全能力验证工作
5类垂直行业区块链项目安全验证
参评项目来自北京、上海、江苏、浙江、山东、福建、陕西、广州多个省市,为金融、物流、工业、政务、通信 5类垂直行业提供区块链服务。
6大领域安全排查
测评团队对参评项目的区块链账户权限管理、数据及个人隐私、密码机制、共识机制、智能合约、安全运维6大领域进行了风险排查及综合能力分析
1份公开区块链安全分析报告
基于验证现状分析,中国信通院安全研究所于2021年2月公开发布《区块链安全能力测评与分析报告(2021)》(点此"阅读原文"),报告梳理了当前区块链基础设施安全情况,提供行业安全实践指导。
10大安全隐患
根据验证工作中安全风险实际检出比例和严重程度,梳理分析区块链基础设施十大安全隐患,涉及2项权限管理,2项密钥安全,1项隐私保护,1项智能合约安全,4项安全运维。
10大推荐安全操作
基于验证工作中排查出的安全风险和安全保障缺失情况,根据重要性排名,对区块链基础设施平台提出十大安全操作推荐,为平台提升安全水平提供针对性指导。
五、标准研制意义
1 支撑行业监管,助力行业提升安全水平
本标准作为工信部“电信网和互联网安全防护体系”系列标准的补充,其制定是及时适应电信和互联网行业新变化,满足区块链新业务发展的安全监管需求的必要举措,为涉区块链业务企业开展安全防护工作提供专业指导,对行业监管和区块链企业提升安全水平具有重要意义。
2 对国内标准形成补充,奠定国际标准基础
本标准弥补了当前国内区块链基础设施安全标准空白,还为研制区块链安全相关国家标准,以及我国在ITU-T等国际标准组织中牵头《区块链即服务安全指南》等国际标准奠定基础。
声明:本文来自网络安全卓越验证示范中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
