ICS 67.040
CCS X 01
团 体 标 准
T/GDFCA 037—2022
代替 T/GDFCA 037—2021
基于区块链技术食品追溯系统的信息安全
性测试标准
InformationSecurityTestStandardforFood TractabilitySystem Basedon
Blockchain Technology
2022-12-19发布 2022-12-19实施
广东省食品流通协会 发 布
全国团体标准信息平台
全国团体标准信息平台
全国团体标准信息平台
全国团体标准信息平台
T/GDFCA 037 —2022
I目 次
前 言 ............................................................................. II
1 范围 ............................................................................... 1
2 规范性引用文件 ..................................................................... 1
3 术语和定义 ......................................................................... 1
4 通过准则 ........................................................................... 2
5 测试方法 ........................................................................... 2
6 测试内容 ........................................................................... 3
参 考 文 献 ........................................................................... 8
全国团体标准信息平台
全国团体标准信息平台
T/GDFCA 037 —2022
II前 言
本标准按照GB/T 1.1—2020给出的规则起草。
本标准归口单位:广东省食品流通协会。
本标准主要起草单位:广州筑粒信息科技有限公司,广州中科易德科技有限公司,广州软件应用技
术研究院,合肥中科多米科技有限公司,广州格利技术服务有限公司,广州食协技术服务有限公司,黄
埔海关技术中心,中国科学院合肥物质科学研究院,重庆大学,中山大学,无限极(中国)有限公司,
中山市仁达贸易发展有限公司,中科软件测评(广州)有限公司,广州执信网络技术有限公司,广州生
命码科技有限公司,南通市中医院,广东省食品流通协会,深圳天祥质量技术服务有限公司,广州数智
网络科技有限公司。
本标准主要起草人:李引,王旭,袁敏夫,廖建平,何川,余方,程景添,夏云霓,黄斌玉,黄雪
琳,陈雷,袁媛,郑子彬,宋育曼,何川,曹刚,陈自英,毛振醒,李兴宇,曹新贵,付萌,文钰。
全国团体标准信息平台
全国团体标准信息平台
T/GDFCA 037 —2022
1基于区块链技术食品追溯系统的安全性测试标准
1 范围
本标准介绍了基于区块链技术食品追溯系统的安全性测试的术语和定义、通过准则、测试方法和测
试内容。
本标准适用于基于区块链技术食品追溯系统的安全性测试。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
T/CESA 6001-2016 区块链参考架构 术语
GB/T 38158-2019 重要产品追溯 产品追溯系统基本要求
GB/T 17964-2008 信息安全技术 分组密码算法的工作模式
GB/T 25069-2010 信息安全技术 术语
3 术语和定义
下列术语和定义适用于本文件。
3.1
区块链 blockchain
一种在对等网络环境下,通过透明和可信规则,构建不可伪造、不可篡改和可追溯的块链式数据结
构,实现和管理事务处理的模式。
[T/CESA 6001-2016]
3.2
追溯系统 tractability system
基于追溯码、文件记录、相关软硬件设备和通信网络,实现现代信息化管理并可获取产品追溯过程
中相关数据的集成。
[GB/T 38158-2019]
3.3
加密 encipherment/encryption
对数据进行密码变换以产生密文的过程。一般包含一个变换集合,该变换使用一套算法和一套输入
参量。输入参量通常被称为密钥。
[GB/T 17964 —2008]
3.4
解密 decipherment/decryption
加密过程对应的逆过程。
[GB/T 17964 —2008]
全国团体标准信息平台
全国团体标准信息平台
T/GDFCA 037 —2022
23.5
数字签名 digital signature
附加在数据单元上的数据,或是对数据单元所做的密码变换,这种数据或变换允许数据单元的接受
者用以确认数据单元的来源和完整性,并保护数据防止被人(例如接受者)伪造或抵赖。
[GB/T 25069 —2010]
4 通过准则
考虑到食品追溯系统业务的多样性,本标准仅对系统最低限度的安全性指标进行规范。
a)账本数据安全:应对隐私性的账本数据进行加密存储及传输,并提供完整性校验;应具备对账
本数据访问的控制策略;应提供账本数据备份及恢复功能。
b)密码算法安全:应采用国家秘密管理部门认可的对称、非对称、摘要加密算法;应提供完整的
秘钥生命周期管理。
c)共识算法安全:可提供共识算法形式化验证和代码审计报告,并确保所有参与共识的节点,在
规定时间范围内,能够达到一致性结果。
d)智能合约安全:应具备用户访问、智能合约间相互访问、外部数据访问的控制机制;应提供完
整的智能合约生命周期管理;具备合约部署、发布和执行的审计接口和智能合约审计报告。
e)网络安全:应具备身份验证功能,通信具备完整性、保密性;组网应具备可扩展性、安全性、
开放性;网络数据传输应具备完整性、保密性、传播时延;网络数据应包含多种验证内容和方式。
f)应用安全:应具有用户身份鉴别机制、访问控制策略、入侵防范、安全审计、恶意代码防范等
功能,并保障应用数据的完整性、保密性。
5 测试方法
安全测试方法包括:
a)工具测试
利用技术工具(漏洞扫描工具、渗透测试工具、压力测试工具等)对系统进行测试,包括基于网络
探测和基于主机审计的漏洞扫描、渗透测试等。
b)配置检查
利用上机验证的方式检查主机、服务器、数据库、网络设备、安全设备、应用系统的配置是否正确,
是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实(包括日志审计等),检测其实施
的正确性和有效性,检查配置的完整性,测试网络连接规则的一致性,从而测试系统是否达到可用性和
可靠性的要求。
c)人员访谈
与被测系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据,了解有关信息。在访
谈范围上,不同等级信息系统在测评时有不同的要求,一般应基本覆盖所有的安全相关人员类型,在数
量上可以抽样。
d)文档审查
检查制度、策略、操作规程、制度执行情况记录等文档(包括安全方针文件、安全管理制度、安全
管理的执行过程文档、系统设计方案、网络设备的技术资料、系统和产品的实际配置说明、系统的各种
运行记录文档、机房建设相关资料、机房出入记录等过程记录文档)的完整性,以及这些文件之间的内
部一致性。
e)实地查看
全国团体标准信息平台
全国团体标准信息平台
T/GDFCA 037 —2022
3通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和
系统物理环境等方面的安全情况,测评其是否达到了相应等级的安全要求。
6 测试内容
结合食品追溯应用实践和区块链技术,基于区块链技术食品追溯系统的安全性测试内容包括:账本
数据安全、密码算法安全、共识算法安全、智能合约安全、账本数据安全、网络安全、应用安全。
6.1 账本数据安全
6.1.1 账本数据存储
测试内容包括:
a)测试指标:账本数据存储具备保密性、完整性、可靠性。
b)测试对象:账本数据存储
c)测试内容:
1)检测账本数据是否采用密文的形式进行存储;
2)检测账本数据信息是否进行安全保护分级,即不同类别和级别的数据是否分开存储,是否
采取物理或逻辑隔离机制;
3)检测是否具有数据完整性校验机制,是否在检测到数据完整性被破坏时进行报警,在检测
到完整性错误时是否能采取措施进行恢复;
4)检测是否提供安全审计功能,即数据存储内容是否包含完整的用户访问记录、数据处理记
录等;
5)检测是否有相关的存储管理制度和数据备份操作;
6)检测账本数据存储架构是否可伸缩,以满足数据量持续增长、数据分类分级存储等需求。
6.1.2 账本数据传输
测试内容包括:
a)测试指标:账本数据传输具有保密性、完整性、可靠性。
b)测试对象:账本数据传输
c)测试内容:
1)当账本数据传输时,检测是否采用加密技术进行传输;
2)当账本数据传输时,检测是否具备完整性校验功能;
3)当账本数据传输时,检测是否进行身份鉴别和加解密技术;检测是否采用数据传输安全策
略,
T-GDFCA 037—2022 基于区块链技术食品追溯系统的信息安全性测试标准
文档预览
中文文档
13 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共13页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 思安 于 2022-12-24 17:33:55上传分享