ICS35.030 GB CCS L 80 中华人民共和国国家标准 GB/T42571—2023 信息安全技术 区块链信息服务安全规范 Information security technology- Security specification for blockchain information service 2023-12-01实施 2023-05-23发布 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T42571—2023 目 次 前言 III 范围 1 规范性引用文件 3 术语和定义 缩略语 4 5 概述 5.1区块链信息服务概述 5.2区块链信息服务安全风险概述 6安全技术要求 6.1 信息生成 信息处理 6.2 信息发布 6.3 6.4 信息传播 6.5 信息存储 6.6 信息销毁 7 安全管理要求 7.1 制度管理 7.2 机构和人员 7.3 业务连续性 10 7.4 运行与维护 10 8安全技术要求测试评估· 8.1 信息生成· 8.2 信息处理， 15 8.3 信息发布· 17 信息传播· 8.4 18 8.5 信息存储· 21 8.6 信息销毁 23 安全管理要求检查评估· 6 9.1 制度管理 24 9.2 机构和人员 26 9.3 业务连续性 27 9.4 运行与维护 30 附录A（规范性） 区块链信息服务安全等级划分 32 参考文献 33 1 GB/T425712023 前言 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本文件起草单位：中国科学院信息工程研究所、浙江大学、杭州趣链科技有限公司、蚂蚁科技集团股 份有限公司、深圳市腾讯计算机系统有限公司、中国电子技术标准化研究院、重庆邮电大学、公安部第三 研究所、国家计算机网络应急技术处理协调中心、中国信息通信研究院、浦东新区人民政府办公室、国家 工业信息安全发展研究中心、中国科学院计算技术研究所、上海市信息安全测评认证中心、陕西省网络 与信息安全测评中心、四川省数字经济研究中心、公安部第一研究所、北京大学、清华大学、北京东方通 网信科技有限公司、国网区块链科技（北京）有限公司、中国电子科技网络信息安全有限公司、联想（北 京）有限公司、北京百度网讯科技有限公司、启明星辰信息技术集团股份有限公司、浪潮电子信息产业股 份有限公司、国家能源局信息中心、京东科技控股股份有限公司、中国电力科学研究院有限公司、泰康保 险集团股份有限公司、深圳市纽创信安科技开发有限公司、新华三技术有限公司、成都链安技术有限公 司、北京众享比特科技有限公司、兴唐通信科技有限公司、北京爱奇艺科技有限公司、北京数字认证股份 有限公司、矩阵元技术（深圳）有限公司、北京融数联智科技有限公司、北京小米电子软件技术有限公司、 郑州信大捷安信息技术股份有限公司、北京猿链网络科技有限公司、北京人民在线网络有限公司、北京 天融信网络安全技术有限公司、深圳壹账通智能科技有限公司、标信智链（杭州）科技发展有限公司、浙 商银行股份有限公司、中国汽车工程研究院股份有限公司。 本文件主要起草人：张潇丹、郭涛、蔡亮、王惠莅、胡静远、周熙、韩冀中、姚相振、李伟、陈晓丰、昌文婷、 张瀚文、武杨、郑佩玉、王磊、邵羽、黄永洪、霍婷婷、吕红蕾、史洪彬、周薇、刘总真、王宇航、谢安明、 刘贤刚、孙毅、陈妍、职亮亮、李仁刚、冯伟、刘为华、吴桐、安高峰、王海棠、黄得志、蒋蓉生、万晓兰、 余宇舟、卢志刚、梅秋丽、邹超、朱岩、白健、樊庆君、王丹琛、高瑞、张美娟、臧铖、吴新勇、任泽君、黄婧祎、 王文磊、张永强、庞舒恬、罗新辉、张媛媛、闫希敏、陈红、张素博、安立、王云浩、李克鹏、张虎、谢红军、 李瑞荣、荆博、全代勇、王梦楠、符史健。 GB/T42571—2023 信息安全技术 区块链信息服务安全规范 1范围 本文件规定了区块链信息服务提供者的安全技术要求和安全管理要求，描述了相应测试评估方法 和检查评估方法。 本文件适用于对区块链信息服务开展安全建设、安全运行、安全管理和安全评估等服务。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 本文件。 GB/Z20986—2007 信息安全技术信息安全事件分级分类指南 GB/T25069—2022 信息安全技术术语 GB/T32915—2016 信息安全技术 二元序列随机性检测方法 GB/T35273—2020 信息安全技术个人信息安全规范 GB/T40645—2021 信息安全技术互联网信息服务安全通用要求 GM/T0033一2014时间戳接口规范 3术语和定义 GB/T25069—2022、GB/T35273—2020和GB/T40645—2021界定的以及下列术语和定义适用 于本文件。 3.1 区块链信息服务blockchaininformationservice 基于区块链技术或系统，通过互联网站、应用程序等网络平台提供的信息服务。 3.2 区块链信息服务用户blockchaininformationserviceuse 使用区块链信息服务的组织或个人。 注：区块链信息服务用户简称“用户”。 3.3 区块链信息服务提供者blockchaininformationserviceprovider 向区块链信息服务用户提供区块链信息服务的组织。 注：区块链信息服务提供者包括但不限于区块链业务运营者和区块链技术提供者。 3.4 时间戳timestamp 对时间和其他待签名数据进行签名得到的，用于表明数据时间属性的数据。 1 GB/T 42571—2023 来源：GB/T25069—2022,3.541] 3.5 上链 record on-chain 将信息写入到区块链的过程。 3.6 节点node 具有特定功能的区块链组件，可独立运行的单元。 ［来源：1SO22739：2020，3.50，有修改］ 3.7 transaction 交易 区块链双方或多方参与，并且会发生状态变更的一种基本区块组成单元。 ［来源：ISO22739：2020，3.77，有修改］ 3.8 共识 consensus 在分布式节点间达成区块数据一致性的认可。 3.9 智能合约 smart contract 存储在分布式账本中的计算机程序，由区块链用户部署并自动执行，其任何执行结果都记录在分布 式账本中。 【来源：ISO22739：2020，3.72，有修改 3.10 归档archive 将链上数据转移到独立存储设备的过程。 3.11 账本ledger 区块链数据的载体。 3.12 双花 doublespending 区块链或分布式账本中，通证或加密资产的控制权被错误地转移多次的行为 ［来源：ISO22739：2020，3.33，有修改］ 4缩略语 下列缩略语适用于本文件。 DDoS：分布式拒绝服务攻击（DistributedDenialofService) IP：网际互联协议（InternetProtocol) P2P：对等计算（Peer-to-peercomputing) SM2：椭圆曲线公钥密码算法（PublicKeyCryptographicAlgorithmSM2BasedOnElliptic Curves) SM4：分组密码算法（SM4BlockCipherAlgorithm） 2 GB/T42571—2023 5概述 5.1区块链信息服务概述 区块链信息服务是互联网信息服务的一种特殊形式，其信息存储支持多种形式，包括链上存储、链 下存储和链上链下相结合。区块链信息服务提供者包括但不限于区块链业务运营者和区块链技术提供 者，其中区块链业务运营者是区块链信息服务主体，区块链技术提供者为区块链业务运营者提供技术支 持。区块链信息服务中信息是经过加工处理的数据，数据是对信息的记录。 5.2区块链信息服务安全风险概述 区块链信息服务在传播违法信息、不良信息，实施网络违法犯罪行为，破坏网络生态秩序等方面，存 在与互联网信息服务相似的安全风险。区块链技术特征增加了违法信息、不良信息处置等信息内容安 全管理难度，进一步加剧了区块链信息服务的安全风险。区块链信息服务安全风险主要包括： a）记录在区块链上的信息难以被修改和删除，导致违法信息、不良信息在上链后难以被有效 处置； b)[ 区块链分布式存储和去中心化的特征，数据存储在各节点服务器，导致违法信息、不良信息难 以被清除； c）区块链上运行的智能合约存在代码漏洞、恶意调用、执行异常等问题，导致无法提供正常的信 息服务； d)1 使用P2P网络、共识机制等技术构建区块链网络，面临网络攻击、节点故障、隐私数据泄露等 安全问题。 6安全技术要求 6.11 信息生成 6.1.1信息生成过程 6.1.1.11 信息源要求 区块链信息服务提供者应： 按照GB/T40645一2021中5.1.1.1的规定对存储在链上和链下的信息源进行处理； a) b) 使用符合GB/T32915一2016中第4章的要求对随机数进行检测，保证区块链技术中使用随 机数的随机性和不可预测性； c) 使用符合国家标准或行业标准的密码技术，保证节点间通信过程中敏感信息字段或整个信息 的机密性、完整性和真实性，确保信息在存储、传播过程中不被未授权用户读取或恶意修改； 使用具备抵御破解能力并支持符合国家商用密码管理规定的数字签名算法，如SM2等； (p e) 使用具备抵御破解能力并支持符合国家商用密码管理规定的数据加密算法，如SM2、SM4等。 注：本文件中“