ICS 67.040 X01 团体标 准 T/ GDFCA 037—2021 代替T/GDFCA037 -2019 基于区块链技术食品追溯系统的信息安全 性测试标准 Information Security Test Standard for Food Tractability System Based on Blockchain Technology 2021 - 11 - 29发布 2021 - 11 - 30实施 广东省食品流通协会 发布 全国团体标准信息平台 全国团体标准信息平台 全国团体标准信息平台 全国团体标准信息平台 T/ GDFCA 0 37—2021 I 目 次 前 言 ................................ ................................ .............. II 1 范围 ................................ ................................ .............. 1 2 规范性引用文件 ................................ ................................ .... 1 3 术语和定义 ................................ ................................ ........ 1 4 通过准则 ................................ ................................ .......... 2 5 测试方法 ................................ ................................ .......... 2 5 测试内容 ................................ ................................ .......... 3 全国团体标准信息平台 全国团体标准信息平台 T/ GDFCA 0 37—2021 II 前 言 本标准按照 GB/T 1.1 —2020给出的规则起草。 本标准归口单位：广东省 食品流通 协会。 本标准主要起草单位： 广州筑粒信息科技有限公司 、广州中科易德科技有限公司 、广州软件应用 技术研究院 、重庆大学 、合肥中科多米科技有限公司 、广州格利技术服务有限公司 、广州食协技术服务 有限公司 、中山市仁达贸易发展有限公司 、中科软件测评（广州）有限公司 、广州执信网 络技术有限 公 司、广州生命码科技有限公司 、广东省食品流通协会 、深圳天祥质量技术服务有限公司 、无限极（中国） 有限公司 本标准主要起草人： 李引、王旭、袁敏夫、廖建平、何川、余方、程景添、宋育曼、李引、何川、 陈自英、毛振醒、李兴宇、周宝诗、曹新贵、付萌、文钰、云育行 本标准在原 《T/ GDFCA 037—2019 基于区块链技术食品追溯系统的 信息安全性测试标准 》基础上 修订以下内容 ： ----修改了原标准“第二章 规范性应用文件 ”的部分内容 。 ----修改了原标准“第三章 术语与定义 ”的部分内容 。 ----删除了原标准“第四章 测试范围 ”的内容。 ----增加了“第四章 通过准则 ”。 ----删除了原标准“第六章 测试过程”的内容。 ----原标准“第七章 测试规范 ”改为“第六章 测试内容”，根据基于区块链技术食品追溯系统 的 特性进行了修改 。 ----删除了原标准“附录A”的内容 全国团体标准信息平台 全国团体标准信息平台 T/ GDFCA 0 37—2021 1 基于区块链技术食品追溯系统 的安全性测试标准 1 范围 本标准介绍了基于区块链技术食品追溯系统的可靠性测试的术语和定义、 通过准则 、测试方法和测 试内容。 本标准适用于基于区块链技术食品追溯系统的可靠性测试。 2 规范性引用文件 下列文件对于本文 件的应用 是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 T/CESA 6001 -2016 区块链参考架构 术语 GB/T 38158-2019 重要产品追溯 产品追溯系统基本要求 GB/T 17964 -2008 信息安全技术 分组密码算法的工作模式 GB/T 25069 -2010 信息安全技术 术语 3 术语和定义 下列术语和定义适用于本文件。 3.1 区块链 blockchain 一种在对等 网络环境下 ，通过透明和可信规则，构 建不可伪 造、不可 篡改和可追溯的块链式数据结 构，实现和管理事务处理的模式。 [T/CESA 6001 -2016] 3.2 追溯系统 tractability system 基于追溯码 、文件记录、相关软硬件设备 和通信网络，实现现代信息化管理并可获 取产品追溯过程 中相关数据的集成。 [GB/T 38158 -2019] 3.3 全国团体标准信息平台 全国团体标准信息平台 T/ GDFCA 0 37—2021 2 加密 encipherment/encryption 对数据进行密码变换以产生密文的过程。一般包含一个变换集合，该变换使用一套算法和一套输入 参量。输入参量通常被称为密 钥。 [GB/T 17964 —2008] 3.4 解密 decipherment/decryption 加密过程对应的逆过程。 [GB/T 17964 —2008] 3.5 数字签名 digital signature 附加在数据单元上的数据，或是对数据单元所做的密码变换，这种数据或变换允许数据单元的接受 者用以确认数据单元的来源和完整性，并保护数据防止被人（例如接受者）伪造或抵赖。 [GB/T 25069 —2010] 4 通过准则 考虑到食品追溯系统业务的多样性 ，本标准 仅对系统最低限度 的安全性指标进行规范。 a）账本数据安全：应对隐私性的账本数据进行加 密存储及传输，并提供完整性校验 ；应具备对 账 本数据访问 的控制策略 ；应提供账本数据备份及恢复功能 。 b）密码算法安全 ：应采用国家秘密管理部门认可的对称 、非对称 、摘要加密算法 ；应提供完整的 秘钥生命周期管理 。 c）共识算法安全 ：可提供共识算法形式化验证和代码审计报告 ，并确保 所有参与共识的节点，在 规定时间范围内， 能够达到一致性结果 。 d）智能合约安全 ：应具备用户访问、智能合约间相互访问、外部数据访问的控制机制 ；应提供完 整的智能合约 生命周期管理 ；具备合约部署、发布和执行的审计接口 和智能合约审计报告 。 e）网络安全 ：应具备身份验证功能，通信具备完整性、保密性 ；组网应具备可扩展性、安全性、 开放性；网络数据传输 应具备完整性、保密性、传播时延 ；网络数据 应包含多种验证内容和方式 。 f）应用安全 ：应具有用户身份鉴别机制、访问控制策略、入侵防范、安全审计、恶意代码防范 等 功能，并保障 应用数据 的完整性、保密性 。 5 测试方法 安全测试方法包括： a）工具测试 全国团体标准信息平台 全国团体标准信息平台 T/ GDFCA 0 37—2021 3 利用技术工具（漏洞扫描工具、渗透测试工具、压力测试工具等）对系统进行测试，包括基于网络 探测和基于主机审计的漏洞扫描、渗透测试等。 b）配置检查 利用上机 验证的方 式检查主机、服务器、数据库 、网络设 备、安全 设备、应用系统的配置是否 正确， 是否与文档、相关设备和部件保持一致，对文档审核的内容进行核实（包括日志审计等），检测其实施 的正确性和有效性，检查配置的完整性，测试网络连接规则的一致性，从而测试系统是否达到可用性和 可靠性的要求。 c）人员访谈 与被测系统有关人员（个人 /群体）进行交流、讨论等活动，获取相关证据，了解有关信息。在访 谈范围上，不同等级信息系统在测评时有不同的要求，一般应基本覆盖所有的安全相关人员类型，在数 量上可以抽样。 d）文档审查 检查制度、策略、 操作规程、制度执 行情况记录等文档（ 包括安全 方针文件 、安全管理制度、安全 管理的执行过程文档、系统设计方案、网络设备的技术资料、系统和产品的实际配置说明、系统的各种 运行记录文档、机房建设相关资料、机房出入记录等过程记录文档）的完整性，以及这些文件之间的内 部一致性。 e）实地查看 通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和 系统物理环境等方面的安全情况，测评其是否达到了相应等级的安全要求。 6 测试内容 结合食品追溯应用 实践和区块链技术，基于区块链技术食品追溯系统的安全性测试 内容包括： 账本 数据安全 、密码算法安 全、共识算法安全、智能合约安全 、账本数据安全、网络安全、应用安全。 6.1 账本数据 安全 6.1.1 账本数据存储 测试内容包括： a）测试指标：账本数据存储具