T∕GDFCA 037-2022 基于區(qū)塊鏈技術(shù)食品追溯系統(tǒng)的信息安全性測試標(biāo)準(zhǔn).pdf

《T∕GDFCA 037-2022 基于區(qū)塊鏈技術(shù)食品追溯系統(tǒng)的信息安全性測試標(biāo)準(zhǔn).pdf》由會員上傳分享，免費(fèi)在線閱讀，更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。

ICS67.040CCSX01團(tuán)體標(biāo)準(zhǔn)T/GDFCA037—2022代替T/GDFCA037—2021基于區(qū)塊鏈技術(shù)食品追溯系統(tǒng)的信息安全性測試標(biāo)準(zhǔn)InformationSecurityTestStandardforFoodTractabilitySystemBasedonBlockchainTechnology2022-12-19發(fā)布2022-12-19實施廣東省食品流通協(xié)會發(fā)布 T/GDFCA037—2022目次前言.............................................................................II1范圍...............................................................................12規(guī)范性引用文件.....................................................................13術(shù)語和定義.........................................................................14通過準(zhǔn)則...........................................................................25測試方法...........................................................................26測試內(nèi)容...........................................................................3參考文獻(xiàn)...........................................................................8I T/GDFCA037—2022前言本標(biāo)準(zhǔn)按照GB/T1.1—2020給出的規(guī)則起草。本標(biāo)準(zhǔn)歸口單位：廣東省食品流通協(xié)會。本標(biāo)準(zhǔn)主要起草單位：廣州筑粒信息科技有限公司，廣州中科易德科技有限公司，廣州軟件應(yīng)用技術(shù)研究院，合肥中科多米科技有限公司，廣州格利技術(shù)服務(wù)有限公司，廣州食協(xié)技術(shù)服務(wù)有限公司，黃埔海關(guān)技術(shù)中心，中國科學(xué)院合肥物質(zhì)科學(xué)研究院，重慶大學(xué)，中山大學(xué)，無限極（中國）有限公司，中山市仁達(dá)貿(mào)易發(fā)展有限公司，中科軟件測評（廣州）有限公司，廣州執(zhí)信網(wǎng)絡(luò)技術(shù)有限公司，廣州生命碼科技有限公司，南通市中醫(yī)院，廣東省食品流通協(xié)會，深圳天祥質(zhì)量技術(shù)服務(wù)有限公司，廣州數(shù)智網(wǎng)絡(luò)科技有限公司。本標(biāo)準(zhǔn)主要起草人：李引，王旭，袁敏夫，廖建平，何川，余方，程景添，夏云霓，黃斌玉，黃雪琳，陳雷，袁媛，鄭子彬，宋育曼，何川，曹剛，陳自英，毛振醒，李興宇，曹新貴，付萌，文鈺。II T/GDFCA037—2022基于區(qū)塊鏈技術(shù)食品追溯系統(tǒng)的安全性測試標(biāo)準(zhǔn)1范圍本標(biāo)準(zhǔn)介紹了基于區(qū)塊鏈技術(shù)食品追溯系統(tǒng)的安全性測試的術(shù)語和定義、通過準(zhǔn)則、測試方法和測試內(nèi)容。本標(biāo)準(zhǔn)適用于基于區(qū)塊鏈技術(shù)食品追溯系統(tǒng)的安全性測試。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。T/CESA6001-2016區(qū)塊鏈參考架構(gòu)術(shù)語GB/T38158-2019重要產(chǎn)品追溯產(chǎn)品追溯系統(tǒng)基本要求GB/T17964-2008信息安全技術(shù)分組密碼算法的工作模式GB/T25069-2010信息安全技術(shù)術(shù)語3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1區(qū)塊鏈blockchain一種在對等網(wǎng)絡(luò)環(huán)境下，通過透明和可信規(guī)則，構(gòu)建不可偽造、不可篡改和可追溯的塊鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)，實現(xiàn)和管理事務(wù)處理的模式。[T/CESA6001-2016]3.2追溯系統(tǒng)tractabilitysystem基于追溯碼、文件記錄、相關(guān)軟硬件設(shè)備和通信網(wǎng)絡(luò)，實現(xiàn)現(xiàn)代信息化管理并可獲取產(chǎn)品追溯過程中相關(guān)數(shù)據(jù)的集成。[GB/T38158-2019]3.3加密encipherment/encryption對數(shù)據(jù)進(jìn)行密碼變換以產(chǎn)生密文的過程。一般包含一個變換集合，該變換使用一套算法和一套輸入?yún)⒘?。輸入?yún)⒘客ǔ１环Q為密鑰。[GB/T17964—2008]3.4解密decipherment/decryption加密過程對應(yīng)的逆過程。[GB/T17964—2008]1 T/GDFCA037—20223.5數(shù)字簽名digitalsignature附加在數(shù)據(jù)單元上的數(shù)據(jù)，或是對數(shù)據(jù)單元所做的密碼變換，這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接受者用以確認(rèn)數(shù)據(jù)單元的來源和完整性，并保護(hù)數(shù)據(jù)防止被人（例如接受者）偽造或抵賴。[GB/T25069—2010]4通過準(zhǔn)則考慮到食品追溯系統(tǒng)業(yè)務(wù)的多樣性，本標(biāo)準(zhǔn)僅對系統(tǒng)最低限度的安全性指標(biāo)進(jìn)行規(guī)范。a）賬本數(shù)據(jù)安全：應(yīng)對隱私性的賬本數(shù)據(jù)進(jìn)行加密存儲及傳輸，并提供完整性校驗；應(yīng)具備對賬本數(shù)據(jù)訪問的控制策略；應(yīng)提供賬本數(shù)據(jù)備份及恢復(fù)功能。b）密碼算法安全：應(yīng)采用國家秘密管理部門認(rèn)可的對稱、非對稱、摘要加密算法；應(yīng)提供完整的秘鑰生命周期管理。c）共識算法安全：可提供共識算法形式化驗證和代碼審計報告，并確保所有參與共識的節(jié)點，在規(guī)定時間范圍內(nèi)，能夠達(dá)到一致性結(jié)果。d）智能合約安全：應(yīng)具備用戶訪問、智能合約間相互訪問、外部數(shù)據(jù)訪問的控制機(jī)制；應(yīng)提供完整的智能合約生命周期管理；具備合約部署、發(fā)布和執(zhí)行的審計接口和智能合約審計報告。e）網(wǎng)絡(luò)安全：應(yīng)具備身份驗證功能，通信具備完整性、保密性；組網(wǎng)應(yīng)具備可擴(kuò)展性、安全性、開放性；網(wǎng)絡(luò)數(shù)據(jù)傳輸應(yīng)具備完整性、保密性、傳播時延；網(wǎng)絡(luò)數(shù)據(jù)應(yīng)包含多種驗證內(nèi)容和方式。f）應(yīng)用安全：應(yīng)具有用戶身份鑒別機(jī)制、訪問控制策略、入侵防范、安全審計、惡意代碼防范等功能，并保障應(yīng)用數(shù)據(jù)的完整性、保密性。5測試方法安全測試方法包括：a）工具測試?yán)眉夹g(shù)工具（漏洞掃描工具、滲透測試工具、壓力測試工具等）對系統(tǒng)進(jìn)行測試，包括基于網(wǎng)絡(luò)探測和基于主機(jī)審計的漏洞掃描、滲透測試等。b）配置檢查利用上機(jī)驗證的方式檢查主機(jī)、服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)的配置是否正確，是否與文檔、相關(guān)設(shè)備和部件保持一致，對文檔審核的內(nèi)容進(jìn)行核實（包括日志審計等），檢測其實施的正確性和有效性，檢查配置的完整性，測試網(wǎng)絡(luò)連接規(guī)則的一致性，從而測試系統(tǒng)是否達(dá)到可用性和可靠性的要求。c）人員訪談與被測系統(tǒng)有關(guān)人員（個人/群體）進(jìn)行交流、討論等活動，獲取相關(guān)證據(jù)，了解有關(guān)信息。在訪談范圍上，不同等級信息系統(tǒng)在測評時有不同的要求，一般應(yīng)基本覆蓋所有的安全相關(guān)人員類型，在數(shù)量上可以抽樣。d）文檔審查檢查制度、策略、操作規(guī)程、制度執(zhí)行情況記錄等文檔（包括安全方針文件、安全管理制度、安全管理的執(zhí)行過程文檔、系統(tǒng)設(shè)計方案、網(wǎng)絡(luò)設(shè)備的技術(shù)資料、系統(tǒng)和產(chǎn)品的實際配置說明、系統(tǒng)的各種運(yùn)行記錄文檔、機(jī)房建設(shè)相關(guān)資料、機(jī)房出入記錄等過程記錄文檔）的完整性，以及這些文件之間的內(nèi)部一致性。e）實地查看2 T/GDFCA037—2022通過實地的觀察人員行為、技術(shù)設(shè)施和物理環(huán)境狀況判斷人員的安全意識、業(yè)務(wù)操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全情況，測評其是否達(dá)到了相應(yīng)等級的安全要求。6測試內(nèi)容結(jié)合食品追溯應(yīng)用實踐和區(qū)塊鏈技術(shù)，基于區(qū)塊鏈技術(shù)食品追溯系統(tǒng)的安全性測試內(nèi)容包括：賬本數(shù)據(jù)安全、密碼算法安全、共識算法安全、智能合約安全、賬本數(shù)據(jù)安全、網(wǎng)絡(luò)安全、應(yīng)用安全。6.1賬本數(shù)據(jù)安全6.1.1賬本數(shù)據(jù)存儲測試內(nèi)容包括：a）測試指標(biāo)：賬本數(shù)據(jù)存儲具備保密性、完整性、可靠性。b）測試對象：賬本數(shù)據(jù)存儲c）測試內(nèi)容：1）檢測賬本數(shù)據(jù)是否采用密文的形式進(jìn)行存儲；2）檢測賬本數(shù)據(jù)信息是否進(jìn)行安全保護(hù)分級，即不同類別和級別的數(shù)據(jù)是否分開存儲，是否采取物理或邏輯隔離機(jī)制；3）檢測是否具有數(shù)據(jù)完整性校驗機(jī)制，是否在檢測到數(shù)據(jù)完整性被破壞時進(jìn)行報警，在檢測到完整性錯誤時是否能采取措施進(jìn)行恢復(fù)；4）檢測是否提供安全審計功能，即數(shù)據(jù)存儲內(nèi)容是否包含完整的用戶訪問記錄、數(shù)據(jù)處理記錄等；5）檢測是否有相關(guān)的存儲管理制度和數(shù)據(jù)備份操作；6）檢測賬本數(shù)據(jù)存儲架構(gòu)是否可伸縮，以滿足數(shù)據(jù)量持續(xù)增長、數(shù)據(jù)分類分級存儲等需求。6.1.2賬本數(shù)據(jù)傳輸測試內(nèi)容包括：a）測試指標(biāo)：賬本數(shù)據(jù)傳輸具有保密性、完整性、可靠性。b）測試對象：賬本數(shù)據(jù)傳輸c）測試內(nèi)容：1）當(dāng)賬本數(shù)據(jù)傳輸時，檢測是否采用加密技術(shù)進(jìn)行傳輸；2）當(dāng)賬本數(shù)據(jù)傳輸時，檢測是否具備完整性校驗功能；3）當(dāng)賬本數(shù)據(jù)傳輸時，檢測是否進(jìn)行身份鑒別和加解密技術(shù)；檢測是否采用數(shù)據(jù)傳輸安全策略，如安全通道、可信通道、數(shù)據(jù)加密等；4）當(dāng)賬本數(shù)據(jù)傳輸時，檢測對數(shù)據(jù)加密的密鑰和證書是否采用與信息傳輸不同的傳輸通路進(jìn)行傳遞。6.1.3賬本數(shù)據(jù)訪問測試內(nèi)容包括：a）測試指標(biāo)：賬本數(shù)據(jù)訪問具有安全性、保密性、可溯性。b）測試對象：賬本數(shù)據(jù)訪問c）測試內(nèi)容：1）當(dāng)訪問賬本數(shù)據(jù)時，檢測是否具有訪問錯誤次數(shù)限制機(jī)制和有訪問超時鎖定功能；3 T/GDFCA037—20222）當(dāng)訪問賬本數(shù)據(jù)時，檢測是否采用加密方式進(jìn)行訪問控制；3）當(dāng)訪問賬本數(shù)據(jù)時，檢測是記錄訪問日志。6.1.4賬本數(shù)據(jù)備份測試內(nèi)容包括：a）測試指標(biāo)：賬本數(shù)據(jù)具備數(shù)據(jù)備份功能。b）測試對象：賬本數(shù)據(jù)備份c）測試內(nèi)容：1）檢測是否具有備份機(jī)制；2）當(dāng)備份賬本數(shù)據(jù)時，檢測是否有備份日志。6.1.5賬本數(shù)據(jù)恢復(fù)測試內(nèi)容包括：a）測試指標(biāo)：賬本數(shù)據(jù)具備數(shù)據(jù)恢復(fù)功能。b）測試對象：賬本數(shù)據(jù)恢復(fù)c）測試內(nèi)容：1）檢測是否具有賬本數(shù)據(jù)故障處置預(yù)案；2）當(dāng)賬本數(shù)據(jù)出現(xiàn)故障時，檢測能否檢測故障并恢復(fù)賬本數(shù)據(jù)，記錄恢復(fù)日志；3）當(dāng)節(jié)點重新接入?yún)^(qū)塊時，檢測能否恢復(fù)數(shù)據(jù)。6.2密碼算法安全6.2.1加密算法測試內(nèi)容包括：a）測試指標(biāo)：加密算法保證數(shù)據(jù)安全加密；加密算法具有保密性、完整性、真實性。b）測試對象：加密算法c）測試內(nèi)容：1）當(dāng)采用對稱加密算法時，檢測是否采用國家秘密管理部門認(rèn)可的對稱加密算法，如國際AES或國密SM4、SM7等算法；2）當(dāng)采用非對稱加密算法時，檢測是否采用國家秘密管理部門認(rèn)可的非對稱加密算法，國際RSA、ECC或國密SM2、SM9等算法；3）當(dāng)采用數(shù)字摘要算法時，檢測是否采用國際SHA256或國密SM3等算法；4）檢測加密結(jié)果是否符合預(yù)期輸出；5）檢測節(jié)點是否能檢查出加密錯誤并拒絕交易；6）檢測系統(tǒng)的算法模塊是否支持可插拔，即是否可切換/替換加密算法模塊；7）當(dāng)系統(tǒng)建立敏感信息的通信時，檢測報文數(shù)據(jù)是否具有保密性、完整性以及真實性。6.2.2密鑰生命周期測試內(nèi)容包括：a）測試指標(biāo)：密鑰的生成、使用、更新、存儲、備份和銷毀具備安全性。b）測試對象：密鑰生命周期管理c）測試內(nèi)容：4 T/GDFCA037—20221）當(dāng)生成密鑰時，檢測隨機(jī)數(shù)生成算法是否采用國家秘密管理部門認(rèn)可的算法；檢測密鑰算法類型和長度是否可配置；2）當(dāng)使用密鑰時，檢測是否通過密文分發(fā)密鑰、是否能夠正確有效地導(dǎo)入密鑰、接口是否泄漏密鑰的相關(guān)信息；檢測密鑰對是否按需隔離使用，隔離的密鑰對交叉使用是否報錯；檢測內(nèi)存是否無密鑰對駐留；3）當(dāng)密鑰更新時，檢測是否具有密鑰更新策略，是否根據(jù)更新策略進(jìn)行密鑰更新；檢測密鑰更新是否進(jìn)行身份驗證和鑒權(quán)；檢測密鑰更新是否不影響業(yè)務(wù)流程；檢測密鑰更新過程中是否以密文形式進(jìn)行傳輸；當(dāng)密鑰更新后，檢測舊密鑰是否不能繼續(xù)使用；若舊密碼發(fā)生過交易，檢測是否進(jìn)行安全歸檔；4）當(dāng)密鑰存儲時，檢測基于軟件/硬件密鑰存儲是否符合國家秘密管理部門認(rèn)可；檢測是否采用多個密鑰存儲設(shè)備進(jìn)行存儲，避免出現(xiàn)大規(guī)模密鑰泄漏；檢測密鑰相關(guān)信息是否存儲在專用區(qū)域，且具備防止非法訪問的安全機(jī)制；5）當(dāng)密鑰備份時，檢測是否具備密鑰備份機(jī)制、備份密鑰是否通過密文形式存儲；6）當(dāng)密鑰銷毀時，檢測能否有效銷毀存儲的密鑰，且銷毀的密鑰不可恢復(fù)。6.3共識算法安全測試內(nèi)容包括：a）測試指標(biāo)：具備抗攻擊能力、正確性、終局性。b）測試要素：共識算法。c）測試內(nèi)容：1）檢測是否具有共識算法形式化驗證和代碼審計報告；2）檢測所有參與共識的節(jié)點，在規(guī)定時間范圍內(nèi)，能否達(dá)到一致性結(jié)果。6.4智能合約安全6.4.1訪問控制測試內(nèi)容包括：a）測試指標(biāo)：具備用戶訪問、智能合約間相互訪問、外部數(shù)據(jù)訪問的控制機(jī)制。b）測試對象：訪問控制c）測試內(nèi)容：1）檢測系統(tǒng)是否配置用戶訪問控制機(jī)制，當(dāng)用戶訪問智能合約時，檢測系統(tǒng)是否對用戶的身份進(jìn)行認(rèn)證；2）當(dāng)智能合約間相互訪問時，檢測系統(tǒng)是否提供智能合約間相互訪問的控制機(jī)制，并具備安全訪問控制手段；3）當(dāng)智能合約訪問外部數(shù)據(jù)時，檢測系統(tǒng)是否提供智能合約間訪問外部數(shù)據(jù)的控制機(jī)制，并具備安全訪問控制手段；4）檢測系統(tǒng)是否支持智能合約在隔離環(huán)境運(yùn)行。6.4.2生命周期測試內(nèi)容包括：a）測試指標(biāo)：具備完整的生命周期。b）測試對象：生命周期c）測試內(nèi)容：5 T/GDFCA037—20221）檢測合約是否具備完整的生命周期，包括創(chuàng)建、部署、執(zhí)行、升級和自毀階段。6.4.3可審計性測試內(nèi)容包括：a）測試指標(biāo)：具備合約部署、發(fā)布和執(zhí)行的審計接口；具備智能合約審計報告。b）測試對象：可審計性c）測試內(nèi)容：1）檢測是否具備合約部署、發(fā)布和執(zhí)行的審計接口；2）檢測能否提供智能合約的審計報告，且審計報告內(nèi)容包括智能合約設(shè)計及業(yè)務(wù)邏輯安全、源代碼安全審計、編譯環(huán)境審計及相關(guān)得意緊急響應(yīng)等。6.5網(wǎng)絡(luò)安全6.5.1節(jié)點間通信測試內(nèi)容包括：a）測試指標(biāo)：具備身份驗證功能，通信具備完整性、保密性。b）測試對象：節(jié)點間通信c）測試內(nèi)容：1）當(dāng)節(jié)點接入/通訊時，檢測是否進(jìn)行身份驗證；當(dāng)進(jìn)行身份認(rèn)證時，檢測是否采用加密技術(shù)；2）檢測節(jié)點通信報文或會話是否進(jìn)行了加密處理；3）檢測節(jié)點間通信是否采用健壯的加密算法和安全協(xié)議，安全協(xié)議包括但不限于TLS和IPSEC；4）檢測節(jié)點數(shù)字證書及其私鑰的存儲是否私密管理；5）當(dāng)節(jié)點間通信出現(xiàn)異常時，檢測是否不影響其他節(jié)點間通信；是否能及時找到故障點并恢復(fù)；6.5.2組網(wǎng)機(jī)制測試內(nèi)容包括：a）測試指標(biāo)：組網(wǎng)具備可擴(kuò)展性、安全性、開放性。b）測試對象：網(wǎng)絡(luò)節(jié)點c）測試內(nèi)容：1）檢測網(wǎng)絡(luò)中的節(jié)點是否支持動態(tài)加入和退出；2）當(dāng)區(qū)塊鏈網(wǎng)絡(luò)中的節(jié)點動態(tài)變化時，檢測是否不影響系統(tǒng)的運(yùn)行；3）檢測網(wǎng)絡(luò)能否在虛擬邏輯上區(qū)分網(wǎng)絡(luò)內(nèi)和網(wǎng)絡(luò)外的節(jié)點，是否只允許對區(qū)塊鏈網(wǎng)絡(luò)內(nèi)的節(jié)點發(fā)送數(shù)據(jù)包。6.5.3數(shù)據(jù)傳輸機(jī)制測試內(nèi)容包括：a）測試指標(biāo)：網(wǎng)絡(luò)數(shù)據(jù)傳輸具備完整性、保密性。b）測試對象：網(wǎng)絡(luò)數(shù)據(jù)傳輸機(jī)制c）測試內(nèi)容：1）檢測網(wǎng)絡(luò)層數(shù)據(jù)傳輸是否具有數(shù)據(jù)校驗協(xié)議，如校驗碼；2）檢測區(qū)塊鏈網(wǎng)絡(luò)中數(shù)據(jù)是否具備端對端互相認(rèn)證和保密傳輸能力；3）檢測同一虛擬機(jī)環(huán)境、網(wǎng)絡(luò)內(nèi)環(huán)境用戶數(shù)據(jù)以及網(wǎng)絡(luò)傳輸對外是否不可見；6 T/GDFCA037—20224）檢測不同節(jié)點用戶數(shù)據(jù)是否互相不可見；6.5.4數(shù)據(jù)驗證機(jī)制測試內(nèi)容包括：a）測試指標(biāo)：網(wǎng)絡(luò)數(shù)據(jù)包含多種驗證內(nèi)容和方式。b）測試對象：網(wǎng)絡(luò)數(shù)據(jù)驗證機(jī)制c）測試內(nèi)容：1）檢測驗證內(nèi)容是否包括交易格式、交易數(shù)據(jù)結(jié)構(gòu)、交易格式語法結(jié)構(gòu)、輸入輸出、以及數(shù)字簽名驗證正確性的驗證；2）檢測驗證方式是否支持?jǐn)?shù)據(jù)校驗碼、數(shù)字簽名、以及非對稱加密和哈希驗證方式。6.6應(yīng)用安全6.6.1應(yīng)用系統(tǒng)測試內(nèi)容包括：a）測試指標(biāo)：具有用戶身份鑒別機(jī)制、訪問控制策略、入侵防范、安全審計、惡意代碼防范。b）測試對象：應(yīng)用系統(tǒng)c）測試內(nèi)容：1）當(dāng)用戶登錄時，檢測是否采用身份鑒別；用戶標(biāo)識是否唯一；是否不存在空口令用戶；用戶鑒別信息（密碼、校驗碼等）是否具有復(fù)雜度要求；是否定期更換用戶鑒別信息；是否具有登錄失敗處理能力；是否具有限制非法登錄功能；是否具有登錄鏈接超時及自動退出功能等；2）檢測用戶的權(quán)限設(shè)置是否符合要求；已禁用或限制的賬戶的訪問權(quán)限是否符合要求；是否不存在多余或過期賬戶；管理員用戶與賬戶之間是否一一對應(yīng)；是否進(jìn)行角色劃分；用戶是否不可越權(quán)訪問；3）檢測系統(tǒng)是否遵循最小安裝原則；是否未安裝非必要的組件和應(yīng)用程序；是否關(guān)閉非必要的系統(tǒng)服務(wù)和默認(rèn)共享；是否不存在非必要的高危端口、配置文件或參數(shù)是否對中的接入范圍進(jìn)行限制；是否不存在高風(fēng)險漏洞；是否對人機(jī)接口或通信接口輸入的內(nèi)容進(jìn)行有效性校驗；4）檢測是否部署了綜合安全審計系統(tǒng)或類似功能的系統(tǒng)平臺；安全審計范圍是否覆蓋到每個用戶；是否對重要的用戶行為和重要安全事件進(jìn)行審計；審計記錄信息是否包括事件的日期和時間、用戶、事件類型、是否成功及其他與審計相關(guān)的信息；是否采取了技術(shù)措施對審計記錄進(jìn)行保護(hù)，即師傅無法刪除、修改、覆蓋審計記錄；是否采取技術(shù)措施對審計記錄進(jìn)行定期備份，并核查其備份策略；5）檢測是否安裝了防惡意代碼軟件或相應(yīng)功能的軟件；是否定期進(jìn)行升級和更新防惡意代碼庫。6.6.2應(yīng)用數(shù)據(jù)測試內(nèi)容包括：a）測試指標(biāo)：數(shù)據(jù)具有完整性、保密性、備份恢復(fù)策略。b）測試對象：數(shù)據(jù)庫c）測試內(nèi)容：1）檢測鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要個人信息等在傳輸過程/存儲過程中是否采用了校驗技術(shù)或密碼技術(shù)保證完整性；7 T/GDFCA037—20222）檢測傳輸過程/存儲過程中鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個人信息等是否進(jìn)行了加密處理；3）檢測是否按照備份策略進(jìn)行備份；備份策略設(shè)置是否合理、配置是否正確；備份結(jié)果是否與備份策略一致；是否能夠進(jìn)行正常的數(shù)據(jù)恢復(fù)。8 T/GDFCA037—2022參考文獻(xiàn)[1]T/SIA007—2018區(qū)塊鏈平臺基礎(chǔ)技術(shù)要求[2]YD/T3747-2020區(qū)塊鏈技術(shù)架構(gòu)安全要求[3]20210998-T-469信息安全技術(shù)區(qū)塊鏈技術(shù)安全框架[4]20210991-T-469信息安全技術(shù)區(qū)塊鏈信息服務(wù)安全規(guī)范[5]T/SSIA0002—2018區(qū)塊鏈技術(shù)安全通用規(guī)范[6]T/CESA1049—2018區(qū)塊鏈隱私保護(hù)規(guī)范[7]T/JSHLW007—2021區(qū)塊鏈安全加密規(guī)范_________________________________9