近日，经工业和信息化部批准发布，由中国信息通信研究院安全研究所牵头，北京华顺信安科技有限公司等单位共同参与研制的行业标准YD/T 4055-2022《电信网和互联网区块链基础设施安全防护要求》，将于2022年7月1日正式实施。

01标准制定背景

区块链在网络基础设施建设中发挥着重要作用，但也因其公开、透明、共享等特点存在较多安全问题，基于此背景制定本行业标准，旨在为区块链基础设施安全设计、开发、部署、运维提供指导依据。

02标准适用对象

本标准主要适用于基础电信业务经营者和增值电信业务经营者开发、运营的区块链基础设施平台。 

03标准主要内容

该标准对区块链基础设施范围进行了明确界定，明确了区块链基础设施安全风险，同时从业务服务安全、网络安全、设备安全、物理环境安全和管理安全5个领域共112条安全要求，规定了区块链基础设施安全保护等级的安全防护要求。

04区块链基础设施安全防护范围

电信网和互联网区块链基础设施防护范畴为构建区块链基础设施的通用主机/网络设备、虚拟设备、软件等。

05区块链基础设施面临哪些主要安全风险

该标准结合电信网和互联网区块链基础设施运行模式和技术架构，从区块链核心技术功能角度将区块链基础设施划分为存储层、网络层和扩展层，因此区块链基础设施可能面临存储层安全风险、网络层安全风险和扩展层安全风险。

存储层可能存在的典型安全风险包括：存储设备安全风险、网络攻击威胁、数据丢失和泄露等，威胁区块链中数据文件的可靠性、完整性及存储数据的安全性。

网络层安全风险：主要由区块链技术核心机制中存在的潜在安全缺陷引发，包括来自协议漏洞、网络流量以及恶意节点的威胁等。

扩展层安全风险：主要来源于不安全的代码实现，具体包括合约开发漏洞和后门、合约运行安全风险。

06区块链基础设施安全防护要求

本标准明确了区块链基础设施安全防护要求，从五个等级实施保护电信网和互联网区块链基础设施相关安全要求。

其中第2级要求中的管理安全要求里提出，除满足YD/T 1756-2008《电信网和互联网管理安全等级保护要求》中的第2级要求外，还应该满足区块链基础设施风险评估，至少包含区块链基础设施相关资产、脆弱性、威胁、安全措施、风险分析等要素和内容，并根据评估结果制定相应的风险处理计划。

同时，本标准指出区块链基础设施的资产至少应包括：通用主机/网络设备、虚拟设备、软件、数据、文档、人员等，区块链基础设施的资产中存在的弱点、缺陷与不足，都可能危害区块链基础设施资产的安全，由此可见资产安全在基础设施中的重要性。

07标准研制意义

作为国内首部针对区块链基础设施安全的行业标准，弥补了当前国内区块链基础设施安全标准空白，同时紧跟电信和互联网行业发展新趋势，为涉区块链业务企业开展安全防护工作提供专业指导，对提升行业监管和区块链企业安全水平具有标杆意义。

《电信网和互联网区块链基础设施安全防护要求》标准的制定肯定了华顺信安在网络安全领域的影响力，同时也鞭策着我们向着更远的目标前进。未来，公司将不断丰富和完善企业技术优势，继续为国家、行业标准化建设贡献力量。