控制措施
本章節主要針對私有區塊鏈應用層所開發的應用服務或智慧合約,要求在應用服務的開發、取得,與變更時,應該要定義其安全需求。包括但不限於:
- 應用服務的身分鑑別機制與強度
- 應用服務或智慧合約的權限檢查要求
- 對於應用服務或智慧合約經手機敏資訊的傳輸與儲存安全需求
- 對於應用服務或智慧合約操作的紀錄考量
- 應用程式提供的資料備份與還原機制
- 保留版本資訊與提供更新功能
- 對於輸入與輸出訊息格式的檢查
- 與其他安全控制整合的做法
- 確保所使用第三方函式庫或元件的安全
- 對於常見安全弱點的避免
- 應用層的安全監控
- 系統開發文件的建立與保存
適用範圍:
- 應用服務的開發與維護單位
- 聯合決策組織
相關標準之控制措施:
| 標準 | 相關控制措施 |
|---|---|
| PCI-DSS 3.2.1 | 6.5 |
| CIS 控制 v7.1 | 18.1、18.2、18.3、18.4、18.5、18.10、18.11 |
| ISO/IEC 27002:2013 | 14.1、14.2.2 |