一、私有區塊鏈應用安全需求
As permissioned blockchain becomes a common foundation of blockchainbased applications for current organizations, related stakeholders of the applications ne...
Blockchain
存取控制2: 主機安全與監控
需求目標:針對私有區塊鏈應用當中的組成元件進行保護,並且能夠透過監控發現問題,並進行回應。
Control 1-1: 定防火牆限制未經授權存取
需求目標:確認私有區塊鏈應用提供者是否已經建立好安全邊界,以限制未經授權的實體或邏輯存取,並進一步透過安全邊界的設定而釐清檢查範圍。
存取控制1-2: 設定實體安全防護
控制:確認是否有設立門禁等實體環境防禦措施,以限制未經授權的使用者進入系統運作環境。 是否為區塊鏈特有安全控制:否
存取控制2-1: 主機與設備安全
控制:針對主機與重要資訊設施,採用一般常見的安全防護機制,以做到基本的安全防護。是否為區塊鏈特有安全控制:否
存取控制2-2: 區塊資料保護
控制:識別會參與決策之區塊資料儲存位置,並且採取控制措施以保護資料。是否為區塊鏈特有安全控制:是
存取控制2-3: 金鑰與錢包資料保護
控制:針對錢包代管機制的錢包相關資料進行妥善保護。 是否為區塊鏈特有安全控制:部份
存取控制2-4: 實體安全防禦機制
控制:透過實體安全防禦機制,以減少裝置所面臨的實體安全威脅。 是否為區塊鏈特有安全控制:否
存取控制3: 私有鏈節點管理與網路安全
需求目標:管理私有鏈網路,並且監控及限制未經授權的行為。
存取控制3-1: 限制參與節點與權限管理
控制:控制私有鏈應用內的節點,並避免其從事未經授權的行為。 是否為區塊鏈特有安全控制:是
存取控制3-2: 監控異常行為
控制:監控網路當中的異常行為,因而進行通報或限制。 是否為區塊鏈特有安全控制:部份
存取控制4: 共識機制安全
需求目標:本需求類別主要是針對私有區塊鏈應用的底層,去評估所使用區塊鏈技術的能力,以及在佈署上面的風險。
存取控制4-1: 共識機制之證明
控制:本檢查項目主要是要確定私有鏈所採用區塊鏈技術演算法在共識產生上的正確性。又分成以共識與正確性。 是否為區塊鏈特有安全控制:是
存取控制4-2: 評估區塊鏈之容錯能力
控制:應提供所採用區塊鏈演算法的容錯能力。 是否為區塊鏈特有安全控制:是
存取控制4-3: 評估私有區塊鏈最低啟動能力
控制:應該說明私有區塊鏈要運作的最低運算資源或能力需求,以協助評估服務之可獲得性。 是否為區塊鏈特有安全控制:是
存取控制4-4: 錯誤處理能力
控制:私有區塊鏈應用應該建立發生錯誤時的因應機制 是否為區塊鏈特有安全控制:是
存取控制4-5: 節點營運者的分工要求
控制:應該讓要將私有鏈元件交由相互獨立的多方管理,以便能夠發揮交互勾稽的效果。 是否為區塊鏈特有安全控制:是
存取控制4-6: 揭露機密性保護機制
控制:確保所建置的區塊鏈,有建立足夠的機制以避免未經授權的使用者讀取存在區塊內的交易資訊。 是否為區塊鏈特有安全控制:是
存取控制4-7: 揭露隱私保護機制
控制:確保所建置的區塊鏈,可以避免有心認識透過分析區塊鏈所儲存的交易 內容而侵害使用者隱私。 是否為區塊鏈特有安全控制:是
存取控制5: 應用系統安全
需求目標:針對應用系統開發生命週期納入安全考量,以減少因為應用系統缺陷或弱點所造成的資安事件。
存取控制5-1: 威脅模型
控制:掌握應用服務之主要流程,並且識別相關威脅。 是否為區塊鏈特有安全控制:否
存取控制5-2: 定義安全需求
控制:針對應用層的應用服務或智慧合約,定義安全需求。 是否為區塊鏈特有安全控制:否
存取控制5-3: 使用者端應用程式加入告知功能
控制:提醒使用者應該注意的安全或隱私事項,並在需要時取得使用者同意。 是否為區塊鏈特有安全控制:部份
存取控制5-4: 程式碼安全分析
控制:透過程式碼檢視或工具分析,以發現所開發程式的弱點 是否為區塊鏈特有安全控制:否
存取控制5-5: 系統安全測試
控制:對程式進行測試,以檢查應用系統是否符合安全需求。 是否為區塊鏈特有安全控制:否
存取控制5-6: 區隔開發、測試,與營運環境
控制:落實系統開發時的分工,以減少人為疏失造成的意外事件。 是否為區塊鏈特有安全控制:否
存取控制5-7: 元件安全管理
控制:掌握系統所使用的外部元件,以便於在元件被發現有弱點時做出因應。 是否為區塊鏈特有安全控制:否
存取控制6: 制度面安全控制
需求目標:本需求主要是要從制度面,去要求相關單外能夠建立一套制度,去落實其他安全需求與控制措施。
存取控制6-1: 資訊安全政策
控制:本檢查項目主要是要求組成私有區塊鏈應用之應用服務提供者,應該建立與維護安全政策,以要求相關人員能夠遵守規定。 是否為區塊鏈特有安全控制:否
存取控制6-2: 人員安全責任與落實
控制:定義人員安全責任,並要求相關人員遵守。 是否為區塊鏈特有安全控制:否
存取控制6-3: 教育訓練與宣導
控制:透過教育訓練與宣導,讓相關人員認知資訊安全之重要性與責任,並且 能夠執行資訊安全工作。 是否為區塊鏈特有安全控制:否
存取控制6-4: 風險管理程序
控制:除了套用一般的控制措施外,也應採用系統化的方法是識別潛在的威脅,從而評估相關之風險。並進而對風險進行因應。 是否為區塊鏈特有安全控制:否
存取控制6-5: 聯合決策組織
控制:應建立跨服務提供者的安全組織,以便產生服務管理之共識,並要求各參與單位遵守相關決策。 是否為區塊鏈特有安全控制:是
存取控制6-6: 資訊安全負責人
控制:確保應用服務的各服務提供者皆有專人負責資訊安全相關事宜。 是否為區塊鏈特有安全控制:否
存取控制6-7: 建立變更管理與發佈管理程序
控制:確保元件的變更與發佈有一定的管理程序,以減少可能的安全風險。 是否為區塊鏈特有安全控制:否
存取控制6-8: 意外事件管理與業務永續
控制:建立意外事件管理與業務永續運作程序,在意外事件發生時,能夠進行妥善的控制,使得其衝擊降到最低。並能夠在災難發生時,有一定的程序,使得應用服務可以永續運作。 是否為區塊鏈特有安全控制:否
存取控制6-9: 法律符合性
控制:確保應用服務的提供有符合相關地區的法規要求。 是否為區塊鏈特有安全控制:否
存取控制6-10: 內部稽核與自我審查
控制:會透過內部稽核或自我審查等方法,確認流程的執行,並能發現可能的 缺失。 是否為區塊鏈特有安全控制:否
存取控制6-11: 滲透測試與弱點掃描
控制:定期執行滲透測試與弱點掃描,以發現問題並進行改善。 是否為區塊鏈特有安全控制:否
存取控制6-12: 對於缺失與意外事件的改善與學習
控制:確保缺失皆有被更正,且讓應用能夠因應環境的變化,在確保資訊安全的同時,逐步提升效率。 是否為區塊鏈特有安全控制:否