10月19日,国家标准《信息安全技术区块链信息服务安全规范》(以下简称《安全规范》)制定启动会召开。此次启动会的目的是落实相关工作要求,推进《安全规范》标准的编制工作。中国科学院信息工程研究所将负责组织实施标准的制定和推广工作。10月19日,国家标准《信息安全技术区块链信息服务安全规范》(以下简称《安全规范》)制定启动会召开。此次启动会的目的是落实相关工作要求,推进《安全规范》标准的编制工作。中国科学院信息工程研究所将负责组织实施标准的制定和推广工作。“《安全规范》标准的制定和出台,对区块链行业的整体发展具有非常好的推动和促进作用;对一些不法贪图者和短期利益也有很强的震慑作用;具有很强的影响力。对行业规范化、标准化工作起到了很好的督促和引导作用。字节链接CEO杜超对《链新》说。技术安全隐患“区块链安全与否,见仁见智”。百联汇创始人、中国区块链应用研究中心研究员辛鸿锐告诉《链新》。辛鸿锐认为,区块链安全主要涉及两类:一是区块链+产业生态安全(如电子交易、版权);另一种是区块链+政务(如身份验证、存单等)。区块链安全的主要内容包括:技术安全,如智能合约和虚拟机安全、密码学和网络安全、存储安全等;应用安全,如财务安全、审计安全等;监管安全和其他安全要求。2016年6月17日,区块链行业最大众筹项目TheDAO(攻击前资产约1亿美元)遭到攻击,导致超过300万以太坊资产脱离TheDAO资产池。2017年7月19日,Parity1.5及以上多重签名钱包出现安全漏洞,15万个以太币被盗,总价值3000万美元。这些数亿美元的安全损失仅仅是一行代码造成的。“从技术角度来看,区块链面临的安全问题既来自区块链本身,也来自其他技术发展的潜在威胁。”比特大学联合创始人、副校长王继尧对《链新》说。王继尧分析,就公链系统本身更注重安全维度而言,比特币网络是目前公认的更安全的。运行十余年未遇到严重安全问题。可扩展性的发展和相对较多的节点数量保证了链的安全性和稳定性。相比之下,可编程的区块链系统及其链上应用在编程过程中难免存在漏洞。比如近期以太坊上的一些DEFI项目,因为部分合约没有经过审计,导致项目不得不停止运行。“近年来,在区块链安全方面,绝大多数问题都是黑客攻击,也存在信息和隐私泄露的风险;该领域存在更多的道德风险和潜在的非法信息和资金转移风险数字加密资产。”杜超对《链新》说道。杜超认为,通过技术发展和逐步完善、合规的代码审计机制,可以在一定程度上控制开发者的黑客攻击和道德风险;而信息和隐私泄露以及用户道德风险可以通过风险意识教育部分规避得到一定程度的控制。“归根结底,这些领域的风险还会继续存在。其中,对公共安全潜在危害较大的‘非法信息和资金转移’风险更为复杂、难以察觉,但它可能造成极其严重的危害,例如:极端组织非法信息传输和跨境洗钱等。”寻找解决方案“区块链的安全问题是区块链技术的核心命题,有效解决安全问题将极大助力区块链的发展。”王继尧说道。“正如DEFI的去中心化金融为未来金融提供了很多解决方案参考一样,也可以对目前出现的各种区块链漏洞进行分类分级,建立一些通用的漏洞和安全识别体系,有助于提高整体安全识别水平的行业。”王继尧认为,从技术角度来说,通过建立可信的代码审计体系,可以在一定程度上规避安全漏洞。总体而言,区块链安全相关规则的制定需要覆盖公有链、联盟链、智能合约和链上应用。这是一个好的开始。”同时,还需要树立项目、企业、个人用户的安全意识。”例如,如果用户不参与没有经过代码审计的项目,这将迫使项目或公司完成代码安全审计。例如,一些设计BAAS服务的平台也应该考虑用户构建的技术模块,例如Like以太坊网络,嵌入代码漏洞识别和审计功能,提升平台整体安全质量,这既需要商业机制,也需要业界广泛宣传。王继尧强调,“目前,区块链技术在各个场景的应用过程中,主要存在密钥泄露、账户盗窃、DDoS攻击、协议漏洞、合约漏洞、应用软件漏洞等安全隐患。”“辛鸿锐认为,结合场景特点,可以从物理设施、区块链底层协议、应用层面进行安全风险防范,进行代码审计。一些法律法规可以通过编码构建到区块链系统中,打造一个独立可控的区块链平台和应用。”安全永远是人们最关心的问题。计算网络的安全风险可以通过技术来解决。防止用户资金密钥泄露和账户被盗的安全主要是通过提高用户的安全意识,加强自我防御来实现的。辛鸿瑞说道。目前,就高效低耗、安全和去中心化等主要设计目标而言,区块链技术存在“不可能三角”。如果选择去中心化和高效低耗,就不得不牺牲安全性,尤其是在金融领域,几乎可以一票否决;如果选择去中心化和安全,放弃高效率和低能耗,必然导致交易模型和场景的极大压缩,几乎是所有主流业务的全面退却;最后,如果选择高效、低能耗和安全性,将大大损害区块链的预期发展前景。”应用需要解决的是基础理论,这是政府部门和科研机构牵头的课题。”辛鸿瑞说。期待标准的出台。”业界开始研究制定《安全规范》,恰恰体现了行业的蓬勃发展,正朝着产业化、标准化迈进。这是我们乐于看到的,会有一个对行业安全防护、代码审计相关项目和企业起到更好的促进作用。”王继尧说。目前,我国区块链行业正处于高速发展阶段。国内主流金融机构和科技公司加快了对区块链应用的投入。区块链技术的应用领域已经从最初的金融逐渐扩展到政务服务和供应链领域。在管理、工业制造等方面,新应用、新业态正在快速落地。“区块链目前还不成熟,但有发展潜力。”辛鸿锐认为,虽然区块链行业还处于发展初期,很多人都在研究区块链的底层技术,但很难有进展“在一定程度上,需要实际应用场景来驱动。”现在区块链应用落地项目,仍然是一个痛点。需要防范和打击造假行为,否则这些造假行为很容易影响发展和发展。行业口碑,同时要鼓励技术研究,脚踏实地做技术,不要天天炒概念,区块链是比较容易管理的。由链管理,由技术管理技术。针对目前的技术缺陷,在区块链应用落地项目中,王继尧认为,需要“加强代码审计,产业端联盟链或开放联盟链,完善自主核心关键技术,尽量采用完全自主研发和技术架构的制定,并制定相应的标准。”杜超建议,要重视对区块链行业的监督监管,建立有效、快速、多部门、多层次的协同工作机制;加快密码学和隐私保护等技术的开发和研究;逐步建立健全以法律法规为依据的行之有效的代码审查和备案机制;加大从业人员法律意识和行业自律教育力度。“《安全规范》标准的制定将解决监管难题,有利于保障区块链行业的健康发展。”辛鸿锐认为,国家标准的制定《安全规范》将有助于研究区块链信息服务的安全风险,提出安全要求和检测评价办法,引导区块链信息服务提供者开展安全建设和安全评估,深入推进“互联网+信用”监管,运用区块链、大数据、人工智能等技术手段加强行业和个人信用信息的采集、共享和分析,为数字人民币的发展提供支持,同时促进云计算、物联网、区块链、5G、智能等新一代信息技术的融合升级信息系统。
