區塊鏈安全技術規范

㈢ 區塊鏈技術國家標准什麼時候完成

我國已著手建立區塊鏈國家標准，以從頂層設計推動區塊鏈標准體系建設，預計最快將於2019年底完成。

對此，北京華順信安科技有限公司創始人趙武也表示，區塊鏈雖然具備顛覆性的技術潛力，但我們必須認識到，區塊鏈仍處於初期，遠遠沒有達到可以顛覆世界的階段。

俞克群強調，自主可控的區塊鏈網路，意在技術上不能受制於人，同時也可以促進區塊鏈健康發展。安全是區塊鏈未來的生命，只有本身的安全才能使得區塊鏈技術落地。這就要求我們在區塊鏈技術發展的同時，必須並重發展其安全屬性，甚至是超前發展。

對此，李鳴也表示，標准中重要一塊是信息安全的標准，也可以看出安全對於區塊鏈技術的重要性。他同時指出，區塊鏈標準的制定不意味著會快速推進行業發展，而是給行業一定指引。此前，中國在國際知識產權和標准等方面吃過很多虧，在區塊鏈方面，中國目前已經形成了國際化區塊鏈方面的200多項專利，甚至已站在世界技術前列。因此，我們也需要牢牢把握住自己的話語權。

內容來源新華網

㈣ 區塊鏈發展中需要重視安全合規嗎

區塊鏈技術有天然的弱化和規避中心化監管的趨勢，但會促使虛擬權力的產生，同樣需要合規監管。騰訊安全領御區塊鏈特別重要，加強對區塊鏈技術應用的監管，保障鏈內的活動交易合法合規。。我的回答您還滿意嗎？滿意的話，請採納

㈤ 區塊鏈的安全法則

區塊鏈的安全法則，即第一法則：
存儲即所有
一個人的財產歸屬及安全性，從根本上來說取決於財產的存儲方式及定義權。在互聯網世界裡，海量的用戶數據存儲在平台方的伺服器上，所以，這些數據的所有權至今都是個迷，一如你我的社交ID歸誰，難有定論，但用戶數據資產卻推高了平台的市值，而作為用戶，並未享受到市值紅利。區塊鏈世界使得存儲介質和方式的變化，讓資產的所有權交付給了個體。
拓展資料
區塊鏈系統面臨的風險不僅來自外部實體的攻擊，也可能有來自內 部參與者的攻擊，以及組件的失效，如軟體故障。因此在實施之前，需 要制定風險模型，認清特殊的安全需求，以確保對風險和應對方案的准 確把握。
1. 區塊鏈技術特有的安全特性
● (1) 寫入數據的安全性
在共識機制的作用下，只有當全網大部分節點（或多個關鍵節點）都 同時認為這個記錄正確時，記錄的真實性才能得到全網認可，記錄數據才 允許被寫入區塊中。
● (2) 讀取數據的安全性
區塊鏈沒有固有的信息讀取安全限制，但可以在一定程度上控制信 息讀取，比如把區塊鏈上某些元素加密，之後把密鑰交給相關參與者。同時，復雜的共識協議確保系統中的任何人看到的賬本都是一樣的，這是防 止雙重支付的重要手段。
● (3) 分布式拒絕服務(DDOS)
攻擊抵抗 區塊鏈的分布式架構賦予其點對點、多冗餘特性，不存在單點失效的問題，因此其應對拒絕服務攻擊的方式比中心化系統要靈活得多。即使一個節點失效，其他節點不受影響，與失效節點連接的用戶無法連入系統， 除非有支持他們連入其他節點的機制。
2. 區塊鏈技術面臨的安全挑戰與應對策略
● (1) 網路公開不設防
對公有鏈網路而言，所有數據都在公網上傳輸，所有加入網路的節點 可以無障礙地連接其他節點和接受其他節點的連接，在網路層沒有做身份驗證以及其他防護。針對該類風險的應對策略是要求更高的私密性並謹慎控制網路連接。對安全性較高的行業，如金融行業，宜採用專線接入區塊鏈網路，對接入的連接進行身份驗證，排除未經授權的節點接入以免數據泄漏，並通過協議棧級別的防火牆安全防護，防止網路攻擊。
● (2) 隱私
公有鏈上交易數據全網可見，公眾可以跟蹤這些交易，任何人可以通過觀察區塊鏈得出關於某事的結論，不利於個人或機構的合法隱私保護。 針對該類風險的應對策略是：
第一，由認證機構代理用戶在區塊鏈上進行 交易，用戶資料和個人行為不進入區塊鏈。
第二，不採用全網廣播方式， 而是將交易數據的傳輸限制在正在進行相關交易的節點之間。
第三，對用 戶數據的訪問採用許可權控制，持有密鑰的訪問者才能解密和訪問數據。
第四，採用例如「零知識證明」等隱私保護演算法，規避隱私暴露。
● (3) 算力
使用工作量證明型的區塊鏈解決方案，都面臨51%算力攻擊問題。隨 著算力的逐漸集中，客觀上確實存在有掌握超過50%算力的組織出現的可 能，在不經改進的情況下，不排除逐漸演變成弱肉強食的叢林法則。針對 該類風險的應對策略是採用演算法和現實約束相結合的方式，例如用資產抵 押、法律和監管手段等進行聯合管控。

㈥ 如何檢測區塊鏈智能合約的風險等級高低

隨著上海城市數字化轉型腳步的加快，區塊鏈技術在政務、金融、物流、司法等眾多領域得到深入應用。在應用過程中，不僅催生了新的業務形態和商業模式，也產生了很多安全問題，因而安全監管顯得尤為重要。安全測評作為監管重要手段之一，成為很多區塊鏈研發廠商和應用企業的關注熱點。本文就大家關心的區塊鏈合規性安全測評談談我們做的一點探索和實踐。
一、區塊鏈技術測評
區塊鏈技術測評一般分為功能測試、性能測試和安全測評。
1、功能測試
功能測試是對底層區塊鏈系統支持的基礎功能的測試，目的是衡量底層區塊鏈系統的能力范圍。
區塊鏈功能測試主要依據GB/T 25000.10-2016《系統與軟體質量要求和評價（SQuaRE）第10部分：系統與軟體質量模型》、GB/T 25000.51-2016《系統與軟體質量要求和評價（SQuaRE）第51部分：就緒可用軟體產品（RUSP）的質量要求和測試細則》等標准，驗證被測軟體是否滿足相關測試標准要求。
區塊鏈功能測試具體包括組網方式和通信、數據存儲和傳輸、加密模塊可用性、共識功能和容錯、智能合約功能、系統管理穩定性、鏈穩定性、隱私保護、互操作能力、賬戶和交易類型、私鑰管理方案、審計管理等模塊。
2、性能測試
性能測試是為描述測試對象與性能相關的特徵並對其進行評價而實施和執行的一類測試，大多在項目驗收測評中，用來驗證既定的技術指標是否完成。
區塊鏈性能測試具體包括高並發壓力測試場景、尖峰沖擊測試場景、長時間穩定運行測試場景、查詢測試場景等模塊。
3、安全測評
區塊鏈安全測評主要是對賬戶數據、密碼學機制、共識機制、智能合約等進行安全測試和評價。
區塊鏈安全測評的主要依據是《DB31/T 1331-2021區塊鏈技術安全通用要求》。也可根據實際測試需求參考《JR/T 0193-2020區塊鏈技術金融應用評估規則》、《JR/T 0184—2020金融分布式賬本技術安全規范》等標准。
區塊鏈安全測評具體包括存儲、網路、計算、共識機制、密碼學機制、時序機制、個人信息保護、組網機制、智能合約、服務與訪問等內容。
二、區塊鏈合規性安全測評
區塊鏈合規性安全測評一般包括「區塊鏈信息服務安全評估」、 「網路安全等級保護測評」和「專項資金項目驗收測評」三類。
1、區塊鏈信息服務安全評估
區塊鏈信息服務安全評估主要依據國家互聯網信息辦公室2019年1月10日發布的《區塊鏈信息服務管理規定》（以下簡稱「《規定》」）和參考區塊鏈國家標准《區塊鏈信息服務安全規范（徵求意見稿）》進行。
《規定》旨在明確區塊鏈信息服務提供者的信息安全管理責任，規范和促進區塊鏈技術及相關服務的健康發展，規避區塊鏈信息服務安全風險，為區塊鏈信息服務的提供、使用、管理等提供有效的法律依據。《規定》第九條指出：區塊鏈信息服務提供者開發上線新產品、新應用、新功能的，應當按照有關規定報國家和省、自治區、直轄市互聯網信息辦公室進行安全評估。
《區塊鏈信息服務安全規范》是由中國科學院信息工程研究所牽頭，浙江大學、中國電子技術標准化研究院、上海市信息安全測評認證中心等單位共同參與編寫的一項建設和評估區塊鏈信息服務安全能力的國家標准。《區塊鏈信息服務安全規范》規定了聯盟鏈和私有鏈的區塊鏈信息服務提供者應滿足的安全要求，包括安全技術要求和安全保障要求以及相應的測試評估方法，適用於指導區塊鏈信息服務安全評估和區塊鏈信息服務安全建設。標准提出的安全技術要求、保障要求框架如下：
圖1 區塊鏈信息服務安全要求模型
2、網路安全等級保護測評
網路安全等級保護測評的主要依據包括《GB/T 22239-2019網路安全等級保護基本要求》、《GB/T 28448-2019網路安全等級保護測評要求》。
區塊鏈作為一種新興信息技術，構建的應用系統同樣屬於等級保護對象，需要按照規定開展等級保護測評。等級保護安全測評通用要求適用於評估區塊鏈的基礎設施部分，但目前並沒有提出區塊鏈特有的安全要求。因此，區塊鏈安全測評擴展要求還有待進一步探索和研究。
3、專項資金項目驗收測評
根據市經信委有關規定，信息化專項資金項目在項目驗收時需出具安全測評報告。區塊鏈應用項目的驗收測評將依據上海市最新發布的區塊鏈地方標准《DB31/T 1331-2021 區塊鏈技術安全通用要求》開展。
三、區塊鏈安全測評探索與實踐
1、標准編制
上海測評中心積極參與區塊鏈標准編制工作。由上海測評中心牽頭，蘇州同濟區塊鏈研究院有限公司、上海七印信息科技有限公司、上海墨珩網路科技有限公司、電信科學技術第一研究所等單位參加編寫的區塊鏈地方標准《DB31/T 1331-2021 區塊鏈技術安全通用要求》已於2021年12月正式發布，今年3月1日起正式實施。上海測評中心參與編寫的區塊鏈國標《區塊鏈信息服務安全規范》正處於徵求意見階段。
同時，測評中心還參與編寫了國家人力資源和社會保障部組織，同濟大學牽頭編寫的區塊鏈工程技術人員初級和中級教材，負責編制「測試區塊鏈系統」章節內容。
2、項目實踐
近年來，上海測評中心依據相關技術標准進行了大量的區塊鏈安全測評實踐，包括等級保護測評、信息服務安全評估、項目安全測評等。在測評實踐中，發現的主要安全問題如下：
表1 區塊鏈主要是安全問題
序號
測評項
問題描述
1
共識演算法
共識演算法採用Kafka或Raft共識，不支持拜占庭容錯，不支持容忍節點惡意行為。
2
上鏈數據
上鏈敏感信息未進行加密處理，通過查詢介面或區塊鏈瀏覽器可訪問鏈上所有數據。
3
密碼演算法
密碼演算法中使用的隨機數不符合GB/T 32915-2016對隨機性的要求。
4
節點防護
對於聯盟鏈，未能對節點伺服器所在區域配置安全防護措施。
5
通信傳輸
節點間通信、區塊鏈與上層應用之間通信時，未建立安全的信息傳輸通道。
6
共識演算法
系統部署節點數量較少，有時甚至沒有達到共識演算法要求的容錯數量。
7
智能合約
未對智能合約的運行進行監測，無法及時發現、處置智能合約運行過程中出現的問題。
8
服務與訪問
上層應用存在未授權、越權等訪問控制缺陷，導致業務錯亂、數據泄露。
9
智能合約
智能合約編碼不規范，當智能合約出現錯誤時，不提供智能合約凍結功能。
10
智能合約
智能合約的運行環境沒有與外部隔離，存在外部攻擊的風險。
3、工具應用
測評中心在組織編制《DB31/T 1331-2021 區塊鏈技術安全通用要求》時，已考慮與等級保護測評的銜接需求。DB31/T 1331中的「基礎設施層」安全與等級保護的安全物理環境、安全通信網路、安全區域邊界、安全計算環境、安全管理中心等相關要求保持一致，「協議層安全」、「擴展層安全」則更多體現區塊鏈特有的安全保護要求。
測評中心依據DB31/T 1331相關安全要求，正在組織編寫區塊鏈測評擴展要求，相關成果將應用於網路安全等級保護測評工具——測評能手。屆時，使用「測評能手」軟體的測評機構就能准確、規范、高效地開展區塊鏈安全測評，發現區塊鏈安全風險，並提出對應的整改建議

㈦ 區塊鏈安全性主要通過什麼來保證

區塊鏈技術是一種分布式記錄技術，它通過對數據進行加密和分布式存儲，來保證數據的安全性和可靠性。
主要通過以下幾種方式來保證區塊鏈的安全性：
1.加密技術：區塊鏈採用的是對稱加密和非對稱加密演算法，可以有效保護數據的安全。
2.分布式存儲：區塊鏈的數據不是集中存儲在單一節點上，而是分散存儲在網路中的各個節點上，這有效防止了數據的篡改和丟失。
3.共識機制：區塊鏈通常採用共識機制來確認交易的合法性，這有助於防止惡意交易的發生。
4.合約機制：區塊鏈可以通過智能合約來自動執行交易，這有助於防止操縱交易的發生。
區塊鏈技術在實現安全性的同時，也帶來了一些挑戰。例如，區塊鏈的安全性可能受到漏洞的攻擊，或者因為私鑰泄露而導致資產被盜。因此，在使用區塊鏈技術時，還需要注意身份認證、密碼安全等方面的問題，以確保區塊鏈的安全性。
此外，區塊鏈技術的安全性也可能受到政策、法規等方面的影響。例如，在某些國家和地區，區塊鏈技術可能會受到審查和限制，這也可能會對區塊鏈的安全性產生影響。
總的來說，區塊鏈技術的安全性主要通過加密技術、分布式存儲、共識機制和合約機制等方式來保證，但是還需要注意其他方面的挑戰和影響因素。

㈧ 區塊鏈如何提高安全性和數據共享

針對現有區塊鏈技術的安全特性和缺點，需要圍繞物理、數據、應用系統、加密、風控等方面構建安全體系，整體提升區塊鏈系統的安全性能。
1、物理安全
運行區塊鏈系統的網路和主機應處於受保護的環境，其保護措施根據具體業務的監管要求不同，可採用不限於VPN專網、防火牆、物理隔離等方法，對物理網路和主機進行保護。
2、數據安全
區塊鏈的節點和節點之間的數據交換，原則上不應明文傳輸，例如可採用非對稱加密協商密鑰，用對稱加密演算法進行數據的加密和解密。數據提供方也應嚴格評估數據的敏感程度、安全級別，決定數據是否發送到區塊鏈，是否進行數據脫敏，並採用嚴格的訪問許可權控制措施。
3、應用系統安全
應用系統的安全需要從身份認證、許可權體系、交易規則、防欺詐策
略等方面著手，參與應用運行的相關人員、交易節點、交易數據應事前受控、事後可審計。以金融區塊鏈為例，可採用容錯能力更強、抗欺詐性和性能更高的共識演算法，避免部分節點聯合造假。
4、密鑰安全
對區塊鏈節點之間的通信數據加密，以及對區塊鏈節點上存儲數據加密的密鑰，不應明文存在同一個節點上，應通過加密機將私鑰妥善保存。在密鑰遺失或泄漏時，系統可識別原密鑰的相關記錄，如帳號控制、通信加密、數據存儲加密等，並實施響應措施使原密鑰失效。密鑰還應進行嚴格的生命周期管理，不應為永久有效，到達一定的時間周期後需進行更換。
5、風控機制
對系統的網路層、主機操作、應用系統的數據訪問、交易頻度等維度，應有周密的檢測措施，對任何可疑的操作，應進行告警、記錄、核查，如發現非法操作，應進行損失評估，在技術和業務層面進行補救，加固安全措施，並追查非法操作的來源，杜絕再次攻擊。

文章來源：中國區塊鏈技術和應用發展白皮書