360區塊鏈安全態勢感知系統6
Ⅰ 智慧消防指的是什麼
智慧消防就是智能消防系統是將GPS(全球衛星定位系統)、GIS(地理信息系統)、GSM(無線移動通信系統)和計算機、網路等現代高新技術集於一體的智能消防無線報警網路服務系統。
它成功地解決了電信、建築、供電、交通等公共設施建設協調發展的問題;
由於消防指揮中心與用戶單位聯網,改變了過去傳統、落後和被動的報警、接警、處警方式,實現了報警自動化、接警智能化、處警預案化、管理網路化、服務專業化、科技現代化,大大減少了中間環節,極大地提高了出警速度,真正做到了方便、快捷、安全、可靠,使人民生命、財產的安全以及警員生命的安全得到最大限度的保護。
實現智能消防依賴GPS、GSM和GIS三種現代高新技術。
建設單位規范自身的投資行為 建設單位在發包消防工程時。應考慮智能消防系統的整體性。不應分割發包給幾個設計和施工單位,更不應因自身利益驅使,明示或暗示設計、監理、施工單位違反消防法規和相應標准,制定不合理的目標。要遵循建設程序,規范投資行為,端正指導思想,防微杜漸
Ⅱ 區塊鏈的六層模型是什麼
區塊鏈總共有六個層級結構,這六個層級結構自下而上是:數據層、網路層、共識層、激勵層、合約層、應用層。
一、數據層
數據層是區塊鏈六個層級結構裡面的最底層。數據層我們可以理解成資料庫,只不過對於區塊鏈來講,這個資料庫是不可篡改的、分布式的資料庫,也就是我們所謂的「分布式賬本」。
在數據層上,也就是在這個「分布式賬本」上,存放著區塊鏈上的數據信息,封裝著區塊的塊鏈式結構、非對稱加密技術、哈希演算法等技術手段,來保證數據在全網公開的情況下的安全性問題。具體的做法是:
在區塊鏈網路上,節點採用共識演算法來維持數據層(也就是這個分布式資料庫)的數據的一致性,採用密碼學中的非對稱加密和哈希演算法,來確保這個分布式資料庫的不可篡改和可追溯。
這就構成了區塊鏈技術中最底層的數據結構。但是,光有分布式資料庫還不夠,還需要讓資料庫裡面的數據信息可以共享交流,下面我們介紹數據層的上一層——網路層。
二、網路層
區塊鏈的網路系統,本質上是一個P2P(點對點)網路,點對點意味著不需要一個中間環節或者中心化伺服器來操控這個系統,網路中的所有資源和服務都是分配在各個節點手中的,信息的傳輸也是兩個節點之間直接往來就可以了。不過,需要注意的是,P2P
(點對點)並不是中本聰發明的,區塊鏈只是融合了這一技術而已。
所以,區塊鏈的網路層實際上就是一個特別強大的點對點網路系統。在這個系統上,每一個節點既可以生產信息,也可以接收信息,就好比發郵件,你既可以編寫自己的郵件,也可以收到別人給你發送的郵件。
在區塊鏈網路上,節點之間需要共同維護這條區塊鏈系統,每當一個節點創造出新的區塊後,他需要以廣播的形式通知其他節點,其他節點收到信息後對該區塊進行驗證,然後在該區塊的基礎上去創建新的區塊。這樣一來,全網便可以共同維護更新區塊鏈系統這個總賬本了。
但是,全網要依據什麼規則來維護更新區塊鏈系統這個總賬本呢,這就涉及到了所謂的「法律法規」(規則),也就是我們接下來要介紹的:共識層。
三、共識層
在區塊鏈的世界裡,共識,簡單來講就是全網要依據一個統一的、大家一致同意的規則來維護更新區塊鏈系統這個總賬本,類似於更新數據的規則。讓高度分散的節點在去中心化的區塊鏈網路中高效達成共識,是區塊鏈的核心技術之一,也是區塊鏈社區的治理機制。
目前主流的共識機制演算法有:比特幣的工作量證明(POW)、以太坊的權益證明
(POS)、EOS的委託權益證明(DPOS)等等。
我們現在介紹了數據層、網路層、共識層,這三層保證了區塊鏈上有數據、有網路,有在網路上更新數據的規則,但是天下沒有免費的午餐,如何讓節點們能夠積極踴躍地參與區塊鏈系統維護呢,這里就涉及到了激勵,也就是我們下面要介紹的:激勵層。
四、激勵層
激勵層就是所謂的挖礦機制,挖礦機制其實可以理解成激勵機制:你為區塊鏈系統做了多少貢獻,你就可以得到多少獎勵。用這種激勵機制,能夠鼓勵全網節點參與區塊鏈上的數據記錄與維護工作。
挖礦機制和共識機制其實是一個道理,共識機制我們可以理解為公司的總規章制度,而挖礦機制可以理解成,在這個總的規章制度之中,你做好了什麼能夠得到什麼獎勵,這種獎勵規則。
就好比比特幣的共識機制PoW,它的規定是多勞多得,誰能夠第一個找到正確哈希值誰就可以得到一定數量的比特幣獎勵;
而以太坊的PoS則規定了誰持幣年齡越久,誰能得到獎勵的概率就越大。
需要注意的是,激勵層一般只有公有鏈才具備,因為公有鏈必須依賴全網節點共同維護數據,所以必須有一套這樣的激勵機制,才能激勵全網節點參與區塊鏈系統的建設維護,進而保證區塊鏈系統的安全性和可靠性。
區塊鏈安全可靠了,還不夠智能對不對,下面我們將要介紹的合約層,可以讓區塊鏈系統變得更加智能。
五.合約層
合約層主要包括各種腳本、代碼、演算法機制及智能合約,是區塊鏈可編程的基礎。我們說的「智能合約」便屬於合約層這個層級上。
如果說比特幣系統不夠智能,那麼以太坊提出的「智能合約」則能夠滿足許多應用場景。合約層的原理主要是將代碼嵌入到區塊鏈系統上,用這種方式來實現能夠自定義的智能合約。這樣一來,在區塊鏈系統上,一旦觸發了智能合約的條款,系統就能夠自動執行命令。
六、應用層
最後就是應用層。應用層很簡單,顧名思義,就是區塊鏈的各種應用場景和案例,我們現在說的「區塊鏈+」就是所謂的應用層。目前已經落地的區塊鏈應用主要是搭建在
ETH、EOS等公鏈上的各類區塊鏈應用,博彩、游戲類的應用比較多,真正實用的應用還沒有出現。
Ⅲ 2021年CCF科學技術獎:清華大學獲自然科學一等獎
清華大學牛,榮獲中國計算機學會2021年度CCF科學技術獎自然科學一等獎! 以下為中國計算機學會公布的2021年度「CCF科學技術獎」全部獲獎項目名單。
1、大規模異構計算系統並行編程模型與優化理論
完成單位:清華大學
2、高精度智能化的軟體分析與測試方法
完成單位:中國科學院軟體研究所、中國人民大學
3、基於圖的網路性能優化理論與方法
完成單位:上海交通大學
1、安卓操作系統安全防護的理論與方法
完成單位:復旦大學
2、面向高維數據的集成學習演算法
完成單位:華南理工大學
3、復雜軟體系統的網路化解析與優化理論及方法
完成單位:武漢大學
4、開放系統量子計算理論及新型量子計算原理
完成單位:中國科學院數學與系統科學研究院
5、基因組組裝與模式挖掘的基礎理論與演算法
完成單位:中南大學
1、大規模智能雲網路關鍵技術及平台
完成單位:阿里雲計算有限公司、浙江大學、上海交通大學
2、面向工業領域的軟體形式化建模與自動化測試關鍵技術及工具國產化應用
完成單位:華東師范大學、上海工業控制安全創新 科技 有限公司、卡斯柯信號有限公司、工業和信息化部電子第五研究所
3、專用處理器晶元自動設計技術與應用
完成單位:中國科學院計算技術研究所、中科馭數 科技 有限公司、中科物棲 科技 有限公司
1、數據自治開放技術
完成單位:復旦大學
2、多源異構大數據智能挖掘與性能優化
完成單位:湖南大學、中國人民解放軍國防 科技 大學、哈爾濱工業大學(深圳)
3、水滴形柔性屏技術及可折疊產品
完成單位:聯想研究院
1、螞蟻反欺詐智能風險感知與響應系統關鍵技術和應用
完成單位:螞蟻集團
2、AtlasGraph大規模圖數據分析平台
完成單位:北京海致星圖 科技 有限公司、清華大學、北京海致 科技 集團有限公司
3、虛擬存儲環境關鍵技術與應用
完成單位:中國人民解放軍國防 科技 大學、廈門大學、國家超級計算天津中心
1、全浸沒液冷雲計算數據中心技術創新及產業化
完成單位:阿里雲計算有限公司
2、基於雲架構的能源監測與分析平台的研製及產業化
完成單位:福州大學、國網信通億力 科技 有限責任公司
3、智能城市操作系統
完成單位:京東城市(北京)數字 科技 有限公司
4、物聯網低代碼開發平台及應用
完成單位:浙江大學、阿里雲計算有限公司
5、ZoomAI——基於人工智慧的視頻修復及增強系統
完成單位:北京愛奇藝 科技 有限公司
6、智能化手術系統的關鍵技術及產業化應用
完成單位:中國石油大學(華東)、青島海信醫療設備股份有限公司、大連東軟教育 科技 集團
1、基於網路空間的態勢感知與防禦雲安全平台
完成單位:杭州安恆信息技術股份有限公司
2、面向智能生產決策的求解引擎及應用
完成單位:聯想研究院
3、基於可信執行環境的區塊鏈數據隱私保護技術
完成單位:螞蟻區塊鏈(上海) 科技 有限公司
4、醫學影像智能分割關鍵技術與應用
完成單位:浙江大學
Ⅳ 2023年稅務三大新體系
日前,省委辦公廳、省政府辦公廳印發《關於進一步深化稅收征管改革的實施方案》,並發出通知,要求各地各部門結合實際認真貫徹落實。實施方案全文如下。
為貫徹落實中央辦公廳、國務院辦公廳印發的《關於進一步深化稅收征管改革的意見》精神,更好發揮稅收在國家治理中的基礎性、支持性、保障性作用,助力河北經濟社會高質量發展,現結合實際制定本實施方案。
一、工作目標
到2022年,在稅務執法規范性、稅費服務便捷性、稅務監管精準性上取得重要進展。到2023年,基本建成稅務執法、稅費服務、稅務監管三大新體系。到2025年,深化稅收征管制度改革取得顯著成效,稅收治理體系和治理能力現代化水平顯著提升。
二、主要任務
(一)全面推進稅收征管數字化升級和智能化改造
1.積極推進智慧稅務建設。將智慧稅務融入「數字河北」和「新型智慧城市」規劃,構建河北特色智慧稅務品牌和體系。建立稅務部門與相關部門涉稅涉費數據常態化共享、交換和匯聚聯通機制,推進線上線下數據有機貫通。拓展「冀時辦」平台涉稅涉費服務功能,促進多部門業務聯辦。2022年基本實現法人稅費信息「一戶式」、自然人稅費信息「一人式」智能歸集,2023年基本實現稅務機關信息「一局式」、稅務人員信息「一員式」智能歸集。2025年依託智慧稅務,實現稅務執法、服務、監管與大數據智能化應用深度融合、高效聯動、全面升級。
2.落實發票電子化改革任務。2021年上線全國統一的電子發票服務平台,24小時在線免費為納稅人提供電子發票服務。推進鐵路、民航等領域發票電子化,2025年基本實現發票全領域、全環節、全要素電子化,著力降低制度性交易成本。
3.有序有力推進數據共享。依託「河北省一體化政務服務平台」,2025年年底前建成稅務部門與相關部門數據共享協調機制。依法規范稅費數據共享和涉稅涉費信息提供,打造規模大、類型多、顆粒度細的稅收大數據。完善稅收大數據安全管理制度,建立常態化工作機制。加強安全態勢感知平台建設和網路安全平台應用,落實常態化數據安全風險評估和檢查機制,健全數據安全監測預警和應急處置機制。
4.深化大數據和新技術應用。做好稅務統計標准與國家統計標准有效銜接,完善指標,打造稅收分析拳頭產品,服務政府決策。探索區塊鏈技術在稅收工作中的應用。推動住房建設、自然資源部門信息實時共享,實現不動產登記「一窗受理、並行辦理」和網上(掌上)辦稅。
(二)進一步優化稅務執法方式
5.嚴格稅收管理許可權。堅決維護稅法權威,落實稅收法定原則,規范稅收政策管理,保障征納雙方合法權益。
6.維護稅費徵收秩序。堅持依法依規征稅收費,堅決防止落實稅費優惠政策不到位、徵收「過頭稅費」及對稅收工作進行不當行政干預等行為。加強對稅收徵收管理工作的組織領導,支持稅務部門依法組織財政收入。動態把握經濟稅源,把依法和科學貫穿組織收入工作始終,將組織收入和稅費優惠政策落實納入執法督查重點統籌安排。
7.健全地方稅費法規政策。穩步落實健全地方稅費體系工作,配套做好涉稅涉費地方性法規和政策措施的立改廢釋工作。適時修訂《河北省稅收征管保障辦法》,推動其上升為地方性法規。做好非稅收入管理法制化建設。
8.嚴格規范稅務執法行為。進一步落實稅務行政執法「三項制度」,2023年基本建成稅務執法質量智能控制體系。規范稅務行政處罰裁量權行使,推進京津冀統一稅務行政處罰裁量基準,服務京津冀協同發展戰略。
9.不斷提升稅務執法精確度。推廣「說服教育」、「約談警示」等非強制性執法方式,在稅務稽查中開展「說理式執法」。運用稅收大數據精準篩選中高風險納稅人,以「信用+風險」為基礎實施精準執法,防止粗放式、選擇性、「一刀切」執法。准確把握涉稅違法與犯罪界限,做到罰當其責。在稅務執法領域推廣「首違不罰」清單。完善平台經濟稅收征管服務措施,以問題為導向完善稅務執法。
10.推進稅務執法區域協同。推進區域間稅務執法標准統一,深化京津冀執法信息互通和結果互認。簡化涉稅涉費事項跨省遷移程序,落實全國通辦事項清單,2022年基本實現資質異地共認,2025年基本實現全國通辦。
11.加強稅務執法內部控制和監督。升級內部控制監督平台,優化稅務執法內控監督體系,2022年基本構建起全面覆蓋、全程防控、全員有責的稅務執法風險信息化內控監督體系。稅務部門主動開展政策落實、風險應對和執法專項督察,積極配合審計部門對稅務執法行為的監督。制定「一案雙查」問題線索移交標准,規范稅務稽查、督察審計等部門問題線索移交工作。
12.提升稅收服務重大發展戰略水平。圍繞京津冀協同發展、雄安新區建設發展和北京冬奧會籌辦等國家重大戰略和國家大事,創新稅收執法、服務、監管、共治措施。與京津加強協作,優化京津冀協同發展稅收便利化舉措,發揮京津冀協同發展促進作用;推動改革措施在雄安新區先行先試,打造先進的征管服務體系;完善服務和管理措施,在冬奧項目建設、冰雪產業發展等方面發揮稅收作用。
(三)提供高效智能稅費服務
13.實現稅費優惠政策直達快享。依託稅收大數據雲平台,主動甄別符合享受優惠政策條件的納稅人繳費人,2022年實現通過電子稅務局向納稅人繳費人精準推送稅費政策,促進稅費優惠政策落地,實現優惠政策直達快享。進一步簡化稅費優惠政策申報享受程序,持續擴大「自行判別、自行申報、事後監管」范圍,確保便利操作、快速享受、有效監管。
14.大幅減輕辦稅繳費負擔。利用已採集和共享數據,減少納稅人繳費人重復報送。全面推行稅務證明事項告知承諾制,落實容缺辦理事項配套制度,持續擴大涉稅資料由事前報送改為留存備查的范圍。
15.全面改進辦稅繳費方式。2021年年底前基本實現企業稅費事項能網上辦理、個人稅費事項掌上辦理,拓展「非接觸式」、「不見面」辦稅繳費服務。推進電子化、要素化申報模式,2022年年底前探索個人所得稅經營所得年度匯算和部分優惠政策自動預填申報。2022年實現增值稅、消費稅及附加稅費,2023年年底前實現企業所得稅、契稅等稅費的自動提取數據、計算稅額和預填申報。
16.進一步壓減納稅繳費次數和時間。依法簡並部分稅種征期,實現增值稅、消費稅主附稅合並申報,大力推進稅(費)種綜合申報。加快企業出口退稅事項全環節辦理速度,2021年年底正常出口退稅平均辦理時間壓縮至7個工作日內,2022年年底前正常退稅平均辦理時間壓縮至6個工作日內,高信用級別企業進一步壓縮時限。
17.積極推進智能型個性服務。改造12366稅費服務平台,2022年基本實現全國咨詢「一線通答」。建設遠程問辦中心,實現「遠程幫辦、問辦結合」服務模式。運用大數據智能分析納稅人繳費人實際體驗和個性需求,精準提供線上服務。優化設置現金稅費徵收窗口等線下服務,滿足特殊人員、特殊事項服務需求。
18.完善納稅人繳費人合法權益保護機制。完善納稅人繳費人權利救濟和稅費爭議解決機制,探索建立納稅人繳費人訴求有效收集、快速響應和及時反饋機制。做好納稅人繳費人信息管理和保護,依法嚴厲打擊個人信息泄露和濫用行為。嚴格監督檢查,依法嚴肅追究相關部門和人員疏於監管造成納稅人繳費人重大損失責任。
(四)精準有效實施稅務監管
19.大力推行以「信用+風險」為基礎的監管方式。全面推行實名辦稅繳費,將納稅信用融入河北社會信用體系,規范、完善守信激勵、失信懲戒措施和辦法,發揮納稅信用在「誠信河北」中的作用。推進京津冀納稅信用評價信息共享,結果跨省(市)查詢和納稅信用激勵。落實信用評價制度,對納稅繳費信用高的市場主體給予更多便利。推廣動態「信用+風險」監管方式,健全以信用評價、監控預警、風險應對為核心的新型稅收監管機制,逐步健全以「數據集成+優質服務+提醒糾錯+依法查處」為主要內容的自然人稅費服務與監管體系,完善高收入高凈值人員的稅費服務與監管機制。
20.加強重點領域風險防控和監管。推進風險分析結果分類處理,將高風險納稅人作為隨機選案的主要對象。對逃避稅問題多發的行業、地區和人群,根據風險適當提高「雙隨機、一公開」抽查比例,推進跨部門聯合抽查。加強預防性制度建設,加大對隱瞞收入、虛列成本、轉移利潤以及利用「稅收窪地」、「陰陽合同」和關聯交易等逃避稅行為的監督檢查力度。
21.依法嚴厲打擊涉稅違法犯罪行為。實現發票開具、使用的全環節即時驗證和監控,促進對涉稅違法犯罪行為由事後打擊向事前事中精準防範轉變。健全涉稅違法查處體系,推動建立常態化、制度化多部門合作機制。依託「互聯網+監管」系統,打擊「假企業」虛開發票、「假出口」騙取退稅、「假申報」騙取優惠等違法犯罪行為。依法從嚴查處曝光重大涉稅違法犯罪案件,將信用記錄共享至全國信用信息平台,實施聯合懲戒。
(五)深化拓展稅收共治格局
22.持續加強部門協作。推動電子發票無紙化報銷、入賬、歸檔、存儲。開展「銀稅互動」,助力緩解小微企業融資難融資貴問題。完善稅務部門與自然資源、住房城鄉建設、生態環境、市場監管等部門協作、信息共享和聯動執法,做好地方稅徵收管理和跨部門協同監管,提升協作征管水平。
23.持續加強社會協同。引導行業協會和中介機構發揮作用,支持第三方按市場化原則為納稅人繳費人提供個性化服務。做好涉稅中介機構監管、信用評級和復核,強化守信激勵和失信懲戒。落實涉稅專業服務信息公告和推送制度,拓寬渠道,便利納稅人繳費人自主選擇。落實普法責任制,深化青少年稅收法治教育,營造誠信納稅氛圍。
24.持續加強稅收司法保障。落實稅務部門和公安機關聯合辦案機制,搭建稅警協作信息平台,實現稅務、公安部門內案件信息聯通。依託「河北省打擊涉稅違法犯罪數據化合成作戰指揮中心」,推動稅警合署辦公。稅務部門主動配合檢察機關查找不依法履行稅務監管職責的行為。審判機關要落實案例指導工作有關規定,加強涉稅涉費司法案例指導工作。
(六)切實強化稅務組織保障
25.提升資源配置效率。完善納稅人繳費人分級分類管理,優化業務流程和崗責體系,適當上移全局性、復雜性稅費服務和管理職責。科學配置人力資源,調優配強風險管理、稅費分析、大數據應用、稅務稽查等領域力量。
26.提升幹部能力素養。推進稅務幹部與地方幹部的交流,推進稅務部門素質提升「1115」工程和「3613」人才培養計劃。開展稅收專業化能力培訓,推動教育培訓數字化轉型。
27.提升績效考核評價。推動績效管理滲入業務流程、融入崗責體系、嵌入信息系統,提升自動化考評水平。完善稅務系統個人績效考評辦法,優化結果運用。
三、組織實施
(一)健全推進機制,明確部門職責
各級黨委和政府要建立聯席會議制度,健全統籌協調機制,在依法依規征稅收費、落實減稅降費、推進稅收共治、強化司法保障、深化信息共享、加強稅法普及、強化經費保障等方面提供支持。省稅務局要加強組織協調,牽頭抓好貫徹落實。各部門要按照職責分工,抓好各項改革措施的落實。
(二)加強跟蹤問效,嚴格督導考核
在稅務領域深入推行「好差評」制度,建立健全定期監督檢查和評估總結機制,促進改革目標落到實處。完善正負向激勵機制,健全容錯糾錯機制,堅持做到「三個區分開來」,積極調動和激發各方積極性主動性創造性。
(三)加強宣傳引導,營造良好氛圍
各有關單位要積極配合稅務部門做好改革宣傳和解讀工作,利用各類各級媒體和平台宣傳改革部署、工作進展和取得成效。及時回應社會關切,正確引導社會預期,為改革營造良好社會環境和輿論氛圍。
Ⅳ 公有鏈的安全主要由什麼等方式負責維護
公有鏈:是指全世界任何人都可以隨時進入到系統中讀取數據、發送可確認交易、競爭記賬的區塊鏈。例如:比特幣、以太坊。
私有鏈:是指其寫入許可權由某個組織和機構控制的區塊鏈,參與節點的資格會被嚴格限制。
聯盟鏈:是指有若干個機構共同參與管理的區塊鏈,每個機構都運行著一個或多個節點,其中的數據只允許系統內不同的機構進行讀寫和發送交易,並且共同來記錄交易數據。
聯盟鏈是一種將區塊鏈技術應用於企業的相對較新的方式。公有鏈向所有人都開放,而私有鏈通常只為一個企業提供服務,聯盟鏈相對公鏈來說有更多限制,通常為多個企業之間的共同協作提供服務。
聯盟鏈與公有鏈的不同之處在於,它是需要獲得事先許可的。因此並不是所有擁有互聯網連接的任何人都可以訪問聯盟區塊鏈的。聯盟鏈也可以描述為半去中心化的,對聯盟鏈的控制權不授予單個實體,而是多個組織或個人。
對於聯盟鏈,共識過程可能與公有鏈不同。聯盟鏈的共識參與者可能是網路上的一組預先批準的節點,而不是任何人都可以參與該過程。聯盟鏈允許對網路進行更大程度的控制。
那說到聯盟鏈的優點:
首先,聯盟鏈受一個特定群體的完全控制,但並不是壟斷。當每個成員都同意時,這種控制可以建立自己的規則。
其次,具有更大的隱私性,因為來驗證區塊的信息不會向公眾公開,只有聯盟成員可以進行處理這些信息。它為平台客戶創造了更大的信任度和信心。
最後,與公共區塊鏈相比,聯盟鏈沒有交易費用,更靈活一些。公共區塊鏈中大量的驗證器導致同步和相互協議的麻煩。通常這種分歧會導致分叉,但聯盟鏈不會出現這種狀況。
聯盟鏈技術可以用來優化大多數傳統信息化系統的業務流程,特別適用於沒有強力中心、多方協作、風險可控的業務場景。聯盟鏈的共享賬本機制可以極大降低該類場景下的對賬成本、提高數據獲取效率、增加容錯能力、鞏固信任基礎、以及避免惡意造假。
隨著區塊鏈技術的不斷發展,越來越多的機構與企業開始加大對區塊鏈的研究與應用。相比公鏈而言,聯盟鏈具有更好的落地性,受到了許多企業與政府的支持。
聯盟鏈可以理解為是為了滿足特定行業需求,內部機構建立起來的一種分布式賬本。這個賬本對內部機構是公開透明的,但如果有相關業務需求,對該賬本的數據進行修改,則還是是需要智能合約的加入。
智能合約(Smart contract )是一種旨在以信息化方式傳播、驗證或執行合同的計算機協議。智能合約允許在沒有第三方的情況下進行可信交易,這些交易可追蹤且不可逆轉。
總體來說,目前聯盟鏈智能合約的主流架構是:系統合約 + 業務合約。
系統合約:在節點啟動前配置完成,一般用於系統管理(如BCOS的預編譯合約(許可權管理、命名管理等),由項目方編寫,安全性較高。
業務合約:根據實際業務編寫而成,需要部署,類似公鏈智能合約,由一般內部機構參與方編寫,需遵守一定的要求,安全性一般。
聯盟鏈合約相較於常規公鏈在規范性、和安全性都有一定的提升,但在以下幾個方面的安全性問題,仍可能存在安全風險:
(1)、代碼語言安全特性
一種是繼續沿用主流公鏈編程語言,並在其基礎上改進(如:BCOS使用的solidity),另一種則是以通用編程語言為基礎,指定對應的智能合約模塊(如:fabric的Go/Java/Node.js),不管使用什麼語言對智能合約進行編程,都存在其對應的語言以及相關合約標準的安全性問題。
(2)、合約執行所帶來的安全性問題
整型溢出:不管使用的何種虛擬機執行合約,各類整數類型都存在對應的存儲寬度,當試圖保存超過該范圍的數據時,有符號數就會發生整數溢出。
堆棧溢出:當定義方法參數和局部變數過多,位元組過大,可能使程序出現錯誤。
拒絕服務攻擊:主要涉及到的是執行合約需要消耗資源的聯盟鏈,因資源耗盡而無法完成對應的交易。
(3)、系統機制導致的合約安全問題
這里主要是指多鏈架構的聯盟鏈:
合約變數的生成如果依賴於不確定因素(如:本節點時間戳)或者某個未在賬本中持久化的變數,那麼可能會因為各節點該變數的讀寫集不一樣,導致交易驗證不通過。
全局變數不會保存在資料庫中,而是存儲於單個節點。因此,如果此類節點發生故障或重啟時,可能會導致該全局變數值不再與其他節點保持一致,影響節點交易。因此,從資料庫讀取、寫入或從合約返回的數據不應依賴於全局狀態變數。
在多鏈結構下進行外部鏈的合約調用時,可能僅會得到被調用鏈碼函數的返回結果,而不會在外部通道進行任何形式的交易提交。
合約訪問外部資源時,可能會暴露合約未預期的安全隱患,影響鏈碼業務邏輯。
(4)、業務安全問題
聯盟鏈的智能合約是為了完成某項業務需求執行某項業務,因此在業務邏輯和業務實現上仍是可能存在安全風險的,如:函數許可權失配、輸入參數不合理、異常處理不到位。
我們對聯盟鏈安全的建議:
(1)、簡化智能合約的設計,做到功能與安全的平衡
(2)、嚴格執行智能合約代碼審計(自評/項目組review/三方審計)
(3)、強化對智能合約開發者的安全培訓
(4)、在區塊鏈應用落地上,需要逐步推進,從簡單到復雜,在此過程中不斷梳理合約與平台相關功能/安全屬性
(5)、考慮DevSecOps(Development+Security+Operations)的思想
鏈平台安全包括:交易安全、共識安全、賬戶安全、合規性、RPC安全、端點安全、P2P安全等。
黑客攻擊聯盟鏈的手法包括:內部威脅、DNS攻擊、MSP攻擊、51%的攻擊等。
以MSP攻擊為例:MSP是Fabric聯盟鏈中的成員服務提供商(Membership Service Provider)的簡稱,是一個提供抽象化成員操作框架的組件,MSP將頒發與校驗證書,以及用戶認證背後的所有密碼學機制與協議都抽象了出來。一個MSP可以自己定義身份,以及身份的管理(身份驗證)與認證(生成與驗證簽名)規則。
針對MSP的攻擊,一般來說,可能存在如下幾個方面:
(1)、內部威脅:a)當前版本的MSP允許單個證書控制,也就是說,如果某個內部人員持有了可以管理MSP的證書,他將可以對Fabric網路進行配置,比如添加或撤消訪問許可權,向CRL添加身份(本質上是列入黑名單的身份),過於中心化的管理可能導致安全隱患。 b)如果有感測器等物聯網設備接入聯盟鏈,其可能傳播虛假信息到鏈上,並且因為感測器自身可能不支持完善的安全防護,可能導致進一步的攻擊。
(2)、私鑰泄露,節點或者感測器的證書文件一般存儲在本地,可能導致私鑰泄漏,進而導致女巫攻擊、雲中間人攻擊(Man-in-the-Cloud attack)等
(3)、DNS攻擊:當創建新參與者的身份並將其添加到MSP時,在任何情況下都可能發生DNS攻擊。向區塊鏈成員創建證書的過程在許多地方都可能發生攻擊,例如中間人攻擊,緩存中毒,DDOS。攻擊者可以將簡單的DNS查詢轉換為更大的有效載荷,從而引起DDoS攻擊。與CA攻擊類似,這種攻擊導致證書篡改和/或竊取,例如某些區塊鏈成員將擁有的許可權和訪問許可權。感測器網路特別容易受到DDOS攻擊。智慧城市不僅面臨著實施針對DDOS攻擊的弱點的感測器網路,而且面臨著弱點的伴隨的區塊鏈系統的挑戰。
(4)、CA攻擊:數字證書和身份對於MSP的運行至關重要。Hyperledger Fabric允許用戶選擇如何運行證書頒發機構並生成加密材料。選項包括Fabric CA,由Hyperledger Fabric,Cryptogen的貢獻者構建的過程,以及自己的/第三方CA。這些CA本身的實現都有其自身的缺陷。 Cryptogen在一個集中的位置生成所有私鑰,然後由用戶將其充分安全地復制到適當的主機和容器中。通過在一個地方提供所有私鑰,這有助於私鑰泄露攻擊。除了實現方面的弱點之外,MSP的整體以及因此區塊鏈的成員資格都在CA上運行,並且具有信任證書有效的能力,並且證書所有者就是他們所說的身份。對知名第三方CA的攻擊如果成功執行,則可能會損害MSP的安全性,從而導致偽造的身份。Hyperledger Fabric中CA的另一個弱點是它們在MSP中的實現方式。 MSP至少需要一個根CA,並且可以根據需要支持作為根CA和中間CA。如果根CA證書被攻擊,則會影響所有根證書簽發的證書。
成都鏈安已經推出了聯盟鏈安全解決方案,隨著聯盟鏈生態的發展,2020年成都鏈安已配合多省網信辦對當地政企事業單位的聯盟鏈系統進行了從鏈底層到應用層多級安全審計,發現多場景多應用多形態的聯盟鏈系統及其配套系統的漏洞和脆弱點。
並且,成都鏈安已與螞蟻區塊鏈開展了合作,作為螞蟻區塊鏈優選的首批節點加入開放聯盟鏈,我們將發揮安全技術、服務、市場優勢,與開放聯盟鏈共拓市場、共建生態、並為生態做好安全保駕護航。
一方面我們的智能合約形式化驗證產品VaaS將持續為開放聯盟鏈應用提供『軍事級』的安全檢測服務,為應用上線前做好安全檢測,預防其發生安全和邏輯錯誤;我們的『鷹眼』安全態勢感知系統採用AI+大數據技術,為開放聯盟鏈及其應用提供全面及時的『安全+運營』態勢感知、鏈上合約風險監測、安全預警、報警、防火牆阻斷及實時響應處理能力。
另一方面,我們的安全產品已經積累了數十萬的客戶群體,我們將發揮我們的全球客戶資源和市場優勢,與開放聯盟鏈共拓市場。
在聯盟鏈平台上,我們能提供全生命周期的整體安全解決方案,成都鏈安以網路安全、形式化驗證、人工智慧和大數據分析四大技術為核心,打造了面向區塊鏈全生態安全的『Beosin一站式區塊鏈安全服務平台』。
『Beosin一站式區塊鏈安全服務平台』包含四大核心安全產品和八大明星安全服務,為區塊鏈企業提供安全審計、虛擬資產追溯與AML反洗錢、安全防護、威脅情報、安全咨詢和應急等全方位的安全服務與支持,實現區塊鏈系統『研發→運行→監管』全生命周期的安全解決方案。
我們會積極發揮區塊鏈安全頭部企業優勢,共同構建安全的區塊鏈商業網路,推動區塊鏈產業健康、安全的發展,探索區塊鏈未來的無限可能。