區塊鏈風險監管

A. 區塊鏈投資風險及焦慮

在這個通貨膨脹，錢不值錢的時代，如何保護自己的資產？對常人而言，最好的選擇大概就是投資了。一般來說，投資可以是買股票、買基金、買不動產。

插一句，個人創業或開個體店，也有點投資的意思，但這種投資風險極大、失敗概率90%以上。創業和開店，更多的是投資個人，嘗試個人發展方向，就資產投資而言，九死一生。

投資應該「生活+」，生活才是根本。「生活+投資」是為了讓未來的更有希望，是把現有的資產投資未來，讓未來有一個更好的資產回報預期。然而，因為風險承受、資產投入比例、投資知識等等各方面的認知能力局限，投資常常是一件非常折磨人的事情，情緒跟著市場波動，甚至常常嚴重地影響到生活……

如何破解投資帶來的焦慮感？自從參與區塊鏈投資，在經歷過多次巨大的波動行情，心力煎熬後，以下是個人的粗淺的認知。

1、堅守投資的兩條鐵律

投資，首先應該遵循兩條鐵律。

鐵律一：拿閑錢投資，即便歸零也可以承受。

這一條在平常情況下，看起來似乎不難做到，甚至毫無感覺。那是因為： 盲目自信，以及刀還沒有割到肉！

在剛開始投資的時候，你是相當自信的，你是認為自己能夠賺錢的，否則你也不會冒這個風險。但當你對市場預期良好，認為必然會賺大錢的時候，你會很快忘記這條鐵律，進而拋棄，投入更多的資產去投資，甚至借錢投資。

市場總是波動的，甚至常常是很大的波動。在有浮盈的時候，一切都不是問題。一旦出現虧損，當刀真正割到肉時才會感覺疼。由於損失厭惡，心態立馬會出現波動。即便投資的閑錢，都會有失落的情緒，進而影響生活。如果是借錢或者投資資產比例過重（比如70%以上），則更是沒有辦法心平氣和的對待，更無法做到歸零也可以接受。

所以，別高估了自己的承受能力，更別高估了自己的投資能力！否則，一旦虧損，必然會影響到生活。

鐵律二：和時間做朋友，做長期價值投資。

投資向來都是一件長期的事情，1-3年算是短期，5-10年算是中期。你看好一個投資項目，一定要給它時間去「生長」，才會開花結果，最後才能有收獲。

大部分剛踏入投資領域的人，都是急不可耐地想要馬上看到「結果」。這不是投資，是投機，猶如上了賭桌，馬上就可以看到勝負，體驗到狂喜或失落。

參與投資這段時間內，我大概漸漸明白了一個道理： 大部分人，包括我自己，從一開始都是帶著投機心態的賭徒。 這種賭徒心態，把投資當成了押注，就迫切地想有所收益，天天盯盤，打探各種消息，生怕錯過幾個億……

那些在股市中頻繁操作短線的人，其實就是把炒股當做賭博，想從每一個小波段中獲益，結果被專業機構收割。

投資是否成功，應該是眼光（價值判斷）+時間+運氣的組合。 投資之前的分析判斷至關重要，是最終收獲的前提；時間是等待價值成長的過程；運氣，是無法預知或無法控制的結果。

如果，對自己投資的項目的價值沒有清晰的認識，且做不到長期；那麼，在接下來的日子裡，每一天你的內心都會隨著市場波動而波動，偶爾歡喜、偶爾失落，又或大喜又或大悲，你的情緒幾乎被市場牽動。

2、見好就收，你的承受能力有限

面對虧損，一開始我們遵守鐵律「歸零也可以接受」，這是在心態上提前給自己打的預防針。如果沒有這個預防針，你很能承受不了損失的痛苦而割肉，也就是從投資中提前出局。當然，如果你看清自己投資的產品有問題，可能存在歸零，那麼即便是割肉，也要及時地退出，爭取最少的損失。

還有另一種常見情況，即便是盈利了，也常常讓人焦慮，特別是當市場回落，浮盈減少的時候，更是令人焦慮不安。

浮盈，為什麼還會讓人焦慮？因為不知道什麼時候才是頂點。

在這個過程中，大概會有這四種情況：第一種是過早地賣出，第二種是恰當地時候賣出，第三種是因為猶豫不決錯過最佳賣出機會，第四種是不為所動、堅決不賣。

可笑的是，至少90%的人都是第三種！在市場上漲的過程中，在喜悅中焦慮，在焦慮中盲目，人性的貪婪，把市場越托越高，最後泡沫破裂，一地雞毛……

從結果上來看，第四種人和第三種人是一樣的結果，都是沒有賣出，錯過最佳出貨時機。但不同點在於第四種人是帶有自願的成分，在「長期價值投資」的信仰中搖擺、焦慮……

這里有必要把投資鐵律二「和時間做朋友，做長期價值投資"拿出來說一說。既然是長期價值投資，那麼面對市場行情好，大牛市的時候是不是不要操作，要做到第四種「不為所動，堅決不賣」？

可以說，很多人在上漲的行情中堅持「長期價值投資」的信仰，在市場崩盤後，又徹底陷入迷惘、沮喪。我們以為自己可以承受這種壓力，實際上面對市場下跌，大部分人都很難承受這種錯過最佳時機的壓力，焦慮到影響生活。

這里主要問題是：因為「長期而長期」，不懂得變通，不會根據自身的情況來適當調整。

對於專業投資人而言，不為市場波動所動，堅決長期投資是可以理解。但作為普通人，面對超出預期的收益，可以適當地變通。具體的做法是：達到預期收益，分批出貨。在整個上行過程中，出貨量控制在20%。

這種策略，一來可以變現收益，回收投入成本；二來保持大部分資產仍然在參與中；其三，一旦市場突變，保住了部分收益，且有資金可以抄底。

所以，在上漲的行情中，不要死板地遵守「長期投資」。要見好就收，把獲得的利潤部分及時變現，當行情突變時，你的內心也就可以承受這種焦慮且不至於影響生活。

3、場外賺錢能力更重要

投資有很多運氣成分，有時即便你做對了很多，可能運氣也不一定站在你這一邊。如果把財務問題都押注在投資上，則在投資的過程中很難接受「歸零」的結果，也很難做到「長期」。

現實中，最常見的往往是很多人把財富的希望寄託於投資，且期望過大，在區塊鏈投資領域尤其如此。過大的期望，自然讓人陷入一種「迷信」和瘋狂的狀態中，從而也忘記了投資的原則。

即便在一個技術變革，充滿紅利的新市場，也不可能讓大部分人賺錢，反過來甚至往往是90%的人被收割。 當然，能夠遵守投資鐵律的人，基本可以避免被收割的命運，在運氣好的情況下不賺錢都難。然而，絕大部分的人是做不到，其根本還是在於投機與投資的區別。

投資給我另一個較大的感觸是： 大部分人不適合投資（包括目前階段的自己），不具備投資的能力（財力和智力），心力不足以應付投資帶來的壓力的焦慮感。

一個合格投資者，應該具備較好的場外賺錢能力，其次在心態上能夠坦然面對投資帶來的盈虧。當你不具備這種能力時，不是不可以投資，則應該投入自己內心真正可以承受歸零的資金，至少這樣你可以過好當前的生活。

別寄託於投資快速實現財富自由，這樣你的心態會失衡。只有具備足夠的場外賺錢能力，在面對投資的盈虧時，才會表現的淡然。盈利是對自己的嘉獎，虧損也可以承受。

4、區塊鏈投資的瘋狂與理性

歷史上出現很多次新興產業的投資泡沫，房地產投資、股票投資、互聯網投資……每一次人們都以為找到了財富自由之路，很多人瘋狂地參與其中，最終卻一地雞毛……

這一次區塊鏈投資，更加瘋狂，更加不理性，是不是意味著一次新的巨大泡沫正在形成？有意思的一點是，區塊鏈泡沫已經反復破裂了幾次，但每次又更加強勢的反彈，更大泡沫形成……泡沫並非是沒有價值，並非等同於旁氏騙局，而是指有太多不理性的投資人湧入，短期內高估了資產價值。

區塊鏈的價值在於解決了信用問題，極大地降低了資產之間的轉移成本，甚至為零。雖然目前區塊鏈技術還沒有大量的應用，帶來的實際社會價值也不高，但可以預見未來一定具備極大的社會價值。

就投資而言，無論區塊鏈技術有多大的價值，最後獲益的仍然是極少數人，而絕大部分人是被收割的韭菜！從人性的角度，絕大部分人永遠是追高殺跌，非理性的投資，最終成分被收割者。這區塊鏈價值無關，泡沫的形成，是人性的貪婪。

區塊鏈投資，面臨比傳統投資大得多的變數，常常波動極大，這種情況極大地考驗人的心力。更可怕的是，由於區塊鏈投資目前缺乏監管和規范，大量不合格投資人湧入，更是極大地加重了泡沫的形成。

只有理性的看到其中的巨大風險，堅持做到： 遵守投資鐵律、見好就收、保持場外賺錢能力 ，才能夠避免在這場泡沫中被收割，甚至獲得超高的收益。

認知是一切成功的根本！單軍強的數字簽名：{"sig":"","msghash":""}

B. 區塊鏈的安全法則

區塊鏈的安全法則，即第一法則：
存儲即所有
一個人的財產歸屬及安全性，從根本上來說取決於財產的存儲方式及定義權。在互聯網世界裡，海量的用戶數據存儲在平台方的伺服器上，所以，這些數據的所有權至今都是個迷，一如你我的社交ID歸誰，難有定論，但用戶數據資產卻推高了平台的市值，而作為用戶，並未享受到市值紅利。區塊鏈世界使得存儲介質和方式的變化，讓資產的所有權交付給了個體。
拓展資料
區塊鏈系統面臨的風險不僅來自外部實體的攻擊，也可能有來自內 部參與者的攻擊，以及組件的失效，如軟體故障。因此在實施之前，需 要制定風險模型，認清特殊的安全需求，以確保對風險和應對方案的准 確把握。
1. 區塊鏈技術特有的安全特性
● (1) 寫入數據的安全性
在共識機制的作用下，只有當全網大部分節點（或多個關鍵節點）都 同時認為這個記錄正確時，記錄的真實性才能得到全網認可，記錄數據才 允許被寫入區塊中。
● (2) 讀取數據的安全性
區塊鏈沒有固有的信息讀取安全限制，但可以在一定程度上控制信 息讀取，比如把區塊鏈上某些元素加密，之後把密鑰交給相關參與者。同時，復雜的共識協議確保系統中的任何人看到的賬本都是一樣的，這是防 止雙重支付的重要手段。
● (3) 分布式拒絕服務(DDOS)
攻擊抵抗 區塊鏈的分布式架構賦予其點對點、多冗餘特性，不存在單點失效的問題，因此其應對拒絕服務攻擊的方式比中心化系統要靈活得多。即使一個節點失效，其他節點不受影響，與失效節點連接的用戶無法連入系統， 除非有支持他們連入其他節點的機制。
2. 區塊鏈技術面臨的安全挑戰與應對策略
● (1) 網路公開不設防
對公有鏈網路而言，所有數據都在公網上傳輸，所有加入網路的節點 可以無障礙地連接其他節點和接受其他節點的連接，在網路層沒有做身份驗證以及其他防護。針對該類風險的應對策略是要求更高的私密性並謹慎控制網路連接。對安全性較高的行業，如金融行業，宜採用專線接入區塊鏈網路，對接入的連接進行身份驗證，排除未經授權的節點接入以免數據泄漏，並通過協議棧級別的防火牆安全防護，防止網路攻擊。
● (2) 隱私
公有鏈上交易數據全網可見，公眾可以跟蹤這些交易，任何人可以通過觀察區塊鏈得出關於某事的結論，不利於個人或機構的合法隱私保護。 針對該類風險的應對策略是：
第一，由認證機構代理用戶在區塊鏈上進行 交易，用戶資料和個人行為不進入區塊鏈。
第二，不採用全網廣播方式， 而是將交易數據的傳輸限制在正在進行相關交易的節點之間。
第三，對用 戶數據的訪問採用許可權控制，持有密鑰的訪問者才能解密和訪問數據。
第四，採用例如「零知識證明」等隱私保護演算法，規避隱私暴露。
● (3) 算力
使用工作量證明型的區塊鏈解決方案，都面臨51%算力攻擊問題。隨 著算力的逐漸集中，客觀上確實存在有掌握超過50%算力的組織出現的可 能，在不經改進的情況下，不排除逐漸演變成弱肉強食的叢林法則。針對 該類風險的應對策略是採用演算法和現實約束相結合的方式，例如用資產抵 押、法律和監管手段等進行聯合管控。

C. 區塊鏈有沒有合規風險

區塊鏈技術本身並沒有違反任何法律和規定，因此沒有合規風險。但是，在實際應用過程中，使用區塊鏈技術山畢的企業或個人需要遵守相關的法律和監管要求。
例如，在中國，利用區塊鏈技術進行金融交易或募集資金的行為需要符合相關法律和監管政策。此外，如在區塊鏈上保留了用戶的個人敏感信息，也必須遵守數據保護等相關法旁跡規。
因此，在領域應用中採用區塊鏈技術的企業和個人，不僅需要了解和遵守現有的法律運唯並和法規規定，還需要密切關注技術和法規的發展趨勢，及時做出相應的調整和變化。只有合規經營和開展業務，企業才能夠更好地發展，並獲得持久的競爭優勢。

D. 區塊鏈核心技術攻關目標

       重點突破涵蓋安全隱私保護、開放跨鏈協議、高效鏈上鏈下協同和安全智能合約機制等區塊鏈應用支撐技術。

1.安全隱私保護技術。重點在安全多方計算、零知識證明、安全傳輸、同態加密等方面取得技術突破。

2.鏈鏈互聯互通技術。重點在跨鏈協議、同構/異構跨鏈架構及安全性、擴展性和性能等方面取得突破。

3.鏈上鏈下協同技術。重點在鏈上鏈下數據協同訪問控制、高效存儲與管理等技術取得突破。

4.安全智能合約技術。重點在智能合約形式化驗證與安全漏洞風險評測、智能合約審計等方面取得突破。

5.區塊鏈監管技術。重點在區塊鏈穿透式監管技術、動態監測技術、區塊鏈風險隔離與控制等方面取得技術突破和應用。

                                                      From：浙江省區塊鏈技術和產業發展規劃（2020-2025）

E. 區塊鏈有哪些應用

簡單介紹一下區塊鏈技術在金融領域的應用

1、區塊鏈技術在銀行業中的應用

區塊鏈技術最大的特徵就是去中心化， 而這一特徵將為銀行業降低大量成本。

• 首先，去中心化意味著銀行體系之間建立信任機制不再需要中介，節約了中介的費用。

• 其次，數字貨幣的發展將可能實現銀行實時的數字化交易。例如，在票據交易中，一直以來銀行的票據交易都要依靠第三方實現有價憑證的傳遞，即使是電子票據的交易，也需要通過央行 ECDS 系統的信息進行交互認證。而區塊鏈技術可以實現點對點的價值的傳遞，不再需要中心化的系統進行控制，這不僅僅加快了票據傳遞的速度，更重要的是，可以減少人為因素造成的失誤，流程方面的減少自然會降低銀行對於人員的需求量，節約了銀行的人工成本。

• 最後，在清算、結算方面也會有所影響。 銀行的清算、結算業務一直以來都是由中央結算來完成的，效率較低。通過區塊鏈技術進行結算將大幅度提高銀行的效率。

區塊鏈技術在銀行的跨境支付業務中也發揮著較大的作用。在全球化貿易高度發達的今天，跨境支付越來越頻繁，銀行在跨境貿易中往往充當著第三方服務的職能，例如進行電子轉賬、資產託管等。但跨境支付一般需要耗時 2 天左右才能到賬，效率很低，也降低了在途資金的利用率。而在區塊鏈技術中，跨境支付的雙方可以通過點到點的方式完成，實現全天候支付、實時到賬、從而加快了清算、結算的速度，進而提高銀行處理業務的效率。

區塊鏈技術的另一特徵就是去風險化，銀行可以建立自己的區塊鏈，這樣就能保證銀行客戶的交易信息和交易記錄是真實有效的， 是不會被任意篡改的，銀行可以有效地辨別客戶的信息，了解客戶的各方面情況，識別客戶的異常交易，防止被客戶所欺騙，也可以及時發現非法洗錢、轉移資金等犯罪行為，從而降低銀行的監管成本。

2、區塊鏈技術在保險業中的應用

區塊鏈技術在保險業中也具有無可比擬的優勢。從數據管理角度來看，保險公司應用區塊鏈技術可以有效提高風險管控能力， 包括保險公司的風險監督與投保人的風險管理兩個方面。

區塊鏈技術在保險業中的應用，可以加強保險公司內部的風險監督。 區塊鏈技術可以將保險公司的日常運營流程記錄在節點上，可以實現對公司資金流向、投資情況、賠付多少等業務進行事中控制，提高公司風險管控能力。

此外，區塊鏈技術安全、可靠、無法隨意篡改，保證投保人得到的信息真實有效，使得投保人的風險管理能力增強。

3、區塊鏈技術在證券行業的應用

區塊鏈技術在證券行業的應用可以增加證券發行的靈活性，發行證券的公司可以採用智能合約，通過設定證券發行的方式、時間，在最理想的狀態下甚至可以 24 小時不間斷地發行證券。

在智能合約的運行下，實現買賣雙方的自動配對，並通過分布式的數字化登記系統，自動完成結算、清算步驟。 區塊鏈上的交易記錄不會被隨便更改，因此錄入的信息在實際上產生了公示的效果，因而證券交易所產生所有權的確權不會有任何爭議。

除此之外，區塊鏈技術讓證券交易流程更加公開、透明。 通過區塊鏈技術，證券行業無需中央機構來運行和管理，也不需要投行來進行承銷，實現真正的點對點的交易，減少證券交易中的暗箱操作與內幕交易等違規行為，並可以實現對證券行業的有效監管。

4、區塊鏈技術與金融基礎設施

區塊鏈技術是以一種分散化的機制進行價值交換，將會導致以中心化為特徵的現有的金融基礎設施發生翻天覆地的變化。

抵押品、 質押品以及股票、債券、 衍生品等資產通常需要一個值得信任的中央機構來進行登記或者保管，而區塊鏈卻能夠用全新的方式來記錄和保存這些產品的數據，將會對這些產品的登記制度產生影響。

區塊鏈通過智能合約，可以對信息和價值進行接收和反應，自動完成價值的轉移，自動地完成交易、清算和結算，將沖擊現有的大額交易系統、中央證券存管、證券結算和場外衍生品交易等現有金融基礎設施。

5、區塊鏈技術在供應鏈中的應用

區塊鏈技術在供應鏈中的應用，首先是提供了信用保障，區塊鏈上記錄著商品的流通信息等，能夠證明商品及其流轉的真實可靠性，從而能夠對鏈上企業的效用情況等進行一個綜合的評價，成為了企業銀行貸款信用、融資信用、交易信用的一個有效的保障。

• 首先， 區塊鏈可以將供應鏈上所有的交易數據都帶有時間戳，不可隨意篡改，即使能篡改某個節點的交易數據，也無法隻手遮天，所以區塊鏈解決了銀行對企業信息被篡改的疑慮，這對一些微小企業來說，只要信用好，向銀行貸款的可能性將大大提高。

• 其次，區塊鏈所記載的上下游企業之間的信息，通過有效的整合，既可以為企業在生產、銷售等環節提供支持，也可以供下游企業來分析顧客偏好，從而可以制定具有針對性的服務。

F. 區塊鏈有沒有合規風險

是的，區塊鏈技術的應用可能會涉及合規風險洞扮悄。
首先，在某些國家和地區，政府或監管部門可能對數字貨幣和其他基於區塊鏈技術的資產採取不同的立場，並存在一定程度上的法律、合規和政策納渣風險。例如，有些國家限制或禁止使用數字貨幣和其他比特幣或區塊鏈衍生產品。因此，在選擇區塊鏈技術的應用范圍時，需考慮當地法律和監管環境。
其次，私鏈或聯盟鏈中存在參與方之間的信任問題，信任機制的構建也存在合規風險。例如，在金融領域，銀行或其他金融機構在使用區塊鏈技術時需要考慮使用哪種信任模型以符合社會倫理和缺隱法律要求。對於和錢相關的交易，還必須滿足反洗錢和反恐怖主義等法律要求。
此外，由於區塊鏈技術不可更改和公開的特性，它可能無意中泄露個人隱私、商業秘密等機密信息，造成隱私數據泄露和安全風險。
因此，企業和技術公司應該認真評估潛在的合規風險，並制定適當的合規安全措施，如遵守法律和監管要求、建立健全的私密保護機制、多維度加強隱私數據保護等，來確保區塊鏈技術應用的合規性和數據安全性。

G. 區塊鏈範式下的風險控制：降低戰略風險，可預見型風險

馬爾科·揚西蒂（Marco Iansiti） 卡里姆·拉哈尼（Karim Lakhani），《哈佛商業評論》中文版2017年1月，《區塊鏈真相》一文

在技術創新領域的研究經驗告訴我們，只有消除在技術、政府管控、組織和 社會 等多方面的障礙，才有可能真正發生區塊鏈革命。若不清楚區塊鏈將如何佔領高地，貿然開始區塊鏈創新就是個錯誤。

系統性風險。 說到系統性風險，就不得不提及像2008年到2009年的金融危機之後的信貸緊縮這樣的全球經濟戲劇性衰退。對於大部分公司來說，那是一個無法預測也無法控制的外部事件。全球監管者重塑了金融世界，以避免類似的危機，其戰略中很重要的一步是增強了中央對手方（CCP）的角色。CCP是在一項金融交易中插入交易雙方中間的一個實體。在雙方都同意進行交易之後，CCP就成為對任意買方的賣方和任意賣方的買方。在此過程中，CCP通過結網降低交易對手信用和流動性的風險暴露，減少了當一方違約時交易雙方的直接接觸的風險，但這么做的風險仍然集中。CCP的主要角色是：1.管理結算運行任務，降低結算風險；2.通過會員身份批准和實行保證金（最初的和變化的）監控個人的信用風險，提供透明的風險管理；3.處理違約方；4.監督市場上的系統風險。

在以區塊鏈為基礎管理的金融市場中，許多CCP的原則可能會被淘汰。可以設想到的是，CCP的功能1和2將會被智能合約替代。DAOs的設計使交易雙方發生關系，一旦植入在智能合約中的某些條款被觸及，應收款項就能自動從一方轉到另一方。CCP的功能3和4也可以被區塊鏈技術提高，但它不太可能完全實現自動化，因為其對定向性程度和大型場景分析能力要求較高。相關區塊鏈創業公司如Digital Asset Holding和D-Pactum正在與CCP展開合作，在不改變最近法律法規給予CCP的角色基礎上，朝著分布式賬本和智能合約的方向重新設計他們的技術。這可能會發展成為增加金融系統復原力的根本性措施。在分布式賬本上，可以設計出透明、標准化的交易流程，資本和保證金的相互關系可以自動發生，因此降低了中間管理者的風險負擔。通過把各個參與方簽訂智能合約編碼，管理危機事件的規則可以做到盡可能的確定性。

網路風險。 這是我們要分析的最後一個外部風險，但並非最不重要。的確，對於網路風險或關鍵基礎設施故障（如控制系統、能源、交通、電信和金融基礎設施）相關風險的不理解或不重視，有可能對國家經濟、多個經濟部門和全球企業造成深遠影響。進行風險評估和設置風險管理系統的責任現在落在了每個企業身上，但它們內部實踐和流程千差萬別，風險管理系統不成熟的小企業在這種情況下更易遭受網路攻擊。

區塊鏈是一種可行的解決方案嗎？毫無疑問。數字貨幣的發展延伸了密碼學的安全使用，並且創造了一種商業模式，針對網路攻擊有了新型的復原力。在分布式賬本上的一套完整系統可以提供比公司標准防火牆技術更高級別的網路安全。因為分布式賬本是自動化的，並且由於信息共享的原則和共識協議的魯棒性，賬本 歷史 是無所不在且無法更改的。因此在該系統中，高 科技 網路攻擊可以在發生之前被阻止。

然而，在分析外部風險的最後，值得注意的是數字貨幣的出現第一次創造了一種與國家、跨國政府決策或是任何實體經濟都不相關的流通貨幣。實際而言，數字貨幣價值的波動幅度巨大，但其方向和時間與市場不同，從而保持了與某國貨幣或股票市場非相關性。因此，比特幣被稱為「數字黃金」，和黃金一樣，數字貨幣已被用作避險資產，限制宏觀經濟風險的影響。

總之，在深入挖掘區塊鏈在風險管理方面的驚人效用之前，要明白區塊鏈不是萬能解葯。它應該被看作是構建下一代風險管理基礎設施的眾多技術之一。

H. 如何檢測區塊鏈智能合約的風險等級高低

隨著上海城市數字化轉型腳步的加快，區塊鏈技術在政務、金融、物流、司法等眾多領域得到深入應用。在應用過程中，不僅催生了新的業務形態和商業模式，也產生了很多安全問題，因而安全監管顯得尤為重要。安全測評作為監管重要手段之一，成為很多區塊鏈研發廠商和應用企業的關注熱點。本文就大家關心的區塊鏈合規性安全測評談談我們做的一點探索和實踐。
一、區塊鏈技術測評
區塊鏈技術測評一般分為功能測試、性能測試和安全測評。
1、功能測試
功能測試是對底層區塊鏈系統支持的基礎功能的測試，目的是衡量底層區塊鏈系統的能力范圍。
區塊鏈功能測試主要依據GB/T 25000.10-2016《系統與軟體質量要求和評價（SQuaRE）第10部分：系統與軟體質量模型》、GB/T 25000.51-2016《系統與軟體質量要求和評價（SQuaRE）第51部分：就緒可用軟體產品（RUSP）的質量要求和測試細則》等標准，驗證被測軟體是否滿足相關測試標准要求。
區塊鏈功能測試具體包括組網方式和通信、數據存儲和傳輸、加密模塊可用性、共識功能和容錯、智能合約功能、系統管理穩定性、鏈穩定性、隱私保護、互操作能力、賬戶和交易類型、私鑰管理方案、審計管理等模塊。
2、性能測試
性能測試是為描述測試對象與性能相關的特徵並對其進行評價而實施和執行的一類測試，大多在項目驗收測評中，用來驗證既定的技術指標是否完成。
區塊鏈性能測試具體包括高並發壓力測試場景、尖峰沖擊測試場景、長時間穩定運行測試場景、查詢測試場景等模塊。
3、安全測評
區塊鏈安全測評主要是對賬戶數據、密碼學機制、共識機制、智能合約等進行安全測試和評價。
區塊鏈安全測評的主要依據是《DB31/T 1331-2021區塊鏈技術安全通用要求》。也可根據實際測試需求參考《JR/T 0193-2020區塊鏈技術金融應用評估規則》、《JR/T 0184—2020金融分布式賬本技術安全規范》等標准。
區塊鏈安全測評具體包括存儲、網路、計算、共識機制、密碼學機制、時序機制、個人信息保護、組網機制、智能合約、服務與訪問等內容。
二、區塊鏈合規性安全測評
區塊鏈合規性安全測評一般包括「區塊鏈信息服務安全評估」、 「網路安全等級保護測評」和「專項資金項目驗收測評」三類。
1、區塊鏈信息服務安全評估
區塊鏈信息服務安全評估主要依據國家互聯網信息辦公室2019年1月10日發布的《區塊鏈信息服務管理規定》（以下簡稱「《規定》」）和參考區塊鏈國家標准《區塊鏈信息服務安全規范（徵求意見稿）》進行。
《規定》旨在明確區塊鏈信息服務提供者的信息安全管理責任，規范和促進區塊鏈技術及相關服務的健康發展，規避區塊鏈信息服務安全風險，為區塊鏈信息服務的提供、使用、管理等提供有效的法律依據。《規定》第九條指出：區塊鏈信息服務提供者開發上線新產品、新應用、新功能的，應當按照有關規定報國家和省、自治區、直轄市互聯網信息辦公室進行安全評估。
《區塊鏈信息服務安全規范》是由中國科學院信息工程研究所牽頭，浙江大學、中國電子技術標准化研究院、上海市信息安全測評認證中心等單位共同參與編寫的一項建設和評估區塊鏈信息服務安全能力的國家標准。《區塊鏈信息服務安全規范》規定了聯盟鏈和私有鏈的區塊鏈信息服務提供者應滿足的安全要求，包括安全技術要求和安全保障要求以及相應的測試評估方法，適用於指導區塊鏈信息服務安全評估和區塊鏈信息服務安全建設。標准提出的安全技術要求、保障要求框架如下：
圖1 區塊鏈信息服務安全要求模型
2、網路安全等級保護測評
網路安全等級保護測評的主要依據包括《GB/T 22239-2019網路安全等級保護基本要求》、《GB/T 28448-2019網路安全等級保護測評要求》。
區塊鏈作為一種新興信息技術，構建的應用系統同樣屬於等級保護對象，需要按照規定開展等級保護測評。等級保護安全測評通用要求適用於評估區塊鏈的基礎設施部分，但目前並沒有提出區塊鏈特有的安全要求。因此，區塊鏈安全測評擴展要求還有待進一步探索和研究。
3、專項資金項目驗收測評
根據市經信委有關規定，信息化專項資金項目在項目驗收時需出具安全測評報告。區塊鏈應用項目的驗收測評將依據上海市最新發布的區塊鏈地方標准《DB31/T 1331-2021 區塊鏈技術安全通用要求》開展。
三、區塊鏈安全測評探索與實踐
1、標准編制
上海測評中心積極參與區塊鏈標准編制工作。由上海測評中心牽頭，蘇州同濟區塊鏈研究院有限公司、上海七印信息科技有限公司、上海墨珩網路科技有限公司、電信科學技術第一研究所等單位參加編寫的區塊鏈地方標准《DB31/T 1331-2021 區塊鏈技術安全通用要求》已於2021年12月正式發布，今年3月1日起正式實施。上海測評中心參與編寫的區塊鏈國標《區塊鏈信息服務安全規范》正處於徵求意見階段。
同時，測評中心還參與編寫了國家人力資源和社會保障部組織，同濟大學牽頭編寫的區塊鏈工程技術人員初級和中級教材，負責編制「測試區塊鏈系統」章節內容。
2、項目實踐
近年來，上海測評中心依據相關技術標准進行了大量的區塊鏈安全測評實踐，包括等級保護測評、信息服務安全評估、項目安全測評等。在測評實踐中，發現的主要安全問題如下：
表1 區塊鏈主要是安全問題
序號
測評項
問題描述
1
共識演算法
共識演算法採用Kafka或Raft共識，不支持拜占庭容錯，不支持容忍節點惡意行為。
2
上鏈數據
上鏈敏感信息未進行加密處理，通過查詢介面或區塊鏈瀏覽器可訪問鏈上所有數據。
3
密碼演算法
密碼演算法中使用的隨機數不符合GB/T 32915-2016對隨機性的要求。
4
節點防護
對於聯盟鏈，未能對節點伺服器所在區域配置安全防護措施。
5
通信傳輸
節點間通信、區塊鏈與上層應用之間通信時，未建立安全的信息傳輸通道。
6
共識演算法
系統部署節點數量較少，有時甚至沒有達到共識演算法要求的容錯數量。
7
智能合約
未對智能合約的運行進行監測，無法及時發現、處置智能合約運行過程中出現的問題。
8
服務與訪問
上層應用存在未授權、越權等訪問控制缺陷，導致業務錯亂、數據泄露。
9
智能合約
智能合約編碼不規范，當智能合約出現錯誤時，不提供智能合約凍結功能。
10
智能合約
智能合約的運行環境沒有與外部隔離，存在外部攻擊的風險。
3、工具應用
測評中心在組織編制《DB31/T 1331-2021 區塊鏈技術安全通用要求》時，已考慮與等級保護測評的銜接需求。DB31/T 1331中的「基礎設施層」安全與等級保護的安全物理環境、安全通信網路、安全區域邊界、安全計算環境、安全管理中心等相關要求保持一致，「協議層安全」、「擴展層安全」則更多體現區塊鏈特有的安全保護要求。
測評中心依據DB31/T 1331相關安全要求，正在組織編寫區塊鏈測評擴展要求，相關成果將應用於網路安全等級保護測評工具——測評能手。屆時，使用「測評能手」軟體的測評機構就能准確、規范、高效地開展區塊鏈安全測評，發現區塊鏈安全風險，並提出對應的整改建議

I. 銀行業的區塊鏈技術應用存在哪些風險

一是新技術不成熟的風險；二是新舊模式並行下的管理風險。三是銀行機構應用區塊鏈技術的不同步性導致的監管風險。其他相關建議你在官方公眾號「中芯區塊鏈服務平台」進行熟悉