360区块链安全态势感知系统6
Ⅰ 智慧消防指的是什么
智慧消防就是智能消防系统是将GPS(全球卫星定位系统)、GIS(地理信息系统)、GSM(无线移动通信系统)和计算机、网络等现代高新技术集于一体的智能消防无线报警网络服务系统。
它成功地解决了电信、建筑、供电、交通等公共设施建设协调发展的问题;
由于消防指挥中心与用户单位联网,改变了过去传统、落后和被动的报警、接警、处警方式,实现了报警自动化、接警智能化、处警预案化、管理网络化、服务专业化、科技现代化,大大减少了中间环节,极大地提高了出警速度,真正做到了方便、快捷、安全、可靠,使人民生命、财产的安全以及警员生命的安全得到最大限度的保护。
实现智能消防依赖GPS、GSM和GIS三种现代高新技术。
建设单位规范自身的投资行为 建设单位在发包消防工程时。应考虑智能消防系统的整体性。不应分割发包给几个设计和施工单位,更不应因自身利益驱使,明示或暗示设计、监理、施工单位违反消防法规和相应标准,制定不合理的目标。要遵循建设程序,规范投资行为,端正指导思想,防微杜渐
Ⅱ 区块链的六层模型是什么
区块链总共有六个层级结构,这六个层级结构自下而上是:数据层、网络层、共识层、激励层、合约层、应用层。
一、数据层
数据层是区块链六个层级结构里面的最底层。数据层我们可以理解成数据库,只不过对于区块链来讲,这个数据库是不可篡改的、分布式的数据库,也就是我们所谓的“分布式账本”。
在数据层上,也就是在这个“分布式账本”上,存放着区块链上的数据信息,封装着区块的块链式结构、非对称加密技术、哈希算法等技术手段,来保证数据在全网公开的情况下的安全性问题。具体的做法是:
在区块链网络上,节点采用共识算法来维持数据层(也就是这个分布式数据库)的数据的一致性,采用密码学中的非对称加密和哈希算法,来确保这个分布式数据库的不可篡改和可追溯。
这就构成了区块链技术中最底层的数据结构。但是,光有分布式数据库还不够,还需要让数据库里面的数据信息可以共享交流,下面我们介绍数据层的上一层——网络层。
二、网络层
区块链的网络系统,本质上是一个P2P(点对点)网络,点对点意味着不需要一个中间环节或者中心化服务器来操控这个系统,网络中的所有资源和服务都是分配在各个节点手中的,信息的传输也是两个节点之间直接往来就可以了。不过,需要注意的是,P2P
(点对点)并不是中本聪发明的,区块链只是融合了这一技术而已。
所以,区块链的网络层实际上就是一个特别强大的点对点网络系统。在这个系统上,每一个节点既可以生产信息,也可以接收信息,就好比发邮件,你既可以编写自己的邮件,也可以收到别人给你发送的邮件。
在区块链网络上,节点之间需要共同维护这条区块链系统,每当一个节点创造出新的区块后,他需要以广播的形式通知其他节点,其他节点收到信息后对该区块进行验证,然后在该区块的基础上去创建新的区块。这样一来,全网便可以共同维护更新区块链系统这个总账本了。
但是,全网要依据什么规则来维护更新区块链系统这个总账本呢,这就涉及到了所谓的“法律法规”(规则),也就是我们接下来要介绍的:共识层。
三、共识层
在区块链的世界里,共识,简单来讲就是全网要依据一个统一的、大家一致同意的规则来维护更新区块链系统这个总账本,类似于更新数据的规则。让高度分散的节点在去中心化的区块链网络中高效达成共识,是区块链的核心技术之一,也是区块链社区的治理机制。
目前主流的共识机制算法有:比特币的工作量证明(POW)、以太坊的权益证明
(POS)、EOS的委托权益证明(DPOS)等等。
我们现在介绍了数据层、网络层、共识层,这三层保证了区块链上有数据、有网络,有在网络上更新数据的规则,但是天下没有免费的午餐,如何让节点们能够积极踊跃地参与区块链系统维护呢,这里就涉及到了激励,也就是我们下面要介绍的:激励层。
四、激励层
激励层就是所谓的挖矿机制,挖矿机制其实可以理解成激励机制:你为区块链系统做了多少贡献,你就可以得到多少奖励。用这种激励机制,能够鼓励全网节点参与区块链上的数据记录与维护工作。
挖矿机制和共识机制其实是一个道理,共识机制我们可以理解为公司的总规章制度,而挖矿机制可以理解成,在这个总的规章制度之中,你做好了什么能够得到什么奖励,这种奖励规则。
就好比比特币的共识机制PoW,它的规定是多劳多得,谁能够第一个找到正确哈希值谁就可以得到一定数量的比特币奖励;
而以太坊的PoS则规定了谁持币年龄越久,谁能得到奖励的概率就越大。
需要注意的是,激励层一般只有公有链才具备,因为公有链必须依赖全网节点共同维护数据,所以必须有一套这样的激励机制,才能激励全网节点参与区块链系统的建设维护,进而保证区块链系统的安全性和可靠性。
区块链安全可靠了,还不够智能对不对,下面我们将要介绍的合约层,可以让区块链系统变得更加智能。
五.合约层
合约层主要包括各种脚本、代码、算法机制及智能合约,是区块链可编程的基础。我们说的“智能合约”便属于合约层这个层级上。
如果说比特币系统不够智能,那么以太坊提出的“智能合约”则能够满足许多应用场景。合约层的原理主要是将代码嵌入到区块链系统上,用这种方式来实现能够自定义的智能合约。这样一来,在区块链系统上,一旦触发了智能合约的条款,系统就能够自动执行命令。
六、应用层
最后就是应用层。应用层很简单,顾名思义,就是区块链的各种应用场景和案例,我们现在说的“区块链+”就是所谓的应用层。目前已经落地的区块链应用主要是搭建在
ETH、EOS等公链上的各类区块链应用,博彩、游戏类的应用比较多,真正实用的应用还没有出现。
Ⅲ 2021年CCF科学技术奖:清华大学获自然科学一等奖
清华大学牛,荣获中国计算机学会2021年度CCF科学技术奖自然科学一等奖! 以下为中国计算机学会公布的2021年度“CCF科学技术奖”全部获奖项目名单。
1、大规模异构计算系统并行编程模型与优化理论
完成单位:清华大学
2、高精度智能化的软件分析与测试方法
完成单位:中国科学院软件研究所、中国人民大学
3、基于图的网络性能优化理论与方法
完成单位:上海交通大学
1、安卓操作系统安全防护的理论与方法
完成单位:复旦大学
2、面向高维数据的集成学习算法
完成单位:华南理工大学
3、复杂软件系统的网络化解析与优化理论及方法
完成单位:武汉大学
4、开放系统量子计算理论及新型量子计算原理
完成单位:中国科学院数学与系统科学研究院
5、基因组组装与模式挖掘的基础理论与算法
完成单位:中南大学
1、大规模智能云网络关键技术及平台
完成单位:阿里云计算有限公司、浙江大学、上海交通大学
2、面向工业领域的软件形式化建模与自动化测试关键技术及工具国产化应用
完成单位:华东师范大学、上海工业控制安全创新 科技 有限公司、卡斯柯信号有限公司、工业和信息化部电子第五研究所
3、专用处理器芯片自动设计技术与应用
完成单位:中国科学院计算技术研究所、中科驭数 科技 有限公司、中科物栖 科技 有限公司
1、数据自治开放技术
完成单位:复旦大学
2、多源异构大数据智能挖掘与性能优化
完成单位:湖南大学、中国人民解放军国防 科技 大学、哈尔滨工业大学(深圳)
3、水滴形柔性屏技术及可折叠产品
完成单位:联想研究院
1、蚂蚁反欺诈智能风险感知与响应系统关键技术和应用
完成单位:蚂蚁集团
2、AtlasGraph大规模图数据分析平台
完成单位:北京海致星图 科技 有限公司、清华大学、北京海致 科技 集团有限公司
3、虚拟存储环境关键技术与应用
完成单位:中国人民解放军国防 科技 大学、厦门大学、国家超级计算天津中心
1、全浸没液冷云计算数据中心技术创新及产业化
完成单位:阿里云计算有限公司
2、基于云架构的能源监测与分析平台的研制及产业化
完成单位:福州大学、国网信通亿力 科技 有限责任公司
3、智能城市操作系统
完成单位:京东城市(北京)数字 科技 有限公司
4、物联网低代码开发平台及应用
完成单位:浙江大学、阿里云计算有限公司
5、ZoomAI——基于人工智能的视频修复及增强系统
完成单位:北京爱奇艺 科技 有限公司
6、智能化手术系统的关键技术及产业化应用
完成单位:中国石油大学(华东)、青岛海信医疗设备股份有限公司、大连东软教育 科技 集团
1、基于网络空间的态势感知与防御云安全平台
完成单位:杭州安恒信息技术股份有限公司
2、面向智能生产决策的求解引擎及应用
完成单位:联想研究院
3、基于可信执行环境的区块链数据隐私保护技术
完成单位:蚂蚁区块链(上海) 科技 有限公司
4、医学影像智能分割关键技术与应用
完成单位:浙江大学
Ⅳ 2023年税务三大新体系
日前,省委办公厅、省政府办公厅印发《关于进一步深化税收征管改革的实施方案》,并发出通知,要求各地各部门结合实际认真贯彻落实。实施方案全文如下。
为贯彻落实中央办公厅、国务院办公厅印发的《关于进一步深化税收征管改革的意见》精神,更好发挥税收在国家治理中的基础性、支持性、保障性作用,助力河北经济社会高质量发展,现结合实际制定本实施方案。
一、工作目标
到2022年,在税务执法规范性、税费服务便捷性、税务监管精准性上取得重要进展。到2023年,基本建成税务执法、税费服务、税务监管三大新体系。到2025年,深化税收征管制度改革取得显著成效,税收治理体系和治理能力现代化水平显著提升。
二、主要任务
(一)全面推进税收征管数字化升级和智能化改造
1.积极推进智慧税务建设。将智慧税务融入“数字河北”和“新型智慧城市”规划,构建河北特色智慧税务品牌和体系。建立税务部门与相关部门涉税涉费数据常态化共享、交换和汇聚联通机制,推进线上线下数据有机贯通。拓展“冀时办”平台涉税涉费服务功能,促进多部门业务联办。2022年基本实现法人税费信息“一户式”、自然人税费信息“一人式”智能归集,2023年基本实现税务机关信息“一局式”、税务人员信息“一员式”智能归集。2025年依托智慧税务,实现税务执法、服务、监管与大数据智能化应用深度融合、高效联动、全面升级。
2.落实发票电子化改革任务。2021年上线全国统一的电子发票服务平台,24小时在线免费为纳税人提供电子发票服务。推进铁路、民航等领域发票电子化,2025年基本实现发票全领域、全环节、全要素电子化,着力降低制度性交易成本。
3.有序有力推进数据共享。依托“河北省一体化政务服务平台”,2025年年底前建成税务部门与相关部门数据共享协调机制。依法规范税费数据共享和涉税涉费信息提供,打造规模大、类型多、颗粒度细的税收大数据。完善税收大数据安全管理制度,建立常态化工作机制。加强安全态势感知平台建设和网络安全平台应用,落实常态化数据安全风险评估和检查机制,健全数据安全监测预警和应急处置机制。
4.深化大数据和新技术应用。做好税务统计标准与国家统计标准有效衔接,完善指标,打造税收分析拳头产品,服务政府决策。探索区块链技术在税收工作中的应用。推动住房建设、自然资源部门信息实时共享,实现不动产登记“一窗受理、并行办理”和网上(掌上)办税。
(二)进一步优化税务执法方式
5.严格税收管理权限。坚决维护税法权威,落实税收法定原则,规范税收政策管理,保障征纳双方合法权益。
6.维护税费征收秩序。坚持依法依规征税收费,坚决防止落实税费优惠政策不到位、征收“过头税费”及对税收工作进行不当行政干预等行为。加强对税收征收管理工作的组织领导,支持税务部门依法组织财政收入。动态把握经济税源,把依法和科学贯穿组织收入工作始终,将组织收入和税费优惠政策落实纳入执法督查重点统筹安排。
7.健全地方税费法规政策。稳步落实健全地方税费体系工作,配套做好涉税涉费地方性法规和政策措施的立改废释工作。适时修订《河北省税收征管保障办法》,推动其上升为地方性法规。做好非税收入管理法制化建设。
8.严格规范税务执法行为。进一步落实税务行政执法“三项制度”,2023年基本建成税务执法质量智能控制体系。规范税务行政处罚裁量权行使,推进京津冀统一税务行政处罚裁量基准,服务京津冀协同发展战略。
9.不断提升税务执法精确度。推广“说服教育”、“约谈警示”等非强制性执法方式,在税务稽查中开展“说理式执法”。运用税收大数据精准筛选中高风险纳税人,以“信用+风险”为基础实施精准执法,防止粗放式、选择性、“一刀切”执法。准确把握涉税违法与犯罪界限,做到罚当其责。在税务执法领域推广“首违不罚”清单。完善平台经济税收征管服务措施,以问题为导向完善税务执法。
10.推进税务执法区域协同。推进区域间税务执法标准统一,深化京津冀执法信息互通和结果互认。简化涉税涉费事项跨省迁移程序,落实全国通办事项清单,2022年基本实现资质异地共认,2025年基本实现全国通办。
11.加强税务执法内部控制和监督。升级内部控制监督平台,优化税务执法内控监督体系,2022年基本构建起全面覆盖、全程防控、全员有责的税务执法风险信息化内控监督体系。税务部门主动开展政策落实、风险应对和执法专项督察,积极配合审计部门对税务执法行为的监督。制定“一案双查”问题线索移交标准,规范税务稽查、督察审计等部门问题线索移交工作。
12.提升税收服务重大发展战略水平。围绕京津冀协同发展、雄安新区建设发展和北京冬奥会筹办等国家重大战略和国家大事,创新税收执法、服务、监管、共治措施。与京津加强协作,优化京津冀协同发展税收便利化举措,发挥京津冀协同发展促进作用;推动改革措施在雄安新区先行先试,打造先进的征管服务体系;完善服务和管理措施,在冬奥项目建设、冰雪产业发展等方面发挥税收作用。
(三)提供高效智能税费服务
13.实现税费优惠政策直达快享。依托税收大数据云平台,主动甄别符合享受优惠政策条件的纳税人缴费人,2022年实现通过电子税务局向纳税人缴费人精准推送税费政策,促进税费优惠政策落地,实现优惠政策直达快享。进一步简化税费优惠政策申报享受程序,持续扩大“自行判别、自行申报、事后监管”范围,确保便利操作、快速享受、有效监管。
14.大幅减轻办税缴费负担。利用已采集和共享数据,减少纳税人缴费人重复报送。全面推行税务证明事项告知承诺制,落实容缺办理事项配套制度,持续扩大涉税资料由事前报送改为留存备查的范围。
15.全面改进办税缴费方式。2021年年底前基本实现企业税费事项能网上办理、个人税费事项掌上办理,拓展“非接触式”、“不见面”办税缴费服务。推进电子化、要素化申报模式,2022年年底前探索个人所得税经营所得年度汇算和部分优惠政策自动预填申报。2022年实现增值税、消费税及附加税费,2023年年底前实现企业所得税、契税等税费的自动提取数据、计算税额和预填申报。
16.进一步压减纳税缴费次数和时间。依法简并部分税种征期,实现增值税、消费税主附税合并申报,大力推进税(费)种综合申报。加快企业出口退税事项全环节办理速度,2021年年底正常出口退税平均办理时间压缩至7个工作日内,2022年年底前正常退税平均办理时间压缩至6个工作日内,高信用级别企业进一步压缩时限。
17.积极推进智能型个性服务。改造12366税费服务平台,2022年基本实现全国咨询“一线通答”。建设远程问办中心,实现“远程帮办、问办结合”服务模式。运用大数据智能分析纳税人缴费人实际体验和个性需求,精准提供线上服务。优化设置现金税费征收窗口等线下服务,满足特殊人员、特殊事项服务需求。
18.完善纳税人缴费人合法权益保护机制。完善纳税人缴费人权利救济和税费争议解决机制,探索建立纳税人缴费人诉求有效收集、快速响应和及时反馈机制。做好纳税人缴费人信息管理和保护,依法严厉打击个人信息泄露和滥用行为。严格监督检查,依法严肃追究相关部门和人员疏于监管造成纳税人缴费人重大损失责任。
(四)精准有效实施税务监管
19.大力推行以“信用+风险”为基础的监管方式。全面推行实名办税缴费,将纳税信用融入河北社会信用体系,规范、完善守信激励、失信惩戒措施和办法,发挥纳税信用在“诚信河北”中的作用。推进京津冀纳税信用评价信息共享,结果跨省(市)查询和纳税信用激励。落实信用评价制度,对纳税缴费信用高的市场主体给予更多便利。推广动态“信用+风险”监管方式,健全以信用评价、监控预警、风险应对为核心的新型税收监管机制,逐步健全以“数据集成+优质服务+提醒纠错+依法查处”为主要内容的自然人税费服务与监管体系,完善高收入高净值人员的税费服务与监管机制。
20.加强重点领域风险防控和监管。推进风险分析结果分类处理,将高风险纳税人作为随机选案的主要对象。对逃避税问题多发的行业、地区和人群,根据风险适当提高“双随机、一公开”抽查比例,推进跨部门联合抽查。加强预防性制度建设,加大对隐瞒收入、虚列成本、转移利润以及利用“税收洼地”、“阴阳合同”和关联交易等逃避税行为的监督检查力度。
21.依法严厉打击涉税违法犯罪行为。实现发票开具、使用的全环节即时验证和监控,促进对涉税违法犯罪行为由事后打击向事前事中精准防范转变。健全涉税违法查处体系,推动建立常态化、制度化多部门合作机制。依托“互联网+监管”系统,打击“假企业”虚开发票、“假出口”骗取退税、“假申报”骗取优惠等违法犯罪行为。依法从严查处曝光重大涉税违法犯罪案件,将信用记录共享至全国信用信息平台,实施联合惩戒。
(五)深化拓展税收共治格局
22.持续加强部门协作。推动电子发票无纸化报销、入账、归档、存储。开展“银税互动”,助力缓解小微企业融资难融资贵问题。完善税务部门与自然资源、住房城乡建设、生态环境、市场监管等部门协作、信息共享和联动执法,做好地方税征收管理和跨部门协同监管,提升协作征管水平。
23.持续加强社会协同。引导行业协会和中介机构发挥作用,支持第三方按市场化原则为纳税人缴费人提供个性化服务。做好涉税中介机构监管、信用评级和复核,强化守信激励和失信惩戒。落实涉税专业服务信息公告和推送制度,拓宽渠道,便利纳税人缴费人自主选择。落实普法责任制,深化青少年税收法治教育,营造诚信纳税氛围。
24.持续加强税收司法保障。落实税务部门和公安机关联合办案机制,搭建税警协作信息平台,实现税务、公安部门内案件信息联通。依托“河北省打击涉税违法犯罪数据化合成作战指挥中心”,推动税警合署办公。税务部门主动配合检察机关查找不依法履行税务监管职责的行为。审判机关要落实案例指导工作有关规定,加强涉税涉费司法案例指导工作。
(六)切实强化税务组织保障
25.提升资源配置效率。完善纳税人缴费人分级分类管理,优化业务流程和岗责体系,适当上移全局性、复杂性税费服务和管理职责。科学配置人力资源,调优配强风险管理、税费分析、大数据应用、税务稽查等领域力量。
26.提升干部能力素养。推进税务干部与地方干部的交流,推进税务部门素质提升“1115”工程和“3613”人才培养计划。开展税收专业化能力培训,推动教育培训数字化转型。
27.提升绩效考核评价。推动绩效管理渗入业务流程、融入岗责体系、嵌入信息系统,提升自动化考评水平。完善税务系统个人绩效考评办法,优化结果运用。
三、组织实施
(一)健全推进机制,明确部门职责
各级党委和政府要建立联席会议制度,健全统筹协调机制,在依法依规征税收费、落实减税降费、推进税收共治、强化司法保障、深化信息共享、加强税法普及、强化经费保障等方面提供支持。省税务局要加强组织协调,牵头抓好贯彻落实。各部门要按照职责分工,抓好各项改革措施的落实。
(二)加强跟踪问效,严格督导考核
在税务领域深入推行“好差评”制度,建立健全定期监督检查和评估总结机制,促进改革目标落到实处。完善正负向激励机制,健全容错纠错机制,坚持做到“三个区分开来”,积极调动和激发各方积极性主动性创造性。
(三)加强宣传引导,营造良好氛围
各有关单位要积极配合税务部门做好改革宣传和解读工作,利用各类各级媒体和平台宣传改革部署、工作进展和取得成效。及时回应社会关切,正确引导社会预期,为改革营造良好社会环境和舆论氛围。
Ⅳ 公有链的安全主要由什么等方式负责维护
公有链:是指全世界任何人都可以随时进入到系统中读取数据、发送可确认交易、竞争记账的区块链。例如:比特币、以太坊。
私有链:是指其写入权限由某个组织和机构控制的区块链,参与节点的资格会被严格限制。
联盟链:是指有若干个机构共同参与管理的区块链,每个机构都运行着一个或多个节点,其中的数据只允许系统内不同的机构进行读写和发送交易,并且共同来记录交易数据。
联盟链是一种将区块链技术应用于企业的相对较新的方式。公有链向所有人都开放,而私有链通常只为一个企业提供服务,联盟链相对公链来说有更多限制,通常为多个企业之间的共同协作提供服务。
联盟链与公有链的不同之处在于,它是需要获得事先许可的。因此并不是所有拥有互联网连接的任何人都可以访问联盟区块链的。联盟链也可以描述为半去中心化的,对联盟链的控制权不授予单个实体,而是多个组织或个人。
对于联盟链,共识过程可能与公有链不同。联盟链的共识参与者可能是网络上的一组预先批准的节点,而不是任何人都可以参与该过程。联盟链允许对网络进行更大程度的控制。
那说到联盟链的优点:
首先,联盟链受一个特定群体的完全控制,但并不是垄断。当每个成员都同意时,这种控制可以建立自己的规则。
其次,具有更大的隐私性,因为来验证区块的信息不会向公众公开,只有联盟成员可以进行处理这些信息。它为平台客户创造了更大的信任度和信心。
最后,与公共区块链相比,联盟链没有交易费用,更灵活一些。公共区块链中大量的验证器导致同步和相互协议的麻烦。通常这种分歧会导致分叉,但联盟链不会出现这种状况。
联盟链技术可以用来优化大多数传统信息化系统的业务流程,特别适用于没有强力中心、多方协作、风险可控的业务场景。联盟链的共享账本机制可以极大降低该类场景下的对账成本、提高数据获取效率、增加容错能力、巩固信任基础、以及避免恶意造假。
随着区块链技术的不断发展,越来越多的机构与企业开始加大对区块链的研究与应用。相比公链而言,联盟链具有更好的落地性,受到了许多企业与政府的支持。
联盟链可以理解为是为了满足特定行业需求,内部机构建立起来的一种分布式账本。这个账本对内部机构是公开透明的,但如果有相关业务需求,对该账本的数据进行修改,则还是是需要智能合约的加入。
智能合约(Smart contract )是一种旨在以信息化方式传播、验证或执行合同的计算机协议。智能合约允许在没有第三方的情况下进行可信交易,这些交易可追踪且不可逆转。
总体来说,目前联盟链智能合约的主流架构是:系统合约 + 业务合约。
系统合约:在节点启动前配置完成,一般用于系统管理(如BCOS的预编译合约(权限管理、命名管理等),由项目方编写,安全性较高。
业务合约:根据实际业务编写而成,需要部署,类似公链智能合约,由一般内部机构参与方编写,需遵守一定的要求,安全性一般。
联盟链合约相较于常规公链在规范性、和安全性都有一定的提升,但在以下几个方面的安全性问题,仍可能存在安全风险:
(1)、代码语言安全特性
一种是继续沿用主流公链编程语言,并在其基础上改进(如:BCOS使用的solidity),另一种则是以通用编程语言为基础,指定对应的智能合约模块(如:fabric的Go/Java/Node.js),不管使用什么语言对智能合约进行编程,都存在其对应的语言以及相关合约标准的安全性问题。
(2)、合约执行所带来的安全性问题
整型溢出:不管使用的何种虚拟机执行合约,各类整数类型都存在对应的存储宽度,当试图保存超过该范围的数据时,有符号数就会发生整数溢出。
堆栈溢出:当定义方法参数和局部变量过多,字节过大,可能使程序出现错误。
拒绝服务攻击:主要涉及到的是执行合约需要消耗资源的联盟链,因资源耗尽而无法完成对应的交易。
(3)、系统机制导致的合约安全问题
这里主要是指多链架构的联盟链:
合约变量的生成如果依赖于不确定因素(如:本节点时间戳)或者某个未在账本中持久化的变量,那么可能会因为各节点该变量的读写集不一样,导致交易验证不通过。
全局变量不会保存在数据库中,而是存储于单个节点。因此,如果此类节点发生故障或重启时,可能会导致该全局变量值不再与其他节点保持一致,影响节点交易。因此,从数据库读取、写入或从合约返回的数据不应依赖于全局状态变量。
在多链结构下进行外部链的合约调用时,可能仅会得到被调用链码函数的返回结果,而不会在外部通道进行任何形式的交易提交。
合约访问外部资源时,可能会暴露合约未预期的安全隐患,影响链码业务逻辑。
(4)、业务安全问题
联盟链的智能合约是为了完成某项业务需求执行某项业务,因此在业务逻辑和业务实现上仍是可能存在安全风险的,如:函数权限失配、输入参数不合理、异常处理不到位。
我们对联盟链安全的建议:
(1)、简化智能合约的设计,做到功能与安全的平衡
(2)、严格执行智能合约代码审计(自评/项目组review/三方审计)
(3)、强化对智能合约开发者的安全培训
(4)、在区块链应用落地上,需要逐步推进,从简单到复杂,在此过程中不断梳理合约与平台相关功能/安全属性
(5)、考虑DevSecOps(Development+Security+Operations)的思想
链平台安全包括:交易安全、共识安全、账户安全、合规性、RPC安全、端点安全、P2P安全等。
黑客攻击联盟链的手法包括:内部威胁、DNS攻击、MSP攻击、51%的攻击等。
以MSP攻击为例:MSP是Fabric联盟链中的成员服务提供商(Membership Service Provider)的简称,是一个提供抽象化成员操作框架的组件,MSP将颁发与校验证书,以及用户认证背后的所有密码学机制与协议都抽象了出来。一个MSP可以自己定义身份,以及身份的管理(身份验证)与认证(生成与验证签名)规则。
针对MSP的攻击,一般来说,可能存在如下几个方面:
(1)、内部威胁:a)当前版本的MSP允许单个证书控制,也就是说,如果某个内部人员持有了可以管理MSP的证书,他将可以对Fabric网络进行配置,比如添加或撤消访问权限,向CRL添加身份(本质上是列入黑名单的身份),过于中心化的管理可能导致安全隐患。 b)如果有传感器等物联网设备接入联盟链,其可能传播虚假信息到链上,并且因为传感器自身可能不支持完善的安全防护,可能导致进一步的攻击。
(2)、私钥泄露,节点或者传感器的证书文件一般存储在本地,可能导致私钥泄漏,进而导致女巫攻击、云中间人攻击(Man-in-the-Cloud attack)等
(3)、DNS攻击:当创建新参与者的身份并将其添加到MSP时,在任何情况下都可能发生DNS攻击。向区块链成员创建证书的过程在许多地方都可能发生攻击,例如中间人攻击,缓存中毒,DDOS。攻击者可以将简单的DNS查询转换为更大的有效载荷,从而引起DDoS攻击。与CA攻击类似,这种攻击导致证书篡改和/或窃取,例如某些区块链成员将拥有的权限和访问权限。传感器网络特别容易受到DDOS攻击。智慧城市不仅面临着实施针对DDOS攻击的弱点的传感器网络,而且面临着弱点的伴随的区块链系统的挑战。
(4)、CA攻击:数字证书和身份对于MSP的运行至关重要。Hyperledger Fabric允许用户选择如何运行证书颁发机构并生成加密材料。选项包括Fabric CA,由Hyperledger Fabric,Cryptogen的贡献者构建的过程,以及自己的/第三方CA。这些CA本身的实现都有其自身的缺陷。 Cryptogen在一个集中的位置生成所有私钥,然后由用户将其充分安全地复制到适当的主机和容器中。通过在一个地方提供所有私钥,这有助于私钥泄露攻击。除了实现方面的弱点之外,MSP的整体以及因此区块链的成员资格都在CA上运行,并且具有信任证书有效的能力,并且证书所有者就是他们所说的身份。对知名第三方CA的攻击如果成功执行,则可能会损害MSP的安全性,从而导致伪造的身份。Hyperledger Fabric中CA的另一个弱点是它们在MSP中的实现方式。 MSP至少需要一个根CA,并且可以根据需要支持作为根CA和中间CA。如果根CA证书被攻击,则会影响所有根证书签发的证书。
成都链安已经推出了联盟链安全解决方案,随着联盟链生态的发展,2020年成都链安已配合多省网信办对当地政企事业单位的联盟链系统进行了从链底层到应用层多级安全审计,发现多场景多应用多形态的联盟链系统及其配套系统的漏洞和脆弱点。
并且,成都链安已与蚂蚁区块链开展了合作,作为蚂蚁区块链优选的首批节点加入开放联盟链,我们将发挥安全技术、服务、市场优势,与开放联盟链共拓市场、共建生态、并为生态做好安全保驾护航。
一方面我们的智能合约形式化验证产品VaaS将持续为开放联盟链应用提供『军事级』的安全检测服务,为应用上线前做好安全检测,预防其发生安全和逻辑错误;我们的『鹰眼』安全态势感知系统采用AI+大数据技术,为开放联盟链及其应用提供全面及时的『安全+运营』态势感知、链上合约风险监测、安全预警、报警、防火墙阻断及实时响应处理能力。
另一方面,我们的安全产品已经积累了数十万的客户群体,我们将发挥我们的全球客户资源和市场优势,与开放联盟链共拓市场。
在联盟链平台上,我们能提供全生命周期的整体安全解决方案,成都链安以网络安全、形式化验证、人工智能和大数据分析四大技术为核心,打造了面向区块链全生态安全的『Beosin一站式区块链安全服务平台』。
『Beosin一站式区块链安全服务平台』包含四大核心安全产品和八大明星安全服务,为区块链企业提供安全审计、虚拟资产追溯与AML反洗钱、安全防护、威胁情报、安全咨询和应急等全方位的安全服务与支持,实现区块链系统『研发→运行→监管』全生命周期的安全解决方案。
我们会积极发挥区块链安全头部企业优势,共同构建安全的区块链商业网络,推动区块链产业健康、安全的发展,探索区块链未来的无限可能。