10月19日,国家标准《信息安全技术区块链信息服务安全规范》研制启动会召开。本次启动会旨在落实相关工作要求,推动《安全规范》标准的编制工作,中国科学院信息工程研究所将负责组织实施标准的编制、推进等工作。
10月19日,国家标准《信息安全技术区块链信息服务安全规范》研制启动会召开。本次启动会旨在落实相关工作要求,推动《安全规范》标准的编制工作,中国科学院信息工程研究所将负责组织实施标准的编制、推进等工作。
“《安全规范》标准的制定和出台,对于区块链行业整体发展上有着很好的推动和促进作用;对于部分非法觊觎者和短期利益者,也有着较强的震慑作用;对于行业标准化、规范化的发展,有着很好的敦促和指引作用。”字节互链ByteLinkCEO杜超向《链新》表示。
技术安全存隐患
“区块链究竟安不安全,这个问题是仁者见仁智者见智。”佰链荟创始人、中国区块链应用研究中心研究员辛泓睿向《链新》表示。
广东:推动区块链与数字经济深度融合:金色财经报道,广东省人民政府今日印发《广东省科技创新“十四五”规划》,其中指出围绕区块链等领域实施研发专项,推进可信数据服务网络基础设施建设,研发自主可控、互联互通的区块链开源平台。聚焦数学、信息科学、密码学等基础科学和应用科学开展研究,强化共识机制、智能合约、加密算法、分布式存储、跨链及分片等关键核心技术攻关,探索区块链与新一代信息技术融合应用,形成区块链技术研发和产业应用高地。在新兴产业集群方面,区块链与量子信息是十大战略性新兴产业集群之一,突破一批区块链底层核心技术、组件化通用技术、细分行业专用技术,打造自主可控的区块链底层平台。重点在区块链通等领域开展关键核心技术攻关和融合应用,探索标准规范制定,推动区块链等等新兴平台软件创新应用,推动区块链与数字经济、民生服务、社会治理等领域深度融合。发展区块链等新兴数字产业,加快区块链等技术手段在公共安全风险防控领域的融合与应用加强区块链等信息技术在科技计划管理中的应用,提高科技创新资源配置效率。[2021/10/13 20:26:45]
辛泓睿认为,区块链安全主要涉及两大类:一是区块链+产业生态的安全;二是区块链+政务。区块链安全主要内容包括:技术安全,例如智能合约以及虚拟机的安全、密码学与网络安全、存储安全等;应用安全,例如金融安全、审计安全等;以及监管安全等安全性要求。
民政部关停中国区块链应用研究中心等13家非法社会组织网站:近日,民政部、中央网信办、工业和信息化部深入贯彻落实党中央决策部署,持续发力,精准打击,依法关停了2021年第五批13家非法社会组织网站及其新媒体账号,清除了有关关联网页。此次的关停涉及全国乡镇长联谊会、全国名人书画艺术界联合会、全国政府法律服务联盟、中国保健营养理事会、中国区块链应用研究中心等13家已被取缔的非法社会组织。(界面新闻)[2021/8/17 22:19:08]
2016年6月17日,区块链业界最大的众筹项目TheDAO(被攻击前拥有1亿美元左右资产)遭到攻击,导致300多万以太坊资产被分离出TheDAO资产池。2017年7月19日,多重签名钱包Parity1.5及以上版本出现安全漏洞,15万个以太坊被盗,共价值3000万美元。这些上亿元的安全损失只是因为一行代码引起的。
“从技术角度来讲,区块链面临的安全问题,既来自于区块链本身,也有其他技术发展产生的潜在威胁。”比特大学联合创始人、副校长王继尧向《链新》表示。
区块链智能情报平台PARSIQ实时监控功能已上线Solana:区块链智能情报平台PARSIQ宣布与Solana区块链进行最新的集成,其实时监控功能已上线Solana。PARSIQ集成Solana以后,Solana网络上的用户可以享受PARSIQ生态的好处。通过PARSIQ的推式数据流聚合器(该聚合器在实时数据流的基础上增加可编程性),用户利用简单的脚本语言就可以组合独立的数据流,并编写任意反应式方案。用户无需考虑环境、服务器配置和运行时管理。 PARSIQ甚至为用户提供自己的可编程数据存储,他们可以在脚本插入辅助数据(例如地址集、属性等)。[2021/2/28 18:00:56]
据王继尧分析,以较为重视安全维度的公链系统自身来讲,目前公认较为安全的是比特币网,运行超过十年年没有遇到较严重的安全问题,主要原因是其在脚本上限制了开发拓展性,且节点数量相对较多,保证了链的安全稳定。
相比之下,可编程的区块链系统及其链上应用,在编程过程中难免产生漏洞,如近期以太坊上的一些DEFI项目,由于部分合约未经审计以致漏洞未被发现,导致项目不得不暂停运行。
声音 | 刘旭光:可利用区块链等技术优化中小企业的金融生态:据成都日报消息,今日成都市政协十五届二次会议举行的联组讨论会上,就如何解决民营中小企业“融资难、融资贵、融资慢”,民盟成都市委会主委刘旭光建议大力发展一种新的金融产品,嵌入区块链、大数据等优化中小企业的金融生态。设立供应链金融建设引导专项基金,建立以政府引导、民间资本为主的融资模式,重点支持物流、农牧、工业等传统实体产业。[2019/1/24]
“近年来,区块链安全方面,绝大多数的问题还是黑客攻击,另外也出现过信息和隐私泄漏风险;数字加密资产领域出现较多的道德风险以及潜在的非法信息和资金传递风险。”杜超向《链新》表示。
杜超认为,黑客攻击和开发者的道德风险,一定程度上可以通过技术发展以及逐渐健全、合规的代码审计机制有所控制;而信息和隐私泄漏以及使用者道德风险,一定程度上可以通过风险意识教育进行部分规避。
YeeCall成立区块链技术等前沿技术研究院:据中证网报道,出海通讯社交应用“YeeCall(一块)”正式成立了前沿技术研究院YeeLab,重点研究人工智能、区块链等技术在通讯、社交场景的落地。[2017/12/29]
“归根结底,这几块的风险会持续存在。其中对公共安全有较大潜在危害的‘非法信息和资金传递’风险,比较复杂且难以侦测,但有可能造成极为严重的危害,比如:极端组织非法信息传递以及跨境等。”
寻找解决方案
“区块链的安全问题是区块链技术的核心命题,有效解决安全问题将很大程度助力区块链发展。”王继尧说。
“正如DEFI的去中心化金融给未来金融提供了很多解决方案参考一样,对于目前产生的各种区块链漏洞,同样可以进行分类定级,建立一些常见的漏洞及安全识别体系,这有助于提升行业整体安全识别水平。”
王继尧认为,从技术手段上,通过建立可信的代码审计体系,可以一定程度上避免安全漏洞。整体而言,区块链的安全相关细则制定,需要涵盖公链、联盟链、智能合约及链上应用,这是一个长久的过程,需要建立标准细则、完善体系等,“现在相关安全细则已经着手制定,这是一个好的开始。”
与此同时,也需要建立项目、公司、个人用户的安全意识。“比如,用户不去参与未经代码审计的项目,这就会倒逼项目或企业完成代码的安全审计。再比如,一些设计BAAS服务类的平台,对于用户构建的技术模块,也应该考虑像以太坊网络一样,嵌入一个代码漏洞识别与审计功能,提升平台整体安全质量。这既需要商业机制的倒逼,也需要行业广泛宣传。”王继尧强调。
“当前区块链技术在各场景应用的过程中,主要存在密钥泄露、账号盗用、DDoS攻击、协议漏洞、合约漏洞、应用软件漏洞等安全隐患。”辛泓睿认为,可结合场景特点,从物理设施、区块链底层协议、应用层面针对性展开安全风险防范,开展代码审计工作,部分法规代码化,内置于区块链系统,打造符合国家安全要求的自主可控的区块链平台和应用。
“安全永远是人们最关心的问题,计算网络的安全性风险都可以通过技术来解决,来自用户钱密钥泄露、账号盗用的安全主要通过提高用户的安全意识,加强自我防范来实现。”辛泓睿表示。
目前,在高效低能耗、安全与去中心化这几个主要设计目标上,区块链技术存在“不可能三角”。如果选择去中心化和高效低能耗,则要牺牲安全性,特别是在金融领域,几乎可以一票否决;如果选择去中心化和安全,舍弃高效低能耗,必然导致交易模式和场景的极大压缩,几乎是在所有主流业务上的全面撤退;最后,如果选择高效低能耗与安全性,又极大损害了区块链的预期发展前景。
“目前市场上相关企业掌握的区块链技术,没有太大差异,区块链应用需要解决的是基础理论上的问题,这是政府部门、科研机构牵头承担的任务。”辛泓睿表示。
期待标准出台
“行业开始着手研究制定《安全规范》,恰恰体现了行业的蓬勃发展,并向着产业化、正规化方向迈进,这是我们喜闻乐见的。将对行业的安全防护、代码审计相关的项目和公司有比较好的促进作用。”王继尧表示。当下中国区块链产业处于高速发展阶段,国内主流金融机构、科技企业等纷纷加快区块链应用投入,区块链技术的应用领域从最初的金融逐步拓展到政务服务、供应链管理、工业制造等多个方面,新应用、新业态正在快速落地。
“区块链当前不成熟,但有发展潜力。”辛泓睿认为,虽然区块链行业总体仍处于发展早期,很多人研究区块链底层技术,但到一定程度就很难有进展,需要有实际应用场景拉动。“现在区块链应用落地项目,依然是一个痛点。要防范打击,否则这些行为容易影响行业的发展和声誉。同时,要鼓励技术研究,踏踏实实做技术,不要天天炒概念。区块链相对来说还是比较好管理,以链管链,以技术管技术。”
鉴于当前的技术缺陷,在区块链应用落地项目中,王继尧认为,应该“强化代码审计,产业端联盟链或开放联盟链,完善自主核心关键技术,尽量采用完全自主研发的技术架构,并制定相应标准。”
杜超建议,重视区块链行业监察、监管,建立有效的、快速的、多部门多层级共同协调的工作机制;加速推动密码学和隐私保护等技术的发展和研究;逐步建立、健全有法律法规基础的代码审查、备案机制;加大从业者普法以及行业自律教育。
“《安全规范》标准的制定,将解决好监管的问题,有助于保障区块链产业的健康发展。”辛泓睿认为,国家标准《安全规范》制定,将有利于研究区块链信息服务安全风险,提出安全要求和测试评估方法,指导区块链信息服务提供者开展安全建设和安全评估,进一步推进‘互联网信用’监管,利用区块链、大数据、人工智能等技术手段,加强对行业和个人的信用信息的归集共享和分析应用,为数字人民币的开发提供支持,同时将推动云计算、物联网、区块链、5G等新一代信息技术与智慧信息系统的融合升级。
作者|冯铭
编辑|尹岳
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。