观察｜新应用、新业态正在快速落地，区块链安全如何保障？

随着区块链技术的不断推进与应用的落地普及，区块链安全成为网络安全防范的重点领域之一。

8月3日，工业和信息化部办公厅发布关于开展2020年网络安全技术应用试点示范工作的通知。根据通知，区块链安全成为新型信息基础设施安全类中的重点申请类别。

通知还给出了区块链安全应用的方向：结合供应链管理、电子交易、数字版权、保险、社会救助等区块链技术典型应用场景网络安全需求，在身份验证、安全存储、存证取证、数据共享流通等方面的安全解决方案，以及区块链基础设施、区块链平台、区块链服务等方面的安全监测、防护、测试验证解决方案。

对此，浙江大学区块链研究中心常务副主任蔡亮指出，区块链安全纳入2020年网络安全技术应用试点，对于推动新一代信息技术与网络安全技术融合创新，提高用户数据信息的安全性，强化新型信息基础设施安全保障能力具有重要作用。

区块链安全如何划分

针对工信部对区块链安全应用内容的划分，中国互联网金融创新研究院副院长邓建鹏表示，这其实涉及两大类，一是区块链＋产业生态的安全（如电子交易、版权），二是区块链＋政务（如身份验证、存证等）。

“这两大类目前是区块链应用逐渐进入成熟形态的主要表现，因此，注重这两大领域的风险防范，为产业或政务的发展打下良好基础。”他说。

而根据蔡亮介绍，区块链安全包括了技术安全，例如智能合约以及虚拟机的安全、密码学与网络安全、存储安全等；应用安全：例如金融安全、审计安全等；以及监管安全等安全性要求。

他认为，当下我国区块链产业处于高速发展阶段，国内主流金融机构、科技企业等纷纷加快区块链应用投入，区块链技术的应用领域从最初的金融逐步拓展到政务服务、供应链管理、工业制造等多个方面，新应用、新业态正在快速落地，如果缺乏行业安全规范与监管体系将会带来一系列隐患。

“以金融安全为例，近日央行下发的《推动区块链技术规范应用的通知》及《区块链技术金融应用评估规则》也对区块链应用安全提出了具体要求。”蔡亮说道。

针对安全隐患进行安全风险防范

区块链技术在应用中存在哪些安全隐患？

蔡亮表示，当前区块链技术在各场景应用的过程中，主要存在密钥泄露、账号盗用、DDoS攻击、协议漏洞、合约漏洞、应用软件漏洞等安全隐患。

邓建鹏举例道：“比如虽然区块链有防删改的功能，但是上链前信息若伪，并不能保证之后区链上存证的信息即真。因此，需要加强数字版权、电子交易等领域安全风险防范。另外就是诸如电子交易可能出现抗审查的匿名现象，存在违法犯罪的可能性。还有违法违规信息上链的风险等。”

针对这一系列安全问题，蔡亮建议应结合场景特点，从物理设施、区块链底层协议、应用层面针对性展开安全风险防范。

针对代码层面可能引入的漏洞，他主张使用安全的开发工具进行规范和约束，并开展代码审计工作，降低编码过程引入的安全漏洞；同时需要针对区块链底层、应用场景、攻击模式等方面相应进行安全性测试和评估，及时发现运行环境、底层协议、智能合约以及上层应用中可能存在的安全漏洞。

针对底层和应用层等不同层面可能面对的流量攻击威胁，蔡亮表示，应要求底层和应用层有相应流控机制，能够及时识别和防范网络中的异常攻击流量。

那么，政府、企业又能为之做些什么？

邓建鹏一方面建议工信部会同有关部门或者行业制定技术标准，另一方面，他指出要推进监管科技（比如部分法规代码化，内置于区块链系统），对区块链代码进行合规审查。

蔡亮也表示出类似观点：“政府及相关机构应持续推进区块链安全标准化，完善监管机制与审查机制规范区块链技术应用发展；同时也需要加强监管，以技术创新为核心、法律约束为辅助，推进相应技术与应用的合规监管。”

此外，蔡亮称，相关区块链企业需要加强核心技术攻关与研发，确保区块链技术及应用的自主可控。打造符合国家安全要求的自主可控的区块链平台和应用。