当前位置: 管理办法   信通院《区块链安全白皮书》:亚洲超500项活跃项目,我国集中于行业应用模式探索

信通院《区块链安全白皮书》:亚洲超500项活跃项目,我国集中于行业应用模式探索

发表于:2018-09-20 关注 

  信通院《区块链安全白皮书》:亚洲超500项活跃项目,我国集中于行业应用模式探索

来源:BiaNews  时间:9月20日


 

  BiaNews 昨天Bianews报道,今日,中国信息通信研究院在2018国家网络安全宣传周上发布《区块链安全白皮书-技术应用篇》。

  信通院院长刘多表示,区块链安全白皮书探讨了区块链技术架构、安全风险和应对框架,旨在呼吁理性看待区块链技术优势,强化安全风险应对,切实保障区块链技术的健康有序发展。

  白皮书在对全球区块链安全情况的总观概述中指出,区块链逐渐成为解决网络和数据安全存储、传播和管理问题的有效手段,区块链技术生态基本成型,网络安全应用开始落地。

 

  1121项全球较活跃区块链项目

  亚洲593项,金融应用成熟

  信通院对1121项全球范围内较活跃区块链项目进行了统计,从项目数量上看,亚洲地区以593项居首,新加坡、日本、中国香港等国家和地区依托其传统金融优势,发展了一批成熟的区块链金融应用。

  北美地区的区块链项目以美国和加拿大为主,已有大量成熟高的项目和技术应用落地,其中不乏 IBM、Microsoft、Amazon 等科技巨头。

  欧洲地区以英国和瑞士为首,在发展区块链金融应用的同时,着重与传统行业结合,尤其是在爱沙尼亚、马耳他等国,在国家层面大力支持和主导,给区块链提供了大量的发展应用空间。

  非洲地区由于监管政策宽松、挖矿成本低等原因,虽然在区块链应用方面较为单一,基本集中在数字货币、交易所上,但也形成了一定的应用规模。

  大洋洲地区的区块链应用大多集中在澳大利亚和新西兰两国,但受限于当地严格的金融监管政策和高额的挖矿成本,发展规模和发展速度有限。

  南美洲地区的现有项目则主要活跃在加密货币交易领域。

 

  各国看待区块链趋于理性

  鼓励技术创新应用发展,推动安全问题应对

  但白皮书同时指出,市场繁荣背后,区块链安全问题逐渐浮出水面,引发各界安全思考,一方面,其共识机制、 私钥管理、智能合约等存在的技术局限性和面临的安全问题逐渐显现, 区块链平台应用等安全事件层出不穷。另一方面, 区块链去中心、自治化的特点给现有网络和数据安全监管手段带来了新的挑战。

  对此,各国对区块链的态度也逐渐趋于理性,在鼓励技术创新和应用发展的同时,也在积极推动区块链安全风险、安全问题的发现和应对:

  英国:推动政产学研各界合作,提出“技术+法律”的区块链监管新模式

  早在2016年1月,英国政府科学办公室就发布《分布式记账技术:超越区块链》研究报告,建议英国政府加强与学术界、产业界的合作,以技术监管为核心,法律监管为辅助,双措并举打造区块链监管新模式。

  2018年,英国政府宣布将启动新的加密货币研究工作,与金融市场行为监管局(FCA)和英格兰银行合作,探索比特币等加密货币带来的潜在风险。此外,企业方面也在积极投入区块链安全研发。

  美国:鼓励探索区块链在安全领域的应用,注重区块链安全风险技术应对

  2018年,美国国会发布《2018年联合经济报告》, 提出区块链技术可以作为打击网络犯罪和保护国家经济和基础设施的潜在工具,指出这一领域的应用应成为立法者和监管者的首要任务。

  2017年,特朗普签署一份7000亿美元的军费开支法案,呼吁“调查区块链技术和其他分布式数据库技术的潜在攻击和防御网络应用”,支持美国国土安全部 (DHS)开展的加密货币跟踪、取证和分析工具开发项目。

  美国国家安全局(NSA)还开发比特币用户追踪和识别工具,监控通信内容并识别加密货币用户。美国各大企业也积极投入提升区块链安全的技术研发中。

  欧洲:指出区块链监管机制不成熟,呼吁正视区块链安全风险

  欧洲各国对待区块链和加密货币技术的态度不一,如法国政府对区块链技术表现出兴趣,但尚未在区块链领域实施重大举措,而瑞士、 德国则积极发展区块链技术和应用,并先后开启区块链在本国的规范化应用进程。

  2016年3月,欧洲央行在《欧元体系的愿景——欧洲金 融市场基础设施的未来》报告中提出,欧洲央行正在探索如何使区块链技术为己所用。欧洲证券和市场管理局(ESMA)成立区块链研究小组,并于2016年6月发布报告指出,现阶段区块链技术应用的数量和范围有限,监管机制并不成熟。

  此外,新加坡、俄罗斯、加拿大等国也相继通过发布政策文件、成立区块链技术研究机构等不同举措,积极开展区块链技术研究,尤其是在金融等领域探索区块链应用新模式。

  而国际标准化组织和开源组织已开始启动区块链安全标准化工作,规范区块链技术应用发展。ITU、ISO、W3C、GSMA、IRTF/IETF 等国际标准化组织已在区块链技术参考架构、智能合约安全等相关方面开展了大量的标准化工作。

  ITU:同步推进区块链技术安全和场景安全分析相关议题;ISO:设立多个研究组和工作组,推进区块链安全标准研究;W3C:聚焦从细分技术层面创建安全规范的区块链标准;GSMA:关注区块链技术在通信和安全领域应用;IRTF/IETF:研究区块链安全和隐私保护技术方案。

  除国际标准化组织外,以太坊、R3 CEV、Hyperledger-fabric等国际开源平台和联盟也对区块链开源框架、开发规范等作出了积极的探索。

 

  我国区块链发展集中于行业应用模式的探索

  安全产品服务市场未形成规模,安全服务类项目仅占 4.5%


  在区块链发展应用层面看,目前我国区块链发展多集中于行业应用模式的探索,区块链应用技术生态结构与国外基本一致。

  对此,白皮书也给出几组数据:从技术生态格局上看,在我国的区块链项目中,55.4%的项目聚焦探索区块链行业应用,其次是区块链底层技术项目占 31.6%,硬件和基础设施类项目占 8.5%,而安全服务类项目仅占 4.5%。

  但同时,“区块链传销”、“山寨币”、“空气币”等行业骗局,虚假、夸大宣传区块链产品功能作用等行业乱象,仍亟待解决和优化。但多数区块链技术开发者、平台运维者、用户等安全意识普遍不高,区块链安全产品和服务的需求驱动尚不明显,中小企业、创业团队中尤甚,多种因素导致我国区块链安全产品和服务市场尚未形成规模。

  但我国在国家标准、行业标准、产业联盟标准等不同层面也在全面推进区块链安全标准化工作,致力于促进区块链技术的安全、有序和长效应用。

  区块链技术本身仍存在一些内在安全风险,去中心化、自组织的颠覆性本质也可能在技术应用过程中引发一些不容忽视的安全问题,区块链技术典型应用架构存在不同的安全风险,并给监管也带来了一定挑战。

 

  交易所被攻击、虚拟货币被盗窃多因代码层面安全问题

  应对安全风险首先实现安全开发

  白皮书也给出了区块链技术安全风险应对框架,综合考虑其技术架构本身,以及应用在不同场景中可能面临的各类安全风险,根据存储层、协议层、扩展层、应用层等不同层面的风险来源和成因,从编码、部署、管理等环节实施针对性的应对措施以降低风险。

  白皮书还提出,要应对安全风险,首先要实现安全开发。实施规范的开发流程,使用规范的开发和编译工具,预留充分的上线试运营周期等,降低编码过程中引入安全风险的几率。

  白皮书指出,近年来屡屡发生的交易所被攻击、虚拟货币被盗窃等事件中,有大量事件是由于代码层面的安全问题所引发,区块链开发者应在产品上线发布前,采用自动化或人工的方式,对代码架构、逻辑流程、关键功能模块开展足够的静态代码分析、交互式代码审计等源代码安全检查工作,以检查代码中的安全缺陷和安全隐患。

  此外,进行安全评估和测试、安全配置,平台、系统维护者需要实施安全的配置以限制脆弱性的暴露,从各方面缩小攻击面,要进行输入校验以降低恶意代码执行和逻辑错误风险。

  同时进行加密存储/传输,节点/数据安全验证,身份认证和权限管理以及流量清洗和必要的安全防护产品/服务。

  白皮书也给出几项促进区块链技术安全应用的建议:强化推动区块链安全产品和服务市场发展,鼓励自主可控的区块链平台和应用开发。

  创新监管手段,强化区块链平台和应用监管力度,打造区块链安全监测和监管平台技术实力。

  强化技术风险研究,针对区块链安全风险开展持续性、常态性研究。集中力量攻关区块链风险应对技术。

  加强区块链网络犯罪风险防范,促进国际合作治理,积极凝聚国际共识,深化全球监管合作,探寻跨国治理有效手段。

  白皮书最后还介绍了我国企业区块链网络安全相关实践,包括中国移动研究院研发的基于区块链管理PKI数字证书;360的EOSIO-BP节点和钱包APP安全审核方案;腾讯对区块链安全的应用及应对实践,如感知区块链安全威胁的“守护者计划”、抗篡改的司法联盟链、在供应链金融安全领域推出的微企链、区块链数字资产方面推出的微黄金。

  以及平安科技基于区块链团队自主研发的FiMAX框架搭建的壹账链BaaS平台,应用隐私保护技术和高效率高性能底层技术等;观安在区块链移动用户数据资产安全方面的管理实践,此外,还介绍了京东的区块链防伪追溯平台。