在北京市政协十三届三次会议上,北京市政协委员,奇安信集团董事长齐向东带来了关于加强区块链安全建设的提案。
齐向东表示,目前全球主要国家都在加快布局区块链技术发展。区块链技术应用已延伸到数字金融、物联网、智能制造、供应链管理、数字资产交易等多个领域,这些场景对安全性的要求极高,然而区块链安全问题也日趋突出,重大安全事件频发,攻击手段层出不穷,造成巨大的经济损失。
具体来讲,区块链的安全问题主要存在于三个方面:
一、自身机制存在诸多漏洞。
区块链的系统安全是一个整体性概念,它受到各级安全因素的共同影响。数据层、网络层、共识层、激励层、合约层、应用层各司其职、相互配合,实现去中心化的信任机制。
在不同层级上,广泛存在着算法漏洞、协议漏洞、使用漏洞、实现漏洞、系统漏洞,比如在编写智能合约时很可能会有意无意间引入安全性漏洞,区块链的底层源码也可能存在整数溢出漏洞、短地址漏洞和公开函数漏洞等各种漏洞。
攻击者可以利用这些漏洞自由发布非法内容,传播蠕虫、木马、病毒,以及实施著名的51%攻击、日蚀攻击、路由攻击、DdoS攻击等,这些攻击不易检测、传播迅速。
二、隐私泄露风险日益突出。
相对于传统的中心化存储架构,区块链机制不依赖特定中心节点处理和存储数据,因此能够避免集中式服务器单点崩溃和数据泄露的风险。
但是为了在分布式系统中的各节点之间达成共识,区块链中所有的交易记录必须公开给所有节点,数据在所有用户侧同步记录和存储,攻击者可以通过在网络层、交易层和应用层发动不同形式的攻击,在更多的位置获取数据副本,达到窃取隐私、分析区块数据提取用户画像等目的。
三、数据安全及监管面临挑战。
区块链的数据存储结构决定了区块链难以篡改的特性,加之区块链的匿名性,给数据安全和网络监管带来巨大挑战。
区块链上的数据难以通过传统的方式进行修改和删除,一旦暴恐、色情等有害信息被写入区块链中,不但可利用其同步机制快速扩散,也难以进行修改、删除,增加了有害信息上链的监管难度;
区块链数字货币为洗钱、勒索病毒等犯罪活动提供了一条安全稳定的资金渠道,促进了地下黑市的运行;
区块链数字货币使跨国境的资金转移变得更为简单,将有可能损害各国的金融主权,影响金融市场的稳定;
监管方难以通过这些敏感信息和涉及违法犯罪交易的发送方地址找到发送方的真实身份。
齐向东表示,北京作为监管机构集聚的金融中枢,大力发展金融科技是北京建设科技创新中心的重要支撑和组成部分。建议市委市政府和相关管理机构,加强对区块链技术的引导和规范,区块链的建设中,加强对安全“三同步”的密切跟踪,使区块链技术在建设网络强国、发展数字经济、助力经济社会发展等方面发挥更大作用。
具体建议如下:
一、对区块链建设中的安全预算进行强制要求。强制要求区块链建设中的安全预算不低于20%,保证安全技术措施同步规划、同步建设、同步使用。
二、对区块链运营中的安全维护进行强制要求。要求区块链的开发者、运营方注重自身系统安全性,定期进行代码审计,包括交易安全审查和访问控制审查、定期更新补丁、启用设备防火墙、禁用路由器中不必要的组件等,争取在攻击者发现漏洞之前修复安全问题。
三、加大“监管沙盒”创新力度,为全国统一监管提供范式。2019年12月,北京率先开展了“监管沙盒”试点,建议在实施过程中,对国际上的一些经验先吸收借鉴、先行试用,与参与企业加强良性沟通互动,为我国构建完整的监管沙盒体系提供示范模板。
来源:澎湃新闻
作者:李文姬