區塊鏈系統等保測評

⑴ 區塊鏈如何保證使用安全

區塊鏈項目（尤其是公有鏈）的一個特點是開源。通過開放源代碼，來提高項目的可信性，也使更多的人可以參與進來。但源代碼的開放也使得攻擊者對於區塊鏈系統的攻擊變得更加容易。近兩年就發生多起黑客攻擊事件，近日就有匿名幣Verge（XVG）再次遭到攻擊，攻擊者鎖定了XVG代碼中的某個漏洞，該漏洞允許惡意礦工在區塊上添加虛假的時間戳，隨後快速挖出新塊，短短的幾個小時內謀取了近價值175萬美元的數字貨幣。雖然隨後攻擊就被成功制止，然而沒人能夠保證未來攻擊者是否會再次出擊。

當然，區塊鏈開發者們也可以採取一些措施

一是使用專業的代碼審計服務，

二是了解安全編碼規范，防患於未然。

密碼演算法的安全性

隨著量子計算機的發展將會給現在使用的密碼體系帶來重大的安全威脅。區塊鏈主要依賴橢圓曲線公鑰加密演算法生成數字簽名來安全地交易，目前最常用的ECDSA、RSA、DSA 等在理論上都不能承受量子攻擊，將會存在較大的風險，越來越多的研究人員開始關注能夠抵抗量子攻擊的密碼演算法。

當然，除了改變演算法，還有一個方法可以提升一定的安全性：

參考比特幣對於公鑰地址的處理方式，降低公鑰泄露所帶來的潛在的風險。作為用戶，尤其是比特幣用戶，每次交易後的余額都採用新的地址進行存儲，確保有比特幣資金存儲的地址的公鑰不外泄。

共識機制的安全性

當前的共識機制有工作量證明（Proof of Work，PoW）、權益證明（Proof of Stake，PoS）、授權權益證明（Delegated Proof of Stake，DPoS）、實用拜占庭容錯（Practical Byzantine Fault Tolerance，PBFT）等。

PoW 面臨51%攻擊問題。由於PoW 依賴於算力，當攻擊者具備算力優勢時，找到新的區塊的概率將會大於其他節點，這時其具備了撤銷已經發生的交易的能力。需要說明的是，即便在這種情況下，攻擊者也只能修改自己的交易而不能修改其他用戶的交易（攻擊者沒有其他用戶的私鑰）。

在PoS 中，攻擊者在持有超過51%的Token 量時才能夠攻擊成功，這相對於PoW 中的51%算力來說，更加困難。

在PBFT 中，惡意節點小於總節點的1/3 時系統是安全的。總的來說，任何共識機制都有其成立的條件，作為攻擊者，還需要考慮的是，一旦攻擊成功，將會造成該系統的價值歸零，這時攻擊者除了破壞之外，並沒有得到其他有價值的回報。

對於區塊鏈項目的設計者而言，應該了解清楚各個共識機制的優劣，從而選擇出合適的共識機制或者根據場景需要，設計新的共識機制。

智能合約的安全性

智能合約具備運行成本低、人為干預風險小等優勢，但如果智能合約的設計存在問題，將有可能帶來較大的損失。2016 年6 月，以太坊最大眾籌項目The DAO 被攻擊，黑客獲得超過350 萬個以太幣，後來導致以太坊分叉為ETH 和ETC。

對此提出的措施有兩個方面：

一是對智能合約進行安全審計，

二是遵循智能合約安全開發原則。

智能合約的安全開發原則有：對可能的錯誤有所准備，確保代碼能夠正確的處理出現的bug 和漏洞；謹慎發布智能合約，做好功能測試與安全測試，充分考慮邊界；保持智能合約的簡潔；關注區塊鏈威脅情報，並及時檢查更新；清楚區塊鏈的特性，如謹慎調用外部合約等。

數字錢包的安全性

數字錢包主要存在三方面的安全隱患：第一，設計缺陷。2014 年底，某簽報因一個嚴重的隨機數問題（R 值重復）造成用戶丟失數百枚數字資產。第二，數字錢包中包含惡意代碼。第三，電腦、手機丟失或損壞導致的丟失資產。

應對措施主要有四個方面：

一是確保私鑰的隨機性；

二是在軟體安裝前進行散列值校驗，確保數字錢包軟體沒有被篡改過；

三是使用冷錢包；

四是對私鑰進行備份。

⑵ 區塊鏈技術國家標准什麼時候完成

我國已著手建立區塊鏈國家標准，以從頂層設計推動區塊鏈標准體系建設，預計最快將於2019年底完成。

對此，北京華順信安科技有限公司創始人趙武也表示，區塊鏈雖然具備顛覆性的技術潛力，但我們必須認識到，區塊鏈仍處於初期，遠遠沒有達到可以顛覆世界的階段。

俞克群強調，自主可控的區塊鏈網路，意在技術上不能受制於人，同時也可以促進區塊鏈健康發展。安全是區塊鏈未來的生命，只有本身的安全才能使得區塊鏈技術落地。這就要求我們在區塊鏈技術發展的同時，必須並重發展其安全屬性，甚至是超前發展。

對此，李鳴也表示，標准中重要一塊是信息安全的標准，也可以看出安全對於區塊鏈技術的重要性。他同時指出，區塊鏈標準的制定不意味著會快速推進行業發展，而是給行業一定指引。此前，中國在國際知識產權和標准等方面吃過很多虧，在區塊鏈方面，中國目前已經形成了國際化區塊鏈方面的200多項專利，甚至已站在世界技術前列。因此，我們也需要牢牢把握住自己的話語權。

內容來源新華網

⑶ 區塊鏈技術標准體系已經完善了嗎

日前有專家表示，區塊鏈就像是1992年的互聯網，標准化還沒有完全做完，應用和推廣還會受到限制，處在早期的技術儲備階段，一旦有了標准，各種技術研發才能走得下去。

目前中國互聯網金融協會在2018年的工作重點之一就是要積極推進標准化建設，「區塊鏈要有一個新的技術標准體系，特別是還要建立一個權威的第三方認證的系統，這是區塊鏈金融發展的當務之急」。

雖然從目前來看，監管層對區塊鏈相當關注，但主要是集中於金融領域，特別是去年下半年對虛擬貨幣和ICO（首次幣發行）採取了嚴控措，從區塊鏈整個行業的發展來看，法律和監管仍然相對滯後。與海外先進國家相比較，缺乏對區塊鏈進行定義並管理其交易和交易平台的專門法律。

希望區塊鏈的標准可以早日完善。

內容來源：比特110網

⑷ 區塊鏈技術的特徵

區塊鏈技術的五個基本特點如下：
1、區塊鏈技術特點一：分布式資料庫
區塊鏈上的每一方都可以訪問整個資料庫及其完整的歷史記錄。 沒有單一方控制數據或信息。 每一方都可以直接驗證其交易合作夥伴的記錄，而無需中間人。
2、區塊鏈技術特點二：對等傳輸
通信直接在對等體之間發生，而不是通過中心節點。 每個節點存儲並轉發信息到所有其他節點。
3、區塊鏈技術特點三： 透明的匿名性
任何有權訪問系統的用戶都可以看到每個事務及其關聯值。 區塊鏈上的每個節點或用戶都有一個唯一的30以上的字母、數字組成的地址，用於標識自身。 用戶可以選擇保持匿名或向他人提供其身份證明。 區塊鏈的加以發生在這些地址之。
4、區塊鏈技術特點四：記錄的不可逆性
一旦在資料庫中輸入事務並更新了帳戶，則不能更改記錄，因為它們鏈接到它們之前的每個交易記錄（因此稱為「鏈」）。採用各種不同的演算法以確保資料庫中的記錄是永久的、按時間順序排序的，並且對於網路上的所有其他節點都是可以訪問的。
5、區塊鏈技術特點五：計算邏輯
分類帳本的數字性質意味著區塊鏈交易可以關聯到計算邏輯、本質上是可編程的。 因此，用戶可以設置自動觸發節點之間交易的演算法和規則。
拓展資料：
區塊鏈，就是一個又一個區塊組成的鏈條。每一個區塊中保存了一定的信息，它們按照各自產生的時間順序連接成鏈條。這個鏈條被保存在所有的伺服器中，只要整個系統中有一台伺服器可以工作，整條區塊鏈就是安全的。這些伺服器在區塊鏈系統中被稱為節點，它們為整個區塊鏈系統提供存儲空間和算力支持。如果要修改區塊鏈中的信息，必須徵得半數以上節點的同意並修改所有節點中的信息，而這些節點通常掌握在不同的主體手中，因此篡改區塊鏈中的信息是一件極其困難的事。相比於傳統的網路，區塊鏈具有兩大核心特點：數據難以篡改和去中心化。基於這兩個特點，區塊鏈所記錄的信息更加真實可靠，可以幫助解決人們互不信任的問題。

⑸ 區塊鏈是什麼怎麼理解區塊鏈應用呢

區塊鏈是分布式數據存儲、點對點傳輸、共識機制、加密演算法等計算機技術的新型應用模式。所謂共識機制是區塊鏈系統中實現不同節點之間建立信任、獲取權益的數學演算法。
區塊鏈（Blockchain）是比特幣的一個重要概念，它本質上是一個去中心化的資料庫，同時作為比特幣的底層技術。區塊鏈是一串使用密碼學方法相關聯產生的數據塊，每一個數據塊中包含了一次比特幣網路交易的信息，用於驗證其信息的有效性（防偽）和生成下一個區塊。
說說區塊鏈的社會或者經濟意義吧。以前的很多科技，其實都是致力在「生產力」這一塊，比如說人工智慧，它是生產力的一種進步。而區塊鏈，對生產關系有很大的改進，致力的是生產關系。那麼為什麼這么說？
因為所謂的生產關系，其實就是人和人之間、商業夥伴之間，如何做生意。而這些東西，原來都是在人互相之間的認知過程中，並沒有用什麼特別的程序，把它程序化，或者量化。
比如我跟你現在是好朋友，我們就可以做生意，如果有人挑撥我們的關系，我們不是好朋友了，我們就不做生意了，即使我們做生意能夠賺錢，我們也不幹，因為大家互相之間已經沒有任何信任了。
而區塊鏈，它其實是由於數據都經過各方面節點的認證，同時備份，所以我的數據，是盡可能真實且肯定不能篡改的，那麼既然這樣，你相信我的數據，你就可以在此基礎上，做一個程序編程，然後把這些數據，可以用來做什麼樣的商業合同、商業合作的這個「生產關系」，給程序化。這樣大家就相信數據，相信演算法編出來的程序，而由於你相信這個數據，相信這個程序，你就可以在這個程序上去開發各種APP，這些APP就是生產關系，就是到底去做什麼生意。這個就是：區塊鏈其實是對「生產關系」的一種重構。

⑹ 如何評價區塊鏈國家標准

2016年9月，國際標准化組織(ISO)成立了區塊鏈和分布式記賬技術委員會(ISO/TC 307)，負責制定區塊鏈和分布式記賬技術領域的國際標准。2017年3月，中國電子技術標准化研究院承擔ISO/TC 307國內技術對口單位。2019年12月，工業和信息化部組織籌建全國區塊鏈和分布式記賬技術標准化技術委員會，秘書處承擔單位為中國電子技術標准化研究院。目前，中國電子技術標准化研究院負責對區塊鏈系統進行是否符合區塊鏈標準的軟體測試，測試通過後，頒發相關證書。深圳區塊鏈行業將加快標准化發展。6月11日，第四屆中國區塊鏈開發大賽暨區塊鏈國家標准及系統測試標准廣東研討會在深圳舉行，首個可專業進行國家標准申報測試的區塊鏈標准化測評工作站在深圳率先成立。

⑺ 區塊鏈是什麼，如何評價區塊鏈

首先不要把區塊鏈想的過於高深，他是一個分布在全球各地、能夠協同運轉的資料庫存儲系統，區別於傳統資料庫運作——讀寫許可權掌握在一個公司或者一個集權手上（中心化的特徵），區塊鏈認為，任何有能力架設伺服器節點的人都可以參與其中。來自全球各地的掘金者在當地部署了自己的節點，並連接到區塊鏈網路中，成為這個分布式資料庫存儲系統中的一個節點；一旦加入，該節點享有同其他所有節點完全一樣的權利與義務（去中心化、分布式的特徵）。與此同時，對於在區塊鏈上開展服務的人，可以往這個系統中的任意的節點進行讀寫操作，最後全世界所有節點會根據某種機制的完成一次又依次的同步，從而實現在區塊鏈網路中所有節點的數據完全一致。

區塊鏈本身是一種技術，因此，它本身不可能是騙局，就像近年來正火的「p2p」金融一樣，有多少騙子是披著P2P的概念，非法吸收公眾資金，騙取老百姓的血汗錢的？但「P2P」有罪嗎，它只是是互聯網金融的一種個人對個人的模式而已，它不僅創造了利潤，還使成千上萬人擺脫了貧困，使扶貧者與被扶貧者達到雙贏。幣匯數字貨幣交易平台

問題的存在，不可能阻礙區塊鏈的發展步伐，諸如簡單支付驗證、側鏈、閃電網路協議等技術的提出和深入研究，已經是區塊鏈實實在在解決的問題了。

⑻ 區塊鏈的哪些技術特徵加大了監管難度

區塊鏈特徵：

1、去中心化。區塊鏈技術不依賴額外的第三方管理機構或硬體設施，沒有中心管制，除了自成一體的區塊鏈本身，通過分布式核算和存儲，各個節點實現了信息自我驗證、傳遞和管理。去中心化是區塊鏈最突出最本質的特徵。

2、開放性。區塊鏈技術基礎是開源的，除了交易各方的私有信息被加密外，區塊鏈的數據對所有人開放，任何人都可以通過公開的介面查詢區塊鏈數據和開發相關應用，因此整個系統信息高度透明。

3、獨立性。基於協商一致的規范和協議（類似比特幣採用的哈希演算法等各種數學演算法），整個區塊鏈系統不依賴其他第三方，所有節點能夠在系統內自動安全地驗證、交換數據，不需要任何人為的干預。

4、安全性。只要不能掌控全部數據節點的51%，就無法肆意操控修改網路數據，這使區塊鏈本身變得相對安全，避免了主觀人為的數據變更。

區塊鏈

區塊鏈（BlockChain）技術是一種使用去中心化共識機制去維護一個完整的、分布式的、不可篡改的賬本資料庫的技術，它能夠讓區塊鏈中的參與者在無需建立信任關系的前提下實現一個統一的賬本系統。區塊是公共賬本，多點維護；鏈就是蓋上時間戳（Timestamps），不可偽造。

以上內容參考：網路--區塊鏈

⑼ 區塊鏈的安全法則

區塊鏈的安全法則，即第一法則：
存儲即所有
一個人的財產歸屬及安全性，從根本上來說取決於財產的存儲方式及定義權。在互聯網世界裡，海量的用戶數據存儲在平台方的伺服器上，所以，這些數據的所有權至今都是個迷，一如你我的社交ID歸誰，難有定論，但用戶數據資產卻推高了平台的市值，而作為用戶，並未享受到市值紅利。區塊鏈世界使得存儲介質和方式的變化，讓資產的所有權交付給了個體。
拓展資料
區塊鏈系統面臨的風險不僅來自外部實體的攻擊，也可能有來自內 部參與者的攻擊，以及組件的失效，如軟體故障。因此在實施之前，需 要制定風險模型，認清特殊的安全需求，以確保對風險和應對方案的准 確把握。
1. 區塊鏈技術特有的安全特性
● (1) 寫入數據的安全性
在共識機制的作用下，只有當全網大部分節點（或多個關鍵節點）都 同時認為這個記錄正確時，記錄的真實性才能得到全網認可，記錄數據才 允許被寫入區塊中。
● (2) 讀取數據的安全性
區塊鏈沒有固有的信息讀取安全限制，但可以在一定程度上控制信 息讀取，比如把區塊鏈上某些元素加密，之後把密鑰交給相關參與者。同時，復雜的共識協議確保系統中的任何人看到的賬本都是一樣的，這是防 止雙重支付的重要手段。
● (3) 分布式拒絕服務(DDOS)
攻擊抵抗 區塊鏈的分布式架構賦予其點對點、多冗餘特性，不存在單點失效的問題，因此其應對拒絕服務攻擊的方式比中心化系統要靈活得多。即使一個節點失效，其他節點不受影響，與失效節點連接的用戶無法連入系統， 除非有支持他們連入其他節點的機制。
2. 區塊鏈技術面臨的安全挑戰與應對策略
● (1) 網路公開不設防
對公有鏈網路而言，所有數據都在公網上傳輸，所有加入網路的節點 可以無障礙地連接其他節點和接受其他節點的連接，在網路層沒有做身份驗證以及其他防護。針對該類風險的應對策略是要求更高的私密性並謹慎控制網路連接。對安全性較高的行業，如金融行業，宜採用專線接入區塊鏈網路，對接入的連接進行身份驗證，排除未經授權的節點接入以免數據泄漏，並通過協議棧級別的防火牆安全防護，防止網路攻擊。
● (2) 隱私
公有鏈上交易數據全網可見，公眾可以跟蹤這些交易，任何人可以通過觀察區塊鏈得出關於某事的結論，不利於個人或機構的合法隱私保護。 針對該類風險的應對策略是：
第一，由認證機構代理用戶在區塊鏈上進行 交易，用戶資料和個人行為不進入區塊鏈。
第二，不採用全網廣播方式， 而是將交易數據的傳輸限制在正在進行相關交易的節點之間。
第三，對用 戶數據的訪問採用許可權控制，持有密鑰的訪問者才能解密和訪問數據。
第四，採用例如「零知識證明」等隱私保護演算法，規避隱私暴露。
● (3) 算力
使用工作量證明型的區塊鏈解決方案，都面臨51%算力攻擊問題。隨 著算力的逐漸集中，客觀上確實存在有掌握超過50%算力的組織出現的可 能，在不經改進的情況下，不排除逐漸演變成弱肉強食的叢林法則。針對 該類風險的應對策略是採用演算法和現實約束相結合的方式，例如用資產抵 押、法律和監管手段等進行聯合管控。

⑽ 區塊鏈特性

區塊鏈的特性：
1、匿名性/ Anonymous
由於區塊鏈各節點之間的數據交換遵循固定且預知的演算法，因此區塊鏈網路是無須信任的，可以基於地址而非個人身份進行數據交換。
2、自治性/ Autonomous
區塊鏈採用基於協商一致的機制，使整個系統中的所有節點能在去信任的環境自由安全地交換數據、記錄數據、更新數據，任何人為的干預都不起作用。
3、開放性/ Openness
區塊鏈系統是開放的，任何節點都能夠擁有全網的總賬本，除了數據直接相關各方的私有信息通過非對稱加密技術被加密外，區塊鏈的數據對所有節點公開，因此整個系統信息高度透明。
4、可編程/ Programmable
分布式賬本的數字性質意味著區塊鏈交易可以關聯到計算邏輯，並且本質上是可編程的。因此，用戶可以設置自動觸發節點之間交易的演算法和規則。
5、可追溯/ Traceability
區塊鏈通過區塊數據結構存儲了創世區塊後的所有歷史數據，區塊鏈上的任意一條數據皆可通過鏈式結構追溯其本源。
6、不可篡改/ Tamper Proof
區塊鏈的信息通過共識並添加至區塊鏈後，就被所有節點共同記錄，並通過密碼學保證前後互相關聯，篡改的難度與成本非常高。
7、集體維護/ Collectively Maintain
區塊鏈系統是由其中所有具有維護功能的節點共同維護，所有節點都可以通過公開的介面查詢區塊鏈數據和開發相關應用。
8、無需許可/ Permissionless
無需許可表示所有節點都可以請求將任何交易添加到區塊鏈中，但只有在所有用戶都認為合法的情況下才可進行交易。