区块链系统等保测评

⑴ 区块链如何保证使用安全

区块链项目（尤其是公有链）的一个特点是开源。通过开放源代码，来提高项目的可信性，也使更多的人可以参与进来。但源代码的开放也使得攻击者对于区块链系统的攻击变得更加容易。近两年就发生多起黑客攻击事件，近日就有匿名币Verge（XVG）再次遭到攻击，攻击者锁定了XVG代码中的某个漏洞，该漏洞允许恶意矿工在区块上添加虚假的时间戳，随后快速挖出新块，短短的几个小时内谋取了近价值175万美元的数字货币。虽然随后攻击就被成功制止，然而没人能够保证未来攻击者是否会再次出击。

当然，区块链开发者们也可以采取一些措施

一是使用专业的代码审计服务，

二是了解安全编码规范，防患于未然。

密码算法的安全性

随着量子计算机的发展将会给现在使用的密码体系带来重大的安全威胁。区块链主要依赖椭圆曲线公钥加密算法生成数字签名来安全地交易，目前最常用的ECDSA、RSA、DSA 等在理论上都不能承受量子攻击，将会存在较大的风险，越来越多的研究人员开始关注能够抵抗量子攻击的密码算法。

当然，除了改变算法，还有一个方法可以提升一定的安全性：

参考比特币对于公钥地址的处理方式，降低公钥泄露所带来的潜在的风险。作为用户，尤其是比特币用户，每次交易后的余额都采用新的地址进行存储，确保有比特币资金存储的地址的公钥不外泄。

共识机制的安全性

当前的共识机制有工作量证明（Proof of Work，PoW）、权益证明（Proof of Stake，PoS）、授权权益证明（Delegated Proof of Stake，DPoS）、实用拜占庭容错（Practical Byzantine Fault Tolerance，PBFT）等。

PoW 面临51%攻击问题。由于PoW 依赖于算力，当攻击者具备算力优势时，找到新的区块的概率将会大于其他节点，这时其具备了撤销已经发生的交易的能力。需要说明的是，即便在这种情况下，攻击者也只能修改自己的交易而不能修改其他用户的交易（攻击者没有其他用户的私钥）。

在PoS 中，攻击者在持有超过51%的Token 量时才能够攻击成功，这相对于PoW 中的51%算力来说，更加困难。

在PBFT 中，恶意节点小于总节点的1/3 时系统是安全的。总的来说，任何共识机制都有其成立的条件，作为攻击者，还需要考虑的是，一旦攻击成功，将会造成该系统的价值归零，这时攻击者除了破坏之外，并没有得到其他有价值的回报。

对于区块链项目的设计者而言，应该了解清楚各个共识机制的优劣，从而选择出合适的共识机制或者根据场景需要，设计新的共识机制。

智能合约的安全性

智能合约具备运行成本低、人为干预风险小等优势，但如果智能合约的设计存在问题，将有可能带来较大的损失。2016 年6 月，以太坊最大众筹项目The DAO 被攻击，黑客获得超过350 万个以太币，后来导致以太坊分叉为ETH 和ETC。

对此提出的措施有两个方面：

一是对智能合约进行安全审计，

二是遵循智能合约安全开发原则。

智能合约的安全开发原则有：对可能的错误有所准备，确保代码能够正确的处理出现的bug 和漏洞；谨慎发布智能合约，做好功能测试与安全测试，充分考虑边界；保持智能合约的简洁；关注区块链威胁情报，并及时检查更新；清楚区块链的特性，如谨慎调用外部合约等。

数字钱包的安全性

数字钱包主要存在三方面的安全隐患：第一，设计缺陷。2014 年底，某签报因一个严重的随机数问题（R 值重复）造成用户丢失数百枚数字资产。第二，数字钱包中包含恶意代码。第三，电脑、手机丢失或损坏导致的丢失资产。

应对措施主要有四个方面：

一是确保私钥的随机性；

二是在软件安装前进行散列值校验，确保数字钱包软件没有被篡改过；

三是使用冷钱包；

四是对私钥进行备份。

⑵ 区块链技术国家标准什么时候完成

我国已着手建立区块链国家标准，以从顶层设计推动区块链标准体系建设，预计最快将于2019年底完成。

对此，北京华顺信安科技有限公司创始人赵武也表示，区块链虽然具备颠覆性的技术潜力，但我们必须认识到，区块链仍处于初期，远远没有达到可以颠覆世界的阶段。

俞克群强调，自主可控的区块链网络，意在技术上不能受制于人，同时也可以促进区块链健康发展。安全是区块链未来的生命，只有本身的安全才能使得区块链技术落地。这就要求我们在区块链技术发展的同时，必须并重发展其安全属性，甚至是超前发展。

对此，李鸣也表示，标准中重要一块是信息安全的标准，也可以看出安全对于区块链技术的重要性。他同时指出，区块链标准的制定不意味着会快速推进行业发展，而是给行业一定指引。此前，中国在国际知识产权和标准等方面吃过很多亏，在区块链方面，中国目前已经形成了国际化区块链方面的200多项专利，甚至已站在世界技术前列。因此，我们也需要牢牢把握住自己的话语权。

内容来源新华网

⑶ 区块链技术标准体系已经完善了吗

日前有专家表示，区块链就像是1992年的互联网，标准化还没有完全做完，应用和推广还会受到限制，处在早期的技术储备阶段，一旦有了标准，各种技术研发才能走得下去。

目前中国互联网金融协会在2018年的工作重点之一就是要积极推进标准化建设，“区块链要有一个新的技术标准体系，特别是还要建立一个权威的第三方认证的系统，这是区块链金融发展的当务之急”。

虽然从目前来看，监管层对区块链相当关注，但主要是集中于金融领域，特别是去年下半年对虚拟货币和ICO（首次币发行）采取了严控措，从区块链整个行业的发展来看，法律和监管仍然相对滞后。与海外先进国家相比较，缺乏对区块链进行定义并管理其交易和交易平台的专门法律。

希望区块链的标准可以早日完善。

内容来源：比特110网

⑷ 区块链技术的特征

区块链技术的五个基本特点如下：
1、区块链技术特点一：分布式数据库
区块链上的每一方都可以访问整个数据库及其完整的历史记录。 没有单一方控制数据或信息。 每一方都可以直接验证其交易合作伙伴的记录，而无需中间人。
2、区块链技术特点二：对等传输
通信直接在对等体之间发生，而不是通过中心节点。 每个节点存储并转发信息到所有其他节点。
3、区块链技术特点三： 透明的匿名性
任何有权访问系统的用户都可以看到每个事务及其关联值。 区块链上的每个节点或用户都有一个唯一的30以上的字母、数字组成的地址，用于标识自身。 用户可以选择保持匿名或向他人提供其身份证明。 区块链的加以发生在这些地址之。
4、区块链技术特点四：记录的不可逆性
一旦在数据库中输入事务并更新了帐户，则不能更改记录，因为它们链接到它们之前的每个交易记录（因此称为“链”）。采用各种不同的算法以确保数据库中的记录是永久的、按时间顺序排序的，并且对于网络上的所有其他节点都是可以访问的。
5、区块链技术特点五：计算逻辑
分类帐本的数字性质意味着区块链交易可以关联到计算逻辑、本质上是可编程的。 因此，用户可以设置自动触发节点之间交易的算法和规则。
拓展资料：
区块链，就是一个又一个区块组成的链条。每一个区块中保存了一定的信息，它们按照各自产生的时间顺序连接成链条。这个链条被保存在所有的服务器中，只要整个系统中有一台服务器可以工作，整条区块链就是安全的。这些服务器在区块链系统中被称为节点，它们为整个区块链系统提供存储空间和算力支持。如果要修改区块链中的信息，必须征得半数以上节点的同意并修改所有节点中的信息，而这些节点通常掌握在不同的主体手中，因此篡改区块链中的信息是一件极其困难的事。相比于传统的网络，区块链具有两大核心特点：数据难以篡改和去中心化。基于这两个特点，区块链所记录的信息更加真实可靠，可以帮助解决人们互不信任的问题。

⑸ 区块链是什么怎么理解区块链应用呢

区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。所谓共识机制是区块链系统中实现不同节点之间建立信任、获取权益的数学算法。
区块链（Blockchain）是比特币的一个重要概念，它本质上是一个去中心化的数据库，同时作为比特币的底层技术。区块链是一串使用密码学方法相关联产生的数据块，每一个数据块中包含了一次比特币网络交易的信息，用于验证其信息的有效性（防伪）和生成下一个区块。
说说区块链的社会或者经济意义吧。以前的很多科技，其实都是致力在“生产力”这一块，比如说人工智能，它是生产力的一种进步。而区块链，对生产关系有很大的改进，致力的是生产关系。那么为什么这么说？
因为所谓的生产关系，其实就是人和人之间、商业伙伴之间，如何做生意。而这些东西，原来都是在人互相之间的认知过程中，并没有用什么特别的程序，把它程序化，或者量化。
比如我跟你现在是好朋友，我们就可以做生意，如果有人挑拨我们的关系，我们不是好朋友了，我们就不做生意了，即使我们做生意能够赚钱，我们也不干，因为大家互相之间已经没有任何信任了。
而区块链，它其实是由于数据都经过各方面节点的认证，同时备份，所以我的数据，是尽可能真实且肯定不能篡改的，那么既然这样，你相信我的数据，你就可以在此基础上，做一个程序编程，然后把这些数据，可以用来做什么样的商业合同、商业合作的这个“生产关系”，给程序化。这样大家就相信数据，相信算法编出来的程序，而由于你相信这个数据，相信这个程序，你就可以在这个程序上去开发各种APP，这些APP就是生产关系，就是到底去做什么生意。这个就是：区块链其实是对“生产关系”的一种重构。

⑹ 如何评价区块链国家标准

2016年9月，国际标准化组织(ISO)成立了区块链和分布式记账技术委员会(ISO/TC 307)，负责制定区块链和分布式记账技术领域的国际标准。2017年3月，中国电子技术标准化研究院承担ISO/TC 307国内技术对口单位。2019年12月，工业和信息化部组织筹建全国区块链和分布式记账技术标准化技术委员会，秘书处承担单位为中国电子技术标准化研究院。目前，中国电子技术标准化研究院负责对区块链系统进行是否符合区块链标准的软件测试，测试通过后，颁发相关证书。深圳区块链行业将加快标准化发展。6月11日，第四届中国区块链开发大赛暨区块链国家标准及系统测试标准广东研讨会在深圳举行，首个可专业进行国家标准申报测试的区块链标准化测评工作站在深圳率先成立。

⑺ 区块链是什么，如何评价区块链

首先不要把区块链想的过于高深，他是一个分布在全球各地、能够协同运转的数据库存储系统，区别于传统数据库运作——读写权限掌握在一个公司或者一个集权手上（中心化的特征），区块链认为，任何有能力架设服务器节点的人都可以参与其中。来自全球各地的掘金者在当地部署了自己的节点，并连接到区块链网络中，成为这个分布式数据库存储系统中的一个节点；一旦加入，该节点享有同其他所有节点完全一样的权利与义务（去中心化、分布式的特征）。与此同时，对于在区块链上开展服务的人，可以往这个系统中的任意的节点进行读写操作，最后全世界所有节点会根据某种机制的完成一次又依次的同步，从而实现在区块链网络中所有节点的数据完全一致。

区块链本身是一种技术，因此，它本身不可能是骗局，就像近年来正火的“p2p”金融一样，有多少骗子是披着P2P的概念，非法吸收公众资金，骗取老百姓的血汗钱的？但“P2P”有罪吗，它只是是互联网金融的一种个人对个人的模式而已，它不仅创造了利润，还使成千上万人摆脱了贫困，使扶贫者与被扶贫者达到双赢。币汇数字货币交易平台

问题的存在，不可能阻碍区块链的发展步伐，诸如简单支付验证、侧链、闪电网络协议等技术的提出和深入研究，已经是区块链实实在在解决的问题了。

⑻ 区块链的哪些技术特征加大了监管难度

区块链特征：

1、去中心化。区块链技术不依赖额外的第三方管理机构或硬件设施，没有中心管制，除了自成一体的区块链本身，通过分布式核算和存储，各个节点实现了信息自我验证、传递和管理。去中心化是区块链最突出最本质的特征。

2、开放性。区块链技术基础是开源的，除了交易各方的私有信息被加密外，区块链的数据对所有人开放，任何人都可以通过公开的接口查询区块链数据和开发相关应用，因此整个系统信息高度透明。

3、独立性。基于协商一致的规范和协议（类似比特币采用的哈希算法等各种数学算法），整个区块链系统不依赖其他第三方，所有节点能够在系统内自动安全地验证、交换数据，不需要任何人为的干预。

4、安全性。只要不能掌控全部数据节点的51%，就无法肆意操控修改网络数据，这使区块链本身变得相对安全，避免了主观人为的数据变更。

区块链

区块链（BlockChain）技术是一种使用去中心化共识机制去维护一个完整的、分布式的、不可篡改的账本数据库的技术，它能够让区块链中的参与者在无需建立信任关系的前提下实现一个统一的账本系统。区块是公共账本，多点维护；链就是盖上时间戳（Timestamps），不可伪造。

以上内容参考：网络--区块链

⑼ 区块链的安全法则

区块链的安全法则，即第一法则：
存储即所有
一个人的财产归属及安全性，从根本上来说取决于财产的存储方式及定义权。在互联网世界里，海量的用户数据存储在平台方的服务器上，所以，这些数据的所有权至今都是个迷，一如你我的社交ID归谁，难有定论，但用户数据资产却推高了平台的市值，而作为用户，并未享受到市值红利。区块链世界使得存储介质和方式的变化，让资产的所有权交付给了个体。
拓展资料
区块链系统面临的风险不仅来自外部实体的攻击，也可能有来自内 部参与者的攻击，以及组件的失效，如软件故障。因此在实施之前，需 要制定风险模型，认清特殊的安全需求，以确保对风险和应对方案的准 确把握。
1. 区块链技术特有的安全特性
● (1) 写入数据的安全性
在共识机制的作用下，只有当全网大部分节点（或多个关键节点）都 同时认为这个记录正确时，记录的真实性才能得到全网认可，记录数据才 允许被写入区块中。
● (2) 读取数据的安全性
区块链没有固有的信息读取安全限制，但可以在一定程度上控制信 息读取，比如把区块链上某些元素加密，之后把密钥交给相关参与者。同时，复杂的共识协议确保系统中的任何人看到的账本都是一样的，这是防 止双重支付的重要手段。
● (3) 分布式拒绝服务(DDOS)
攻击抵抗 区块链的分布式架构赋予其点对点、多冗余特性，不存在单点失效的问题，因此其应对拒绝服务攻击的方式比中心化系统要灵活得多。即使一个节点失效，其他节点不受影响，与失效节点连接的用户无法连入系统， 除非有支持他们连入其他节点的机制。
2. 区块链技术面临的安全挑战与应对策略
● (1) 网络公开不设防
对公有链网络而言，所有数据都在公网上传输，所有加入网络的节点 可以无障碍地连接其他节点和接受其他节点的连接，在网络层没有做身份验证以及其他防护。针对该类风险的应对策略是要求更高的私密性并谨慎控制网络连接。对安全性较高的行业，如金融行业，宜采用专线接入区块链网络，对接入的连接进行身份验证，排除未经授权的节点接入以免数据泄漏，并通过协议栈级别的防火墙安全防护，防止网络攻击。
● (2) 隐私
公有链上交易数据全网可见，公众可以跟踪这些交易，任何人可以通过观察区块链得出关于某事的结论，不利于个人或机构的合法隐私保护。 针对该类风险的应对策略是：
第一，由认证机构代理用户在区块链上进行 交易，用户资料和个人行为不进入区块链。
第二，不采用全网广播方式， 而是将交易数据的传输限制在正在进行相关交易的节点之间。
第三，对用 户数据的访问采用权限控制，持有密钥的访问者才能解密和访问数据。
第四，采用例如“零知识证明”等隐私保护算法，规避隐私暴露。
● (3) 算力
使用工作量证明型的区块链解决方案，都面临51%算力攻击问题。随 着算力的逐渐集中，客观上确实存在有掌握超过50%算力的组织出现的可 能，在不经改进的情况下，不排除逐渐演变成弱肉强食的丛林法则。针对 该类风险的应对策略是采用算法和现实约束相结合的方式，例如用资产抵 押、法律和监管手段等进行联合管控。

⑽ 区块链特性

区块链的特性：
1、匿名性/ Anonymous
由于区块链各节点之间的数据交换遵循固定且预知的算法，因此区块链网络是无须信任的，可以基于地址而非个人身份进行数据交换。
2、自治性/ Autonomous
区块链采用基于协商一致的机制，使整个系统中的所有节点能在去信任的环境自由安全地交换数据、记录数据、更新数据，任何人为的干预都不起作用。
3、开放性/ Openness
区块链系统是开放的，任何节点都能够拥有全网的总账本，除了数据直接相关各方的私有信息通过非对称加密技术被加密外，区块链的数据对所有节点公开，因此整个系统信息高度透明。
4、可编程/ Programmable
分布式账本的数字性质意味着区块链交易可以关联到计算逻辑，并且本质上是可编程的。因此，用户可以设置自动触发节点之间交易的算法和规则。
5、可追溯/ Traceability
区块链通过区块数据结构存储了创世区块后的所有历史数据，区块链上的任意一条数据皆可通过链式结构追溯其本源。
6、不可篡改/ Tamper Proof
区块链的信息通过共识并添加至区块链后，就被所有节点共同记录，并通过密码学保证前后互相关联，篡改的难度与成本非常高。
7、集体维护/ Collectively Maintain
区块链系统是由其中所有具有维护功能的节点共同维护，所有节点都可以通过公开的接口查询区块链数据和开发相关应用。
8、无需许可/ Permissionless
无需许可表示所有节点都可以请求将任何交易添加到区块链中，但只有在所有用户都认为合法的情况下才可进行交易。