本篇文章主要给网友们分享区块链技术的应用风险评估的知识,其中更加会对区块链技术存在哪些风险进行更多的解释,如果能碰巧解决你现在面临的问题,记得关注本站!
区块链主要应用的范围包括:数字货币、金融资产的交易结算、数字政务、存证防伪数据服务等领域。区块链是将数据区块有序链接,每个区块负责记录一个文件数据,并进行加密来确保数据不能够被修改和伪造的数据库技术。
区块链本质上是一个应用了密码学技术的多方参与、共同维护、持续增长的分布式数据库系统也称为分布式共享账本。共享账本中的每一页就是一个区块,每一个区块写满了交易记录,区块链技术匿名性、去中心化、公开透明、不可篡改等特点让其备受企业的青睐,得到了更加广泛的应用尝试。
区块链应用范围
1.金融领域
区块链能够提供信任机制,具备改变金融基础架构的潜力,各类金融资产如股权、债券、票据、仓单、基金份额等都可以被整合到区块链技术体系中,成为链上的数字资产,在区块链上进行存储、转移和交易。
区块链技术的去中心化,能够降低交易成本,使金融交易更加便捷、直观和安全。区块链技术与金融业相结合,必然会创造出越来越多的业务模式、服务场景、业务流程和金融产品,从而给金融市场、金融机构、金融服务及金融业态发展带来更多影响。随着区块链技术的改进及区块链技术与其他金融科技的结合,区块链技术将逐步适应大规模金融场景的应用。
2.公共服务领域
传统的公共服务依赖于有限的数据维度,获得的信息可能不够全面且有一定的滞后性。区块链不可篡改的特性使链上的数字化证明可信度极高,在产权、公证及公益等领域都可以以此建立全新的认证机制,改善公共服务领域的管理水平。
公益流程中的相关信息如捐赠项目、募集明细、资金流向、受助人反馈等,均可存放于区块链上,在满足项目参与者隐私保护及其他相关法律法规要求的前提下,有条件地进行公开公示,方便公众和社会监督。
3.
信息安全领域
利用区块链可追溯、不可篡改的特性,可以确保数据来源的真实性,同时保证数据的不可伪造性,区块链技术将从根本上改变信息传播路径的安全问题。
区块链对于信息安全领域体现在以下三点:
用户身份认证保护
数据完整性保护
有效阻止 DDoS 攻击
区块链的分布式存储架构则会令黑客无所适从,已经有公司着手开发基于区块链的分布式互联网域名系统,绝除当前 DNS 注册弊病的祸根,使网络系统更加干净透明。
4.物联网领域
区块链+物联网,可以让物联网上的每个设备独立运行,整个网络产生的信息可以通过区块链的智能合约进行保障。
安全性:传统物联网设备极易遭受攻击,数据易受损失且维护费用高昂。物联网设备典型的信息安全风险问题包括,固件版本过低、缺少安全补丁、存在权限漏洞、设备网络端口过多、未加密的信息传输等。区块链的全网节点验证的共识机制、不对称加密技术及数据分布式存储将大幅降低黑客攻击的风险。
可信性:传统物联网由中心化的云服务器进行管控,因设备的安全性和中心化服务器的不透明性,用户的隐私数据难以得到有效保障。而区块链是一个分布式账簿,各区块既相互联系又有各自独立的工作能力,保证链上信息不会被随意篡改。因此分布式账本可以为物联网提供信任、所有权记录、透明性和通信支持。
效益性:受限于云服务和维护成本,物联网难以实现大规模商用。传统物联网实现物物通信是经由中心化的云服务器。该模式的弊端是,随着接入设备的增多,服务器面临的负载也更多,需要企业投入大量资金来维持物联网体系的正常运转。
而区块链技术可以直接实现点对点交易,省略了中间其他中介机构或人员的劳务支出,可以有效减少第三方服务所产生的费用,实现效益最大化。
5.供应链领域
供应链由众多参与主体构成,存在大量交互协作,信息被离散地保存在各自的系统中,缺乏透明度。信息的不流畅导致各参与主体难以准确地了解相关事项的实时状况及存在问题,影响供应链的协同效率。当各主体间出现纠纷时,举证和追责耗时费力。
区块链可以使数据在各主体之间公开透明,从而在整个供应链条上形成完整、流畅、不可篡改的信息流。这可以确保各主体及时发现供应链系统运行过程中产生的问题,并有针对性地找到解决方案,进而提升供应链管理的整体效率。
6.汽车产业
去年宣布合伙使用区块链建立一个概念证明来简化汽车租赁过程,并把它建成一个“点击,签约,和驾驶的过程。未来的客户选择他们想要租赁的汽车,进入区块链的公共总账;然后,坐在驾驶座上,客户签订租赁协议和保险政策,而区块链则是同步更新信息。这不是个想象,对于汽车销售和汽车登记来说,这种类型的过程也可能会发展为现实。
7.股票交易
很多年来,许多公司致力于使得买进、卖出、交易股票的过程变得容易。新兴区块链创业公司认为,区块链技术可以使这一过程更加安全和自动化,并且比以往任何解决方案与此同时,区块链初创公司 Chain 正和纳斯达克合作,通过区块链实现私有公司的股权交
8.政府管理
政务信息、项目招标等信息公开透明,政府工作通常受公众关注和监督,由于区块链技术能够保证信息的透明性和不可更改性,对政府透明化管理的落实有很大的作用。政府项目招标存在一定的信息不透明性,而企业在密封投标过程中也存在信息泄露风险。区块链能够保证投标信息无法篡改,并能保证信息的透明性,在彼此不信任的竞争者之间形成信任共只。并能够通过区块链安排后续的智能合约,保证项目的建设进度,一定程度上防止了腐败的滋生。
区块链技术应用还有很多很多,这只是区块链应用的一下支点。未来区块链技术将应用各个地方
近一年来,随着区块链技术应用开发的不断深入和对其底层算法的不断优化,区块链技术的应用前景变得越发明朗,众多国际国内金融和科技巨头开始将目光瞄准区块链技术。在我国,10月18日,由工业和信息化部信息化和软件服务业司以及国标委指导下,中国区块链技术和产业发展论坛编写的《中国区块链技术和应用发展白皮书(2016)》正式发布。《白皮书》总结了国内外区块链发展现状和趋势,分析了包含金融、供应链、文化娱乐、智能制造、社会公益、教育就业等多个应用场景的技术应用,指出了区块链的核心技术路径以及未来区块链技术标准化方向和进程。
于2016年7月注册成立的舟山币盈网络科技有限公司,注册资金5000万元人民币,是目前国内第一个取得“虚拟币”合法经营牌照的互联网公司,经营范围包括以区块链技术开发应用为基础,设计、发行、交易虚拟币,利用互联网建立电子商务平台等。
币盈网络将充分利用舟山自贸港“先行先试”的政策优势,着眼“万众创新”和“普惠金融”两大热点,以区块链技术应用开发为基础,围绕区块链技术“去中心化”、“去第三方信任化”、“不可篡改性”的特点,探索区块链技术在金融、民生、法律等多领域的创新性现实应用。
“币盈中国 ”是币盈网络旗下的第一个基于区块链技术的电子商务平台,该平台彻底颠覆目前国内外大量虚拟币交易平台“凭空造币”、“盲目炒做”、“跟风投机”等不良做法,打造全部以实体资产和服务为支撑的新型数字资产,建立健全严谨的风险评估和审核体系,实行完全的会员制度并在高风险的特殊领域建立合格投资人制度,完善安全合理的退出机制,开设金融科技(FinTech)学院。(金科网)
一、区块链的应用与发展
部分互联网、互联网初创企业以及传统金融行业开始在部分项目进行尝试应用
二、国内金融机构试水区块链
各个金融机构纷纷试水区块链技术的应用风险评估,基本上都处于概念实验阶段,尚未大规模商用。
三、区块链在金融领域应用的全景图
四、代笔
五、数字票据
票据是金融市场中一种重要的金融产品,它具备支付和融资双重功能,具有价值高、承担银行信用或商业信用等特点。票据一经开立,其票面金额、日期等重要信息不得更改。票据还具备流通属性,在特定生命周期内可进行承兑、背书、贴现、转贴现、托收等交易,交易行为一旦完成,交易就不可被撤销。票据在流通上有两个特点:一是票据流通主要发生在银行承兑汇票,商业承兑汇票的数量和流通量都较少区块链技术的应用风险评估;二是由各银行独立对票据业务进行授信和风险控制,单个银行的风控结果可能会影响到票据市场交易链条上的其他参与者。
数字票据交易平台实验性生产系统使用SDC(Smart Draft Chain,数金链)区块链技术,借助同态加密、零知识证明等密码学算法进行隐私保护,通过实用拜占庭容错协议(PBFT)进行共识,采用看穿机制提供数据监测。
实验性生产系统包含票交所、银行、企业和监控四个子系统:票交所子系统负责对区块链进行管理和对数字票据业务进行监测;银行子系统具有数字票据的承兑签收、贴现签收、转贴现、托收清偿等业务功能;企业子系统具有数字票据的出票、承兑、背书、贴现、提示付款等业务功能;监控子系统实时监控区块链状态和业务发生情况
六、
从物流的角度去看区块链的话,最为直观的应该是在管理透明这一part,简单的两方面去体现,一个是数据上链,一个是真实溯源。
物流信息化一直停滞不前,除了物流行业本身的信息技术不够之外,最重要的是信息数据不准确不真实不及时。区块链技术在数据确权方面的应用应该是可以非常顺利的,只需要对数据进行上链操作,即可认证并确切数据的唯一性以及不可篡改。数据的真实反映可以最直接体现到供应链金融,对风险评估以及质押抵扣等业务操作可以起到快速推动的作用。另一方面,物流环节中,高附加值的产品对溯源的需求非常强烈,溯源要求真实可靠,记录不可篡改,那区块链的应用在这里就能得到很好的体现。
#「闪光时刻」主题征文 二期#
人们曾无数次地谈起区块链的适用场景和使用时机。但实际上,简单粗暴地将区块链和所有业务捆绑在一起的行为是非常愚蠢且荒谬的。
单纯用“区块链”这个词(而不是它背后的技术)进行炒作的话,结果终将是一场空。但如果使用得当的话,区块链也确实可以推动某些经济领域的发展。
要想实现这一目标,就需要一步步地慢慢来。Gartner的专家认为,区块链目前正处于“摆脱幻想”阶段边缘。在这一阶段,其技术弊端暴露无遗,各路媒体也大都持批判态度。
那么,到底有没有真正以区块链为基础的好产品呢?如果有的话,又是在哪些领域呢?
首先,金融服务是一个不错的选择,毕竟很多传统中介机构都存在低透明度和高佣金的问题。目前,许多大银行已经在研究并测试去中心化的解决方案了。那么现在市场上可供选择的方案有哪些呢?
净额清算就是一个很好的例子。它以Hyperledger Fabric为基础,能够抵消由两个或多个交易方之间交易所导致的多个头寸或支付费用。常被用来确定多方协议中应获得酬金的一方。净额作为一个普遍概念,在金融市场中(证券交易中)有许多更为具体的用途。
此外,大家对区块链债券、抵押贷款和银行担保的讨论也层出不穷。几乎所有的大银行,包括伊斯兰银行,都在尝试这种做法。
Hyperledger Fabric和Corda区块链技术也常被应用于其他用例,但前景究竟如何就需要我们通过之后的持续跟踪观察才能得出最终结论。
美国银行、高盛、花旗银行、摩根士丹利、摩根大通和中国银行、澳大利亚联邦银行在2019年都取得了不错的效果。此外,在银行业中,人们常会提到跨境金融交易,甚至有意图要摆脱SWIFT。
有人认为,区块链技术在版权保护和打击数据造假方面大有推广前景。例如,出于保护版权的目的,初创公司Sputnik DLT在Waves平台上开发了Depositor服务。
同样,Emernotar是基于Emercoin的类似解决方案,使用的是SHA-512算法。据开发者介绍,企业和律师可以借助Emernotar服务来签订合同,使用在线服务来收集用户许可,创意产业代表也可以以此来确认版权。
以Emercoin技术为基础的democracynotary.org平台旨在保护与选举相关的重要信息。虽然在选举过程中,区块链尚无法保证投票的匿名性,但至少可以保证投票的真实性。
最近,这一平台的效果在马其顿的一项全民公投中得到了检验:公投内容关于是否批准一项与希腊的条约——要求更改马其顿的国名为“北马其顿”。该平台对全民投票过程中的公开报告进行公证,进而阻断了虚假信息的传播。
区块链用例在房地产交易注册方面极具发展前景。去年,曾有人试图利用以太坊区块链上的智能合约在司法管辖区进行此类购买/销售交易。虽然并不是所有地方的立法机构都能理解律师在做的事情,但过去和将来都有尝试。
例如,最著名的例子是,曾通过加利福尼亚一个去中心化的Propy市场,达成了一项出售10英亩土地的交易,交易完全以比特币进行,并使用区块链进行注册。此后,欧盟也完成了首个区块链房地产销售。
2018年12月,瑞士金融市场监管局批准了区块链公司“Blockimmo房地产公司”的商业模式。目前,Blockimmo平台正处于测试阶段,可供瑞士和列支敦士登的居民使用。之后,该公司计划将进入其他整个欧洲市场。
部分专家十分看好区块链在批发和物流领域的应用前景;但同时,也有部分专家认为它在该领域毫无用武之地。然而,作为消费者,我们更应该肯定行业内已经取得的成功。
2018年晚秋,石油巨头BP和壳牌(Shell)、大型银行及公司推出了Vakt区块链平台,旨在优化商品交易流程——包括将纸质文档转换为智能合约。
同时,阿联酋也在领域内使用了区块链技术——Maqta Gateway LLC在阿布扎比推出了首个区块链物流解决方案。公司开发的Silsal区块链技术可以提高物流和货运效率。Maqta Gateway希望能够通过DLT技术来减少文书工作量,促进实时状态更新并加快信息共享速度。
去年秋天还启动了IBM食品信托区块链平台——平台以Hyperledger Fabric技术为基础,旨在调节食品行业供应链。家乐福(Carrefour)、雀巢(Nestle)、都乐食品(Dole Food)、泰森食品(Tyson Foods)、克罗格(Kroger)、联合利华(Unilever)、沃尔玛(Walmart)等知名企业都是该平台成员。IBM区块链服务每月费用从100美元到10,000美元不等,这也解释了为何这些行业巨头愿意在这方面进行投资。
2017年秋天启动了去中心化的Shelf.Network拍卖协议。 汽车 经销商可以通过该平台进行 汽车 销售和租赁交易。
一年后,该拍卖网络获得了日本IT巨头Broadleaf的投资。同时,Broadleaf也获得了供应Shelf.Network技术的许可,为东南亚国家(包括日本、缅甸、泰国、印度尼西亚、越南、老挝、澳大利亚、印度和新加坡)建立 汽车 和零部件销售的贸易网络。
到2018年底,有6万辆来自美国的 汽车 加入了该服务网络。Shelf.Network还实现了与Carfax web服务的交互,可以通过后者向个人和企业提供车辆 历史 报告。例如,初创公司Auto1 Group GmbH在德国购买 汽车 时,通过区块链对贷款和保险产品进行了记录,这大大提高了交易速度(如果采用传统文书工作的话,需要两周时间才可完成)。
IBM商业价值研究所对大公司进行的一项调查显示,到2021年,区块链将在 汽车 行业发挥关键作用,同时,区块链也将被应用于航空领域。例如,S7航空公司和阿尔法银行(俄罗斯)已经通过在Hyperledger区块链平台上应用智能合约,实现了实时支付飞机燃油费用。
行内各界都相信DLT技术能够简化并加快相互结算流程、消除各类财务风险、实现流程自动化。与批发物流领域相同,该技术在运输领域也具有重要应用意义。
区块链技术也正逐步渗透进公共部门,被广泛用于文件认证流程。例如,Proofstack服务能够将文件与所有者的个人签名、日期和时间戳一起归档,然后将存档哈希散列写入区块链。用户还可以选择影响时间戳类型的国家,以及生成存档所需的存储位置(计算机、云端)。人们可以通过创建的存档来确认文件在何时由何人进行归档。与此同时,区块链在司法系统中的应用也越来越普及。例如,ServeManager和Integra已经将区块链技术应用到跟踪传票交付的服务中了。
在中国,由政府支持的区块链解决方案持续、迅速发展。其司法区块链系统“天平链”在发布仅三个月后,就采集了约100万份在线证据数据。平台上提交的所有资料均通过DLT认证,共计19万份文件。平台电子证据系统由北京互联网法院、中国工业控制系统应急响应小组(CICS-CERT)、工信部研究中心、百度互联网集团和TrustDo区块链初创公司共同开发。平台以互联网巨头百度的超链基础设施为基础,优化了证据收集和存储过程,通过区块链保证数据的真实性。此外,平台还通过降低与互联网相关的诉讼成本,实现了节约时间和资源的目的。
作为全球集装箱航运的领导者,Maersk于去年春天开始使用Insurwave区块链解决方案。该海上保险平台由咨询公司EY和Guardtime共同开发,以微软Azure云技术为基础。在与Insurwave合作的第一年,Maersk计划将为1000艘远洋船舶投保,数字交易总量将超50万笔。
目前,平台用户有Willis Towers Watson、XL Catlin 和MS Amlin。开发商正试图扩展Insurwave的功能,将保险业务拓展到航空和能源领域。
专门从事投资流管理的英国金融 科技 公司Calastone宣布将计算全部转移到区块链上完成。该公司预计,此项技术将有助于削减全球结算部门数十亿美元的成本。Calastone为1700多家公司提供风险评估管理服务、IT基础设施和支付解决方案,其客户包括摩根大通资产管理公司(JP Morgan Asset management)、施罗德(Schroders)和景顺(Invesco)。
如果企业目标是争取交易及DLT注册表中输入信息透明度的话,则会为区块链创造绝佳的应用场景;但是,如果企业追求的是保持匿名性或“追踪”金融交易的话,则没有区块链施展拳脚的机会。
新加坡电力集团(Singapore Power Group)推出了可再生能源(REC)证书区块链交易市场。其公司代表表示,该“内部开发”平台旨在提高此类证书交易的安全性、可靠性和可追踪性。
REC证书是证明太阳能电池板释放电量的凭证,由Cleantech Solar Asia和LYS Energy Solutions进行销售。有意购买证书的City Developments Limited和DBS Bank都对该平台十分感兴趣。Katoen Natie Singapore也已加入该平台,计划很快启动可再生电力生产能力。
韩国最大的电信公司KT 公司也推出了自己的区块链网络,其分布式注册技术涉及用户认证和改善国际漫游服务。KT公司可以借此将客户数据安全传输给合作伙伴。网络带宽每秒可处理100,000个事务。
时间将会证明这些举措是否会得到大众市场的认可。同样,区块链在电力、数据、用户标识的账户/记录/交易方面的应用都是老生常谈了。
在2017年底,麻省理工学院(MIT)使用Blockcerts钱包(可发行一种“可验证、防篡改”的认证证书),通过比特币区块链为一百多名毕业生签发了数字毕业证书。
该试验项目得到了软件公司Learning Machine的支持,该公司曾与Media Lab一起参与了Blockcerts的研发工作。
这样做的目的是让学生成为自己档案真正的所有者。Learning Machine首席执行官克里斯•贾杰斯(Chris Jagers)表示,即便有一天该机构不复存在了,人们也可以提取其中存储的重要官方信息。
第比利斯商业技术大学(Tbilisi University of Business and Technology)也使用了同样的方法:该大学通过与Emercoin合作,使用了类似的区块链平台Trusted Diploma。该平台能够借助区块链来修复注册数据(所学科目、培训质量和取得的分数)。以此来看,在将来,区块链或许能在进一步推广数字学习方法方面有用武之地。
随着上海城市数字化转型脚步的加快,区块链技术在政务、金融、物流、司法等众多领域得到深入应用。在应用过程中,不仅催生了新的业务形态和商业模式,也产生了很多安全问题,因而安全监管显得尤为重要。安全测评作为监管重要手段之一,成为很多区块链研发厂商和应用企业的关注热点。本文就大家关心的区块链合规性安全测评谈谈我们做的一点探索和实践。
一、区块链技术测评
区块链技术测评一般分为功能测试、性能测试和安全测评。
1、功能测试
功能测试是对底层区块链系统支持的基础功能的测试,目的是衡量底层区块链系统的能力范围。
区块链功能测试主要依据GB/T 25000.10-2016《系统与软件质量要求和评价(SQuaRE)第10部分:系统与软件质量模型》、GB/T 25000.51-2016《系统与软件质量要求和评价(SQuaRE)第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》等标准,验证被测软件是否满足相关测试标准要求。
区块链功能测试具体包括组网方式和通信、数据存储和传输、加密模块可用性、共识功能和容错、智能合约功能、系统管理稳定性、链稳定性、隐私保护、互操作能力、账户和交易类型、私钥管理方案、审计管理等模块。
2、性能测试
性能测试是为描述测试对象与性能相关的特征并对其进行评价而实施和执行的一类测试,大多在项目验收测评中,用来验证既定的技术指标是否完成。
区块链性能测试具体包括高并发压力测试场景、尖峰冲击测试场景、长时间稳定运行测试场景、查询测试场景等模块。
3、安全测评
区块链安全测评主要是对账户数据、密码学机制、共识机制、智能合约等进行安全测试和评价。
区块链安全测评的主要依据是《DB31/T 1331-2021区块链技术安全通用要求》。也可根据实际测试需求参考《JR/T 0193-2020区块链技术金融应用评估规则》、《JR/T 0184—2020金融分布式账本技术安全规范》等标准。
区块链安全测评具体包括存储、网络、计算、共识机制、密码学机制、时序机制、个人信息保护、组网机制、智能合约、服务与访问等内容。
二、区块链合规性安全测评
区块链合规性安全测评一般包括“区块链信息服务安全评估”、 “网络安全等级保护测评”和“专项资金项目验收测评”三类。
1、区块链信息服务安全评估
区块链信息服务安全评估主要依据国家互联网信息办公室2019年1月10日发布的《区块链信息服务管理规定》(以下简称“《规定》”)和参考区块链国家标准《区块链信息服务安全规范(征求意见稿)》进行。
《规定》旨在明确区块链信息服务提供者的信息安全管理责任,规范和促进区块链技术及相关服务的健康发展,规避区块链信息服务安全风险,为区块链信息服务的提供、使用、管理等提供有效的法律依据。《规定》第九条指出:区块链信息服务提供者开发上线新产品、新应用、新功能的,应当按照有关规定报国家和省、自治区、直辖市互联网信息办公室进行安全评估。
《区块链信息服务安全规范》是由中国科学院信息工程研究所牵头,浙江大学、中国电子技术标准化研究院、上海市信息安全测评认证中心等单位共同参与编写的一项建设和评估区块链信息服务安全能力的国家标准。《区块链信息服务安全规范》规定了联盟链和私有链的区块链信息服务提供者应满足的安全要求,包括安全技术要求和安全保障要求以及相应的测试评估方法,适用于指导区块链信息服务安全评估和区块链信息服务安全建设。标准提出的安全技术要求、保障要求框架如下:
图1 区块链信息服务安全要求模型
2、网络安全等级保护测评
网络安全等级保护测评的主要依据包括《GB/T 22239-2019网络安全等级保护基本要求》、《GB/T 28448-2019网络安全等级保护测评要求》。
区块链作为一种新兴信息技术,构建的应用系统同样属于等级保护对象,需要按照规定开展等级保护测评。等级保护安全测评通用要求适用于评估区块链的基础设施部分,但目前并没有提出区块链特有的安全要求。因此,区块链安全测评扩展要求还有待进一步探索和研究。
3、专项资金项目验收测评
根据市经信委有关规定,信息化专项资金项目在项目验收时需出具安全测评报告。区块链应用项目的验收测评将依据上海市最新发布的区块链地方标准《DB31/T 1331-2021 区块链技术安全通用要求》开展。
三、区块链安全测评探索与实践
1、标准编制
上海测评中心积极参与区块链标准编制工作。由上海测评中心牵头,苏州同济区块链研究院有限公司、上海七印信息科技有限公司、上海墨珩网络科技有限公司、电信科学技术第一研究所等单位参加编写的区块链地方标准《DB31/T 1331-2021 区块链技术安全通用要求》已于2021年12月正式发布,今年3月1日起正式实施。上海测评中心参与编写的区块链国标《区块链信息服务安全规范》正处于征求意见阶段。
同时,测评中心还参与编写了国家人力资源和社会保障部组织,同济大学牵头编写的区块链工程技术人员初级和中级教材,负责编制“测试区块链系统”章节内容。
2、项目实践
近年来,上海测评中心依据相关技术标准进行了大量的区块链安全测评实践,包括等级保护测评、信息服务安全评估、项目安全测评等。在测评实践中,发现的主要安全问题如下:
表1 区块链主要是安全问题
序号
测评项
问题描述
1
共识算法
共识算法采用Kafka或Raft共识,不支持拜占庭容错,不支持容忍节点恶意行为。
2
上链数据
上链敏感信息未进行加密处理,通过查询接口或区块链浏览器可访问链上所有数据。
3
密码算法
密码算法中使用的随机数不符合GB/T 32915-2016对随机性的要求。
4
节点防护
对于联盟链,未能对节点服务器所在区域配置安全防护措施。
5
通信传输
节点间通信、区块链与上层应用之间通信时,未建立安全的信息传输通道。
6
共识算法
系统部署节点数量较少,有时甚至没有达到共识算法要求的容错数量。
7
智能合约
未对智能合约的运行进行监测,无法及时发现、处置智能合约运行过程中出现的问题。
8
服务与访问
上层应用存在未授权、越权等访问控制缺陷,导致业务错乱、数据泄露。
9
智能合约
智能合约编码不规范,当智能合约出现错误时,不提供智能合约冻结功能。
10
智能合约
智能合约的运行环境没有与外部隔离,存在外部攻击的风险。
3、工具应用
测评中心在组织编制《DB31/T 1331-2021 区块链技术安全通用要求》时,已考虑与等级保护测评的衔接需求。DB31/T 1331中的“基础设施层”安全与等级保护的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等相关要求保持一致,“协议层安全”、“扩展层安全”则更多体现区块链特有的安全保护要求。
测评中心依据DB31/T 1331相关安全要求,正在组织编写区块链测评扩展要求,相关成果将应用于网络安全等级保护测评工具——测评能手。届时,使用“测评能手”软件的测评机构就能准确、规范、高效地开展区块链安全测评,发现区块链安全风险,并提出对应的整改建议
写到这里,本文关于区块链技术的应用风险评估和区块链技术存在哪些风险的介绍到此为止了,如果能碰巧解决你现在面临的问题,如果你还想更加了解这方面的信息,记得收藏关注本站。
评论