您正在閱讀算力智庫第 239 篇原創作品
作者:陳阿誇
編輯:生煎
算力說
中國電子技術標準化研究院(“電標院”)在2016年釋出《中國區塊鏈技術和應用發展白皮書(2016)》至今已有兩年,在此期間,中國區塊鏈產業環境不斷演變,面臨新的機遇和挑戰,其中安全問題已經同時成為區塊鏈產業發展的掣肘和引擎。在12月18日舉辦的第三屆區塊鏈開發大會上,《中國區塊鏈技術和應用發展研究報告(2018)》釋出,同期釋出的還有三項與安全相關的團體標準。
“全球最寶貴的資源不再是石油,而是資料。”永珍區塊鏈行業應用事業部負責人趙子龍在日前舉行的第三屆區塊鏈開發大會上,以《經濟學人》雜誌在2017年的一期封面語作為其演講的開場。
這句話背後的解讀可以有很多,但是前提卻只有一個:資料的安全。只有在確保資料安全的情況下,資料的應用才具有價值,而區塊鏈看起來自帶“安全”屬性。
但是隨著區塊鏈應用的不斷落地,越來越多的安全問題開始暴露。安全,成為了與會嘉賓熱議的話題,而現場釋出的四項區塊鏈團體標準中,也有三項和安全相關。
上海市資訊保安測評認證中心主任蔣力群提到,網路安全資訊化的一體兩翼,一頭是應用,一頭是安全保障。如果這兩個翅膀一端很強另一端很弱,它就無法平衡、無法飛翔。所以在區塊鏈應用過程中,一定要注意它的安全問題,這是為了它運用得更好。
上海市資訊保安測評認證中心主任蔣力群
不一定“安全”的區塊鏈
蔣力群在會上分享了兩組資料:
1. 從2011年到2018年這段時間裡,由於區塊鏈的應用安全問題,造成的損失達到30億美金,其中17年最可怕,達到20億美金。
2. 從區塊鏈技術架構層級的角度看,風險事故最頻發的受攻擊面依次是業務層(71.17%)、合約層(20.72%)、共識層(4.51%)和網路層(3.6%)。從受攻擊點來看,交易平臺(34%)、智慧合約(20%)和普通使用者(19%)成為核心的受害人。
也就是說,區塊鏈的技術風險相對集中在業務層和合約層,佔9成以上,而受攻擊點相對分散。比如駭客並不一定攻破比特幣的技術底層,但往往選擇攻擊比特幣交易所,比特幣交易所就是區塊鏈技術架構的業務層。
京東集團大資料與智慧供應鏈事業部翟欣磊從技術的角度表達了自己的觀點:“因為區塊鏈是未來安全計算的底層,但是現在安全計算的主要問題在於它在邊緣計算的系統中,新增比如同態加密這樣的演算法,一旦形成非常複雜的資料結構,它的效能可能就無法保證。”
其言下之意就是安全和效能在目前的情況下可能無法兩全。
對於自主研發區塊鏈系統的螞蟻金服來說,其區塊鏈安全觀並不侷限於技術層面,而是上升到了國家與國家之間的技術主權層面。
“我們知道很多企業用的是Fabric,但是如果有一天美國要制裁我們,那我們就會被卡住,這是有點居安思危的感覺。螞蟻區塊鏈因此做了很多戰略上的防備,我們在區塊鏈的專利數方面已經連續兩年全球第一。”螞蟻金服創新科技總監鄒濤在會上指出。
螞蟻金服創新科技總監鄒濤
先有安全,再有區塊鏈大規模應用
騰訊高階研究員武楊分享了騰訊在探索區塊鏈應用時的經驗,其表示,首先是快速試點落地,然後當業務流程擴大化的時候,面對企業或政府的合作伙伴,很重要的一點就是安全。以騰訊為稅務局服務為例,稅務局在意的安全方案,不僅僅是區塊鏈鏈上的安全,還有區塊鏈系統的安全,這意味著一些傳統安全問題需要去考慮,比如如何去防DDOS(網路攻擊)。
如果說騰訊和稅務局的案例是區塊鏈技術服務一家機構,那麼平安集團金融壹賬通則用其區塊鏈技術打通了13家大型金融機構的信任閉環。
之所以能促成包括香港經管局、渣打銀行、東亞銀行、星展銀行等同時接入金融壹賬通區塊鏈網路的重要原因在於其應用了零知識證明這項技術,而這項技術恰是資料流通中保障資料安全的主流技術之一。
“不太謙虛地說,沒有幾家企業能夠把零知識證明做到生產級別的應用。這也是我們第一次把這個基礎應用用到實際生產中,我就能夠把我的資料在不告訴你的情況下,對你的資料進行驗證。比如說我有一個倉單是1000萬,我從渣打融資500萬,如果這時我又去匯豐融資700萬時,系統就會告訴你已經發生了重複融資。”平安集團金融壹賬通區塊鏈產品總監王夢寒解釋道。
平安集團金融壹賬通區塊鏈產品總監王夢寒
技術安全團體標準首次釋出
上海市資訊保安測評認證中心主任蔣力群認為,區塊鏈技術應用前景很廣,挑戰也很大,安全問題的暴露開始呈加速度,儘快推出相關安全標準和規範,是減少隱患、降低風險的必要措施。
會上由其釋出的《區塊鏈技術安全通用規範》團體標準,按照風險對抗的思路編制了針對性的安全要求。
“區塊鏈的層次架構分法有多種,從風險角度來分有四層,主要是資料層、網路層、共識與合約層以及應用層,每一層都有一些要素,這些要素就是安全的關注點。”蔣力群說道,“這些風險都是現實中發現的客觀存在,我們也研究出來了可行的應對策略。”
區塊鏈層次體系
算力智庫記者發現,蔣力群口中的“要素”包含隱私保護和智慧合約,而此次大會重磅釋出的另外兩項團隊標準分別為《區塊鏈隱私保護規範》團體標準和《區塊鏈智慧合約實施規範》團體標準。從這個意義上說,《區塊鏈技術安全通用規範》團體標準更像一個概述,《區塊鏈隱私保護規範》團體標準和《區塊鏈智慧合約實施規範》團體標準則是細分領域的詳述。
工信部電子技術標準化研究院區塊鏈研究室主任李鳴進一步指出,對於區塊鏈這種創新技術的標準化,可以採用自下而上的方式,即團體標準推出後再去驗證,我們希望打造標準體系來規範區塊鏈產業的發展,同時逐漸為國標、國際標準推出做匯入。
工信部電子技術標準化研究院區塊鏈研究室
主任李鳴
文章所載觀點僅代表作者本人
且不構成投資建議
敬請注意投資風險
