2019年3月5日，跨國計算機巨頭IBM公司提交了兩項新的區(qū)塊鏈專利申請，一項專利是IBM目前正尋求通過區(qū)塊鏈技術(shù)維護網(wǎng)絡安全，另一項專利則專注于使用該技術(shù)的數(shù)據(jù)庫管理功能。從網(wǎng)絡安全的角度來講，近幾年，各個領(lǐng)域都成為黑客攻擊的重點。同時，各國也都在重視區(qū)塊鏈技術(shù)在網(wǎng)絡安全中的運用，僅僅2018年，75%的CEO和董事會成員都將網(wǎng)絡安全和技術(shù)收購視為他們的首要任務。除了商界巨頭之外，不少平民大眾也在考慮采用基于區(qū)塊鏈的網(wǎng)絡安全解決方案。

　　一、各國嘗試將區(qū)塊鏈技術(shù)用于網(wǎng)絡安全領(lǐng)域

　　在經(jīng)歷了區(qū)塊鏈技術(shù)的概念爆發(fā)期和炒作期之后，全球?qū)^(qū)塊鏈技術(shù)的關(guān)注程度仍然居高不下，世界各主要國家和地區(qū)競相布局區(qū)塊鏈發(fā)展和應用探索，以美國、加拿大、以色列為代表，各國積極鼓勵探索區(qū)塊鏈技術(shù)在網(wǎng)絡安全領(lǐng)域的應用，并逐漸顯現(xiàn)成效。

　　（一）美國

　　2018年，美國國會發(fā)布《2018年聯(lián)合經(jīng)濟報告》，提出區(qū)塊鏈技術(shù)可以作為打擊網(wǎng)絡犯罪和保護國家經(jīng)濟和基礎設施的潛在工具，指出這一領(lǐng)域的應用應成為立法者和監(jiān)管者的首要任務。美國DARPA也正在大力投資區(qū)塊鏈項目，旨在安全儲存國防部內(nèi)部高度機密項目數(shù)據(jù)。2017年，總統(tǒng)特朗普簽署了一份7000億美元的軍費開支法案，其中包括授權(quán)一項區(qū)塊鏈安全性研究，呼吁“調(diào)查區(qū)塊鏈技術(shù)和其他分布式數(shù)據(jù)庫技術(shù)的潛在攻擊和防御網(wǎng)絡應用”，支持美國DHS開展的加密貨幣跟蹤、取證和分析工具開發(fā)項目。

　?。ǘ┒砹_斯

　　2018年，俄羅斯軍方用區(qū)塊鏈技術(shù)加強國防網(wǎng)絡安全。俄羅斯聯(lián)邦國防部在ERA技術(shù)園區(qū)建立一個獨特的研究實驗室，以開發(fā)區(qū)塊鏈技術(shù)，并將技術(shù)應用于加強網(wǎng)絡安全和打擊針對關(guān)鍵信息基礎設施的網(wǎng)絡攻擊。專家認為，區(qū)塊鏈將幫助軍隊追蹤黑客攻擊的來源，并提高其數(shù)據(jù)庫的安全性。

　?。ㄈ┮陨?/p>

　　2018年10月，以色列證券管理局已經(jīng)開始使用區(qū)塊鏈技術(shù)來改善網(wǎng)絡安全，以及應對網(wǎng)絡安全挑戰(zhàn)問題。據(jù)稱，這款區(qū)塊鏈軟件系統(tǒng)是由信息公司塔爾多歷時3個月開發(fā)出來的。此次，據(jù)以色列證券管理局表示，將區(qū)塊鏈技術(shù)植入一個名為Yael的系統(tǒng)，政府機構(gòu)就可以利用該系統(tǒng)向其管轄的機構(gòu)發(fā)送消息和下達通知。不僅僅是當前這個應用，以色列證券管理局還表示，在不遠的未來，還會有兩個系統(tǒng)也將嵌入?yún)^(qū)塊鏈技術(shù)。一個是在線投票系統(tǒng)，運用了區(qū)塊鏈技術(shù)，這個系統(tǒng)就可以讓投資者在任何地方參與會議；二是麥格納系統(tǒng)，其用于管理局監(jiān)管下的機構(gòu)記錄所有報告。以色列證券管理局方面認為，利用區(qū)塊鏈技術(shù)無法篡改的優(yōu)勢，防止信息被編輯或刪除，可以讓傳遞給監(jiān)管機構(gòu)的信息多一層保護，以防信息泄露，增加了信息傳遞的可信度。不僅如此，只要信息上鏈了，區(qū)塊鏈技術(shù)就可以查看信息在傳送過程中的具體情形，以便驗證其真實性。

　　二、區(qū)塊鏈技術(shù)網(wǎng)絡安全領(lǐng)域應用淺析

　　從改善數(shù)據(jù)完整性和數(shù)字身份到防護物聯(lián)網(wǎng)設備安全以防止拒絕服務攻擊，區(qū)塊鏈在網(wǎng)絡安全領(lǐng)域應用潛力很大。事實上，區(qū)塊鏈在機密性、完整性和可用性這三個方面都能有所作為，可提高系統(tǒng)彈性，改善加密、審計，提高透明度。近幾年，國外區(qū)塊鏈技術(shù)網(wǎng)絡安全領(lǐng)域相關(guān)實踐應用也在蓬勃發(fā)展。

　　表1   區(qū)塊鏈技術(shù)在網(wǎng)絡安全領(lǐng)域的典型應用

　　作為網(wǎng)絡時代的新一輪變革力量，區(qū)塊鏈作為一種全新的信息存儲、傳播和管理機制，通過讓用戶共同參與數(shù)據(jù)的計算和存儲，并互相驗證數(shù)據(jù)的真實性，以“去中心”和“去信任”的方式實現(xiàn)數(shù)據(jù)和價值的可靠轉(zhuǎn)移。目前，區(qū)塊鏈技術(shù)應用以網(wǎng)絡安全領(lǐng)域為典型代表，向社會諸多領(lǐng)域逐漸擴展延伸，得到了普遍的關(guān)注和全球性的探索。

　　區(qū)塊鏈技術(shù)在與現(xiàn)有技術(shù)結(jié)合催生新業(yè)態(tài)、新模式的同時，區(qū)塊鏈技術(shù)發(fā)展和網(wǎng)絡安全領(lǐng)域的深入應用仍需要漫長的整合過程，其核心機制、應用場景中存在的潛在網(wǎng)絡風險也給技術(shù)應用和現(xiàn)有網(wǎng)絡安全監(jiān)管政策帶來新的挑戰(zhàn)。因此，我們理性看待區(qū)塊鏈的技術(shù)優(yōu)勢和網(wǎng)絡安全領(lǐng)域應用的同時，要強化應對潛在網(wǎng)絡安全風險已成為保障區(qū)塊鏈技術(shù)的健康、有序發(fā)展的當務之急。

　　隨著網(wǎng)絡攻擊的復雜性和網(wǎng)絡功能的多樣化，傳統(tǒng)的入侵檢測技術(shù)存在誤報率高、適應性差和檢測率低的問題。因此，我們需要研究新的入侵檢測技術(shù)來提高入侵檢測系統(tǒng)的安全檢測能力。近年來，深度學習[1] 在圖像識別、語音識別、自然語言處理等方面取得了驚人的成績。深度學習技術(shù)在處理復雜的大規(guī)模數(shù)據(jù)方面具有出色的性能，這也為處理多特征入侵數(shù)據(jù)帶來了新的思路。深度學習在網(wǎng)絡入侵檢測領(lǐng)域的靈活應用可以有效提高檢測率，降低誤報率和漏報率。

　　三、區(qū)塊鏈技術(shù)面臨網(wǎng)絡安全威脅

　　區(qū)塊鏈不是萬能的，不可迷信更不能神話區(qū)塊鏈技術(shù)。隨著大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新技術(shù)的廣泛應用，不斷出現(xiàn)的數(shù)據(jù)泄露和信息安全事件也給個人隱私保護、企業(yè)安全生產(chǎn)、社會公共服務等帶來新的挑戰(zhàn)。基于分布式賬本技術(shù)的區(qū)塊鏈，在確保數(shù)據(jù)安全和信息完整性方面具有天然的優(yōu)勢，而被很多人給予“厚望”。

　　然而，區(qū)塊鏈并非萬靈藥，從技術(shù)復雜度和系統(tǒng)數(shù)量到其實現(xiàn)，區(qū)塊鏈都不能保證100%安全。交易速率上的限制，還有關(guān)于信息是否應保存在區(qū)塊鏈中的爭論，都是該技術(shù)在網(wǎng)絡安全應用方面的顧慮。

　　目前區(qū)塊鏈技術(shù)本身仍存在一些網(wǎng)絡安全風險，應用過程中可能會引發(fā)一定的安全問題。近年來，區(qū)塊鏈網(wǎng)絡安全事件頻發(fā)造成重大經(jīng)濟損失。據(jù)統(tǒng)計，自2011年到2018年10月，全球范圍內(nèi)因區(qū)塊鏈網(wǎng)絡安全事件造成的損失近36億美元。可見，區(qū)塊鏈網(wǎng)絡安全問題不容忽視?；跇I(yè)界已有研究報告，將區(qū)塊鏈面臨的網(wǎng)絡風險與挑戰(zhàn)分為六大方面：基礎設施安全、密碼算法安全、協(xié)議安全、實現(xiàn)安全、使用安全和系統(tǒng)安全。

　?。ㄒ唬┗A設施安全

　　區(qū)塊鏈的發(fā)展，基礎設施是關(guān)鍵。區(qū)塊鏈的基礎設施主要包括交換機和路由器等網(wǎng)絡資源、硬盤和云盤等存儲資源以及CPU和圖形處理器（GPU）等計算資源。當前面臨的主要有物理安全風險、以及數(shù)據(jù)丟失和泄露等安全風險。

　　物理安全風險主要指區(qū)塊鏈存儲設備自身以及所處環(huán)境的安全風險，如LevelDB、Redis 等數(shù)據(jù)庫中可能存在未及時修復的安全漏洞，導致未經(jīng)授權(quán)的區(qū)塊鏈存儲設備訪問和入侵，或者存放存儲設備的物理運行、訪問環(huán)境中存在的安全風險。

　　數(shù)據(jù)丟失和泄露主要針對區(qū)塊數(shù)據(jù)和數(shù)據(jù)文件的竊取、破壞，或因誤操作、系統(tǒng)故障、管理不善等問題導致的數(shù)據(jù)丟失和泄露，線上和線下數(shù)據(jù)存儲的一致性問題等。例如，EOS的IO節(jié)點可通過原生插件，將不可逆的交易歷史數(shù)據(jù)同步到外部數(shù)據(jù)庫中，外聯(lián)數(shù)據(jù)庫數(shù)據(jù)為開發(fā)者和用戶提供了便利的同時，也可能引發(fā)更多的數(shù)據(jù)丟失和泄露風險。

　?。ǘ┟艽a算法安全

　　區(qū)塊鏈使用了大量密碼算法以保證安全性。但現(xiàn)有的一些密碼算法存在一定缺陷，使用有缺陷的密碼算法會大大影響安全性。另外，隨著量子技術(shù)的發(fā)展，使用不能夠抵抗量子攻擊的密碼算法都有較大風險。目前密碼貨幣的算法是相對安全的，但是隨著數(shù)學、密碼學和計算技術(shù)的發(fā)展會變得越來越脆弱，況且區(qū)塊鏈中的密碼算法在使用過程中也存在問題。另外，量子計算對現(xiàn)有公鑰密碼帶來的影響是顛覆性的，2017年IBM宣布成功搭建和測試了兩種新機器。當然，算法方面也曾出現(xiàn)過隨機數(shù)漏洞事件，比如2014年12月，blockchain.info爆出隨機數(shù)問題。

　?。ㄈ﹨f(xié)議安全

　　區(qū)塊鏈是一個新的協(xié)議層，是一項去中心化的協(xié)議，分布在Web2.0之上，支持點對點傳輸，基于分布式的特性，無需任何中介，美國人都可以直接發(fā)送和存儲數(shù)據(jù)和參與金融交易。協(xié)議安全主要指共識機制、P2P網(wǎng)絡等存在的安全隱患，主要面臨共識算法漏洞、流量攻擊以及惡意節(jié)點等威脅。

　?。ㄋ模崿F(xiàn)安全

　　智能合約運行環(huán)境的安全性是區(qū)塊鏈安全的關(guān)鍵環(huán)節(jié)，智能合約起步較晚，其風險主要來源于代碼實現(xiàn)中的安全漏洞。目前，部分區(qū)塊鏈項目會設計并使用自己的虛擬機環(huán)境，如以太坊的EVM，而Hyper Ledger Fabric等則直接使用成熟的Docker等技術(shù)作為智能合約的處理環(huán)境，一旦在運行環(huán)境中存在虛擬機自身安全漏洞，或驗證、控制等機制不完善等，攻擊者可通過部署惡意智能合約代碼，擾亂正常業(yè)務秩序，消耗整個系統(tǒng)中的網(wǎng)絡、存儲和計算資源，進而引發(fā)各類安全威脅。

　?。ㄎ澹┦褂冒踩?/p>

　　主要指使用的智能合約、數(shù)字錢包、交易所以及應用軟件等存在的安全問題。另外，區(qū)塊鏈應用所在服務器上的惡意軟件、系統(tǒng)的安全漏洞等都可能成為攻擊者攻破區(qū)塊鏈應用的脆弱點。目前存在以下問題，比如私鑰托管容易造成監(jiān)守自盜以及黑客盜?。粎^(qū)塊鏈錢包的口令存在被恢復的危險；私鑰一旦丟失，便無法對賬戶的資產(chǎn)做任何操作。最重要的是所有的數(shù)字貨幣系統(tǒng)都會遭到黑客攻擊，比如2017年12月，朝鮮黑客攻擊了韓國加密貨幣交易所，導致價值76億韓元（約合699萬美元）的加密貨幣被盜。

　?。┫到y(tǒng)安全

　　上述基礎設施、密碼算法、協(xié)議、實現(xiàn)、使用安全漏洞與黑客攻擊結(jié)合，可使區(qū)塊鏈受到致命打擊。社會工程學手段與傳統(tǒng)攻擊方法結(jié)合使區(qū)塊鏈變得更加脆弱，有組織的攻擊行為將對區(qū)塊鏈安全造成極大危害。綜合運用算法/協(xié)議/使用/實現(xiàn)漏洞，與網(wǎng)絡攻擊解密結(jié)合，采用技術(shù)和社會工程學對密碼貨幣系統(tǒng)進行攻擊，一旦國家或組織采用綜合安全攻擊，會對密碼系統(tǒng)造成極大的危害。

　　四、安全性威脅應對建議

　?。ㄒ唬┘辛α抗リP(guān)區(qū)塊鏈安全風險應對技術(shù)

　　針對協(xié)議安全性，POW中使用防ASIC雜湊函數(shù)，使用更有效的共識算法和策略；針對實現(xiàn)安全性，需要對關(guān)鍵代碼進行嚴格、完整測試，以及采用更加安全的智能合約；針對使用安全性，主要是對私鑰生成、存儲、使用進行保護，使用有效的魂幣模式，對敏感數(shù)據(jù)進行加密保護。另外，也要選擇安全的交易所，因為交易所聚集了大量的數(shù)字貨幣，所以很容易成為黑客或者一些敵對、恐怖組織的針對目標；針對算法安全性，可以采用抗量子算法，如基于格的簽名算法，或者采用盲簽名、環(huán)簽名、聚合簽名、多重簽名、門限簽名策略，總之是要采用新的、本身經(jīng)得起考驗的密碼技術(shù)；針對黑客的攻擊，提出擬態(tài)防御的方法。擬態(tài)防御是一項技術(shù)，利用擬態(tài)防御技術(shù)，對于提高區(qū)塊鏈系統(tǒng)安全性會起到非常好的作用。

　?。ǘ┨剿鲃?chuàng)新性的區(qū)塊鏈監(jiān)管手段

　　探索“沙盒監(jiān)管”、“穿透監(jiān)管”等區(qū)塊鏈監(jiān)管模式，監(jiān)管機構(gòu)可為特定區(qū)塊鏈產(chǎn)品、服務和應用模式的測試創(chuàng)新構(gòu)造“安全沙盒空間”，在滿足企業(yè)在真實場景中測試其產(chǎn)品方案需求的同時，嚴防風險外溢；或在區(qū)塊鏈節(jié)點中設置一個或多個監(jiān)管機構(gòu)節(jié)點的方式，使監(jiān)管方可全面及時獲取區(qū)塊鏈業(yè)務流程、用戶關(guān)系、信息流向等監(jiān)管信息，以“穿透式”的方式深入?yún)^(qū)塊鏈業(yè)務核心實施監(jiān)管。

　?。ㄈ﹨^(qū)塊鏈應回歸技術(shù)本質(zhì)， 存儲安全標準亟待建立

　　隨著信息的交互流動加速，區(qū)塊鏈得以脫離數(shù)字貨幣的范疇而走向更廣大的權(quán)益資產(chǎn)市場，數(shù)字資產(chǎn)管理成為目前區(qū)塊鏈有望盡快落地的應用之一。然而由于缺乏安全基礎設施建設和防護，存儲為目標的區(qū)塊鏈成為黑客攻擊的“重災區(qū)”。

　　在區(qū)塊鏈技術(shù)的發(fā)展過程中，區(qū)塊鏈各技術(shù)分支和應用領(lǐng)域發(fā)展程度不均衡，缺乏統(tǒng)一的概念術(shù)語、架構(gòu)及測評標準，技術(shù)和機制特性給法律和監(jiān)管帶來挑戰(zhàn)等問題在不同程度上對技術(shù)的發(fā)展應用和產(chǎn)業(yè)化形成了阻礙。圍繞技術(shù)架構(gòu)規(guī)范、開發(fā)規(guī)范、身份認證等相關(guān)標準化、合規(guī)化問題，國際標準化組織和開源組織已開始啟動區(qū)塊鏈安全標準化工作，規(guī)范區(qū)塊鏈技術(shù)應用發(fā)展。截至目前，國際電信聯(lián)盟遠程通信標準化組織在區(qū)塊鏈安全議題上表現(xiàn)活躍，參與方眾多，研究范圍較廣，推進路線明確。國際電信聯(lián)盟遠程通信標準化組織成立了三個焦點組、一個問題小組，設立多個標準研究項目，圍繞區(qū)塊鏈整體發(fā)展、安全及物聯(lián)網(wǎng)、下一代網(wǎng)絡演進、數(shù)據(jù)管理應用等開展標準化工作。

　?。ㄋ模娀苿訁^(qū)塊鏈安全產(chǎn)品和服務市場發(fā)展

　　鼓勵網(wǎng)絡安全企業(yè)、區(qū)塊鏈相關(guān)企業(yè)等重視區(qū)塊鏈技術(shù)安全問題，推動智能合約漏洞挖掘、區(qū)塊鏈產(chǎn)品代碼審計、業(yè)務安全監(jiān)測等相關(guān)安全產(chǎn)品和服務的開發(fā)應用，提升區(qū)塊鏈產(chǎn)品應用安全水平和抗攻擊能力，不斷優(yōu)化區(qū)塊鏈技術(shù)生態(tài)結(jié)構(gòu)。

　　區(qū)塊鏈技術(shù)正日益成為網(wǎng)絡安全領(lǐng)域創(chuàng)新的重要驅(qū)動力量，其技術(shù)帶來的巨大變革不容忽視，技術(shù)和應用場景中的潛在網(wǎng)絡安全風險也在逐漸顯現(xiàn)。全球各個國家在著力把握技術(shù)發(fā)展先機的同時，也需正視風險，從發(fā)展引導、強化監(jiān)管、風險研判、國際合作等多角度積極應對，有效防范化解新技術(shù)網(wǎng)絡安全風險，切實保障區(qū)塊鏈技術(shù)在網(wǎng)絡安全領(lǐng)域的健康、有序發(fā)展。