2019年3月5日，跨國計算機(jī)巨頭IBM公司提交了兩項新的區(qū)塊鏈專利申請，一項專利是IBM目前正尋求通過區(qū)塊鏈技術(shù)維護(hù)網(wǎng)絡(luò)安全，另一項專利則專注于使用該技術(shù)的數(shù)據(jù)庫管理功能。從網(wǎng)絡(luò)安全的角度來講，近幾年，各個領(lǐng)域都成為黑客攻擊的重點(diǎn)。同時，各國也都在重視區(qū)塊鏈技術(shù)在網(wǎng)絡(luò)安全中的運(yùn)用，僅僅2018年，75%的CEO和董事會成員都將網(wǎng)絡(luò)安全和技術(shù)收購視為他們的首要任務(wù)。除了商界巨頭之外，不少平民大眾也在考慮采用基于區(qū)塊鏈的網(wǎng)絡(luò)安全解決方案。

　　一、各國嘗試將區(qū)塊鏈技術(shù)用于網(wǎng)絡(luò)安全領(lǐng)域

　　在經(jīng)歷了區(qū)塊鏈技術(shù)的概念爆發(fā)期和炒作期之后，全球?qū)^(qū)塊鏈技術(shù)的關(guān)注程度仍然居高不下，世界各主要國家和地區(qū)競相布局區(qū)塊鏈發(fā)展和應(yīng)用探索，以美國、加拿大、以色列為代表，各國積極鼓勵探索區(qū)塊鏈技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用，并逐漸顯現(xiàn)成效。

　?。ㄒ唬┟绹?/p>

　　2018年，美國國會發(fā)布《2018年聯(lián)合經(jīng)濟(jì)報告》，提出區(qū)塊鏈技術(shù)可以作為打擊網(wǎng)絡(luò)犯罪和保護(hù)國家經(jīng)濟(jì)和基礎(chǔ)設(shè)施的潛在工具，指出這一領(lǐng)域的應(yīng)用應(yīng)成為立法者和監(jiān)管者的首要任務(wù)。美國DARPA也正在大力投資區(qū)塊鏈項目，旨在安全儲存國防部內(nèi)部高度機(jī)密項目數(shù)據(jù)。2017年，總統(tǒng)特朗普簽署了一份7000億美元的軍費(fèi)開支法案，其中包括授權(quán)一項區(qū)塊鏈安全性研究，呼吁“調(diào)查區(qū)塊鏈技術(shù)和其他分布式數(shù)據(jù)庫技術(shù)的潛在攻擊和防御網(wǎng)絡(luò)應(yīng)用”，支持美國DHS開展的加密貨幣跟蹤、取證和分析工具開發(fā)項目。

　?。ǘ┒砹_斯

　　2018年，俄羅斯軍方用區(qū)塊鏈技術(shù)加強(qiáng)國防網(wǎng)絡(luò)安全。俄羅斯聯(lián)邦國防部在ERA技術(shù)園區(qū)建立一個獨(dú)特的研究實驗室，以開發(fā)區(qū)塊鏈技術(shù)，并將技術(shù)應(yīng)用于加強(qiáng)網(wǎng)絡(luò)安全和打擊針對關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊。專家認(rèn)為，區(qū)塊鏈將幫助軍隊追蹤黑客攻擊的來源，并提高其數(shù)據(jù)庫的安全性。

　?。ㄈ┮陨?/p>

　　2018年10月，以色列證券管理局已經(jīng)開始使用區(qū)塊鏈技術(shù)來改善網(wǎng)絡(luò)安全，以及應(yīng)對網(wǎng)絡(luò)安全挑戰(zhàn)問題。據(jù)稱，這款區(qū)塊鏈軟件系統(tǒng)是由信息公司塔爾多歷時3個月開發(fā)出來的。此次，據(jù)以色列證券管理局表示，將區(qū)塊鏈技術(shù)植入一個名為Yael的系統(tǒng)，政府機(jī)構(gòu)就可以利用該系統(tǒng)向其管轄的機(jī)構(gòu)發(fā)送消息和下達(dá)通知。不僅僅是當(dāng)前這個應(yīng)用，以色列證券管理局還表示，在不遠(yuǎn)的未來，還會有兩個系統(tǒng)也將嵌入?yún)^(qū)塊鏈技術(shù)。一個是在線投票系統(tǒng)，運(yùn)用了區(qū)塊鏈技術(shù)，這個系統(tǒng)就可以讓投資者在任何地方參與會議；二是麥格納系統(tǒng)，其用于管理局監(jiān)管下的機(jī)構(gòu)記錄所有報告。以色列證券管理局方面認(rèn)為，利用區(qū)塊鏈技術(shù)無法篡改的優(yōu)勢，防止信息被編輯或刪除，可以讓傳遞給監(jiān)管機(jī)構(gòu)的信息多一層保護(hù)，以防信息泄露，增加了信息傳遞的可信度。不僅如此，只要信息上鏈了，區(qū)塊鏈技術(shù)就可以查看信息在傳送過程中的具體情形，以便驗證其真實性。

　　二、區(qū)塊鏈技術(shù)網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用淺析

　　從改善數(shù)據(jù)完整性和數(shù)字身份到防護(hù)物聯(lián)網(wǎng)設(shè)備安全以防止拒絕服務(wù)攻擊，區(qū)塊鏈在網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用潛力很大。事實上，區(qū)塊鏈在機(jī)密性、完整性和可用性這三個方面都能有所作為，可提高系統(tǒng)彈性，改善加密、審計，提高透明度。近幾年，國外區(qū)塊鏈技術(shù)網(wǎng)絡(luò)安全領(lǐng)域相關(guān)實踐應(yīng)用也在蓬勃發(fā)展。

　　表1   區(qū)塊鏈技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的典型應(yīng)用

　　作為網(wǎng)絡(luò)時代的新一輪變革力量，區(qū)塊鏈作為一種全新的信息存儲、傳播和管理機(jī)制，通過讓用戶共同參與數(shù)據(jù)的計算和存儲，并互相驗證數(shù)據(jù)的真實性，以“去中心”和“去信任”的方式實現(xiàn)數(shù)據(jù)和價值的可靠轉(zhuǎn)移。目前，區(qū)塊鏈技術(shù)應(yīng)用以網(wǎng)絡(luò)安全領(lǐng)域為典型代表，向社會諸多領(lǐng)域逐漸擴(kuò)展延伸，得到了普遍的關(guān)注和全球性的探索。

　　區(qū)塊鏈技術(shù)在與現(xiàn)有技術(shù)結(jié)合催生新業(yè)態(tài)、新模式的同時，區(qū)塊鏈技術(shù)發(fā)展和網(wǎng)絡(luò)安全領(lǐng)域的深入應(yīng)用仍需要漫長的整合過程，其核心機(jī)制、應(yīng)用場景中存在的潛在網(wǎng)絡(luò)風(fēng)險也給技術(shù)應(yīng)用和現(xiàn)有網(wǎng)絡(luò)安全監(jiān)管政策帶來新的挑戰(zhàn)。因此，我們理性看待區(qū)塊鏈的技術(shù)優(yōu)勢和網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用的同時，要強(qiáng)化應(yīng)對潛在網(wǎng)絡(luò)安全風(fēng)險已成為保障區(qū)塊鏈技術(shù)的健康、有序發(fā)展的當(dāng)務(wù)之急。

　　隨著網(wǎng)絡(luò)攻擊的復(fù)雜性和網(wǎng)絡(luò)功能的多樣化，傳統(tǒng)的入侵檢測技術(shù)存在誤報率高、適應(yīng)性差和檢測率低的問題。因此，我們需要研究新的入侵檢測技術(shù)來提高入侵檢測系統(tǒng)的安全檢測能力。近年來，深度學(xué)習(xí)[1] 在圖像識別、語音識別、自然語言處理等方面取得了驚人的成績。深度學(xué)習(xí)技術(shù)在處理復(fù)雜的大規(guī)模數(shù)據(jù)方面具有出色的性能，這也為處理多特征入侵?jǐn)?shù)據(jù)帶來了新的思路。深度學(xué)習(xí)在網(wǎng)絡(luò)入侵檢測領(lǐng)域的靈活應(yīng)用可以有效提高檢測率，降低誤報率和漏報率。

　　三、區(qū)塊鏈技術(shù)面臨網(wǎng)絡(luò)安全威脅

　　區(qū)塊鏈不是萬能的，不可迷信更不能神話區(qū)塊鏈技術(shù)。隨著大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新技術(shù)的廣泛應(yīng)用，不斷出現(xiàn)的數(shù)據(jù)泄露和信息安全事件也給個人隱私保護(hù)、企業(yè)安全生產(chǎn)、社會公共服務(wù)等帶來新的挑戰(zhàn)?；诜植际劫~本技術(shù)的區(qū)塊鏈，在確保數(shù)據(jù)安全和信息完整性方面具有天然的優(yōu)勢，而被很多人給予“厚望”。

　　然而，區(qū)塊鏈并非萬靈藥，從技術(shù)復(fù)雜度和系統(tǒng)數(shù)量到其實現(xiàn)，區(qū)塊鏈都不能保證100%安全。交易速率上的限制，還有關(guān)于信息是否應(yīng)保存在區(qū)塊鏈中的爭論，都是該技術(shù)在網(wǎng)絡(luò)安全應(yīng)用方面的顧慮。

　　目前區(qū)塊鏈技術(shù)本身仍存在一些網(wǎng)絡(luò)安全風(fēng)險，應(yīng)用過程中可能會引發(fā)一定的安全問題。近年來，區(qū)塊鏈網(wǎng)絡(luò)安全事件頻發(fā)造成重大經(jīng)濟(jì)損失。據(jù)統(tǒng)計，自2011年到2018年10月，全球范圍內(nèi)因區(qū)塊鏈網(wǎng)絡(luò)安全事件造成的損失近36億美元?？梢姡瑓^(qū)塊鏈網(wǎng)絡(luò)安全問題不容忽視。基于業(yè)界已有研究報告，將區(qū)塊鏈面臨的網(wǎng)絡(luò)風(fēng)險與挑戰(zhàn)分為六大方面：基礎(chǔ)設(shè)施安全、密碼算法安全、協(xié)議安全、實現(xiàn)安全、使用安全和系統(tǒng)安全。

　?。ㄒ唬┗A(chǔ)設(shè)施安全

　　區(qū)塊鏈的發(fā)展，基礎(chǔ)設(shè)施是關(guān)鍵。區(qū)塊鏈的基礎(chǔ)設(shè)施主要包括交換機(jī)和路由器等網(wǎng)絡(luò)資源、硬盤和云盤等存儲資源以及CPU和圖形處理器（GPU）等計算資源。當(dāng)前面臨的主要有物理安全風(fēng)險、以及數(shù)據(jù)丟失和泄露等安全風(fēng)險。

　　物理安全風(fēng)險主要指區(qū)塊鏈存儲設(shè)備自身以及所處環(huán)境的安全風(fēng)險，如LevelDB、Redis 等數(shù)據(jù)庫中可能存在未及時修復(fù)的安全漏洞，導(dǎo)致未經(jīng)授權(quán)的區(qū)塊鏈存儲設(shè)備訪問和入侵，或者存放存儲設(shè)備的物理運(yùn)行、訪問環(huán)境中存在的安全風(fēng)險。

　　數(shù)據(jù)丟失和泄露主要針對區(qū)塊數(shù)據(jù)和數(shù)據(jù)文件的竊取、破壞，或因誤操作、系統(tǒng)故障、管理不善等問題導(dǎo)致的數(shù)據(jù)丟失和泄露，線上和線下數(shù)據(jù)存儲的一致性問題等。例如，EOS的IO節(jié)點(diǎn)可通過原生插件，將不可逆的交易歷史數(shù)據(jù)同步到外部數(shù)據(jù)庫中，外聯(lián)數(shù)據(jù)庫數(shù)據(jù)為開發(fā)者和用戶提供了便利的同時，也可能引發(fā)更多的數(shù)據(jù)丟失和泄露風(fēng)險。

　?。ǘ┟艽a算法安全

　　區(qū)塊鏈?zhǔn)褂昧舜罅棵艽a算法以保證安全性。但現(xiàn)有的一些密碼算法存在一定缺陷，使用有缺陷的密碼算法會大大影響安全性。另外，隨著量子技術(shù)的發(fā)展，使用不能夠抵抗量子攻擊的密碼算法都有較大風(fēng)險。目前密碼貨幣的算法是相對安全的，但是隨著數(shù)學(xué)、密碼學(xué)和計算技術(shù)的發(fā)展會變得越來越脆弱，況且區(qū)塊鏈中的密碼算法在使用過程中也存在問題。另外，量子計算對現(xiàn)有公鑰密碼帶來的影響是顛覆性的，2017年IBM宣布成功搭建和測試了兩種新機(jī)器。當(dāng)然，算法方面也曾出現(xiàn)過隨機(jī)數(shù)漏洞事件，比如2014年12月，blockchain.info爆出隨機(jī)數(shù)問題。

　?。ㄈ﹨f(xié)議安全

　　區(qū)塊鏈?zhǔn)且粋€新的協(xié)議層，是一項去中心化的協(xié)議，分布在Web2.0之上，支持點(diǎn)對點(diǎn)傳輸，基于分布式的特性，無需任何中介，美國人都可以直接發(fā)送和存儲數(shù)據(jù)和參與金融交易。協(xié)議安全主要指共識機(jī)制、P2P網(wǎng)絡(luò)等存在的安全隱患，主要面臨共識算法漏洞、流量攻擊以及惡意節(jié)點(diǎn)等威脅。

　　（四）實現(xiàn)安全

　　智能合約運(yùn)行環(huán)境的安全性是區(qū)塊鏈安全的關(guān)鍵環(huán)節(jié)，智能合約起步較晚，其風(fēng)險主要來源于代碼實現(xiàn)中的安全漏洞。目前，部分區(qū)塊鏈項目會設(shè)計并使用自己的虛擬機(jī)環(huán)境，如以太坊的EVM，而Hyper Ledger Fabric等則直接使用成熟的Docker等技術(shù)作為智能合約的處理環(huán)境，一旦在運(yùn)行環(huán)境中存在虛擬機(jī)自身安全漏洞，或驗證、控制等機(jī)制不完善等，攻擊者可通過部署惡意智能合約代碼，擾亂正常業(yè)務(wù)秩序，消耗整個系統(tǒng)中的網(wǎng)絡(luò)、存儲和計算資源，進(jìn)而引發(fā)各類安全威脅。

　　（五）使用安全

　　主要指使用的智能合約、數(shù)字錢包、交易所以及應(yīng)用軟件等存在的安全問題。另外，區(qū)塊鏈應(yīng)用所在服務(wù)器上的惡意軟件、系統(tǒng)的安全漏洞等都可能成為攻擊者攻破區(qū)塊鏈應(yīng)用的脆弱點(diǎn)。目前存在以下問題，比如私鑰托管容易造成監(jiān)守自盜以及黑客盜?。粎^(qū)塊鏈錢包的口令存在被恢復(fù)的危險；私鑰一旦丟失，便無法對賬戶的資產(chǎn)做任何操作。最重要的是所有的數(shù)字貨幣系統(tǒng)都會遭到黑客攻擊，比如2017年12月，朝鮮黑客攻擊了韓國加密貨幣交易所，導(dǎo)致價值76億韓元（約合699萬美元）的加密貨幣被盜。

　?。┫到y(tǒng)安全

　　上述基礎(chǔ)設(shè)施、密碼算法、協(xié)議、實現(xiàn)、使用安全漏洞與黑客攻擊結(jié)合，可使區(qū)塊鏈?zhǔn)艿街旅驌?。社會工程學(xué)手段與傳統(tǒng)攻擊方法結(jié)合使區(qū)塊鏈變得更加脆弱，有組織的攻擊行為將對區(qū)塊鏈安全造成極大危害。綜合運(yùn)用算法/協(xié)議/使用/實現(xiàn)漏洞，與網(wǎng)絡(luò)攻擊解密結(jié)合，采用技術(shù)和社會工程學(xué)對密碼貨幣系統(tǒng)進(jìn)行攻擊，一旦國家或組織采用綜合安全攻擊，會對密碼系統(tǒng)造成極大的危害。

　　四、安全性威脅應(yīng)對建議

　?。ㄒ唬┘辛α抗リP(guān)區(qū)塊鏈安全風(fēng)險應(yīng)對技術(shù)

　　針對協(xié)議安全性，POW中使用防ASIC雜湊函數(shù)，使用更有效的共識算法和策略；針對實現(xiàn)安全性，需要對關(guān)鍵代碼進(jìn)行嚴(yán)格、完整測試，以及采用更加安全的智能合約；針對使用安全性，主要是對私鑰生成、存儲、使用進(jìn)行保護(hù)，使用有效的魂幣模式，對敏感數(shù)據(jù)進(jìn)行加密保護(hù)。另外，也要選擇安全的交易所，因為交易所聚集了大量的數(shù)字貨幣，所以很容易成為黑客或者一些敵對、恐怖組織的針對目標(biāo)；針對算法安全性，可以采用抗量子算法，如基于格的簽名算法，或者采用盲簽名、環(huán)簽名、聚合簽名、多重簽名、門限簽名策略，總之是要采用新的、本身經(jīng)得起考驗的密碼技術(shù)；針對黑客的攻擊，提出擬態(tài)防御的方法。擬態(tài)防御是一項技術(shù)，利用擬態(tài)防御技術(shù)，對于提高區(qū)塊鏈系統(tǒng)安全性會起到非常好的作用。

　?。ǘ┨剿鲃?chuàng)新性的區(qū)塊鏈監(jiān)管手段

　　探索“沙盒監(jiān)管”、“穿透監(jiān)管”等區(qū)塊鏈監(jiān)管模式，監(jiān)管機(jī)構(gòu)可為特定區(qū)塊鏈產(chǎn)品、服務(wù)和應(yīng)用模式的測試創(chuàng)新構(gòu)造“安全沙盒空間”，在滿足企業(yè)在真實場景中測試其產(chǎn)品方案需求的同時，嚴(yán)防風(fēng)險外溢；或在區(qū)塊鏈節(jié)點(diǎn)中設(shè)置一個或多個監(jiān)管機(jī)構(gòu)節(jié)點(diǎn)的方式，使監(jiān)管方可全面及時獲取區(qū)塊鏈業(yè)務(wù)流程、用戶關(guān)系、信息流向等監(jiān)管信息，以“穿透式”的方式深入?yún)^(qū)塊鏈業(yè)務(wù)核心實施監(jiān)管。

　　（三）區(qū)塊鏈應(yīng)回歸技術(shù)本質(zhì)， 存儲安全標(biāo)準(zhǔn)亟待建立

　　隨著信息的交互流動加速，區(qū)塊鏈得以脫離數(shù)字貨幣的范疇而走向更廣大的權(quán)益資產(chǎn)市場，數(shù)字資產(chǎn)管理成為目前區(qū)塊鏈有望盡快落地的應(yīng)用之一。然而由于缺乏安全基礎(chǔ)設(shè)施建設(shè)和防護(hù)，存儲為目標(biāo)的區(qū)塊鏈成為黑客攻擊的“重災(zāi)區(qū)”。

　　在區(qū)塊鏈技術(shù)的發(fā)展過程中，區(qū)塊鏈各技術(shù)分支和應(yīng)用領(lǐng)域發(fā)展程度不均衡，缺乏統(tǒng)一的概念術(shù)語、架構(gòu)及測評標(biāo)準(zhǔn)，技術(shù)和機(jī)制特性給法律和監(jiān)管帶來挑戰(zhàn)等問題在不同程度上對技術(shù)的發(fā)展應(yīng)用和產(chǎn)業(yè)化形成了阻礙。圍繞技術(shù)架構(gòu)規(guī)范、開發(fā)規(guī)范、身份認(rèn)證等相關(guān)標(biāo)準(zhǔn)化、合規(guī)化問題，國際標(biāo)準(zhǔn)化組織和開源組織已開始啟動區(qū)塊鏈安全標(biāo)準(zhǔn)化工作，規(guī)范區(qū)塊鏈技術(shù)應(yīng)用發(fā)展。截至目前，國際電信聯(lián)盟遠(yuǎn)程通信標(biāo)準(zhǔn)化組織在區(qū)塊鏈安全議題上表現(xiàn)活躍，參與方眾多，研究范圍較廣，推進(jìn)路線明確。國際電信聯(lián)盟遠(yuǎn)程通信標(biāo)準(zhǔn)化組織成立了三個焦點(diǎn)組、一個問題小組，設(shè)立多個標(biāo)準(zhǔn)研究項目，圍繞區(qū)塊鏈整體發(fā)展、安全及物聯(lián)網(wǎng)、下一代網(wǎng)絡(luò)演進(jìn)、數(shù)據(jù)管理應(yīng)用等開展標(biāo)準(zhǔn)化工作。

　?。ㄋ模?qiáng)化推動區(qū)塊鏈安全產(chǎn)品和服務(wù)市場發(fā)展

　　鼓勵網(wǎng)絡(luò)安全企業(yè)、區(qū)塊鏈相關(guān)企業(yè)等重視區(qū)塊鏈技術(shù)安全問題，推動智能合約漏洞挖掘、區(qū)塊鏈產(chǎn)品代碼審計、業(yè)務(wù)安全監(jiān)測等相關(guān)安全產(chǎn)品和服務(wù)的開發(fā)應(yīng)用，提升區(qū)塊鏈產(chǎn)品應(yīng)用安全水平和抗攻擊能力，不斷優(yōu)化區(qū)塊鏈技術(shù)生態(tài)結(jié)構(gòu)。

　　區(qū)塊鏈技術(shù)正日益成為網(wǎng)絡(luò)安全領(lǐng)域創(chuàng)新的重要驅(qū)動力量，其技術(shù)帶來的巨大變革不容忽視，技術(shù)和應(yīng)用場景中的潛在網(wǎng)絡(luò)安全風(fēng)險也在逐漸顯現(xiàn)。全球各個國家在著力把握技術(shù)發(fā)展先機(jī)的同時，也需正視風(fēng)險，從發(fā)展引導(dǎo)、強(qiáng)化監(jiān)管、風(fēng)險研判、國際合作等多角度積極應(yīng)對，有效防范化解新技術(shù)網(wǎng)絡(luò)安全風(fēng)險，切實保障區(qū)塊鏈技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的健康、有序發(fā)展。