区块链数据安全要求有哪些(区块链技术架构安全要求)

如何检测区块链智能合约的风险等级高低

随着上海城市数字化转型脚步的加快，区块链技术在政务、金融、物流、司法等众多领域得到深入应用。在应用过程中，不仅催生了新的业务形态和商业模式，也产生了很多安全问题，因而安全监管显得尤为重要。安全测评作为监管重要手段之一，成为很多区块链研发厂商和应用企业的关注热点。本文就大家关心的区块链合规性安全测评谈谈我们做的一点探索和实践。

一、区块链技术测评

区块链技术测评一般分为功能测试、性能测试和安全测评。

1、功能测试

功能测试是对底层区块链系统支持的基础功能的测试，目的是衡量底层区块链系统的能力范围。

区块链功能测试主要依据GB/T 25000.10-2016《系统与软件质量要求和评价（SQuaRE）第10部分：系统与软件质量模型》、GB/T 25000.51-2016《系统与软件质量要求和评价（SQuaRE）第51部分：就绪可用软件产品（RUSP）的质量要求和测试细则》等标准，验证被测软件是否满足相关测试标准要求。

区块链功能测试具体包括组网方式和通信、数据存储和传输、加密模块可用性、共识功能和容错、智能合约功能、系统管理稳定性、链稳定性、隐私保护、互操作能力、账户和交易类型、私钥管理方案、审计管理等模块。

2、性能测试

性能测试是为描述测试对象与性能相关的特征并对其进行评价而实施和执行的一类测试，大多在项目验收测评中，用来验证既定的技术指标是否完成。

区块链性能测试具体包括高并发压力测试场景、尖峰冲击测试场景、长时间稳定运行测试场景、查询测试场景等模块。

3、安全测评

区块链安全测评主要是对账户数据、密码学机制、共识机制、智能合约等进行安全测试和评价。

区块链安全测评的主要依据是《DB31/T 1331-2021区块链技术安全通用要求》。也可根据实际测试需求参考《JR/T 0193-2020区块链技术金融应用评估规则》、《JR/T 0184—2020金融分布式账本技术安全规范》等标准。

区块链安全测评具体包括存储、网络、计算、共识机制、密码学机制、时序机制、个人信息保护、组网机制、智能合约、服务与访问等内容。

二、区块链合规性安全测评

区块链合规性安全测评一般包括“区块链信息服务安全评估”、 “网络安全等级保护测评”和“专项资金项目验收测评”三类。

1、区块链信息服务安全评估

区块链信息服务安全评估主要依据国家互联网信息办公室2019年1月10日发布的《区块链信息服务管理规定》（以下简称“《规定》”）和参考区块链国家标准《区块链信息服务安全规范（征求意见稿）》进行。

《规定》旨在明确区块链信息服务提供者的信息安全管理责任，规范和促进区块链技术及相关服务的健康发展，规避区块链信息服务安全风险，为区块链信息服务的提供、使用、管理等提供有效的法律依据。《规定》第九条指出：区块链信息服务提供者开发上线新产品、新应用、新功能的，应当按照有关规定报国家和省、自治区、直辖市互联网信息办公室进行安全评估。

《区块链信息服务安全规范》是由中国科学院信息工程研究所牵头，浙江大学、中国电子技术标准化研究院、上海市信息安全测评认证中心等单位共同参与编写的一项建设和评估区块链信息服务安全能力的国家标准。《区块链信息服务安全规范》规定了联盟链和私有链的区块链信息服务提供者应满足的安全要求，包括安全技术要求和安全保障要求以及相应的测试评估方法，适用于指导区块链信息服务安全评估和区块链信息服务安全建设。标准提出的安全技术要求、保障要求框架如下：

图1 区块链信息服务安全要求模型

2、网络安全等级保护测评

网络安全等级保护测评的主要依据包括《GB/T 22239-2019网络安全等级保护基本要求》、《GB/T 28448-2019网络安全等级保护测评要求》。

区块链作为一种新兴信息技术，构建的应用系统同样属于等级保护对象，需要按照规定开展等级保护测评。等级保护安全测评通用要求适用于评估区块链的基础设施部分，但目前并没有提出区块链特有的安全要求。因此，区块链安全测评扩展要求还有待进一步探索和研究。

3、专项资金项目验收测评

根据市经信委有关规定，信息化专项资金项目在项目验收时需出具安全测评报告。区块链应用项目的验收测评将依据上海市最新发布的区块链地方标准《DB31/T 1331-2021 区块链技术安全通用要求》开展。

三、区块链安全测评探索与实践

1、标准编制

上海测评中心积极参与区块链标准编制工作。由上海测评中心牵头，苏州同济区块链研究院有限公司、上海七印信息科技有限公司、上海墨珩网络科技有限公司、电信科学技术第一研究所等单位参加编写的区块链地方标准《DB31/T 1331-2021 区块链技术安全通用要求》已于2021年12月正式发布，今年3月1日起正式实施。上海测评中心参与编写的区块链国标《区块链信息服务安全规范》正处于征求意见阶段。

同时，测评中心还参与编写了国家人力资源和社会保障部组织，同济大学牵头编写的区块链工程技术人员初级和中级教材，负责编制“测试区块链系统”章节内容。

2、项目实践

近年来，上海测评中心依据相关技术标准进行了大量的区块链安全测评实践，包括等级保护测评、信息服务安全评估、项目安全测评等。在测评实践中，发现的主要安全问题如下：

表1 区块链主要是安全问题

序号

测评项

问题描述

1

共识算法

共识算法采用Kafka或Raft共识，不支持拜占庭容错，不支持容忍节点恶意行为。

2

上链数据

上链敏感信息未进行加密处理，通过查询接口或区块链浏览器可访问链上所有数据。

3

密码算法

密码算法中使用的随机数不符合GB/T 32915-2016对随机性的要求。

4

节点防护

对于联盟链，未能对节点服务器所在区域配置安全防护措施。

5

通信传输

节点间通信、区块链与上层应用之间通信时，未建立安全的信息传输通道。

6

共识算法

系统部署节点数量较少，有时甚至没有达到共识算法要求的容错数量。

7

智能合约

未对智能合约的运行进行监测，无法及时发现、处置智能合约运行过程中出现的问题。

8

服务与访问

上层应用存在未授权、越权等访问控制缺陷，导致业务错乱、数据泄露。

9

智能合约

智能合约编码不规范，当智能合约出现错误时，不提供智能合约冻结功能。

10

智能合约

智能合约的运行环境没有与外部隔离，存在外部攻击的风险。

3、工具应用

测评中心在组织编制《DB31/T 1331-2021 区块链技术安全通用要求》时，已考虑与等级保护测评的衔接需求。DB31/T 1331中的“基础设施层”安全与等级保护的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等相关要求保持一致，“协议层安全”、“扩展层安全”则更多体现区块链特有的安全保护要求。

测评中心依据DB31/T 1331相关安全要求，正在组织编写区块链测评扩展要求，相关成果将应用于网络安全等级保护测评工具——测评能手。届时，使用“测评能手”软件的测评机构就能准确、规范、高效地开展区块链安全测评，发现区块链安全风险，并提出对应的整改建议

区块链它是如何安全的？

区块链中的安全性来自一些属性。

1.挖掘块需要使用资源。

2.每个块包含之前块的哈希值。

想象一下，如果攻击者想要通过改变5个街区之前的交易来改变链条。如果他们篡改了块，则块的哈希值会发生变化。然后攻击者必须将指针从下一个块更改为更改的块，然后更改下一个块的哈希值...这将一直持续到链的末尾。这意味着块体在链条的后面越远，其变化的阻力就越大。

实际上，攻击者必须模拟整个网络的哈希能力，直到链的前端。然而，当攻击者试图攻击时，链继续向前移动。如果攻击者的哈希值低于链的其余部分（当攻击者拥有51％的哈希值时，他们可以使用有效事务列表重写网络历史记录。这是因为他们可以比网络的其他部分更快地重新计算任何块排序的哈希值，因此它们最终可以保证更长的链。51％攻击的主要危险是双重花费的可能性。这简单的意思是攻击者可以购买一件物品并表明他们已经在区块链上用任意数量的确认付款。一旦他们收到了该物品，他们就可以对区块链进行重新排序，使其不包括发送交易，从而获得退款。

即使攻击者拥有50％的哈希值，攻击者也只能造成这么大的伤害。他们不能做诸如将钱从受害者的账户转移到他们的账户或打印更多硬币之类的事情。这是因为所有交易都由帐??户所有者签署，因此即使他们控制整个网络，也无法伪造帐户签名。

区块链技术安全都需要了解哪些问题

区块链技术相信大家应该都不陌生了，而今天我们就一起来了解一下，在区块链技术安全领域都有哪些问题是需要我们注意的，下面就开始今天的主要内容吧。目前，企业内部进行的大多数区块链项目都是所谓的“带权限的私有链”。与公有链不同的是，私有链只能由选定的用户组访问，这些用户有权在该账本上进行输入、验证、记录和交换数据。当然，对于一个从未获准加入的“局外人”而言，这样的网络几乎不可能被攻陷的。但随着私有链的出现，另一个问题就出现了：为了提高隐私性和安全性，我们真的需要舍弃去中心化吗?来自《麻省理工科技评论》(MITTechnologyReview)的MikeOrcutt写道，私有链系统“可能会让它的所有者感到更安全，但它实际上只是给予了他们更多的控制权，这意味着无论其他网络参与者是否同意，他们都可以进行更改。”这类系统需要提出平衡机制，为不同的用户组授予不同级别的权限，并对验证者进行身份检查，以确保他们是自己所声称的那个人。这就是为什么许多公司都在寻找两者兼备的方法——公有链的去中心化和私有链的额外安全性。由IBM、Corda、Ripple等主要厂商开发的联盟链，目前看来似乎是好的安全选择。简而言之，它们为企业提供了访问集中式系统的权限，且系统本身又具有一定程度的加密可审计性和安全性。其他企业也在考虑如何通过调整公有链来满足他们的安全需求。例如，以太坊区块链已经提供了一些机制，可以利用这些机制来确保网络参与者的隐私，包括环签名、隐身地址和存储公有链的私有数据。总的来说，区块链领域正在朝着为公有链、私有链、联盟链网络定义技术粒度隐私层的新解决方案稳步发展。IT培训发现各家公司正在积极调查和修补已知漏洞，并采用新的机制来确保各方都受到保护，任何恶意的骇客都无法攻破并利用账本中的漏洞。

区块链技术现存问题有哪些？

1.性能问题

体积问题

区块链对数据备份的要求对存储空间提出挑战。区块链要求在一笔交易达成后向全网广播，系统内每个节点都要进行数据备份。

以比特币为例，自创世区块至今的区块数据已经超过 60GB，并且区块链数据量还在不断增加，这将给比特币核心客户端的运行带来很大挑战。

处理速度问题

比特币区块链目前最高每秒处理 6.67 笔交易，一次确认时间大约为 10 分钟，容易造成大量交易的堵塞延迟，可能会限制小额多次交易和对时间敏感度较高交易的应用。

尽管目前有了一些克服手段，但全面解决交易效率的方法仍然亟待发掘 。

耗能过高

第三，挖矿过程中的算力并不产生额外的实际社会价值，还会浪费大量的电子资源，随着比特币的日益普及，区块链逐渐成为高耗能的资本密集型行业。

2.中心化问题

节点的不平等

第一，理论上，分布式网络中每个节点应当被平等对待，但是为了挖矿获得回报，各节点可能会增加算力进行硬件竞赛，从而导致节点的不平等，破坏区块链记账权的随机性。

产业化、规模化挖矿产生了矿池

理论上如果矿池通过共谋掌握 51% 以上的算力进行系统供给，就可以实现双重支付，实际过程中尽管其成本远超收益，但不能否认合谋供给存在的可能性。

3.隐私安全问题

私钥容易被窃取

第一，目前区块链采用的是非对称密钥机制，尽管具有很高的安全性，但是私钥保存在用户本地，容易被黑客窃取。

区块链数据的透明性容易造成隐私泄露

公有链中每个参与者都可以获得完整的数据备份，整个系统是公开透明的，比特币通过隔断交易地址和持有人真实身份的关联保护隐私。

当区块链需要承载更多的业务时，节点如何验证信息执行命令就需要更多的考虑。

4.升级和激励问题

公有链中参与节点的数量庞大

无论是升级还是修复错误都无法关闭系统集中进行，可能需要考虑放松去中心化的问题。

各个节点之间存在着竞争博弈

要求激励相容机制的完善，如何使去中心化系统中的自利节点能够自发开展区块数据验证及记账工作，并设计合理的惩罚函数抑制非理性竞争，是区块链面临的另一挑战。

以上内容为新媒号(sinv.com.cn)为大家提供！新媒号，坚持更新大家所需的区块链知识。希望您喜欢！