文章阅读页通栏

由《网络安全威胁信息发布管理办法》引发的对区块链安全的思考

来源: CertiK 作者:CertiK
随着互联网及区块链的技术迅猛发展,网络安全问题逐渐浮上水面。仅仅是2017年期间,就发生了12起惊心动魄的全球网络安全事件。 网络安全相关从业人......
随着互联网及区块链的技术迅猛发展,网络安全问题逐渐浮上水面。仅仅是2017年期间,就发生了12起惊心动魄的全球网络安全事件。

网络安全相关从业人员及企业出于安全意识考虑或为了提高业内安全技术,积极发布看似具有提示性的安全威胁信息和预警。但是,这些信息的发布带来了另一种形式的网络安全威胁,可被恶意分子直接利用,降低了网络攻击的门槛。

例如,在平台上发布源代码和恶意程序的制作办法,及相关攻击的流程和细节;或是公开程序设计、程序结构、编码等易被攻击的关键信息;或是因信息错位而发表的某些误导舆论;或是为了达到宣传目的,进行威胁和隐患的夸大处理。

传统的网络和区块链都有各自的安全风险。而多数情况下,可能会出现黑客对这两种环境使用同一种模式进行攻击的情况,但实施攻击的手法各不相同。下图列示了传统网络和区块链面临的不同风险。

因此为有效应对网络安全威胁和风险,保障网络运行安全,国家互联网信息办公室20日就《网络安全威胁信息发布管理办法(征求意见稿)》公开征求社会意见,对发布网络安全威胁信息的行为作出规范。

相比于传统互联网,区块链行业因其具备去中心化、公开透明以及匿名性等特点,如果不构建有力的监管系统,暴露和受攻击的风险居高不下。

首先,区块链的开源代码是处在公开状态,黑客们因此拥有了足够的时间寻找漏洞。

其次,区块链要求所有节点共同持有交易信息,这样的方式在增强数据的不可篡改性的同时也将交易信息暴露于各方眼中。这相当于在炒股时,你有可能知道所有的人何时买进何时卖出,想象一下如果这样的事发生了,人们的隐私权何去何从?

区块链技术具备了自己相对完善的安全体系,但是正因如此,区块链并不像传统行业一样对硬性防御下注苦功。很多传统互联网企业拥有防火墙、冗灾备份,或者其他相应安全保护技术措施在保障他们的网络安全,区块链行业却不太重视对信息系统的整体安全防御体系的构建。

例如亚马逊利用AWS进行灾难修复,一旦网络被黑客攻击,即可快速恢复数据;2014年美国大型连锁超市Target被攻击,高达4000万张信用卡和借记卡的数据被黑客窃取。幸而Target未雨绸缪购买了保险,因此损失被控制在了一个可接受的范围内。

区块链技术因为其不可篡改性,因此很多功能一旦被部署(比如智能合约)是不可更改的,一旦合约有漏洞,不仅难以发现,更加难以修复。而其匿名性也使得黑客的来源追踪追溯变得极为困难。

而加密货币的去中心化性质也导致了谁掌握了用户的密钥,谁就拥有了对应地址中的货币资产。同样因为区块链不可篡改的特征,一旦密钥丢失,也不可再通过修改区块链记录来寻回资产。这样的特性也导致了当账户被攻击时,盗币无法追回。

区块链领先安全公司CertiK认为,此次国家互联网信息办公室拟出台的《网络安全威胁信息发布管理办法》,对于网络安全进行了规范,有效地降低了互联网领域的安全隐患,同样保护了区块链行业内相对级别较低的企业和个人,加强了现有的安全解决方案,为构建区块链生态系统提供了相当大的助力。

这一管理办法直接推动了整个互联网行业包括区块链领域的安全意识,也就意味着目前尚处于发展过程中的区块链行业整体势必将安全技术提为企业前进路途上的重中之重。

关键词: 区块链安全  区块链技术  
0/300