在线阅读杂志

    2018年05月20日

    第10期 总第484期

    封面文章
    “网银”殊途同归路
    金融服务似乎正在以你想要的方式前行。 相应的,金融的生态及格局也在发生重大变化。技术的推动让金融的数字化转型愈发明显,传统金融机构“离柜率”同互联网银行业务激增形成强烈的对比。[详细]
    精彩推荐
  • 白帽汇安全研究院发布《区块链产业安全分析报告》 安全成区块链技术重大挑战

    时间:2018-05-09    来源:    作者: 我要评论() 字号:T | T

  • 区块链技术作为一种新兴技术,安全性威胁已是其面临的最重要的问题之一。

    5月8日,“安全.赢未来——2018区块链安全高峰论坛”在北京召开,会上白帽汇安全研究院发布《区块链产业安全分析报告》,并同时推出区块链安全网站。

    前4月区块链因安全问题损失达19亿美元

    微信图片_20180509084357.jpg

    白帽汇安全研究院负责人邓焕表示,随着信息经济价值不断上升,促使攻击者利用各种攻击手段获取更多敏感数据。《区块链产业安全分析报告》显示,2011年到2018年4月,全球范围内因区块链因安全事件造成的损失多达28.64亿美元。但值得注意的是,损失额度从 2017 年开始呈现出指数上升的趋势,仅2018年以来,损失金额就高达19亿美元。

    国家信息技术安全研究中心主任俞克群表示,区块链技术作为一种分布式数据存储、点对点传输、共识机制、加密算法等技术的新型集成应用,被认为是新一轮技术创新和产业变革,其具有去中心化、开放性、自治性、防篡改、匿名性等特点。

    “区块链技术发展可能会成为我国掌握全球科技竞争先机的重要一步。”俞克群表示,习近平总书记在全国科技创新大会中,强调科技创新“掌握全球科技竞争先机”。这个“先机”就是中国实现“弯道超车”的关键所在。

    微信图片_20180509084357.jpg

    美国科学院院士、中国科学院外籍院士张首晟表示,互联网第一阶段的需求是交换信息,到了第二阶段,需求升级为交换价值,而价值的核心则是大家的共识。

    “我们一旦有了共识之后,就会产生一种信任,人和人之前出现新的合作机会。”张首晟表示,新的时代,信念是建筑在数学算法之上。这样我们就不再需要中心化平台,而是通过透明的算法,定义游戏规则,导致一个新的互联网的革命。

    中国云体系产业创新战略联盟秘书长、云安全联盟(CSA)大中华区秘书长沈寓实表示,如果说代币是区块链1.0版本,那么区块链在金融领域应用的拓展则是2.0版本,而延展至实体经济,则是区块链的3.0版本。他认为,随着区块链技术广泛应用于金融服务、供应链管理、文化娱乐、智能制造、社会公益以及教育就业等经济社会各领域,将降低运营成本、提升协同效率,进而为经济社会转型升级提供系统化的支撑。

    需注意的是,区块链也并非完美,安全问题存在诸多挑战。俞克群指出,区块链还处在初级阶段,存在密码算法安全性、协议安全性、使用安全性、系统安全性等诸多挑战,风险不仅来自外部实体,也有可能来自内部参与者的攻击。如何围绕物理、数据、应用系统、加密、风险控制等构建安全体系,是我们面临的重要问题。

    俞克群表示,由于区块链的去中心化,暴露在公有链中的系统不能关停,其错误修复也异常棘手,应用领域逐渐广泛,区块链将演化成技术基础设施类的服务,一旦出现问题就会导致严重的安全后果。

    安全漏洞造成的损失指数级上升

    微信图片_20180509084357.jpg

    从目前区块链技术应用最为广泛的虚拟货币来看,便被黑客频繁利用漏洞攻击,造成巨额损失。日前,BEC美蜜智能合约出现重大漏洞,黑客通过合约的批量转账方法无限生成代币,天量BEC从两个地址转出,引发抛售潮。当日,BEC最高价2.27元,最低价0.137元,价格相差94%,致使64亿元人民币一日蒸发。

    中国信息安全测评中心主任助理李斌表示,以安全为核心的区块链技术的安全问题不断引人瞩目。“一行代码,打倒一种代币”、“一个漏洞,摧毁一类智能合约”,区块链技术的安全风险需要全社会的力量共同面对。

    “自2017年开始,安全漏洞所造成的损失呈现出指数上升的趋势。”邓焕表示,每年由区块链安全漏洞造成的损失高达数十亿美元,攻击者主要选择保护相对薄弱的合约层和业务层进行攻击,在该技术层本身也是目前攻击者最佳变现的场景。

    邓焕介绍,本次报告中也可以看到,目前攻击者主要采用拒绝服务攻击、木马劫持攻击、支付漏洞等手段对业务层进行破坏。“区块链作为底层技术基础,支撑着整个系统。如底层出现安全问题,必将导致依托于此的上层均受到影响。因此,在系统设计之初就应加入安全性设计。”

    邓焕介绍,为了给相关企业起到较好的参考作用,此次同时推出的区块链产业安全网站便会分为安全事件收集、事件分析、以及区块链生态监控等栏目,其将对整个区块链生态安全进行分析跟踪,不定期的更新区块链产业安全分析报告。同时,对目前区块链发生的相关的安全事件进行收录并进行分析。

    “华顺信安区块链全新解决方案可以贯穿区块链生态产业,从区块链底层到业务层,再到交易平台,以及生态中的各种节点场景。”邓焕说,除提前防御外,华顺信安还将对利用网络空间测绘技术,快速获取区块链威胁情报,及时发现安全问题,以助区块链企业及时做出响应。

    北京华顺信安科技有限公司CEO赵武表示,区块链技术的底层机制、算法是区块链最核心的地方,是保障区块链稳定运行的根本。但通过近段时间的安全事件不难发现,区块链的安全问题已经延伸到了传统的网络安全、基础设施、移动信息安全等问题。所以在谈及区块链安全的时候,不应该仅仅局限于区块链本身,它的使用者以及衍生的东西都是我们所需要重点关注的。

    李斌也指出,区块链技术基于安全特性所导致的漏洞需要得到高度重视。尤其是在底层算法的稳定,系统漏洞的加固,基础架构的保障,应用环境的安全等方面,必须得到整个信息安全行业的群策群力。

    “建立良好的区块链安全生态需要平衡好科技发展和网络安全的关系。”俞克群强调,自主可控的区块链网络,意在技术上不能受制于人,同时也可以促进区块链健康发展。安全是区块链未来的生命,只有本身的安全才能使得区块链技术的落地。这就要求我们在区块链技术发展的同时,其的安全属性必须同时并重发展,甚至是超前发展。

  • 加入收藏
  • [ 作者: ]
  • 分享到: 更多
    标签:
  • 相关推荐
    无相关信息
  • 最新消息
    · 白帽汇安全研究院发布《区块链产业安全分析报告》 安全成区块链技术重大挑战2018-05-09
    · 技徳终端张耀斌:完善生态成国产操作系统“弯道超车”路径2018-04-26
    · 浪潮IPF2018:发布全新AI品牌,赋能伙伴,目标5年全球第一2018-04-26
    · 英特尔解读战略性创新机遇,与中国产业共推智能应用落地2018-04-24
    · 爱普生创新技术 助力企业向高质服务转型2018-04-19
      已有条评论,查看更多评伦发表评论
  • 用户名:  密码:              匿名发表  | 注册会员
  • 网友评论仅供网友表达个人看法,并不表明本站同意其观点或证实其描述