当前课程知识点:网络安全-应用技术与工程实践 > 第8章 信息系统新形态新应用安全技术 > 8.8 区块链安全技术 > 延伸阅读:区块链之于信息安全,是铠甲还是软肋?
科技日报记者代小佩
“区块链不是一项新技术,它采用了密码学的很多技术,如哈希算法、公钥密码等。”2019未来科学大奖周在清华大学开幕,一场聚焦网络和信息安全的学术报告会同期举行。本年度未来科学大奖—数学与计算机科学奖获得者、中国科学院院士、国际密码协会会士王小云提及密码学与区块链的渊源。
“区块链以密码学方式保证其不可篡改和不可伪造。”北京理工大学计算机网络安全对抗技术研究所所长闫怀志告诉科技日报记者,区块链融合了密码学、数学、计算机科学(点对点网络、分布式存储等)、网络科学等多门学科技术。“以安全视之,区块链自身实现采用了诸多安全技术。”
那么,自带安全基因的区块链会涉及哪些网络安全问题呢?
匿名性特征是一把双刃剑
专家表示,在区块链技术即将获得广泛应用的时代,网络空间的安全问题会出现新的特点。闫怀志解释道:“区块链一个重要特点是去中心化,其广泛应用必将会对需要实行中心化监管的领域产生不利影响。区块链技术的匿名性特征也是一把双刃剑,一方面能有效保护隐私,另一方面又为网络空间恶意行为甚至网络犯罪提供面具和保护伞,比如,很多黑市通过区块链技术洗钱来逃避打击。”
“再者,区块链技术本身要求各个节点共享区块信息,虽然这种方式增强了信息的不可篡改性,但区块中的交易信息易被各方所知晓。另外,很多公众甚至是技术专家对于区块链技术过于迷信,认为其可以包打网络安全的天下,这种误解可能会间接导致信息系统整体安全防御体系的不当构建,引入了新的风险。”闫怀志说。
此外,区块链还面临众多外部安全威胁——主要是针对算法、协议、实现、应用以及系统等层面的破坏、更改和泄露,具体体现在区块链数据的完整性、不可否认性、匿名性、隐私保护以及其他方面。
虽然区块链自身具有较完善的安全体系,但也存在着不少机制上的缺陷。闫怀志表示:“区块链的安全性高度依赖于共识机制,但当前的主流公有链平台(如比特币、以太坊等)的共识机制多是基于算力而实现的。区块链用户账号的安全风险主要来自去中心化机制带来的弊端。”
因此,区块链系统需要多种安全技术来保障。“在安全性方面,如果攻击者能够控制全部数据节点的51%,就可以对网络数据进行修改,即所谓的‘51%攻击’。”闫怀志坦陈,“不过,若想控制全部数据节点的51%以上,是较难做到的。”
随着区块链大规模应用,该如何做好信息保密工作?
区块链系统本身具有安全体系,可以用于网络安全领域。“区块链自身安全体系是指为了实现区块链基础架构和功能而采用的安全技术。在该技术体系中,采用的是加密、数字签名、时间戳等安全技术,实现数据区块保密、节点认证、存储安全、传播验证、安全容错、身份鉴别、授权访问、安全审计以及隐私保护等功能。”闫怀志告诉记者。
天津大学智能与计算学部副教授应翔告诉科技日报记者,区块链技术还不够成熟,在面对新的复杂的应用场景时更易出现安全风险。“由于区块链技术不可逆的特点,出现网络漏洞后的风险比常规互联网应用的风险更大。”针对技术方面的风险,他建议做好安全审计和测试工作。“在代码正式发行前,先试着运行一段时间,把技术漏洞扼杀在摇篮。”
在赛迪智库信软所软件研究室主任蒲松涛看来,区块链技术所涉及到的信息安全风险主要集中在应用层面。为此,他建议加强管理。“一是做好信息系统的管理;二是做好用户管理,提升用户技能;三是做好上链信息和数据的管理,区分哪些数据能上链哪些不能。”
闫怀志称,区块链在网络空间安全保障方面具有广阔应用前景,尤其是在身份认证、访问控制、数据保护方面可发挥重要作用。“这是因为区块链具有高度安全性及时间维度,区块链数据具有很强的数据抗篡改能力,可有效保护数据的完整性,且开销不高、便于实施。”
“随着应用场景增多,区块链技术涉及的具体安全问题会暴露出来,区块链行业将针对具体问题采取具体措施,使区块链技术的解决方案更成熟。”应翔说。
“当然,除了技术手段,还应加强配套的法律法规、标准、监督和管理体系构建,多管齐下构建完整的区块链应用安全生态环境。”闫怀志说。
-1.1 走进网络空间安全
-1.2 信息、信息系统与网络空间
-1.3 网络空间视角下的信息安全
-1.4 信息安全属性及信息安全定义
-1.5 有关网络空间安全的若干基本观点
-同学,你薅过拼多多等电商平台的羊毛吗?这跟网络黑产有何关联?
-2.1 网络安全技术体系概述
-2.2 网络安全风险及其技术防范
-2.3 网络安全系统科学思想与系统工程方法
-2.4 网络安全防御体系能力的形成
-2.5 网络安全法律法规及标准规范(上)
-2.5 网络安全法律法规及标准规范(下)
-扩展阅读:IEEE计算机协会预测2020年12大技术发展趋势,网络安全表现如何?
- IEEE计算机协会预测2020年12大技术发展趋势,其中哪些跟网络安全有关呢?你如何理解网络安全的这些发展趋势?
-从微盟删库事件,如何认识网络安全系统工程与防御体系能力的形成,请各抒己见,畅所欲言
-请试分析你所使用的信息系统面临的安全威胁。比如,智能手机、个人计算机、邮件系统、微信系统等。
-3.1 基础架构安全概述
-3.2 物理与环境安全
-3.3 网络与主机安全
-3.4 加密与认证技术(3.4.1 密码学基础知识)
-3.4 加密与认证技术(3.4.2 对称密码与非对称密码技术)
--3.4 加密与认证技术(3.4.2 对称密码与非对称密码技术)
-3.4 加密与认证技术(3.4.3 摘要算法与加密算法的认证应用)
--3.4 加密与认证技术(3.4.3 摘要算法与加密算法的认证应用)
-3.4 加密与认证技术(3.4.4 密码学领域的中国智慧和中国贡献)
--3.4 加密与认证技术(3.4.4 密码学领域的中国智慧和中国贡献)
-3.5 安全协议与协议安全
-3.6 应用软件(系统)安全实现(上)
-3.6 应用软件(系统)安全实现(下)
--思考与讨论:微服务架构与SOA架构、巨石架构在安全性方面的优劣。提示:请提前阅读扩展阅读之《微服务架构与SOA架构、巨石型架构的比较》
--拓展讨论:你了解CMM/CMMI吗?它对软件安全性有何意义
-3.7 备份与灾难恢复技术
-扩展阅读:中华人民共和国《密码法》,2020年1月1日实施
-延伸讨论:国家对密码管理是如何分类的呢?各自应用场景是什么?
-请分别说出两种以上的常用的对称加密算法、两种以上的常用的非对称加密算法、两种以上的常用的摘要算法。
-4.2 防火墙技术(上)
-4.2 防火墙技术(下)
-4.3 脆弱性与漏洞检测及防范技术(上,漏洞分类及检测分析)
--4.3 脆弱性与漏洞检测及防范技术(上,漏洞分类及检测分析)
-4.3 脆弱性与漏洞检测及防范技术(下,脆弱性攻击防范技术)
--4.3 脆弱性与漏洞检测及防范技术(下,脆弱性攻击防范技术)
-4.4 恶意代码检测及防范技术(上,概念、分类及特征)
-4.4 恶意代码检测及防范技术(下,分析检测与防范治理)
--4.4 恶意代码检测及防范技术(下,分析检测与防范治理)
--研究型学习材料:病毒导致手机爆炸,是确有可能,还是耸人听闻?
--研究型讨论:病毒导致手机爆炸,是确有可能,还是耸人听闻?
-4.5 入侵检测技术(上)
-4.5 入侵检测技术(中)
-4.5 入侵检测技术(下)
-“IPv4+NAT”方案 与 IPv6方案各自的优缺点是什么?
-思考与讨论:伪基站是个什么鬼?它对移动互联的安全威胁是什么?
-5.1 主动防御的概念及技术体系
-5.2 入侵防御与入侵容忍技术
-5.3 蜜罐与蜜网技术
-5.4 沙箱技术
--5.4 沙箱技术
-5.5 可信计算与可信平台(上)
-5.5 可信计算与可信平台(下)
-- 讨论:综合辅助材料和你的理解,你能给可信性来一个定义吗?如果我觉得你的定义更好,那下次开课我就有可能用你的定义,并以你的名字来命名哦!!!
-5.6 移动目标防御和拟态防御技术
-6.1 网络安全智能分析的概念与技术体系
-6.2 网络安全风险评估技术
-6.3 网络安全态势感知技术
-6.4 网络安全威胁情报技术
-6.5 网络安全攻击反制技术
-7.1 网络安全度量、分析与测评概述
-7.2 网络安全指标体系(上)
-7.2 网络安全指标体系(下)
-7.3 网络安全度量技术
-7.4 网络安全分析技术
-7.5 网络安全测评技术
-思考与讨论:开源模式的大量应用,对于信息系统安全有何影响?
-8.1 云计算安全技术
-8.2 移动互联安全技术
--研究型讨论:移动优先索引的大趋势对网页安全设计有何影响?
-8.3 物联网安全技术
-8.4 工业控制系统及工业互联网安全技术
-8.5 大数据安全技术(上)
-8.5 大数据安全技术(下)
-8.6 人工智能与网络安全
--思考与讨论:人类网络安全专家会被人工智能淘汰吗?各自优劣如何?
-8.7 量子通信安全技术
-8.8 区块链安全技术
-辅助性阅读材料中给出了信息物理融合系统的简要介绍。请按照本章网络空间信息系统新形态新应用安全技术的思路,来思考一下其安全性问题。