区块链发展现状与安全风险管控措施探讨

区块链技术自诞生之日起就受到了广泛关注，其应用范围从加密货币以及数字资产交易进一步拓展到供应链协同、社会治理以及政府管理等诸多领域。随着区块链技术的更新发展，它有望成为一种新型重构社会组织结构、资源配置的模式，推动价值互联网朝着纵深发展。

区块链发展现状

区块链技术属于一种点对点传输、分布式数据存储以及加密算法等各类技术统一集合的应用，近年来其逐渐运用到数字金融、物联网、供应链管理以及数字资产交易等各个行业和领域中。准确把控区块链发展现状，全面分析可能存在的风险，是推进区块链风险管控水平不断提升以及促进其健康发展的重要基础。

现阶段，国内区块链产业规模日益增大，产业链条涉及到硬件制造、平台服务、安全服务以及产业技术应用等相关范畴，和产业发展相关的投融资、媒体以及人才服务建设得以进一步完善。

从本质上来说，区块链属于新兴产物，其属于价值互联网的一种类型，区块链底层技术可以在很大程度上促进产品市场、要素市场以及资本市场之间的交互发展，在应用层面推进供给侧智能创新，带来更多新的经济增长点。但是也应当注意到一个问题，区块链在自身发展过程中也必然会存在技术缺陷以及相关负面问题，很容易在发展过程中出现安全隐患。比如说，依托去中心化的加密数字货币很容易演变为黑色交易的支付途径；区块链技术支持的匿名信特征并不是百分百匿名，比特币交易参与者身份很容易泄漏而受到安全威胁；分布式记账的共识机制依旧还有很多需要填补的技术漏洞；区块链技术涉及到的相关代码因为人类思维想象力的束缚，可能会因为开发者个人意志而受到干扰。

所以，在区块链技术持续发展和拓展应用的背景下，怎样有效应对其中存在的安全风险，确保区块链的持续稳健发展，充分发挥出其利用价值，这是必须要深入研究的重要课题。近年来，区块链技术的发展，因为其代码开源性和存在的技术漏洞，常常遭受到外部攻击，区块链平台安全事件发生频率也逐步增加，如在2020年，区块链平台安全事件增长率相对于2019年来说提升了200%，对参与各方带来了非常严重的经济损失，这一数值也处于持续上涨的状态。

区块链安全风险概述

信息安全属于互联网时代最关键和核心的问题，尤其是区块链这样去中心化的架构模式，信息安全和数据安全属于非常重要的一个环节。对数据安全而言，必须要确保数据信息无法被第三方篡改，做好隐私保护和身份认证。区块链技术涉及到的数据安全算法主要基于密码学出发，借助于Hash算法和非对称加密技术，一般依靠椭圆曲线算法得到密钥。然而，此类密码学原理与算法属于较为陈旧的技术成果，目前区块链的加密技术运用依旧必须要凭借多方验证，同时应当进一步更新和完善加密算法，例如多方保密计算技术、群签名、全动态密码学等新兴密码学技术，这样才能够有效保障区块链数据信息安全。针对数据访问来说，成员身份验证属于非常关键的一个环节，进行身份认证的过程中，数字证书验证是确保访问安全的基本保障，在分析探讨区块链安全风险管控时，应当全面掌握其存在的安全风险，具体来说表现为如下几个方面：

1.区块链底层机制存在的安全风险

区块链技术的逻辑层属于去中心化以及去信任化的运行机制，然而底层技术涉及到的数据存储、通信传输等技术依旧还需要进一步完善和优化。从知名比特币平台Mt.Gox发生的安全事件了解到，由于区块链技术底层机制出现漏洞而造成了安全事故的产生。Mt.Gox交易平台的攻击者便是借助底层漏洞实现重复提现，进而造成整个交易平台的价格不断下降，最终导致平台宣布破产。基于这一事件可以了解到，区块链技术底层机制依旧表现出一定的漏洞和缺陷。由于其中包含的流程较多，各个流程都必须要做好风险管控才能够实现安全交易。

2.区块链应用存在的安全风险

区块链应用风险一般来说是依托区块链技术的应用存在的风险，即便区块链技术自身较为安全可靠，但无法完全确保基于区块链上的应用是百分百安全的。例如说The Dao应用受到外部攻击的案例，这一应用便是依托于以太坊之上。近年来，随着区块链逐渐和金融、资产管理以及货币支付等各个领域的密切联系，如果上述应用在实际使用过程中出现安全风险，必然会带来非常严重的损失。

3.区块链管理存在的安全风险

区块链自诞生之日起便凭借去中心化、去信任化以及健全的协议而受到越来越多人的青睐。然而，近年来越来越频繁的用户私钥被盗造成经济损失的问题反复出现，也让我们不得不思考区块链的去信任化是否真正值得信任。对于区块链技术而言，用户私钥是非常关键的组成部分，避免用户私钥遭受安全威胁是去信任化的基本前提，而越来越多私钥被盗事件已经给更多用户提出了警示。在区块链管理过程中必须要对各个环节予以全面测试，确保消除可能存在的安全风险隐患。

我国区块链安全风险管控措施

近年来，我国涉及数字货币领域的规范性文件，如《关于防范比特币风险的通知》《关于防范以“虚拟货币”“区块链”名义进行非法集资的风险提示》等已经正式下发。2019年1月10日，国家网信办发布的《区块链信息服务管理规定》规定，国家互联网信息办公室是区块链信息服务的监管主体，其监管对象为区块链信息服务提供者，采取备案制管理模式，要求区块链信息服务提供者必须落实信息内容安全管理主体责任。应当了解到，国家对于区块链的监督管理相对于其他国家更加严格，尤其是私有数字货币发行与交易更是直接全面禁止，从而有效规避了区块链安全风险，促进监管水平的提升。

1.进一步研究区块链核心技术，推进落实战略性区块链技术力量建设工作，开展好核心技术研究，促进区块链创新水平不断提升，持续推动密码学、数据结构以及共识算法等技术发展，有效克服技术壁垒，填补技术漏洞，为区块链技术的持续健康发展和安全应用带来更加强有力的支撑。同时，应当整合社会力量，鼓励和引导区块链中相关利益主体共同协作，形成合力，做好合作型产品开发与测试工作，依托于不同领域合作来解决技术难题。另外，应推进建设国际区块链社区，促进国内外沟通交流，全面了解区块链发展的具体动态，促进核心竞争力不断增强。

2.构建更加完善的第三方审核制度。区块链关系到不同技术的灵活组合，表现出极高的系统集成度，应用甄别存在一定难度。专业机构组织开展的可信区块链测评依托于专业测试、专家评审以及同行评议等途径，通过第三方可信测试的办法来促进区块链行业透明度的提升，从而有效规避区块链应用安全风险。

3.进一步完善监督方式，促进监督管理工作灵活性提升，构建更加系统化、全面化的监督管理机制。其一是针对关键行业区块链系统设置监督节点，促进监督管理实效性不断提升；其二是利用区块链平台的公开性，更加高效地开展好跨境犯罪、境外追赃等工作；其三是促进监督管理技术水平不断提升，增强监管机构的风险预测与判断能力。

4.完善负面清单，明确监管底线。区块链属于现代新兴产物，随着信息技术的飞速发展必然很容易存在无法监管的方面。所以，应当提前拟定好负面清单，明确监管底线，开展好清单管理。借助于完善负面清单的方式，确保各个监管主体能够坚决守住底线，不但要做到包容支持，也应当有效防止其越界。

5.充分发挥出多主体联合监督管理的联盟链优势，尽快构建以自治为主的政府区块链平台。把有形的政府机关单位监督管理和无形的平台治理充分联系起来，打造政府-区块链平台-公民这样一个新型的政民关系。另外，还应当积极尝试把区块链技术和我国5G基础网络建设进行充分融合，建立一套能够独立于所有节点之外、但可以有效监管各个节点的应急响应机制，一旦出现安全风险，能够第一时间整合节点资源，及时进行响应和处理。

6.逐渐提升区块链应用中关于私钥生产、存储以及保管的安全性，借助更新的私钥算法来保障私钥安全性；亦或是通过拟定更加安全有效的存储模式，进一步降低私钥泄漏风险。针对网络传输予以数据信息加密，避免出现流量劫持。如可以选择HTTPS进行传输，不再应用HTTP协议；针对区块链平台相关数据信息的合理性和安全性展开验证，避免因为漏洞缺陷而造成的安全风险；不同节点之间应当强化安全沟通，对关键操作与数据信息进行全面有效地验证记录。

结语

总而言之，进一步促进区块链监督管控水平提升，推进网络强国战略目标实现，促进数字经济持续稳健发展，是“十四五”时期的关键工作之一。在不断释放区块链的发展动能之际，必须要依靠更加完善的监管机制来确保其持续稳健发展。真正准确把控好区块链国内外发展趋势，精准判断区块链内外部安全风险因素，打造更加安全稳定的区块链技术应用平台，这是充分发挥区块链技术应用价值的重要基础。因此，我们应当深入开展好研究分析工作，制定科学有效的监管措施，开展好区块链安全风险管控工作，从而让区块链能够更好地为我国社会经济建设发展服务。

来源：《网络安全和信息化》杂志 

（本文不涉密）

原文始发于微信公众号（网络安全和信息化）：区块链发展现状与安全风险管控措施探讨