网络安全知识:什么是区块链安全?

admin 2023年5月30日11:43:41评论30 views字数 4147阅读13分49秒阅读模式

什么是区块链安全?

区块链安全是区块链网络的综合风险管理系统,使用网络安全框架、保证服务和最佳实践来降低攻击和欺诈风险。

基本的区块链安全

区块链技术产生了一种具有内在安全特性的数据结构。它基于密码学、去中心化和共识原则,确保交易的可信度。在大多数区块链或分布式账本技术 (DLT) 中,数据被构造成块,每个块包含一个事务或一组事务。每个新块都以几乎不可能篡改的方式连接到密码链中它之前的所有块。区块内的所有交易都通过共识机制进行验证和同意,确保每笔交易都是真实和正确的。

网络安全知识:什么是区块链安全?

区块链技术通过分布式网络中成员的参与实现去中心化。没有单点故障,单个用户无法更改交易记录。然而,区块链技术在一些关键的安全方面有所不同。

区块链类型的安全性有何不同

区块链网络在谁可以参与以及谁可以访问数据方面可能有所不同。网络通常被标记为公共或私有(描述允许谁参与)和许可或非许可(描述参与者如何访问网络)。

公共和私有区块链
公共区块链网络通常允许任何人加入并让参与者保持匿名。公共区块链使用联网计算机来验证交易并达成共识。比特币可能是公链最著名的例子,它通过比特币挖矿达成共识。比特币网络上的计算机或矿工试图解决复杂的密码问题以创建工作证明,从而验证交易。除了公钥之外,这种类型的网络几乎没有身份和访问控制。

私有区块链使用身份来确认成员资格和访问权限,并且通常只允许已知组织加入。这些组织一起形成了一个私人的、仅限会员的商业网络。许可网络中的私有区块链通过称为选择性背书的过程达成共识,已知用户在该过程中验证交易。只有具有特殊访问权限的成员才能维护交易分类帐。这种网络类型需要更多的身份和访问控制。

在构建区块链应用程序时,评估哪种类型的网络最适合您的业务目标至关重要。出于合规性和监管原因,可以严格控制和优先使用私有和许可网络。然而,公共和无需许可的网络可以实现更大的去中心化和分布。

公共区块链是公开的,任何人都可以加入它们并验证交易。

私有区块链受到限制,通常仅限于商业网络。单个实体或财团控制成员资格。

无许可区块链对处理器没有限制。

许可的区块链仅限于使用证书授予身份的一组选定用户。

网络攻击和欺诈

虽然区块链技术产生了防篡改的交易分类账,但区块链网络也不能免受网络攻击和欺诈。那些怀有恶意的人可以操纵区块链基础设施中的已知漏洞,多年来已经成功进行了各种黑客攻击和欺诈。这里有一些例子:

代码利用

去中心化自治组织 (DAO) 是一家受比特币启发、通过去中心化区块链运营的风险投资基金,通过代码利用被盗取了价值超过 6000 万美元的以太数字货币——约占其价值的三分之一。

秘钥失窃

全球最大的加密货币交易所之一、总部位于香港的 Bitfinex 价值近 7300 万美元的客户比特币被盗,表明该货币仍然存在很大风险。可能的原因是私钥被盗,这是个人数字签名。

电脑被黑

当最大的以太坊和比特币加密货币交易所之一 Bithumb 最近遭到黑客攻击时,黑客泄露了 30,000 名用户的数据并窃取了价值 870,000 美元的比特币。尽管被黑客入侵的是员工的计算机——而不是核心服务器——但这一事件引发了对整体安全性的质疑。

欺诈者如何攻击区块链技术

黑客和欺诈者主要通过四种方式威胁区块链:网络钓鱼、路由、Sybil 51% 攻击。

网络钓鱼攻击

网络钓鱼是一种试图获取用户凭据的诈骗行为。欺诈者向钱包密钥所有者发送电子邮件,这些电子邮件看起来好像来自合法来源。这些电子邮件使用伪造的超链接要求用户提供凭据。访问用户的凭据和其他敏感信息可能会给用户和区块链网络造成损失。

路由攻击

区块链依赖于实时的大数据传输。黑客可以在数据传输到互联网服务提供商时拦截数据。在路由攻击中,区块链参与者通常看不到威胁,因此一切看起来都很正常。然而,在幕后,欺诈者已经提取了机密数据或货币。

Sybil攻击

Sybil 攻击中,黑客创建并使用许多虚假的网络身份来充斥网络并使系统崩溃。Sybil 指的是被诊断出患有多重身份障碍的著名书中人物。

51% 攻击

挖矿需要海量的算力,尤其是对于大规模的公有链。但是,如果一个矿工或一组矿工能够聚集足够的资源,他们可以获得超过 50% 的区块链网络挖矿算力。拥有超过 50% 的权力意味着拥有对账本的控制权和操纵权。

注意:私有区块链不容易受到 51% 攻击。

在当今的数字世界中,必须采取措施确保区块链设计和环境的安全。

企业的区块链安全

在构建企业区块链应用程序时,重要的是要考虑技术堆栈所有层的安全性,以及如何管理网络的治理和权限。企业区块链解决方案的综合安全策略包括使用传统安全控制和技术独特的控制。一些特定于企业区块链解决方案的安全控制措施包括:

  • 身份和访问管理

  • 密钥管理  

  • 数据隐私 

  • 安全通信

  • 智能合约安全

  • 交易背书

聘请专家帮助设计合规且安全的解决方案,并帮助您实现业务目标。寻找一个生产级平台来构建可以部署在您选择的技术环境中的区块链解决方案,无论是本地还是首选的云供应商。

区块链安全提示和最佳实践

在设计区块链解决方案时,请考虑以下关键问题:

  • 参与组织或成员的治理模式是什么?    

  • 每个块中将捕获哪些数据?   

  • 相关监管要求是什么,如何满足?   

  • 如何管理身份的详细信息?块有效载荷是否加密?如何管理和撤销密钥?   

  • 区块链参与者的灾难恢复计划是什么?   

  • 区块链客户参与的最低安全状况是什么?    

  • 解决区块链区块碰撞的逻辑是什么?

建立私有区块链时,确保将其部署在安全、有弹性的基础设施中。针对业务需求和流程的底层技术选择不当可能会通过其漏洞导致数据安全风险。

考虑业务和治理风险。商业风险包括财务影响、声誉因素和合规风险。治理风险主要来自区块链解决方案的去中心化性质,它们需要对决策标准、治理策略、身份和访问管理进行强有力的控制。

区块链安全是关于了解区块链网络风险并对其进行管理。对这些控制实施安全的计划构成了区块链安全模型。创建区块链安全模型以确保所有措施都到位以充分保护您的区块链解决方案。

要实施区块链解决方案安全模型,管理员必须开发一个可以解决所有业务、治理、技术和流程风险的风险模型。接下来,他们必须评估对区块链解决方案的威胁并创建威胁模型。然后,管理员必须根据以下三个类别定义减轻风险和威胁的安全控制:

  • 实施区块链独有的安全控制

  • 应用常规安全控制   

  • 对区块链实施业务控制


>>>等级保护<<<

  1. 开启等级保护之路:GB 17859网络安全等级保护上位标准
  2. 回看等级保护:重要政策规范性文件43号文(上)
  3. 网络安全等级保护实施指南培训PPT

  4. 网络安全等级保护安全物理环境测评培训PPT

  5. 网络安全等级保护:等级保护测评过程要求PPT

  6. 网络安全等级保护:安全管理中心测评PPT

  7. 网络安全等级保护:安全管理制度测评PPT

  8. 网络安全等级保护:定级指南与定级工作PPT

  9. 网络安全等级保护:云计算安全扩展测评PPT

  10. 网络安全等级保护:工业控制安全扩展测评PPT

  11. 网络安全等级保护:移动互联安全扩展测评PPT

  12. 网络安全等级保护:第三级网络安全设计技术要求整理汇总
  13. 网络安全等级保护:等级测评中的渗透测试应该如何做
  14. 网络安全等级保护:等级保护测评过程及各方责任
  15. 网络安全等级保护:政务计算机终端核心配置规范思维导图
  16. 网络安全等级保护:什么是等级保护?
  17. 网络安全等级保护:信息技术服务过程一般要求
  18. 网络安全等级保护:浅谈物理位置选择测评项

  19. 闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载
  20. 闲话等级保护:什么是网络安全等级保护工作的内涵?
  21. 闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求
  22. 闲话等级保护:测评师能力要求思维导图
  23. 闲话等级保护:应急响应计划规范思维导图
  24. 闲话等级保护:浅谈应急响应与保障
  25. 闲话等级保护:如何做好网络总体安全规划
  26. 闲话等级保护:如何做好网络安全设计与实施
  27. 闲话等级保护:要做好网络安全运行与维护
  28. 闲话等级保护:人员离岗管理的参考实践
  29. 信息安全服务与信息系统生命周期的对应关系


  30. >>>工控安全<<<

  31. 工业控制系统安全:信息安全防护指南
  32. 工业控制系统安全:工控系统信息安全分级规范思维导图
  33. 工业控制系统安全:DCS防护要求思维导图
  34. 工业控制系统安全:DCS管理要求思维导图
  35. 工业控制系统安全:DCS评估指南思维导图
  36. 工业控制系统安全:安全检查指南思维导图(内附下载链接)
  37. 工业控制系统安全:DCS风险与脆弱性检测要求思维导图
  38. 工业控制安全:工业控制系统风险评估实施指南思维导图
  39. >>>数据安全<<<
  40. 数据治理和数据安全

  41. 数据安全风险评估清单

  42. 成功执行数据安全风险评估的3个步骤

  43. 美国关键信息基础设施数据泄露的成本

  44. 备份:网络和数据安全的最后一道防线

  45. 数据安全:数据安全能力成熟度模型

  46. 数据安全知识:什么是数据保护以及数据保护为何重要?

  47. 信息安全技术:健康医疗数据安全指南思维导图

  48. 金融数据安全:数据安全分级指南思维导图

  49. 金融数据安全:数据生命周期安全规范思维导图


  50. >>>供应链安全<<<

  51. 美国政府为客户发布软件供应链安全指南

  52. OpenSSF 采用微软内置的供应链安全框架

  53. 供应链安全指南:了解组织为何应关注供应链网络安全

  54. 供应链安全指南:确定组织中的关键参与者和评估风险

  55. 供应链安全指南:了解关心的内容并确定其优先级

  56. 供应链安全指南:为方法创建关键组件

  57. 供应链安全指南:将方法整合到现有供应商合同中

  58. 供应链安全指南:将方法应用于新的供应商关系

  59. 供应链安全指南:建立基础,持续改进。
  60. 思维导图:ICT供应链安全风险管理指南思维导图

  61. 英国的供应链网络安全评估
  62. >>>其他<<<

  63. 网络安全十大安全漏洞

  64. 网络安全等级保护:做等级保护不知道咋定级?来一份定级指南思维导图

  65. 网络安全等级保护:应急响应计划规范思维导图

  66. 安全从组织内部人员开始

  67. VMware 发布9.8分高危漏洞补丁

  68. 影响2022 年网络安全的五个故事

  69. 2023年的4大网络风险以及如何应对

  70. 网络安全知识:物流业的网络安全

  71. 网络安全知识:什么是AAA(认证、授权和记账)?
  72. 美国白宫发布国家网络安全战略

  73. 开源代码带来的 10 大安全和运营风险

  74. 不能放松警惕的勒索软件攻击

  75. 10种防网络钓鱼攻击的方法

  76. Mozilla通过发布Firefox 111修补高危漏洞

  77. Meta 开发新的杀伤链理论

  78. 最佳CISO如何提高运营弹性

  79. 网络安全工程师做什么的?

  80. 15种常见网络攻击类型及其缓解方法

  81. 什么是恶意软件?常见的恶意软件类型


原文始发于微信公众号(祺印说信安):网络安全知识:什么是区块链安全?

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月30日11:43:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络安全知识:什么是区块链安全?https://cn-sec.com/archives/1772807.html

发表评论

匿名网友 填写信息