概述
区块链产业安全主要围绕交易平台安全、矿池与矿机安全、用户安全、区块链底层安全、区块链业务安全。从基础安全建设、安全测试、安全审计、安全监测、应急响应,同时建立并完善区块链的安全规范、提高区块链产业人员意识等多个方面进行
区块链底层安全
在系统设计之初就应该加入安全性设计,整个系统的安全防范、安全处理在最初就应考虑。区块链的底层安全主要由区块链项目的建立者与区块链安全企业相配合,来对其区块链整个系统进行安全方面的提高
数据层
数据是区块链技术的最基本内容,对数据层的安全加固主要从数据存储与加密算法两个方面进行
- 信息存储方面,建议对用户输入的数据等内容进行过滤检查,防止被恶意利用
- 加密算法和签名机制出于安全上的考虑,建议使用成熟且可靠的加密算法
网络层
针对网络层的安全防御主要从P2P网络安全、网络验证机制两个方面提高安全性
- 在网络传输过程中,使用可靠的加密算法进行传输,如https
- 加强网络数据中传输的有效性、合理性、安全性进行验证,防止出现整型溢出等情况导致的数据错误
- 对重要操作和信息客户端节点做必要的认证
区块链业务安全
随着智能合约等新理念的出现,区块链的拓展性、便携性极大增强,随之而来的安全漏洞也越来越多。目前对于业务层的操作主要通过安全审计进行解决。对于业务层安全,主要依靠区块链安全企业开发相应安全产品进行安全技术之城,与区块链发起者建立合作等,减少安全事件的发生
安全审计
针对历史案例及可能存在的业务层安全问题,在正式发布之前进行安全审计尤为重要。注意以下几点
- 尽量避免外部调用
- 仔细权衡再发生重要操作时的代码逻辑,避免逻辑陷阱
- 处理外部调用错误
- 不要假设你知道外部调用的控制流程
- 标记不受信任的业务内容
- 正确使用断言
- 小心整数除法的四舍五入
- 不要假设业务创建时余额为0
- 记录在链上的数据是公开的
- 在双方或是多方参与的业务应用中,参与者可能会“脱机离线”后不再返回
- 明确标明函数和状态变量的可见性
- 将程序锁定到特定的编译器版本
- 小心分母为0
- 区分函数和事件
- 避免死循环
- 升级有问题的业务层代码
交易平台安全
交易平台主要提供在线交易,形式主要为网站或APP形式。针对交易平台的安全性提高主要由交易平台和安全企业合作或交易平台自建的网络安全部门。
- 在建设之初就设计网络安全架构,并随着发展不断调整
- 网络安全隔离策略,仅对需要对外开放的服务端口进行开放
- 选择使用具备高防护能力的IDC厂商,提高攻击者发起DDOS攻击的成本
- 线上业务系统需经过严格的安全测试,安全审计
- 对交易平台的所有资产进行实时的监控,对漏洞进行安全管理
- 建立安全预警机制,加强先于黑客发现安全威胁的能力
- 安全应急响应机制,出现安全问题第一时间进行处理
- 定期安全测试,安全检测
- 对交易平台企业内部的安全管理
- 数据加密存储,防止数据被盗后的隐私信息泄露
- 建立安全制度管理
- 提高交易平台企业内部人员的安全意识,对员工进行定期的安全培训
- 与安全企业建议合作关系或建立SRC(安全应急响应中心)
- 给交易平台用户进行安全引导
矿池与矿机安全
矿池与矿机可能是企业所不希望见到的,但其安全性与区块链和企业息息相关
矿池平台安全
目前矿池平台聚集了大量的矿工,矿池平台出现安全问题,影响是巨大的。目前矿池平台也主要以提供服务为主
- 在建设之初就设计网络安全架构,并随着发展不断调整
- 网络安全隔离策略,仅对需要对外开放的服务端口进行开放
- 选择使用具备高防护能力的IDC厂商,提高攻击者发起DDOS攻击的成本
- 建立安全预警机制,加强先于黑客发现安全威胁的能力
- 安全应急响应机制,出现安全问题第一时间进行处理
- 定期安全测试,安全检测
- 对矿池平台企业内部的安全管理
- 数据加密存储,防止数据被盗后的隐私信息泄露
- 建立安全制度管理
- 提高交易平台企业内部人员的安全意识,对员工进行定期的安全培训
- 与安全企业建议合作关系或建立SRC(安全应急响应中心)
矿机安全
矿机系统的安全主要对象为矿机的生产商和矿工。矿机生产商应该与安全企业进行合作,提高矿机系统的安全性,矿工则应保护自己的矿机不被入侵
- 矿机生产商应对矿机的系统进行模糊测试和代码审计
- 矿机生产商生产的系统要求矿工必须修改默认账户
- 矿工应该选择没有漏洞的矿机系统
- 矿工应该设置安全复杂的密码
用户安全
用户自身的安全意识对维护区块链的稳定运行极为重要
- 备份好自己的钱包文件、
- 给自己的钱包文件设置密码
- 使用官方的钱包客户端
- 交易平台账户的加密货币账户建议转到自己的离线钱包里
- 安全杀毒软件,做好防护,及时更新系统补丁
- 对于重要的信息使用复杂的密码,注意密码安全
安全企业责任
安全企业的专业知识是区块链稳定运行不可或缺的一环。网络安全企业可以贯穿区块链生态产业,从区块链底层到业务层,再到交易平台,以及矿池、矿工。目前,安全还处在初级阶段,安全企业应该主动发现更多的安全问题,帮助区块链厂商、交易平台、矿池平台、矿工系统提高安全性。此外,还应该建立区块链威胁情报,及时发现安全问题,及时做出响应。
展望
- 区块链的底层技术机制保障了区块链的安全,目前开发者将大量精力投入到比较底层的算法安全上
- 安全问题越来越趋向于用户、平台,区块链的安全问题已经延伸到了传统的网络安全、基础设施、移动信息安全等问题
- 虽然区块链本身是去中心化的技术,但是可以预见到,随着区块链技术的落地,其必将被与应用到目前的一些传统基础设施的技术中去
- 总的来说,区块链技术和其安全性问题仍会持续很长一段时间
- 全新的解决方案会进一步加快区块链的安全重建,创新技术和服务得到认可,进一步与增强产业活力
- 随着生产生活逐渐向数字化,网联化和智能化专心,许多全新的变革性技术所打造的安全生态体系和技术将成为大势所趋
- 由新技术延伸的产品安全技术服务范畴将更加宽泛,将会催生更加繁荣的安全服务市场
- 最终,区块链新兴技术和产业的有机融合,必将在未来产生不可估量的价值。
文章评论