“區塊鏈不是一項新技術，它採用了密碼學的很多技術，如哈希算法、公鑰密碼等。”13日，2019未來科學大獎周在清華大學開幕，一場聚焦網絡和信息安全的學術報告會同期舉行。本年度未來科學大獎—數學與計算機科學獎獲得者、中國科學院院士、國際密碼協會會士王小雲提及密碼學與區塊鏈的淵源。

　　“區塊鏈以密碼學方式保証其不可篡改和不可偽造。”北京理工大學計算機網絡安全對抗技術研究所所長閆懷志告訴科技日報記者，區塊鏈融合了密碼學、數學、計算機科學（點對點網絡、分布式存儲等）、網絡科學等多門學科技術。“以安全視之，區塊鏈自身實現採用了諸多安全技術。”

　　那麼，自帶安全基因的區塊鏈會涉及哪些網絡安全問題呢？

　　匿名性特征是一把雙刃劍

　　專家表示，在區塊鏈技術即將獲得廣泛應用的時代，網絡空間的安全問題會出現新的特點。閆懷志解釋道：“區塊鏈一個重要特點是去中心化，其廣泛應用必將會對需要實行中心化監管的領域產生不利影響。區塊鏈技術的匿名性特征也是一把雙刃劍，一方面能有效保護隱私，另一方面又為網絡空間惡意行為甚至網絡犯罪提供面具和保護傘，比如，很多黑市通過區塊鏈技術洗錢來逃避打擊。”

　　“再者，區塊鏈技術本身要求各個節點共享區塊信息，雖然這種方式增強了信息的不可篡改性，但區塊中的交易信息易被各方所知曉。另外，很多公眾甚至是技術專家對於區塊鏈技術過於迷信，認為其可以包打網絡安全的天下，這種誤解可能會間接導致信息系統整體安全防御體系的不當構建，引入了新的風險。”閆懷志說。

　　此外，區塊鏈還面臨眾多外部安全威脅——主要是針對算法、協議、實現、應用以及系統等層面的破壞、更改和泄露，具體體現在區塊鏈數據的完整性、不可否認性、匿名性、隱私保護以及其他方面。

　　雖然區塊鏈自身具有較完善的安全體系，但也存在著不少機制上的缺陷。閆懷志表示：“區塊鏈的安全性高度依賴於共識機制，但當前的主流公有鏈平台（如比特幣、以太坊等）的共識機制多是基於算力而實現的。區塊鏈用戶賬號的安全風險主要來自去中心化機制帶來的弊端。”

　　因此，區塊鏈系統需要多種安全技術來保障。“在安全性方面，如果攻擊者能夠控制全部數據節點的51%，就可以對網絡數據進行修改，即所謂的‘51%攻擊’。”閆懷志坦陳，“不過，若想控制全部數據節點的51%以上，是較難做到的。”

　　區塊鏈可用於網絡安全保障

　　隨著區塊鏈大規模應用，該如何做好信息保密工作？

　　區塊鏈系統本身具有安全體系，可以用於網絡安全領域。“區塊鏈自身安全體系是指為了實現區塊鏈基礎架構和功能而採用的安全技術。在該技術體系中，採用的是加密、數字簽名、時間戳等安全技術，實現數據區塊保密、節點認証、存儲安全、傳播驗証、安全容錯、身份鑒別、授權訪問、安全審計以及隱私保護等功能。”閆懷志告訴記者。

　　天津大學智能與計算學部副教授應翔告訴科技日報記者，區塊鏈技術還不夠成熟，在面對新的復雜的應用場景時更易出現安全風險。“由於區塊鏈技術不可逆的特點，出現網絡漏洞后的風險比常規互聯網應用的風險更大。”針對技術方面的風險，他建議做好安全審計和測試工作。“在代碼正式發行前，先試著運行一段時間，把技術漏洞扼殺在搖籃。”

　　在賽迪智庫信軟所軟件研究室主任蒲鬆濤看來，區塊鏈技術所涉及到的信息安全風險主要集中在應用層面。為此，他建議加強管理。“一是做好信息系統的管理﹔二是做好用戶管理，提升用戶技能﹔三是做好上鏈信息和數據的管理，區分哪些數據能上鏈哪些不能。”

　　閆懷志稱，區塊鏈在網絡空間安全保障方面具有廣闊應用前景，尤其是在身份認証、訪問控制、數據保護方面可發揮重要作用。“這是因為區塊鏈具有高度安全性及時間維度，區塊鏈數據具有很強的數據抗篡改能力，可有效保護數據的完整性，且開銷不高、便於實施。”

　　“隨著應用場景增多，區塊鏈技術涉及的具體安全問題會暴露出來，區塊鏈行業將針對具體問題採取具體措施，使區塊鏈技術的解決方案更成熟。”應翔說。

　　“當然，除了技術手段，還應加強配套的法律法規、標准、監督和管理體系構建，多管齊下構建完整的區塊鏈應用安全生態環境。”閆懷志說。（科技日報北京11月13日電）

分享讓更多人看到