摘要:区块链风险监管A.区块链投资风险及焦虑在这个通货膨胀,钱不值钱的时代,如何保护自己的资产?对常人而言,最好的选择大概就是投资了。一般来说,投资可以是买股票、买...
区块链风险监管
A. 区块链投资风险及焦虑
在这个通货膨胀,钱不值钱的时代,如何保护自己的资产?对常人而言,最好的选择大概就是投资了。一般来说,投资可以是买股票、买基金、买不动产。
插一句,个人创业或开个体店,也有点投资的意思,但这种投资风险极大、失败概率90%以上。创业和开店,更多的是投资个人,尝试个人发展方向,就资产投资而言,九死一生。
投资应该“生活+”,生活才是根本。“生活+投资”是为了让未来的更有希望,是把现有的资产投资未来,让未来有一个更好的资产回报预期。然而,因为风险承受、资产投入比例、投资知识等等各方面的认知能力局限,投资常常是一件非常折磨人的事情,情绪跟着市场波动,甚至常常严重地影响到生活……
如何破解投资带来的焦虑感?自从参与区块链投资,在经历过多次巨大的波动行情,心力煎熬后,以下是个人的粗浅的认知。
1、坚守投资的两条铁律
投资,首先应该遵循两条铁律。
铁律一:拿闲钱投资,即便归零也可以承受。
这一条在平常情况下,看起来似乎不难做到,甚至毫无感觉。那是因为: 盲目自信,以及刀还没有割到肉!
在刚开始投资的时候,你是相当自信的,你是认为自己能够赚钱的,否则你也不会冒这个风险。但当你对市场预期良好,认为必然会赚大钱的时候,你会很快忘记这条铁律,进而抛弃,投入更多的资产去投资,甚至借钱投资。
市场总是波动的,甚至常常是很大的波动。在有浮盈的时候,一切都不是问题。一旦出现亏损,当刀真正割到肉时才会感觉疼。由于损失厌恶,心态立马会出现波动。即便投资的闲钱,都会有失落的情绪,进而影响生活。如果是借钱或者投资资产比例过重(比如70%以上),则更是没有办法心平气和的对待,更无法做到归零也可以接受。
所以,别高估了自己的承受能力,更别高估了自己的投资能力!否则,一旦亏损,必然会影响到生活。
铁律二:和时间做朋友,做长期价值投资。
投资向来都是一件长期的事情,1-3年算是短期,5-10年算是中期。你看好一个投资项目,一定要给它时间去“生长”,才会开花结果,最后才能有收获。
大部分刚踏入投资领域的人,都是急不可耐地想要马上看到“结果”。这不是投资,是投机,犹如上了赌桌,马上就可以看到胜负,体验到狂喜或失落。
参与投资这段时间内,我大概渐渐明白了一个道理: 大部分人,包括我自己,从一开始都是带着投机心态的赌徒。 这种赌徒心态,把投资当成了押注,就迫切地想有所收益,天天盯盘,打探各种消息,生怕错过几个亿……
那些在股市中频繁操作短线的人,其实就是把炒股当做赌博,想从每一个小波段中获益,结果被专业机构收割。
投资是否成功,应该是眼光(价值判断)+时间+运气的组合。 投资之前的分析判断至关重要,是最终收获的前提;时间是等待价值成长的过程;运气,是无法预知或无法控制的结果。
如果,对自己投资的项目的价值没有清晰的认识,且做不到长期;那么,在接下来的日子里,每一天你的内心都会随着市场波动而波动,偶尔欢喜、偶尔失落,又或大喜又或大悲,你的情绪几乎被市场牵动。
2、见好就收,你的承受能力有限
面对亏损,一开始我们遵守铁律“归零也可以接受”,这是在心态上提前给自己打的预防针。如果没有这个预防针,你很能承受不了损失的痛苦而割肉,也就是从投资中提前出局。当然,如果你看清自己投资的产品有问题,可能存在归零,那么即便是割肉,也要及时地退出,争取最少的损失。
还有另一种常见情况,即便是盈利了,也常常让人焦虑,特别是当市场回落,浮盈减少的时候,更是令人焦虑不安。
浮盈,为什么还会让人焦虑?因为不知道什么时候才是顶点。
在这个过程中,大概会有这四种情况:第一种是过早地卖出,第二种是恰当地时候卖出,第三种是因为犹豫不决错过最佳卖出机会,第四种是不为所动、坚决不卖。
可笑的是,至少90%的人都是第三种!在市场上涨的过程中,在喜悦中焦虑,在焦虑中盲目,人性的贪婪,把市场越托越高,最后泡沫破裂,一地鸡毛……
从结果上来看,第四种人和第三种人是一样的结果,都是没有卖出,错过最佳出货时机。但不同点在于第四种人是带有自愿的成分,在“长期价值投资”的信仰中摇摆、焦虑……
这里有必要把投资铁律二“和时间做朋友,做长期价值投资"拿出来说一说。既然是长期价值投资,那么面对市场行情好,大牛市的时候是不是不要操作,要做到第四种“不为所动,坚决不卖”?
可以说,很多人在上涨的行情中坚持“长期价值投资”的信仰,在市场崩盘后,又彻底陷入迷惘、沮丧。我们以为自己可以承受这种压力,实际上面对市场下跌,大部分人都很难承受这种错过最佳时机的压力,焦虑到影响生活。
这里主要问题是:因为“长期而长期”,不懂得变通,不会根据自身的情况来适当调整。
对于专业投资人而言,不为市场波动所动,坚决长期投资是可以理解。但作为普通人,面对超出预期的收益,可以适当地变通。具体的做法是:达到预期收益,分批出货。在整个上行过程中,出货量控制在20%。
这种策略,一来可以变现收益,回收投入成本;二来保持大部分资产仍然在参与中;其三,一旦市场突变,保住了部分收益,且有资金可以抄底。
所以,在上涨的行情中,不要死板地遵守“长期投资”。要见好就收,把获得的利润部分及时变现,当行情突变时,你的内心也就可以承受这种焦虑且不至于影响生活。
3、场外赚钱能力更重要
投资有很多运气成分,有时即便你做对了很多,可能运气也不一定站在你这一边。如果把财务问题都押注在投资上,则在投资的过程中很难接受“归零”的结果,也很难做到“长期”。
现实中,最常见的往往是很多人把财富的希望寄托于投资,且期望过大,在区块链投资领域尤其如此。过大的期望,自然让人陷入一种“迷信”和疯狂的状态中,从而也忘记了投资的原则。
即便在一个技术变革,充满红利的新市场,也不可能让大部分人赚钱,反过来甚至往往是90%的人被收割。 当然,能够遵守投资铁律的人,基本可以避免被收割的命运,在运气好的情况下不赚钱都难。然而,绝大部分的人是做不到,其根本还是在于投机与投资的区别。
投资给我另一个较大的感触是: 大部分人不适合投资(包括目前阶段的自己),不具备投资的能力(财力和智力),心力不足以应付投资带来的压力的焦虑感。
一个合格投资者,应该具备较好的场外赚钱能力,其次在心态上能够坦然面对投资带来的盈亏。当你不具备这种能力时,不是不可以投资,则应该投入自己内心真正可以承受归零的资金,至少这样你可以过好当前的生活。
别寄托于投资快速实现财富自由,这样你的心态会失衡。只有具备足够的场外赚钱能力,在面对投资的盈亏时,才会表现的淡然。盈利是对自己的嘉奖,亏损也可以承受。
4、区块链投资的疯狂与理性
历史上出现很多次新兴产业的投资泡沫,房地产投资、股票投资、互联网投资……每一次人们都以为找到了财富自由之路,很多人疯狂地参与其中,最终却一地鸡毛……
这一次区块链投资,更加疯狂,更加不理性,是不是意味着一次新的巨大泡沫正在形成?有意思的一点是,区块链泡沫已经反复破裂了几次,但每次又更加强势的反弹,更大泡沫形成……泡沫并非是没有价值,并非等同于旁氏骗局,而是指有太多不理性的投资人涌入,短期内高估了资产价值。
区块链的价值在于解决了信用问题,极大地降低了资产之间的转移成本,甚至为零。虽然目前区块链技术还没有大量的应用,带来的实际社会价值也不高,但可以预见未来一定具备极大的社会价值。
就投资而言,无论区块链技术有多大的价值,最后获益的仍然是极少数人,而绝大部分人是被收割的韭菜!从人性的角度,绝大部分人永远是追高杀跌,非理性的投资,最终成分被收割者。这区块链价值无关,泡沫的形成,是人性的贪婪。
区块链投资,面临比传统投资大得多的变数,常常波动极大,这种情况极大地考验人的心力。更可怕的是,由于区块链投资目前缺乏监管和规范,大量不合格投资人涌入,更是极大地加重了泡沫的形成。
只有理性的看到其中的巨大风险,坚持做到: 遵守投资铁律、见好就收、保持场外赚钱能力 ,才能够避免在这场泡沫中被收割,甚至获得超高的收益。
认知是一切成功的根本!单军强的数字签名:{"sig":"","msghash":""}
B. 区块链的安全法则
区块链的安全法则,即第一法则:
存储即所有
一个人的财产归属及安全性,从根本上来说取决于财产的存储方式及定义权。在互联网世界里,海量的用户数据存储在平台方的服务器上,所以,这些数据的所有权至今都是个迷,一如你我的社交ID归谁,难有定论,但用户数据资产却推高了平台的市值,而作为用户,并未享受到市值红利。区块链世界使得存储介质和方式的变化,让资产的所有权交付给了个体。
拓展资料
区块链系统面临的风险不仅来自外部实体的攻击,也可能有来自内 部参与者的攻击,以及组件的失效,如软件故障。因此在实施之前,需 要制定风险模型,认清特殊的安全需求,以确保对风险和应对方案的准 确把握。
1. 区块链技术特有的安全特性
● (1) 写入数据的安全性
在共识机制的作用下,只有当全网大部分节点(或多个关键节点)都 同时认为这个记录正确时,记录的真实性才能得到全网认可,记录数据才 允许被写入区块中。
● (2) 读取数据的安全性
区块链没有固有的信息读取安全限制,但可以在一定程度上控制信 息读取,比如把区块链上某些元素加密,之后把密钥交给相关参与者。同时,复杂的共识协议确保系统中的任何人看到的账本都是一样的,这是防 止双重支付的重要手段。
● (3) 分布式拒绝服务(DDOS)
攻击抵抗 区块链的分布式架构赋予其点对点、多冗余特性,不存在单点失效的问题,因此其应对拒绝服务攻击的方式比中心化系统要灵活得多。即使一个节点失效,其他节点不受影响,与失效节点连接的用户无法连入系统, 除非有支持他们连入其他节点的机制。
2. 区块链技术面临的安全挑战与应对策略
● (1) 网络公开不设防
对公有链网络而言,所有数据都在公网上传输,所有加入网络的节点 可以无障碍地连接其他节点和接受其他节点的连接,在网络层没有做身份验证以及其他防护。针对该类风险的应对策略是要求更高的私密性并谨慎控制网络连接。对安全性较高的行业,如金融行业,宜采用专线接入区块链网络,对接入的连接进行身份验证,排除未经授权的节点接入以免数据泄漏,并通过协议栈级别的防火墙安全防护,防止网络攻击。
● (2) 隐私
公有链上交易数据全网可见,公众可以跟踪这些交易,任何人可以通过观察区块链得出关于某事的结论,不利于个人或机构的合法隐私保护。 针对该类风险的应对策略是:
第一,由认证机构代理用户在区块链上进行 交易,用户资料和个人行为不进入区块链。
第二,不采用全网广播方式, 而是将交易数据的传输限制在正在进行相关交易的节点之间。
第三,对用 户数据的访问采用权限控制,持有密钥的访问者才能解密和访问数据。
第四,采用例如“零知识证明”等隐私保护算法,规避隐私暴露。
● (3) 算力
使用工作量证明型的区块链解决方案,都面临51%算力攻击问题。随 着算力的逐渐集中,客观上确实存在有掌握超过50%算力的组织出现的可 能,在不经改进的情况下,不排除逐渐演变成弱肉强食的丛林法则。针对 该类风险的应对策略是采用算法和现实约束相结合的方式,例如用资产抵 押、法律和监管手段等进行联合管控。
C. 区块链有没有合规风险
区块链技术本身并没有违反任何法律和规定,因此没有合规风险。但是,在实际应用过程中,使用区块链技术山毕的企业或个人需要遵守相关的法律和监管要求。
例如,在中国,利用区块链技术进行金融交易或募集资金的行为需要符合相关法律和监管政策。此外,如在区块链上保留了用户的个人敏感信息,也必须遵守数据保护等相关法旁迹规。
因此,在领域应用中采用区块链技术的企业和个人,不仅需要了解和遵守现有的法律运唯并和法规规定,还需要密切关注技术和法规的发展趋势,及时做出相应的调整和变化。只有合规经营和开展业务,企业才能够更好地发展,并获得持久的竞争优势。
D. 区块链核心技术攻关目标
重点突破涵盖安全隐私保护、开放跨链协议、高效链上链下协同和安全智能合约机制等区块链应用支撑技术。
1.安全隐私保护技术。重点在安全多方计算、零知识证明、安全传输、同态加密等方面取得技术突破。
2.链链互联互通技术。重点在跨链协议、同构/异构跨链架构及安全性、扩展性和性能等方面取得突破。
3.链上链下协同技术。重点在链上链下数据协同访问控制、高效存储与管理等技术取得突破。
4.安全智能合约技术。重点在智能合约形式化验证与安全漏洞风险评测、智能合约审计等方面取得突破。
5.区块链监管技术。重点在区块链穿透式监管技术、动态监测技术、区块链风险隔离与控制等方面取得技术突破和应用。
From:浙江省区块链技术和产业发展规划(2020-2025)
E. 区块链有哪些应用
简单介绍一下区块链技术在金融领域的应用
1、区块链技术在银行业中的应用
区块链技术最大的特征就是去中心化, 而这一特征将为银行业降低大量成本。
首先,去中心化意味着银行体系之间建立信任机制不再需要中介,节约了中介的费用。
其次,数字货币的发展将可能实现银行实时的数字化交易。例如,在票据交易中,一直以来银行的票据交易都要依靠第三方实现有价凭证的传递,即使是电子票据的交易,也需要通过央行 ECDS 系统的信息进行交互认证。而区块链技术可以实现点对点的价值的传递,不再需要中心化的系统进行控制,这不仅仅加快了票据传递的速度,更重要的是,可以减少人为因素造成的失误,流程方面的减少自然会降低银行对于人员的需求量,节约了银行的人工成本。
最后,在清算、结算方面也会有所影响。 银行的清算、结算业务一直以来都是由中央结算来完成的,效率较低。通过区块链技术进行结算将大幅度提高银行的效率。
区块链技术在银行的跨境支付业务中也发挥着较大的作用。在全球化贸易高度发达的今天,跨境支付越来越频繁,银行在跨境贸易中往往充当着第三方服务的职能,例如进行电子转账、资产托管等。但跨境支付一般需要耗时 2 天左右才能到账,效率很低,也降低了在途资金的利用率。而在区块链技术中,跨境支付的双方可以通过点到点的方式完成,实现全天候支付、实时到账、从而加快了清算、结算的速度,进而提高银行处理业务的效率。
区块链技术的另一特征就是去风险化,银行可以建立自己的区块链,这样就能保证银行客户的交易信息和交易记录是真实有效的, 是不会被任意篡改的,银行可以有效地辨别客户的信息,了解客户的各方面情况,识别客户的异常交易,防止被客户所欺骗,也可以及时发现非法洗钱、转移资金等犯罪行为,从而降低银行的监管成本。
2、区块链技术在保险业中的应用
区块链技术在保险业中也具有无可比拟的优势。从数据管理角度来看,保险公司应用区块链技术可以有效提高风险管控能力, 包括保险公司的风险监督与投保人的风险管理两个方面。
区块链技术在保险业中的应用,可以加强保险公司内部的风险监督。 区块链技术可以将保险公司的日常运营流程记录在节点上,可以实现对公司资金流向、投资情况、赔付多少等业务进行事中控制,提高公司风险管控能力。
此外,区块链技术安全、可靠、无法随意篡改,保证投保人得到的信息真实有效,使得投保人的风险管理能力增强。
3、区块链技术在证券行业的应用
区块链技术在证券行业的应用可以增加证券发行的灵活性,发行证券的公司可以采用智能合约,通过设定证券发行的方式、时间,在最理想的状态下甚至可以 24 小时不间断地发行证券。
在智能合约的运行下,实现买卖双方的自动配对,并通过分布式的数字化登记系统,自动完成结算、清算步骤。 区块链上的交易记录不会被随便更改,因此录入的信息在实际上产生了公示的效果,因而证券交易所产生所有权的确权不会有任何争议。
除此之外,区块链技术让证券交易流程更加公开、透明。 通过区块链技术,证券行业无需中央机构来运行和管理,也不需要投行来进行承销,实现真正的点对点的交易,减少证券交易中的暗箱操作与内幕交易等违规行为,并可以实现对证券行业的有效监管。
4、区块链技术与金融基础设施
区块链技术是以一种分散化的机制进行价值交换,将会导致以中心化为特征的现有的金融基础设施发生翻天覆地的变化。
抵押品、 质押品以及股票、债券、 衍生品等资产通常需要一个值得信任的中央机构来进行登记或者保管,而区块链却能够用全新的方式来记录和保存这些产品的数据,将会对这些产品的登记制度产生影响。
区块链通过智能合约,可以对信息和价值进行接收和反应,自动完成价值的转移,自动地完成交易、清算和结算,将冲击现有的大额交易系统、中央证券存管、证券结算和场外衍生品交易等现有金融基础设施。
5、区块链技术在供应链中的应用
区块链技术在供应链中的应用,首先是提供了信用保障,区块链上记录着商品的流通信息等,能够证明商品及其流转的真实可靠性,从而能够对链上企业的效用情况等进行一个综合的评价,成为了企业银行贷款信用、融资信用、交易信用的一个有效的保障。
首先, 区块链可以将供应链上所有的交易数据都带有时间戳,不可随意篡改,即使能篡改某个节点的交易数据,也无法只手遮天,所以区块链解决了银行对企业信息被篡改的疑虑,这对一些微小企业来说,只要信用好,向银行贷款的可能性将大大提高。
其次,区块链所记载的上下游企业之间的信息,通过有效的整合,既可以为企业在生产、销售等环节提供支持,也可以供下游企业来分析顾客偏好,从而可以制定具有针对性的服务。
F. 区块链有没有合规风险
是的,区块链技术的应用可能会涉及合规风险洞扮悄。
首先,在某些国家和地区,政府或监管部门可能对数字货币和其他基于区块链技术的资产采取不同的立场,并存在一定程度上的法律、合规和政策纳渣风险。例如,有些国家限制或禁止使用数字货币和其他比特币或区块链衍生产品。因此,在选择区块链技术的应用范围时,需考虑当地法律和监管环境。
其次,私链或联盟链中存在参与方之间的信任问题,信任机制的构建也存在合规风险。例如,在金融领域,银行或其他金融机构在使用区块链技术时需要考虑使用哪种信任模型以符合社会伦理和缺隐法律要求。对于和钱相关的交易,还必须满足反洗钱和反恐怖主义等法律要求。
此外,由于区块链技术不可更改和公开的特性,它可能无意中泄露个人隐私、商业秘密等机密信息,造成隐私数据泄露和安全风险。
因此,企业和技术公司应该认真评估潜在的合规风险,并制定适当的合规安全措施,如遵守法律和监管要求、建立健全的私密保护机制、多维度加强隐私数据保护等,来确保区块链技术应用的合规性和数据安全性。
G. 区块链范式下的风险控制:降低战略风险,可预见型风险
马尔科·扬西蒂(Marco Iansiti) 卡里姆·拉哈尼(Karim Lakhani),《哈佛商业评论》中文版2017年1月,《区块链真相》一文
在技术创新领域的研究经验告诉我们,只有消除在技术、政府管控、组织和 社会 等多方面的障碍,才有可能真正发生区块链革命。若不清楚区块链将如何占领高地,贸然开始区块链创新就是个错误。
系统性风险。 说到系统性风险,就不得不提及像2008年到2009年的金融危机之后的信贷紧缩这样的全球经济戏剧性衰退。对于大部分公司来说,那是一个无法预测也无法控制的外部事件。全球监管者重塑了金融世界,以避免类似的危机,其战略中很重要的一步是增强了中央对手方(CCP)的角色。CCP是在一项金融交易中插入交易双方中间的一个实体。在双方都同意进行交易之后,CCP就成为对任意买方的卖方和任意卖方的买方。在此过程中,CCP通过结网降低交易对手信用和流动性的风险暴露,减少了当一方违约时交易双方的直接接触的风险,但这么做的风险仍然集中。CCP的主要角色是:1.管理结算运行任务,降低结算风险;2.通过会员身份批准和实行保证金(最初的和变化的)监控个人的信用风险,提供透明的风险管理;3.处理违约方;4.监督市场上的系统风险。
在以区块链为基础管理的金融市场中,许多CCP的原则可能会被淘汰。可以设想到的是,CCP的功能1和2将会被智能合约替代。DAOs的设计使交易双方发生关系,一旦植入在智能合约中的某些条款被触及,应收款项就能自动从一方转到另一方。CCP的功能3和4也可以被区块链技术提高,但它不太可能完全实现自动化,因为其对定向性程度和大型场景分析能力要求较高。相关区块链创业公司如Digital Asset Holding和D-Pactum正在与CCP展开合作,在不改变最近法律法规给予CCP的角色基础上,朝着分布式账本和智能合约的方向重新设计他们的技术。这可能会发展成为增加金融系统复原力的根本性措施。在分布式账本上,可以设计出透明、标准化的交易流程,资本和保证金的相互关系可以自动发生,因此降低了中间管理者的风险负担。通过把各个参与方签订智能合约编码,管理危机事件的规则可以做到尽可能的确定性。
网络风险。 这是我们要分析的最后一个外部风险,但并非最不重要。的确,对于网络风险或关键基础设施故障(如控制系统、能源、交通、电信和金融基础设施)相关风险的不理解或不重视,有可能对国家经济、多个经济部门和全球企业造成深远影响。进行风险评估和设置风险管理系统的责任现在落在了每个企业身上,但它们内部实践和流程千差万别,风险管理系统不成熟的小企业在这种情况下更易遭受网络攻击。
区块链是一种可行的解决方案吗?毫无疑问。数字货币的发展延伸了密码学的安全使用,并且创造了一种商业模式,针对网络攻击有了新型的复原力。在分布式账本上的一套完整系统可以提供比公司标准防火墙技术更高级别的网络安全。因为分布式账本是自动化的,并且由于信息共享的原则和共识协议的鲁棒性,账本 历史 是无所不在且无法更改的。因此在该系统中,高 科技 网络攻击可以在发生之前被阻止。
然而,在分析外部风险的最后,值得注意的是数字货币的出现第一次创造了一种与国家、跨国政府决策或是任何实体经济都不相关的流通货币。实际而言,数字货币价值的波动幅度巨大,但其方向和时间与市场不同,从而保持了与某国货币或股票市场非相关性。因此,比特币被称为“数字黄金”,和黄金一样,数字货币已被用作避险资产,限制宏观经济风险的影响。
总之,在深入挖掘区块链在风险管理方面的惊人效用之前,要明白区块链不是万能解药。它应该被看作是构建下一代风险管理基础设施的众多技术之一。
H. 如何检测区块链智能合约的风险等级高低
随着上海城市数字化转型脚步的加快,区块链技术在政务、金融、物流、司法等众多领域得到深入应用。在应用过程中,不仅催生了新的业务形态和商业模式,也产生了很多安全问题,因而安全监管显得尤为重要。安全测评作为监管重要手段之一,成为很多区块链研发厂商和应用企业的关注热点。本文就大家关心的区块链合规性安全测评谈谈我们做的一点探索和实践。
一、区块链技术测评
区块链技术测评一般分为功能测试、性能测试和安全测评。
1、功能测试
功能测试是对底层区块链系统支持的基础功能的测试,目的是衡量底层区块链系统的能力范围。
区块链功能测试主要依据GB/T 25000.10-2016《系统与软件质量要求和评价(SQuaRE)第10部分:系统与软件质量模型》、GB/T 25000.51-2016《系统与软件质量要求和评价(SQuaRE)第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》等标准,验证被测软件是否满足相关测试标准要求。
区块链功能测试具体包括组网方式和通信、数据存储和传输、加密模块可用性、共识功能和容错、智能合约功能、系统管理稳定性、链稳定性、隐私保护、互操作能力、账户和交易类型、私钥管理方案、审计管理等模块。
2、性能测试
性能测试是为描述测试对象与性能相关的特征并对其进行评价而实施和执行的一类测试,大多在项目验收测评中,用来验证既定的技术指标是否完成。
区块链性能测试具体包括高并发压力测试场景、尖峰冲击测试场景、长时间稳定运行测试场景、查询测试场景等模块。
3、安全测评
区块链安全测评主要是对账户数据、密码学机制、共识机制、智能合约等进行安全测试和评价。
区块链安全测评的主要依据是《DB31/T 1331-2021区块链技术安全通用要求》。也可根据实际测试需求参考《JR/T 0193-2020区块链技术金融应用评估规则》、《JR/T 0184—2020金融分布式账本技术安全规范》等标准。
区块链安全测评具体包括存储、网络、计算、共识机制、密码学机制、时序机制、个人信息保护、组网机制、智能合约、服务与访问等内容。
二、区块链合规性安全测评
区块链合规性安全测评一般包括“区块链信息服务安全评估”、 “网络安全等级保护测评”和“专项资金项目验收测评”三类。
1、区块链信息服务安全评估
区块链信息服务安全评估主要依据国家互联网信息办公室2019年1月10日发布的《区块链信息服务管理规定》(以下简称“《规定》”)和参考区块链国家标准《区块链信息服务安全规范(征求意见稿)》进行。
《规定》旨在明确区块链信息服务提供者的信息安全管理责任,规范和促进区块链技术及相关服务的健康发展,规避区块链信息服务安全风险,为区块链信息服务的提供、使用、管理等提供有效的法律依据。《规定》第九条指出:区块链信息服务提供者开发上线新产品、新应用、新功能的,应当按照有关规定报国家和省、自治区、直辖市互联网信息办公室进行安全评估。
《区块链信息服务安全规范》是由中国科学院信息工程研究所牵头,浙江大学、中国电子技术标准化研究院、上海市信息安全测评认证中心等单位共同参与编写的一项建设和评估区块链信息服务安全能力的国家标准。《区块链信息服务安全规范》规定了联盟链和私有链的区块链信息服务提供者应满足的安全要求,包括安全技术要求和安全保障要求以及相应的测试评估方法,适用于指导区块链信息服务安全评估和区块链信息服务安全建设。标准提出的安全技术要求、保障要求框架如下:
图1 区块链信息服务安全要求模型
2、网络安全等级保护测评
网络安全等级保护测评的主要依据包括《GB/T 22239-2019网络安全等级保护基本要求》、《GB/T 28448-2019网络安全等级保护测评要求》。
区块链作为一种新兴信息技术,构建的应用系统同样属于等级保护对象,需要按照规定开展等级保护测评。等级保护安全测评通用要求适用于评估区块链的基础设施部分,但目前并没有提出区块链特有的安全要求。因此,区块链安全测评扩展要求还有待进一步探索和研究。
3、专项资金项目验收测评
根据市经信委有关规定,信息化专项资金项目在项目验收时需出具安全测评报告。区块链应用项目的验收测评将依据上海市最新发布的区块链地方标准《DB31/T 1331-2021 区块链技术安全通用要求》开展。
三、区块链安全测评探索与实践
1、标准编制
上海测评中心积极参与区块链标准编制工作。由上海测评中心牵头,苏州同济区块链研究院有限公司、上海七印信息科技有限公司、上海墨珩网络科技有限公司、电信科学技术第一研究所等单位参加编写的区块链地方标准《DB31/T 1331-2021 区块链技术安全通用要求》已于2021年12月正式发布,今年3月1日起正式实施。上海测评中心参与编写的区块链国标《区块链信息服务安全规范》正处于征求意见阶段。
同时,测评中心还参与编写了国家人力资源和社会保障部组织,同济大学牵头编写的区块链工程技术人员初级和中级教材,负责编制“测试区块链系统”章节内容。
2、项目实践
近年来,上海测评中心依据相关技术标准进行了大量的区块链安全测评实践,包括等级保护测评、信息服务安全评估、项目安全测评等。在测评实践中,发现的主要安全问题如下:
表1 区块链主要是安全问题
序号
测评项
问题描述
1
共识算法
共识算法采用Kafka或Raft共识,不支持拜占庭容错,不支持容忍节点恶意行为。
2
上链数据
上链敏感信息未进行加密处理,通过查询接口或区块链浏览器可访问链上所有数据。
3
密码算法
密码算法中使用的随机数不符合GB/T 32915-2016对随机性的要求。
4
节点防护
对于联盟链,未能对节点服务器所在区域配置安全防护措施。
5
通信传输
节点间通信、区块链与上层应用之间通信时,未建立安全的信息传输通道。
6
共识算法
系统部署节点数量较少,有时甚至没有达到共识算法要求的容错数量。
7
智能合约
未对智能合约的运行进行监测,无法及时发现、处置智能合约运行过程中出现的问题。
8
服务与访问
上层应用存在未授权、越权等访问控制缺陷,导致业务错乱、数据泄露。
9
智能合约
智能合约编码不规范,当智能合约出现错误时,不提供智能合约冻结功能。
10
智能合约
智能合约的运行环境没有与外部隔离,存在外部攻击的风险。
3、工具应用
测评中心在组织编制《DB31/T 1331-2021 区块链技术安全通用要求》时,已考虑与等级保护测评的衔接需求。DB31/T 1331中的“基础设施层”安全与等级保护的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等相关要求保持一致,“协议层安全”、“扩展层安全”则更多体现区块链特有的安全保护要求。
测评中心依据DB31/T 1331相关安全要求,正在组织编写区块链测评扩展要求,相关成果将应用于网络安全等级保护测评工具——测评能手。届时,使用“测评能手”软件的测评机构就能准确、规范、高效地开展区块链安全测评,发现区块链安全风险,并提出对应的整改建议
I. 银行业的区块链技术应用存在哪些风险
一是新技术不成熟的风险;二是新旧模式并行下的管理风险。三是银行机构应用区块链技术的不同步性导致的监管风险。其他相关建议你在官方公众号“中芯区块链服务平台”进行熟悉
