9月4日,2018 ISC互联网安全大会在北京国家会议中心隆重开幕。安全从0开始是本次会议的主题,0指的是零信任网络安全框架。数字化转型带来全新的网络威胁和安全需求,驱动网络安全行业从技术思想、方法论到产业思维的再度演进,推动我们重新审视现有的安全防护模式。8年前提出的零信任模型日益受到认可,知名研究机构Forrester认为,3年内零信任将成为网络安全流行框架之一。因此此次大会主题直指零信任框架,同时也寓意大安全时代,在不变化的安全形势下,我们也要从“0”开始。
大会有很多议题,其中《区块链如何加强网络安全的防护》是当前最热门的一个议题,关注的人也很多,前不久全国首张区块链电子发票开出,这张开出的区块链电子发票是由深圳市税务局主导、腾讯提供底层技术和能力所打造的。区块链电子发票再次引发了人们对于区块链技术的关注,这是国内第一次有实际的区块链的应用场景。
区块链有三个特性,分别是分布式存储、分布式计算、分布式传输。区块链解决的信任问题,可以实现信任的累积和传递,非常适用业务安全要求非常高的金融行业,此技术未来必然会改变我们的日常生活。同时,随着加密数字货币(比特币)的退潮,以及区块链技术的不断完善,可以预见到将来金融业、能源、交通等领域都会涉及区块链的技术,这些领域都会直接涉及人们的生命和财产,因此区块链技术的应用及技术需要更高级别的安全保护,不会光依赖于区块链本身的安全特性。
个人认为,区块链技术级的业务,也同样存在各类安全漏洞,主要分以下几个方面:
1、区块链自身机制面临的问题
虽然区块链技术已经发展了3代,从最初的解决新快生产问题、算力争夺问题到后来解决交易速度和应用接入问题,但是不断的技术架构更新,也引入了更多的问题,比如新应用的对接问题,接入应用的安全性问题。
2、区块链生态面临的安全问题
区块链生态从目前来看是支撑区块链运行与现实世界对接的一系列支撑系统与应用,比如“比特币交易所”、钱包、dAPP应用等,这些生态都是区块链的一个支持环节,但是这些环节又都存在于现实世界,且都是采用已有架构模式构建,导致他们会面临区块链之外一些传统系统和架构或应用应该面临的威胁,比如DDOS攻击,黑客的渗透等。
3、使用者面临的问题
使用者面临的,就是加密数字货币的保管风险,比如数字货币保管不当造成的密钥泄露,造成的数字货币丢失;同时还面临着传统经济领域传递过来的很对数字货币的欺诈、钓鱼、劫持等。
以上几个方面都是以目前的安全技术水平和现有的应用场景,能够发现的区块链面临的安全问题,当然随着区块链技术应用越来越广泛,新的安全场景,安全问题,一定会越来越多。
基于以上,从当前安全落地角度来看,区块链的安全目前能做的,是首先要保证区块链生态的安全,即上面说的第二方面,因为区块链生态作为现实世界对接的一系列支撑系统与应用,面临着已有架构模式都会面临的安全问题,这些生态也是区块链整个环节的一个支持节点,一旦这个节点发生问题,那么基于区块链技术的业务也无法安全的提供服务。
传统安全基于区块链的安全防护包括:
基于业务系统稳定运营,抗D服务,漏洞渗透等。抗D能够防御DNS flood、SYN flood、UDP flood、CC攻击及各类复合型DDoS攻击;还要防范SQL注入、跨站脚本、远程包含、目录遍历、应用层拒绝服务等攻击行为。以上都是传统的安全防护,目前都有成熟的解决方案。
基于应用开发安全,需要代码逻辑的安全,开源插件安全检测等等。对使用的开源软件的来源、包完整性及依赖、数字签名及运行进程进行安全管理,消除因开源软件导致的项目安全风险。对移动业务承载平台应用进行安全风险分析,发现应用中存在的安全漏洞、恶意代码、逻辑漏洞等安全风险,通过代码审计和应用加固等方式保障移动应用安全。
以上这些都是基于传统的架构,基于区块链应用场景中可能存在的风险的基本应用。区块链本身的逻辑和架构的安全,更加重要,这个需要基于区块链技术本身的不断完善,不断发展,以此进一步完善。
(本文作者:360企业安全技术专家王伟涛)
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。