来源:中国信通院CAICT
《区块链安全能力测评与分析报告(2021年)》全文
随着区块链技术在建设新型基础设施、发展数字经济等方面不断发挥积极重要作用,区块链基础设施作为对上承载各类区块链应用、对下衔接网络基础设施的核心枢纽,其安全发展逐渐成为推动区块链业务主流化的决胜关键所在。
为了提升区块链基础设施乃至区块链生态整体安全水平,中国信息通信研究院(以下简称“中国信通院”)安全研究所基于2020年11月-2021年1月间举办的首轮区块链安全能力测评中发现的安全问题,发布了《区块链安全能力测评与分析报告(2021年)》。
报告梳理了当前区块链基础设施在系统账户权限管理、隐私保护、密码机制、共识机制、智能合约、安全运维各领域的安全情况。其中,权限管理和密码机制领域安全能力不一,在账户管理、数据流管理、密钥存储、密钥泄露重置等领域安全能力有待加强;共识机制自研比例较高但安全性缺乏验证;隐私保护、智能合约和系统运维等领域安全技术手段较为单一,第三方安全能力和区块链专业安全防护能力有限。
数据来源:中国信息通信研究院
报告还通过综合评估本轮测评中安全风险的检出比例和严重程度,总结了区块链基础设施十大安全隐患,并针对区块链基础设施安全测评中出现的安全风险和安全保障缺失情况,提出了区块链基础设施十大必知必会。报告最后对2021-2023年间区块链基础设施安全新方向进行了展望,提出了未来区块链安全发展建议。
未来,中国信通院安全研究所还将充分发挥安全领域专业优势,在区块链基础设施、服务、应用领域持续开展安全标准化研究及测评工作,与业界携手筑建健康安全的区块链基础设施及区块链生态。
报告目录
一、区块链安全发展现状
二、区块链基础设施安全能力综合分析
(一)具备基础权限管理功能,网络控制能力有限
(二)采集用户信息类型简单,隐私保护能力单一
(三)密码算法国产化程度高,密钥存在安全漏洞
(四)共识机制类型繁多,安全性能缺乏清晰验证
(五)智能合约安全投入大,缺少第三方审计支持
(六)系统安全运维专业化、精细化程度有待提升
三、区块链基础设施十大安全隐患
Risk Top 1-区块链特有入侵检测能力弱,传统入侵检测是目前主流
Risk Top 2-密钥明文存储威胁不容小觑,或引发跨平台风险传播
Risk Top 3-区块链核心运行环境多采用外部隔离,存在横向渗透风险
Risk Top 4-智能合约代码审计覆盖有限,第三方审计服务支持率低
Risk Top 5-系统访问控制和资源监控能力不足,面临资源滥用威胁
Risk Top 6-个人隐私数据未模糊化处理,引入个人隐私暴露风险点
Risk Top 7-公有链账户可用性管理机制不完善,用户独立承担风险
Risk Top 8-密码更新管理缺失,默认账户将成为攻击突破口
Risk Top 9-测试环境安全配置不及实际环境,环境迁移或引入风险
Risk Top 10-密钥存储存在敏感字段,为密钥窃取攻击提供切入口
四、区块链基础设施十大必知必会
ToDo Top 1-部署专业性全面化的区块链恶意代码检测机制
ToDo Top 2-对进出节点数据流提供细粒度访问控制
ToDo Top 3-结合第三方审计与内部审计排查系统安全风险
ToDo Top 4-基于节点资源监控分析功能加强权限灵活管理
ToDo Top 5-采用隐私数据多重保护技术实现内外双重防护
ToDo Top 6-拓展第三方核心密钥托管以降低密钥盗取风险
ToDo Top 7-强化联盟链智能合约权限管理以控制攻击影响
ToDo Top 8-规范密钥更新周期以减少密钥泄露风险
ToDo Top 9-提升第三方安全支持能力打造开放式安全生态
ToDo Top 10-通过加密混淆等方式消除系统敏感字段
五、区块链基础设施安全新方向展望
方向1-区块链安全即服务 Blockchain Security as a Service
方向2-区块链安全容器 Blockchain Security Container
六、区块链基础设施未来发展建议
附录:首轮区块链基础设施安全能力测评概述