2020年4月20日，國家發改委將區塊鏈與人工智能、云計算等并列作為“新基建”信息基礎設施類別中的新技術基礎設施，標志著我國區塊鏈技術及其相關產業的發展邁上了新的臺階。區塊鏈技術所固有的去中心化、永久記錄、算法透明、共識機制、可追溯性、不可篡改、交易可匿名等特性，能夠更好地建立起不同節點之間互信的橋梁，為打通數據孤島、消除信息不對稱等生產服務難題提供了重要的解決方案。然而在實際應用中，區塊鏈的特性往往是把“雙刃劍”，在“新基建”的浪潮下很可能帶來新的安全威脅。

一、“新基建”中區塊鏈安全態勢分析

當前，區塊鏈技術應用已延伸到數字金融、物聯網、智能制造、供應鏈管理、數字資產交易等多個領域，隨著“新基建”的發展，區塊鏈技術仍然面臨哪些安全風險、我們應如何安全、可靠地應用和發展區塊鏈技術，是當前值得注意的問題。

1.區塊鏈基礎架構及算法的潛在風險

隨著比特幣、以太坊、EOS等公有鏈系統和IBM主導研發的超級賬本Fabric等聯盟鏈系統的陸續誕生，當前的區塊鏈應用大多在此基礎上衍生而來。盡管新型的區塊鏈架構、共識機制層出不窮，但仍然難以突破區塊鏈擴展性、安全性、去中心的“不可能三角”瓶頸。此外，以“代幣”為激勵的區塊鏈共識機制往往可能導致非理性、難管控的金融行為，而在無“代幣”條件下，如何保持區塊鏈穩定、可信地服務各類應用需求仍需深入研究。

現有區塊鏈系統大多采用國際標準密碼算法，對國產密碼算法的采用度較低，尤其在電子政務、數字金融等領域，掌握自主可控尤為重要。在區塊鏈應用部署方面，現有的各類信息系統與區塊鏈直接結合仍有困難，簡單地用區塊鏈替代廣泛部署的信息系統勢必帶來極大的消耗，如何將區塊鏈與現有信息系統相結合還需進一步探討。

2.鏈上數據不可篡改帶來的問題

區塊鏈數據不可篡改的特性為公眾對區塊鏈的信任提供了有效保障，然而在大規模實際應用中，用戶誤操作、系統故障、漏洞攻擊等情況一旦發生，區塊鏈是否需要支持數據修改或區塊回滾仍然具有爭議。此外，不法分子利用區塊鏈永久記錄的特性將非法信息記錄在區塊中進行傳播，也為輿論監管帶來難題。

3.用戶隱私與政府監管之間的矛盾

為了保護用戶的物理身份，區塊鏈應用系統必須實施增強的隱私保護；但為了社會安全和有效打擊違法犯罪，同時也必須對區塊鏈應用系統的運行實施嚴格的監管，這是一對顯然的矛盾。目前技術上對區塊鏈系統的監管策略未能順利實施的主要原因就是無法解決這二者之間的沖突，也就是無法在保護隱私的前提下，實現對區塊鏈系統的有效監管，從而使得區塊鏈平臺容易滋生欺詐、非法集資、洗錢和毒品走私等違法犯罪行為。因此，提出隱私保護與高效監管的密碼學方法，突破監管友好的隱私交易技術，解決區塊鏈交易隱私保護與監管沖突問題，確保鏈上行為的可監管是保障區塊鏈技術在應用過程中合法合規的重要途徑。

4.數據孤島成為大規模應用的瓶頸

在個體層面上，打通各個獨立主體間信息的互聯互通是大力發展區塊鏈的初衷之一。但在實際應用中，如何發揮各個主體數據共享的能動性、以何驅動主體共享數據仍待思考。

在區塊鏈層面上，現有的區塊鏈項目在應用場景和設計初衷上都各不相同，提供的服務以及所使用的底層技術也都各有側重，從而形成了多樣化的區塊鏈生態。現階段的區塊鏈還是一個個價值和數據孤島，各個區塊鏈之間互不相通，鏈間的信息和價值交換存在障礙，這與區塊鏈技術本身的開放性形成了鮮明對比。在區塊鏈應用中，不同區塊鏈系統相互孤立的原因主要在于各自的區塊鏈數據結構、共識機制、通信協議、密碼學算法等方面存在不同，各個系統是獨立垂直的封閉技術體系，因而難以與其他區塊鏈系統進行直接互聯互通。隨著越來越多區塊鏈應用的部署及發展，區塊鏈的孤島效應正在成為大規模應用的主要瓶頸。

5.區塊鏈相關標準及法律的滯后

目前國內關于區塊鏈安全相關標準尚處于起步階段，信安標委已經開展了相關研究工作，部分行業標準組織和團體組織開展了一些工作，但沒有形成較為完整的區塊鏈安全標準體系。國外主要有國際標準化組織ISO、國際電聯電信標準化部門(ITU-T)、美國國家標準技術研究所NIST啟動了區塊鏈安全相關標準工作。ISO和ITU-T分別啟動了“TC307 SG3- Security & Privacy”和 “ITU-T SG17- Security architecture for Distributed Ledger Technology”的標準研究。雖然上述兩項標準致力于區塊鏈安全體系層面的研究工作，但是更注重研究隱私保護和分布式賬本技術，而非安全體系架構的標準研究。因此，從應用需求提煉出區塊鏈相關標準，有助于為區塊鏈系統的結構設計提供參考，為區塊鏈行業應用提供統一的安全標準，也有助于規范今后區塊鏈產品的開發、研制和測試，對我國區塊鏈技術的發展建設具有重要意義。

二、區塊鏈“新基建”發展建議

1.發展自主可控的區塊鏈基礎平臺

針對當前區塊鏈自主創新乏力的問題，我國需要繼續強化區塊鏈基礎研究，提升原始創新能力，需要大力推動依托國產密碼算法、自主可控的區塊鏈系統研發與應用，推動國產區塊鏈在國內的開源與應用，豐富國產區塊鏈的應用生態，確立生態優勢，才可與國際上的知名區塊鏈系統直接競爭。

2.建立面向業務需求的區塊鏈體制

針對不同業務、不同信息系統對區塊鏈性能、功能、安全性的需求，需要進一步解決區塊鏈結構僵化、功能單一、兼容性差的問題，建立面向業務需求的區塊鏈體制，加快區塊鏈和人工智能、大數據、物聯網等前沿信息技術的深度融合，發展功能可定義、結構可插拔、應用能兼容的區塊鏈技術，提高區塊鏈在實際部署中的靈活性和可用性。

3.完善兼顧隱私與監管的區塊鏈技術

隱私和監管是硬幣的兩面，對立統一。區塊鏈系統在保證交易隱私的條件下，必須實現對數據和用戶行為的高效監管。通過采用可追蹤零知識證明、陷門可提取承諾、安全多方計算等多項關鍵技術，實現兼具隱私保護與監管功能的區塊鏈系統，實現面向監管角色開放訪問權限的不特定內容隱私交易機制。從而使得在各種不同區塊鏈應用場景中，在保證用戶隱私的前提下，發現和追蹤異常交易，為進一步監管措施提供技術支持和司法證據。

4.發展面向多鏈融合的跨鏈技術

面向融合應用的跨鏈技術是打通不同區塊鏈系統信息通道的關鍵，是把區塊鏈從分散的孤島中拯救出來的良藥，是區塊鏈向外拓展和連接的橋梁，也是區塊鏈合規應用的保障。針對多源、異構區塊鏈系統鏈際數據傳輸、識別、存儲、操作和驗證的融合應用需求，開展面向多鏈融合的區塊鏈跨鏈互操作與可擴展關鍵技術研究，重點包括區塊鏈鏈間協同理論、跨鏈共識模型、威脅阻隔機制、隱私保護方法、跨域審計與監管技術等方面，進而打造新一代可管控區塊鏈融合應用創新平臺，解決不同區塊鏈分割孤立、互操作性缺失、隱私保護不足、跨鏈安全保障難、違規行為監管難等問題，極大拓展區塊鏈應用的邊界。并進一步把區塊鏈跨鏈技術作為自主創新重要突破口，研究新的跨鏈方法，確保區塊鏈之間安全地進行數據獲取、傳遞、識別、驗證與互操作，為區塊鏈的應用落地提供技術支持，促進我國區塊鏈產業發展。

5.推動區塊鏈標準制定及立法工作

在區塊鏈標準化工作方面，加強區塊鏈標準化研究，積極參與國際區塊鏈相關標準化工作，提升國際話語權和規則制定權。加強區塊鏈標準制定工作，有助于為區塊鏈行業應用提供統一的安全標準，為我國區塊鏈標準建設提供堅實的理論基礎與技術支撐，為區塊鏈規劃、設計、實施人員開發具體的區塊鏈解決方案提供指導。同時，適時成立區塊鏈立法、執法機制，推動與國際區塊鏈技術和標準組織開展交流與合作，促進我國區塊鏈技術和標準國際化發展進程。

6.加快區塊鏈高水平人才培養

區塊鏈技術帶動了相關產業的高速發展，勢必帶來區塊鏈專業人才的短缺。現有的區塊鏈技術研究人員大多從事數學、密碼學、計算機、網絡安全、通信等領域的研究，仍然缺少面向區塊鏈體系化研究的專業人才。我國仍需建立完善區塊鏈相關人才的培養體系，推動區塊鏈教學實驗平臺建設，進一步打造區塊鏈高層次人才培養平臺，加大區塊鏈領軍人物和高水平創新團隊的培養力度。

三、結語

區塊鏈技術以其獨有的特性，將數字世界與現實世界相聯，依托虛擬網絡空間的信任機制重塑社會人之間的信任關系，引領步入“價值互聯網”時代。同時我們也應注意到區塊鏈不是“靈丹妙藥”，在現實中仍然存在安全風險，我們仍需理性看待，對癥下藥。相信在“新基建”的引領下，區塊鏈的發展必將為我國建設網絡強國、發展數字經濟、助力經濟社會發展發揮巨大作用。

來源：中國信息安全