首頁(yè)|必讀|視頻|專訪|運(yùn)營(yíng)|制造|監(jiān)管|大數(shù)據(jù)|物聯(lián)網(wǎng)|量子|元宇宙|博客|特約記者
手機(jī)|互聯(lián)網(wǎng)|IT|5G|光通信|人工智能|云計(jì)算|芯片報(bào)告|智慧城市|移動(dòng)互聯(lián)網(wǎng)|會(huì)展
首頁(yè) >> 頭條列表 >> 正文

長(zhǎng)亭科技于曉航:區(qū)塊鏈安全要整個(gè)生態(tài)一起發(fā)力

2020年10月20日 13:34  CCTIME飛象網(wǎng)  

飛象網(wǎng)訊 在2020年中國(guó)國(guó)際信息通信展上,飛象網(wǎng)專訪了長(zhǎng)亭科技區(qū)塊鏈安全首席技術(shù)專家于曉航,他向我們介紹了區(qū)塊鏈領(lǐng)域的最新安全進(jìn)展,讓我們認(rèn)識(shí)到區(qū)塊鏈安全同樣值得關(guān)注。

于曉航表示:“區(qū)塊鏈安全不能只依靠安全廠商這幾個(gè)點(diǎn),而是應(yīng)該依靠整個(gè)生態(tài),區(qū)塊鏈生態(tài)里面各個(gè)細(xì)分行業(yè),各個(gè)企業(yè)自發(fā)對(duì)安全的重視,主動(dòng)的從內(nèi)部發(fā)現(xiàn)問(wèn)題,主動(dòng)聯(lián)系安全廠商來(lái)做這件事情,整個(gè)生態(tài)一起發(fā)力!

以下是訪談全文:

訪談時(shí)間:2020年10月15日

主持人:飛象網(wǎng)資深記者 魏德齡

嘉 賓:長(zhǎng)亭科技區(qū)塊鏈安全首席技術(shù)專家 于曉航

主持人:前不久國(guó)家互聯(lián)網(wǎng)應(yīng)急中心聯(lián)合長(zhǎng)亭科技和其他三家區(qū)塊鏈廠商發(fā)布了國(guó)家區(qū)塊鏈漏洞定級(jí)細(xì)則,作為區(qū)塊鏈行業(yè)首個(gè)漏洞定級(jí)細(xì)則,長(zhǎng)亭科技深度參與了此次編寫(xiě),可以向我們介紹一下這個(gè)細(xì)則嗎?,還有您覺(jué)得細(xì)則的發(fā)布對(duì)行業(yè)發(fā)展有什么影響?

于曉航:我們從最開(kāi)始,一直和應(yīng)急中心有比較深的聯(lián)系,上個(gè)月月底,我們一起以國(guó)家區(qū)塊鏈漏洞庫(kù)的名義發(fā)布了這一套區(qū)塊鏈漏洞定級(jí)細(xì)則,長(zhǎng)亭作為技術(shù)牽頭單位,主要負(fù)責(zé)了其中公鏈板塊定級(jí)細(xì)則編寫(xiě),和整體技術(shù)、劃分標(biāo)準(zhǔn)的把關(guān)。。

我個(gè)人覺(jué)得這個(gè)細(xì)則的發(fā)布,某種意義上說(shuō)是比較順應(yīng)區(qū)塊鏈行業(yè)的發(fā)展,因?yàn)樗鉀Q了區(qū)塊鏈行業(yè)里面長(zhǎng)期以來(lái)存在的一個(gè)漏洞定級(jí)困難的問(wèn)題。在我們這兩三年的實(shí)際工作里面,在區(qū)塊鏈行業(yè)一開(kāi)始,大家對(duì)于漏洞沒(méi)有一個(gè)定級(jí)的認(rèn)知,隨著行業(yè)發(fā)展出現(xiàn)了SRC,雖然說(shuō)我們有一個(gè)CVSS,國(guó)際上通用的漏洞定級(jí)方法,可以用在區(qū)塊鏈漏洞定級(jí)上,但是大家對(duì)于CVSS在區(qū)塊鏈領(lǐng)域上的應(yīng)用,認(rèn)知是特別不統(tǒng)一的,這些認(rèn)知上的混亂會(huì)帶來(lái)特別多的分歧,阻礙區(qū)塊鏈行業(yè)安全技術(shù)的發(fā)展。我們一開(kāi)始就特別想找一種方式來(lái)統(tǒng)一大家的認(rèn)知,這樣能把安全行業(yè)中蘊(yùn)含的非常強(qiáng)大的力量注入到區(qū)塊鏈行業(yè)里面,這是我們做這件事情的初衷。

這套細(xì)則本身是一個(gè)系列,包括四個(gè)方面,公鏈、聯(lián)盟鏈、智能合約及外圍系統(tǒng),這四個(gè)方面基本涵蓋了整個(gè)區(qū)塊鏈生態(tài)里面所有的技術(shù)領(lǐng)域。

說(shuō)到這個(gè)細(xì)則發(fā)布的意義。

首先這個(gè)細(xì)則的發(fā)布給了行業(yè)一個(gè)比較強(qiáng)的信號(hào),國(guó)家對(duì)區(qū)塊鏈安全這件事情非常重視,因?yàn)檫@個(gè)細(xì)則是從國(guó)家的角度發(fā)布的,這一點(diǎn)非常有利于提高整個(gè)行業(yè)的安全意識(shí)。

第二點(diǎn),這個(gè)細(xì)則的發(fā)布,能夠有利于統(tǒng)一區(qū)塊鏈行業(yè)里面大家對(duì)于漏洞的認(rèn)知,這件事情是非常有利于把安全行業(yè)強(qiáng)大的力量注入到區(qū)塊鏈領(lǐng)域里面。

第三點(diǎn),這個(gè)細(xì)則的發(fā)布,也是加快了區(qū)塊鏈行業(yè)標(biāo)準(zhǔn)化的進(jìn)度。這個(gè)細(xì)則的發(fā)布,也為接下來(lái)區(qū)塊鏈行業(yè)一些測(cè)評(píng)體系的工作,提供了比較官方的技術(shù)支持,做了一些技術(shù)上的鋪墊。

最后一個(gè)方面比較具體,我認(rèn)為這個(gè)細(xì)則里面實(shí)際上也是一個(gè)非常好的學(xué)習(xí)資料,大家通過(guò)看這個(gè)細(xì)則,了解到區(qū)塊鏈漏洞究竟是什么,了解到區(qū)塊鏈領(lǐng)域里面常見(jiàn)的攻擊場(chǎng)景是什么樣的,攻擊手段是什么樣的,這些東西都可以在細(xì)則里面略窺一二,對(duì)提升整個(gè)行業(yè)的實(shí)際技術(shù)安全水平也是非常有幫助的。

主持人:長(zhǎng)亭科技算是一家很早開(kāi)始研究并服務(wù)區(qū)塊鏈企業(yè)的網(wǎng)絡(luò)安全公司,在區(qū)塊鏈安全審視測(cè)試方面都有深入的研究。近來(lái)區(qū)塊鏈安全漏洞頻發(fā)的現(xiàn)狀,您有什么好的安全建議?

于曉航:這個(gè)問(wèn)題就像我們安全從業(yè)者的心病,近幾年區(qū)塊鏈領(lǐng)域各種安全事件的發(fā)生,據(jù)我觀察來(lái)說(shuō),大部分主要是由于安全意識(shí)的問(wèn)題,還有另外一大部分,是由于技術(shù)的問(wèn)題。

對(duì)于安全意識(shí)這件事情,從整個(gè)行業(yè)來(lái)說(shuō),是沒(méi)有辦法強(qiáng)求的,不可能在短時(shí)間快速提升,不僅區(qū)塊鏈領(lǐng)域這樣,各行各業(yè),傳統(tǒng)互聯(lián)網(wǎng)領(lǐng)域也是這樣的,只能像最近反詐騙的宣傳和此次疫情期間應(yīng)對(duì)一樣,通過(guò)長(zhǎng)期反復(fù)的宣傳,一步一步的逐漸提高行業(yè)的安全意識(shí)。

但是對(duì)于企業(yè)來(lái)說(shuō),還是有很多可以做的事情。首先,企業(yè)要建立比較好的重視安全的文化,從方方面面都重視安全,這個(gè)事情還是會(huì)非常有效果的。

第二,及時(shí)做一些人員安全意識(shí)方面的培訓(xùn),會(huì)起到立竿見(jiàn)影的效果。

關(guān)于技術(shù)方面,技術(shù)方面有很多的安全事件實(shí)際上都可以避免的,因?yàn)楣暨\(yùn)用的漏洞都是比較基本的點(diǎn),并不是很困難,這就體現(xiàn)出來(lái)我們安全行業(yè)目前來(lái)說(shuō)力量還是比較缺乏的,相對(duì)于區(qū)塊鏈生態(tài)大體量來(lái)說(shuō),安全行業(yè)的力量還是不足,不是現(xiàn)在技術(shù)水平的高低,主要體現(xiàn)在掌握核心技術(shù)人才上的缺失。像我們現(xiàn)在安全廠商來(lái)說(shuō),安全廠商能發(fā)現(xiàn)的漏洞,不管是嚴(yán)重程度還是復(fù)雜程度,其實(shí)都已經(jīng)非常強(qiáng)了,但是實(shí)際上出現(xiàn)問(wèn)題往往是非;痉浅:(jiǎn)單的點(diǎn),原理非常簡(jiǎn)單的漏洞。這兩個(gè)之間的差異就體現(xiàn)出來(lái),因?yàn)檎麄(gè)區(qū)塊鏈生態(tài)里面的技術(shù)系統(tǒng)非常多,區(qū)塊鏈系統(tǒng)非常復(fù)雜,我們安全廠商人員和數(shù)量來(lái)說(shuō),根本沒(méi)有辦法覆蓋到每一個(gè)項(xiàng)目,每一個(gè)企業(yè)。

我在各種會(huì)議上也在說(shuō),區(qū)塊鏈安全這件事情,不能只依靠安全廠商這幾個(gè)點(diǎn),而是應(yīng)該依靠整個(gè)生態(tài),區(qū)塊鏈生態(tài)里面各個(gè)細(xì)分行業(yè),各個(gè)企業(yè)自發(fā)對(duì)安全的重視,主動(dòng)的從內(nèi)部發(fā)現(xiàn)問(wèn)題,主動(dòng)聯(lián)系安全廠商來(lái)做這件事情,整個(gè)生態(tài)一起發(fā)力。

關(guān)于技術(shù)方面的問(wèn)題,對(duì)于技術(shù)這一個(gè)點(diǎn),想說(shuō)一點(diǎn)比較細(xì)節(jié)的事情。我們通過(guò)這幾年的工作經(jīng)驗(yàn)觀察到,很多的技術(shù)人員知道怎么寫(xiě)一個(gè)能用的區(qū)塊鏈系統(tǒng),但是不太清楚怎么寫(xiě)一個(gè)安全的區(qū)塊鏈系統(tǒng),能用的系統(tǒng)和安全的系統(tǒng)之間差得很多,這兩者之間主要的差距,就差在對(duì)區(qū)塊鏈各種技術(shù)細(xì)節(jié)的理解上。很多開(kāi)發(fā)者對(duì)區(qū)塊鏈的技術(shù)知道怎么回事,但是對(duì)技術(shù)細(xì)節(jié)沒(méi)有辦法掌握得太細(xì),理解不深,所以使得他開(kāi)發(fā)的東西出現(xiàn)一些問(wèn)題。

比如我們都知道區(qū)塊鏈里面一個(gè)叫Merkle Tree的東西,Merkle Tree一個(gè)主要作用是為了保護(hù)交易數(shù)據(jù),但是至于說(shuō)它保護(hù)了哪幾類(lèi)交易信息,這個(gè)問(wèn)題很難有人一次性回答清楚。他理解不清楚這件事情,就會(huì)使得在開(kāi)發(fā)或者優(yōu)化系統(tǒng)的時(shí)候,很容易把這個(gè)功能無(wú)意間抹掉。跳過(guò)這些保護(hù)功能以后,破壞了區(qū)塊鏈原本的安全設(shè)計(jì),就會(huì)引出很多的安全問(wèn)題。我們發(fā)現(xiàn)這幾年區(qū)塊鏈的漏洞大都是因?yàn)檫@類(lèi)問(wèn)題產(chǎn)生的。

主持人:今年4月份,區(qū)塊鏈正式入選新基建范圍,與5G共同成為支持?jǐn)?shù)據(jù)發(fā)展的基礎(chǔ)設(shè)施。與5G相輔相成的過(guò)程中,對(duì)于區(qū)塊鏈安全又有哪些挑戰(zhàn)?有哪些應(yīng)對(duì)方法?

于曉航:5G解決的是通信問(wèn)題,區(qū)塊鏈解決的是信任問(wèn)題,或者說(shuō)是安全問(wèn)題和隱私問(wèn)題。隱私問(wèn)題又被很多人理解為是目前移動(dòng)網(wǎng)絡(luò)發(fā)展的一個(gè)瓶頸性的問(wèn)題,另一方面對(duì)于區(qū)塊鏈系統(tǒng)來(lái)說(shuō),帶寬問(wèn)題和存儲(chǔ)問(wèn)題,又是兩個(gè)比較常見(jiàn)的發(fā)展瓶頸,所以從這個(gè)角度來(lái)說(shuō),5G和區(qū)塊鏈很多人認(rèn)為是有非常強(qiáng)的優(yōu)勢(shì)互補(bǔ)的關(guān)系,所以經(jīng)常認(rèn)為這兩個(gè)都?xì)w納為新基建以后,這兩個(gè)產(chǎn)業(yè)疊加在一起,會(huì)有一些疊加效應(yīng)。

我個(gè)人也是比較認(rèn)同這個(gè)觀點(diǎn),這里面有一些更多值得探討的具體問(wèn)題,可以聊一聊。第一個(gè)問(wèn)題,5G這個(gè)事情雖然解決的是通信問(wèn)題,它的發(fā)力點(diǎn)是在移動(dòng)通信網(wǎng)絡(luò)上,但是區(qū)塊鏈系統(tǒng)目前來(lái)說(shuō)主要依托的是主機(jī)和服務(wù)器,5G和區(qū)塊鏈之間的結(jié)合,并不會(huì)像大家想像的那么直觀,更可能的方式是,5G的發(fā)展會(huì)促進(jìn)區(qū)塊鏈技術(shù)移動(dòng)端的發(fā)展,就是區(qū)塊鏈技術(shù)生態(tài)可能會(huì)向移動(dòng)網(wǎng)絡(luò)發(fā)展。這個(gè)發(fā)展趨勢(shì)肯定會(huì)催生出更多基于移動(dòng)端的區(qū)塊鏈技術(shù),既然一些新的應(yīng)用,新的細(xì)分領(lǐng)域出現(xiàn)之后,從安全角度來(lái)說(shuō),就是引入更多的攻擊面,攻擊面出現(xiàn)以后,隨著產(chǎn)業(yè)發(fā)展,一定會(huì)吸引來(lái)更多黑客的攻擊,這是對(duì)安全方面的影響。

第二個(gè)方面,隨著移動(dòng)端網(wǎng)絡(luò)的發(fā)展,有可能會(huì)促進(jìn)云端區(qū)塊鏈的發(fā)展。隨著云端區(qū)塊鏈和移動(dòng)端網(wǎng)絡(luò)的發(fā)展,有可能會(huì)增大區(qū)塊鏈系統(tǒng)帶寬上的壓力,引入更多的攻擊流量。隨著攻擊流量的增多,也會(huì)產(chǎn)生更多的周邊系統(tǒng),比如說(shuō)區(qū)塊鏈瀏覽器周邊的區(qū)塊鏈應(yīng)用或者區(qū)塊鏈防護(hù)系統(tǒng)的產(chǎn)生,這些系統(tǒng)的出現(xiàn),也會(huì)引入更多的攻擊面,實(shí)際上跟第一條是連帶性的作用。

第三個(gè)問(wèn)題,在區(qū)塊鏈領(lǐng)域里面,很多攻擊是基于大流量、大帶寬的,5G帶來(lái)更大的帶寬,也會(huì)為攻擊者提供了更便利的攻擊手段,對(duì)區(qū)塊鏈系統(tǒng)自身的穩(wěn)定性和可用性都提出了更高的要求,這個(gè)事情也會(huì)對(duì)區(qū)塊鏈系統(tǒng)產(chǎn)生一些影響。我覺(jué)得不管怎么樣的發(fā)展,就好像區(qū)塊鏈系統(tǒng)剛出現(xiàn)一樣,大家對(duì)區(qū)塊鏈也沒(méi)什么研究,但一定會(huì)有向我們這樣的安全廠商,安全從業(yè)人員對(duì)一個(gè)新型的領(lǐng)域做一些新的安全研究。所以我覺(jué)得這方面雖然會(huì)有很多的安全挑戰(zhàn),但是對(duì)我們安全從業(yè)人員來(lái)說(shuō),反而會(huì)更興奮,我們會(huì)更有動(dòng)力來(lái)保護(hù)這個(gè)行業(yè)。

主持人:行業(yè)越發(fā)展,安全問(wèn)題越難。剛興起的時(shí)候,很少有人說(shuō)區(qū)塊鏈的安全問(wèn)題。

于曉航:是,國(guó)內(nèi)的區(qū)塊鏈安全行業(yè)是18年前后才逐漸發(fā)展起來(lái)的,我們也是18年初的時(shí)候一起成長(zhǎng)起來(lái)的,那時(shí)候都是靠硬著頭皮自己做研究。到現(xiàn)在累計(jì)到接近百萬(wàn)行的區(qū)塊鏈源碼審計(jì)經(jīng)驗(yàn)。我們長(zhǎng)亭原來(lái)是做傳統(tǒng)安全做得比較好,我們會(huì)借鑒傳統(tǒng)安全里面的安全模型、經(jīng)驗(yàn)、工具,把它快速嫁接到區(qū)塊鏈安全領(lǐng)域,通過(guò)這種方式,我們才能更快的著手完善區(qū)塊鏈安全。但是目前來(lái)說(shuō)區(qū)塊鏈安全領(lǐng)域還有很多的工作沒(méi)有做好,例如防護(hù)性或者是監(jiān)測(cè)性的產(chǎn)品。對(duì)于區(qū)塊鏈安全領(lǐng)域來(lái)說(shuō),有很多事情是靠工業(yè)界自己沒(méi)辦法突破的,需要學(xué)術(shù)界的成果轉(zhuǎn)化才可以完成。

主持人:這也是區(qū)塊鏈跟傳統(tǒng)行業(yè)之間的主要差異?

于曉航:對(duì),區(qū)塊鏈系統(tǒng)有很多的特殊性,最大的特殊點(diǎn)就是,區(qū)塊鏈不只是一個(gè)技術(shù),它更多是融合了經(jīng)濟(jì)模型在里面,所以很多漏洞不能單純從技術(shù)角度判斷,也需要有一些經(jīng)濟(jì)分析支撐才能判斷它是不是漏洞,這也是我們實(shí)際工作中的難點(diǎn),因?yàn)檫@件事情也會(huì)出現(xiàn)很多有趣的爭(zhēng)論和討論。

主持人:謝謝您!

編 輯:章芳
聲明:刊載本文目的在于傳播更多行業(yè)信息,本站只提供參考并不構(gòu)成任何投資及應(yīng)用建議。如網(wǎng)站內(nèi)容涉及作品版權(quán)和其它問(wèn)題,請(qǐng)?jiān)?0日內(nèi)與本網(wǎng)聯(lián)系,我們將在第一時(shí)間刪除內(nèi)容。本站聯(lián)系電話為86-010-87765777,郵件后綴為#cctime.com,冒充本站員工以任何其他聯(lián)系方式,進(jìn)行的“內(nèi)容核實(shí)”、“商務(wù)聯(lián)系”等行為,均不能代表本站。本站擁有對(duì)此聲明的最終解釋權(quán)。
相關(guān)新聞              
 
人物
工信部張?jiān)泼鳎捍蟛糠謬?guó)家新劃分了中頻段6G頻譜資源
精彩專題
專題丨“汛”速出動(dòng) 共筑信息保障堤壩
2023MWC上海世界移動(dòng)通信大會(huì)
中國(guó)5G商用四周年
2023年中國(guó)國(guó)際信息通信展覽會(huì)
CCTIME推薦
關(guān)于我們 | 廣告報(bào)價(jià) | 聯(lián)系我們 | 隱私聲明 | 本站地圖
CCTIME飛象網(wǎng) CopyRight © 2007-2024 By CCTIME.COM
京ICP備08004280號(hào)-1  電信與信息服務(wù)業(yè)務(wù)經(jīng)營(yíng)許可證080234號(hào) 京公網(wǎng)安備110105000771號(hào)
公司名稱: 北京飛象互動(dòng)文化傳媒有限公司
未經(jīng)書(shū)面許可,禁止轉(zhuǎn)載、摘編、復(fù)制、鏡像