區塊鏈的安全丨專欄_風聞

【歡迎關注中科院之聲公眾號（ID：zkyzswx）或微博@中科院之聲，看科學界的大事兒】

一、起源

小白：東哥，最近“區塊鏈”這個詞在網絡上出現的頻率很高呀，我一打開手機，隔三差五總能在新聞頭條中看到這個字眼。

大東：小白啊，那你知道區塊鏈這個熱詞到底是什麼意思嗎？咱們今天就好好嘮一嘮區塊鏈的“前世今生”吧！

小白：好呀好呀！

大東：這説到區塊鏈，就不得不説到一個人。他就是中本聰，關於區塊鏈技術他説過一句話：“如果你不相信我或者不知道它，我也沒有時間去給你解釋。”這句話能説明什麼問題呢？這説明中本聰對他締造的區塊鏈乃至比特幣這個技術是非常自信的。

小白：哎呀，東哥，我被你説糊塗了，中本聰到底是誰呀？

大東：小白，非常抱歉，因為到目前為止，他仍然是個謎，不僅僅在物理世界我們找不到，現在甚至在匿名世界裏面也消失得無影無蹤了。

小白：原來是這樣啊！那既然我們不知道中本聰是誰，總能知道他做了些什麼事吧？

《比特幣：一種點對點的電子現金系統》

大東：讓我們把目光聚焦到2008年10月31日，在這一天，他發佈了《比特幣：一種點對點的電子現金系統》，簡稱“白皮書”。在白皮書裏，中本聰系統性地提出了區塊鏈技術的組成部分。而僅僅在隨後短短兩年時間內，區塊鏈技術蓬勃發展，在全世界造成了巨大影響，但是當2010年12月11日維基解密事件跟比特幣產生關係的時候，他又悄然而去，我們至今都找不到他的身影。

小白：這麼看來中本聰還真是一個謎一樣的存在啊！

大東：確實如此，在兩年這麼短的時間裏推動這樣一個影響全世界的技術發展，我們可以看出這絕不是簡單的巧合，背後其實是有一個精心的佈局。

小白：什麼精心佈局？

大東：從表面上看來，2008年10月31日白皮書的發表是第一個時間節點，但其實不是這樣。在早些時候，也就是2008年8月18日，他已經提前註冊了bitcoin這麼一個網站。由此我們可以看出來，比特幣技術的發展從它的締造者中本聰本人來説，是做了精心佈局的。

bitcoin 網站

小白：東哥，你一直在講精心佈局，那中本聰的這個精心佈局到底是做了多大一個套呢？

大東：要想知道中本聰這個精心佈局是“少兒級”還是“國家級”，我們就需要找一個參照系來對它進行一個定性評價。

小白：參照系找什麼呢？

大東：就拿近8年來網安威脅一直在提到的一個詞——APT來説，這個威脅無論是從2010年的震網事件還是斯諾登曝出來的稜鏡門事件，我們都能看出這是國家級的事件。因此，我們可以得出一個結論，區塊鏈技術的締造者，具有國家級的精密佈局能力。

二、溯往

小白：那從剛才這個結論可以看出來，既然這是一個精心的佈局，那麼未來我們想去主導這場遊戲，想去引領區塊鏈技術，我們應該怎麼做呢？

大東：小白，上道了哈！我經常跟別人講一句話，影響有影響力的人。那讓我們來看看中本聰在做這個佈局的時候挑選了哪些“小白鼠”呢？

小白：東哥，我剛剛查了一下，中本聰和戴維、Adam Back、哈爾·芬尼、Martti Malmi、Laszlo Hanyecz等都有密切的線上交流。

大東：Perfect！小白，你仔細想想，這些人其實是有着共性特點的。他們都來自於技術領域，都是一些技術專家，而中本聰發佈白皮書所挑選的平台都是一些技術領域的社區或者是論壇，而且這些人是覆蓋全球化的。小白，現在我可以回答你剛才的問題了，如果未來我們想掌握區塊鏈、掌握區塊鏈技術演進的原動力，是需要我們具備全球化視野佈局的。這可以説是一個初始的認識。

小白：既然有初始認識，那就還有更深層次的認識嘍？

大東：機智如你！這第二點認識，我想講一下區塊鏈技術和產業之間的關係。大家都知道區塊鏈的核心技術主要是三個方面：去中心化、加密貨幣、匿名通信。但是實際上這三個技術並不是從2008年才開始出現的，早在上世紀六七十年代學術界對它們已經有了嚴格定義。但是正因為區塊鏈這麼一個行業，才大大推動了關鍵技術的發展。

小白：這讓我想到了大數據和AI，真是異曲同工之妙啊！

區塊鏈核心技術的發展

大東：是滴，所以我們就可以得出第二個內涵認識了，那就是區塊鏈技術是行業應用帶動了核心技術的快速發展。

小白：東哥，你講了這麼多，我想知道到底網絡安全和區塊鏈技術之間有什麼樣的關係呢？

大東：我整理了四個方面：締造、架構、領域、場景。從它的締造者中本聰來説，他一直在做匿名通信，而且是一位密碼專家，還有我們剛才提到的架構，這些其實都是我們網絡安全的一些理論基礎。加之領域和場景的對比，我們都可以得出這樣一個重要的內涵認識，那就是網絡安全不僅僅是其他行業的伴生屬性，同時也是區塊鏈技術的原生屬性。

小白：嗯，東哥，聽你這麼一講，我就已經認識到了區塊鏈安全的重要性。道路千萬條，安全第一條啊！

大東：哈哈哈……小白你的領悟能力還是挺不錯的呀，那你知不知道“雲移大物智”呢？

小白：這是什麼意思？我還真的不知道呢！

大東：早在十年前的時候，大家説到網絡安全，主要講的是數據加密、密碼學，但是隨着區塊鏈技術以及其他技術的發展，信息安全已經進行了升級，網絡空間安全已經不僅僅是指單一的一面，而是包括信息安全和網絡安全兩個方面，網絡安全的對抗就是網絡戰，而這些實際上是區塊鏈技術推動了網絡學科的發展。現在“雲移大物智”這五個行業領域也在不斷發展，當區塊鏈走入下一個進程的時候，我們相信它可以促進這些產業進一步升維。

小白：更快！更高！更強！

大東：由此，我們可以得出第二個推論，區塊鏈技術這艘方舟是在數字貨幣產業的牽引下光芒四射的。

三、展望

小白：東哥，我們剛才講了那麼多，到底現在區塊鏈這個產業面臨着什麼樣的威脅攻擊呢？

大東：根據我們的學術研究，區塊鏈的攻擊技術現在有幾百種，我們找了四種比較典型的攻擊方式。比如攻擊的對象可能是平台，可能是礦機，可能是每個使用的用户，還有可能是不明真相的羣眾，他們都有可能受到網絡黑客的攻擊。

小白：看來我這種小白也有可能遇到區塊鏈攻擊的安全問題呢！那它和傳統的互聯網攻擊又有什麼區別呢？

大東：這也正是我想講的，對於這個問題我有兩個認識。一方面，區塊鏈攻擊與互聯網攻擊是技術同源的。大家都知道挖礦的礦機，在生產的過程中就已經埋進了木馬。另一方面，區塊鏈攻擊的場景更加多元化，給我們帶來了很多攻擊的想象，這是它們兩者之間的區別。

小白：嗯，東哥，上面我都聽懂了，那區塊鏈技術怎麼從內向外去看呢？網絡安全該怎麼保障區塊鏈技術呢？

大東：好，我們接下來就跳到網絡安全領域，從網絡安全來看區塊鏈技術的保障。關於區塊鏈的八大威脅（見下圖），我們需要從業務、數據、人員、設施這四個要素來進行一體化的保障，形成一系列的關鍵技術。在這樣的一個全方位的堡壘中，無論你是企業用户、還是個人用户，都可以得到相應的解決方案。

小白：聽起來很厲害的樣子哦~

從網安領域看區塊鏈技術安全挑戰

（區塊鏈安全技術體系圖 來源：慢霧科技）

大東：現在我們可以得出第三個推論了，區塊鏈技術的健康發展離不開網安能力的體系性保障，單點保障是不行的，頭痛醫頭腳痛醫腳解決不了實際問題。哎，小白，你有沒有聽説過網安運輸機呢？

小白：聽説過，但是具體是怎麼回事還得東哥你給我好好講講呢。

大東：就是把網絡安全先進的演示、先進的平台、先進的工具、先進的方案、先進的服務和先進的人才，推送到各個行業裏面。

小白：嗯嗯，網安運輸機的概念從總體上來看，它實際上是為系統性地解決威脅提供保障。這麼多的網安產品到底誰好誰壞呢？

大東：就像一道佳餚需要色香味俱全，那麼對於網安來説，我也把它總結成了四個字——“睹物思人”。

小白：怎麼説？

大東：這所謂“睹”，就是及早更快地發現網絡安全攻擊，更好地去處理這些安全帶來的風險，需要具備情報的分析能力。這也是我得出的第一點外延感知——威脅情報有效提升戰略決策先知能力。

小白：那“物”又是指什麼呢？

大東：就是漏洞發現鍛造區塊鏈軟件生態防護能力。

小白：好了，東哥，你已經成功地引起了我的興趣，接下來快説説什麼是“思”吧。

大東：在網安這個圈子裏，我們發現存在一些問題，那就是有的人會拉小提琴、有的人會吹單簧管，但是最缺的是指揮家。所以接下來網絡安全頂層設計的問題有可能會影響互聯網產業的安全發展。因此，第三點外延感知就是頂層設計制約區塊鏈產業穩定發展。

小白：東哥，我來説，最後這個“人”是不是要培養人才啊？

大東：哎呦，都學會搶答了，孺子可教也！就像小白你説的，我們現在整個網絡安全領域已經推出了自己的計劃，從戰略、戰役、戰術、戰備四個方面進行人才培養。但是我們仍然邀請各行各業的領導、人才來關注並加入到網絡安全的大軍中，因為網絡安全人才的輸出是需要區塊鏈各個產業積極參與才能夠達到一個更高的防護水平，這也是最後一點外延感知的體現。

小白：不行了，東哥，我得先喝點飲料補補腦，再好好品品你今天提的這“4＋4”吧。

來源：中國科學院計算技術研究所