基于等保2.0标准——区块链安全扩展要求探讨

在数字经济时代，区块链作为新技术，能够推进经济社会规则体系重构，在经济金融、司法审判、食品追溯、商业贸易、公共信用等领域已有广泛应用。但在规划、建设、运维区块链的同时，也需要全面评估与防范区块链应用带来的安全隐患。

当前，全社会都面临着数字化转型的挑战，区块链技术正越来越多地应用于经济领域、城市治理、社会民生方面，与实体经济深度融合，推动数字经济模式创新；与民生领域相结合，为百姓提供更便捷、更智能的服务。
随着区块链进入“可编程社会”时代，其应用场景变得越来越丰富。尽管区块链的防篡改、分布式存储、去中心化等特点为其发展提供了大量创新空间，但区块链技术本身仍存在一些内在的安全风险。

技术架构：主流区块链技术架构体系有三层模型（协议层、扩展层和应用层）和六层模型（数据层、网络层、共识层、激励层、合约层和应用层）之说，各种模型在内容上并无太大差异，仅有分类集合的区别。

数据层：数据层作为区块链技术架构的最底层，主要实现两个功能：数据存储、账户和交易的实现与安全。数据存储主要基于Merkle树，节点将一段时间内接收到的交易数据封装到数据区块中，并连接至主区块链上。此外，区块链中还会使用Key-Value数据库来保存一些区块索引等信息，以加快交易速度，常见的有levelDB、LightDB、CouchDB等。账户交易则基于哈希函数、非对称加密技术、数字签名和随机数等多种密码学算法和技术，保证了交易的安全性。

网络层：网络层封装了区块链系统的组网方式、消息传播协议和数据验证机制等要素。区块链中的节点采用P2P网络来组织参与数据验证和记账的节点，网络中的每个节点地位对等且相互连通，每个节点均承担网络路由、区块数据验证、区块数据传播、节点发现等功能。生成区块的节点将区块广播到全网其他所有的节点来加以验证。

共识层和合约层：共识机制是为了保证分布式场景下信息的准确性与一致性而设计。共识机制的设计主要由环境、业务与性能需求决定，常见的共识机制有PoW（Proof of work，工作证明）、PoS（Proof of Stake，股权证明）、DPoS（Delegated Proof of Stake，委任权益证明）、PBFT（Practical Byzantine Fault Tolerance，实用拜占庭容错算法）等。区块链的合约层主要封装了区块链系统运行所需的脚本代码、算法以及智能合约。智能合约是一种旨在以信息化方式传播、验证或执行合同的计算机协议，具有高时效、低成本、高准确、透明化、可追溯等特质。

应用层：区块链系统具有的分布式、高冗余、数据不可篡改、智能合约等特性，使区块链技术的应用不再局限于数字货币领域，而是拓展至金融和社会领域，如贸易金融、供应链溯源、商业积分、电子发票、物流运输等。

风险分析

区块链技术存在一些内在安全风险，结合已知区块链安全事件，得出区块链各个层面主要面临的分析结果。
数据层主要风险包括：算法强度过低、算法的错误实现、使用弱随机数、不可信时间戳、数据泄露、密钥泄露等。具体而言，即算法安全性过低，具有已知安全漏洞，破译成本较低；实现的密码算法存在缺陷，导致数据加密不可靠等；随机数存在弱随机、可猜测等问题，破坏安全机制；在基于时间戳的可靠系统中，未正确使用时间戳或时间戳的生成不可信；链上数据无安全保护，导致存储在区块的数据泄露；密钥管理不当，导致密钥泄露。
网络层主要风险包括：恶意节点攻击、DDoS网络攻击、节点失效、数据传输泄露等。如恶意节点通过仿冒、利用漏洞等方式开展攻击，或联合其他节点发起攻击；遭受DDoS攻击，导致节点资源消耗过大、运行不稳定；由于业务压力过大或运行错误等原因导致节点失效；节点之间的数据同步和通信数据遭截获导致数据传输泄露。
共识和合约层主要风险包括：协议漏洞利用、恶意操纵节点、代码逻辑漏洞、编码缺陷、不受信任的外部调用、不安全的合约运行环境等。其中，协议漏洞利用指针对共识机制漏洞的算力攻击、分叉攻击、女巫攻击等，影响整个区块链系统的一致性；恶意操纵节点，单一节点具有多个身份标识，通过控制系统的大部分节点来削弱冗余备份的作用；共识和智能合约代码业务存在逻辑漏洞，导致运行出现异常；智能合约代码不规范，存在重入、溢出等漏洞；调用不受信任的外部合约，导致区块链出现安全风险和错误；合约运行载体存在安全漏洞，或其运行机制不完善，存在恶意消耗资源、拒绝服务等漏洞，从而影响区块链整体安全。 应用层：应用层面临的主要风险与传统应用类似，包括身份鉴别、访问控制、安全审计等方面的风险。

基本要求

根据《网络安全等级保护基本要求》控制层面、控制点、控制项的框架，给出针对区块链关键技术的安全要求，主要包括以下内容：
数据层：主要涉及安全方案设计、测试验收、个人数据保护、密码管理方面的安全要求，具体包括：采用满足国家商用密码相关规定的密码技术和服务，如国密算法SM2、SM3、SM4等；正确实现非对称加密算法，用于信息加密、数字签名和登录认证等场景；对密码算法进行安全性测试；使用随机数时，应符合《GB/T0005-2012随机性检测规范》相关要求；使用可信时间戳，标识数据产生时间和保证数据不被篡改、伪造；链上仅保存业务必需的个人信息；禁止未授权访问和使用链上保存的个人信息；具备明确的密钥管理方案。
网络层：主要涉及网络架构、集中管控、通信传输方面的安全要求，具体包括：采用可信认证机制对接入网络的节点进行可信验证，保证接入网络的节点真实性；保证网络各部分带宽、节点的业务处理能力满足业务高峰期需求；对节点进行监视，包括CPU、硬盘、内存、网络等资源的使用情况；采用密码技术保证数据传输保密性、完整性和真实性；在通信前基于密码技术对通信双方进行验证或认证；具备检测和防范恶意节点的机制，能够检测出网络中的恶意节点，并进行针对性处理。
共识和合约层：主要涉及安全方案设计、测试验收、自行软件开发方面的安全要求，具体包括：使用设计合理、安全的共识机制，并能够有效防范常见的共识攻击；确保多个节点参与共识确认，防止任何独立节点的恶意操作；在合约发布前，采用规则验证、语义验证、形式化验证等手段，对其安全性进行验证；智能合约应设置正确的操作逻辑，避免逻辑缺陷带来安全问题；制定代码编写安全规范，要求开发人员参照规范编写代码；提供对已知攻击的解决方案，包括竞态、重入、交易顺序依赖等；对与区块链系统外部数据进行交互的智能合约，外部数据的影响范围仅限于智能合约范围内， 不应影响区块链系统的整体运行；严格限制外部合约的调用，防止不受信任的外部合约引发风险和错误；提供有效方案防止智能合约被恶意滥用，如提供运行载体如虚拟机等，保证智能合约运行环境对外隔离。
应用层：主要涉及安全计算环境方面的安全要求，建议参考《安全通用要求》中对安全计算环境的要求。