域名預(yù)訂/競價,好“米”不錯過
2020年4月,刷屏的新基建明確范圍,作為新興技術(shù)代表的區(qū)塊鏈?zhǔn)状伪粐覍用婷鞔_為新型基礎(chǔ)設(shè)施,在市場需求��、國家政策和資本等多種要素的驅(qū)動下��,區(qū)塊鏈自身的體系標(biāo)準(zhǔn)正在進(jìn)一步豐富���、發(fā)展和完善。近日���,國家區(qū)塊鏈漏洞庫聯(lián)合行業(yè)領(lǐng)先企業(yè)共同編制的《區(qū)塊鏈漏洞定級細(xì)則》終于面世���。長亭科技區(qū)塊鏈安全專家團隊牽頭并深度參與了本次的定級細(xì)則編制工作,負(fù)責(zé)公鏈板塊定級細(xì)則編寫及整體技術(shù)���、劃分標(biāo)準(zhǔn)的把關(guān)���。《細(xì)則》涵蓋公鏈��、聯(lián)盟鏈��、智能合約��、外圍系統(tǒng)四大板塊,填補了區(qū)塊鏈與安全行業(yè)溝通空白���,為業(yè)界就區(qū)塊鏈安全問題達(dá)成共識邁出了堅實的一步���。這是國際上首次對區(qū)塊鏈安全漏洞及其威脅等級做出清晰且可執(zhí)行的定義。
2019年11月27日���,韓國交易所Upbit被黑客攻擊��,34.2萬枚ETH從熱錢包中被盜���,價值約合5000萬美元。2019年05月08日���,全球知名交易所幣安被曝遭遇了黑客大規(guī)模系統(tǒng)性攻擊���,黑客獲取了大量 API 密鑰��、谷歌驗證 2FA 碼等信息���,一次性提走了7000枚 BTC���。似乎自誕生之日起��,號稱“最安全”區(qū)塊鏈的安全問題就備受爭議��。得益于分布式系統(tǒng)的高可用性與密碼學(xué)的高一致性���,區(qū)塊鏈技術(shù)本身具備穩(wěn)定、可信的技術(shù)特點���,這使得區(qū)塊鏈技術(shù)天生具備長遠(yuǎn)發(fā)展的基礎(chǔ)���,但現(xiàn)實情況卻是區(qū)塊鏈系統(tǒng)安全事件頻發(fā)。這之間的差別在于��,高可用���、高一致等都是設(shè)計層面的技術(shù)優(yōu)勢��,但要想真正長遠(yuǎn)健康發(fā)展��,可靠性是現(xiàn)實系統(tǒng)中必須要考慮的���,而提升可靠性的關(guān)鍵點就在于甄別修復(fù)系統(tǒng)缺陷和漏洞��,提高系統(tǒng)實際安全水平���。因此區(qū)塊鏈安全,已經(jīng)成為目前制約區(qū)塊鏈技術(shù)長遠(yuǎn)健康發(fā)展的瓶頸��,加快區(qū)塊鏈安全相關(guān)標(biāo)準(zhǔn)的制定則也成為提升區(qū)塊鏈基礎(chǔ)設(shè)施安全乃至生態(tài)安全的必然所需��。
此次發(fā)布的區(qū)塊鏈漏洞定級細(xì)則既是對區(qū)塊鏈國家政策和區(qū)塊鏈安全評測標(biāo)準(zhǔn)制定的深入落實���,也是對于目前行業(yè)內(nèi)漏洞威脅認(rèn)知混亂的有效應(yīng)對策略���。區(qū)塊鏈生態(tài)中各個角色對于安全漏洞的認(rèn)知混亂,帶來了長久以來對于區(qū)塊鏈漏洞認(rèn)知的分歧與不客觀��,區(qū)塊鏈行業(yè)亟需一套特定針對區(qū)塊鏈行業(yè)的���,被各個項目方同時認(rèn)可有公信力的定級細(xì)則���。此次由國家互聯(lián)網(wǎng)應(yīng)急中心統(tǒng)籌��,安全廠商和區(qū)塊鏈企業(yè)合作對區(qū)塊鏈漏洞進(jìn)行定級細(xì)則制定��,正是從國家層面對漏洞評測標(biāo)準(zhǔn)做出的統(tǒng)一,為行業(yè)明確分析漏洞情況并確定威脅等級提供了可操作��、可執(zhí)行��、可量化的指標(biāo)與方法���,為區(qū)塊鏈行業(yè)的安全測評工作提供基礎(chǔ)支撐���。
《細(xì)則》主要依托于CVSS2.0,實現(xiàn)了與傳統(tǒng)基礎(chǔ)領(lǐng)域漏洞規(guī)則的互通���,從大網(wǎng)絡(luò)安全的角度打通區(qū)塊鏈新興領(lǐng)域與傳統(tǒng)基礎(chǔ)領(lǐng)域?qū)τ诼┒吹幕鶎佣x���,實現(xiàn)統(tǒng)一管理,統(tǒng)一歸檔;此外��,該細(xì)則還同時考慮到了區(qū)塊鏈安全的理論性與實現(xiàn)性��,提升區(qū)塊鏈企業(yè)對于“內(nèi)外”安全的重視���,構(gòu)建整個區(qū)塊鏈生態(tài)的安全性��。同時��,細(xì)則中還提出區(qū)塊鏈安全漏洞本質(zhì)是非故意���、非預(yù)期的安全缺陷或風(fēng)險���,應(yīng)主要依據(jù)‘危害程度’和‘利用難度’兩方面分析,并通過定級表將漏洞分為高���、中���、低三個威脅等級,這樣既符合CVSS2.0方法論���,又能快速分析具體漏洞案例��,準(zhǔn)確給出相應(yīng)定級��。
《細(xì)則》中針對每一類危害程度和利用難度都羅列了詳細(xì)的參考條目���,這些條目均是團隊從大量過往真實漏洞案例中濃縮而來,同時包含幾乎所有公開歷史漏洞特征��,并對其進(jìn)行提煉拆解和反復(fù)打磨,基本涵蓋了區(qū)塊鏈領(lǐng)域可能遇到的各類漏洞情況��,幫助使用者快速定位和分析區(qū)塊鏈漏洞���。
此次能夠牽頭編寫國家區(qū)塊鏈漏洞定級細(xì)則,與長亭科技一直以來在區(qū)塊鏈安全領(lǐng)域的不斷探索有著很大關(guān)系��。2018年長亭科技聯(lián)合ConsenSys���、比特大陸兩家區(qū)塊鏈行業(yè)巨頭發(fā)布了國內(nèi)首個區(qū)塊鏈安全深度報告——《區(qū)塊鏈安全生存指南》���,針對性總結(jié)了區(qū)塊鏈行業(yè)安全應(yīng)對策略;2019年又發(fā)布了《區(qū)塊鏈生態(tài)安全服務(wù)解決方案》,意在探索勾勒在現(xiàn)有的區(qū)塊鏈生態(tài)之下安全建設(shè)的邊界輪廓���。
在新基建背景下���,區(qū)塊鏈將迎來又一輪的發(fā)展高峰,用更加安全的技術(shù)方式與應(yīng)用場景去構(gòu)建萬物互信的時代��,區(qū)塊鏈的安全并非終極目標(biāo)���,以更安全的區(qū)塊鏈產(chǎn)品去創(chuàng)造更高的價值才是發(fā)展目標(biāo)��?��!都?xì)則》的發(fā)布將成為一個信號���,標(biāo)志區(qū)塊鏈安全正式進(jìn)入規(guī)范化階段。未來���,長亭科技將繼續(xù)深耕區(qū)塊鏈安全領(lǐng)域��,將全行業(yè)網(wǎng)絡(luò)安全攻防理念和實戰(zhàn)研究經(jīng)驗對應(yīng)到區(qū)塊鏈行業(yè)安全解決方案中���,為區(qū)塊鏈企業(yè)研究與開發(fā)提供專業(yè)的全周期安全應(yīng)對策略。
申請創(chuàng)業(yè)報道��,分享創(chuàng)業(yè)好點子���。點擊此處��,共同探討創(chuàng)業(yè)新機遇��!
