快好知 kuaihz

区块链安全风险、核心技术及人才缺口如何解决

经过几年发展,我国区块链行业秩序日趋规范,社会认识明显提高,区块技术与产业进入快速发展时期。尽管如此,但仍需要关注区块链安全风险突出、核心技术亟需突破、区块技术有待与实体经济深度融合发展、区块链人才缺口较大等问题,从而更好推动区块技术与产业健康有序发展。

一、对形势的基本判断

(一)区块技术创新不断涌现

当前,区块技术尚不成熟,仍处于发展早期。对于区块链性能、隐私安全、可扩展等方面的技术创新正在不断涌现。针对区块链性能问题,出现如下几类创新解决方案。

一是并行的方式。例如以太坊分片技术、墨客MOAC子链技术、Fabric多通道技术

二是DAG(有向无环图)方式。例如区块链与物联网创新项目IOTA采用DAG技术使得区块链系统的可扩展性不再受到区块大小限制,仅取决于网络带宽、CPU处理速度和存储容量等限制。

三是优化共识算法的方式。例如PoS共识算法通过保持多中心情况下减少参与共识的节点的方式以获取性能的提升。

四是链下扩容方式。例如闪电网络、雷电网络等创新技术提高区块链处理交易能力,实现即时确认、低费用、高吞吐量的支付。针对区块技术中隐私保护问题,业界提出了混币、环签名、同态加密、零知识证明、多方安全计算等创新技术方案。针对区块链可扩展和互联互通问题,业界提出了跨链的解决方案。主流的跨链技术有侧链/中继、公证人机制和哈希锁定三种方式,代表项目分别有COSMOS,Ripple,Lightningnetwork。随着学界和业界对区块链研究不断深入,区块技术创新成果将不断落地。2019年,围绕区块链性能、隐私安全、可扩展等方面的技术创新将不断涌现,新技术、新产品和新应用将逐步进入视野。

图1 区块技术创新不断涌现

(二)区块链底层平台竞争日趋激烈

根据赛迪全球公有链评估指数,仅作为评估对象的全球主流公链平台已超过30个。实际上,全球公有链项目远超过这个数目,而且数量上还在不断增加。不同区块链平台之间在设计理念和实现方面不尽相同,在区块链底层架构的标准尚未达成共识之前,区块链平台技术与应用的竞争日趋激烈。

公有链方面,以以太坊、EOS为代表的区块链平台在全球范围内具有极强的影响力,其技术与应用生态正得到市场的认同。国内NEO、公信宝、星云链等公有链项目提出了各自基础架构设计理念并予以实现,同时积极推进开源社区建设和应用生态完善。

但相比国外优秀公链项目,国内公有链平台仍处于跟随状态。联盟链平台方面,IBM的Fabric已经成为联盟链技术平台的典范。基于Fabric的行业解决方案已经在金融、供应链、存证、物流等诸多领域得到广泛应用。

国内微众银行、万向区块链及矩阵元三方共同开发了BCOS区块链开源平台,提供企业级应用服务。区块链BaaS(区块链即服务)平台方面,国内互联网巨头纷纷战略布局。2017年4月,腾讯发布区块链白皮书并推出可信区块链TrustSQL;2018年3月,京东全面启动了区块技术在业务场景中的应用探索与研发实践;2018年8月,阿里云宣布发布企业级BaaS平台,支持一键快速部署区块链环境,实现跨企业、跨区域的区块链应用。据不完全统计,截止2018年11月,已有9家大型互联网企业发布BaaS平台。2019年,区块链底层平台发展百花齐放,区块链底层平台研发、应用推广、生态培育的竞争愈发激烈。

图2 区块链底层平台竞争情况

(三)区块链相关标准加快推出

我国在区块链相关标准建设方面已有一定基础,部分标准化组织、联盟协会、研究机构已将区块链标准化提上议事日程,开展了组织建设、标准预研等一系列工作,并取得了一定进展。

区块技术架构标准方面,首个区块链标准《区块链参考架构》于2016年已经颁布。在2017年11月ISO/TC307第二次会上,在国际标准化组织(ISO)有关区块链术语和概念、参考架构、分类和本体等8项国际标准立项中,我国分别承担了分类和本体的编辑以及参考架构的联合编辑职务。

同时,由中国主导开展名为区块链和分布式记账技术中的数据流动和数据分类的新工作项目研究。2018年1月,《信息技术区块链和分布式账本技术参考架构》作为区块链领域的首个国家标准获批立项。区块链安全标准方面,2018年4月,全国信息安全标准化技术委员会开展了对《区块链安全技术标准研究》项目立项评审工作。2018年11月,《区块链平台安全技术要求》行业标准正立项并起草,将明确区块链平台面临的主要威胁和安全体系架构。2019年,我国区块链相关标准研制工作将得到进一步重视,一系列相关标准有望加快推出。

图3 区块链相关标准

(四)区块链应用效果逐步显现

随着区块技术不断发展,产业链不断完善,社会认知逐步提高,场景日益丰富,区块链应用效果逐步显现,这主要体现在两个方面。

一是区块链率先应用于如跨境支付、数字内容版权、电子存证等天然数字化的场景之中。跨境支付方面,支付宝推出首个基于区块链的跨境汇款服务;数字内容版权方面,百度,360分别上线基于区块技术的原创图片认证平台——图腾、图刻;纸贵科技构建了专业的全类型版权存证平台;腾讯基于区块技术,实现游戏道具等虚拟数字资产确权和保护。

电子存证方面,杭州上线全国首个电子证据平台和司法区块链,解决电子证据存取证难题;北京互联网法院在受理著作权权属、侵权纠纷的案例中使用了区块链取证存证技术

二是区块链应用于传统行业多方协作场景中。区块技术实现数据公开、透明、不可篡改和可追溯降低参与各方信任成本,提高了协作效率,在供应链金融、溯源等需要多个参与方协作的业务领域的得以深入应用。例如,腾讯推出了区块链+供应链金融解决方案,并已经有多个项目落地。京东“跑步鸡”项目,利用区块链等技术溯源跑步鸡养殖、屠宰、检验检疫、仓储、运输全程信息,并可通过APP查询,形成全流程追溯信息数据闭环。

2019年,随着区块技术逐步成熟和底层平台逐步完善,区块链应用将会在更多行业场景落地。

图4 区块链应用情况

(五)区块链产业规模快速增长

根据赛迪区块链研究院调研相关厂商和业内专家,同时对国家工商总局企业信息查询平台中专业从事区块链底层技术、应用产品、技术服务方面的企业进行查询统计,2018年上半年,我国提供区块链专业技术支持、产品、解决方案等服务,且有投入或产出的区块链企业共425家,产业规模达到4.5亿元。

2018年,大型IT互联网企业纷纷布局区块链,初创企业进入井喷模式,投融资频次及额度剧增。随着国家有关部委规范行业发展相关文件相继出台,全国各地政策支持力度加大,区块技术与产业发展的良好氛围逐步形成。随着区块技术的应用场景迅速拓展,人才、资本和技术资源向区块链行业不断汇聚,预计2019年具有投入产出的区块链企业超过600家,产业规模有望超过8亿人民币。

图5 区块链产业规模

二、需要关注的几个问题

(一)区块链安全问题日益突出

区块链核心技术、机制和应用部署等方面均存在诸多安全隐患,不法份子利用相关漏洞实施攻击,安全风险事件频出。本报告将区块链安全问题分为区块技术安全、区块链生态安全、区块链使用安全和区块链信息安全四类。

区块技术安全方面,主要是区块链本身核心技术或机制不完善造成的,包括共识机制和智能合约逻辑漏洞、密码算法安全、P2P网络机制安全等。由此带来的安全攻击有“51%”攻击、女巫攻击、双花攻击、日食攻击等。2018年5月,比特币黄金(BTG)遭遇51%双花攻击,损失1860万美元。同月,360公司Vulcan(伏尔甘)团队发现了区块链平台EOS的一系列高危安全漏洞,引发市场哗然。

区块链生态安全方面,主要是指区块链产业生态中各种安全问题。例如加密数字货币交易所、矿池、网站遭受DDoS攻击,钱包面临DNS劫持风险,以及交易所安全管理策略不完善或不当导致的各种信息泄漏、被钓鱼、账号被盗等。

2018年3月,世界大型交易所的“币安”被黑客攻击,大量用户账户被盗。区块链使用安全,主要是指用户使用区块链应用面临的潜在安全问题。例如私钥管理不善,遭遇病毒木马、账户窃取等。区块链信息安全方面,主要是不法份子利用区块技术不可篡改特性将非法信息或文件上链所导致的安全监管问题。

2018年年4月,北大网友将颇具争议公开信“向校方申请公布涉性侵丑闻的教授沈阳调查的少量问题”永久性的记录至以太坊,引发社会关于区块链信息安全监管讨论。总的来看,区块链安全事件呈高发态势,需要格外引起注意。

图6 区块链安全问题

(二)区块链关键技术亟需突破

中国区块链企业主要吸纳国外开源社区的区块链研究成果,自主研发的区块链平台并不多,仅有国内少数企业自主研发出CITA、Bubichain、BROP、BCOS、ChainSQL等平台,多数企业基于比特币、以太坊、超级账本等国外开源区块链产品进行开发和完善。

尽管2018中国区块链专利位列世界第一,但整体价值不高,大部分企业围绕加密数字货币、钱包、存证溯源等应用层开展研发工作,较少涉及区块链关键技术。实际上,区块链平台性能不足、安全不够、难以互联互通等问题对共识算法、密码学、跨链等关键技术突破提出了更高的要求,从目前区块链最新技术理念和解决方案来看,如PoS、DPoS共识算法,分片、零知识证明、DAG、侧链、闪电网络等技术方案,大多数是外国技术社区提出,国内技术社区进行跟随和模仿,极少属于中国自主原创或最早提出。

中国亟需在区块链关键技术方面有所突破,进而推动区块技术在更大规模的商业场景中落地。

(三)区块链有待与实体产业深度融合

一是区块链基础设施尚未完善,尚未真正诞生诸如微信、支付宝等杀手级应用。社会大众对区块链的认知仅仅停留在比特币等加密数字货币层面,在实际生产生活中与其接触较少,导致区块链对人们生产生活方式影响程度较低。

二是未能真正发挥区块链在技术、理念、模式等方面的创新优势。当前,多数区块链应用主要在区块链数据不可篡改这个特点上做文章,对于区块链去中介化、可追溯、去信任、共协作、激励机制等方面的创新探索,以及对“区块链+其他新兴技术”融合应用发展的研究还远远不够。实际上,对于上述关键点的研究和探索,有助于区块技术找到与实体产业深度融合的新逻辑、新方法和新模式,解决实体产业存在的痛点。

三是限于区块链系统开发、推广、部署等成本较高,相关安全评估、检测等技术手段不完善,存在一定安全风险隐患,区块链仅在部分行业得以小规模应用,尚未形成大规模应用趋势。

图7 区块链有待与实体产业深度融合

(四)区块链人才缺口较大

我国区块链相关人才严重不足,尤其是2018年以来,区块链作为新兴领域,初创公司大量涌现,人才需求更加旺盛,而专业培训相对落后,人才不足现象更加显著。

根据各大招聘网站招聘信息、并咨询业界权威人士和相关专家,初步估算,我国在区块技术研发、产品测试、应用推广、销售及综合管理等方面的人才缺口达数十万人。当前全国仅有清华大学、北航、浙江大学、上海财经大学、同济大学、西安电子科技大学等少校高校开设区块链相关课程。

实际上,区块链知识体系覆盖网络技术、密码学、数据库、经济和金融等多个领域,国内尚未形成行之有效的人才培养体系,导致人才总量和结构远远不能满足市场需求,既懂区块链底层技术,又懂区块链架构和经济模型设计的复合性、专业性、创新性人才严重缺乏。

三、应采取的对策建议

(一)加强安全技术研究,构建区块链安全风险应对能力

一是提高区块链安全风险防范认识,组织力量对区块链安全风险问题展开持续性和常态化研究。

根据区块技术特点和发展变化,对区块技术、应用潜在风险,以及不断变化的攻击手段和方式,展开持续性跟踪和分析,研判安全风险发展趋势,增强安全风险防范意识。

二是研究制定区块技术、平台、应用生态的安全技术要求、安全标准。明确区块技术、平台、应用生态面临的主要威胁,以及相应的安全体系架构,针对各关键模块提出安全技术要求,形成区块链安全标准体系。

三是深入研究区块链安全风险检测和应对技术。针对区块链核心技术与机制、平台架构、应用部署等不同类型的潜在安全问题,研究覆盖区块链编码、运行、部署和管理各个环节的应对解决方案。如智能合约代码审计、漏洞检测、入侵行为分析等安全技术手段。

(二)提升自主研发实力,加速区块链核心技术突破

一是集聚产学研用等多方资源,支持高校和科研院所建设区块链创新实验室和研究中心,密切跟踪国际区块技术的发展前沿动向,建设基础性的区块技术研发平台,加快推进非对称密码技术、共识算法、分布式计算与存储等核心技术的创新演进,降低区块技术应用落地难度。

二是支持开源区块链项目发展,引导企业加大对全球区块链共性基础技术资源的整合和利用,支持我国企业或组织主导全球区块链项目创新发展。

三是加大资金投入力度,支持区块链、软件和信息技术服务、互联网企业和研究机构的联合创新,加强区块链核心技术研发攻关,推动区块链核心技术突破。

(三)加强试点示范,促进区块链与实体产业深度融合积极开展区块链产业试点示范工作,树立典型,形成示范效应,促进区块技术与实体产业融合发展。

一是组织开展面向金融领域的区块技术应用示范,探索在加密数字货币、跨境支付、票据管理、供应链金融等领域形成安全可靠的解决方案,形成一批可复制、可推广的典型案例。

二是在农业、能源、物流、制造等领域以产品溯源、确权认证、供应链管理等方向为突破口开展行业专项应用试点示范,提升区块技术的行业应用水平。

三是在民生服务、社会治理领域开展区域性示范工程,培育形成社会服务和管理的新模式、新手段。

四是重点面向数据开放与交易、权利运行与监督、个人隐私与保护等应用场景,组织实施具有代表的区块技术应用工程,形成具有可复制、易操作的区块技术应用示范平台。

五是鼓励行业龙头企业加强区块技术与既有产品与服务的融合创新,构建成熟的区块链应用产品体系及行业解决方案,带动上下游企业提高对区块技术应用的积极性。

(四)完善区块链人才培养机制,建设区块链人才队伍目前我国区块链人才严重短缺,亟需完善区块链人才培养机制,加快人才队伍建设。

一是围绕区块技术发展和应用需求,构建深层次、多渠道的区块链人才立体引进网络,支持高校和职业院校设置区块技术应用相关专业,依托区块链实验室、人才实训基地,加快培育区块技术应用专业人才。

二是依托科技园区、创业创新基地,针对科研人员、高校学生,特别是高层次人才,鼓励开展区块技术应用孵化项目,加速区块技术应用的实施落地。

三是注重高端技术人才培养,与国外著名高校、科研机构、知名企业等联合培养区块链硕士、博士等高层次人才,推进中外合作人才培养和引进项目。

四是鼓励实力雄厚的区块链企业、互联网企业和金融企业创办“企业大学”,借助企业本身对区块链和新兴信息技术已有的基础,加快培养区块链系统架构师、开发工程师、测试工程师等实用型区块技术人才。

本站资源来自互联网,仅供学习,如有侵权,请通知删除,敬请谅解!
搜索建议:区块  区块词条  缺口  缺口词条  核心  核心词条  风险  风险词条  解决  解决词条  
智库

 检视中国的制度进步

就制度建设而言,中共十八届三中全会和四中全会出台的改革文件,无疑是中国改革开放以来最具有方向性的。无论就社会主义的市场经济,还是政治上的法治建设,两个文件不仅明...(展开)