2021年区块链安全能力测评与分析报告28页.pdf

目 录 一、区块链安全发展现状1 二、区块链基础设施安全能力综合分析3 （一）具备基础权限管理功能，网络控制能力有限3 （二）采集用户信息类型简单，隐私保护能力单一4 （三）密码算法国产化程度高，密钥存在安全漏洞4 （四）共识机制类型繁多，安全性能缺乏清晰验证6 （五）智能合约安全投入大，缺少第三方审计支持7 （六）系统安全运维专业化、精细化程度有待提升7 三、区块链基础设施十大安全隐患9 （一）Top 1-区块链特有入侵检测能力弱，传统入侵检测是目前主流9 （二）Top 2-密钥明文存储威胁不容小觑，或引发跨平台风险传播10 （三）Top 3-区块链核心运行环境多采用外部隔离，存在横向渗透风险.10 （四）Top 4-智能合约代码审计覆盖有限，第三方审计服务支持率低...11 （五）Top 5-系统访问控制和资源监控能力不足，面临资源滥用威胁...11 （六）Top 6-个人隐私数据未模糊化处理，引入个人隐私暴露风险点...12 （七）Top 7-公有链账户可用性管理机制不完善，用户独立承担风险...12 （八）Top 8-密码更新管理缺失，默认账户将成为攻击突破口13 （九）Top 9-测试环境安全配置不及实际环境，环境迁移或引入风险...13 （十）Top 10-密钥存储存在敏感字段，为密钥窃取攻击提供切入口14 四、区块链基础设施十大必知必会14 （一）Top 1-部署专业性全面化的区块链恶意代码检测机制15 （二）Top 2-对进出节点数据流提供细粒度访问控制15 （三）Top 3-结合第三方审计与内部审计排查系统安全风险15 （四）Top 4-基于节点资源监控分析功能加强权限灵活管理16 （五）Top 5-采用隐私数据多重保护技术实现内外双重防护16 （六）Top 6-拓展第三方核心密钥托管以降低密钥盗取风险16 （七）Top 7-强化联盟链智能合约权限管理以控制攻击影响17 （八）Top 8-规范密钥更新周期以减少密钥泄露风险17 （九）Top 9-提升第三方安全支持能力打造开放式安全生态17 （十）Top 10-通过加密混淆等方式消除系统敏感字段18 五、区块链基础设施安全新方向展望18 （一）方向1-区块链安全即服务Blockchain Security as a Service ..18 （二）方向2-区块链安全容器Blockchain Security Container 19 六、区块链基础设施未来发展建议20 附录：首轮区块链基础设施安全能力测评概述22 图 目 录 图1 权限管理能力分析4 图2 密码算法使用比例分析5 图3 密钥全生命周期安全性分析6 图4 共识协议应用情况分析7 图5 入侵检测功能类型分析8 图6 首轮区块链基础设施安全能力测评参评情况分析22 图7 首轮区块链基础设施安全能力测评时间轴23 表 目 录 表1 区块链基础设施十大安全隐患列表9 表2 区块链基础设施十大必知必会列表14 表3 首轮区块链基础设施安全测评指标分布表22 一、区块链安全发展现状 凭借其抗篡改、透明化、分布式的安全特性，区块链技术已成为 全球科技和经济发展新热点，世界各主要国家纷纷加快区块链相关技 术的战略部署、研发应用和落地推广。据统计，2020 年全球共发生 其区块链融资事件626 起，中国有99 起融资事件1 ，平均融资金额为 1.05 亿元，同比增加8.23%。从细分领域统计，2010-2020 期间我国 融资事件集中于区块链应用层和数字货币方向，但区块链基础技术领 域的融资金额占据首位，高达698.55 亿元，可见资本市场对基础技 2 术的重视度。 随着区块链应用在国计民生多领域落地探索，为上层区块链应用 提供存储、传输、计算、开发和测试等资源能力的区块链基础设施， 其发展已成为推动区块链业务主流化的决胜关键所在。区块链基础设 施通过建立区块链底层架构和平台，为区块链技术、产业和应用落地 提供区块链底层核心能力、资源和服务，可有力清扫区块链落地进程