域名預訂/競價��,好“米”不錯過
2020年4月����,刷屏的新基建明確范圍��,作為新興技術代表的區(qū)塊鏈首次被國家層面明確為新型基礎設施��,在市場需求�、國家政策和資本等多種要素的驅動下��,區(qū)塊鏈自身的體系標準正在進一步豐富���、發(fā)展和完善�����。近日���,國家區(qū)塊鏈漏洞庫聯(lián)合行業(yè)領先企業(yè)共同編制的《區(qū)塊鏈漏洞定級細則》終于面世����。長亭科技區(qū)塊鏈安全專家團隊牽頭并深度參與了本次的定級細則編制工作��,負責公鏈板塊定級細則編寫及整體技術�、劃分標準的把關?!都殑t》涵蓋公鏈、聯(lián)盟鏈��、智能合約����、外圍系統(tǒng)四大板塊,填補了區(qū)塊鏈與安全行業(yè)溝通空白�,為業(yè)界就區(qū)塊鏈安全問題達成共識邁出了堅實的一步。這是國際上首次對區(qū)塊鏈安全漏洞及其威脅等級做出清晰且可執(zhí)行的定義�。
2019年11月27日,韓國交易所Upbit被黑客攻擊��,34.2萬枚ETH從熱錢包中被盜����,價值約合5000萬美元�����。2019年05月08日�,全球知名交易所幣安被曝遭遇了黑客大規(guī)模系統(tǒng)性攻擊�,黑客獲取了大量 API 密鑰、谷歌驗證 2FA 碼等信息���,一次性提走了7000枚 BTC。似乎自誕生之日起�����,號稱“最安全”區(qū)塊鏈的安全問題就備受爭議���。得益于分布式系統(tǒng)的高可用性與密碼學的高一致性����,區(qū)塊鏈技術本身具備穩(wěn)定�、可信的技術特點,這使得區(qū)塊鏈技術天生具備長遠發(fā)展的基礎��,但現(xiàn)實情況卻是區(qū)塊鏈系統(tǒng)安全事件頻發(fā)。這之間的差別在于���,高可用����、高一致等都是設計層面的技術優(yōu)勢���,但要想真正長遠健康發(fā)展����,可靠性是現(xiàn)實系統(tǒng)中必須要考慮的�,而提升可靠性的關鍵點就在于甄別修復系統(tǒng)缺陷和漏洞,提高系統(tǒng)實際安全水平���。因此區(qū)塊鏈安全�,已經(jīng)成為目前制約區(qū)塊鏈技術長遠健康發(fā)展的瓶頸�����,加快區(qū)塊鏈安全相關標準的制定則也成為提升區(qū)塊鏈基礎設施安全乃至生態(tài)安全的必然所需�。
此次發(fā)布的區(qū)塊鏈漏洞定級細則既是對區(qū)塊鏈國家政策和區(qū)塊鏈安全評測標準制定的深入落實,也是對于目前行業(yè)內漏洞威脅認知混亂的有效應對策略�����。區(qū)塊鏈生態(tài)中各個角色對于安全漏洞的認知混亂,帶來了長久以來對于區(qū)塊鏈漏洞認知的分歧與不客觀��,區(qū)塊鏈行業(yè)亟需一套特定針對區(qū)塊鏈行業(yè)的��,被各個項目方同時認可有公信力的定級細則����。此次由國家互聯(lián)網(wǎng)應急中心統(tǒng)籌,安全廠商和區(qū)塊鏈企業(yè)合作對區(qū)塊鏈漏洞進行定級細則制定�,正是從國家層面對漏洞評測標準做出的統(tǒng)一,為行業(yè)明確分析漏洞情況并確定威脅等級提供了可操作�、可執(zhí)行�����、可量化的指標與方法��,為區(qū)塊鏈行業(yè)的安全測評工作提供基礎支撐�����。
《細則》主要依托于CVSS2.0�,實現(xiàn)了與傳統(tǒng)基礎領域漏洞規(guī)則的互通��,從大網(wǎng)絡安全的角度打通區(qū)塊鏈新興領域與傳統(tǒng)基礎領域對于漏洞的基層定義�,實現(xiàn)統(tǒng)一管理��,統(tǒng)一歸檔;此外�����,該細則還同時考慮到了區(qū)塊鏈安全的理論性與實現(xiàn)性�����,提升區(qū)塊鏈企業(yè)對于“內外”安全的重視����,構建整個區(qū)塊鏈生態(tài)的安全性。同時���,細則中還提出區(qū)塊鏈安全漏洞本質是非故意�����、非預期的安全缺陷或風險�,應主要依據(jù)‘危害程度’和‘利用難度’兩方面分析����,并通過定級表將漏洞分為高���、中、低三個威脅等級���,這樣既符合CVSS2.0方法論��,又能快速分析具體漏洞案例���,準確給出相應定級。
《細則》中針對每一類危害程度和利用難度都羅列了詳細的參考條目�����,這些條目均是團隊從大量過往真實漏洞案例中濃縮而來��,同時包含幾乎所有公開歷史漏洞特征����,并對其進行提煉拆解和反復打磨,基本涵蓋了區(qū)塊鏈領域可能遇到的各類漏洞情況���,幫助使用者快速定位和分析區(qū)塊鏈漏洞����。
此次能夠牽頭編寫國家區(qū)塊鏈漏洞定級細則���,與長亭科技一直以來在區(qū)塊鏈安全領域的不斷探索有著很大關系。2018年長亭科技聯(lián)合ConsenSys�����、比特大陸兩家區(qū)塊鏈行業(yè)巨頭發(fā)布了國內首個區(qū)塊鏈安全深度報告——《區(qū)塊鏈安全生存指南》�,針對性總結了區(qū)塊鏈行業(yè)安全應對策略;2019年又發(fā)布了《區(qū)塊鏈生態(tài)安全服務解決方案》����,意在探索勾勒在現(xiàn)有的區(qū)塊鏈生態(tài)之下安全建設的邊界輪廓�。
在新基建背景下�,區(qū)塊鏈將迎來又一輪的發(fā)展高峰,用更加安全的技術方式與應用場景去構建萬物互信的時代�����,區(qū)塊鏈的安全并非終極目標�����,以更安全的區(qū)塊鏈產(chǎn)品去創(chuàng)造更高的價值才是發(fā)展目標���?����!都殑t》的發(fā)布將成為一個信號�,標志區(qū)塊鏈安全正式進入規(guī)范化階段�。未來,長亭科技將繼續(xù)深耕區(qū)塊鏈安全領域�����,將全行業(yè)網(wǎng)絡安全攻防理念和實戰(zhàn)研究經(jīng)驗對應到區(qū)塊鏈行業(yè)安全解決方案中�,為區(qū)塊鏈企業(yè)研究與開發(fā)提供專業(yè)的全周期安全應對策略。
申請創(chuàng)業(yè)報道�,分享創(chuàng)業(yè)好點子����。點擊此處�,共同探討創(chuàng)業(yè)新機遇!
