Bianews報道，今日，中國信息通信研究院在2018國家網絡安全宣傳周上發布《區塊鏈安全白皮書-技術應用篇》。

信通院院長劉多表示，區塊鏈安全白皮書探討了區塊鏈技術架構、安全風險和應對框架，旨在呼吁理性看待區塊鏈技術優勢，強化安全風險應對，切實保障區塊鏈技術的健康有序發展。

白皮書在對全球區塊鏈安全情況的總觀概述中指出，區塊鏈逐漸成為解決網絡和數據安全存儲、傳播和管理問題的有效手段，區塊鏈技術生態基本成型，網絡安全應用開始落地。

1121項全球較活躍區塊鏈項目

亞洲593項，金融應用成熟

信通院對1121項全球范圍內較活躍區塊鏈項目進行了統計，從項目數量上看，亞洲地區以593項居首，新加坡、日本、中國香港等國家和地區依托其傳統金融優勢，發展了一批成熟的區塊鏈金融應用。

北美地區的區塊鏈項目以美國和加拿大為主，已有大量成熟高的項目和技術應用落地，其中不乏 IBM、Microsoft、Amazon 等科技巨頭。

歐洲地區以英國和瑞士為首，在發展區塊鏈金融應用的同時，著重與傳統行業結合，尤其是在愛沙尼亞、馬耳他等國，在國家層面大力支持和主導，給區塊鏈提供了大量的發展應用空間。

非洲地區由于監管政策寬松、挖礦成本低等原因，雖然在區塊鏈應用方面較為單一，基本集中在數字貨幣、交易所上，但也形成了一定的應用規模。

大洋洲地區的區塊鏈應用大多集中在澳大利亞和新西蘭兩國，但受限于當地嚴格的金融監管政策和高額的挖礦成本，發展規模和發展速度有限。

南美洲地區的現有項目則主要活躍在加密貨幣交易領域。

各國看待區塊鏈趨于理性

鼓勵技術創新應用發展，推動安全問題應對

但白皮書同時指出，市場繁榮背后，區塊鏈安全問題逐漸浮出水面，引發各界安全思考，一方面，其共識機制、 私鑰管理、智能合約等存在的技術局限性和面臨的安全問題逐漸顯現， 區塊鏈平臺應用等安全事件層出不窮。另一方面， 區塊鏈去中心、自治化的特點給現有網絡和數據安全監管手段帶來了新的挑戰。

對此，各國對區塊鏈的態度也逐漸趨于理性，在鼓勵技術創新和應用發展的同時，也在積極推動區塊鏈安全風險、安全問題的發現和應對：

英國：推動政產學研各界合作，提出“技術 法律”的區塊鏈監管新模式 

早在2016年1月，英國政府科學辦公室就發布《分布式記賬技術：超越區塊鏈》研究報告，建議英國政府加強與學術界、產業界的合作，以技術監管為核心，法律監管為輔助，雙措并舉打造區塊鏈監管新模式。

2018年，英國政府宣布將啟動新的加密貨幣研究工作，與金融市場行為監管局（FCA）和英格蘭銀行合作，探索比特幣等加密貨幣帶來的潛在風險。此外，企業方面也在積極投入區塊鏈安全研發。

美國：鼓勵探索區塊鏈在安全領域的應用，注重區塊鏈安全風險技術應對

2018年，美國國會發布《2018年聯合經濟報告》， 提出區塊鏈技術可以作為打擊網絡犯罪和保護國家經濟和基礎設施的潛在工具，指出這一領域的應用應成為立法者和監管者的首要任務。

2017年，特朗普簽署一份7000億美元的軍費開支法案，呼吁“調查區塊鏈技術和其他分布式數據庫技術的潛在攻擊和防御網絡應用”，支持美國國土安全部 （DHS）開展的加密貨幣跟蹤、取證和分析工具開發項目。

美國國家安全局（NSA）還開發比特幣用戶追蹤和識別工具，監控通信內容并識別加密貨幣用戶。美國各大企業也積極投入提升區塊鏈安全的技術研發中。

歐洲：指出區塊鏈監管機制不成熟，呼吁正視區塊鏈安全風險 

歐洲各國對待區塊鏈和加密貨幣技術的態度不一，如法國政府對區塊鏈技術表現出興趣，但尚未在區塊鏈領域實施重大舉措，而瑞士、 德國則積極發展區塊鏈技術和應用，并先后開啟區塊鏈在本國的規范化應用進程。

2016年3月，歐洲央行在《歐元體系的愿景——歐洲金 融市場基礎設施的未來》報告中提出，歐洲央行正在探索如何使區塊鏈技術為己所用。歐洲證券和市場管理局（ESMA）成立區塊鏈研究小組，并于2016年6月發布報告指出，現階段區塊鏈技術應用的數量和范圍有限，監管機制并不成熟。 

此外，新加坡、俄羅斯、加拿大等國也相繼通過發布政策文件、成立區塊鏈技術研究機構等不同舉措，積極開展區塊鏈技術研究，尤其是在金融等領域探索區塊鏈應用新模式。

而國際標準化組織和開源組織已開始啟動區塊鏈安全標準化工作，規范區塊鏈技術應用發展。ITU、ISO、W3C、GSMA、IRTF/IETF 等國際標準化組織已在區塊鏈技術參考架構、智能合約安全等相關方面開展了大量的標準化工作。

ITU：同步推進區塊鏈技術安全和場景安全分析相關議題；ISO：設立多個研究組和工作組，推進區塊鏈安全標準研究；W3C：聚焦從細分技術層面創建安全規范的區塊鏈標準；GSMA：關注區塊鏈技術在通信和安全領域應用；IRTF/IETF：研究區塊鏈安全和隱私保護技術方案。

除國際標準化組織外，以太坊、R3 CEV、Hyperledger-fabric等國際開源平臺和聯盟也對區塊鏈開源框架、開發規范等作出了積極的探索。

我國區塊鏈發展集中于行業應用模式的探索

安全產品服務市場未形成規模，安全服務類項目僅占 4.5%

在區塊鏈發展應用層面看，目前我國區塊鏈發展多集中于行業應用模式的探索，區塊鏈應用技術生態結構與國外基本一致。

對此，白皮書也給出幾組數據：從技術生態格局上看，在我國的區塊鏈項目中，55.4%的項目聚焦探索區塊鏈行業應用，其次是區塊鏈底層技術項目占 31.6%，硬件和基礎設施類項目占 8.5%，而安全服務類項目僅占 4.5%。

但同時，“區塊鏈傳銷”、“山寨幣”、“空氣幣”等行業騙局，虛假、夸大宣傳區塊鏈產品功能作用等行業亂象，仍亟待解決和優化。但多數區塊鏈技術開發者、平臺運維者、用戶等安全意識普遍不高，區塊鏈安全產品和服務的需求驅動尚不明顯，中小企業、創業團隊中尤甚，多種因素導致我國區塊鏈安全產品和服務市場尚未形成規模。

但我國在國家標準、行業標準、產業聯盟標準等不同層面也在全面推進區塊鏈安全標準化工作，致力于促進區塊鏈技術的安全、有序和長效應用。

區塊鏈技術本身仍存在一些內在安全風險，去中心化、自組織的顛覆性本質也可能在技術應用過程中引發一些不容忽視的安全問題，區塊鏈技術典型應用架構存在不同的安全風險，并給監管也帶來了一定挑戰。

交易所被攻擊、虛擬貨幣被盜竊多因代碼層面安全問題

應對安全風險首先實現安全開發

白皮書也給出了區塊鏈技術安全風險應對框架，綜合考慮其技術架構本身，以及應用在不同場景中可能面臨的各類安全風險，根據存儲層、協議層、擴展層、應用層等不同層面的風險來源和成因，從編碼、部署、管理等環節實施針對性的應對措施以降低風險。

白皮書還提出，要應對安全風險，首先要實現安全開發。實施規范的開發流程，使用規范的開發和編譯工具，預留充分的上線試運營周期等，降低編碼過程中引入安全風險的幾率。

白皮書指出，近年來屢屢發生的交易所被攻擊、虛擬貨幣被盜竊等事件中，有大量事件是由于代碼層面的安全問題所引發，區塊鏈開發者應在產品上線發布前，采用自動化或人工的方式，對代碼架構、邏輯流程、關鍵功能模塊開展足夠的靜態代碼分析、交互式代碼審計等源代碼安全檢查工作，以檢查代碼中的安全缺陷和安全隱患。 

此外，進行安全評估和測試、安全配置，平臺、系統維護者需要實施安全的配置以限制脆弱性的暴露，從各方面縮小攻擊面，要進行輸入校驗以降低惡意代碼執行和邏輯錯誤風險。

同時進行加密存儲/傳輸，節點/數據安全驗證，身份認證和權限管理以及流量清洗和必要的安全防護產品/服務。

白皮書也給出幾項促進區塊鏈技術安全應用的建議：強化推動區塊鏈安全產品和服務市場發展，鼓勵自主可控的區塊鏈平臺和應用開發。

創新監管手段，強化區塊鏈平臺和應用監管力度，打造區塊鏈安全監測和監管平臺技術實力。

強化技術風險研究，針對區塊鏈安全風險開展持續性、常態性研究。集中力量攻關區塊鏈風險應對技術。

加強區塊鏈網絡犯罪風險防范，促進國際合作治理，積極凝聚國際共識，深化全球監管合作，探尋跨國治理有效手段。

白皮書最后還介紹了我國企業區塊鏈網絡安全相關實踐，包括中國移動研究院研發的基于區塊鏈管理PKI數字證書；360的EOSIO-BP節點和錢包APP安全審核方案；騰訊對區塊鏈安全的應用及應對實踐，如感知區塊鏈安全威脅的“守護者計劃”、抗篡改的司法聯盟鏈、在供應鏈金融安全領域推出的微企鏈、區塊鏈數字資產方面推出的微黃金。

以及平安科技基于區塊鏈團隊自主研發的FiMAX框架搭建的壹賬鏈BaaS平臺，應用隱私保護技術和高效率高性能底層技術等；觀安在區塊鏈移動用戶數據資產安全方面的管理實踐，此外，還介紹了京東的區塊鏈防偽追溯平臺。