长亭科技联合区块链领先企业共同支撑《区块链漏洞定级细则》的制定和发布

2020年4月,新基础设施的范围得到明确界定,区块链作为新兴技术的代表,首次被界定为国家一级的新基础设施。在市场需求、国家政策和资本等各种因素的推动下,区块链自身的制度标准也在进一步丰富、发展和完善。近日,由国家区块链漏洞库和行业龙头企业共同编制的《区块链漏洞分类细则》终于出炉。长汀科技区块链安全专家组牵头,深入参与分级规则的编制,负责编制公共链板块分级规则,检查整体技术和分级标准。《细则》涵盖公共链、联盟链、智能合同和外围系统四大板块,填补了区块链与安防行业的空白空,为行业就区块链安全问题达成共识迈出坚实的一步。这是世界上第一次对区块链的安全漏洞及其威胁级别做出明确和可执行的定义。

2019年11月27日,韩国交易所Upbit被黑,热门钱包被盗34.2万块ETH,价值约5000万美元。2019年5月8日,举世闻名的外汇货币安全暴露于黑客大规模系统性攻击之下。黑客获得了大量API密钥,Google验证了2FA代码等信息,一次带走7000个BTC。好像从诞生之日起就叫& ldquo最安全& rdquo区块链的安全是有争议的。由于分布式系统的高可用性和密码学的高一致性,区块链技术本身具有稳定可信的技术特征,这使得区块链技术有了长期发展的天然基础,但现实是区块链系统安全事件频繁发生。两者的区别在于高可用性和高一致性是设计层面的技术优势。但是,要想长期健康发展,必须在实际系统中考虑可靠性,提高可靠性的关键在于识别和修复系统缺陷和漏洞,提高系统的实际安全水平。因此,区块链安全已成为制约区块链科技长期健康发展的瓶颈,加快制定区块链安全相关标准已成为提高区块链基础设施安全乃至生态安全的必然需要。

此次发布的区块链漏洞分级规则,不仅是区块链国家政策的深入贯彻和区块链安全评估标准的制定,也是对当前行业漏洞威胁认知混乱的有效应对策略。区块链生态中的不同角色混淆了对安全脆弱性的看法,这导致了对区块链脆弱性看法的长期差异和不人性化。区块链行业迫切需要一套针对区块链行业、同时得到各项目方认可的评分规则。此次,在国家互联网应急中心的协调下,安全厂商和区块链企业合作制定了区块链漏洞分类规则,这是国家级漏洞评估标准的统一,为行业清晰分析漏洞、确定威胁等级提供了可操作性、可执行性和可量化的指标和方法,为区块链行业的安全评估工作提供了基础支撑。

“规则”主要依靠CVSS2.0,实现了与传统基础领域漏洞规则的互操作。从大网络安全的角度,在区块链新兴领域和传统基础领域开辟漏洞的基层定义,实现统一管理、统一备案;此外,细则还兼顾了区块链安全的理论和实现,提升了区块链企业的& ldquo内外& rdquo关注安全,建设全区块链的生态安全。同时,细则还指出,区块链安全漏洞本质上是无意的、意外的安全缺陷或风险,应以& lsquo危害程度。和& lsquo使用难度。分析了两个方面,通过等级表将漏洞分为高、中、低三个威胁等级,既符合CVSS2.0方法论,又能快速分析具体的漏洞案例,准确给出相应的等级。

《细则》中列出了每种危险程度和使用难度的详细参考项目。这些项目由团队从大量以往真实漏洞案例中浓缩而成,包含了几乎所有开放历史漏洞的特征,经过反复提炼、拆解、打磨,基本涵盖了区块链领域可能遇到的各种漏洞,帮助用户快速定位和分析区块链漏洞。

这一次,我们能够率先编制中国区块链漏洞分类细则,与长汀科技在区块链安全领域的不断探索密不可分。2018年,区块链两大行业巨头长汀科技和康赛思、比特兰发布了第一份关于中国区块链安全的深度报告& mdash& mdash《区块链安全生存指南》有针对性地总结了区块链行业的安全应对策略;2019年发布《区块链生态安全服务解决方案》,旨在探索现有区块链生态下安全建设的边界轮廓。

在新的基础设施背景下,区块链将迎来新一轮的发展高峰。要用更安全的技术和应用场景来建立一个相互信任的时代,区块链的安全不是最终目标,但发展目标是用更安全的区块链产品创造更高的价值。《细则》的发布将标志着区块链安全正式进入标准化阶段。未来,长汀科技将继续深化区块链安全领域,将全行业网络安全攻防理念和实践研究经验映射到区块链行业安全解决方案,为区块链企业研发提供专业的全周期安全应对策略。

为您推荐

发表评论

电子邮件地址不会被公开。