区块链概念火热但其背后的信息安全问题应引起重视

扫描分享

本文共字，预计阅读时间。

2016年，区块链无比的火热，各种论坛、书籍、会议接二连三，都在探讨区块链如何更快的进入实际使用，会对未来的社会产生哪些变革与影响。

如果从金融科技领域来分析的话，金融区块链产业发展主要包括了如下的方面：

一、数字货币

二、数字票据

三、数字资产

四、跨境支付

五、金融交易

六、融资众筹

但与之相对应的是，区块链背后的安全隐患，目前却还没有引起很多人足够的重视。

据青藤云安全郝东林在一次金融家私董会上的介绍，区块链的发展，是因为比特币的发展。比特币的发行机制以P2P网络为基础，其运算、流通、交易都具有匿名性来作为不可追踪的保障，理论上讲，用户持有比特币，就像是海洋中的一粒沙砾，很难成为黑客盗窃的目标，它比依赖密码和交易口令的普通网络银行更为隐秘。

但从技术上分析，下面三点需要引起足够的重视：

1、计算机的联网特征，使得有着自我复制能力的病毒程序永远都有机会绕过防火墙，只要存在数据交换的行为，受到感染的电脑就一定有着被嗅探出比特币痕迹的可能性。

2、用户一旦感染病毒，账号中的比特币将直接被盗，甚至还会为黑客“挖矿”，帮助其赚钱。

3、恰恰是由于比特币的不可追踪，一旦发生盗窃，用户也无法找回被盗的比特币，这就是去中心化的无政府主义程序的代价，没有高高在上的警察，所以也无法寻求强制性力量的帮助。换句话说，不受监管这一特性既是比特币超出国家货币安全常识的优点，也是比特币在遭遇危机时焉有完卵的缺点。

最近几年，全球范围内曾经发生过多起比特币被盗的重大事件：

2014年2月24日，当时世界最大的比特币交易所运营商Mt.Gox 宣布其交易平台的85万个比特币已经被盗一空，这一消息对于众多投资者来说，无疑是一枚重磅炸弹。之后Mt.Gox 宣布破产。据日媒爆料，接近执法调查部门的消息人士称，所谓的比特币被盗，其实是Mt.Gox的监守自盗。报告指出，在650000个“被偷窃”的比特币中，实际上只因外部盗窃而“失踪”了7000个。而其余的这些，则是被“内部人”拿去交易了。

2014 年12月16日，白帽黑客Johoe从blockchain.info钱包里盗取300个比特币。而一周前，Johoe还在 blockchain.info上盗窃了250个比特币。随后黑客Johoe返还了盗取的比特币，并解释说：“他只是保护他们免受恶意软件的攻击，如果用户能证明比特币是他们的，他很乐意返还。”这件事在加密货币社区内闹的沸沸扬扬，黑客Johoe也因这件事一炮走红，获得了社区的广泛赞扬。

2015年1月10日，比特币交易平台Bitstamp险些额外丢失价值175万美元的比特币。五天之前，该平台不幸遭遇黑客攻击，价值510万美元的比特币惨遭洗劫，在紧要关头，Bitstamp迅速将剩余价值175万美元的比特币存入冷钱包内。

2016年8月4日，香港的比特币交易所 Bitfinex 遭黑客入侵，多达119，756BTC被盗，总价值约为7500万美元，比特币的价值因此大幅下跌15%。

……

这样的类似事件，在全球范围内，发生的次数已经数不胜数。只关注技术，不关注安全，风险将会越来越大。

按照Gartner“自适应安全模型”的理念，如果有效的进行防范，需要从攻击防御、入侵检测、回溯分析，威胁联动的综合角度进行持续监控和分析，这样，才能进行更加有效的防范。目前，美国的illumio、中国的青藤云安全等厂商，是在自适应安全产业化落地方面比较领先的厂商。

在持续攻击时代，企业需要完成对安全思维的根本性切换，从“应急响应”到“持续响应”，前者认为攻击是偶发的，一次性的事故，而后者则认为攻击是不间断的，黑客渗透系统和信息的努力是不可能完全拦截的，系统应承认自己时刻处于被攻击中。在这样的认知下，我们才能认清持续监控的必要性。

同时，在关注区块链技术本身的同时，对区块链背后的信息安全相关技术，也需要加强学习和信息安全意识培训工作。

需要做到区块链与信息安全协同发展。