“区块链不是一项新技术，它采用了密码学的很多技术，如哈希（xī）算（suàn）法（fǎ）、公钥密码等（děng）。”13日（rì），2019未来科学大奖周在（zài）清华大学开（kāi）幕，一场聚焦网（wǎng）络（luò）和信息（xī）安全的学术报告会同期举行。本年（nián）度未来科学大奖—数（shù）学与计算机科学奖获得者、中国科学（xué）院院（yuàn）士、国际密码协会会士王小（xiǎo）云提及密码学与区块链的渊源。

“区块链以密码学（xué）方式保证其不可（kě）篡（cuàn）改（gǎi）和不可伪造（zào）。”北京理工大学计算机网络安全（quán）对抗技术研究所所长闫怀志告诉科技日（rì）报记者，区块（kuài）链融合了密码学、数学、计算（suàn）机科学（点对点网络、分布式存储等）、网络科学等多门学科技术。“以安全视（shì）之，区块链自身实现采用了（le）诸多安全技术（shù）。”

那么，自带安全基因的区块链会涉及（jí）哪（nǎ）些（xiē）网络安全问题呢（ne）？

匿名（míng）性特征是一把双刃（rèn）剑

专家表示，在区（qū）块链技（jì）术即将获得广（guǎng）泛应用（yòng）的（de）时代（dài），网络（luò）空间的安全问（wèn）题会出现（xiàn）新的特点。闫怀志解释道：“区块链（liàn）一（yī）个重要（yào）特点是（shì）去中心化，其广（guǎng）泛应用必将（jiāng）会对需要实行中心（xīn）化监管的领域产生不利影响（xiǎng）。区块链技术的匿名性特征也是一把双刃（rèn）剑，一方面能有效保护隐私，另一（yī）方面又为网（wǎng）络空间（jiān）恶意行为甚至网络犯罪提供面具和保护伞，比如，很多（duō）黑市通过区（qū）块链技术洗（xǐ）钱来逃避打（dǎ）击（jī）。”

“再者，区块链技术本身要求各个节点共享区块信息，虽然（rán）这种方（fāng）式增强了（le）信息的（de）不可（kě）篡改性，但区块中的交易信息易被各方所知晓（xiǎo）。另外，很（hěn）多（duō）公（gōng）众甚至是技术（shù）专家对于区（qū）块链（liàn）技术过于迷信，认为其可以（yǐ）包打（dǎ）网络安全（quán）的天下，这（zhè）种误解可能会间接导致信息系统整体安全（quán）防御体系（xì）的不（bú）当构建，引入了新的风险。”闫怀志说。

此外（wài），区块链还面临众多外部（bù）安全威（wēi）胁——主要是（shì）针对算法、协议、实现、应用以及系统等（děng）层面的（de）破坏、更（gèng）改和泄露，具体体现在区块链数据的完整性、不可（kě）否认性、匿（nì）名性、隐私保护以及其（qí）他方面（miàn）。

虽（suī）然区块链（liàn）自身具有较完善的安（ān）全体系，但也存在着不少机制上的缺（quē）陷。闫怀志表示：“区块（kuài）链的安全性高度依赖（lài）于共（gòng）识（shí）机制，但当前的主流公有（yǒu）链平台（如比特币、以（yǐ）太坊等）的共识机制（zhì）多是基于算力而实现的。区（qū）块链用户账号的安全风险主要来（lái）自（zì）去中（zhōng）心化机制带来的弊端。”

因（yīn）此，区块链系统需要多种（zhǒng）安全技术来保障。“在安全性方面，如果攻（gōng）击者能（néng）够控制全部数据节点的（de）51%，就可以对网络数据进行修改，即所谓（wèi）的（de）‘51%攻击’。”闫怀志坦陈，“不过，若想控制（zhì）全部（bù）数据节点的51%以上，是较难做（zuò）到的。”

区块（kuài）链（liàn）可用于（yú）网络安（ān）全保障

随着区块（kuài）链大规模应用，该如（rú）何做好信息保密（mì）工作（zuò）？

区块链系统（tǒng）本（běn）身（shēn）具有安全体系，可以用于网络安全领域。“区块链自（zì）身安全体系是（shì）指为了实现区块链基础架构（gòu）和功能而采用（yòng）的安（ān）全技（jì）术。在该（gāi）技术体（tǐ）系（xì）中，采用的是加（jiā）密、数字（zì）签名、时间戳等安全技术（shù），实现（xiàn）数据区块保密、节点（diǎn）认证、存储安（ān）全（quán）、传播验（yàn）证、安全（quán）容错、身份鉴别、授权访问、安（ān）全审计以及（jí）隐私保护等功能（néng）。”闫怀志告诉记者。

天津大（dà）学智能与计算学部副教（jiāo）授应（yīng）翔告诉科技日报记（jì）者，区块（kuài）链技术还不够成熟，在面对新的复杂的应用场景时更（gèng）易出现安全风险。“由于区块链技术（shù）不（bú）可逆的特点，出（chū）现网络漏洞后的风险比常规互联（lián）网应（yīng）用的风险更大。”针（zhēn）对技术方（fāng）面的（de）风险，他建议做好安全审计和测试工作。“在代码正式发行前，先试着运行一（yī）段时间，把技术漏（lòu）洞扼（è）杀在（zài）摇篮。”

在赛迪智库信软所软件研究室（shì）主任蒲松（sōng）涛看来，区块链技术（shù）所涉及到（dào）的信息安（ān）全风险主要集中在应（yīng）用层面。为此，他建议加强（qiáng）管理。“一是（shì）做好信息系统的管理（lǐ）；二（èr）是做好用户（hù）管（guǎn）理，提（tí）升用户技能；三是做好上链信息和（hé）数据的（de）管理，区分（fèn）哪些（xiē）数据（jù）能上链哪些不能。”

闫怀（huái）志称（chēng），区块链（liàn）在网络（luò）空间（jiān）安全保障方面（miàn）具（jù）有广（guǎng）阔应用前景，尤其是（shì）在身份认证、访问控制、数（shù）据保（bǎo）护方面（miàn）可（kě）发挥重（chóng）要作用。“这是（shì）因为区块链具有高度安全性及时（shí）间维度，区块链（liàn）数据具（jù）有（yǒu）很强（qiáng）的数据抗篡改能力，可有效（xiào）保（bǎo）护数（shù）据的完整性，且开销不高、便于实（shí）施（shī）。”

“随（suí）着应用（yòng）场景增多（duō），区（qū）块链（liàn）技（jì）术涉及（jí）的具体安全问题会暴露出来，区块链（liàn）行业将针对具（jù）体问题采（cǎi）取具（jù）体措施（shī），使区块链技术的解决方案更成熟（shú）。”应翔说。

“当然，除（chú）了（le）技术手段，还（hái）应加（jiā）强配套的法律法规、标准（zhǔn）、监督和管（guǎn）理体系（xì）构建（jiàn），多管齐（qí）下构（gòu）建完整的区块（kuài）链应（yīng）用安全生态（tài）环境。”闫怀志说。