本報訊 3月5日，中國信息通信研究院（以下簡稱“中國信通院”）向參加首輪區(qū)塊鏈安全能力測評的參評單位正式發(fā)布安全能力測評報告。

    此輪區(qū)塊鏈安全能力測評由中國信通院安全研究所牽頭，聯(lián)合上海玄貓信息科技有限公司舉辦，自2020年11月19日起公開征集參評企業(yè)。參評企業(yè)分布于北京、上海、江蘇、浙江、山東、福建、陜西、廣東多個省市，參評系統(tǒng)包括國內(nèi)排名前三的區(qū)塊鏈公有鏈項目、通信區(qū)塊鏈服務(wù)平臺、工業(yè)區(qū)塊鏈平臺、政務(wù)區(qū)塊鏈服務(wù)平臺、商用化聯(lián)盟鏈基礎(chǔ)設(shè)施平臺等多種類型。

    區(qū)塊鏈安全能力測評工作自2020年12月正式啟動。測評依托于行業(yè)標準《區(qū)塊鏈基礎(chǔ)設(shè)施安全防護要求》和《區(qū)塊鏈基礎(chǔ)設(shè)施安全防護檢測要求》，測評團隊通過調(diào)研問卷、技術(shù)訪談、工具實測、排查后復(fù)測四個步驟，對參評區(qū)塊鏈項目的賬戶權(quán)限管理、數(shù)據(jù)及個人隱私、密碼機制、共識機制、智能合約、安全運維6個領(lǐng)域共108項指標進行了安全能力檢測。

    通過測評發(fā)現(xiàn)，當前區(qū)塊鏈項目存在區(qū)塊鏈特有入侵檢測功能缺失、檢測規(guī)則未及時更新、私鑰明文存儲、默認賬戶未更新、惡意終端入侵風(fēng)險等多項安全隱患。從各領(lǐng)域風(fēng)險項數(shù)量來看，安全運維領(lǐng)域檢出的風(fēng)險項最多，其次分別為密碼安全、權(quán)限管理、數(shù)據(jù)及個人隱私、智能合約領(lǐng)域；從風(fēng)險檢出比例來看，近半數(shù)以上的參評項目存在區(qū)塊鏈惡意入侵檢測功能不完備、核心網(wǎng)絡(luò)內(nèi)部安全隔離功能缺失、隱私數(shù)據(jù)保護不足、抗資源濫用攻擊能力有限等問題。測評團隊現(xiàn)已通過復(fù)測幫助參評企業(yè)盡快排除安全隱患，有效提升了參評企業(yè)安全水平。

    據(jù)悉，為了與業(yè)界共享區(qū)塊鏈安全經(jīng)驗、共筑扎實的區(qū)塊鏈安全基礎(chǔ)設(shè)施，中國信通院安全研究所將于近期發(fā)布《區(qū)塊鏈安全能力測評與分析報告（2021）》，詳盡分析區(qū)塊鏈基礎(chǔ)設(shè)施安全能力測評情況、區(qū)塊鏈基礎(chǔ)設(shè)施十大安全隱患、十大必知必會及未來3年區(qū)塊鏈安全新方向。下一步，區(qū)塊鏈安全能力測評團隊還將持續(xù)開展區(qū)塊鏈基礎(chǔ)設(shè)施、區(qū)塊鏈服務(wù)等系列安全能力測評，助力區(qū)塊鏈技術(shù)在建設(shè)新型基礎(chǔ)設(shè)施、發(fā)展數(shù)字經(jīng)濟等方面發(fā)揮積極重要作用。（記者 邢萌）

（編輯 田冬）