分享热点新闻
打造优质自媒体!

长亭科技联合区块链龙头企业共同支持《区块链漏洞定级细则》的制定和发布

2020年4月,新基础设施的范围得到了明确界定,块链,区作为新兴技术的代表,首次被确定为国家一级的新基础设施。在市场需求、国家政策和资金等多种因素的推动下,块链区的制度标准正在进一步丰富、发展和完善。近日,由国家区块链漏洞数据库和行业龙头企业联合编制的《区块链漏洞定级细则》终于问世。块链, 长亭科技园区安全专家团队牵头,深入参与分级规则的编制,负责编制公共链部门分级规则,检查整体技术和分级标准。《细则》涵盖四个部分:公共链、联盟链、智能合同和外围系统,填补了块链和安全行业之间的沟通空白,为行业在块链安全问题上达成共识迈出了坚实的一步。这是世界上第一次对块链地区的安全漏洞及其威胁级别做出明确且可执行的定义

2019年11月27日,韩国证券交易所Upbit被黑,热门钱包被盗34.2万块ETH,价值约5000万美元。2019年5月8日,世界著名交易所币安,遭遇黑客大规模系统性攻击。黑客获得了API 密钥、谷歌验证码2FA等大量信息,一次带走7000个BTC。似乎自诞生以来,被称为“最安全”地区的块链,的安全一直备受争议。由于分布式系统的高可用性和密码学的高一致性,块链区技术本身具有稳定可信的技术特征,这使得块链区技术具有长期发展的天然基础,但现实是块链区的系统安全事件频繁发生。两者的区别在于高可用性和高一致性是设计层面的技术优势。但是,要想长期健康发展,必须在实际系统中考虑可靠性,提高可靠性的关键在于识别和修复系统缺陷和漏洞,提高系统的实际安全水平。因此,块链的安全已成为制约块链,技术长期健康发展的瓶颈,加快制定块链的安全相关标准已成为块链, 提升区基础设施安全乃至生态安全的必然需求

此次发布的块链区脆弱性分级细则,不仅是块链区国家政策的深入贯彻和块链,区安全评价标准的制定,也是对当前行业脆弱性威胁认知混乱的有效应对策略。块链区生态中各种角色对安全漏洞的认知混乱,导致块链区对安全漏洞的认知长期存在差异和不人性化。块链区的行业迫切需要一套针对块链区行业的、同时得到各项目方认可且具有公信力的评分规则。此次,在国家互联网应急中心的协调下,块链安全厂商和企业合作制定了块链,漏洞分类规则,从国家层面统一了漏洞评估标准,为行业清晰分析漏洞、确定威胁等级提供了可操作、可执行、可量化的指标和方法,为块链行业安全评估工作提供了基础支撑

《细则》主要依靠CVSS2.0实现与传统基础领域漏洞规则的互操作。从大网络安全的角度出发,开辟了块链,新兴领域和传统基础领域漏洞的基层定义,实现了统一管理、统一备案;此外,细则还兼顾了块链,的理论安全和实践安全,块链, 提升区的企业注重“内外”安全,从而构建了块链全区的生态安全。同时,细则还指出,块链的安全漏洞本质上是无意和意外的安全缺陷或风险,应主要根据“危害程度”和“利用难度”进行分析,通过评级表将漏洞分为高、中、低三个威胁级别,不仅符合CVSS2.0方法论,而且能够快速分析具体的漏洞案例,准确给出相应的评级。

《细则》中列出了每种危险程度和使用难度的详细参考项目。这些项目由团队从大量以往真实漏洞案例中浓缩而成,包含了几乎所有公开的历史漏洞特征,经过反复提炼、拆解和打磨,基本涵盖了块链,地区可能遇到的各种漏洞,帮助用户快速定位和分析块链地区的漏洞

这一次,我能够率先在块链, 国家区,编制脆弱性分级细则,与长亭科技在块链安全领域的不断探索有很大关系,2018年,长亭科技联合比特兰的ConsenSys和块链行业巨头发布了中国首个块链安全深度报告—— 《区块链安全生存指南》,有针对性地总结了块链的行业安全应对策略;2019年发布《区块链生态安全服务解决方案》,旨在探索现有块链生态下安全建设的边界轮廓。

在新的基础设施背景下,块链将迎来新一轮发展高峰,以更安全的技术和应用场景打造互信时代。块链的安全不是最终目标,发展目标是用块链更安全的产品创造更高的价值《细则》的发布将是块链在标志区的安全正式进入标准化阶段的信号。未来,长亭科技将继续深化块链,安全领域,将全行业网络安全攻防理念和实践研究经验映射到块链,行业安全解决方案,为块链企业研发提供专业的全周期安全应对策略

评论 抢沙发

4 + 7 =
  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址