張海濤

摘 要 “區(qū)塊鏈”是信息技術(shù)領(lǐng)域的術(shù)語。從本質(zhì)上來講，“區(qū)塊鏈”實際上是一個將所有數(shù)據(jù)存儲在“鏈”上的共享數(shù)據(jù)庫，它具有“不可偽造篡改”“全程留痕”“可追溯”“公開透明”“集體維護(hù)”等特征?；谶@些特征，為區(qū)塊鏈技術(shù)奠定了堅實的基礎(chǔ)——“信任”，因此，創(chuàng)造了可靠的“合作”機制，具有廣闊的運用前景。

關(guān)鍵詞 區(qū)塊鏈;安全機制;安全服務(wù);安全策略

引言

人們通過計算機登入互聯(lián)網(wǎng)來進(jìn)行學(xué)習(xí)、工作和貿(mào)易來往，信息數(shù)據(jù)都保存在電腦當(dāng)中，然而我們在使用過程中不可避免地會出現(xiàn)網(wǎng)絡(luò)攻擊、病毒入侵和網(wǎng)絡(luò)詐騙等情況，導(dǎo)致經(jīng)濟及名譽損失，嚴(yán)重時會威脅到整個網(wǎng)絡(luò)的安全運行。因此，計算機網(wǎng)絡(luò)信息安全問題成為當(dāng)前必須認(rèn)真面對且亟待解決的問題之一[1]。

1基本概念和原理

區(qū)塊鏈被當(dāng)今世界稱之為人類第4次工業(yè)革命的神奇鑰匙，區(qū)塊是指記錄一段時間內(nèi)發(fā)生的交易和狀態(tài)結(jié)果，是對當(dāng)前賬本狀態(tài)的一次共識;鏈?zhǔn)侵赣梢粋€個區(qū)塊按照發(fā)生順序串聯(lián)而成，是整個狀態(tài)變化的日志記錄。當(dāng)我們把數(shù)據(jù)庫當(dāng)作一個賬本時，我們對數(shù)據(jù)庫進(jìn)行的讀寫，則可看作是一種入賬后的記錄行為。而區(qū)塊鏈的本義就是在一個固定的時間段內(nèi)找出那個記賬速度既快、準(zhǔn)確性又高的那個人，然后由這個人進(jìn)行記賬，并把記錄在賬本中的這頁信息發(fā)給整個系統(tǒng)里的其他人。這個行為操作改變了數(shù)據(jù)庫所有的記錄，然后再發(fā)給全網(wǎng)的其他每個節(jié)點，通俗的解釋就是我們所有人的賬戶信息不單單是存儲在一臺服務(wù)器上，而是備份于世界上每一臺電腦之上，它隨處可在。這樣一來，無論是誰都無法對數(shù)據(jù)資料進(jìn)行篡改和偽造，所以區(qū)塊鏈實質(zhì)上是一種去中心化的分布式電子記賬技術(shù)。主要優(yōu)點是：去中心化、不可篡改、全程留痕、可以追溯和強安全性;缺點是：效率低、成本高[2]。

2存在的不足

區(qū)塊鏈?zhǔn)抢^因特網(wǎng)之后新一代信息技 術(shù)，區(qū)塊鏈真正具有革命性價值的是其在加密貨幣之外的應(yīng)用潛力，其中網(wǎng)絡(luò)安全是一個典型區(qū)塊鏈應(yīng)用場景。針對最新的網(wǎng)絡(luò)安全威脅問題，我們開展了基于區(qū)塊鏈的信息網(wǎng)絡(luò)安全課題研究，提出了一套基于區(qū)塊鏈的企業(yè)信息安全保障體系設(shè)計方案，通過該方案可以幫助企業(yè)建立既有信息安全防護(hù)體系，又能促進(jìn)企業(yè)信息共享的全新信息技術(shù)架構(gòu)，全面提升企業(yè)信息系統(tǒng)安全。手機短信、郵件以及QQ微信等社交軟件，最初是被人們用來進(jìn)行溝通交流的。但是，一些不法分子使用違法的技術(shù)手段，將其變?yōu)槔账鬈浖蜥烎~網(wǎng)站，當(dāng)人們使用這些社交軟件進(jìn)行交流，發(fā)送短信、郵件時，就會收到詐騙信息，導(dǎo)致用戶信息泄露，個人財產(chǎn)受到威脅甚至造成損失。2018年3月，F(xiàn)acebook隱私泄露事件轟動全世界;2019年初，一款名為Robbin Hood的勒索軟件針對Baltimore數(shù)據(jù)網(wǎng)絡(luò)進(jìn)行攻擊，造成至少1 820萬美元的損失;2020年3月，有大約5.38億新浪微博用戶個人信息被人以0.177 BTC的價格在暗網(wǎng)出售。這些類似事件的重復(fù)出現(xiàn)，導(dǎo)致人們對網(wǎng)絡(luò)安全的現(xiàn)狀十分擔(dān)憂，而網(wǎng)絡(luò)數(shù)據(jù)隱私危機是中心化存儲無法逃避的宿命。

3企業(yè)信息安全保障體系

3.1 技術(shù)選型

根據(jù)實際應(yīng)用場景和需求， 區(qū)塊鏈技術(shù)目前已經(jīng)演化出三種應(yīng)用模式，分別是公共鏈、聯(lián)盟鏈和私有鏈。其中，比特幣所使用的區(qū)塊鏈屬于公有鏈，它是真正意義上的去中心化的區(qū)塊鏈，系統(tǒng)安全性由工作量證明PoW來保證。全球范圍的任意節(jié)點只需安裝好比特幣錢包，即可完成轉(zhuǎn)賬交易，無須進(jìn)行身份的核實與驗證。由于每一筆交易的記錄均需經(jīng)過全網(wǎng)所有節(jié)點的共識，因此其處理性能不高;聯(lián)盟鏈則采取多中心的方式，參與節(jié)點在交易之前需進(jìn)行身份認(rèn)證，只有認(rèn)證通過后才可完成相關(guān)的轉(zhuǎn)賬操作。該方法相比于公有鏈，因其每筆交易僅需由部分節(jié)點完成共識，其處理性能高于公有鏈;私有鏈則是完全中心化的區(qū)塊鏈，同聯(lián)盟鏈相比，同樣需要先進(jìn)行身份認(rèn)證，但其應(yīng)用范圍更小，因此僅適用于少量的業(yè)務(wù)場景，如內(nèi)部數(shù)據(jù)管理與審計等，但好處是可帶來處理性能的提升。

3.2 保障網(wǎng)絡(luò)數(shù)據(jù)安全

利用區(qū)塊鏈技術(shù)結(jié)合鏈外數(shù)據(jù)庫，分離數(shù)據(jù)和權(quán)限，建立一個私人的去中心化數(shù)據(jù)管理系統(tǒng)，來管理數(shù)據(jù)和權(quán)限。在得到用戶對訪問的授權(quán)后，應(yīng)用程序才可以訪問用戶數(shù)據(jù)，如用戶存儲信息、授權(quán)指令和查詢指令等。鏈外的分布式數(shù)據(jù)庫存放著被加密后的用戶數(shù)據(jù)，當(dāng)某項數(shù)據(jù)被某個應(yīng)用程序訪問而用戶需要改變授權(quán)時，就會設(shè)置權(quán)限，之后在區(qū)塊鏈中記錄下所授權(quán)限與數(shù)據(jù)指針。當(dāng)某數(shù)據(jù)需要被某應(yīng)用程序訪問時，區(qū)塊鏈也會記錄下應(yīng)用程序發(fā)出訪問請求。系統(tǒng)對區(qū)塊鏈的記錄以及簽名進(jìn)行核查，以確認(rèn)此數(shù)據(jù)的訪問權(quán)限已經(jīng)授予給該應(yīng)用程序，若確認(rèn)無誤，區(qū)塊鏈將記錄下該項操作，應(yīng)用程序便會得到由數(shù)據(jù)庫返回來的該項數(shù)據(jù)。因為區(qū)塊鏈完整地記錄了應(yīng)用程序訪問數(shù)據(jù)的整個過程，所以用戶對系統(tǒng)中數(shù)據(jù)的訪問權(quán)限進(jìn)行更替變得更加隨意。例如，Watson Io T作為IBM的旗下平臺，在私有區(qū)塊鏈網(wǎng)絡(luò)中是允許用戶管理Io T數(shù)據(jù)的，在Big Blue的云服務(wù)中已經(jīng)把這種區(qū)塊鏈網(wǎng)絡(luò)加以整合利用。

3.3 有效阻止DDoS攻擊

變本加厲的大型DDoS網(wǎng)絡(luò)攻擊已經(jīng)開始令許多大型網(wǎng)絡(luò)企業(yè)望而生畏，一場高級的大型DDoS網(wǎng)絡(luò)攻擊甚至幾乎已經(jīng)可以輕松地徹底搞垮任何幾個一家大型的網(wǎng)絡(luò)企業(yè)，這也有人可能認(rèn)為正是大多數(shù)網(wǎng)絡(luò)黑客已經(jīng)開始積極嘗試對其企業(yè)進(jìn)行大規(guī)模網(wǎng)絡(luò)攻擊和安全破壞的主要原因和策略首選。區(qū)塊鏈的分布式域名存儲系統(tǒng)架構(gòu)則可能會令網(wǎng)絡(luò)域名黑客無所適從，已經(jīng)陸續(xù)有多家公司開始著手設(shè)計和開發(fā)基于區(qū)塊鏈的分布式移動互聯(lián)網(wǎng)的域名和存儲系統(tǒng)，根除當(dāng)前猖獗的dns域名注冊系統(tǒng)弊病的禍根，使得網(wǎng)絡(luò)域名系統(tǒng)更加干凈透明。

4結(jié)束語

沒有信息安全就沒有企業(yè)安全，區(qū)塊鏈作為一種技術(shù)組合和管理模式，為信息安全體系建設(shè)注入了全新的理念和方法，區(qū)塊鏈的去中心化、分布式賬本、共識機制、智能合約、非對稱加密、哈希指紋等都具有安全管控的基因，盡管區(qū)塊鏈本身也存在安全隱患，但區(qū)塊鏈用于安全體系建設(shè)是不爭的事實。

參考文獻(xiàn)

[1] 邵艾青，畢喜軍，龐浩.蜜罐系統(tǒng)與安管平臺聯(lián)動結(jié)合的研究與實踐[J].電信科學(xué)，2017，46（S2）：256-261.

[2] 郭寧.區(qū)塊鏈技術(shù)在完善醫(yī)保監(jiān)管機制中的探究[J].信息技術(shù)與信息化，2019（5）：206-208.