長亭科技于曉航：區(qū)塊鏈安全要整個(gè)生態(tài)一起發(fā)力

飛象網(wǎng)訊 在2020年中國國際信息通信展上，飛象網(wǎng)專訪了長亭科技區(qū)塊鏈安全首席技術(shù)專家于曉航，他向我們介紹了區(qū)塊鏈領(lǐng)域的最新安全進(jìn)展，讓我們認(rèn)識到區(qū)塊鏈安全同樣值得關(guān)注。

于曉航表示：“區(qū)塊鏈安全不能只依靠安全廠商這幾個(gè)點(diǎn)，而是應(yīng)該依靠整個(gè)生態(tài)，區(qū)塊鏈生態(tài)里面各個(gè)細(xì)分行業(yè)，各個(gè)企業(yè)自發(fā)對安全的重視，主動的從內(nèi)部發(fā)現(xiàn)問題，主動聯(lián)系安全廠商來做這件事情，整個(gè)生態(tài)一起發(fā)力。”

以下是訪談全文：

訪談時(shí)間：2020年10月15日

主持人：飛象網(wǎng)資深記者 魏德齡

嘉 賓：長亭科技區(qū)塊鏈安全首席技術(shù)專家 于曉航

主持人：前不久國家互聯(lián)網(wǎng)應(yīng)急中心聯(lián)合長亭科技和其他三家區(qū)塊鏈廠商發(fā)布了國家區(qū)塊鏈漏洞定級細(xì)則，作為區(qū)塊鏈行業(yè)首個(gè)漏洞定級細(xì)則，長亭科技深度參與了此次編寫，可以向我們介紹一下這個(gè)細(xì)則嗎？，還有您覺得細(xì)則的發(fā)布對行業(yè)發(fā)展有什么影響？

于曉航：我們從最開始，一直和應(yīng)急中心有比較深的聯(lián)系，上個(gè)月月底，我們一起以國家區(qū)塊鏈漏洞庫的名義發(fā)布了這一套區(qū)塊鏈漏洞定級細(xì)則，長亭作為技術(shù)牽頭單位，主要負(fù)責(zé)了其中公鏈板塊定級細(xì)則編寫，和整體技術(shù)、劃分標(biāo)準(zhǔn)的把關(guān)。。

我個(gè)人覺得這個(gè)細(xì)則的發(fā)布，某種意義上說是比較順應(yīng)區(qū)塊鏈行業(yè)的發(fā)展，因?yàn)樗�解決了區(qū)塊鏈行業(yè)里面長期以來存在的一個(gè)漏洞定級困難的問題。在我們這兩三年的實(shí)際工作里面，在區(qū)塊鏈行業(yè)一開始，大家對于漏洞沒有一個(gè)定級的認(rèn)知，隨著行業(yè)發(fā)展出現(xiàn)了SRC，雖然說我們有一個(gè)CVSS，國際上通用的漏洞定級方法，可以用在區(qū)塊鏈漏洞定級上，但是大家對于CVSS在區(qū)塊鏈領(lǐng)域上的應(yīng)用，認(rèn)知是特別不統(tǒng)一的，這些認(rèn)知上的混亂會帶來特別多的分歧，阻礙區(qū)塊鏈行業(yè)安全技術(shù)的發(fā)展。我們一開始就特別想找一種方式來統(tǒng)一大家的認(rèn)知，這樣能把安全行業(yè)中蘊(yùn)含的非常強(qiáng)大的力量注入到區(qū)塊鏈行業(yè)里面，這是我們做這件事情的初衷。

這套細(xì)則本身是一個(gè)系列，包括四個(gè)方面，公鏈、聯(lián)盟鏈、智能合約及外圍系統(tǒng)，這四個(gè)方面基本涵蓋了整個(gè)區(qū)塊鏈生態(tài)里面所有的技術(shù)領(lǐng)域。

說到這個(gè)細(xì)則發(fā)布的意義。

首先這個(gè)細(xì)則的發(fā)布給了行業(yè)一個(gè)比較強(qiáng)的信號，國家對區(qū)塊鏈安全這件事情非常重視，因?yàn)檫@個(gè)細(xì)則是從國家的角度發(fā)布的，這一點(diǎn)非常有利于提高整個(gè)行業(yè)的安全意識。

第二點(diǎn)，這個(gè)細(xì)則的發(fā)布，能夠有利于統(tǒng)一區(qū)塊鏈行業(yè)里面大家對于漏洞的認(rèn)知，這件事情是非常有利于把安全行業(yè)強(qiáng)大的力量注入到區(qū)塊鏈領(lǐng)域里面。

第三點(diǎn)，這個(gè)細(xì)則的發(fā)布，也是加快了區(qū)塊鏈行業(yè)標(biāo)準(zhǔn)化的進(jìn)度。這個(gè)細(xì)則的發(fā)布，也為接下來區(qū)塊鏈行業(yè)一些測評體系的工作，提供了比較官方的技術(shù)支持，做了一些技術(shù)上的鋪墊。

最后一個(gè)方面比較具體，我認(rèn)為這個(gè)細(xì)則里面實(shí)際上也是一個(gè)非常好的學(xué)習(xí)資料，大家通過看這個(gè)細(xì)則，了解到區(qū)塊鏈漏洞究竟是什么，了解到區(qū)塊鏈領(lǐng)域里面常見的攻擊場景是什么樣的，攻擊手段是什么樣的，這些東西都可以在細(xì)則里面略窺一二，對提升整個(gè)行業(yè)的實(shí)際技術(shù)安全水平也是非常有幫助的。

主持人：長亭科技算是一家很早開始研究并服務(wù)區(qū)塊鏈企業(yè)的網(wǎng)絡(luò)安全公司，在區(qū)塊鏈安全審視測試方面都有深入的研究。近來區(qū)塊鏈安全漏洞頻發(fā)的現(xiàn)狀，您有什么好的安全建議？

于曉航：這個(gè)問題就像我們安全從業(yè)者的心病，近幾年區(qū)塊鏈領(lǐng)域各種安全事件的發(fā)生，據(jù)我觀察來說，大部分主要是由于安全意識的問題，還有另外一大部分，是由于技術(shù)的問題。

對于安全意識這件事情，從整個(gè)行業(yè)來說，是沒有辦法強(qiáng)求的，不可能在短時(shí)間快速提升，不僅區(qū)塊鏈領(lǐng)域這樣，各行各業(yè)，傳統(tǒng)互聯(lián)網(wǎng)領(lǐng)域也是這樣的，只能像最近反詐騙的宣傳和此次疫情期間應(yīng)對一樣，通過長期反復(fù)的宣傳，一步一步的逐漸提高行業(yè)的安全意識。

但是對于企業(yè)來說，還是有很多可以做的事情。首先，企業(yè)要建立比較好的重視安全的文化，從方方面面都重視安全，這個(gè)事情還是會非常有效果的。

第二，及時(shí)做一些人員安全意識方面的培訓(xùn)，會起到立竿見影的效果。

關(guān)于技術(shù)方面，技術(shù)方面有很多的安全事件實(shí)際上都可以避免的，因?yàn)楣�擊運(yùn)用的漏洞都是比較基本的點(diǎn)，并不是很困難，這就體現(xiàn)出來我們安全行業(yè)目前來說力量還是比較缺乏的，相對于區(qū)塊鏈生態(tài)大體量來說，安全行業(yè)的力量還是不足，不是現(xiàn)在技術(shù)水平的高低，主要體現(xiàn)在掌握核心技術(shù)人才上的缺失。像我們現(xiàn)在安全廠商來說，安全廠商能發(fā)現(xiàn)的漏洞，不管是嚴(yán)重程度還是復(fù)雜程度，其實(shí)都已經(jīng)非常強(qiáng)了，但是實(shí)際上出現(xiàn)問題往往是非�；�本非常簡單的點(diǎn)，原理非常簡單的漏洞。這兩個(gè)之間的差異就體現(xiàn)出來，因?yàn)檎麄�(gè)區(qū)塊鏈生態(tài)里面的技術(shù)系統(tǒng)非常多，區(qū)塊鏈系統(tǒng)非常復(fù)雜，我們安全廠商人員和數(shù)量來說，根本沒有辦法覆蓋到每一個(gè)項(xiàng)目，每一個(gè)企業(yè)。

我在各種會議上也在說，區(qū)塊鏈安全這件事情，不能只依靠安全廠商這幾個(gè)點(diǎn)，而是應(yīng)該依靠整個(gè)生態(tài)，區(qū)塊鏈生態(tài)里面各個(gè)細(xì)分行業(yè)，各個(gè)企業(yè)自發(fā)對安全的重視，主動的從內(nèi)部發(fā)現(xiàn)問題，主動聯(lián)系安全廠商來做這件事情，整個(gè)生態(tài)一起發(fā)力。

關(guān)于技術(shù)方面的問題，對于技術(shù)這一個(gè)點(diǎn)，想說一點(diǎn)比較細(xì)節(jié)的事情。我們通過這幾年的工作經(jīng)驗(yàn)觀察到，很多的技術(shù)人員知道怎么寫一個(gè)能用的區(qū)塊鏈系統(tǒng)，但是不太清楚怎么寫一個(gè)安全的區(qū)塊鏈系統(tǒng)，能用的系統(tǒng)和安全的系統(tǒng)之間差得很多，這兩者之間主要的差距，就差在對區(qū)塊鏈各種技術(shù)細(xì)節(jié)的理解上。很多開發(fā)者對區(qū)塊鏈的技術(shù)知道怎么回事，但是對技術(shù)細(xì)節(jié)沒有辦法掌握得太細(xì)，理解不深，所以使得他開發(fā)的東西出現(xiàn)一些問題。

比如我們都知道區(qū)塊鏈里面一個(gè)叫Merkle Tree的東西，Merkle Tree一個(gè)主要作用是為了保護(hù)交易數(shù)據(jù)，但是至于說它保護(hù)了哪幾類交易信息，這個(gè)問題很難有人一次性回答清楚。他理解不清楚這件事情，就會使得在開發(fā)或者優(yōu)化系統(tǒng)的時(shí)候，很容易把這個(gè)功能無意間抹掉。跳過這些保護(hù)功能以后，破壞了區(qū)塊鏈原本的安全設(shè)計(jì)，就會引出很多的安全問題。我們發(fā)現(xiàn)這幾年區(qū)塊鏈的漏洞大都是因?yàn)檫@類問題產(chǎn)生的。

主持人：今年4月份，區(qū)塊鏈正式入選新基建范圍，與5G共同成為支持?jǐn)?shù)據(jù)發(fā)展的基礎(chǔ)設(shè)施。與5G相輔相成的過程中，對于區(qū)塊鏈安全又有哪些挑戰(zhàn)？有哪些應(yīng)對方法？

于曉航：5G解決的是通信問題，區(qū)塊鏈解決的是信任問題，或者說是安全問題和隱私問題。隱私問題又被很多人理解為是目前移動網(wǎng)絡(luò)發(fā)展的一個(gè)瓶頸性的問題，另一方面對于區(qū)塊鏈系統(tǒng)來說，帶寬問題和存儲問題，又是兩個(gè)比較常見的發(fā)展瓶頸，所以從這個(gè)角度來說，5G和區(qū)塊鏈很多人認(rèn)為是有非常強(qiáng)的優(yōu)勢互補(bǔ)的關(guān)系，所以經(jīng)常認(rèn)為這兩個(gè)都?xì)w納為新基建以后，這兩個(gè)產(chǎn)業(yè)疊加在一起，會有一些疊加效應(yīng)。

我個(gè)人也是比較認(rèn)同這個(gè)觀點(diǎn)，這里面有一些更多值得探討的具體問題，可以聊一聊。第一個(gè)問題，5G這個(gè)事情雖然解決的是通信問題，它的發(fā)力點(diǎn)是在移動通信網(wǎng)絡(luò)上，但是區(qū)塊鏈系統(tǒng)目前來說主要依托的是主機(jī)和服務(wù)器，5G和區(qū)塊鏈之間的結(jié)合，并不會像大家想像的那么直觀，更可能的方式是，5G的發(fā)展會促進(jìn)區(qū)塊鏈技術(shù)移動端的發(fā)展，就是區(qū)塊鏈技術(shù)生態(tài)可能會向移動網(wǎng)絡(luò)發(fā)展。這個(gè)發(fā)展趨勢肯定會催生出更多基于移動端的區(qū)塊鏈技術(shù)，既然一些新的應(yīng)用，新的細(xì)分領(lǐng)域出現(xiàn)之后，從安全角度來說，就是引入更多的攻擊面，攻擊面出現(xiàn)以后，隨著產(chǎn)業(yè)發(fā)展，一定會吸引來更多黑客的攻擊，這是對安全方面的影響。

第二個(gè)方面，隨著移動端網(wǎng)絡(luò)的發(fā)展，有可能會促進(jìn)云端區(qū)塊鏈的發(fā)展。隨著云端區(qū)塊鏈和移動端網(wǎng)絡(luò)的發(fā)展，有可能會增大區(qū)塊鏈系統(tǒng)帶寬上的壓力，引入更多的攻擊流量。隨著攻擊流量的增多，也會產(chǎn)生更多的周邊系統(tǒng)，比如說區(qū)塊鏈瀏覽器周邊的區(qū)塊鏈應(yīng)用或者區(qū)塊鏈防護(hù)系統(tǒng)的產(chǎn)生，這些系統(tǒng)的出現(xiàn)，也會引入更多的攻擊面，實(shí)際上跟第一條是連帶性的作用。

第三個(gè)問題，在區(qū)塊鏈領(lǐng)域里面，很多攻擊是基于大流量、大帶寬的，5G帶來更大的帶寬，也會為攻擊者提供了更便利的攻擊手段，對區(qū)塊鏈系統(tǒng)自身的穩(wěn)定性和可用性都提出了更高的要求，這個(gè)事情也會對區(qū)塊鏈系統(tǒng)產(chǎn)生一些影響。我覺得不管怎么樣的發(fā)展，就好像區(qū)塊鏈系統(tǒng)剛出現(xiàn)一樣，大家對區(qū)塊鏈也沒什么研究，但一定會有向我們這樣的安全廠商，安全從業(yè)人員對一個(gè)新型的領(lǐng)域做一些新的安全研究。所以我覺得這方面雖然會有很多的安全挑戰(zhàn)，但是對我們安全從業(yè)人員來說，反而會更興奮，我們會更有動力來保護(hù)這個(gè)行業(yè)。

主持人：行業(yè)越發(fā)展，安全問題越難。剛興起的時(shí)候，很少有人說區(qū)塊鏈的安全問題。

于曉航：是，國內(nèi)的區(qū)塊鏈安全行業(yè)是18年前后才逐漸發(fā)展起來的，我們也是18年初的時(shí)候一起成長起來的，那時(shí)候都是靠硬著頭皮自己做研究。到現(xiàn)在累計(jì)到接近百萬行的區(qū)塊鏈源碼審計(jì)經(jīng)驗(yàn)。我們長亭原來是做傳統(tǒng)安全做得比較好，我們會借鑒傳統(tǒng)安全里面的安全模型、經(jīng)驗(yàn)、工具，把它快速嫁接到區(qū)塊鏈安全領(lǐng)域，通過這種方式，我們才能更快的著手完善區(qū)塊鏈安全。但是目前來說區(qū)塊鏈安全領(lǐng)域還有很多的工作沒有做好，例如防護(hù)性或者是監(jiān)測性的產(chǎn)品。對于區(qū)塊鏈安全領(lǐng)域來說，有很多事情是靠工業(yè)界自己沒辦法突破的，需要學(xué)術(shù)界的成果轉(zhuǎn)化才可以完成。

主持人：這也是區(qū)塊鏈跟傳統(tǒng)行業(yè)之間的主要差異？

于曉航：對，區(qū)塊鏈系統(tǒng)有很多的特殊性，最大的特殊點(diǎn)就是，區(qū)塊鏈不只是一個(gè)技術(shù)，它更多是融合了經(jīng)濟(jì)模型在里面，所以很多漏洞不能單純從技術(shù)角度判斷，也需要有一些經(jīng)濟(jì)分析支撐才能判斷它是不是漏洞，這也是我們實(shí)際工作中的難點(diǎn)，因?yàn)檫@件事情也會出現(xiàn)很多有趣的爭論和討論。

主持人：謝謝您！