同济大学区块链同济大学区块链专业

皕利分享 2023年02月21日 03:10 186 0

本篇文章主要给网友们分享同济大学区块链的知识，其中更加会对同济大学区块链专业进行更多的解释，如果能碰巧解决你现在面临的问题，记得关注本站！

如何检测区块链智能合约的风险等级高低

随着上海城市数字化转型脚步的加快，区块链技术在政务、金融、物流、司法等众多领域得到深入应用。在应用过程中，不仅催生了新的业务形态和商业模式，也产生了很多安全问题，因而安全监管显得尤为重要。安全测评作为监管重要手段之一，成为很多区块链研发厂商和应用企业的关注热点。本文就大家关心的区块链合规性安全测评谈谈我们做的一点探索和实践。

一、区块链技术测评

区块链技术测评一般分为功能测试、性能测试和安全测评。

1、功能测试

功能测试是对底层区块链系统支持的基础功能的测试，目的是衡量底层区块链系统的能力范围。

区块链功能测试主要依据GB/T 25000.10-2016《系统与软件质量要求和评价（SQuaRE）第10部分：系统与软件质量模型》、GB/T 25000.51-2016《系统与软件质量要求和评价（SQuaRE）第51部分：就绪可用软件产品（RUSP）的质量要求和测试细则》等标准，验证被测软件是否满足相关测试标准要求。

区块链功能测试具体包括组网方式和通信、数据存储和传输、加密模块可用性、共识功能和容错、智能合约功能、系统管理稳定性、链稳定性、隐私保护、互操作能力、账户和交易类型、私钥管理方案、审计管理等模块。

2、性能测试

性能测试是为描述测试对象与性能相关的特征并对其进行评价而实施和执行的一类测试，大多在项目验收测评中，用来验证既定的技术指标是否完成。

区块链性能测试具体包括高并发压力测试场景、尖峰冲击测试场景、长时间稳定运行测试场景、查询测试场景等模块。

3、安全测评

区块链安全测评主要是对账户数据、密码学机制、共识机制、智能合约等进行安全测试和评价。

区块链安全测评的主要依据是《DB31/T 1331-2021区块链技术安全通用要求》。也可根据实际测试需求参考《JR/T 0193-2020区块链技术金融应用评估规则》、《JR/T 0184—2020金融分布式账本技术安全规范》等标准。

区块链安全测评具体包括存储、网络、计算、共识机制、密码学机制、时序机制、个人信息保护、组网机制、智能合约、服务与访问等内容。

二、区块链合规性安全测评

区块链合规性安全测评一般包括“区块链信息服务安全评估”、 “网络安全等级保护测评”和“专项资金项目验收测评”三类。

1、区块链信息服务安全评估

区块链信息服务安全评估主要依据国家互联网信息办公室2019年1月10日发布的《区块链信息服务管理规定》（以下简称“《规定》”）和参考区块链国家标准《区块链信息服务安全规范（征求意见稿）》进行。

《规定》旨在明确区块链信息服务提供者的信息安全管理责任，规范和促进区块链技术及相关服务的健康发展，规避区块链信息服务安全风险，为区块链信息服务的提供、使用、管理等提供有效的法律依据。《规定》第九条指出：区块链信息服务提供者开发上线新产品、新应用、新功能的，应当按照有关规定报国家和省、自治区、直辖市互联网信息办公室进行安全评估。

《区块链信息服务安全规范》是由中国科学院信息工程研究所牵头，浙江大学、中国电子技术标准化研究院、上海市信息安全测评认证中心等单位共同参与编写的一项建设和评估区块链信息服务安全能力的国家标准。《区块链信息服务安全规范》规定了联盟链和私有链的区块链信息服务提供者应满足的安全要求，包括安全技术要求和安全保障要求以及相应的测试评估方法，适用于指导区块链信息服务安全评估和区块链信息服务安全建设。标准提出的安全技术要求、保障要求框架如下：

图1 区块链信息服务安全要求模型

2、网络安全等级保护测评

网络安全等级保护测评的主要依据包括《GB/T 22239-2019网络安全等级保护基本要求》、《GB/T 28448-2019网络安全等级保护测评要求》。

区块链作为一种新兴信息技术，构建的应用系统同样属于等级保护对象，需要按照规定开展等级保护测评。等级保护安全测评通用要求适用于评估区块链的基础设施部分，但目前并没有提出区块链特有的安全要求。因此，区块链安全测评扩展要求还有待进一步探索和研究。

3、专项资金项目验收测评

根据市经信委有关规定，信息化专项资金项目在项目验收时需出具安全测评报告。区块链应用项目的验收测评将依据上海市最新发布的区块链地方标准《DB31/T 1331-2021 区块链技术安全通用要求》开展。

三、区块链安全测评探索与实践

1、标准编制

上海测评中心积极参与区块链标准编制工作。由上海测评中心牵头，苏州同济区块链研究院有限公司、上海七印信息科技有限公司、上海墨珩网络科技有限公司、电信科学技术第一研究所等单位参加编写的区块链地方标准《DB31/T 1331-2021 区块链技术安全通用要求》已于2021年12月正式发布，今年3月1日起正式实施。上海测评中心参与编写的区块链国标《区块链信息服务安全规范》正处于征求意见阶段。

同时，测评中心还参与编写了国家人力资源和社会保障部组织，同济大学牵头编写的区块链工程技术人员初级和中级教材，负责编制“测试区块链系统”章节内容。

2、项目实践

近年来，上海测评中心依据相关技术标准进行了大量的区块链安全测评实践，包括等级保护测评、信息服务安全评估、项目安全测评等。在测评实践中，发现的主要安全问题如下：

表1 区块链主要是安全问题

序号

测评项

问题描述

共识算法

共识算法采用Kafka或Raft共识，不支持拜占庭容错，不支持容忍节点恶意行为。

上链数据

上链敏感信息未进行加密处理，通过查询接口或区块链浏览器可访问链上所有数据。

密码算法

密码算法中使用的随机数不符合GB/T 32915-2016对随机性的要求。

节点防护

对于联盟链，未能对节点服务器所在区域配置安全防护措施。

通信传输

节点间通信、区块链与上层应用之间通信时，未建立安全的信息传输通道。

共识算法

系统部署节点数量较少，有时甚至没有达到共识算法要求的容错数量。

智能合约

未对智能合约的运行进行监测，无法及时发现、处置智能合约运行过程中出现的问题。

服务与访问

上层应用存在未授权、越权等访问控制缺陷，导致业务错乱、数据泄露。

智能合约

智能合约编码不规范，当智能合约出现错误时，不提供智能合约冻结功能。

智能合约

智能合约的运行环境没有与外部隔离，存在外部攻击的风险。

3、工具应用

测评中心在组织编制《DB31/T 1331-2021 区块链技术安全通用要求》时，已考虑与等级保护测评的衔接需求。DB31/T 1331中的“基础设施层”安全与等级保护的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等相关要求保持一致，“协议层安全”、“扩展层安全”则更多体现区块链特有的安全保护要求。

测评中心依据DB31/T 1331相关安全要求，正在组织编写区块链测评扩展要求，相关成果将应用于网络安全等级保护测评工具——测评能手。届时，使用“测评能手”软件的测评机构就能准确、规范、高效地开展区块链安全测评，发现区块链安全风险，并提出对应的整改建议

同济大学区块链同济大学区块链专业

贸易全球化的技术支撑有哪些？

区块链正成为全球贸易的天然“助推器”。正在此间举行的2020年中国国际服务贸易交易会上，如何利用区块链技术，让国际贸易伙伴更好地消除壁垒、建立信任，成为讨论的一个热点。

同济大学区块链研究院院长马小峰表示，区块链技术将推动全球贸易的活跃度，因为区块链天生是一张全球网络，其不可篡改的特性也可解决不同国家间机构、企业的信任问题，降低由于信任问题造成的沟通成本和摩擦，促进贸易蓬勃发展。

“区块链能解决很多的贸易‘痛点’。”深圳时代区块链科技董事长黄天威说，例如在假货防伪溯源方面，区块链技术能降低跨国打假的难度；在贸易金融方面，区块链技术加持的供应链金融能建立更良好的风控模型，创新保理业务、小额贷款业务等，使得服务和交易更加便捷顺畅。

以国家外汇管理局推出的跨境金融区块链服务平台为例，其正是利用区块链技术不可篡改和唯一性的特点，整合物流、信息流、资金流，有效解决传统贸易融资业务流程中贸易背景真实性审核、信息不对称、信息可获得性较差等问题，提升了审核效率，为企业提供了贸易投融资便利化服务。

上海分布信息科技CEO达鸿飞指出，服务贸易在全球跨境支付方面面临较大挑战，交易往往较为零散，区块链技术打造的低成本全球化跨境支付系统因此能派上用场。

如今，中国区块链企业已走出国门，在海外市场建立起技术自信。据不完全统计，仅在2019年下半年，中国企业已与6个国家、组织合作，推进区块链技术在各国和国际上的应用。

这与中国区块链企业在全球范围内的“比较优势”密不可分。《2020上半年全球企业区块链发明专利排行榜》显示，排名前10的企业中，有7家中国公司；排名前100的企业中，接近一半是中国企业，占比达46%，而美国企业则占比25%。

庞大的市场是培育中国区块链企业快速成长的沃土。欧科云链副总裁张超认为，中国区块链技术和应用在庞大的中国市场上“小步快跑”、不断试错，“对于海外的企业来说，不是他们不想去做，而是他们想做却没有市场可做”。

“不同于互联网的发展，中国介入区块链技术的时间不比国外晚，而国外区块链技术主要在金融领域展开，他们的行业宽度没有中国强。”百度区块链总经理肖伟指出，中国区块链应用不仅在金融领域取得了成就，在政务治理、版权保护、农业溯源、医保核实等方面也都成熟落地。

国资背景的数字货币上市公司

奥马电器（002668）：

2018年1月30日表示，公司从2016年初开始研究数字货币及区块链技术，并成立创新小组。2016年7月公司与同济大学成立金融科技联合实验室，主要研究方向为区块链技术在金融产业的应用；公司参与了央行数字货币的原型设计；2017年公司成立全资子公司数字乾元，布局区块链技术研究、开发。在区块链应用方面，公司目前核心技术团队30余人，拥有较为领先的技术储备及广泛的应用场景优势，但目前尚未形成相关业务。

美盛文化（002699）：

公司参股北京投肯科技，其具有数字货币智能报价平台的软件著作权，软件简称币价通。

海联金汇（002537）：

2019年9月25日公司互动平台回复公司曾参与并完成中国支付清算协会数字货币研究小组的相关课题。

朗科科技（300042）：

2019年9月27日公司互动平台回复公司目前有两件数字货币相关专利，一件为外观设计专利“闪存盘（冷钱包）”，该专利已获授权；另一件为发明专利”数字货币钱包、交易方法、交易系统和计算机存储介质“，该专利目前正处于实质审查阶段。

飞天诚信（300386）：

2016年2月份，公司在互动表示目前在区块链技术有一定的技术储备和研究。公司未来将积极参与数字货币及其他区块链技术产业。

聚龙股份（300202）：

2019年9月19号公司在互动平台回复：公司对数字货币业务的发展一直保持高度关注，且在数字货币的应用推广方向做了相关预研项目的储备。公司希望发挥自身在金融机构领域的品牌优势、渠道优势、服务优势为我国数字货币的发行、推广做好服务工作。

科蓝软件（300663）：

2019年11月4日公司在互动平台称：公司已取得移动钱包方面相关软件著作权，并且有数字钱包相关的研发和技术储备，可以支持数字货币。