两年探索,首个标准,《区块链安全测评指标体

 新闻资讯     |      2020-01-03 21:36

作为陕西首个区块链地方标准,《区块链安全测评指标体系》旨在规定区块链系统的安全架构、测评模型、测评指标体系以及测评技术要求,适用于区块链安全系统的测试评价。

近日,链团财经采访了该指标体系的两位负责人,西电链融科技有限公司创始人裴庆祺老师以及西安电子科技大学刘景伟老师,我们以《区块链安全测评指标体系》为引,从产、学、研的角度考虑,共同探讨推进区块链安全标准的发展进程。

刘景伟:目前我个人的主要研究方向,包括区块链、大数据、物联网,以及5G通信系统的安全,其中包括像信息安全、隐私保护等方面的研究。

链团财经:我们这次的项目是《区块链安全测评的指标体系》,为什么会想到要去做出这样一个标准体系?

刘景伟:因为不管是计算机领域的技术也好,还是包括通信等的其他领域的技术也好,所有的技术如果想要在一个技术领域或行业中形成规范的应用,就必须有一个标准。

就拿区块链技术来说,从08年最初提出、09年上线、再到现在,已经经历了10多年的发展历程。

在这一过程中,标准的推进相对于技术的发展始终有一些滞后,但整个区块链产业又亟需一系列的相关标准来引导和规范,于是就形成了我们推动这一标准的最初动力。

刘景伟:随着区块链技术和市场的发展,实际上行业内部包括企业自身对区块链的定义和规范都有不断出台,但是《区块链安全测评指标体系》这一标准是首个以政府形式推出的区块链标准,该标准以顶层设计的形式对区块链的安全评测做了一个定义和指导。我们后续还会推动区块链测评方法和区块链技术规范等一系列文件的标准化工作,这是一个不断完善的过程。

刘景伟:是的,目前从国家的官方网站上可以找到的只有两个区块链相关的标准制定计划:一个是区块链数据格式规范,目前还在网上公示阶段;另一个是区块链参考架构,现在还处于起草阶段。这些都属于政府层面的,可以从国家官方网站上查到。

但是,如果是从网络上百度的话,可能会找到很多区块链的相关标准,不过这些都属于行标或团标,或者是企业、公司自己内部的一些标准规范。我们此次推出的陕西省地方标准是属于政府主导发布的标准。

刘景伟:任何标准的推出都不可能是凭空而来的。我们在编写这个标准的时候,前期做了大量的信息系统安全测评、计算机网络安全测评、密码算法安全测评等已有的相关标准。在充分调研的基础上,我们又针对区块链所涉及的各项技术,梳理出来了区块链技术和系统的共性要素,形成了这样的一个六个维度的指标体系。

刘景伟:这个项目是2018年8月份正式立项。经过前期的调研,于2019年1月初步形成了标准草案。在此之后,我们又进行了查新,并向全国多家区块链相关企业和科研院所征求了意见。经过大量的反馈、修改,在今年10月份的时候,完成了标准的最终审核版本。11月22号进行的标准评审答辩,经过评审,专家们一致通过了这一标准。

链团财经:我们这次项目的最终落脚点就是会出台一个这样的区块链安全测评指标体系的标准文件,是吗?

刘景伟:最初我们提出这个标准的时候有一个小目标,就是希望这个标准能够规范我们陕西省的区块链市场。另外,通过这样的一个测评标准,形成示范性测评样例并加以推广。我们还会根据我们的产学研合作单位西电链融的一些区块链系统开发需求,尝试开展区块链测试平台或测试床的研究与开发。

后续我们还会持续研究区块链安全测评方法及测评流程,形成后续的标准文件。没有哪个技术领域可以说只用一个标准文本把所有的方面都覆盖了,它是一个完整的标准体系逐步建立的过程。

刘景伟:标准里面有强制标准,也有推荐标准。我们的区块链安全测评标准是陕西省推荐标准,面向的用户可以是区块链技术和系统开发公司,也可以是区块链系统建设使用单位,它还可以作为政府监管部门的参考依据。

刘景伟:在全球区块链标准的推进方面,我们国家其实是走在前列的。因为目前国际上区块链标准的推进情况,大多也都是在起草调研阶段。目前国际上只有9月30号发布了一个区块链分布式账本标准,这只是区块链技术里很小的一个层面。

如果从区块链行业内部来看,国内已经出台了很多的相关行业标准,但是目前还不成体系。

另外从研究的角度来看,国外大多标准计划只是针对区块链系统中的某一个点展开探讨;而我们更多的是要考虑“区块链+”的相关研究,比如说区块链与传统的电子政务、数字版权、金融服务、或者是能源行业等领域的具体应用落地。所以,我们在做这个指标体系的时候,关键的就是要找到区块链技术在这些应用领域中的共同点,从宏观层面总结归纳出合适的安全指标体系。

刘景伟:因为区块链本身就是一个基于密码学的技术,它的底层设计有一半是靠密码技术支撑的,所以我们认为从安全测评入手是一个非常好的切入点。

另外还有一个重要的原因:因为西电是我们国家密码学的黄埔军校,国内科研院所(包括中科院和高等院校)的许多从事网络与信息安全研究的学者都是从西电毕业的或者跟西电有着一定的渊源。所以,我们以安全作为测评的一个切入点,也正是发挥了西电的传统学科优势。

链团财经:安全问题一直以来大家备受关注的方向。很多人的安全意识还是非常薄弱,您觉得用户在区块链系统的使用安全方面需要注意什么?

刘景伟:就好像使用手机一样,你在打电话的时候,从来不关心数字语音信息是如何通过无线-有线-无线传输到对方手机的,这个过程是不是安全的。实际上,这个过程是非常安全的,别人无法窃听的。对用户来说,其实他不需要关心具体过程是怎样的,他只要关心使用体验就可以了。

在未来,区块链将和我们的通信基础设施一样,可以理解为一个信任的基础设施平台。拿铁路打个比方,将来区块链在与具体某个行业结合的时候,在这个车厢里边,你想让它承载什么样的业务和什么样的应用,可以根据具体的行业情况和特点去设计和使用。至于“车厢与车厢之间怎么连接(哈希和数字签名)?”,“以什么形式来驱动一节一节的车厢向前运转(共识和激励)?”这是区块链系统设计人员需要考虑的,用户不需要过度担心。

链团财经:您一直也在研究区块链安全,那您觉得目前我们区块链安全服务行业的现状如何?

刘景伟:不仅仅是区块链安全服务,从网络与信息安全这一更大的角度来说,安全实际上是一个不断发展的过程。我们在说我们的信息系统很安全的时候,其实也仅仅是针对于当下来说的。

如果大家经常关注网络安全动向的话,会发现实际上每一天都有关于网络安全的新漏洞、新技术甚至新设备的出现,包括最新的量子计算机。这些新设备、新技术的出现,都会对我们现在已有的安全技术和防护措施造成一定的冲击,实际情况就是这样的。

有句话说:只有真正的安全危机出现的时候,人们才会重视它。安全是一个保障型技术,其作用是降低发生安全事件的概率及损失,它是个概率问题。没有哪个系统可以做到100%安全,你从98%提高到99%,投入可能会很大,而有些组织可能停留在95%就不愿再投入了。

区块链安全服务行业的技术层面所涉及到了各种密码算法、安全协议、共识算法、系统平台,虽然目前看起来可能是安全平稳运行的,但是随着新技术的不断发展,未来会遇到什么样的安全问题,现在还是未知的,但是问题一定会出现。所以区块链行业作为一个新兴的安全服务行业在系统开发和运营的过程中,一定要不断提高自身技术水平和安全意识,以应对未来众多的未知风险。

刘景伟:这个问题有点像经济研究领域。世界上最牛,最顶级的经济学家,其实都是数学出身,这就相当于底层技术。如果把一个行业最基本的理论和技术工具做好的话,你再去投身到这个行业里面,就会把事情做得很好。那么区块链行业也是同样的道理,它底层的技术一个方面是底层网络技术,分布式的.

另外一个方面是信息安全与密码学,包括哈希函数和数字签名。两者都是构建区块链大厦的一砖一瓦。而高校就是培养这些基础知识的最佳场所。相对高校,商学院对区块链人才培养的侧重点会有不同,可能会更宏观更市场化。

裴庆祺,西安电子科技大学区块链应用与评测研究中心主任,陕西省区块链与安全计算重点实验室执行主任

裴庆祺:我是西安电子科技大学的一名教师,也是西电链融的创始人兼CEO。现在也是受到国家政策上的一些引导,鼓励教师来进行创新创业工作,走出校园,创办了西安西电链融科技有限公司,这也是我们学校持股的一家企业,属于学校科技成果转化的一种探索出来的模式。

裴庆祺:目前老师出来的就我一个,但是,我们西电链融团队在区块链领域应该算是实力比较雄厚的一个团队。因为链融主要也是在做区块链领域的技术研发、技术服务和产品推广的一个企业,而我本人也是长期在区块链领域,包括网络安全来进行学术研究和技术母婴店货架创新工作的,取得了比较多成果的;另外我们团队的战略顾问沈八中教授,他是国家“千人计划”的特聘专家,在公司战略规划方面也是很有经验的。

裴庆祺:我们链融的核心价值“信以致远,链融天下”,所以我们是围绕信用体系、国家诚信体系来进行建设的,我们希望用区块链把整个诚信社会联系b起来,凝聚起来。实际上我们的核心还是在社会治理方面做一些工作,社会治理是我们一直关注的。

裴庆祺:是的,用区块链赋能于社会治理,来支撑诚信社会的建设,这是我们对公司的一个目标和定位。

裴庆祺:这可能跟我原来对区块链的理解以及我专业的研究方向有关,我原来是做信任管理机制研究的。但是做这些研究的时候会发现我们做这个其实是个死胡同,但是区块链解决了这个问题,区块链相当于降低了信任的建立和维护的难度,所以说我认为未来它可能对诚信社会的建立肯定是有帮助的。

现在我们中国跟国外对比的话,实际上不管在经济上还是在其他各方面物质上,差距都越来越小了,但有一点差距还比较大的,是在诚信体系建设上面,我们好像跟国外的差距还是有点大,所以我们就选了赋能于社会治理,真正的希望用区块链来为诚信社会的建立来做一些帮助。

另外,赋能于社会治理还能通过数据的流转带来信任的传递和价值的流通,这样的话实际上也可以赋能于智慧城市,还有药店货架智慧政府的建设,所以我们觉得这件事实际上是真正可以有助于解决我们人民生活问题的。

链团财经:对,因为在前期准备的时候我发现我们现有的一些业务,比如税收、版权,教链,其实都像您刚说的那样。

裴庆祺:是这样的,我们一直都是聚焦在这方面。因为现在区块链公司实际上有很多。但是像我们这样选了一个实际上不是那么有经济效益方向的还是不多,但是我们确实觉得这是一个社会比较需要的,所以我们也愿意承担这方面的一些责任。

区块链整个应用实际上有好几个层次,可能你只是用它的不可篡改、公开、透明这些就可以做一些事情,但是我们还是希望能把一整套组合拳打起来,用我们的信息技术来做支撑,吸引到一些社会学、管理学,还有金融学的这些知识,能够打造一些更高层的社会治理架构,这实际上是我们一直想追求的感觉。

裴庆祺:是的,我们希望这种信任共识更具有一定的普遍性,这实际上还是有一定难度的,因为现在整个区块链所需要的生态没有形成,所以说你现在提这些东西还是为时过早,所以我们现在更多的还是在一些生态的促进、技术储备、应用的推进上面不断的往前推,反正说句难听话也是砸锅卖铁往前爬,一步步布道这样子。

裴庆祺:区块链为信任能够做一些更好的支撑,这个观点我是比较认可的,但其实这不是我说的,实际上在2015年的时候,《经济学人》杂志封面的文章就说过:大家都觉得比特币很牛这好那好的,但实际上并不是数字货币本身有多好,更好的是他背后的信任机器。

你看像利用密码学,保证你这些数据难以篡改,不可抵赖,更安全,你利用分布式技术保证它能传到每个人身上,这些都是在为信任在做准备,然后大家通过共识技术再对某一点达成共识,共识本身就在心理学上就是一种信任,如果未来智能合约真的再把这些都运作、运营起来,通过一定激励机制把人们吸引进来,那将来根本都不需要第三方来运行了,社会将更加信任,技术也真正的服务于实体经济,我觉得它的发力点可能还在这上面,当然我们也不能一步到位,马上去做,现在社会上很多公司实际上也都像我们一样,还在做这种前沿的探索,或者是一些实际的应用落地的摸索,但我觉得都是非常有价值的。

裴庆祺:我们做这个的话,一个是希望我们能更多地服务于政府,包括社会治理、城市治理、智慧政府等方面,我们希望为他们做一些技术的服务支撑。第二的话,我们也希望可以服务于一些行业和企业,因为我们在基础上面,特别是在区块链与安全融合这方面,我们依托学校的优势学科还是有一定的积累,所以我们也可以为一些高新技术企业,或者国内一些区块链领先的企业,为他们做一些基础的服务支撑。

另外像我们实际上也在探索开发一些toB、toC的产品,比如我们的图片确权交易的平台,以往的互联网思维是把数据全部拿到手上,但现在区块链环境下,人们对自己数据是有话语权的,在这种思维下,我们怎么通过信任体系把数据的确权、交易确保,让数据真正流通起来,数据价值流转起来,实现增值或其他应用。

裴庆祺:我们和链改不一样,链融主要还是以技术为驱动。你刚说的链改,现在可能前期区块链赋能会比较多一些,但是未来就不仅仅会是在这方面了,他可能要主导整个数据经济的发展和为事业实体经济服务更直接一点,在前期因为整个区块的生态没有形成,所以我们更多只能赋能,比如一些领头的企业,他在运营过程中可能会有一些技术革新的需求,所以我们会用区块链来赋能于它,但是未来如果我们的生态能够形成,那更多的可能是区块链来主导和引领。

链团财经:12月27日发布的《区块链安全测评指标体系》,我们西电链融也加入其中,链融在其中的作用有哪些?

裴庆祺:相比学校来说,链融更靠近于产业,更靠近于市场,区块链它相对来说还是比较偏应用型的一个学科或者技术,要保持它的规范性,除了一些在学术上引领的规范之外,我们还要有一种行业和产业上的一种规范,所以我们链融在里面实际上是向标准里面提供这方面的一些反馈。因为这个标准是要为产业,行业和市场服务的,所以说来自于市场和产业的企业的在里面发挥的作用就是链融需要发挥的作用。

裴庆祺:原来有人告诉我创业是百分之一的成功率,但我现在感觉可能是千分之一或者万分之一,还是比较艰难的。其实这次测评指标体系的建立相当于是一个我们团队内部产业跟学术的融合碰撞的过程,刘景伟老师他们代表的是学校技术的先进性,而我们这边更多的代表产业企业,我们共同来把这个标准做好,为区块链未来的生态,未来产业规范性的发展能够来保驾护航,贡献一点我们自己的力量。

裴庆祺:我现在总共有三门关于区块链的课程,一个是IBM支持的《区块链实验,案例分析与场景设计》;还有一个是由微众银行支持的《基于分布式账本和区块链的应用实践》,这两门课程都属于都属于教育部:产学合作协同育人课程;另外还有一门是我自己开设的:区块链与分布式信任,这个属于本科生的通识课程。

裴庆祺:就根据我教授的三门课来看,效果其实并不好,可能是因为我们当时开课对象大部分都是大一大二的,实际上他们在上面还很迷茫,区块链通识课还行,但是上完课就让学生们有东西做出来可能还是有些难度的;另外,现在的学生都被考研的指挥棒牵引,任选课的话,他不重视。

因此,我觉得这个课程我们不仅要考虑到我们整个区块链发展的一个态势外,还有考虑受教人的基本背景,以及素养之类的,这样的话可能做的会更好一点。所以总体来说,培训现在做的很好,但整个课程教学还有待提升。

链团财经:自从区块链上升到国家战略后,各省也都在积极不断的学习区块链,那我们陕西目前在区块链发展方面是一个什么样的情况?

裴庆祺:陕西在区块链发展上面是有它的优势的,因为在支撑区块链的核心学科里,陕西都具有国家双一流的学科和国家级的重点学科,所以说在人才和培养方面,前期研究的基础方面,陕西还是具有比较强的优势的,但是现在可能是受制于我们本身经济体量的问题,相对国家层面,我们可能还是稍微有一些滞后,所以整体来说基础很好,但是重视程度还有待提高。

裴庆祺:经验谈不上,因为我自己现在还都在一直摸索中,但是我觉得迎合市场需求、把握政策支持,肯定会站在风口顺势发展的。