企业区块链安全规范——组织的分布式账本安全框架
Stefan Bayer博士宣布成立企业区块链安全委员会(EBSec)并发布企业区块链安全规范(EBSS)
EBSec是一个由对企业应用中安全采用分布式账本技术有共同兴趣的公司组成的联盟。EBSS是双方合作的第一个成果,它是一个指导企业安全设计、部署和管理区块链应用的框架。
分布式账本安全
区块链受到先进的密码学的保护,被认为以目前的技术无法破解。这意味着,理论上,存储在分布式账本上的数字资产应该是非常安全的。然而,网络安全事件导致资产盗窃事件不断发生。几乎没有一个星期不发生重大事件或新的漏洞披露。公共区块链领域明显的不安全性已经开始影响分布式账本技术的声誉,并严重阻碍了企业的应用。企业和整个产业都不确定如何利用这项前景看好的技术来实现企业用例。
我们观察到的安全问题是由一些原因造成的:
- 模式的转变:分散式系统不同于传统的信息技术系统,因为它们引入了新的概念。现在的资产安全已经不是一个集中式的概念,数据和其他资源被锁在一个属于金库式方案的黑匣子服务器中。取而代之的,是通过加密协议、用户管理的加密密钥,甚至是智能合约中的复杂规则来保障资产透明化。这意味着公司必须应对他们可能不习惯的新安全范式,并且缺乏最佳实践指南。
- 不良实践:信息安全中的不良实践在所有系统中都非常普遍。在透明和分散的系统中,依赖于私钥的安全,依赖智能合约保障重大价值的安全,其影响往往更严重。系统往往可以逃脱写得很差的代码或集中式后端不安全的密钥,只是外部用户看不到这种不良做法。然而,公共账本上不安全的智能合约是所有人都能看到的。
- 传统的信息系统安全:分布式账本和智能合约只是典型区块链应用的一小部分。通常,有许多常规软件层,包括网络接口、API、节点软件和数据库。在很多事件中,系统实际上是通过传统软件漏洞被攻击的,而这些漏洞与区块链技术没有任何关系。
企业区块链安全规范
EBBS诞生于对一般安全准则的观察需求,企业可以使用这些准则对其操作模式适用最低安全标准。该规范并不是要取代现有的安全标准,如ISO/IEC 27001:2013。它也不提供低级别的安全措施来提供安全代码。现已有涵盖特定技术的其他建议。相反,EBSS专注于希望采用分布式账本技术的公司应该制定的一般准则和操作政策。
企业区块链安全委员会
EBSec是我们给(目前)定义EBSS的公司所组成非正式联盟的名称,每家公司都以自己的方式为区块链安全做出了贡献。
目前,以下公司构成了EBSec:
Cryptonics是一家分布式账本和密码学咨询公司,专注于审计全栈区块链应用和开发安全的区块链架构。
Solidified是一家智能合约审计公司和bug赏金平台,专注于一流、以以太坊为核心的智能合约审计。
S2 Grupo是一家大型网络安全服务提供商,专注于网络安全管理、咨询和安全开发。
PARSIQ是一家领先的区块链分析公司,专注于对区块链部署的数字资产进行实时监控。
贡献
我们不希望EBSS和其他未来的规范仅仅依靠我们自己的经验和判断。欢迎通过标准的GitHub流程对规范做出贡献,例如pull request和议题。
由Cryptonics的首席执行官Stefan Beyer博士撰稿。他从事分布式系统研究超过15年,专注于区块链技术、网络安全和密码学。他对许多大型区块链应用和智能合约协议的安全性进行了审核,并为初创企业和成熟企业提供区块链安全和密码学方面的建议。他是企业区块链安全委员会的创始人,也是企业区块链安全规范的发起人。
关于SiGMA的新改版网站:
SiGMA集团很高兴地宣布其全新改版的网站正式上线。该网站目前有5种语言版本,分别是英语、俄语、普通话、葡萄牙语和西班牙语,并计划在未来几个月内增加5种语言版本:法语、泰语、韩语、日语和印地语。
