国家计算机网络与信息安全管理中心海南分中心 海南海口 570206
引言
区块链作为一种全新的信息存储、传播和管理机制,通过让用户共同参与数据的计算和存储,并互相验证数据的真实性,以“去中心”和“去信任”的方式实现数据和价值的可靠转移。近年来,区块链技术受到各界的广泛关注,搜索指数持续上升,成为近年来炙手可热的新兴互联网技术之一,在给国家发展带来机遇、给社会生活带来便利的同时,也带来了一定的安全风险。通过与传播领域的结合,被一些不法分子利用传播违法有害信息,实施网络违法犯罪活动,损害公民、法人和其他组织合法权益。部分区块链信息服务提供者的安全责任意识不强,管理措施和技术保障能力不健全,对互联网信息安全提出新的挑战。
自2008年中本聪首次提出区块链概念以来,区块链技术架构经过十余年的发展已趋于成熟,因此,更多企业把发展重心放在探索区块链在各行业领域的应用模式上。据Gartner预测,到2025年,区块链技术将在以制造业为首的多个行业制造高达1760亿美元的商业价值。
在国家层面,美国国土安全部早在 2015 年已开展与 Factom等区块链企业的合作,支持区块链在身份管理、国土安全分析等领域的应用项目研发;俄罗斯联邦国防部于 2018 年在其军事技术加速器(the ERA)技术园区建设区块链研究实验室,研究将区块链技术应用于识别网络攻击和保护关键基础设施等。
在产业层面,LaunchKey、Blockstack、Guardtime等企业均在各自领域推出了“区块链+网络安全”产品和解决方案。目前国际上区块链在网络安全领域的应用探索。
随着区块链技术在各行业领域的不断应用,一方面,其共识机制、私钥管理、智能合约等存在的技术局限性和面临的安全问题逐渐显现,区块链平台应用等安全事件层出不穷。
2018年5月,一名恶意矿工通过使用51%算力,临时控制了BTG区块链。在控制期内,这名矿工通过多次发起交易和撤销交易的操作,不停的将一定数量的BTG在不同的钱包地址之间转账,进而获得不法收益。次此攻击涉及到的比特币黄金地址已收到超过388201个 BTG,价值高达1860万美元。 BTG由BTC硬分叉而来,继承了BTC的POW(工作量证明)共识机制。然而,类似于BTG这种硬分叉币,或者某机构刚刚发行的数字代币,其全网算力通常较小,这为51%攻击带来了可能:即某矿工控制了全网51%算力后,能够连续获得多个区块的记账权,从而实施双花攻击。这种攻击方式主要由相应数字代币的自身机制导致。
Bitfinex 在2016年8月2日凌晨发布的公告,该交易所在发现了一个安全漏洞后便停止了交易。以当时价格计算,失窃比特币价值约6500万美元,受此消息影响,全球比特币价格应声下跌25%。从Bitfinex官方公告的信息上看,它最大的漏洞出在热钱包安全机制上。Bitfinex选用的是一家叫BitGo的安全平台公司,这家公司使用对服务使用者的热钱包进行多重签名机制,以期实现服务使用者BTC安全存储。但这首先需要假设Bitfinex发送给BitGo的所有指令都是正确安全的,所以,很有可能在Bitfinex发出指令的过程中已经产生了问题。该类攻击主要由数字货币交易平台自身漏洞所导致。
各类安全事件的频繁发生给区块链在新模式下的应用管理敲响了警钟,区块链安全问题也引发了政产学研等各界的广泛重视。全球主要国家和地区纷纷聚焦区块链安全,从政策引导、加强监管、技术应对等多方面开展应对,具体表现在:
英国:推动政产学研各界合作,提出“技术+法律”的区块链监管新模式
英国政府及其央行一直积极响应区块链技术,希望凭借占领区块链技术发展先机,重夺其国际金融中心地位。早在2016年1月,英国政府科学办公室就发布了《分布式记账技术:超越区块链》研究报告,将发展区块链技术上升到英国国家战略高度,同时指出,区块链技术中存在的硬件漏洞和软件缺陷可能带来网络安全和保密风险。报告建议英国政府加强与学术界、产业界的合作,加快区块链标准制定,正视发展区块链技术面临的来自技术本身以及应用部署方面的双重问题,以技术监管为核心,法律监管为辅助,双措并举打造区块链监管新模式。2018年,英国政府宣布将启动新的加密货币研究工作,与金融市场行为监管局(FCA)和英格兰银行合作,探索比特币等加密货币带来的潜在风险。
美国:鼓励探索区块链在安全领域的应用,注重区块链安全风险技术应对
美国在监管方面多方听证、谨慎立法,对区块链技术发展保持着警惕而友好的态度。2018年,美国国会发布《2018年联合经济报告》,提出区块链技术可以作为打击网络犯罪和保护国家经济和基础设施的潜在工具,指出这一领域的应用应成为立法者和监管者的首要任务。美国国防高级研究计划局(DARPA)也正在大力投资区块链项目,旨在安全储存国防部内部高度机密项目数据。在区块链安全应对方面,2017年,美总统特朗普签署了一份7000亿美元的军费开支法案,其中包括授权一项区块链安全性研究,呼吁“调查区块链技术和其他分布式数据库技术的潜在攻击和防御网络应用”,支持美国国土安全部(DHS)开展的加密货币跟踪、取证和分析工具开发项目。
欧洲:指出区块链监管机制不成熟,呼吁正视区块链安全风险
欧洲各国对待区块链和加密货币技术的态度不一,如法国政府对区块链技术表现出兴趣,但尚未在区块链领域实施重大举措,而瑞士、德国则积极发展区块链技术和应用,并先后开启区块链在本国的规范化应用进程。2016年3月,欧洲央行在《欧元体系的愿景——欧洲金融市场基础设施的未来》13报告中提出,欧洲央行正在探索如何使区块链技术为己所用。欧洲证券和市场管理局(ESMA)成立了“特殊小组”,进一步研究区块链技术,于2016年6月发布了一份关于应用于证券市场分布式记账技术的报告并指出,现阶段区块链技术应用的数量和范围有限,监管机制并不成熟。
此外,新加坡、俄罗斯、加拿大等国也相继通过发布政策文件、成立区块链技术研究机构等不同举措,积极开展区块链技术研究,尤其是在金融等领域探索区块链应用新模式。随着区块链技术的不断发展和安全事件的频频发生,各国对区块链的态度也逐渐趋于理性,在鼓励技术创新和应用发展的同时,也在积极推动区块链安全风险、安全问题的发现和应对。
在区块链技术的发展过程中,区块链各技术分支和应用领域发展程度不均衡,缺乏统一的概念术语、架构及测评标准,技术和机制特性给法律和监管带来挑战等问题在不同程度上对技术的发展应用和产业化形成了阻碍。围绕技术架构规范、开发规范、身份认证等相关标准化、合规化问题,国际标准化组织和开源组织已开始启动区块链安全标准化工作,规范区块链技术应用发展。如图1.1所示。
如图1.1 国际区块链安全标准化相关工作
如图1.1所示,ITU、ISO、W3C、GSMA、IRTF/IETF 等国际标准化组织已在区块链技术参考架构、智能合约安全等相关方面开展了大量的标准化工作,其中:
ITU:同步推进区块链技术安全和场景安全分析相关议题
ITU-T 在区块链安全议题上表现活跃,参与方众多,研究范围较广,推进路线明确。在安全方面,Q14/SG17 聚焦分布式记账技术安全问题,围绕基于区块链的应用和服务,识别安全问题和威胁,研究安全机制、协议和技术,研究个人信息保护、安全管理和互联互通安全,制定安全方案建议等。目前已开展了分布式记账技术的安全能力和威胁等 9 项区块链安全标准制定工作,分别围绕区块链技术的安全威胁、安全架构、安全保障、安全服务以及具体场景(如身份管理、在线投票、电子支付、软件分发)下的安全分析。
ISO:设立多个研究组和工作组,推进区块链安全标准研究
ISO 于 2016 年 9 月成立了区块链及电子化的分布式账本技术委员会 TC307,其下设立了多个研究组和工作组,开展区块链术语、用例、安全和隐私、身份认证、智能合约等重点方向的标准化研究工作。目前共有包括区块链和分布式账本技术参考架构(ISO/AWI 22739)、区块链和分布式账本技术安全风险和漏洞(ISO/AWI 23245 )、区块链和分布式账本技术隐私和个人可识别信息(PII)保护概述(ISO/NP TR2324)等在内的 8 项区块链安全标准研制中。
W3C:聚焦从细分技术层面创建安全规范的区块链标准
W3C 于 2016 年 7 月召开了区块链专题研讨会,探讨在 Web 中应用及支持分布式账本技术,明确提出区块链需要标准来消除冗余,同时促进竞争。W3C 提出了区块链的三大标准化工作目标:一是 API和关键的数据格式标准,二是身份识别和授权标准,三是软件许可和来源标准;并呼吁创建区块链技术公共标准,为区块链安全发展和应用提供参考,其所成立的区块链社区组目前暂无成果报告输出。
GSMA:关注区块链技术在通信和安全领域应用
GSMA 于 2017 年 7 月份在 IG(Internet Group)中启动了区块链技术研究报告14,分析区块链技术特点、在运营商的应用场景、商业机会、投资分析和建议,其它工作组也在各自领域探讨区块链的应用。其中,FASG(Fraud and Security Group)重点探讨使用区块链技术防诈骗、增强网络安全、用户身份认证及通信安全。
IRTF/IETF:研究区块链安全和隐私保护技术方案
互联网架构委员会 IAB 下属的 IRTF 于 2016 年 9 月设立了Blockchain, Distributed Data & Service Federation 研究项目,讨论数据分布式共享数据模型、通信协议、信息安全和隐私保护技术方案,并逐步推动制定流程、机制和协议标准,并于 2017 年 9 月更名为 DINRG(Decentralized Internet Infrastructure Research Group)工作组,研究内容为分布式基础设施服务中的关键问题(如信任管理、标识管理、域名解析、资源/财产所有权管理、资源发现等)。
除国际标准化组织外,开源组织和联盟也对区块链开源框架、开发规范等作出了积极的探索。2018年5月,企业以太坊联盟(EEA)发布了以太坊客户规范,旨在提高以太坊区块链应用程序的隐私性、可伸缩性和安全性。此外,R3 CEV、Hyperledger-fabric等国际开源平台和联盟也相继发布了以太坊开发指南、fabric协议规范等,提出区块链开源框架、开发规范等,指导用户安全开发区块链相关程序,推动区块链技术安全发展和应用。
相比于国外,我国在区块链技术发展、政策引导等方面的工作起步较晚,但近几年来,各行各业对区块链关注程度较高,在充分汲取国外发展经验的同时,积极开展自身领域与区块链技术结合的探索,区块链相关产业发展迅速。根据相关调查报告数据,从整体数量上来看,我国活跃的区块链项目众多,占亚洲地区总量的 85.5%,与全球各国相比也高居首位;从技术生态格局上看,在我国的区块链项目中,55.4%的项目聚焦探索区块链行业应用,其次是区块链底层技术项目占 31.6%,硬件和基础设施类项目占 8.5%,而安全服务类项目仅占 4.5%,总体看来,与全球技术生态格局基本一致,
图 1.2 国内区块链技术生态结构
尽管我国目前区块链企业数量众多,尤其是多数企业在行业应用方面积极布局,不断探索现有业务与区块链技术结合和应用模式,但其中不乏“区块链传销”、“山寨币”、“空气币”等行业骗局,以及虚假、夸大宣传区块链产品功能作用等行业乱象,从长期的市场规范化发展来看,相关问题亟待解决和优化。此外,由于目前我国区块链发展多集中于行业应用模式的探索,多数区块链技术开发者、平台运维者、用户等安全意识普遍不高,区块链安全产品和服务的需求驱动尚不明显;尤其是在中小企业、创业团队中,受人财物等资源的限制,开发和项目管理人员往往不具备专业的区块链安全知识,更鲜少设置专门的区块链安全管理和技术人员,专门从事安全开发控制、安全测试和安全管理相关工作,多种因素导致我国区块链安全产品和服务市场尚未形成规模。
近年来,我国在政策方面频频发力,在国家层面多次强调区块链技术应用价值,鼓励推动区块链技术发展和应用。2016年12月,中国国务院印发《“十三五”国家信息化规划》,区块链与大数据、人工智能、深度学习等新技术,成为国家布局重点。2017年6月,中国人民银行印发了《中国金融业信息技术“十三五”发展规划》,明确提出积极推进区块链、人工智能等新技术应用研究,并组织进行国家数字货币试点,2017年10月,工信部发布首个落地的区块链官方指导文件——《中国区块链技术和应用发展白皮书》,对区块链的后续发展提出指导意见。2018 年 5 月,习近平总书记在两院院士大会上明确提出要加强“以人工智能、量子信息、移动通信、物联网、区块链为代表的新一代信息技术加速突破应用”。而在2019年两会期间,区块链相关提案共有34条,相比于2018年两会,数量同比上涨61.9%,其中四省两市的政府工作报告提及发展区块链。
在地方政府报告中,重庆直接提出要推动区块链的发展,促进智能产业、智能制造和智慧城市加速发展,推动区块链技术创新应用,促进区块链产业健康发展。
云南提出抢抓数字经济机遇,全力建设“数字云南”,在“加快推动数字产业化”时,“重点以区块链技术应用作为突破口,把云南打造成区块链技术应用高地”。
福建省则指出“深化数字福建建设,加快数据资源整合共享,大力发展大数据、物联网、人工智能、5G商用和区块链产业,在制造、金融、医疗、健康、安防、政府等领域,实施100个人工智能应用示范项目,形成100个深度应用场景”。
山东省指出要推进媒体融合发展,利用人工智能、大数据、云计算和区块链等先进技术重点建设海报新闻客户端、县级融媒体中心、新媒体大平台和广电网络5G试点项目。
各地政府,特别是沿海地区纷纷成立区块链试验地、研究院。此外,深圳、杭州、广州、贵阳等地政府都在积极建立区块链发展专区,给予特别扶植政策。
随着区块链安全问题的逐渐显现,在推动技术发展和应用落地的同时,我国在政策制定中也开始注意到区块链安全问题,从区块链安全威胁描述、安全体系构建、安全应对建议等方面加强指导。
我国区块链安全标准化工作主要集中在安全体系架构、应用和平台安全要求等方面。其中,在国家标准方面,TC260的WG致力于规范基于区块链的审计信息基础设施的设计和建设,以应对审计记录篡改、敏感信息泄露等安全威胁;WG7通过研究区块链应用安全管理的原则、角色、模型,提出区块链应用安全管理的内容,制定区块链应用安全管理基本控制措施;SWG-BDS已启动区块链安全标准体系研究项目,并制定区块链风险模型,识别区块链关键资产和主要威胁,提出支持规划、设计和实施区块链安全的一致架构,并针对该架构的关键组件明确其具体的安全能力要求。在通信行业标准方面,区块链安全标准化工作主要由CCSA TC8 WG4负责推进,聚焦区块链安全,开展实施包括区块链开发平台网络与数据安全技术要求、区块链数字资产存储与交互防护技术规范等标准项目,以及基于区块链技术的数字证书管理技术研究、区块链平台安全机制与协议研究等研究项目。
区块链技术架构本身存在的安全风险之外,其去中心、自治化、难更改、强匿名等特点也给现有网络和数据安全监管手段带来了不少挑战,具体表现在:
区块链中用户账户由随机数字、字母和用户公钥生成,不直接包含网络地址、设备地址等信息,更不关联手机号、住址等与用户真实身份 强相关的各类信息。区块链难以追溯的特性在一方面导致了对恶意网络行为、攻击事件等追溯更加困难;另一方面,也助长了不法分子网络犯罪的气焰,勒索病毒、暗网交易等往往利用基于区块链技术的加密货币收取赎金、实施结算以逃避溯源。
区块链中开源的共享协议可使数据在所有用户侧同步记录和存储,对攻击者 来说,能够在更多的位置获取数据副本,分析区块链应用、用户、网络结构等有用信息;但对监管方来说,在区块链模式下,区块中的数据采用分布式方式存储在用户节点,而不再集中化存储,用户的通信数据也通过点对点的方式进行传输,无需经过集中的服务器或平台,导致监管数据的采集和获取困难,监管技术接口难以实施。
区块链中数据写入时,需要大部分节点通过共识机制进行裁决,决定是否同意写入,并设置了时间戳机制记录写入时间,以实现禁止对历史记录的修改。因此,一旦暴恐、色情等有害信息被写入区块链中,不但可利用其同步机制快速扩散,也难以进行修改、删除。 尽管理论上可采取攻击手段制造硬分叉、回滚等,但实施代价高、难度大,给信息内容管理带来新的挑战。例如,在 2018年3月,德国研究人员就曾在比特币区块链中发现超过 274 份儿童色情网站的链接和图片,经查证,为恶意用户通过将有害信息编码为比特币交易信息,注入区块链中的行为。
区块链能作为各类应用的底层技术,实现上层应用间的交互操作,如医疗、金融、通信等行业的数据都通过区块链公司提供的 技术平台存储在用户侧,其应用过程中涉及到区块链平台、应用、数据所有者等多方主体,易导致安全责任界限的模糊。此外,区块链可在所有用户侧创建和维护完整的数据库,一旦有新的数据写入,所有 用户侧可同时更新,因此,一旦涉及到境外节点加入,这种天然自组织性将使得自发、频繁的跨境数据流动成为必然。另外,欧盟GDPR中关于数据纠正、删除等权利的规定也似乎与区块链防篡改的技术核心格格不入。
区块链技术正日益成为金融支付、供应链管理、公共服务等领域 创新的重要驱动力量,其技术带来的巨大变革不容忽视,技术和应用 场景中的潜在安全风险也在逐渐显现。我国在着力把握技术发展先机 的同时,也需正视风险,从发展引导、强化监管、风险研判、国际合 作等多角度积极应对,有效防范化解新技术安全风险,切实保障区块 链技术的健康、有序发展。
一是加强对区块链应用领域的正确引导。政府部门应加强对区块 链技术发展、应用领域的正确引导,如鼓励“区块链+网络安全”应 用模式的探索,以应用试点等模式,推动区块链技术在提升认证安全 性、保障关键信息基础设施安全、强化数据存储安全等方面的应用落地;在金融、物联网、工业等领域,在安全风险相对可控的前提下鼓 励区块链解决方案的开发和探索;在公共服务、大众媒体等领域,应对利用区块链传播有害信息、恶意代码等风险加强警惕,探索对链上违法信息审核与用户隐私保护需求间的平衡。
二是强化推动区块链安全产品和服务市场发展。鼓励网络安全企业、区块链相关企业等重视 区块链技术安全问题,推动智能合约漏洞挖掘、区块链产品代码审计、 业务安全监测等相关安全产品和服务的开发应用,提升区块链产品应用安全水平和抗攻击能力,不断优化区块链技术生态结构。
三是鼓励自主可控的区块链平台和应用开发。当前,区块链的核心技术机制中仍存在很大的完善空间,且比特币、以太坊等主流的区块链技术平台均发源于国外。因此,应鼓励区块链开发者进行自主可控的平台和应用开发;鼓励国内重点企业、科研机构、高校等加强合作,加快对共识机制、可编程合约、分布式存储、数字签名等核心关键技术的攻关; 逐步推行区块链中加密算法的国产化替代;形成具有我国自主产权的技术成果,打造更加符合国家安全要求的自主可控的区块链平台,为众多应用的发展与落地保驾护航。
一是探索创新性的区块链监管手段。探索“沙盒监管”、“穿透监管”等区块链监管模式,监管机构可为特定区块链产品、服务和应用模式的测试创新构造“安全沙盒空间”,在满足企业在真实场景中测试其产品方案需求的同时,严防风险外溢;或在区块链节点中设置一个或多个监管机构节点的方式,使监管方可全面及时获取区块链业务流程、用户关系、信息流向等监管信息,以“穿透式”的方式深入区块链业务核心实施监管。
二是加强区块链平台和应用的监管力度。对于区块链行业应用平台,推动建立行业监管、安全监管等的跨部门备案制度;明确区块链开发者、区块链用户、区块链平台运行者等不同角色的安全责任;推动国内区块链应用平台的用户实名注册;探索对拟采取区块链技术存储的业务和用户数据实行数据安全分类分级、风险评估制度;强化区块链平台、应用等安全评估评测要求,提升对平台和应用的管控程度。
三是打造区块链安全监测和监管平台技术实力。建设区块链安全监测和监管技术平台,识别区块链平台应用,全面掌握区块链相关安全漏洞、攻击事件和安全威胁发展态势,探索对重大异常、安全事件的溯源追踪手段,技管结合,打造区块链安全监管硬实力。
一是针对区块链安全风险开展持续性、常态性研究。深入研究区 块链技术架构中各层独有安全风险、跨不同层次的接口安全风险等, 根据区块链技术发展变化情况,持续开展区块链技术和应用安全风险研判,对区块链核心机制潜在风险、常换时新的攻击威胁,非法组织、犯罪分子等利用区块链的模式等进行跟踪评估,加强对区块链安全风 险的认识。
二是集中力量攻关区块链风险应对技术。针对区块链存储层、协议层、扩展层、应用层等各层安全风险,研究部署覆盖编码、 部署、管理等环节的风险应对措施;如探索对浏览器历史记录、设备MAC地址等的多维信息分析技术,实现区块链行为取证分析和用户身份追溯,发展加密环境下有害信息发现、协议逆向分析等风险应对技术等。
为应对利用区块链开展网络犯罪的全球化趋势,需要:
一是积极凝聚国际共识,深化全球监管合作。以构建网络空间命运共同体为目标,积极推动区块链违法犯罪在定罪标准、管辖协调、情报共享以及 司法协助等方面的国际共识与合作。
二是探寻跨国治理有效手段,提升对区块链违法犯罪行为的及时预警、证据留存、犯罪追溯等领域的跨国实操水平,在一定范围内加强各国区块链应用数据的开放共享程度,以充分利用大数据分析等技术手段,对区块链应用中的用户通信行为和内容进行挖掘分析,及时发现可疑行为。针对利用区块链应用 进行网络犯罪的涉案人员,在必要时候,可采取网络技术侦查等特殊 手段进一步深入调查,实现对用户身份、通信行为和内容的追溯排查。
国家互联网信息办公室2019年1月10日发布《区块链信息服务管理规定》(以下简称“《规定》”),自2019年2月15日起施行。国家互联网信息办公室有关负责人表示,出台《规定》旨在明确区块链信息服务提供者的信息安全管理责任,规范和促进区块链技术及相关服务健康发展,规避区块链信息服务安全风险,为区块链信息服务的提供、使用、管理等提供有效的法律依据。
《规定》明确,本规定所称区块链信息服务,是指基于区块链技术或者系统,通过互联网站、应用程序等形式,向社会公众提供信息服务。本规定所称区块链信息服务提供者,是指向社会公众提供区块链信息服务的主体或者节点,以及为区块链信息服务的主体提供技术支持的机构或者组织。国家互联网信息办公室依据职责负责全国区块链信息服务的监督管理执法工作。省、自治区、直辖市互联网信息办公室依据职责负责本行政区域内区块链信息服务的监督管理执法工作。
《规定》提出,区块链信息服务提供者应当落实信息内容安全管理主体责任;配备与其服务相适应的技术条件;制定和公开管理规则和平台公约;落实真实身份信息认证制度;不得利用区块链信息服务从事法律、行政法规禁止的活动或者制作、复制、发布、传播法律、行政法规禁止的信息内容;对违反法律、行政法规和服务协议的区块链信息服务使用者,应当依法依约采取处置措施。
《规定》要求,区块链信息服务提供者应当在提供服务之日起十个工作日内通过国家互联网信息办公室区块链信息服务备案管理系统填报备案信息,变更服务项目、平台网址等事项或者终止服务的,应当办理变更或注销手续。服务提供者开发上线新产品、新应用、新功能的,应当按照有关规定报国家和省、自治区、直辖市互联网信息办公室进行安全评估。
《规定》强调,违反《规定》相关规定的,由国家和省、自治区、直辖市互联网信息办公室依据本规定和有关法律、行政法规予以相应的处罚;构成犯罪的,依法追究刑事责任。
2019年1月28日起,区块链信息服务备案管理系统上线运行,备案主体通过备案官网填报备案信息、查看备案审核状态,普通服务使用者通过官网查询备案信息。区块链信息服务备案仅对备案主体所从事的区块链信息服务进行登记,信息由备案主体自行填报,该备案不对具体的主体、产品、业务等承担法律责任,任何机构和个人不得将备案结果用于宣传和其他用途。
随着区块链备案管理系统的上线,区块链信息服务将进一步规范化,也将有助于督促参与提供区块链信息服务的机构建立健全信息安全管理制度和技术保障。总体来看,在经历了区块链技术的概念爆发期和炒作期之后,全球对区块链技术的关注程度仍然居高不下,世界各主要国家和地区竞相布局区块链发展和应用探索,区块链技术生态逐渐成型。在享受区块链释放的变革性技术红利的同时,其衍生的安全问题也在逐渐浮出水面。各国已开始在政策、标准、技术等不同层面寻求应对之策。