本報訊 3月5日，中國信息通信研究院（以下簡稱“中國信通院”）向參加首輪區(qū)塊鏈安全能力測評的參評單位正式發(fā)布安全能力測評報告。

    此輪區(qū)塊鏈安全能力測評由中國信通院安全研究所牽頭，聯(lián)合上海玄貓信息科技有限公司舉辦，自2020年11月19日起公開征集參評企業(yè)。參評企業(yè)分布于北京、上海、江蘇、浙江、山東、福建、陜西、廣東多個省市，參評系統(tǒng)包括國內(nèi)排名前三的區(qū)塊鏈公有鏈項目、通信區(qū)塊鏈服務平臺、工業(yè)區(qū)塊鏈平臺、政務區(qū)塊鏈服務平臺、商用化聯(lián)盟鏈基礎設施平臺等多種類型。

    區(qū)塊鏈安全能力測評工作自2020年12月正式啟動。測評依托于行業(yè)標準《區(qū)塊鏈基礎設施安全防護要求》和《區(qū)塊鏈基礎設施安全防護檢測要求》，測評團隊通過調研問卷、技術訪談、工具實測、排查后復測四個步驟，對參評區(qū)塊鏈項目的賬戶權限管理、數(shù)據(jù)及個人隱私、密碼機制、共識機制、智能合約、安全運維6個領域共108項指標進行了安全能力檢測。

    通過測評發(fā)現(xiàn)，當前區(qū)塊鏈項目存在區(qū)塊鏈特有入侵檢測功能缺失、檢測規(guī)則未及時更新、私鑰明文存儲、默認賬戶未更新、惡意終端入侵風險等多項安全隱患。從各領域風險項數(shù)量來看，安全運維領域檢出的風險項最多，其次分別為密碼安全、權限管理、數(shù)據(jù)及個人隱私、智能合約領域；從風險檢出比例來看，近半數(shù)以上的參評項目存在區(qū)塊鏈惡意入侵檢測功能不完備、核心網(wǎng)絡內(nèi)部安全隔離功能缺失、隱私數(shù)據(jù)保護不足、抗資源濫用攻擊能力有限等問題。測評團隊現(xiàn)已通過復測幫助參評企業(yè)盡快排除安全隱患，有效提升了參評企業(yè)安全水平。

    據(jù)悉，為了與業(yè)界共享區(qū)塊鏈安全經(jīng)驗、共筑扎實的區(qū)塊鏈安全基礎設施，中國信通院安全研究所將于近期發(fā)布《區(qū)塊鏈安全能力測評與分析報告（2021）》，詳盡分析區(qū)塊鏈基礎設施安全能力測評情況、區(qū)塊鏈基礎設施十大安全隱患、十大必知必會及未來3年區(qū)塊鏈安全新方向。下一步，區(qū)塊鏈安全能力測評團隊還將持續(xù)開展區(qū)塊鏈基礎設施、區(qū)塊鏈服務等系列安全能力測評，助力區(qū)塊鏈技術在建設新型基礎設施、發(fā)展數(shù)字經(jīng)濟等方面發(fā)揮積極重要作用。（記者 邢萌）

（編輯 田冬）