【护航联盟链安全系列】| 迎战Web3,你的联盟链需要一份这样的安全审计方案
摘要: 近年来,区块链安全事件日益增多,造成了巨大的经济损失。安全问题已成为制约区块链技术发展的重要因素。公链的安全问题大家已经屡见不鲜,而联盟链的安全威胁同样不容忽视,联盟链的安全防护也一定要未雨绸缪。
近年来,区块链安全事件日益增多,造成了巨大的经济损失。安全问题已成为制约区块链技术发展的重要因素。公链的安全问题大家已经屡见不鲜,而联盟链的安全威胁同样不容忽视,联盟链的安全防护也一定要未雨绸缪。
为此成都链安特别策划了【护航联盟链安全系列】专题,接下来将在专题中跟大家分享联盟链发展中的安全问题及解决方案。今天就开启专题的第一篇分享。
联盟链是由若干机构联合发布的一套区块链系统,相较于公链对任何人开放的特性来说,联盟链只对特定群体开放,由特定节点记账。目前国内常见的联盟链有:蚂蚁链、BSN联盟链、腾讯至信链、百度超级链、京东智臻链、新版链、天河链、趣链、网易星球区块链、长安链等。
相比公链而言,联盟链具有更好的落地性,受到了许多企业与政府的支持。现阶段联盟链典型应用场景有:商品溯源、公益慈善、供应链金融、电子政务、互助保险、物联网等,另外在数字版权、数字身份、教育、医疗、能源、文化娱乐及民生等垂直产业和领域也都有联盟链的身影。
相比公链,目前联盟链被攻击的事件还比较少,但安全威胁依然严峻,如果不提高安全防护功能,那么一旦被攻击,就将导致无法承受的结果。
一、联盟链面临哪些安全问题?
对于联盟链来说,目前主要存在以下安全问题:
1、传统网络安全攻击
联盟链底层虽然基于区块链技术,属于弱去中心化网络系统,与传统网络系统有着较大差别。但是联盟链在很多场景下都十分依赖于传统网络,某些传统网络攻击依然对联盟链威胁非常大,例如:DDoS攻击、网络钓鱼域名攻击等。
2、服务器安全
服务器安全主要指的是存储联盟链的这些服务器所带来的安全威胁,例如防火墙、数据库、权限等基础配置带来的安全隐患。由于联盟链与公链不同,公链节点是分布在全球各地的,而联盟链是机构之间小范围部署的,所有节点可能都分布于同一小范围区域内。这样一来,如果上述所说的基础配置被攻破,那么整个联盟链系统都面临着安全威胁。
3、链平台安全
联盟链作为使用区块链为底层技术的系统,同样存在与公链相同的系统安全风险,包括共识安全、账户安全、签名安全、P2P安全等。另一方面,对于区块链公链来说,庞大的节点数量与庞大的用户群体,能给攻击者的攻击行为带来不小的困难,能充分发挥对抗攻击的优势,而联盟链在这一点上并不能表现出很好的发挥,这也算是联盟链的一大弊端。
4、智能合约安全
智能合约作为以区块链系统为平台的可执行脚本,更加容易遭受到攻击。联盟链剥离了虚拟货币这一金融属性,相对来说可以减少一些攻击。但出于其他非金融原因,联盟链系统也可能被攻击者或内部人员盯上,所以这也是一个较大安全威胁。
二、联盟链安全审计的必要性
联盟链安全问题时刻都存在,面临的安全挑战十分严峻。目前联盟链的发展还处于初期阶段,联盟链生态安全体系还并不够强大,大量风险都还是未知数,若被攻击者盯上,结果将十分严重。
联盟链安全是行业发展的重中之重,引起了行业的极大重视。2021年9月,由公安部第一研究所、中国科学院信息工程研究所等单位联合发布了团队标准《联盟区块链安全技术要求》,该标准主要阐述了联盟区块链安全体系结构,主要也提出了联盟区块链系统安全、联盟区块链安全体系建设、联盟区块链监管审计安全以及联盟区块链运行环境安全评估规则。其中联盟区块链监管审计安全主要包括:自身审计、第三方审计以及第三方监管。
所以,在这样的背景下,联盟链上线前的安全审计工作就显得尤为重要了,需要将所有未知的安全风险扼杀在摇篮之中,避免因为图一时的便利导致无法承受的结果。
三、联盟链安全审计在审什么?
联盟链安全审计主要是针对通信与网络安全、主机安全、移动安全以及区块链安全方面的审计。
1、通信与网络安全审计
通信与网络安全审计主要包括:
1)DNS安全审计:包括DNS欺骗、DNS劫持、DNS DDoS以及DNS系统漏洞管理;
2)DDoS安全审计:包括DDoS防护策略;
3)通信协议安全审计:包括协议漏洞管理;
4)通信安全策略审计:包括加密通信、证书校验以及防火墙配置策略。
2、主机安全审计
主机安全审计主要包括:
1)基础配置安全审计:包括密码复杂度策略、防火墙安全策略、服务端口最小化策略、日志策略以及审计与补丁策略;
2)入侵检测:包括异常登录、密码破解、文件查杀、恶意请求、本地提权以及反弹shell;
3)web安全审计:包括XSS、CSRF、SSRF、XXE、SQL注入、文件上传、命令执行以及webshell;
4)漏洞管理:包括操作系统漏洞、中间件系统漏洞以及第三方软件漏洞。
3、移动安全审计
移动安全审计主要包括:
1)运行环境安全检测:包括TEE配置、IOS越狱、Android Root检测以及虚拟机检测;
2)应用加固:包括DEX文件加固、资源文件保护策略、防调试保护、so文件保护以及内存防dump保护;
3)第三方库安全:包括第三方代码扫描审计以及第三方库漏洞管理;
4)APP审计:包括Manifest文件检测、组件安全、WebView安全、敏感数据加密与存储以及权限信息检测。
4、区块链安全审计
区块链安全审计主要包括:
1)语言编码安全:包括语言特性安全审计、第三方库安全审计、硬件资源消耗审计、异常处理审计、算术运算审计、代码注入审计、线程安全、序列化安全审计以及日志安全审计;
2)密码学安全:包括密码学算法实现/使用、密钥强度审计以及随机性审计;
3)节点通信安全:包括节点身份验证审计、连接数占用审计、数据包大小限制、通信加密审计、节点发现算法、节点通信协议审计、通信完整性审计、路由表抗污染审计以及日食攻击;
4)交易模型安全:包括交易加密审计、交易签名审计、交易处理逻辑审计以及交易重放审计;
5)区块处理安全:包括区块同步逻辑审计、区块签名审计以及区块防篡改审计;
6)共识安全:包括共识节点合法性审计、共识机制设计、共识机制实现、共识节点容错率审计、最终一致性审计、共识过程监管性审计、共识节点可扩展性审计以及共识机制抗攻击性审计;
7)智能合约虚拟机安全:包括合约访问控制审计、内置合约安全审计、合约执行逻辑审计、合约执行原子性审计、合约前向兼容审计、合约虚拟机沙盒逃逸以及虚拟机接口实现审计;
8)账户安全:包括账户管理审计、权限校验审计、私钥/助记词/证书生成算法审计、私钥/助记词/证书存储安全审计以及私钥/助记词/证书使用安全审计;
9)RPC安全:包括接口访问权限验证审计、传统Web安全以及接口功能实现;
10)数据存储安全:包括数据分类存储审计、敏感数据加密审计、数据访问权限审计以及数据库稳定性审计;
11)历史漏洞检测:包括安全漏洞审计。
四、成都链安联盟链安全审计
护航联盟链安全发展
成都链安拥有一支经验非常丰富的专业区块链安全审计团队,在过去几年已为全球2000多个区块链项目提供了安全审计,帮助用户坚固了安全防护屏障,得到了客户的一致认可。
目前,成都链安凭借多年区块链行业的技术积累、多个项目审计经验以及联盟链安全研究,可为联盟链平台及项目提供通信与网络安全审计、主机安全审计、移动安全审计、区块链安全审计等全面的联盟链安全审计整体解决方案。
评论(0)
Oh! no
您是否确认要删除该条评论吗?