金融行業(yè)區(qū)塊鏈技術(shù)的安全問題及風(fēng)險

文/邢瑩瑩，平安銀行股份有限公司

1 區(qū)塊鏈技術(shù)簡介

1.1 區(qū)塊鏈技術(shù)含義

區(qū)塊鏈技術(shù)是一種基礎(chǔ)密碼學(xué)原理的新型應(yīng)用模式，有著智能賬本技術(shù)，可以進行分布式數(shù)據(jù)存儲、點對點傳輸、共識機制和加密算法等功能，包含了五種技術(shù)，分別是P2P 網(wǎng)絡(luò)技術(shù)、分布式賬本技術(shù)、非對稱加密技術(shù)、共識機制及時和智能合約技術(shù)。對于金融行業(yè)來說，要保證銀行網(wǎng)絡(luò)系統(tǒng)穩(wěn)定安全基礎(chǔ)外，還需要和大數(shù)據(jù)、云計算、移動互聯(lián)等技術(shù)相互結(jié)合，更加穩(wěn)妥的維護銀行的信息安全。區(qū)塊鏈技術(shù)在銀行信息安全保護方面起到了很大的作用，比如可以利用冗余繁雜的數(shù)據(jù)庫保證信息安全完整，利用密碼學(xué)原理對密碼進行保護，讓密碼不被篡改；利用多層加密的方式進行訪問權(quán)限的控制。一般區(qū)塊鏈一般由數(shù)據(jù)層、網(wǎng)絡(luò)層、共識層、激勵層、合約層和應(yīng)用層組成。

1.2 區(qū)塊鏈技術(shù)特征

通俗的講，區(qū)塊鏈技術(shù)就是通過改變每一塊區(qū)域的交易信息產(chǎn)生的不同種狀態(tài)的變化。主要特點有：（1）去中心化。分布式的進行存儲，沒有固定的中心節(jié)點，任何區(qū)域塊都可以單獨執(zhí)行；（2）開放性。將區(qū)塊鏈技術(shù)可以沒有任何限制的加入到系統(tǒng)中，代碼、程序和交易數(shù)據(jù)都是公開的；（3）無信任機制。連接點之間不需要有信任機制；（4）可信數(shù)據(jù)庫。數(shù)據(jù)庫四區(qū)塊鏈技術(shù)中的一大特征，數(shù)據(jù)中沒有管理員，數(shù)據(jù)庫不能被篡改，都可以進行訪問；（5）隱私性。接入互聯(lián)網(wǎng)的電腦數(shù)據(jù)會被區(qū)塊鏈技術(shù)成為匿名訪問。

2 金融行業(yè)區(qū)塊鏈技術(shù)發(fā)展中的安全問題

2.1 治理機制的安全性

治理機制的安全性主要表現(xiàn)在區(qū)塊鏈技術(shù)中的網(wǎng)絡(luò)層、共識層、激勵層和合約層的安全問題。網(wǎng)絡(luò)層是不用驗證客戶身份就可以自由進入網(wǎng)絡(luò)的機制，但是金融行業(yè)的網(wǎng)絡(luò)要求安全性能要高，對沒有登記身份的用戶不可以自由的訪問網(wǎng)絡(luò)的。同意不是銀行客戶的人員進入網(wǎng)絡(luò)會盜取用戶的信息，影響用戶的資金安全。共識層主要是解決區(qū)塊鏈技術(shù)節(jié)點的故障問題，為的是讓用戶擁有同等進行交易的效率和安全保護，還有新區(qū)塊鏈技術(shù)更新時候會產(chǎn)生不兼容情況出現(xiàn)，新老版本進行排斥作用。激勵層遇到的安全問題就是用戶匿名交易，只有節(jié)點自行記錄數(shù)據(jù)，這樣會導(dǎo)致一些壞賬存在，甚至，還有人會利用比特幣洗黑錢，因為系統(tǒng)并不記錄資金的流向和用戶的身份，假使金融行業(yè)使用區(qū)塊鏈技術(shù)，系統(tǒng)不能像銀行系統(tǒng)一樣凍結(jié)賬戶，阻止洗黑錢的交易發(fā)生。

2.2 隱私和信息安全性

隱私和信息安全性問題主要出自于數(shù)據(jù)層的數(shù)據(jù)信息出現(xiàn)了問題。因為區(qū)塊鏈技術(shù)相當(dāng)于一個公開的賬本，賬本中有所有參加交易的信息數(shù)據(jù)，面向所有的用戶公開?？墒菓?yīng)用到金融行業(yè)中，銀行要求必須要保護好客戶的信息數(shù)據(jù)，保護好數(shù)據(jù)的隱私和完整。另外，在區(qū)塊鏈技術(shù)的交易中，用戶資金的安全依賴于私人秘鑰的保護，假使秘鑰信息泄露，則會給用戶帶了很大的經(jīng)濟損失。可是，一些非法的黑客通過技術(shù)手段黑進客戶的賬戶中，盜取了秘鑰，提取走了賬戶中的比特幣，正是因為區(qū)塊鏈技術(shù)的去信任化使得黑客有機可乘。

3 金融行業(yè)區(qū)塊鏈技術(shù)中的解決策略

3.1 制定國際標(biāo)準(zhǔn)治理機制

面對區(qū)塊鏈技術(shù)中存在的安全隱患，要專業(yè)的技術(shù)團隊，加強對區(qū)塊鏈技術(shù)的研究，加強互聯(lián)網(wǎng)金融產(chǎn)品的監(jiān)管力度，增加保護客戶權(quán)益的工作。在區(qū)塊鏈技術(shù)中，要進行集中化的管理，保留部分的去中心化技術(shù)。面對區(qū)塊鏈技術(shù)中安全性能的種種制約，需要進行對各個層次進行監(jiān)督和管理。尤其對于金融行業(yè)的應(yīng)用，增加對區(qū)塊鏈技術(shù)中的層級實現(xiàn)電子貨幣的追溯管理，貨幣資金的流向，在交易中留下交易痕跡，對各個等級的交易進行額度的限定。建立全國金融行業(yè)的統(tǒng)一賬本，統(tǒng)一資金的來源和去向，加大打擊洗黑錢組織的力度，嚴(yán)防我國金融市場的安全性交易，使用區(qū)塊鏈技術(shù)可以降低金融行業(yè)的成本控制，監(jiān)管也會更加安全。

3.2 保護用戶的信息隱私安全

在這樣去信任化的區(qū)塊鏈技術(shù)模式下，要想降低用戶秘鑰丟失帶來的經(jīng)濟損失，需要利用密碼學(xué)原理進行對秘鑰的保護，比如，零知識證明、承諾、證據(jù)不可區(qū)分等密碼學(xué)原理。同時需要對交易數(shù)據(jù)進行身份的驗證，對秘鑰進行加密存儲，增加簽名環(huán)節(jié)，增加同態(tài)加密方案，增加秘鑰算法的難度，及時替換掉簡單的秘鑰，提高區(qū)塊鏈技術(shù)的安全性能。從而保證區(qū)塊鏈技術(shù)可以公開透明的進行驗證，及時的發(fā)現(xiàn)潛在的風(fēng)險，阻斷黑客入侵的難度，保障用戶的信息安全。對于金融行業(yè)的發(fā)展，央行需要加大對金融行業(yè)的監(jiān)管，要把技術(shù)原則納入到監(jiān)督體系中去，優(yōu)化區(qū)域鏈技術(shù)，企業(yè)加大對區(qū)域鏈技術(shù)的研究工作，結(jié)合保險行業(yè)，為金融行業(yè)進行擔(dān)保管理，加強對區(qū)域鏈技術(shù)的風(fēng)險管理，提高金融行業(yè)的信息透明度，保證區(qū)域鏈技術(shù)在金融行業(yè)順利的發(fā)展。