设为首页收藏本站 开启辅助访问
搜索
    查看: 523|回复: 0

    [安全新闻] 安全狗:关于加密币所的安全解决方案

    [复制链接]
    发表于 2018-7-5 11:56:36 | 显示全部楼层 |阅读模式

    也许你不喜欢加密货币,但你没法忽视它。

    自从第一款加密货币诞生到现在,它与现实世界的交集越来越大,据权威机构的统计,目前全球大约有一万一千多家交易所,而且这个数量一直在不断增长交易迅猛、币种繁多,与此同时,加密货币暴露出的缺乏监管、安全性不足的问题也越来越明显。

    下表是今年以来公开的部分加密货币交易所被攻击事件记录

    安全事件频发导致损失惨重,不管是看好加密货币和背后区块链技术的长期投资者,还是想赚一把块钱就走的投机分子,对加密货币安全性的需求也越来越高。

    加密货币交易所为什么这么容易成为黑客的目标?是因为关于加密货币管理的法律不够健全?还是因为它极高的价值让人铤而走险?还是因为它“不可追溯”的技术特征?


    内外因素共同导致高风险

    加密货币之所以容易被黑客盯上,是内外双重因素共同导致的。

    从外部攻击者的视角来看,加密货币交易所汇集了海量的资金,而相比于国家发行的法币而言,币所缺乏与其掌握资金相匹配的防御手段和技术;再加上加密货币“良好”的匿名性,给黑产提供了套现和资产转移极大的便利性,匹夫无罪怀璧其罪,币所不被黑客盯上简直没有天理。

    而从内部的架构来看,加密货币交易所的职能密集得有些不同寻常。在传统的证券交易中,撮合交易的单位和之后的清算结算机构是相互独立的两个系统,同时还有行业、国家的第三方严密监管,通过分散职能也分散了风险。而加密货币的交易所集撮合系统、资金存储、结算清算等等功能于一身(并且缺乏足以匹配体量的监管力度),一旦被攻破,全线业务崩盘也不是什么难以想象的事情。

    内部组织架构和职能过于密集,防御技术和监管均不到位,并且体量巨大一旦攻破收益甚丰:如此情形不招来黑客简直不科学。


    黑客如何操纵人心和市场获利?

    黑客从加密货币中获利,不仅仅是利用交易所的安全漏洞,更是利用了人性的弱点,操纵了市场和人心,引发币值的剧烈变化因而从中取利。

    无论是做空还是做多,都有类似的案例。比如去年的Wannacry事件中,勒索软件指明了要比特币,一定程度上影响了比特币价格的大涨;而黑客利用攻击导致市场产生恐慌出现砸盘现象,通过期货市场提前做空盈利也是有先例的,比如币安被盗一事,黑客盗取了大量的帐号,虽然风控系统拦截了,但此事仍然导致了币价下跌,黑客完全可以通过其他交易所做空获利。

    现实世界的真实交易有着完善的风控系统和监管措施,对于金融风险有很成熟的应对措施,涨跌还是能够反应市场价值的真实变化的。但是加密货币则不然,既缺乏监管的力量也缺乏监管的技术手段,即使有国家权力机构介入,短时间内也很难发挥出切实有效的执法力度。

    对于币所而言,加强风控和安全建设是不必多说的;而对于投资者,目前也只能多方了解各种币的技术细节,去芜存菁判别市场消息的真伪,辨明加密货币的真实价值,另一方面也是要保护好自己的私钥,防范安全风险。


    谁来保证加密货币的安全?

    追根究底,加密货币交易体系的安全性不足,还是由于发展太快导致的。

    毕竟区块链这个概念从诞生到火热,也不过短短数年,找到行之有效的安全解决方案时间本就吃紧,更不用说如今整个行业内鱼龙混杂,投机客横行,踏踏实实搞技术做研发的仍然是少数。

    又因为发展过快,导致交易所对安全的重视程度也不足。区块链概念的快速火热对应着行情的剧烈变化,也促使了黑客的介入,导致被黑已经是行业内的“常态”;而频繁被黑又促使行情本身的大起大落,更加刺激了投机行为,让大家全都关注者涨跌,而忽视了基础的安全建设。

    首先是对交易所和加密货币的监管需要加强。目前整个市场还处于“野蛮生长”的状态,权威部门对于这个新出现的事物还缺乏有效的监管方式,在政策法规上也处于还在探索的状态,但这个状态只是暂时的,相信不久这个市场就会得到有力的监管,把大量可以预防的风险提前排除在外。不仅是我国,全球大部分国家都已开始不同程度地推进该领域的监管工作,包括成立调查工作组,出台法规,建立行业规范和标准等。

    其次是交易所要加强自身安全体系的建设。系统整体的安全离不开整体架构的科学性和安全性,更离不开其中每一个环节的安全性。为了更加全面和系统化地应对区块链所面临的安全问题,不仅要考虑技术架构中的每个层面面临的安全风险,也要将安全方案融入区块链开发的每一个环节中去。

    通过代码审计、渗透测试等安全服务,交易所可以从攻击角度了解系统是否存在隐性漏洞和安全风险,特别是在进行安全项目之前进行的渗透测试,可以对信息系统的安全性得到深刻的感性认知,有助于进一步健全安全建设体系;审计完毕后,也可以帮助用户更好地验证经过安全保护后的网络是否真实的达到了预期安全目标、遵循了相关安全策略、符合安全合规的要求。

    另一方面,交易所作为一个汇集了大量资金交易的中心,必然会有信息安全等级保护的要求,因此需要及时地完成等保测评,并部署安全措施符合相应等级的安全保护要求。安全狗依据国内相关的法律法规,比如《信息系统安全等级保护实施指南》、《信息系统安全等级保护定级指南》等要求,制定了一整套等保服务流程,可以满足用户的安全防护和等保合规需求。

    我们将依据国家网络安全等级保护合规标准及安全狗最佳实践,结合系统现状出具等保整改或建设方案,帮助完善企业网络安全防护体系,提高信息系统的安全保障能力和防护水平,达到国家网络安全等级保护相关标准要求,促使企业业务信息系统安全、稳定并且持续运行。

    互联网产业发展的极高速度,让谁都不敢忽视颠覆性技术的发展,更加不敢忽视背后的安全风险,通过专业的安全管理和防护策略来保障安全性,对区块链技术的应用至关重要。安全是区块链行业发展的先决条件,安全狗将依托专业的技术和服务力量,持之以恒地为用户提供专业的安全产品和服务,满足用户的安全需求。


    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    QQ|小黑屋|Archiver|手机版|安全狗论坛-汇聚安全的力量 ( 闽ICP备14014139号-1  

    GMT+8, 2018-11-17 15:28 , Processed in 0.101190 second(s), 22 queries .

    Powered by Discuz! X3.2

    © 2001-2013 Comsenz Inc.

    快速回复 返回顶部 返回列表