◆徐 波

?

基于區(qū)塊鏈技術(shù)驅(qū)動下的商業(yè)銀行網(wǎng)絡(luò)安全研究

◆徐 波

(昆侖銀行股份有限公司庫爾勒分行 新疆 841000)

自區(qū)塊鏈?zhǔn)状螌懭搿丁笆濉眹倚畔⒒?guī)劃》以來，區(qū)塊鏈被認(rèn)為是下一個“網(wǎng)絡(luò)安全前沿”，區(qū)塊鏈作為數(shù)字貨幣平臺中影響力最廣的比特幣底層技術(shù)，受到了金融世界的高度重視，區(qū)塊鏈?zhǔn)怯杀姸喙?jié)點參與的分布式數(shù)據(jù)庫系統(tǒng)具有去中心化、不可偽造的技術(shù)特點，本文從區(qū)塊鏈技術(shù)架構(gòu)、應(yīng)用場景等方面闡述了區(qū)塊鏈技術(shù)在網(wǎng)絡(luò)安全方面的優(yōu)勢，提出了區(qū)塊鏈應(yīng)用于跨區(qū)域商業(yè)銀行網(wǎng)絡(luò)安全的思考，旨在對區(qū)塊鏈技術(shù)在跨區(qū)域商業(yè)銀行的網(wǎng)絡(luò)安全領(lǐng)域的研究提供幫助。

區(qū)塊鏈；商業(yè)銀行；去中心化；場景應(yīng)用

1 區(qū)塊鏈技術(shù)特性及其研究意義

區(qū)塊鏈?zhǔn)欠植际綌?shù)據(jù)存儲、點對點傳輸、共識機制、加密算法等計算機技術(shù)的新型應(yīng)用模式。本質(zhì)上是一個去中心化的數(shù)據(jù)庫，區(qū)塊鏈去中心化的特點，其本質(zhì)上并不是反中心，實際上是分中心。分中心化得以有效解決黑客對中心化數(shù)據(jù)庫的攻擊以及單點故障引發(fā)的其他安全威脅，從而保障數(shù)據(jù)存儲和用戶信息的安全?？鐓^(qū)域商業(yè)銀行的網(wǎng)絡(luò)模式是將傳統(tǒng)P2P網(wǎng)絡(luò)協(xié)議、數(shù)據(jù)驗證技術(shù)、數(shù)據(jù)加密算法、身份驗證、數(shù)據(jù)共識算法以及分布式架構(gòu)等互聯(lián)網(wǎng)技術(shù)相融合，在確保數(shù)據(jù)安全及完整的條件下，進行可靠性高的網(wǎng)絡(luò)傳輸，由此卻帶來了高昂的成本問題，其本身具有很好的安全特性。

區(qū)塊鏈技術(shù)隨著比特幣概念的提出而產(chǎn)生，作為比特幣這套數(shù)字貨幣平臺運行系統(tǒng)的底層交易技術(shù)，區(qū)塊鏈技術(shù)并沒有隨著國內(nèi)比特幣一同沒落，反而在近年來逐漸成為引領(lǐng)金融界進入一個新的發(fā)展方向。2017年年初，央行推動的區(qū)塊鏈的數(shù)字票據(jù)交易平臺成功上線，預(yù)示著區(qū)塊鏈技術(shù)正在重塑整個金融界。不僅如此，在政策的推動下，國內(nèi)的各大領(lǐng)域都開始紛紛研究并逐漸開始在多個領(lǐng)域運用區(qū)塊鏈技術(shù)，通過減少勞動密集型流程,降低重復(fù)勞動從而減少成本[1]。

2 區(qū)塊鏈技術(shù)應(yīng)對跨區(qū)域商業(yè)銀行網(wǎng)絡(luò)管理中存在的安全問題

2.1 在不可靠的網(wǎng)絡(luò)中進行可靠的傳輸

跨區(qū)域商業(yè)銀行在網(wǎng)絡(luò)傳輸過程中，主要依托兩家及兩家以上的運營商提供點對點的專線網(wǎng)絡(luò)，進行可靠的網(wǎng)絡(luò)傳輸，從而規(guī)避外部網(wǎng)絡(luò)對銀行網(wǎng)絡(luò)造成的網(wǎng)絡(luò)安全危害。由此帶來的卻是高昂的運營成本及復(fù)雜的中心節(jié)點認(rèn)證機制。一旦中心節(jié)點出現(xiàn)問題很有可能造成數(shù)據(jù)泄露和認(rèn)證失敗。

區(qū)塊鏈由于自身的共識機制，有效解決了傳統(tǒng)中心認(rèn)證機制產(chǎn)生的弊端，從安全性的角度來看依靠中心化部署的CA認(rèn)證中心，單節(jié)點身份認(rèn)證可靠性成為系統(tǒng)安全的瓶頸，一旦CA認(rèn)證中心被攻擊，導(dǎo)致身份認(rèn)證機制失效，數(shù)據(jù)庫中存儲的用戶數(shù)據(jù)被篡改、被竊取的風(fēng)險將會無法預(yù)計。所以降低系統(tǒng)對CA認(rèn)證中心的依賴程度，成為系統(tǒng)安全防護的關(guān)鍵，區(qū)塊鏈因其共享的特點不需要第三方認(rèn)證平臺，任何一次寫入數(shù)據(jù)的操作都需要得到網(wǎng)絡(luò)中大部分節(jié)點的認(rèn)可才可以被記錄。因此，攻擊者至少需要控制全網(wǎng)中51%的節(jié)點，才能夠制造出虛假的身份認(rèn)證機制，達到偽造或者篡改數(shù)據(jù)的目的。區(qū)塊鏈完全可以避免不可靠網(wǎng)絡(luò)中出現(xiàn)的身份欺騙、數(shù)據(jù)泄露事件的發(fā)生。

2.2 打造全新的數(shù)據(jù)存儲方案

海量數(shù)據(jù)存儲和加密作為銀行數(shù)據(jù)安全體系當(dāng)中必不可少的環(huán)節(jié)，多年來成為銀行業(yè)界不能不應(yīng)對的問題，從中國郵電部于1994年接入互聯(lián)網(wǎng)以來，國內(nèi)銀行普遍采用基礎(chǔ)設(shè)施笨重、價格昂貴的設(shè)備來進行數(shù)據(jù)的定期備份，由此帶來的卻是高昂的操作成本及儲存成本，而云存儲架構(gòu)雖然可以解決運用成本高昂的問題，但由于架構(gòu)體系的不同、云系統(tǒng)漏洞較多，容易遭受到黑客的攻擊，不僅如此由于數(shù)據(jù)體系過于龐大，日志收集分析存在很大的困難，因此對于銀行業(yè)界來說，云架構(gòu)并不適合作為機密級數(shù)據(jù)的存儲。而區(qū)塊鏈基于自身獨特的數(shù)學(xué)算法和數(shù)據(jù)結(jié)構(gòu)，擁有“追本溯源”的特性，面對海量數(shù)據(jù)存儲時，區(qū)塊鏈包含的梅克爾樹(Merkle trees)，基于分布式樹形存加入時間戳的鏈?zhǔn)酱鎯Y(jié)構(gòu)來存儲數(shù)據(jù)，對每一次數(shù)據(jù)的操作記錄都增加了一個時間維度讓其具有了可追溯性及可驗證性。由此，當(dāng)改變?nèi)我庖粋€區(qū)塊中的任何一個信息時，都會導(dǎo)致從該區(qū)塊往后的所有區(qū)塊數(shù)據(jù)的時間維度被修改[2]，從而加大了數(shù)據(jù)篡改的難度，提高了數(shù)據(jù)存儲的安全等級。

2.3 為網(wǎng)絡(luò)安全帶來質(zhì)的提升

根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心公布的《2017年我國DDoS攻擊資源分析報告》，2017年全國利用肉雞發(fā)起DDoS攻擊的控制端總量為25532個，平均控制端發(fā)起過7.7次攻擊。其中金融機構(gòu)深受其害， DDoS 攻擊在造成網(wǎng)站癱瘓的同時也暗藏數(shù)據(jù)庫注入攻擊點，因此時刻威脅著金融網(wǎng)站門戶的安全。高流量的攻擊阻礙了客戶訪問網(wǎng)絡(luò)以及提交文件，無論是對給金融機構(gòu)自身還是對用戶都帶了極大的損害。傳統(tǒng)的防御方法基于Tb級的帶寬承載與流量清洗能力，建立網(wǎng)絡(luò)層、應(yīng)用層、傳輸層等多層安全防護，雖然可以保護基于IP的應(yīng)用免遭侵害，但也存在網(wǎng)站的流量清洗能功能是否能夠及時清洗返回的有效流量這樣的延遲隱患。而有些基于域名解析的金融網(wǎng)站卻無有效應(yīng)對方法，因此，采用一套基于區(qū)塊鏈分布式互聯(lián)網(wǎng)域名系統(tǒng)，可以解決域名解析類網(wǎng)站存在的問題。區(qū)塊鏈域名解析系統(tǒng)通過授權(quán)，只允許特定的用戶來管理域名。由于存儲節(jié)點分散，每一個節(jié)點都具有完整的區(qū)塊鏈信息，而節(jié)點和節(jié)點之間可以對數(shù)據(jù)的有效性進行驗證，因此DDoS分布式拒絕攻擊將很難進行，就算出現(xiàn)單節(jié)點被攻破的情況，剩余節(jié)點仍可以繼續(xù)維持整個系統(tǒng)的運行。

3 區(qū)塊鏈技術(shù)在跨區(qū)域商業(yè)銀行網(wǎng)絡(luò)中應(yīng)用的特點

通過區(qū)塊鏈技術(shù)共識機制建設(shè)數(shù)字資產(chǎn)交易平臺，通過數(shù)字資產(chǎn)的并行記賬，可以提升內(nèi)部多個系統(tǒng)之間的對賬效率，保護用戶的資金安全。

通過區(qū)塊鏈技術(shù)互不信任機制建設(shè)銀行互聯(lián)網(wǎng)金融業(yè)務(wù)，通過公開透明的簽名機制，利用少數(shù)服從多數(shù)的原則建立信用保障體系，將信用風(fēng)險和資金風(fēng)險交由區(qū)塊鏈進行監(jiān)管。

通過區(qū)塊鏈技術(shù)自校驗性和多重簽名機制，建設(shè)移動支付平臺，通過數(shù)據(jù)多節(jié)點備份，打造安全性超強的防護系統(tǒng)，防止黑客對數(shù)據(jù)進行篡改的同時，保障用戶可以隨時查看自己真實的資金池，防止非用戶本人挪用用戶資金。

4 結(jié)束語

區(qū)塊鏈技術(shù)在跨區(qū)域商業(yè)銀行網(wǎng)絡(luò)應(yīng)用中提供了可靠的信息交互、完整的數(shù)據(jù)存儲、可靠的節(jié)點認(rèn)證，為跨區(qū)域的銀行網(wǎng)絡(luò)安全提供了一種嶄新的安全防護模式及思路。將傳統(tǒng)P2P網(wǎng)絡(luò)中的邊界防護轉(zhuǎn)化為全網(wǎng)絡(luò)、全節(jié)點參與的新型網(wǎng)絡(luò)安全防護模式，通過分布式節(jié)點的共識機制可以有效地降低跨區(qū)域商業(yè)銀行專線運營成本，同時也可會降低各個區(qū)域間及中心網(wǎng)絡(luò)入侵造成的風(fēng)險，極大提升了跨區(qū)域商業(yè)銀行的網(wǎng)絡(luò)安全。因此，在互聯(lián)網(wǎng)及移動支付使用更加普及的未來，跨區(qū)域商業(yè)銀行應(yīng)當(dāng)加強區(qū)塊鏈的監(jiān)管和區(qū)塊鏈安全技術(shù)的實踐和研究，推動區(qū)塊鏈在銀行的發(fā)展，充分發(fā)揮適合跨區(qū)域商業(yè)銀行使用區(qū)塊鏈技術(shù)的特點，組建一個網(wǎng)絡(luò)安全防護水平高、運營費用低的跨區(qū)域網(wǎng)絡(luò)安全體系，提升商業(yè)銀行網(wǎng)絡(luò)的安全防護水平。

[1]費昭媛, 楊丹萍.人民幣匯率變動對中國出口商品結(jié)構(gòu)的影響分析[J].價格月刊，2012.

[2]林虹萍.區(qū)塊鏈技術(shù)構(gòu)筑互聯(lián)網(wǎng)信息安全新范式[J].云南警官學(xué)院學(xué)報，2017.