区块链安全能力测评与分析报告（2021年）（32页）.pdf

编号：32106

PDF 30页 1.20MB 下载积分：VIP专享

下载报告请您先登录！

区块链安全能力测评与分析报告（2021年）（32页）.pdf

1、参评项目对密钥全生命周期安全管理能力参差不齐，尤其在密钥存储、备份、泄露与重置方面有待增强，如图 3 所示。在密钥生成方面，所有项目密钥生成所使用的随机数均可通过随机性测试；在密钥存储方面，实测中仍发现了密钥明文存储情况，仅半数的项目提供专用设备用于存储私钥；在密钥访问方面，所有参评项目均对密钥的访问设置了访问控制，使用口令、USB 认证等方式方可访问主密钥和主密钥种子；在密钥备份方面，85%以上的项目采用安全服务器或第三方托管的方式对密钥进行必要的备份；在密钥泄露与重置方面，75%的参评项目可以在疑似密钥泄露的情况下，通过注销 CA、冻结账户等方式终止使用旧密钥，但对密钥重置仍采用手动维护为

2、主，效率有待提高。（四）共识机制类型繁多，安全性能缺乏清晰验证参评项目使用的共识机制类型各异。非竞争类的共识机制包括BFT4及其变形协议、RAFT、Kafka，竞争类的共识机制包括 PoW5、PoS6及两种协议的变形，如图 4 所示。在所有的协议中 RAFT 使用比例最高，而采用自研共识机制的比例达25%。考虑到共识机制类型繁杂且专业性较强，用户对项目共识机制安全性的了解更多依赖于项目方的说明与论证。而据测评发现，仅半数的项目以文档形式提供对共识协议的机制及安全性论证。共识机制安全性的不清晰可能会导致与用户就安全要求产生矛盾，甚至对系统内部恶意节点防护的缺失。（五）智能合约安全投入大，缺少第三

3、方审计支持智能合约安全漏洞作为近年来区块链安全事件重要诱因之一，一直是区块链项目安全防护的重点。此次测评也验证了参评项目普遍对智能合约安全投入较多，专业化安全检测机制基本完备。许可链基本都具备对智能合约的安全检查机制，可以对用户上传的智能合约进行基础性安全检测及代码审计，并向相关情况告知用户。但第三方智能合约代码审计的支持率不高，随着区块链系统的壮大，代码审计的专业性及效率将面临挑战。（六）系统安全运维专业化、精细化程度有待提升参评项目初步具备了资源滥用攻击的应对功能，但水平待提升。一方面，项目测试环境在大规模请求下的稳健性表现不佳。测试环境正常运行时，测评节点 CPU 占用率在 0.2%-5

4、.1%不等。在突发 10000个区块获取请求后，CPU 占用率上升到 2.4%-20.6%，增长率最低为47%，最高可达 5300%。另一方面，参评项目的资源监测和告警能力测评灵敏度不高。75%的参评项目具备对链节点资源的监控功能，如节点运行时间、响应时长、区块高度、节点间连接情况等。其余 25%的项目不具备资源监控功能，故无法通过资源使用情况分析进一步提供对 DDoS、算力攻击等网络攻击行为的检测分析。但在 10000 个区块获取请求测试中，参评项目均未发出资源告警信息，参评项目对异常资源使用的告警敏感度待加强。在入侵检测能力实测环节，仅有 12%的参评项目测试环境对测试漏洞提出了告警，其余项目未能成功检测出特定的测试漏洞。这主要是因为参评项目对区块链特有漏洞的检测能力和入侵规则定期更新能力匮乏。一方面，区块链漏洞检测覆盖率较低。参评项目入侵检测功能主要依赖于云环境等基础资源提供商提供的入侵检测功能、通用型商业化检测工具和通用型开源入侵检测工具（如图 5 所示），未采购区块链特有的入侵检测模块，且仅有 25%参评项目漏洞库参考了区块链漏洞库或区块链社区发布的漏洞信息。另一方面，缺少检测规则定期更新机制。只有半数的项目维护相关入侵防范机制的升级和更新，其中仅有 1 个平台的漏洞库及时更新了参评当月最新的区块链漏洞，对通用系统或区块链最新漏洞的检测能力有限。

友情提示

1、下载报告失败解决办法
2、PDF文件下载后，可能会被浏览器默认打开，此种情况可以点击浏览器菜单，保存网页到桌面，就可以正常下载了。
3、本站不支持迅雷下载，请使用电脑自带的IE浏览器，或者360浏览器、谷歌浏览器下载即可。
4、本站报告下载后的文档和图纸-无水印,预览文档经过压缩，下载后原文更清晰。

本文（区块链安全能力测评与分析报告（2021年）（32页）.pdf）为本站（X-iao）主动上传，三个皮匠报告文库仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对上载内容本身不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即通知三个皮匠报告文库（点击联系客服），我们立即给予删除！

温馨提示：如果因为网速或其他原因下载失败请重新下载，重复下载不扣分。