长亭“黑科技”赋能区块链 提升金融科技安全水准

区块链技术的大规模应用  意味着更大的安全风险

今年1月，旨在提高加密资产流动性的去中心化交易所CybexExchange宣布，与业内著名的网络安全服务商长亭科技达成合作意向，在CybexExchange正式上链之前，长亭科技将为CybexExchange交易所及其关联项目提供完整的安全检测与渗透测试服务。

这一合作很好地说明了问题，尽管区块链利用类似工作量证明等共识机制防止恶意攻击，同时还使用公私钥加解密、ECDSA签名、数字证书等方式生成每个用户的地址确保交易安全，但由于其交易数据默认是完全透明不加密的缘故，还是会在以下几方面留下破绽：1、密钥安全;2、隐私保护;3、拒绝服务;4、针对攻击。前三个安全问题很好理解，基本上不管哪个系统都会遇到以上难题。而“针对攻击”的风险则取决于每一个系统的设计都或多或少存在缺陷，即使架构是安全的，代码实现上也存在一定的风险。

虚拟货币更容易受到黑客的青睐。虽然攻击可能是系统存在风险导致，但是区块链的特性也导致了系统实现跟安全性有一定的冲突。这就意味着，顶着“互联网之后最具颠覆性的创新技术”之名的区块链技术，应用背后的安全问题已成为不可忽略的一环。它不仅要面对最初级的安全威胁，还要面对更高级别的新生安全威胁。

长亭科技要为CYBEX区块链业务提供安全检测与渗透测试，其中困难、复杂度可见一斑。这意味着其安全团队不仅要模拟现有的WEB安全隐患测试，还要创造性的针对区块链技术专门开发出针对性弱点的测试框架。在业内基本无先例的情况下，也只有这支具备长期和独立自主的前沿信息安全技术跟踪与研究能力的团队敢于接受这一挑战。据媒体报道，长亭科技安全研究团队曾在两年时间内获得国内外十几个网络安全大赛冠军，首次参加Pwn2Own便一举攻破Windows、Mac OS和Linux三大操作系统，该团队核心成员取得并保持世界顶级网络安全技术大赛DEFCON CTF全球第二的优良成绩，而这也是有史以来中国团队取得的最好成绩。

针对此次合作长亭科技网络安全服务总监夏明成表示，业内对区块链交易平台的安全性的高度关注，背后映射出的是一直都应该被关注讨论的金融科技的安全问题。首先我们要知道区块链平台安全为何更值得关注?这是因为从技术实现原理角度而言，区块链交易平台更像一个网上银行，但大多数区块链平台的安防措施跟银行相比还存在不小差距，譬如公众熟知的动态验证码、U盾……等风险控制体系，在绝大多数区块链平台并不存在。此外，数字货币有一定的匿名性特点，黑客关注多，遭受威胁更大，黑客攻击成功后排查难度大。Bitfinex、NiceHash、Coincheck Inc等全球知名虚拟币交易平台接连被黑客攻击动辄几十亿美元的损失，也切切实实地给幻想着区块链技术本身高度安全的人们上了最生动的一课——世界上真的没有绝对安全的系统。

实力经得起考验  长亭科技 网络安全 服务优势明显

轰动全球的孟加拉央行遭黑客攻击事件后，各国监管机构纷纷要求银行、证券等金融机构提升安全等级。对于此类需要顶级安防的金融机构来说，单纯的防御体系还不够，主动出击模拟黑客攻击的思路，先黑客一步发现自身系统存在的漏洞，渗透测试成为最佳选择。

只有尽可能多地了解黑客攻击的方式、手段、技术，像黑客一样思考，才能最大程度将安全风险降至最低。素来以发现难以察觉的系统风险闻名业内的长亭科技网络安全服务团队(以下简称长亭团队)，在该领域优势明显。长亭特有的渗透测试服务流程，可以覆盖到金融交易平台所有的功能点，并且会针对逻辑漏洞进行更细致的安全测试，比如黑客恶意攻击金融机构时惯用的“越权查看其他账号余额或者越权转走余额”等手段。近期，长亭科技获得中国信息安全测评中心国家信息安全服务资质“风险评估一级”和“安全工程类一级”双资质认证，这也是来自官方的实力认证。

据了解，多个大型国有银行均选择由长亭科技负责渗透测试，对其系统进行全面的测试，数次发现深度隐藏的高危漏洞并及时修复。长亭科技助力某银行成功实施的“互联网安全智能防护系统”项目，获得2017年度金融行业科技创新突出贡献奖——运维创新奖。

在网络安全领域，服务以银行、证券、保险为代表的金融机构，没有“金刚钻还真揽不了瓷器活”。例如沿海经济特区某国际银行，其渗透测试采用了厂商依次众测的模式(PS：厂商自行选择测试顺序，每次测试提交的漏洞，都将被该银行的安全团队修复，下个团队将针对已经修复的系统进行下一轮测试，这对后续的测试团队无疑提出了更高的要求)。长亭团队在项目伊始便选择了最后一位测试，其难度自然也最高，显然这是基于对自身技术实力的信心。结果是，在参与测试的三家厂商都结束服务的情况下，长亭团队依然挖出了质量很高的漏洞，该银行的技术人员表示：“一直听说长亭能力强，亲眼见到技术能力如此强”。事后该银行的整个安全团队，对长亭交付的成果、沟通能力和项目质量的把控能力都给予了高度评价，称大大超出预期。

金融 科技 惠及全民   网络安全 服务将成刚需

在传统金融越来越广泛地拥抱新技术，依托互联网发展的多种金融服务新形态逐渐兴起的背景下，第四届世界互联网大会特别设置了“互联网+普惠金融”论坛，并将焦点直接放在了诸如“技术更新如何更好地促进普惠金融成长”等具体问题上面。与此同时，这个惠及全民的新趋势也意味着金融科技的安全性尤为重要。

更先进的区块链技术、更普遍的金融科技，勾勒出美好未来的前提是这个巨大信息系统自身的安全。就像现实世界中永不停歇的局部战争一样，网络安全保卫战也从未停歇，在这场此消彼长的拉锯战中，最有效的方式就是知己知彼。先于黑客的专业网络安全服务，将成为这场战争中不能缺席的重要一环。所幸，正如“黑客”这个词语最开始象征的骑士精神一样，我国有“白帽子”的同时，更有一批像长亭科技这样的企业。

业内评论认为，自国家首次将区块链技术作为战略前沿技术列入《“十三五“国家信息化规划》后，迅速成为全国包括政府、金融、互联网、IT和制造业在内的各行各业关注的热点和焦点。三军未动粮草先行，信息技术造福于民的时代，离不开安全技术的保障。同时也期待，中国企业率先体验到国际领先的网络安全防护新技术，为广大用户构建更高级别的安全防线。