北京市政協十三屆三次會議在京開幕。今年，北京市政協委員，奇安信集團董事長齊向東帶來了關於加強區塊鏈安全建設的提案。齊向東表示，目前全球主要國家都在加快佈局區塊鏈技術發展。

區塊鏈技術應用已延伸到數字金融、物聯網、智能製造、供應鏈管理、數字資產交易等多個領域，這些場景對安全性的要求極高，然而區塊鏈安全問題也日趨突出，重大安全事件頻發，攻擊手段層出不窮，造成巨大的經濟損失。

具體來講，區塊鏈的安全問題主要存在於三個方面：

一、自身機制存在諸多漏洞。區塊鏈的系統安全是一個整體性概念，它受到各級安全因素的共同影響。數據層、網絡層、共識層、激勵層、合約層、應用層各司其職、相互配合，實現去中心化的信任機制。在不同層級上，廣泛存在著算法漏洞、協議漏洞、使用漏洞、實現漏洞、系統漏洞，比如在編寫智能合約時很可能會有意無意間引入安全性漏洞，區塊鏈的底層源碼也可能存在整數溢出漏洞、短地址漏洞和公開函數漏洞等各種漏洞。攻擊者可以利用這些漏洞自由發布非法內容，傳播蠕蟲、木馬、病毒，以及實施著名的51%攻擊、日蝕攻擊、路由攻擊、DdoS攻擊等，這些攻擊不易檢測、傳播迅速。

二、隱私洩露風險日益突出。相對於傳統的中心化存儲架構，區塊鏈機制不依賴特定中心節點處理和存儲數據，因此能夠避免集中式服務器單點崩潰和數據洩露的風險。但是為了在分佈式系統中的各節點之間達成共識，區塊鏈中所有的交易記錄必須公開給所有節點，數據在所有用戶側同步記錄和存儲，攻擊者可以通過在網絡層、交易層和應用層發動不同形式的攻擊，在更多的位置獲取數據副本，達到竊取隱私、分析區塊數據提取用戶畫像等目的。

三、數據安全及監管面臨挑戰。區塊鏈的數據存儲結構決定了區塊鏈難以篡改的特性，加之區塊鏈的匿名性，給數據安全和網絡監管帶來巨大挑戰。區塊鏈上的數據難以通過傳統的方式進行修改和刪除，一旦暴恐、色情等有害信息被寫入區塊鏈中，不但可利用其同步機制快速擴散，也難以進行修改、刪除，增加了有害信息上鍊的監管難度；區塊鏈數字貨幣為洗錢、勒索病毒等犯罪活動提供了一條安全穩定的資金渠道，促進了地下黑市的運行；區塊鏈數字貨幣使跨國境的資金轉移變得更為簡單，將有可能損害各國的金融主權，影響金融市場的穩定；監管方難以通過這些敏感信息和涉及違法犯罪交易的發送方地址找到發送方的真實身份。

齊向東表示，北京作為監管機構集聚的金融中樞，大力發展金融科技是北京建設科技創新中心的重要支撐和組成部分。建議市委市政府和相關管理機構，加強對區塊鏈技術的引導和規範，區塊鏈的建設中，加強對安全“三同步”的密切跟踪，使區塊鏈技術在建設網絡強國、發展數字經濟、助力經濟社會發展等方面發揮更大作用。具體建議如下：

一、對區塊鏈建設中的安全預算進行強制要求。強制要求區塊鏈建設中的安全預算不低於20%，保證安全技術措施同步規劃、同步建設、同步使用。

二、對區塊鏈運營中的安全維護進行強制要求。要求區塊鏈的開發者、運營方注重自身系統安全性，定期進行代碼審計，包括交易安全審查和訪問控制審查、定期更新補丁、啟用設備防火牆、禁用路由器中不必要的組件等，爭取在攻擊者發現漏洞之前修復安全問題。

三、加大“監管沙盒”創新力度，為全國統一監管提供範式。2019年12月，北京率先開展了“監管沙盒”試點，建議在實施過程中，對國際上的一些經驗先吸收借鑒、先行試用，與參與企業加強良性溝通互動，為我國構建完整的監管沙盒體系提供示範模板。