澎湃新闻:你曾经提到,区块链在安全方面缺乏体系化安全防护。这次的安全规范是否能够消除或者减少这些安全风险以及运维问题?
穆长春:《安全规范》全面梳理了分布式账本技术的安全体系框架,对12个方面提出了具体的安全要求,有利于消除或者减少安全风险以及运维问题。首先,结合国家相关的法律法规、国家安全标准以及行业安全标准,明确了在金融领域应用分布式账本技术的基本安全要求。其次,根据分布式账本系统的特点,提出了针对性要求,特别地,《安全规范》中运维章节在等保的基本要求基础上,全面覆盖了分布式账本运维的重点要求。
《安全规范》可为金融区块链系统的安全设计和安全测试提供参考和约束,但规范本身并不能解决安全问题,落实规范才能提高系统的安全能力,降低风险。
澎湃新闻:在安全规范中,规定了金融分布式账本技术的安全体系,共12部分,哪些部分是我们更应该关注的?
穆长春:《安全规范》提出的安全体系框架是有机的整体,每个层面的安全要求都很重要,其中借鉴和吸收了信息安全等级保护等相关安全标准的成果,也包含以往的安全标准中未曾遇到的新情况。这些内容可为金融分布式账本系统的安全设计和安全测试提供参考和约束。同时,在《安全规范》推广落地的过程中,业内的金融机构和技术公司不断总结最佳实践,也会不断完善《安全规范》。
澎湃新闻:共识协议的安全要求中,有提到可监管性,为什么会特地提到这一点?后面也有专门的监管要求,在分布式账本技术监管上,是否会存在监管难题?
穆长春:《安全规范》中提及的共识协议的可监管,主要是指共识过程和系统运行的历史记录都应可审计、可监管,且应不可纂改。之所以这么要求,是因为分布式账本并不能完全做到无法篡改,而只能做到难以篡改。例如,基于算力、权益证明的共识算法,会遇到51%攻击问题,即在掌握系统51%的算力或权益的情况下,可以重写区块链数据;联盟链普遍采用基于投票的共识算法,也会遇到“合谋篡改”数据的问题。因此,在不能完全排除这一风险的前提下,要求记录共识过程中所有的历史记录,以满足监管的需要。
澎湃新闻:实名认证与隐私保护之间是否会存在矛盾?该如何解决?
穆长春:实名认证和隐私保护不存在矛盾。实名认证并不代表所有人都能看见某个人的账户名。存在隐私保护需求的金融分布式账本系统可以使用匿名身份认证,但应遵循“前台自愿、后台实名”的原则,前台使用匿名标识,后台应能还原注册实体的实名身份。
澎湃新闻:在隐私保护中,安全规范提出分级隐私保护策略,低隐私保护策略和高隐私保护策略有哪些区别?
穆长春:隐私保护的对象是各类敏感信息,通常的做法是对敏感信息的敏感性进行分级。《安全规范》中提出分级隐私保护策略,对应的是敏感信息的分级。分布式账本系统可根据不同的隐私保护需求,制定不同级别的策略,采取不同强度的技术手段。具体实施哪种级别的隐私保护策略及技术手段,需要根据具体场景,在系统执行效率和隐私保护需求中做好平衡。
澎湃新闻:分布式记账的去中心化特性与中央银行的集中管理要求可能存在冲突,这一冲突该如何解决?
穆长春:在中央银行的制度体系安排中,均是中心化的管理方式,主要体现在应用的集中部署和数据的中心化方式采集、存储和处理,在中心化的组织中较容易实现监管;而以分布式为特征的区块链中的每个过程往往都追求去中心化的设计,在获得一定技术优势的同时,也容易隐藏权力滥用和暗中操纵现象,难以准确定位主体,出现监管盲区,产生数据泄露、隐私侵犯、恐怖融资等问题。尤其出现较大的社会问题和群体事件时无法找到责任最后兜底者。
实际上,区块链的去中心化优势更多体现在技术上的去中心化优势,教条式的鼓吹全面去中心化的往往是自己暗中想演变为新的中心。所以纯粹的去中心与央行的集中管理要求是存在一定冲突的,为避免冲突并满足集中管理的要求,同时不剥夺金融行业主体享受区块链带来的技术创新红利,区块链作为金融服务工具的底层系统和技术架构,须做相应的改造和升级,使其既能发挥去中心化的技术优势,也要满足中心化管理的要求。因此,在缺省情况下区块链平台从底层设计时就应考虑监管和隐私保护方面的要求,例如《安全规范》中相关内容要求。
此文由 中国比特币官网 编辑,未经允许不得转载!:首页 > 比特币新闻 » 专访央行数研所所长穆长春:首个金融区块链标准是怎么来的?