【护航联盟链安全系列】| 迎战Web3，你的联盟链需要一份这样的安全审计方案

近年来，区块链安全事件日益增多，造成了巨大的经济损失。安全问题已成为制约区块链技术发展的重要因素。公链的安全问题大家已经屡见不鲜，而联盟链的安全威胁同样不容忽视，联盟链的安全防护也一定要未雨绸缪。

为此成都链安特别策划了【护航联盟链安全系列】专题，接下来将在专题中跟大家分享联盟链发展中的安全问题及解决方案。今天就开启专题的第一篇分享。

联盟链是由若干机构联合发布的一套区块链系统，相较于公链对任何人开放的特性来说，联盟链只对特定群体开放，由特定节点记账。目前国内常见的联盟链有：蚂蚁链、BSN联盟链、腾讯至信链、百度超级链、京东智臻链、新版链、天河链、趣链、网易星球区块链、长安链等。

相比公链而言，联盟链具有更好的落地性，受到了许多企业与政府的支持。现阶段联盟链典型应用场景有：商品溯源、公益慈善、供应链金融、电子政务、互助保险、物联网等，另外在数字版权、数字身份、教育、医疗、能源、文化娱乐及民生等垂直产业和领域也都有联盟链的身影。

相比公链，目前联盟链被攻击的事件还比较少，但安全威胁依然严峻，如果不提高安全防护功能，那么一旦被攻击，就将导致无法承受的结果。

一、联盟链面临哪些安全问题？

对于联盟链来说，目前主要存在以下安全问题：

 1、传统网络安全攻击  

联盟链底层虽然基于区块链技术，属于弱去中心化网络系统，与传统网络系统有着较大差别。但是联盟链在很多场景下都十分依赖于传统网络，某些传统网络攻击依然对联盟链威胁非常大，例如：DDoS攻击、网络钓鱼域名攻击等。

  2、服务器安全  

服务器安全主要指的是存储联盟链的这些服务器所带来的安全威胁，例如防火墙、数据库、权限等基础配置带来的安全隐患。由于联盟链与公链不同，公链节点是分布在全球各地的，而联盟链是机构之间小范围部署的，所有节点可能都分布于同一小范围区域内。这样一来，如果上述所说的基础配置被攻破，那么整个联盟链系统都面临着安全威胁。

  3、链平台安全  

联盟链作为使用区块链为底层技术的系统，同样存在与公链相同的系统安全风险，包括共识安全、账户安全、签名安全、P2P安全等。另一方面，对于区块链公链来说，庞大的节点数量与庞大的用户群体，能给攻击者的攻击行为带来不小的困难，能充分发挥对抗攻击的优势，而联盟链在这一点上并不能表现出很好的发挥，这也算是联盟链的一大弊端。

  4、智能合约安全  

智能合约作为以区块链系统为平台的可执行脚本，更加容易遭受到攻击。联盟链剥离了虚拟货币这一金融属性，相对来说可以减少一些攻击。但出于其他非金融原因，联盟链系统也可能被攻击者或内部人员盯上，所以这也是一个较大安全威胁。

二、联盟链安全审计的必要性

联盟链安全问题时刻都存在，面临的安全挑战十分严峻。目前联盟链的发展还处于初期阶段，联盟链生态安全体系还并不够强大，大量风险都还是未知数，若被攻击者盯上，结果将十分严重。

联盟链安全是行业发展的重中之重，引起了行业的极大重视。2021年9月，由公安部第一研究所、中国科学院信息工程研究所等单位联合发布了团队标准《联盟区块链安全技术要求》，该标准主要阐述了联盟区块链安全体系结构，主要也提出了联盟区块链系统安全、联盟区块链安全体系建设、联盟区块链监管审计安全以及联盟区块链运行环境安全评估规则。其中联盟区块链监管审计安全主要包括：自身审计、第三方审计以及第三方监管。

所以，在这样的背景下，联盟链上线前的安全审计工作就显得尤为重要了，需要将所有未知的安全风险扼杀在摇篮之中，避免因为图一时的便利导致无法承受的结果。

三、联盟链安全审计在审什么？

联盟链安全审计主要是针对通信与网络安全、主机安全、移动安全以及区块链安全方面的审计。

  1、通信与网络安全审计  

通信与网络安全审计主要包括：

1）DNS安全审计：包括DNS欺骗、DNS劫持、DNS DDoS以及DNS系统漏洞管理；

2）DDoS安全审计：包括DDoS防护策略；

3）通信协议安全审计：包括协议漏洞管理；

4）通信安全策略审计：包括加密通信、证书校验以及防火墙配置策略。

  2、主机安全审计  

主机安全审计主要包括：

1）基础配置安全审计：包括密码复杂度策略、防火墙安全策略、服务端口最小化策略、日志策略以及审计与补丁策略；

2）入侵检测：包括异常登录、密码破解、文件查杀、恶意请求、本地提权以及反弹shell；

3）web安全审计：包括XSS、CSRF、SSRF、XXE、SQL注入、文件上传、命令执行以及webshell；

4）漏洞管理：包括操作系统漏洞、中间件系统漏洞以及第三方软件漏洞。

  3、移动安全审计  

移动安全审计主要包括：

1）运行环境安全检测：包括TEE配置、IOS越狱、Android Root检测以及虚拟机检测；

2）应用加固：包括DEX文件加固、资源文件保护策略、防调试保护、so文件保护以及内存防dump保护；

3）第三方库安全：包括第三方代码扫描审计以及第三方库漏洞管理；

4）APP审计：包括Manifest文件检测、组件安全、WebView安全、敏感数据加密与存储以及权限信息检测。

  4、区块链安全审计  

区块链安全审计主要包括：

1）语言编码安全：包括语言特性安全审计、第三方库安全审计、硬件资源消耗审计、异常处理审计、算术运算审计、代码注入审计、线程安全、序列化安全审计以及日志安全审计；

2）密码学安全：包括密码学算法实现/使用、密钥强度审计以及随机性审计；

3）节点通信安全：包括节点身份验证审计、连接数占用审计、数据包大小限制、通信加密审计、节点发现算法、节点通信协议审计、通信完整性审计、路由表抗污染审计以及日食攻击；

4）交易模型安全：包括交易加密审计、交易签名审计、交易处理逻辑审计以及交易重放审计；

5）区块处理安全：包括区块同步逻辑审计、区块签名审计以及区块防篡改审计；

6）共识安全：包括共识节点合法性审计、共识机制设计、共识机制实现、共识节点容错率审计、最终一致性审计、共识过程监管性审计、共识节点可扩展性审计以及共识机制抗攻击性审计；

7）智能合约虚拟机安全：包括合约访问控制审计、内置合约安全审计、合约执行逻辑审计、合约执行原子性审计、合约前向兼容审计、合约虚拟机沙盒逃逸以及虚拟机接口实现审计；

8）账户安全：包括账户管理审计、权限校验审计、私钥/助记词/证书生成算法审计、私钥/助记词/证书存储安全审计以及私钥/助记词/证书使用安全审计；

9）RPC安全：包括接口访问权限验证审计、传统Web安全以及接口功能实现；

10）数据存储安全：包括数据分类存储审计、敏感数据加密审计、数据访问权限审计以及数据库稳定性审计；

11）历史漏洞检测：包括安全漏洞审计。

四、成都链安联盟链安全审计

护航联盟链安全发展

成都链安拥有一支经验非常丰富的专业区块链安全审计团队，在过去几年已为全球2000多个区块链项目提供了安全审计，帮助用户坚固了安全防护屏障，得到了客户的一致认可。

目前，成都链安凭借多年区块链行业的技术积累、多个项目审计经验以及联盟链安全研究，可为联盟链平台及项目提供通信与网络安全审计、主机安全审计、移动安全审计、区块链安全审计等全面的联盟链安全审计整体解决方案。