金融区块链标准规范解读

 近日，《金融分布式账本技术安全规范》（JR/T 0184—2020）金融行业标准由中国人民银行正式发布。

众所周知，区块链在金融领域的应用可谓是百花齐放，又群魔乱舞，无数的金融科技巨头在未知中努力探索，更多的奸诈之徒打着数字货币的名号招摇撞骗，金融行业标准的颁布，标志着混沌的区块链金融市场，有了一条准绳，合法与非法的界线将明晰，价值与糟粕的定义将明确。

 《金融分布式账本技术安全规范》的安全边界要大于区块链，区块链只是作为技术框架中的一个模块存在，除此之外，在区块链外层还加入了访问控制安全要求，基础环境技术要求和运营监管技术要求。

从技术架构也可以得到一个结论，金融分布式账本，不包括公有链产品。接下来，我们由内到外，按模块对技术规范进行梳理。

《金融分布式账本技术安全规范》围绕着安全体系框架从12个部分对金融分布式账本提出了技术安全要求，我们挨个分析。

• 区块链模块

    区块链模块作为核心模块，也是最能体现出区块链特性的模块。包括四部分，智能合约、共识协议、账本数据和节点通信。

因为技术规范是一份通用标准，所以并不限定智能合约的具体形式，但是要求金融分布式账本必须支持非图灵完备或者图灵完备的智能合约。对于智能合约的基本要求要从以下几方面进行约束。

共识协议不指向具体共识协议，机构选用事宜的共识协议即可，业务激励规则和技术运维安全上的机制设计应保障其自身安全。共识协议应具备一致性，不可伪造性，健壮性容错性等安全要求。

账本格式可以按机构业务自行定义，不做要求，但是账本内数据要符合一致性、保密性、完整性、有效性和冗余性的要求，同时数据还需要有访问控制要求和安全审计要求。

节点通信需要采用符合国家密码标准的密码技术，保证节点通信数据的完整性和保密性。

• 访问控制模块

访问控制模块主要包括身份管理，密码算法和隐私保护，通过三者配合保护核心数据的安全。

金融分布式账本系统应实现有效的用户身份管理，应保障身份信息的安全性，并对身份进行监管审计。

金融分布式账本上所有的隐私保护行为应符合GB/T 35273-2017中的“个人信息安全基本原则”且不违反金融业相关监管要求。

分布式账本系统中的密码算法主要用于数据安全，即数据保护的保密性，完整性，真实性和不可认性。包括分组密码算法，流密码算法，非对称密码算法，密码交换算法，密码杂凑算法和标识密码算法等。

• 基础环境模块

基础环境模块，主要包括基础软件和基础硬件要。比部分内容主要从物理环境和软件环境对分布式账本提出安全要求，技术要求中大量引入GB/T 22239《信息系统安全等级保护基本要求》三级以上标准（等保3级），所以建议机构先完成等保3级的评估，可以大大简化检测工作量。

基础硬件要求，除了等保三级以外，还行满足一下要求：

 

• 运维监管模块

运维监管模块从监管的角度，来规范金融分布式账本的安全，主要包括监管支撑、运维要求和治理机制三个部分。

监管支撑是考虑金融分布式账本系统具有架构去中心、数据多副本、交易点对点、记录不可篡改的特点，与中心化系统有很大差异，不仅需要法律监管规划，也需要技术监管规则，以优化系统设计、保证系统安全、提高监管效率、降低合规成本。需要通过以下手段进行监管：

运维要求应符合GB/T 22239-2019《信息系统安全等级保护基本要求》三级以上标准（等保3级）中安全运维管理相关要求，同时还应包括如下功能要求：

治理机制原则上遵循GB/T 22239-2019中三级以上的安全管理制度、安全管理机构和人员安全管理相关要求，并结合金融分布式账本特点，采用如下左图中的治理结构对相关管控重点-节点管理和干预机制进行安全治理。

目前，金融分布式账本的检测规范也在紧锣密鼓的编制之中，未来对区块链金融的监管也将有标准可依。CFCA作为国家金融领域的权威实验室，一直为国家金融安全而努力，深度参与到国家金融检测认证体系建设之中。针对区块链金融的检测服务已经开放检测，期待用自己的专业保障更安全的未来。