![]()
![]()
Web3.0是指下一代互联网,也称为“分布式网络”或“去中心化网络”。与Web1.0和Web2.0不同,在技术上Web3.0的重点在于通过加密技术、智能合约和区块链等技术实现智能的去中心化应用程序,而在治理上它将更加智能化、匿名化,同时更强调数据共建共享、公开透明协作和充分互操作性。这种新兴的模式下,催生出了数字货币、智能合约、DeFi(去中心化金融)、DApp(去中心化应用)、NFT、DAO、RWA和Metaverse(元宇宙)等代币经济学理论和应用实践。但与此同时,不法分子也利用去中心化和匿名化特性进行洗钱、恐怖融资、诈骗和非法挪用资金等犯罪活动,而黑客也紧盯着这个新兴金融风口,对各类数字货币采取疯狂的掘金行动,这些风险都使得不少国家对Web3.0的发展持有谨慎的态度,但却不得不主动迎接挑战,为不可逆转的下一代互联网所带来的新机遇做好风险与创新的平衡。中国在Web3.0的发展和探索上采用了两种模式同时并行研究,中国大陆与香港分别承担同一历史性变革任务的不同分工和定位。一方面,中国大陆以维护金融稳定为大前提,不断探索区块链、智能合约、人工智能和元宇宙等不涉及数字货币发行和交易领域的场景应用创新,孵化出了不少可信区块链、法律签名、版权保护、数字存证、溯源追踪、供应链流通和数据流通等应用技术。而另一方面,国家授权香港作为国际金融中心,主动探索和尝试基于公链技术的数字资产交易、数码港元,并建立适度监管机制进行Web3.0应用创新。香港将成为加密领域链接中国大陆与全球市场的重要纽带。本文章立足粤港澳大湾区这个重要的战略地理位置,为读者浅析国内和香港两个重要的Web3.0发展与探索模式,并重点讲解Web3.0的特性、安全风险与挑战、Web3.0安全与传统安全的异同、监管安全要求和行业的安全最佳实践,为大家进一步了解和进入Web3.0安全提供更多有用的资讯。二、Web3.0时代下的政策、技术、安全与合规的发展趋势Web3.0从比特币诞生以来,已经历十多年的发展,行业逐渐从毫无监管的乱象中慢慢走出阴霾,全球监管机构也在近年来积极建设合规框架,以应对数字货币对全球金融体系的深刻影响与巨大挑战,降低洗钱、恐怖融资和安全风险,建立更开放、透明的监管环境,保护投资者和企业等参与方的权益,助力行业的阳光发展。从全球的视角来看Web3.0和数字资产监管的发展,目前世界主要经济体都已经制定相关的监管制度和沙盒试运行机制,包括欧盟的《加密资产市场监管法案》(Markets in Crypto Assets,简称MiCA),美国证券交易委员会(SEC)在2024年1月10日正式通过比特币现货ETF基金,新加坡MAS对数字支付代币服务商、交易所受持牌监管,日本对支付代币、投资代币的注册监管,以及对交易所进行持牌监管等。在中国内地,工信部、网信办、标准化技术委员会,以及北京和上海等城市逐步出台了相关的战略文件、指导意见、管理规定和技术标准。而香港方面在近几年已积极布局国际化虚拟资产金融体系,为Web3.0的探索、发展和创新做好链接中国内地和海外市场的桥梁。在2022年10月31日,香港政府发表了《虚拟资产发展政策宣言》,标志着虚拟资产发展正式步入高速发展期,随后香港发布了《适用于虚拟资产交易平台营运者的指引》和《虚拟资产交易平台指引》,并于2023年6月1日正式实施,该发牌机制基于“相同业务、相同风险、相同规则”的理念进行风险治理。2023年,香港也发布了《数码港元先导计划第一阶段报告》和《香港债券市场代币化》等重要文件。未来,香港将在数码港元、港元稳定币和真实世界资产(RWA-Real World Asset)等方面大力探索,平衡风险和创新,充分释放虚拟资产的潜在价值。综上,无论是中国内地还是香港地区,都在积极探索如何建立合适的监管制度对新兴的Web3.0行业进行适度的行业监管。正所谓无规矩不成方圆,Web3.0的发展非常依赖监管政策的出台,这是降低新兴技术风险和金融风险的必由之路,也是Web3.0真正可以为实体经济赋能的可行模式。Web3.0需要长远发展和大规模采用,适度监管的趋势不可逆转。在Web3.0的新兴技术时代背景下,存在着两种截然不同的技术模式。一种是加密原生(Crypto Native)世界的基于公链技术的纯粹去中心化的代币应用创新,他们主要基于公共区块链技术和智能合约实现Web3.0的DApp,典型的是DeFi、DAO、GameFi和NFT等。而另一种则是以中心化虚拟资产交易所为代表传统金融机构的Web3.0转型企业,典型的企业类型包括交易所、法币稳定币发行机构等,这些的典型企业形态是Web3.0的监管重点对象。对于加密原生机构,他们的技术依赖更偏重于纯粹的区块链基础设施和协议,本身与Web2.0的云计算、大数据等基础设施的交互相对较小,安全暴露面以智能合约和数字钱包的安全性为主。而中心化虚拟资产交易所等机构,则存在着大量与Web2.0传统基础设施的大量交互,包括服务器、容器、数据库、网络、办公设备和云服务等资产,而在Web3.0侧增加了关于虚拟资产托管、数字钱包、链上安全监控和智能合约审计等新兴安全风险。根据我们对2023年关于海外Web3.0安全的分析,我们发现以诈骗、钓鱼、APT攻击等传统的安全攻击呈现比例呈上升趋势,而单纯的Web3.0智能合约漏洞则随着Web3.0项目方的安全意识提高呈现下降趋势。其中传统诈骗手段花样变化繁多,包括虚假账户冒充名人、交友杀猪盘、宣传虚假的交易平台、庞式骗局、“吸金跑路骗局”等诈骗方式频发。而作案工具则显得更加武器化和便捷化,大量商用的诈骗工具在暗网随处可得。因此至少在现阶段,Web3.0是无法完全脱离传统科技而独立存在的,我们作为安全人员,要守住资金安全,则需要同时关注Web2.0和Web3.0的风险,以及他们相互作用的关键节点和实际场景,例如交易的出入金、资金在冷热钱包间划转的审批和风控、资金上链后的链上安全监控等主要环节。目前主流的世界经济体如美国、欧盟、英国、日本、韩国、新加坡和香港地区都有出台相关的加密货币监管政策,通过对数字资产领域监管要求的分析,其一致的监管重点均涉及AML、CFT、KYC、KYT、Travel Rule、网络安全和资金托管(Capital Custody)等相关领域,通过建立这些重点领域的监管规则,能够有效地降低洗钱、恐怖融资、欺诈舞弊和黑客攻击等风险。在面对错综复杂的全球监管态势时,数字资产管理机构需要做的就是修炼内功,积极拥抱监管合规,根据业内合规最佳实践构建企业的合规框架,并根据各司法管辖区的差异进行适当裁剪,以适应各地的监管要求,这是实现数字资产业务全球快速合规拓展的最优路径。在网络安全方面,Web2.0传统的信息安全和网络安全治理手段依然有效,包括信息安全管理体系ISO/IEC 27001:2022(“ISO 27001”)、 AICPA SOC2、NIST Cyber Security Framework、PCI DSS、各司法管辖区的数字资产牌照安全等要求融标而成的信息安全体系。传统的金融企业可以充分发挥既有的安全治理优势,结合Web3.0的新兴技术,对安全管理体系进行跨界融合,建立起Web3.0领域的数字信任。Web3.0安全是一个新兴的安全领域,同时具有Web3.0安全的新特性,也非常依赖Web2.0底层的技术基础设施的安全保护,两者缺一不可。从现阶段关于香港、新加坡等地发布的虚拟资产监管要求来看,监管对象以中心化虚拟资产交易所等机构为主,自然相关的安全合规要求也会与传统金融行业的安全合规要求对齐,在此基础上再增加Web3.0安全的固有安全特性,例如区块链设施的钱包私钥管理安全,以及智能合约编程安全、区块链协议安全性等等。下面我们以香港《虚拟资产交易平台指引》(香港虚拟资产服务提供商牌照)的网络安全要求为例,对中心化虚拟资产交易所的安全合规要求作简要剖析。如上图所示,我们对VASP牌照要求梳理出10个安全域、72个安全子域和146项安全要求,主要内容涵盖以下方面:指VASP申牌方应该在组织中建立完善的网络安全治理体系,包括建立网络安全原则和治理框架,为网络安全提供资金预算和人力资源保障。建立明确而清晰的网络安全角色、岗位与职责,使其能覆盖VASP要求中所有的安全程序。对研发安全生命周期、外包管理等关键风险建立规范和具体的管理机制。建立独立的内部审计机制,以及外部独立评估机制,确保关键系统在网络安全在系统上线、变更和定期评估几个节点都有独立第三方评估机构进行认可。该部分主要是传统网络安全合规控制措施,包括对交易平台、托管系统、钱包系统以及基础设施进行身份认证和访问控制。需要注意的是,VASP申牌方需要建立非常细粒度的访问权限控制矩阵,而且需要映射到系统模块访问和具体审批流程中,这与金融安全合规要求基本持平。在基础设施安全方面,VASP的合规要求明确提出了基础设施安全所需部署的安全产品,包括利用防火墙产品构建多重防火墙的网络隔离区,严格限制远程访问的资源访问配置,具备安全配置与漏洞的管理工具对安全补丁和修复程序进行统一的影响评估、测试和实施。在生产服务器侧以及办公终端侧都要安装杀毒软件(Anti-Virus)及端点侦测与回应技术(EDR),这里需要注意的是,虽然目前EDR/EPP等工具有基于行为的杀毒能力,但合规要求VASP持牌方应具备签名形式的病毒库,并做到定期更新,如果EDR/EPP不具备这类能力的话,则建议额外提供单独的杀毒软件。在网络安全方面,实施IPS和IDS,并将所有必要的日志集中化地汇聚到SIEM平台,建立SOC团队进行事件安全检测和响应处置。关于日志采集和汇聚,对VASP申牌方提出了比较高的要求,规定了服务器日志、数据库日志、应用日志、托管系统日志和安全产品日志都应该进行汇聚、建模、建立检测用例和关联分析,并对事件响应流程作出详细的规定。在监管中,SOC团队没有明确禁止外包,可采用MSSP和MDR这种形式在确保外包管理机制完善的情况下,也是一种可行的SOC运作机制。关于应用安全评估和SDLC方面,VASP提出了非常高的要求,大部分的安全评估需要由第三方独立评估机构实施,而只有特定条件下可以由平台运营者自行完成评估,所以系统上线和变更,将需要按照更传统的研发模式来维持,预留必要的时间给第三方进行独立评估,通过后方可上线。所有在安全评估中发现的问题和漏洞,应建立明确的漏洞管理程序,对根据漏洞类别、级别、整改时间、整改负责人、漏洞修复后验证等关键流程进行定义。数据安全方面,重点在于传输加密和存储加密,要求使用业界最佳实践及国际标准设立加密技术,确保平台上的敏感数据和传输过程中的数据保密性、完整性和来源真实性。在设计方面,VASP申牌方应该关注客户登录数据(账号和密码)和交易数据的传输加密,以及在系统基础设施的组件之间传输关键数据时的传输加密,传输通道应启用HTTPs或启用TLS v1.2以上的传输协议来保证传输安全性。在实践中和独立评估过程中,一般也建议关键的客户数据(隐私信息)应该采用存储加密(字段级)的方式进行存储,而备份数据应该启用透明加密存储(例如云上的对象存储启用透明加密特性)。关于数据完整性方面,应该针对交易订单、对账等关键数据启用数据校验技术,包括对流水进行ID顺序校验,对数字进行奇偶校验,也应该对收付款方、金额、时间日期与原始交易记录进行交叉验证,确保财务数据的完整性。在数据防泄漏方面,应该设有足够及有效的管理和技术机制对非授权访问、数据泄露、恶意篡改行为进行监控。该部分要求,需要实施严格的DLP安全措施和桌面安全管理措施。在实践中,可考虑使用基于零信任的SASE+DLP的方式来满足对应的要求。在安全意识和培训方面,应建立安全培训程序,至少每年对平台运营者的职员进行培训,也需要对客户提供定期的警示教材,提高他们的网络安全意识。在平台容量管理上,应建立标准的容量管理规范,包括容量规划、容量监控、压力测试、扩缩容计划和触发条件,以及系统与数据备份恢复等内容。应变措施则包括BCP、DRP、应急计划和应急演练等等。这部分工作可大可小,目前未提出特别多的细节要求,后续需要观察香港证监会对BCP和DRP的实际监管粒度才能确定具体措施。Web3.0安全与传统金融交互最紧密的地方莫过于如何安全地保管客户的虚拟资产了。香港证监会对保管客户虚拟资产安全提出了十分严格的要求,这是整个制度体系能够运行的底线和红线要求,而虚拟资产的存储离不开Web3.0的区块链安全机制。Web3.0的安全,关键在于对私钥的管理。从性质上,Web3.0的私钥与Web2.0的账号密码类似,如果账号密码被窃取,那么账号里的资产将被转移。但不同的是,Web2.0的无论是银行资金的转账、还是虚拟物品的转移,都有明确的日志记录,也具备一定的恢复能力。Web2.0的账号密码即使丢失,也有很大的机会能够通过平台找回。而Web3.0不一样,“Not your key, not your coins”,一旦私钥被窃取,资金就会被立即通过区块链进行匿名化转移,通过混币器之后的资金将变得几乎不可能追回。所以私钥丢失、被窃取的成本和所带来的影响,远远大于Web2.0的账号密码丢失。Web3.0里面提到的钱包,其实就是用于管理公钥和私钥对(Pair),我们经常提到的钱包地址是公钥的哈希值,具有公开属性,可以简单理解为是您的银行账号。而钱包地址公钥的对应密码就是钱包的私钥。管理私钥的钱包,可以分为几个大类,分别是冷钱包、热钱包和温钱包,所谓冷热温的属性,主要是指您需要动用钱包里面资金时的效率和安全性两大方面来考虑。(1)冷钱包:效率最低,但安全性最高。通常的表现形式是物理硬件钱包,个人用户通常使用微型的便携式硬件来作为私人资产的冷存储,而机构则通常使用带有HSM(硬件安全模块)功能的加密机作为冷钱包。香港证监会对VASP申牌方的要求是“除非是在证监会因应个别个案而准许的少数情况下,否则平台营运者及其有联系实体应在线下储存 98% 的客户虚拟资产(例如以硬件安全模组(Hardware Security Module,简称 HSM)为基础的线下储存方式),以尽量减少因平台遭入侵或黑客攻击而造成损失的风险。”。同时,冷钱包的HSM加密机需要放置在层层物理安全保护之下的数据中心,启用多因素安全验证、视频监控、围笼等方式进行保护。因此,要满足VASP要求,则采用基于HSM冷存储的技术已经是合规刚需。(2)热钱包:效率最高,但安全性最低。热钱包可以理解为一直在线连接的钱包,随时可用于虚拟资产交易、代币化资产结算等用途。但因为其一直在线的原因,热钱包的安全性一直保受诟病,也是黑客重点的攻击对象。个人用户的热钱包通常以浏览器插件和App的形式存在,方便用户使用。而机构级的热钱包则具备更多的安全验证和授权机制,安全性上有所提升。(3)温钱包:效率中等,安全性中等。温钱包,顾名思义就是介乎于冷钱包和热钱包之间的解决方案,也可以理解为是热钱包的安全升级版。很多机构级别的热钱包目前都通过一些密码学手段来提升热钱包的安全性,例如通过MPC技术对钱包使用进行多重签名,配合风控策略来决定多签的数量,从而提升钱包使用的安全性。在面对Web3.0的智能合约方面,也会增加多签来实现智能合约的安全授权机制,确保仅符合要求的资金能被授权转移到智能合约中。钱包安全管理要点包括虚拟资产在冷热钱包之间,及其他存储方式之间的转移安全授权,钱包种子与私钥生成安全和生命周期管理、后备种子和私钥管理,钱包威胁情报、钱包安全控制、持续监控等等环节。(1)虚拟资产在冷热钱包及其他存储方式之间的转移安全香港证监会要求,首先要尽量减少以线下方式储存的客户虚拟资产进行交易,降低风险暴露面。其次,平台运营者应采用具备完善授权、风控机制的统一冷热钱包系统,对冷热钱包之间的虚拟资产转移提供完善的授权转移策略。例如目前较可行的方式是采用Airgap作为安全摆渡计算机连接冷钱包HSM系统,通过引入PSD个人安全设备,提币操作由审核员在PSD上对关键信息进行确认后,由PSD对确认的关键数据(币种,目标地址,金额等)数字签名,再由HSM加密机对PSD上签名的关键数据验证签名通过后才可动用私钥进行交易签名,并保证上链交易的关键数据与PSD所见相同,达到端到端所见即所签的安全性保证,防止中间人攻击对交易数据的篡改和伪造。区块链采用非对称密码技术来实现链上资产的管理,在区块链的设计中,资产被锁定到公钥或者由公钥对应的地址上,资产管理者通过使用对应的私钥来管理资产。在私人密钥管理方面设立并实施严格的内部措施及管理程序,以确保安全的种子生成,以及储存所有加密种子及私钥。产生的种子及私人密钥必须具备充足的随机性,避免猜测或串通。种子及私人密钥应按照适用的国际保安标准及行业最佳作业手法产生,包括使用高质量的随机数生成器和物理随机性源来确保种子的随机性。这样可以提高加密货币的安全性,防止私钥被恶意获取或推测,加密机通过利用物理随机噪声源作为种子的来源,并符合相关标准要求,能够确保种子的随机性,从而增强了生成的密钥和加密算法的安全性和强度。加密机其种子随机性来源于物理随机噪声源,设计应符合NIST SP800-90B的高标准规范要求。香港证监会要求,种子和私人密钥必须在香港地区生成,并存储于香港地区。香港证监会明确提出,平台运营者应该持续地监察与纳入买卖范围的所有虚拟资产相关的发展 (例如技术转变或安全威胁的演变),应制订和积极地执行清晰的程序,以评核有关发展的潜在影响和风险及处理针对分布式分类帐技术的欺诈行为(例如51%的攻击)。同时,应对用户访问的IP地址,是否使用VPN等进行技术验证,确保符合香港虚拟资产政策。最后,平台运营者应该对黑名单钱包地址、信誉不好的地址进行监控和获取情报,确保平台能够遵守KYT(Know Your Transaction)、Travel Rule(旅行规则)和AML(反洗钱)等相关的合规要求。平台运营者应该建立交易授权策略 (TAP:Transaction Authorization Policy),规定资金流动的限制和边界,使用交易授权策略,可以控制哪些用户角色可以转移资金、单笔交易或每天可以转移多少资金,以及如何批准交易,从而提升整个交易授权的规范性。香港证监会提出了包括公链审计、智能合约审计与尽职调查、代币纳管的安全保障措施,要求平台营运者在拣选可供买卖的虚拟资产时,应以适当的技能、小心审慎及勤勉尽责的态度行事。平台营运者在纳入任何虚拟资产以供买卖(不论是否向零售客户提供)之前,应该先对该等虚拟资产进行所有合理的尽职审查,及确保它们继续符合代币纳入及检讨委员会所制定的所有纳入准则。虚拟资产的技术层面,包括其区块链规程的安全基础设施,区块链和网络的大小,特别是对常见攻击(例如51%攻击的抵御能力),共识算法的类型,及与涉及虚拟资产及其支援区块链的代码缺陷、违规事项和其他威胁有关的风险,或适用于它们的作业手法和规程。虚拟资产尽职调查与Web3.0的智能合约审计非常类似,一般Web3.0的项目方在正式上线前都会主动地执行智能合约审计,确保该智能合约不存在安全漏洞和业务逻辑漏洞被利用,导致资金的非法转移,也能防止授权和投票的权力过于集中而带来的“跑路”风险。因此,一份获得良好评价的智能合约审计报告,通常能为Web3.0项目提供良好背书能力。我们从上面的合规要求可以看出,基本要求、平台安全性与可靠性、平台容量、应变措施等4个核心内容,都与传统的金融安全合规要求并无太大差异。差异部分主要集中在要求虚拟资产交易平台关于“保管客户虚拟资产”与“虚拟资产尽职调查”等方面的要求。希望上面的分析能为读者对Web3.0的安全合规带来一些启发。随着全球对Web3.0和数字资产的价值认可,未来将有越来越多的国家和地区出台相关的虚拟资产法律法规和规范细则,包括稳定币政策以及其他有利于实体经济的代币经济政策都会陆续出台。基于目前主要经济体现行政策要求的分析,我们作为网络安全从业者,只需要把握监管的重点、技术原理和底层逻辑,就可以通过建立一个融合Web2.0和Web3.0的安全合规底座,并对各个不同地区的监管要求进行适量裁剪,即可满足新地区的监管要求。相信本文章能够为希望踏进Web3.0安全领域的安全从业者揭开Web3.0的什么面纱,使更多的安全从业者能进入到该领域,一起为Web3.0新时代风险与创新平衡作出贡献。胡恺健,Amber Group。数据安全与隐私保护专家,现任广州诸子云常务理事、广东省等级保护专家、CSA云安全联盟零信任工作组、ISC2华南分会安全专家、CSA隐私与个人信息法律组成员、DPOHUB成员。专注于全球金融科技的GRC、数据安全与隐私保护工作,在数字政府、金融科技、互联网电商的网络安全规划设计、信息安全治理与管理、AI治理、数据安全、隐私保护、安全运营等领域具有丰富的实践经验。持有CISSP \ CISA \ CIPM \ CIPT \ CDPO \ CISP-DSG \ EXIN-DPO \ CDPSE \ C-CCSK \ ISO 27001 LA \ISO 27701 IA \ CCNA \ 网络规划设计师等安全与数据隐私认证。
大湾区专刊现已发布第1辑和第2辑,集合了全国数十家金融和科技机构的网络安全工作经验总结,更邀请了大湾区港澳金融机构的安全专家分享独到见解。文章内容涉及防御体系、安全运营、数据安全、研发安全、业务安全、资产管理、攻防演练、前沿分析等主题方向,希望能为从业者提供网络安全防护方面的整体思路,向行业传播可持续金融创新和实践经验,为推动可持续金融生态发展汇聚智慧与力量。
安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
![]()
文章来源: https://mp.weixin.qq.com/s?__biz=MzkyODM5NzQwNQ==&mid=2247496320&idx=1&sn=97c4ba60e2626361cb25eed8c7a1b5ab&chksm=c21bd3b2f56c5aa48ace5b35b8115d066621f0ddf18486cb96c98c880284e8ae6f9ed2ea4c18&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh