基于联盟链的供应链金融信息安全问题思考
2021-07-05胡卿汉何娟
胡卿汉 何娟
摘 要:“区块链+供应链金融”管理系统的基本架构对其业务运营、维护和发展至关重要。因此,基于联盟链提出关于供应链金融信息安全的问题思考,分析论证了联盟链底层技术支持下,账户及权限管理、网络环境安全、健康监控及法律效力认证等手段使信息安全风险可防可控,最后从加强技术研发、推动基础设施建设、提升从业人员素质、完善法制建设等多角度提出信息安全管理建议,达到提升区块供应链金融稳定性和运作效率的目的。
关键词:区块链;供应链金融;信息安全;联盟链
中图分类号:F275.6 文献标识码:A
Abstract: The basic architecture of the“blockchain supply chain finance”management system is essential for its business operations, maintenance and development. Therefore, based on the consortium blockchain's thinking about the financial information security of the supply chain, it analyzed and demonstrated that under the support of the consortium chain's underlying technology, account and authority management, network environment security, health monitoring, and legal validity certification make information security risks preventable and preventable. Finally, it puts forward information security management suggestions from multiple perspectives such as strengthening technology research and development, promoting infrastructure construction, improving the quality of employees, and improving legal system construction, so as to achieve the purpose of improving the stability and operational efficiency of the blockchain supply chain financial.
Key words: blockchain; supply chain finance; information security; consortium blockchain
从2017年国务院办公厅印发《关于积极推进供应链创新与应用的指导意见》开始,供应链金融业务对于解决中小微企业融资困境的重要性不断提升。2018年商务部进一步提出规范发展供应链金融。供应链金融市场规模将在近年内继续增长,预计2020全年市场规模将达51.5万亿元。传统供应链企业间信息交流不畅、交易信任成本高等问题严重影响了供应链系统运作效率;银行、金融机构对于供应链企业,特别是上下游中小微企业的信任度低,使供应链金融业务发展受限。习近平总书记强调,“要抓住区块链技术融合、功能拓展、产业细分的契机,发挥区块链在促进数据共享、優化业务流程、降低运营成本、提升协同效率、建设可信体系等方面的作用”[1]。从比特币网络到联盟链,一切区块链操作必须在可信任的执行环境中完成,而共识机制、智能合约等底层技术天生就具备了去中心化信任机制的特点,从而支撑了区块链能够成为颠覆性技术[2]。供应链金融参与方的相关信息在区块链分布式数据库各节点实现公开、透明,为全链条的完整交易记录及融资信用体系提供了底层数据支撑,有助于提升融资可获得性、融资安全,降低融资成本,从根本上缓解中小微企业融资困境[3-6]。
本文旨在论证联盟链与供应链金融业务运营、维护和发展的适应性良好,现有技术支持下供应链金融信息安全风险可防可控,并且可从多方位提升区块供应链金融系统信息安全管理性能,全面提高区块供应链金融的稳定性和运作效率。
1 区块链金融信息安全现状
供应链企业依托区块链平台创造可信的价值流转,在信息共享的合作基础上拓展更多业务场景,如电子票据、数字资产开发、供应链全程可溯源等,已成为行业趋势性需求。就供应链金融这样的商用区块链体系而言,在分布式记账技术逐渐使各个主体的信息趋近于对称化的同时,自身区块中大量的商业机密信息(如交易数据、电子凭证、供应链溯源信息、供应链契约等)也可能被敌手所获取。据Beosin(成都链安)统计结果显示,2018年区块链受攻击的主要对象为交易平台、智能合约、普通用户;2018年,CNCERT检测的430个互联网金融APP中,安全漏洞多达1 005个,其中明文数据传输漏洞数量最多,占高危漏洞数量的20.8%[7]。2019年全球区块链安全事件损失超60亿美元。2019年7月,数字货币贷款平台YouHodler超过8 600万用户数据被盗,包括个人信息、加密钱包和交易数据等。2020年3月,英国金融科技公司Finastra被勒索软件攻击,导致服务器失控关机;同年4月,网络公开了两则银行职员泄露客户隐私信息的犯罪案件[8]。近年来,全球数据泄露风险事件不断发生,国家有关部门高度重视金融科技信息安全问题,2020年9月,中国人民银行等八部门联合发布的《关于规范发展供应链金融支持供应链产业链稳定循环和优化升级的意见》里明确指出应防范供应链金融业务操作风险及金融科技应用风险,推进“区块链+供应链金融”业务开展的同时,需“持续加强供应链金融服务平台、信息系统等的安全保障、运行监控与应急处置能力,切实防范信息安全、网络安全等风险”[9]。
从理论上看,区块链系统的数据池只会越来越大,信息量持续增长,因此在庞大的数据池中,如何保障自身的隐私信息安全——既要基于高度化信息共享实现交易和融资高效性,又要避免商业机密泄露,成为许多区块供应链金融主体间商业信任机制的最后一道隔阂。在区块链數据安全共享的基础上,为实现供应链金融系统信息“可用不可见”,链博科技正与电子科技大学等高校、单位合作共建金融区块链应用平台,提供企业数据多方治理和安全共享服务[10]。Muzammal M等[11]提出一种可审计的防篡改区块链数据系统,能实现对分布式数据的高效检索。Karagiannis I等[12]在区块链技术协议、网络架构等系统基础框架方面提出了金融机构信息共享的安全保障方法。Ming Li等[13]探究了区块链电子商务零售物流金融平台的流程化、标准化和监管执行等技术实现方法。常景超等[14]构建了区块链个人金融信息保护技术框架及隐私保护机制。由此可见,区块供应链金融全链条的信息安全保障机制是行业目前急需的一块“补丁”,可降低用户对于区块链信息安全风险的顾虑,对推广商用区块链技术在供应链金融领域落地具有积极影响。
2 联盟链与供应链金融契合度分析
区块链分为公有链、联盟链、私有链。无中心机构和中心服务器,任何节点可以通过算力自由加入和查看链上任意信息的区块链为公有链(Public blockchain);只允许授权节点加入,根据自身的权限范围有条件地查看链上信息,通常应用于数个机构或公司之间的区块链称为联盟链(Consortium blockchain),也称行业链;由一家机构或公司掌控所有节点,并全部按内部权限、规则和程序运作,这样的区块链称为私有链(Private blockchain),常用于内部工作管理[15]。本文主要从以下几个方面阐释联盟链与供应链金融业务的契合度和适用性。
2.1 基本架构
区块链使供应链金融各环节从分割关系转变为战略同盟,形成了相互依存的一体化信息模式,还可以通过接入相关交易平台进行资源整合[16]。从供应链金融的运作模式来看,其最基本架构就是由供应链企业(包括核心企业、上下游中小微企业)、金融机构、银行所构成,与联盟链的定义更为契合;在供应链金融的架构模式基础上,联盟链易生成统一的共识机制,在一定范围内较公有链和私有链更能满足实务需求。另一方面,相较公有链权利“完全分散”,私有链权利“完全集中”的控制模式,联盟链权利的“部分集中”更适用于授信、放贷等具体业务流程。
2.2 管理可控性
在比特币网络为代表的公有链中,节点用户以俗称“挖矿”的工作量证明算法来产生区块并证明区块数据的合法性,节点具有匿名性且无需权限审核,以算力强弱为标准获取价值,电力消耗和设备损耗极大,不易管理(任何节点向任何人开放),难以落地于商业领域;私有链以完全中心制实体控制区块验证,不符合供应链金融运行逻辑与发展方向,无法满足区块供应链金融的框架设计。供应链金融本身具有一定的局域性、范围性,其依托于供应链真实交易,自带主体实名制的特性,不同于公有链和私有链的共识算法;并且在供应链金融实务中主体间更倾向于初步了解彼此的基本情况,因此除某些特殊的保密性企业外,区块供应链主体的基本属性信息公开程度一般情况下大于公有链。且联盟链注重于信息安全、隐私保护和监管,多样化管控元素的加入,更趋近于类似传统拜占庭家族(PBFT,DPOS)等共识机制,契合于区块供应链金融的体系构建。
2.3 可扩展性
商用区块链的架构一般由底层协议、应用适配层、应用层组成。比特币构建的开源、开放区块链平台难以形成产品化,即便以太网延续了比特币的特征,还使智能合约功能得到实现,推动了去中心化应用程序的形成,但其灵活度、性能速度、可视化程度还不足以应用至商业场景;私有链的可扩展性最低,更无法满足供应链金融业务运行要求。基于联盟链能够实现数字资产、供应链溯源、供应链金融等多种商业应用功能,并在其中形成价值自由流通、交换的网络,可扩展性良好且易于应用开发。
2.4 融资效率
区块链数据分布式储存、可验证性、点对点传输、可追溯等特点,有效增加了供应链信息透明度,提升了供应链金融准入、审批、风险预警等业务效率。联盟链数据处理速度快,依托于供应链企业、银行、金融机构以及其他交易平台更高效地进行稳定的点对点数据交互,不仅能提升融资效率,缩短融资周期,还可以降低融资成本,这是公有链和私有链所无法提供的。联盟链上的“云交易”、“云撮合”功能,也体现出区块供应链战略联盟提升融资效率的价值[17]。
2.5 去中心化信任
供应链金融业务的特性决定了各个主体的权限不可能向以太坊P2P环境一样完全无差别化,如果所有企业、金融机构、银行权限平等,则无法按照现有的供应链层级、交易模式、融资流程来执行业务。在联盟链架构下,碎片化真实交易数据扩散至融资等各个场景,基于联盟链能够形成可信任的多中心区块链基础平台以及多样化的应用业务支撑系统,使银行、金融机构可依托底层数据获取企业真实征信。联盟链根据节点的授权准入,赋予了该节点的完全信任性;联盟成员互相监督,在共识基础下可修改部分合约和事务,有利于审计工作的开展。在供应链金融联盟链中,各方“多方维护、共同写入”分布式账本,企业的主体信用和债权凭证对称透明化,实现信任自证、信任多级无损传递、拆转融[18]。因此,建立基于联盟链的去中心化供应链金融信任体系,即加强了供应链企业间的互信,也使银行、金融机构对于供应链企业的信任度得到极大的提升。
总体而言,联盟链与供应链金融在基本架构、管理可控性、可扩展性、融资效率、去中心化信任等五个方面契合度高,采取联盟链架构来建立区块供应链金融系统适应性强,能够科学、有效地提升供应链信息透明度,加快供应链资金流通速率,同时使信息安全风险可防可控。区块链“智能保理”业务模式,能实现信息同步共享、关键数据保护与授权访问[19]。以基于联盟链技术的供应链“多级智能保理”业务为例,其执行模式如图1所示。
3 基于联盟链的供应链金融信息安全技术分析
3.1 账户及权限管理
供应链金融信息安全主要面向供应链企业、银行和金融机构,因此利用联盟链授权技术可赋予各角色不同的权限,通过智能合约依照账户权限查询相应的信息,在保证信息公开透明的同时保护各方商业隐私。简单来说,区块链架构下的供应链金融模式是一个具有特色交易功能、且用户具有不同功能权限的去中心化商用应用程序,能实现供应链交易和融资领域的价值传递。通过去中心化的共识机制及智能合约技术制定相应的数据展示条件,在应用层可以实现授权特定账户查看或特定时间段查看,加强信息安全保护的可控性。例如,当某企业加入区块供应链金融系统时,其不仅需要认证在链上金融机构的账户真实性,还需要通过联盟链共识机制的权益证明(POS)认证;并且当企业A查询企业B的相关数据交易信息时,须通过企业B的认证,才能获得代表查询权限的密钥,并且该权限管理过程也应在全网广播和分布式认证,不仅能保证信息的真实性和私密性,同时能够在信息隐私泄露风险发生时及时锁定风险节点,限制相关用户行为,达到防止风险扩散的目的。
3.2 网络环境安全
区块链服务网络属于第二代智能专业互联网,融合互联网数据传输协议及组织间的共识机制,并能适配5G、物联网、人工智能等高科技,用户通过区块链浏览器可以实时查看、搜索和统计整条区块链底层数据,包括账户、交易、资产等区块核心信息,因此,区块链网络环境安全性和可信赖性对防范信息安全风险极为重要。应用软件(如区块链浏览器或其他共享服务应用软件等)必须及时更新版本、补丁,避免被黑客利用漏洞恶意侵入底层数据;应用适配层的接口也存在一定风险性,如私钥保险箱体系中的密文传输和客户端生成和解密密钥过程存在密钥泄露风险;另外,区块供应链金融系统扩展服务,如多链分片扩容、跨链交互(多链条上进行多方验证、确权、交易等),需要建立跨链安全协议,内外部网络进行有条件交互,并对供应链金融各业务场景的隐私数据进行安全隔离,在此基础上达到保护区块一致性的目的,同时开启专业级防火墙(网络和应用层)、防入侵设备(IPS),可抵御大多数的网络恶意攻击。利用联盟链的多通道技术构建供应链金融数据共享网络,可以实现数据通道隔离,避免受其他供应链上企业节点访问[20]。
另一方面,区块供应链金融系统用户采取“U盾”安全操作模式,区块链U盾是用于区块链用户电子签名和数字认证的实体固件工具,内置微型芯片,并且采用了非对称密钥算法进行加密和解密。区块链U盾可作为区块链客户端最高级别的安全工具,在用户界面结合密钥,操作区块链浏览器或其他应用软件时可极大程度降低黑客、假服务网络、病毒等各种风险,同时确保每个节点发生流程的保密性、可追溯性和不可抵赖性。
3.3 健康监控
區块供应链金融系统的健康监控应从三个维度展开:系统硬件层、服务网络层和区块数据层,且在每个维度均应该提供完善的风险预警、锁定以及日志机制,能够对区块链系统的信息安全风险进行完整的监控及记录,并发挥联盟链的可审计功能,健康监控体系工作模式如图2所示。
区块链的系统硬件层主要包括中央处理器(CPU)、内存、磁盘、可信适配器等,当硬件发生安全性风险时,整个区块链系统将遭受数据泄露危机。目前有部分观点因斯诺登事件质疑区块链系统硬固件可信性,可能在其供应链的某环节被调换芯片或受篡改,导致区块链技术原本充满私密性的算法变得毫无价值。因此,健康监控的系统硬件层不仅应反映元件质量、运转状态,更要从系统整体运行的角度考量硬件的可验证性和可信赖性。服务网络层需记录网络时延、断线以及P2P组网协议等安全性信息。健康监控体系对于系统及用户的网络环境、网络状态实时监控并生成日志,在必要时可对断线节点临时隔离保护,避免受害;另一方面,保护STUN透传协议、UPnP热插拔协议等基础P2P组网和通信协议不被恶意篡改,防止黑客伪造区块链合法节点和暴力破解系统的共识机制。当区块链服务网络出现异常和P2P协议被攻击时,健康监控系统可立刻告警并根据风险程度立刻进行资源隔离。区块数据层包含区块生成、交易验证、多链分片的合法性和分布式记账一致性等监控内容。例如某用户未经授权试图非法侵入区块链或反复解密失败会立即触发安全保护机制告警;此外,若发生公钥泄密、信息泄露等风险事件,能够通过私钥解密记录追溯到解密者及其操作,对于风险定性、定量和最大程度规避有重要意义,当某用户查看过的数据发生泄漏时,该用户的权限将会被紧急锁定并进行安全验证。
3.4 法律效力认证
在区块供应链金融系统中,智能合约技术和链上节点引入司法机构如互联网法院、司法风控平台、中国金融认证中心(CFCA)等具有法律效应的权威机构,结合具体的业务场景签发和存档电子合同、司法存证等具真实身份信息备案文件,为区块数据信息安全提供了多重保障。在区块供应链金融这样的商用联盟链系统中,必须保证商业环境的良好秩序、商业行为合法性,才能确保商业机密信息安全。区块链用户需持有第三方可信机构——证书授权中心(CA)颁发的数字证书,才能接入系统和操作区块数据。CA证书的本质是CA对用户公钥的认证,所有真实身份认证信息均映射至区块链账户;可用CA的公钥验证该证书上签字的真伪及有效性。CA证书内容包括CA信息、公钥用户信息、当前时间戳、CA签字和有效期等,存于用户终端设备,其格式和验证过程普遍遵循X.509国际标准。我国CA认证授权由国家工业和信息化部颁发,全国范围内仅数十家企业具备CA认证资质,使不法分子难以利用伪造的假公钥行骗。另外,链上数据需经过标记确权并通过认证,保证数据具有归属性,数据确权是数据操作安全性和合法性的前提。
4 基于联盟链的供应链金融信息安全管理建议
4.1 加强技术研发
加强对于系统底层组网安全协议的技术研发,如接入IP控制、信任列表智能控制等技术;在共识算法的安全性和容错能力之间进行优化,如优化条约投票通过阀值,加强恶意节点处理技术、黑白名单智能管理技术;优化密码学算法,加强用户密钥、数字证书的智能管理技术研发;同时提升隐私数据保险箱的技术安全级别,在提高信息安全共享效率的同时,可满足监管审计需求。
4.2 推动基础设施建设
各省市应加快落实区块链规划建设方案,推动政企合作,积极发展网络化的区块链基础设施建设。科技企业应该与政府持续开展深度合作,建设BaaS基础设施,为区块链上层应用的实现和运营提供安全、可信的公共资源环境[21-22]。只有实现区块链底层架构和基础设施建设的有序发展,才能逐步解决跨链交互、业务场景融合等难题,否则将面临新一轮信息孤岛和安全漏洞的风险。
4.3 提升从业人员素质
一方面,提升系统物理硬固件、机房管理人员的从业素质,加强对于员工日常管理规范及防火、防盗、防断电等方面的安全教育培训,制定完备的员工操作准则和风险预案机制,并进行模拟实战演练;另一方面,对于网络技术人员应提高供应链金融数据的安全性意识,在严谨、成熟的管理制度下工作,定期开展加强技术水平、业务能力和风险管理能力的培训,并通过严格的人员业务审计,降低人员操作带来的信息安全风险。
4.4 完善法制建设
2020年7月,全国人大常委会就《中华人民共和国数据安全法(草案)》在中国人大网向公众公开征求意见,央行下发《关于发布金融行业标准推动区块链技术规范应用的通知》,全国金融标准化技术委员会审查通过了《区块链技术金融应用评估规则》(JR/T 0913-2020),要求区块链系统具备对数据来源和变更的操作者身份进行追溯的功能,体现了国家立法层面和行业标准技术层对于区块链金融平台的数据安全重视程度。区块链金融服务平台应进行公安部信息系统安全等级保护备案测评,领取相应等级的备案证书,同时结合《合同法》、《电子签名法》、《网络安全法》、《电子商务法》、《金融法》等现有相关法律,实现“法律+行业标准”相结合的区块供应链金融信息安全法制体系建设,杜绝信息安全违法行为。
5 结语与展望
本文思考探究了“區块链+供应链金融”管理系统的基本架构和信息安全问题,对于提升区块供应链金融稳定性和运作效率具有重大意义。联盟链技术虽良好适用于供应链金融服务系统,但也需要多位一体的管理策略来保障链上数据信息安全,以上内容对于学术界和行业实务仍具有较大的探索空间。应用5G、物联网、人工智能等新科技挖掘、采集底层数据,实现分布式商业存证和去中心化信用体系,在区块链、云平台上基于数据增值开发出更多供应链金融创新型服务应用,保证信息传输和存储安全,防止信息孤岛、恶意篡改或泄密事件发生,形成良好的金融新科技生态环境,是行业未来发展的远景。
参考文献:
[1] 巩富文. 以区块链赋能社会治理(新论)[EB/OL]. (2019-11-21)[2020-11-25]. https://baijiahao.baidu.com/s?id=165076068251
6026403&wfr=spider&for=pc.
[2] 刘彦松,夏琦,李柱,等. 基于区块链的链上数据安全共享体系研究[J]. 大数据,2020,6(5):92-105.
[3] Zhu Chaoyong, Dong Aiqiang. The coordination mechanism of supply chain finance based on block chain[EB/OL]. (2018)[2020-11-25]. https://www.onac-ademic.com/detail/joumal_1000041614937699.4569.html.
[4] V G Venkatesha, Kai Kangb, Bill Wangc, et al. System Architecture for Blockchain Based Transparency of Supply Chain Social Sustainability[EB/OL]. (2020)[2020-11-25]. https://www.sciencedirect.com/science/article/abs/pii/s0726584519301589.
[5] 田琳. 基于“区块链+供应链金融”下中小企业融资问题探究[J]. 农家参谋,2020(11):175,181.
[6] Jiri Chod, Nikolaos Trichakis, Gerry Tsoukalas, et al. On the Financing Benefits of Supply Chain Transparency and Blockchain Adoption[J]. Management Science, 2019(7):1-13.
[7] 佚名. 浅析互联网金融与区块链的安全困扰:高危漏洞、数据泄露及盗取[EB/OL]. (2019-04-20)[2020-11-25]. https://xw.qq.com/amphtml/20190420A00AE300.
[8] 佚名. 2020年金融银行行业网络信息安全、信息泄漏事件汇总[EB/OL]. (2020-05-19)[2020-11-25]. https://blog.csdn.net/jojo7
05/article/details/106188966.
[9] 中国人民银行. 关于规范发展供应链金融 支持供应链产业链稳定循环和优化升级的意见[EB/OL]. (2020-09-22)[2020-11
-25]. http://www.pbc.gov.cn/goutongjiaoliu/113456/113469/4101190/index.html.
[10] 佚名. 生活在大数据时代的我们如何保护个人隐私?[EB/OL]. (2020-08-03)[2020-11-25]. https://www.sohu.com/a/4112626
32_120337357?_trans_=000014_bdss_dkzzwhfs.
[11] Muzammal M, Qu Q, Nasrulin B, et al. A Blockchain Database Application Platform[EB/OL]. (2018)[2020-11-25]. https://xueshu.baidu.com/usercenter/paper/shaw?paperid=098e2aaab3d7ec010d03210a3e715f828site=xueshu_se.
[12] Karagiannis I, Mavrogiannis K, Soldatos J, et al. Blockchain Based Sharing of Security Information for Critical Infrastructures of the Finance Sector[Z]. 2020.
[13] Ming Li, Saijun Shao, Qiwen Ye, et al. Blockchain-enabled logistics finance execution platform for capital-constrained
E-commerce retail[EB/OL]. (2020)[2020-11-25]. https://sciencedirct.com/science/artide/abs/pii/s0736584519303400.
[14] 常景超,赵蕾,李成君. 金融科技背景下的隐私信息保護[J]. 青海金融,2019(12):31-36.
[15] 许茹. 基于区块链的会计档案信息共享平台建设研究——以联盟链为例[J]. 档案天地,2020(8):39-42,18.
[16] 何力,邹江,陈俞佳. 基于区块链技术的供应链金融实践应用[J]. 全国流通经济,2020(5):160-161.
[17] 何娟,沈迎红. 基于第三方电子交易平台的供应链金融服务创新——云仓及其运作模式初探[J]. 商业经济与管理,2012(7):5-13.
[18] 张功臣,赵克强,侯武彬. 基于区块链技术的供应链融资创新研究[J]. 信息技术与网络安全,2019,38(10):14-17.
[19] 邓爱民,李云凤. 基于区块链的供应链“智能保理”业务模式及博弈分析[J]. 管理评论,2019,31(9):231-240.
[20] 肖博,夏辉,陈明. 基于联盟链的制造供应链质量追溯研究[J]. 国外电子测量技术,2020,39(9):19-24.
[21] 华夏时报. 政企合作谋求双赢 区块链技术成为新型城市基础设施建设重要一环[EB/OL]. (2020-11-10)[2020-11-25]. https://finance.ifeng.com/c/81HcLbPTo53.
[22] 国家发展改革委. 区块链技术可提高数据可信性和安全性[EB/OL]. (2020-08-25)[2020-11-25]. https://baijiahao.baidu.com/s?id=1675969729932137799&wfr=spider&for=pc.
