基于區(qū)塊鏈技術(shù)在電子政務(wù)應(yīng)用中的風(fēng)險(xiǎn)

摘要：比特幣的核心技術(shù)， 區(qū)塊鏈，作為一個(gè)突破性的創(chuàng)新將得到廣泛的應(yīng)用。歷史上第一次，公民現(xiàn)在可以通過經(jīng)過加密驗(yàn)證的對(duì)等程序在全球一級(jí)達(dá)成共識(shí)和協(xié)調(diào)，而不需要第三方的調(diào)解。盡管學(xué)術(shù)界對(duì)這一問題的興趣日益濃厚， 但區(qū)塊鏈技術(shù)的應(yīng)用仍然主要由與比特幣有關(guān)的技術(shù)、金融和法律問題所主導(dǎo)，從政治角度對(duì)區(qū)塊鏈應(yīng)用的較少，尤其缺乏其運(yùn)用過程中可能會(huì)帶來的風(fēng)險(xiǎn)分析。基于此目的，本文將對(duì)基于區(qū)塊鏈對(duì)其在電子政務(wù)運(yùn)用中可能會(huì)帶來的風(fēng)險(xiǎn)方面進(jìn)行分析。

關(guān)鍵詞：電子政務(wù)；區(qū)塊鏈；風(fēng)險(xiǎn)； 安全體系構(gòu)建；

一、區(qū)塊鏈技術(shù)

自從文明誕生以來， 賬簿就一直存在， 記錄著資產(chǎn)和交易。區(qū)塊鏈，被廣泛認(rèn)為是容錯(cuò)分布式計(jì)算的重大突破，我們可以將區(qū)塊鏈定義為一個(gè)由一個(gè)永久性的、分布式的、數(shù)字的分類帳組成事的數(shù)據(jù)庫(kù)。它由一系列的塊組成，每個(gè)模塊的大小都達(dá)到一定的最大值。每個(gè)區(qū)塊都是一份交易清單 （如付款、許可或所有權(quán)）。每個(gè)塊都在連續(xù)鏈中都會(huì)記錄著前一區(qū)塊的ID，與其前身進(jìn)行加密連接，形成一個(gè)鏈狀結(jié)構(gòu)。系統(tǒng)中的每個(gè)完整參與者都有自開始以來的每個(gè)事務(wù)的副本，鏈上的每個(gè)事務(wù)都由所有節(jié)點(diǎn)驗(yàn)證。 它能夠抵抗篡改， 并由系統(tǒng)的所有節(jié)點(diǎn)共同進(jìn)行。區(qū)塊鏈中電子記錄一旦寫入，就不可逆轉(zhuǎn)，因?yàn)槿魏胃亩急仨毾仍谡麄€(gè)網(wǎng)絡(luò)進(jìn)行驗(yàn)證。整個(gè)網(wǎng)絡(luò)不在設(shè)立集中的管理機(jī)構(gòu)，節(jié)點(diǎn)間擁有相同的權(quán)利和義務(wù)，任一節(jié)點(diǎn)的損壞或者失去都會(huì)不影響整個(gè)系統(tǒng)的運(yùn)行。系統(tǒng)節(jié)點(diǎn)點(diǎn)數(shù)據(jù)交換無需信任，系統(tǒng)基于公開透明的規(guī)則，數(shù)據(jù)內(nèi)容公開，節(jié)點(diǎn)之間無法互相欺詐，任何篡改行為將被識(shí)別出來。分布式賬本技術(shù)所含信息類似于一個(gè)公開透明的社會(huì)征信體系，信息不對(duì)稱將不復(fù)存在。

這項(xiàng)技術(shù)所帶來的巨大創(chuàng)新是，網(wǎng)絡(luò)是開放的，參與者不需要相互了解或互相信任才能相互作用： 電子交易可以通過加密算法，通過網(wǎng)絡(luò)節(jié)點(diǎn)自動(dòng)驗(yàn)證和記錄，而無需人為干預(yù)、中央權(quán)威、控制點(diǎn)或第三方。即使某些節(jié)點(diǎn)不可靠、不誠(chéng)實(shí)或惡意， 網(wǎng)絡(luò)也能夠正確地驗(yàn)證事務(wù)并保護(hù)分類帳免遭篡改，這是一種稱為 proof-of-work2 的數(shù)學(xué)機(jī)制，這使得人類干預(yù)或控制權(quán)威變得不必要。

二、區(qū)塊鏈在電子政務(wù)運(yùn)用中的風(fēng)險(xiǎn)

（1）網(wǎng)絡(luò)公開不設(shè)防：對(duì)公有鏈網(wǎng)絡(luò)而言，所有數(shù)據(jù)都在公網(wǎng)上傳輸，所有加入網(wǎng)絡(luò)的節(jié)點(diǎn)可以無障礙地連接其他節(jié)點(diǎn)和接受其他節(jié)點(diǎn)的連接，在網(wǎng)絡(luò)層沒有做身份驗(yàn)證以及其他防護(hù)。

（2）隱私泄露：公有鏈上交易數(shù)據(jù)全網(wǎng)可見，公眾可以跟蹤這些交易，任何人可以通過觀察區(qū)塊鏈得出關(guān)于某事的結(jié)論，不利于個(gè)人或機(jī)構(gòu)的合法隱私保護(hù)。

（3）算力攻擊：使用工作量證明型的區(qū)塊鏈解決方案，都面臨51%算力攻擊問題。隨著算力的逐漸集中，客觀上確實(shí)存在有掌握超過50%算力的組織出現(xiàn)的可能，在不經(jīng)改進(jìn)的情況下，不排除逐漸演變成弱肉強(qiáng)食的叢林法則。

（4）存在漏洞：雖然 \"我們信任的密碼學(xué)\" 是世界上許多支持者的座右銘， 但研究也表明， 比特幣區(qū)塊鏈目前存在著與使用橢圓曲線加密相關(guān)的主要漏洞， 包括弱密鑰生成、低簽名隨機(jī)性、軟件漏洞。特別是， 比特幣橢圓曲線密碼學(xué)不是量子安全的， 量子計(jì)算機(jī)的出現(xiàn)可能會(huì)在任何時(shí)候擾亂它。

（5）“雙花”問題：加密數(shù)字貨幣和其他數(shù)字資產(chǎn)一樣，如同可以將一個(gè)文件以附件形式保存并發(fā)送任意多次，具有無限可復(fù)制性的缺陷。如果沒有一個(gè)中心化的機(jī)構(gòu)，我們無法確認(rèn)一筆數(shù)字現(xiàn)金或資產(chǎn)是否已經(jīng)被花掉或提取。為了解決“雙花”問題，可以信賴的第三方需要保留交易總帳從而保證每筆現(xiàn)金或資產(chǎn)只被花費(fèi)或提取過一次。在區(qū)塊鏈中，每一個(gè)區(qū)塊都包含了上一個(gè)區(qū)塊的哈希值，從創(chuàng)始區(qū)塊開始連接到當(dāng)前區(qū)塊從而形成塊鏈。每一個(gè)區(qū)塊都要確保按照時(shí)間順序在上個(gè)區(qū)塊之后產(chǎn)生，否則前一個(gè)區(qū)塊的哈希值是未知的。同時(shí)，由于區(qū)塊鏈中所有交易都要進(jìn)行對(duì)外廣播，所以只有當(dāng)包含在最新區(qū)塊中的所有交易都是獨(dú)一無二且之前從未發(fā)生過，其他節(jié)點(diǎn)才會(huì)認(rèn)可該區(qū)塊。因此在區(qū)塊鏈中，“雙花”變的非常困難。

三、區(qū)域鏈安全體系構(gòu)建

（1）物理安全：采用不限于VPN專網(wǎng)、防火墻、物理隔等方法，對(duì)物理網(wǎng)絡(luò)和主機(jī)進(jìn)行保護(hù)。

（2）應(yīng)用系統(tǒng)安全：應(yīng)用系統(tǒng)的安全需要從身份認(rèn)證、權(quán)限體系、交易規(guī)則、防欺詐策略等方面著手，參與應(yīng)用運(yùn)行的相關(guān)人員、交易節(jié)點(diǎn)、交易數(shù)據(jù)應(yīng)事前受控、事后可審計(jì)。

（3）風(fēng)控機(jī)制：對(duì)系統(tǒng)的網(wǎng)絡(luò)層、主機(jī)操作、應(yīng)用系統(tǒng)的數(shù)據(jù)訪問、交易頻度等維度，應(yīng)有周密的檢測(cè)措施。

（4）數(shù)據(jù)安全：數(shù)據(jù)提供方也應(yīng)嚴(yán)格評(píng)估數(shù)據(jù)的敏感程度、安全級(jí)別，決定數(shù)據(jù)是否發(fā)送到區(qū)塊鏈，是否進(jìn)行數(shù)據(jù)脫敏，并采用嚴(yán)格的訪問權(quán)限控制措施。

（5）密鑰安全：對(duì)區(qū)塊鏈節(jié)點(diǎn)之間的通信數(shù)據(jù)加密，以及對(duì)區(qū)塊鏈節(jié)點(diǎn)上存儲(chǔ)數(shù)據(jù)加密的密鑰，不應(yīng)明文存在同一個(gè)節(jié)點(diǎn)上，應(yīng)通過加密機(jī)將私鑰妥善保存。

此外，政府記錄要求高性能和高度的可靠性、可存取性和可預(yù)見性， 不容忍任何服務(wù)中斷或失敗，必須嚴(yán)格地要求正式和透明的合法化進(jìn)程，建立穩(wěn)固的機(jī)制，完善身份體系和高水平訪問控制。在管理或網(wǎng)絡(luò)的實(shí)施方面存在的缺陷將損害數(shù)百萬公民的安全和公民權(quán)利。處理政府服務(wù)時(shí)，政府機(jī)構(gòu)需要采取更強(qiáng)有力的防護(hù)措施，保護(hù)這些數(shù)據(jù)免遭網(wǎng)絡(luò)攻擊。以使政府可以更好地發(fā)揮雙重作用，一方面促進(jìn)市民的業(yè)務(wù)創(chuàng)新，另一方面與市民一起共創(chuàng)更出色的政府服務(wù)。

參考文獻(xiàn)：

[1] 畢瑞祥. 基于區(qū)塊鏈的電子政務(wù)研究[J].中國(guó)管理信息化，2016（12）.

[2] 張毅，肖聰利，寧曉靜. 區(qū)塊鏈技術(shù)對(duì)政府治理創(chuàng)新的影響[J].電子政務(wù)，2016（12）.

[3]周倩. 區(qū)塊鏈技術(shù)的國(guó)際應(yīng)用與創(chuàng)新[J]. 中國(guó)工業(yè)評(píng)論， 2016（12）：44-50.

[4]謝輝， 王健. 區(qū)塊鏈技術(shù)及其應(yīng)用研究[J]. 信息網(wǎng)絡(luò)安全， 2016（9）：192-195.

（作者單位：河北大學(xué)管理學(xué)院）