基于區塊鏈技術在電子政務應用中的風險

摘要：比特幣的核心技術， 區塊鏈，作為一個突破性的創新將得到廣泛的應用。歷史上第一次，公民現在可以通過經過加密驗證的對等程序在全球一級達成共識和協調，而不需要第三方的調解。盡管學術界對這一問題的興趣日益濃厚， 但區塊鏈技術的應用仍然主要由與比特幣有關的技術、金融和法律問題所主導，從政治角度對區塊鏈應用的較少，尤其缺乏其運用過程中可能會帶來的風險分析?；诖四康模疚膶趨^塊鏈對其在電子政務運用中可能會帶來的風險方面進行分析。

關鍵詞：電子政務；區塊鏈；風險； 安全體系構建；

一、區塊鏈技術

自從文明誕生以來， 賬簿就一直存在， 記錄著資產和交易。區塊鏈，被廣泛認為是容錯分布式計算的重大突破，我們可以將區塊鏈定義為一個由一個永久性的、分布式的、數字的分類帳組成事的數據庫。它由一系列的塊組成，每個模塊的大小都達到一定的最大值。每個區塊都是一份交易清單 （如付款、許可或所有權）。每個塊都在連續鏈中都會記錄著前一區塊的ID，與其前身進行加密連接，形成一個鏈狀結構。系統中的每個完整參與者都有自開始以來的每個事務的副本，鏈上的每個事務都由所有節點驗證。 它能夠抵抗篡改， 并由系統的所有節點共同進行。區塊鏈中電子記錄一旦寫入，就不可逆轉，因為任何更改都必須先在整個網絡進行驗證。整個網絡不在設立集中的管理機構，節點間擁有相同的權利和義務，任一節點的損壞或者失去都會不影響整個系統的運行。系統節點點數據交換無需信任，系統基于公開透明的規則，數據內容公開，節點之間無法互相欺詐，任何篡改行為將被識別出來。分布式賬本技術所含信息類似于一個公開透明的社會征信體系，信息不對稱將不復存在。

這項技術所帶來的巨大創新是，網絡是開放的，參與者不需要相互了解或互相信任才能相互作用： 電子交易可以通過加密算法，通過網絡節點自動驗證和記錄，而無需人為干預、中央權威、控制點或第三方。即使某些節點不可靠、不誠實或惡意， 網絡也能夠正確地驗證事務并保護分類帳免遭篡改，這是一種稱為 proof-of-work2 的數學機制，這使得人類干預或控制權威變得不必要。

二、區塊鏈在電子政務運用中的風險

（1）網絡公開不設防：對公有鏈網絡而言，所有數據都在公網上傳輸，所有加入網絡的節點可以無障礙地連接其他節點和接受其他節點的連接，在網絡層沒有做身份驗證以及其他防護。

（2）隱私泄露：公有鏈上交易數據全網可見，公眾可以跟蹤這些交易，任何人可以通過觀察區塊鏈得出關于某事的結論，不利于個人或機構的合法隱私保護。

（3）算力攻擊：使用工作量證明型的區塊鏈解決方案，都面臨51%算力攻擊問題。隨著算力的逐漸集中，客觀上確實存在有掌握超過50%算力的組織出現的可能，在不經改進的情況下，不排除逐漸演變成弱肉強食的叢林法則。

（4）存在漏洞：雖然 \"我們信任的密碼學\" 是世界上許多支持者的座右銘， 但研究也表明， 比特幣區塊鏈目前存在著與使用橢圓曲線加密相關的主要漏洞， 包括弱密鑰生成、低簽名隨機性、軟件漏洞。特別是， 比特幣橢圓曲線密碼學不是量子安全的， 量子計算機的出現可能會在任何時候擾亂它。

（5）“雙花”問題：加密數字貨幣和其他數字資產一樣，如同可以將一個文件以附件形式保存并發送任意多次，具有無限可復制性的缺陷。如果沒有一個中心化的機構，我們無法確認一筆數字現金或資產是否已經被花掉或提取。為了解決“雙花”問題，可以信賴的第三方需要保留交易總帳從而保證每筆現金或資產只被花費或提取過一次。在區塊鏈中，每一個區塊都包含了上一個區塊的哈希值，從創始區塊開始連接到當前區塊從而形成塊鏈。每一個區塊都要確保按照時間順序在上個區塊之后產生，否則前一個區塊的哈希值是未知的。同時，由于區塊鏈中所有交易都要進行對外廣播，所以只有當包含在最新區塊中的所有交易都是獨一無二且之前從未發生過，其他節點才會認可該區塊。因此在區塊鏈中，“雙花”變的非常困難。

三、區域鏈安全體系構建

（1）物理安全：采用不限于VPN專網、防火墻、物理隔等方法，對物理網絡和主機進行保護。

（2）應用系統安全：應用系統的安全需要從身份認證、權限體系、交易規則、防欺詐策略等方面著手，參與應用運行的相關人員、交易節點、交易數據應事前受控、事后可審計。

（3）風控機制：對系統的網絡層、主機操作、應用系統的數據訪問、交易頻度等維度，應有周密的檢測措施。

（4）數據安全：數據提供方也應嚴格評估數據的敏感程度、安全級別，決定數據是否發送到區塊鏈，是否進行數據脫敏，并采用嚴格的訪問權限控制措施。

（5）密鑰安全：對區塊鏈節點之間的通信數據加密，以及對區塊鏈節點上存儲數據加密的密鑰，不應明文存在同一個節點上，應通過加密機將私鑰妥善保存。

此外，政府記錄要求高性能和高度的可靠性、可存取性和可預見性， 不容忍任何服務中斷或失敗，必須嚴格地要求正式和透明的合法化進程，建立穩固的機制，完善身份體系和高水平訪問控制。在管理或網絡的實施方面存在的缺陷將損害數百萬公民的安全和公民權利。處理政府服務時，政府機構需要采取更強有力的防護措施，保護這些數據免遭網絡攻擊。以使政府可以更好地發揮雙重作用，一方面促進市民的業務創新，另一方面與市民一起共創更出色的政府服務。

參考文獻：

[1] 畢瑞祥. 基于區塊鏈的電子政務研究[J].中國管理信息化，2016（12）.

[2] 張毅，肖聰利，寧曉靜. 區塊鏈技術對政府治理創新的影響[J].電子政務，2016（12）.

[3]周倩. 區塊鏈技術的國際應用與創新[J]. 中國工業評論， 2016（12）：44-50.

[4]謝輝， 王健. 區塊鏈技術及其應用研究[J]. 信息網絡安全， 2016（9）：192-195.

（作者單位：河北大學管理學院）