澎湃新聞：你曾經提到，區塊鏈在安全方面缺乏體系化安全防護。這次的安全規范是否能夠消除或者減少這些安全風險以及運維問題？

　　穆長春：《安全規范》全面梳理了分布式賬本技術的安全體系框架，對12個方面提出了具體的安全要求，有利于消除或者減少安全風險以及運維問題。首先，結合國家相關的法律法規、國家安全標準以及行業安全標準，明確了在金融領域應用分布式賬本技術的基本安全要求。其次，根據分布式賬本系統的特點，提出了針對性要求，特別地，《安全規范》中運維章節在等保的基本要求基礎上，全面覆蓋了分布式賬本運維的重點要求。

　　《安全規范》可為金融區塊鏈系統的安全設計和安全測試提供參考和約束，但規范本身并不能解決安全問題，落實規范才能提高系統的安全能力，降低風險。

　　澎湃新聞：在安全規范中，規定了金融分布式賬本技術的安全體系，共12部分，哪些部分是我們更應該關注的？

　　穆長春：《安全規范》提出的安全體系框架是有機的整體，每個層面的安全要求都很重要，其中借鑒和吸收了信息安全等級保護等相關安全標準的成果，也包含以往的安全標準中未曾遇到的新情況。這些內容可為金融分布式賬本系統的安全設計和安全測試提供參考和約束。同時，在《安全規范》推廣落地的過程中，業內的金融機構和技術公司不斷總結最佳實踐，也會不斷完善《安全規范》。

　　澎湃新聞：共識協議的安全要求中，有提到可監管性，為什么會特地提到這一點？后面也有專門的監管要求，在分布式賬本技術監管上，是否會存在監管難題？

　　穆長春：《安全規范》中提及的共識協議的可監管，主要是指共識過程和系統運行的歷史記錄都應可審計、可監管，且應不可纂改。之所以這么要求，是因為分布式賬本并不能完全做到無法篡改，而只能做到難以篡改。例如，基于算力、權益證明的共識算法，會遇到51%攻擊問題，即在掌握系統51%的算力或權益的情況下，可以重寫區塊鏈數據；聯盟鏈普遍采用基于投票的共識算法，也會遇到“合謀篡改”數據的問題。因此，在不能完全排除這一風險的前提下，要求記錄共識過程中所有的歷史記錄，以滿足監管的需要。

　　澎湃新聞：實名認證與隱私保護之間是否會存在矛盾？該如何解決？

　　穆長春：實名認證和隱私保護不存在矛盾。實名認證并不代表所有人都能看見某個人的賬戶名。存在隱私保護需求的金融分布式賬本系統可以使用匿名身份認證，但應遵循“前臺自愿、后臺實名”的原則，前臺使用匿名標識，后臺應能還原注冊實體的實名身份。

　　澎湃新聞：在隱私保護中，安全規范提出分級隱私保護策略，低隱私保護策略和高隱私保護策略有哪些區別？

　　穆長春：隱私保護的對象是各類敏感信息，通常的做法是對敏感信息的敏感性進行分級?！栋踩幏丁分刑岢龇旨夒[私保護策略，對應的是敏感信息的分級。分布式賬本系統可根據不同的隱私保護需求，制定不同級別的策略，采取不同強度的技術手段。具體實施哪種級別的隱私保護策略及技術手段，需要根據具體場景，在系統執行效率和隱私保護需求中做好平衡。

　　澎湃新聞：分布式記賬的去中心化特性與中央銀行的集中管理要求可能存在沖突，這一沖突該如何解決？

　　穆長春：在中央銀行的制度體系安排中，均是中心化的管理方式，主要體現在應用的集中部署和數據的中心化方式采集、存儲和處理，在中心化的組織中較容易實現監管；而以分布式為特征的區塊鏈中的每個過程往往都追求去中心化的設計，在獲得一定技術優勢的同時，也容易隱藏權力濫用和暗中操縱現象，難以準確定位主體，出現監管盲區，產生數據泄露、隱私侵犯、恐怖融資等問題。尤其出現較大的社會問題和群體事件時無法找到責任最后兜底者。

　　實際上，區塊鏈的去中心化優勢更多體現在技術上的去中心化優勢，教條式的鼓吹全面去中心化的往往是自己暗中想演變為新的中心。所以純粹的去中心與央行的集中管理要求是存在一定沖突的，為避免沖突并滿足集中管理的要求，同時不剝奪金融行業主體享受區塊鏈帶來的技術創新紅利，區塊鏈作為金融服務工具的底層系統和技術架構，須做相應的改造和升級，使其既能發揮去中心化的技術優勢，也要滿足中心化管理的要求。因此，在缺省情況下區塊鏈平臺從底層設計時就應考慮監管和隱私保護方面的要求，例如《安全規范》中相關內容要求。

繼續閱讀：

此文由 中國比特幣官網 編輯，未經允許不得轉載?。?a href="http://m.huohuxiazai.com/">首頁 > 比特幣新聞 » 專訪央行數研所所長穆長春：首個金融區塊鏈標準是怎么來的？