何萬敏

福建水利電力職業(yè)技術(shù)學院信息工程系，福建 永安 366000

1 傳統(tǒng)網(wǎng)絡(luò)空間安全策略原理與缺陷

1.1 傳統(tǒng)網(wǎng)絡(luò)空間安全策略原理

傳統(tǒng)網(wǎng)絡(luò)空間安全策略的核心在于身份識別、權(quán)限分配，兩者代表了該策略的基本原理，即根據(jù)傳統(tǒng)網(wǎng)絡(luò)空間安全模型運作流程，可以分為兩大板塊，各板塊分別代表了身份識別、權(quán)限分配，下文將對兩個板塊的安全防護原理進行分析。

1.1.1 身份識別板塊原理

其中身份識別板塊主要依照用戶身份信息（如賬號密碼、安全證書、IP 地址等）來確認用戶在網(wǎng)絡(luò)與現(xiàn)實中的身份，例如通過賬號密碼可以確認用戶在網(wǎng)絡(luò)中的身份，確認后依照IP 地址來確認用戶現(xiàn)實中的身份，若用戶IP 地址疑似異常，則將安全證書發(fā)送到用戶其他終端上，當用戶在其他終端上確認是“本人”無誤，則用戶網(wǎng)絡(luò)與現(xiàn)實身份被確認，可以進入網(wǎng)絡(luò)空間進行操作，而當用戶賬號密碼不正確或賬號密碼正確但IP 地址與安全證書不通過的情況下，則說明身份異常，不可進入網(wǎng)絡(luò)空間，由此保障網(wǎng)絡(luò)空間安全[1]。

1.1.2 權(quán)限分配板塊原理

網(wǎng)絡(luò)空間可以分為兩類，即私人空間與公共空間，其中前者因為只針對單個用戶，所以只需要通過身份識別來保障安全即可，但后者所針對的用戶數(shù)量較多，且每個用戶的實際身份、所擁有的權(quán)利不同，因此不能只采用身份識別來進行防護，需要結(jié)合權(quán)限分配板塊來進行進一步控制。在公共空間基礎(chǔ)上，當用戶通過了身份識別被確認為“正常用戶”時，用戶即可通過頁面跳轉(zhuǎn)等過渡環(huán)節(jié)進入空間，但在過渡環(huán)節(jié)過程中傳統(tǒng)網(wǎng)絡(luò)空間安全策略將根據(jù)空間最高權(quán)限用戶（或管理員）預(yù)設(shè)邏輯，對用戶身份進行進一步定義，再依照定義身份所能夠得到的權(quán)限讓用戶進入對應(yīng)空間，如在某企業(yè)網(wǎng)絡(luò)公共空間當中，最高權(quán)限用戶根據(jù)部門設(shè)立了“業(yè)務(wù)人員”、“財務(wù)人員”身份，這時當“業(yè)務(wù)人員”進入系統(tǒng)后將賦予“進入業(yè)務(wù)空間”的權(quán)限，無法進入“財務(wù)空間”，此舉即可避免用戶群體內(nèi)產(chǎn)生的網(wǎng)絡(luò)安全問題。

1.2 缺陷

表面上傳統(tǒng)網(wǎng)絡(luò)空間安全策略比較完善，能夠從各種角度來保障網(wǎng)絡(luò)空間安全，但在網(wǎng)絡(luò)惡意入侵手段層出不窮的現(xiàn)代，該策略的能效性直線下降，隨之出現(xiàn)了很多缺陷，其中較具代表性的就是“惡意軟件簽名”。根據(jù)相關(guān)統(tǒng)計可知，我國近幾年的惡意軟件簽名數(shù)量暴漲，截至2019 年已經(jīng)超過一億，而這種簽名會導致傳統(tǒng)安全策略的身份識別板塊失去準確判斷能力，即相關(guān)人員可以利用惡意軟件簽名在網(wǎng)絡(luò)中偽造身份，由此欺騙身份識別板塊，隨后進入網(wǎng)絡(luò)空間，且如果惡意軟件簽名所偽造的身份是最高權(quán)限用戶，則權(quán)限分配板塊也會喪失實際能效，因此傳統(tǒng)網(wǎng)絡(luò)空間安全策略存在明顯的漏洞與缺陷，有必要對該策略模型進行改進。

2 區(qū)塊鏈技術(shù)在網(wǎng)絡(luò)空間安全問題上的優(yōu)勢

2.1 區(qū)塊鏈技術(shù)概念

在本質(zhì)上區(qū)塊鏈技術(shù)是一種應(yīng)用模型，可以支撐點對點傳輸、加密算法運作，且該模型也具有權(quán)限分配功能，但區(qū)塊鏈的權(quán)限分配原理比較獨特，其主要是根據(jù)點對點之間的信任關(guān)系來分配權(quán)限的，即在區(qū)塊鏈模型中，權(quán)限分配所面對的對象不單純是用戶，還針對各個網(wǎng)絡(luò)節(jié)點，如果兩個網(wǎng)絡(luò)節(jié)點自連接以來就沒有發(fā)生過破壞正常規(guī)則的情況，則兩個節(jié)點之間就會有良好的信任關(guān)系，這時雙方對對方所開放的權(quán)限是較大的，而這個過程中確認兩個節(jié)點之間信任關(guān)系程度的方法是一種數(shù)學算法，因此可以將區(qū)塊鏈理解為一種數(shù)學應(yīng)用模型。另外，區(qū)塊鏈模型在網(wǎng)絡(luò)空間安全防護層面上具有四大特征，分別為匿名、開放、穩(wěn)固、自治，下文將對各項特征進行闡述[2]。

2.1.1 匿名

現(xiàn)代化灌區(qū)建設(shè)與現(xiàn)代農(nóng)業(yè)和農(nóng)村現(xiàn)代化同步進行，可以促進農(nóng)業(yè)經(jīng)濟發(fā)展，提高農(nóng)村生活質(zhì)量，為提高水資源利用率和提高農(nóng)民收入水平提供有力的支撐。

區(qū)塊鏈的匿名特征來源于模型中不同節(jié)點之間的固定算法，即在網(wǎng)絡(luò)空間安全角度上，模型中各個節(jié)點之間所采用的加密算法或其他數(shù)學算法都是固定的，但互不相同，因此節(jié)點直接依靠這種算法就能夠與其他節(jié)點建立良好信任關(guān)系，無需用戶公開身份，因此具有匿名特征。

2.1.2 開放

在區(qū)塊鏈模型當中，網(wǎng)絡(luò)空間內(nèi)的所有信息會被分為兩類，分別為用戶信息（或隱私信息）、其他信息，其中其他信息是完全開放的，用戶可以通過相關(guān)接口來查詢空間內(nèi)的相關(guān)信息。

2.1.3 穩(wěn)固

區(qū)塊鏈模型的穩(wěn)固特征體現(xiàn)在信息的不可更改性上，即每個信息在進入?yún)^(qū)塊鏈模型之前，都會受到模型驗證機制考察，如果信息通過了考察，則將被永久性儲存于相關(guān)網(wǎng)絡(luò)空間當中，正常情況下只能查閱，不可更改，因此信息比較穩(wěn)固。值得注意的是，區(qū)塊鏈模型的穩(wěn)固特征不是一成不變的，如果用戶需要對某信息進行更改，可以對模型中的所有節(jié)點進行控制，只要有超過51%的節(jié)點可控，則信息可以被更改。

2.1.4 自治

區(qū)塊鏈模型構(gòu)建基礎(chǔ)協(xié)議是統(tǒng)一的，因此整個模型中的所有節(jié)點之間都存在良好的信任關(guān)系，節(jié)點與節(jié)點之間的信息交互始終處于安全環(huán)境中。這種表現(xiàn)使得人為因素不會對區(qū)塊鏈模型保護下的網(wǎng)絡(luò)空間造成影響，由此可以起到保護網(wǎng)絡(luò)空間安全的作用。

2.2 區(qū)塊鏈優(yōu)勢

與傳統(tǒng)網(wǎng)絡(luò)空間安全策略模型相比，區(qū)塊鏈具有眾多優(yōu)勢，如機制優(yōu)勢、管理模式優(yōu)勢等，下文將對兩項優(yōu)勢表現(xiàn)進行分析。

2.2.1 機制優(yōu)勢

區(qū)塊鏈模型中擁有兩種安全機制，分別為共識安全機制、保護機制：①共識安全機制來源于模型中所有網(wǎng)絡(luò)節(jié)點，當所有節(jié)點達成共識，則代表所有節(jié)點都參與到了網(wǎng)絡(luò)安全防護當中，這樣如果某人要對網(wǎng)絡(luò)空間進行入侵就必須攻破所有網(wǎng)絡(luò)節(jié)點，而此舉是幾乎不可能完成的，且即使某人可以做到這一點也必然會消耗大量時間，與此同時被攻擊節(jié)點會有所反應(yīng)，隨之更改內(nèi)部安全措施，這樣即可保證網(wǎng)絡(luò)空間安全；②保護機制來源于區(qū)塊鏈模型中的各個“區(qū)塊”，即模型中每個區(qū)塊之間的加密關(guān)系都是不一樣的，因此各區(qū)塊之間都存在著一組獨特的加密連接工序，此舉不但將所有區(qū)塊連接在一起，形成區(qū)塊鏈，還能不斷地搜集惡意入侵信息，這些信息將給共識安全機制提供支撐，使其不斷優(yōu)化，實時根據(jù)攻擊變化來改變自身，這樣要攻破區(qū)塊鏈模型入侵網(wǎng)絡(luò)空間的可能性近乎為零[3]。

2.2.2 管理模式優(yōu)勢

根據(jù)相關(guān)研究可知，區(qū)塊鏈模型所采用的管理模式為“分布式自治管理模式”，該模式代表模式中所有網(wǎng)絡(luò)節(jié)點位置分散，但又連接在一起，如果攻擊將激發(fā)模型中的共識安全機制，牽一發(fā)而動全身，同時每次遭遇攻擊時，該模式能利用保護機制搜集惡意入侵信息，如數(shù)字內(nèi)容、結(jié)構(gòu)化消息、圖像及視頻等信息，這些信息將被區(qū)塊鏈逐漸消化，實現(xiàn)模型自治，全面防護惡意入侵，且這種模式所針對的入侵對象不單是外部“黑客”，同時也涉及內(nèi)部人員，即假設(shè)某內(nèi)部人員想要利用節(jié)點與節(jié)點之間的信任關(guān)系去破壞對方節(jié)點的信息，這時會發(fā)現(xiàn)進入對方節(jié)點的網(wǎng)絡(luò)空間之后不能對任何信息進行操作或查閱，原因在于模型所有信息都是不可隨意更改或查閱的，如果非節(jié)點管理者要對空間信息進行操作或查閱，就必須取得區(qū)塊鏈內(nèi)超過51%節(jié)點的許可（即控制權(quán)）才能實現(xiàn)目的，而此舉對于內(nèi)部懷有惡意的人員而言是不可能實現(xiàn)的，同時當此類人員做出這樣的行為會被其他節(jié)點所記錄，使兩者之間的信任關(guān)系水平下降。以上表現(xiàn)在傳統(tǒng)安全策略當中并不能實現(xiàn)，因此該管理模式具有優(yōu)勢。

3 區(qū)塊鏈網(wǎng)絡(luò)空間安全防護策略

3.1 不斷擴大區(qū)塊鏈規(guī)模

根據(jù)區(qū)塊鏈網(wǎng)絡(luò)空間安全防護模型的運作原理可知，惡意入侵必須在短時間內(nèi)攻破所有網(wǎng)絡(luò)節(jié)點才能實現(xiàn)入侵，這一點在理論角度上難以實現(xiàn)，但值得注意的是，如果區(qū)塊鏈在網(wǎng)絡(luò)空間安全防護當中所擁有的網(wǎng)絡(luò)節(jié)點很少，則惡意入侵是可能在短時間內(nèi)實現(xiàn)目的的。因此在使用區(qū)塊鏈對網(wǎng)絡(luò)空間進行安全防護時，應(yīng)當不斷擴大區(qū)塊鏈的規(guī)模，讓模型中的網(wǎng)絡(luò)節(jié)點數(shù)量增多，大幅提高惡意入侵難度，使區(qū)塊鏈成為網(wǎng)絡(luò)空間前“牢不可破”的壁壘[4]。例如某企業(yè)考慮到自身網(wǎng)絡(luò)空間安全問題，就采用了區(qū)塊鏈技術(shù)來進行防護，初期該企業(yè)只在區(qū)塊鏈中設(shè)置了2 個網(wǎng)絡(luò)節(jié)點，導致企業(yè)空間依舊遭到入侵，隨后該企業(yè)連同周邊合作伙伴共同建立了由70 個網(wǎng)絡(luò)節(jié)點組成的區(qū)塊鏈，該區(qū)塊鏈的形成成功幫助該企業(yè)與周邊合作伙伴抵擋了3 萬次以上的惡意入侵，網(wǎng)絡(luò)空間再未受到入侵。

3.2 提高區(qū)塊鏈交互效率

某些惡意入侵行為具有較長的持續(xù)性，這時要全面防護此類行為，就必須提高區(qū)塊鏈的交互效率，使所有網(wǎng)絡(luò)節(jié)點在短時間內(nèi)達成安全共識，利用共識機制來盡快消除入侵。即在區(qū)塊鏈中如果某個節(jié)點受到入侵攻擊后，并沒有第一時間將入侵信息傳達給其他節(jié)點，則必然導致該節(jié)點與其他節(jié)點出現(xiàn)信息不對稱現(xiàn)象，這時其他節(jié)點是無法參與到安全防護當中的，因此面對惡意入侵，模型中各節(jié)點應(yīng)當盡可能快的進行交互。

4 結(jié)語

綜上，本文首先分析了傳統(tǒng)網(wǎng)絡(luò)空間安全防護策略的原理與缺陷，說明該策略在現(xiàn)代適用性較低，需要得到改進。其次以區(qū)塊鏈技術(shù)為基礎(chǔ)，闡述了該項技術(shù)在網(wǎng)絡(luò)空間安全防護上的優(yōu)勢表現(xiàn)，可見區(qū)塊鏈技術(shù)能更好的保護網(wǎng)絡(luò)空間安全。最后提出了區(qū)塊鏈網(wǎng)絡(luò)空間安全策略，全面發(fā)揮區(qū)塊鏈技術(shù)的功能，保障空間安全。