金丘科技｜央行《金融分布式账本技术安全规范》解读

透视首个“金融区块链标准”

背景

2月5日，《金融分布式账本技术安全规范》（JR/T 0184—2020）由中国人民银行正式发布，成为金融行业首个区块链技术安全规范。标准规定了金融分布式账本技术的安全体系，包括基础硬件、基础软件、密码算法、节点通信、账本数据、共识协议、智能合约、身份管理、隐私保护、监管支撑、运维要求和治理机制等方面。标准适用于在金融领域从事分布式账本系统建设或服务运营的机构。

*该标准由全国金融标准化技术委员会归口管理，由中国人民银行数字货币研究所提出并负责起草。
解读

金丘科技是中国最早参与分布式账本标准制定和金融行业分布式账本技术应用的公司，金丘区块链研究院对于《金融分布式账本技术安全规范》做了分析解读。《规范》有助于金融机构按照规定的安全要求进行系统部署和维护，避免出现安全短板，为分布式账本技术大规模应用提供业务保障能力和信息安全风险约束能力，对产业应用形成良性的促进作用。本解读将聚焦《规范》的两大范式和四大核心看点。

两大范式

一、区块链网络安全范式

这个规范是基于等级保护2.0中安全标准制订的。等级保护2.0标准是我国网络安全领域的基本国策、基本制度，针对云计算、移动互联网、物联网、工业控制系统提出了安全扩展要求，但却没有对分布式账本系统的安全提出对应规范。因此，这次《金融分布式账本技术安全规范》的出台，也可以看作是对等级保护2.0标准的补充和完善。未来除了金融行业以外，大部分细则对全行业都有指引作用。

二、区块链标准范式

去年10月24日，中央政治局集体学习时也强调了要加强区块链标准化研究，提升国际话语权和规则制定权。安全既是一个技术问题，更是一个管理问题。有别于市面上各种标准，《规范》的重要意义在于这是一份既包括“技术标准”又结合“业务规范”的明细的行业实施准则，有助于提升中国在区块链领域的国际话语权和规则制定权。

四大核心看点

一、对强监管的支持，区块链监管科技迎来爆发

要说《规范》的最大突破，就是明确了监管支持的细则，填补了区块链标准中对监管规则的空缺。《规范》强调了可监管性，要求单次共识过程和系统运行的整个共识历史都应可审计、可监管，该历史应不可被篡改。《规范》要求：应支持监管机构接入，以满足信息审计和披露的要求；应支持监管部门的监管活动，包括但不限于设置监管规则，提取交易记录，按需查询、分析特定业务数据等；应支持监管机构访问最底层数据，实现穿透式监管等细则。

区块链具有分布式存储，多中心化，数据不可篡改的特点，天然的与监管契合。区块链技术可以保证监管数据的安全透明，也可以提升监管的效率和合规的效率。实现风险精准的评估评级，杜绝信息不对称等问题，提升透明度和监管效率，监管者可以实时监督被监管者行为，发现可疑风险监管机构可以自动采取相应措施，同时降低机构的合规成本，减少反复报送和数据多次重复验证的成本。（详细内容可用参考金丘区块链研究院 | 区块链监管科技应用展望）

规范的明确和政策的支持加之区块链与监管科技天然的适配性，我们可以预见区块链监管科技应用将迎来爆发。

二、严格的国密标准，DTL开源架构的最大挑战

本次《规范》提出，分布式账本系统所使用的具体密码算法应符合一系列的国密算法要求，给包括Hyperledger Fabric在内的很多开源的联盟链技术应用提出了挑战。Fabric目前不支持国密算法、不符合商业密码使用规定的问题。因此基于Fabric架构的区块链金融项目或需替换密码模块，以符合规范要求。相比于在身份管理、隐私保护等方面的挑战，密码是工作量和工作难度最大的。
2019年10月26日《中华人民共和国密码法》发布，也看出了我国对密码安全的重视。金融分布式账本技术作为我们国家金融行业的标准规范，为了维护国家主权和利益，严格全面推进国密算法的使用是必然的趋势。
三、明确数据隐私保护细则，接轨国际关注

对数据隐私保护的细则也是《规范》的核心看点，随着欧洲的GDPR、美国CCPA、澳洲CDR等数据隐私保护法规的发布，分布式账本的数据隐私保护合规的要求一直是全球性的热点话题。这次《规范》明确了金融业分布式账本如何合规地进行数据隐私保护，降低了监管不确定性对行业的影响。
规范提出，相关方应根据具体场景，制定隐私保护策略，以使分布式账本提供的信息保密性和隐私保护的程度与执行效率达到平衡。同时，应将隐私信息按照敏感程度进行分级，并设置对应的隐私保护策略。
四、从匿名性到身份管理，推测DCEP路线可能性

身份管理是传统安全中的重要内容，但在我们广泛使用的分布式账本系统中往往是缺失的，而身份管理对于金融领域的应用又是必不可少的。《规范》明确要求，应实现有效的用户身份管理，并应保障身份信息的安全性，并对身份进行监管审计。《规范》同时要求，身份注册机构应接受监管部门的紧急干预和审计追踪。
更有趣的是，我们可以从相关规定中推测出央行对即将发布的DCEP路线，如何实现身份管理和匿名性的平衡，如何平衡监管三反需求和M0匿名性属性。《规范》中明确了“应对交易内容信息以及交易方信息至少其一进行加密”，“应确保参与方以及审计方拥有对加密信息解密验证的能力”，“应确保除交易参与方以及审计方外，他人无法从加密信息获取任何其他信息”，“应确保任何人可对加密的信息进行有效性和正确性的验证”。
从上述规则我们可以看出，隐私保护是对“交易双方”和“监管方”之外的隐私，但其他人还必须具备对信息的有效性和正确性的验证能力，这很有可能也是DCEP的路线要求。（关于DCEP的详细内容可以延伸阅读之前的央行数字货币系列研报）
结语

展望未来，随着区块链技术快速发展，政策大力支持，标准规范日益健全，“区块链＋金融”和“区块链＋监管”的应用落地有望提速。欢迎金融机构、监管机构、区块链技术提供方与金丘区块链深入合作，共同推动区块链技术和产业创新发展。
作者 | 刘明瑞

-了解更多-复工之后银行人最关心这件事！金丘科技助攻征信二代上线“奥利给”工信部区块链年度大会收官，区块链标准国家队迎接新使命金丘科技区块链关键核心技术攻关项目获批立项上海市科委2019年度“科技创新行动计划”“区块链+政务”案例解析之金丘科技政策公信链世界银行回访金丘科技，了解区块链赋能中小企业融资落地进展
北京通州区政府来访金丘科技，调研区块链合作事宜
进博会期间金丘科技与国家级新区陕西西咸新区签署区块链应用合作协议
首批上海市软件和集成电路产业发展区块链专项资金项目-“金丘科技基于区块链的金融资产数字化综合服务平台”通过验收
五年厚积薄发，金丘科技做好“区块链服务实体经济”排头兵