EN

联盟链安全解决方案

慢雾科技已经为全球公链生态中多家顶级的数字货币交易所、钱包、底层公链、智能合约等项目实施过全面的安全解决方案,致力于区块链生态安全建设;慢雾科技作为首批进入工信部《2018 年中国区块链产业白皮书》,作为福建省区块链发展促进会及福建省区块链协会的副理事长单位,同时我们也是粤港澳大湾区区块链与网络安全技术联合实验室的五大成员单位之一。 伴随着联盟链生态的发展,2019 年慢雾科技已配合多省网信办对当地政企事业单位的联盟链系统进行了从链底层到应用层多级安全审计,发现多场景多应用多形态的联盟链系统及其配套系统的漏洞和脆弱点。慢雾科技已在联盟链领域进行了多项安全研究与沉淀,对多场景区块链系统安全落地有系统性的经验。 慢雾科技联盟链全周期安全建设方案致力于提高企业对当前未完全成熟的区块链技术系统的安全可控性,把区块链安全体系多级化、标准化,保护区块链应用快速安全的落地。

流程

联盟链安全解决方案架构图

安全审计项

区块链业务层

审计分类 审计大类 审计子类
生产网安全 DNS 安全 DDoS 攻击
DNS 欺骗
DNS 重定向
负载均衡策略 轮询正常
防火墙配置策略 域内安全策略
DDoS 防御策略 高防 IP
高性能设备
CDN 流量清洗
负载均衡
特定流量控制
源认证
会话机制策略
端口安全 服务端口最小化
禁止弱口令
开启 SSH Key 登录
权限安全 权限分级策略
CA 证书/域控
人员留存管理
服务器安全 基础配置安全 SSH 密钥登录
密码复杂规则
禁 root 用户登录 SSH
修改 SSH 默认端口
设定登录跳板机
服务端口最小化
防火墙规则
第三方登录验证模块
日志策略
升级与补丁策略 系统自动更新
应用程序更新
漏洞补丁更新
第三方模块安全 软件漏洞审查
加密缺陷
注入漏洞
代码漏洞
应用服务安全 安全认证签名
服务报警通知
密码策略
数据传输加密
存储加密
访问控制
服务端防火墙
API 服务安全 IP 黑白名单
加密连接
避免中间人攻击
API 注入
拒绝服务攻击
客户端连接认证和授权访问
WAF 服务
数据库服务安全 证书加密连接
复杂密码策略
登录地址黑白名单
端口不暴露公网
多副本或集群部署
日志存留
数据备份
软件更新
缓存服务安全 服务端口不暴露公网
复杂密码策略
集群或副本部署
数据备份
加密连接
及时更新漏洞补丁
登录黑白名单
私钥管理服务安全 不对外开放接口
主动连接外部接口同步数据
数据传输加密
数据备份
数据加密存储
主动拉取待签名数据
接口不可明文获取私钥数据
节点服务安全 IP 白名单限制访问
接口白名单限制
日志存留
多节点确认数据
崩溃检测
节点升级更新
应用安全 App 环境安全检测策略 iOS 越狱检测
虚拟机检测
Android ROOT 检测
App 代码反编译策略 源码混淆
指令集混淆
虚拟机加壳
本地存储安全 沙盒存储
钥匙链安全
Cookie 安全
缓存处理
日志敏感信息处理
通信安全策略 使用安全套接字
证书校验
认证授权策略 验证码机制
认证绕过
越权访问
API 接口安全 重放攻击
XSS/SQL 注入
业务逻辑安全 身份认证安全
业务一致性安全
业务数据安全
数据输入格式检验
密码找回逻辑
验证码安全
业务授权安全
业务流程安全
业务接口安全
前端安全 XSS
CSRF
CORS
点击劫持
控制台代码注入
输入安全 命令执行
XXE
反序列化
SSRF
溢出
SQL 注入
代码注入
模板注入

区块链技术层

序号 审计大类 审计子类
1 静态代码检查 内置函数安全
标准库安全审计
第三方库安全审计
注入审计
序列化算法审计
内存泄露审计
算术运算审计
资源消耗审计
异常处理审计
日志安全审计
2 P2P 安全 节点连接数审计
节点性能审计
消息格式校验
通信加密审计
“异形攻击”审计
3 RPC 安全 远程调用权限审计
畸形数据请求审计
通信加密审计
同源策略审计
4 加密签名安全 随机数生成算法审计
密钥存储审计
密码学组件调用审计
哈希强度审计
长度扩展攻击审计
加解密模糊测试
5 账户与交易模型安全 权限校验审计
交易重放审计
“假充值”审计
6 系统合约安全审计 参照《智能合约安全审计》
7 共识安全 抵押逻辑审计
区块校验审计
默克尔树审计
8 代码合规审计 代码相似度审计
代码补丁审计
路线图审计
充值方案审计

荣誉资质