继《金融分布式账本技术安全规范》后,金融行业再迎区块链标准。
7月27日,根据全国金融标准化技术委员会官网,中国人民银行于7月10日正式发布《区块链技术金融应用评估规则》(简称《规则》)金融行业标准,规定了区块链技术在金融领域应用的实现要求、评估方法、判定准则等,适用于金融机构开展区块链技术金融应用的产品设计、软件开发、系统评估。
欧科云链研究院首席研究员李炼炫表示,行业和产品标准是产品和服务质量的技术保障,同时也是技术和经济能力的综合反映,谁掌握了标准制定权,谁的技术转化为标准,谁就掌握了市场的主动权,谁就有行业话语权。
目前区块链技术尚处于发展初期,尚未形成统一的标准和规则,而央行的这份文件是在国内甚至是全球的第一份区块链技术标准和规范文件,对于提升我国在区块链领域的国际话语权和规则制定权方面都有重要作用。
“区块链”官方定义,未提去中心化、通证
《规则》首次为区块链进行官方定义。
《规则》将区块链定义为一种由多方共同维护,使用密码学保证传输和访问安全,能够实现数据一致存储、防篡改、防抵赖的技术体系。
而此前,区块链的大众解释通常是与“去中心化”、“通证”等词汇挂钩的。
李炼炫认为,市场不应该过分关注这个点,从技术角度上看,“去中心化”和“通证”的概念仅存在于公有链中,对于联盟链和私有链而言,是没有所谓的“去中心化”和“通证”特征。
央行的这份文件是对区块链技术在金融领域的评估规范性文件,是涵盖包括联盟链的,因此在定义区块链时,必定不会提及“去中心化”和“通证”。
“当然,目前国内相关部门要求区块链产业做到‘脱虚向实’,实现区块链和实体经济深度融合。
所以目前联盟链技术肯定更受产业、政府部门和市场欢迎。
但即便如此,这份文件也并不意味着政府部门对公有链技术的否认。
”他说。
此外,《规则》也确定了评估目标:在区块链技术进入应用系统版本确定的基础上,对区块链金融应用的基本要求、性能、安全性进行评估,客观、公正评价系统是否能保障区块链金融设施与应用的安全稳定运行。
强调技术安全性的重要性
《规则》从基本要求、性能、安全性三个方面对相应的区块链金融项目进行规范和评估。
其中,基本要求共有10条细则。
例如,在数据存储方面,《规则》要求账本技术的数据存储应具备高可靠性,在断电、节点重启、网络故障等异常场景恢复后存储数据能够正常读写,并且应实现存储空间的监控和预警。
账本结构上,应具有防篡改性和校验完整性的功能。
历史数据可追溯上,应能正确查询到账本数据当前状态,用户指定范围内的数据更新记录,判别变更记录的先后顺序等。
在性能评估上,《规则》制定了5条细则。
其对区块链技术金融应用在交易吞吐率、查询吞吐率、交易同步性能、部署效率和账本数据增长速率等指标上提出要求,并要求应用应在异常场景发生并恢复后仍能维持原生交易性能。
值得注意的是,安全性评估条款则多达12条。
李炼炫说:“由于金融行业的特殊性,强调防范风险,这份文件因此特别突出了技术安全性的重要性。
”
在硬件设备安全上,《规则》要求应保证设备运行状态或资源使用情况异常时能发出告警,应确保设备和存储介质上的数据能被清除且不可恢复,应保证不同节点使用的硬件设备具备异构性。
通信传输安全则要求在节点间建立安全传输通道,保证数据和信息能抵抗篡改、重放等主动或被动攻击,可采用有权限的网络访问控制降低网络攻击造成的危害。
在软件安全中,共识模块应符合一致性要求,应在故障节点和欺诈节点数量不超过理论值的情况下系统正常工作,以及超过理论值的情况下不能达成共识,还应具备“双花攻击”的能力。
此外,共识协议应确保参与共识过程的节点经过验证的合法性,共识协议依据的算法理论应公开或经过安全评估的正确性,算法应在可接受的有限时间内具有终局性,遭受网络故障或账本被删除或遭恶意篡改等攻击后,数据不流失且节点数据恢复正常,以及具备不可伪造性,低延迟性,激励相容和可监管性。
《规则》由全国金融标准化技术委员会归口管理,由中国人民银行科技司提出并负责起草,中国人民银行数字货币研究所、中国金融电子化公司、中国银联股份有限公司、中钞区块链技术研究院、国家开发银行、中国工商银行股份有限公司、中国农业银行股份有限公司、中国银行股份有限公司、中国建设银行股份有限公司、中国平安保险(集团)股份有限公司、华泰证券股份有限公司、深圳市腾讯计算机系统有限公司、京东数字科技控股股份有限公司、百度在线网络技术(北京)有限公司、浙江蚂蚁小微金融服务集团股份有限公司、华为技术有限公司等单位共同参与起草。
标准经过广泛征求意见和论证,并通过了全国金融标准化技术委员会审查。