區(qū)塊鏈，IT 技術領域里的一顆冉冉升起的新星。金融、交通、零售、醫(yī)療、物流等廣泛的應用場景領域，使得人們對于區(qū)塊鏈的未來發(fā)展充滿了期待。

區(qū)塊鏈是當前最火的關鍵詞，也是最富有爭議的一個焦點詞。人們希望通過對區(qū)塊鏈技術在不同行業(yè)里的應用，實現(xiàn)更加廣泛、深入的產(chǎn)業(yè)鏈融合，進而發(fā)現(xiàn)新的價值領域、新的業(yè)態(tài)。從創(chuàng)新到變革，隨著人們對于區(qū)塊鏈解讀的愈加深入，一個未來以區(qū)塊鏈為底層驅(qū)動的新型社會形態(tài)畫面在人們面前徐徐展開。然而，也正是隨著人們對于區(qū)塊鏈認知的愈加深入，以及系列區(qū)塊鏈應用相關安全事件的爆發(fā)，使得人們對于區(qū)塊鏈的安全性更是充滿了擔憂。

區(qū)塊鏈安全體系建設需求

使用智能合約的區(qū)塊鏈系統(tǒng)日益增多，通過網(wǎng)站、App為用戶提供服務，網(wǎng)站和App的安全運行、智能合約的安全以及系統(tǒng)的安全運行對整個區(qū)塊鏈系統(tǒng)的安全體系建設至關重要。

1. 網(wǎng)站運行監(jiān)控防護

不管是公鏈中節(jié)點的數(shù)字貨幣交易平臺，還是聯(lián)盟鏈中的區(qū)塊鏈系統(tǒng)，網(wǎng)站都是企業(yè)提供在線服務（如交易所提供注冊、登錄、交易等）的重要渠道，網(wǎng)站無時無刻不在工作，隨時面臨著被植入后門、網(wǎng)頁篡改、DDoS攻擊、網(wǎng)站釣魚等風險。不法分子通過入侵網(wǎng)站服務器，植入惡意程序，輕則造成網(wǎng)站可用性問題，重則造成連接境外數(shù)據(jù)節(jié)點，造成關鍵信息泄露。網(wǎng)站服務器被黑客入侵以后，可將網(wǎng)站中的部分頁面內(nèi)容更換為其他內(nèi)容，影響交易所的正常運營并造成聲譽損失：對交易所網(wǎng)站內(nèi)容進行一比一復制，創(chuàng)建釣魚網(wǎng)站，并在其中植入惡意代碼，能夠藉此獲得訪問客戶的密鑰、密碼、交易碼等敏感信息：黑客/黑產(chǎn)團體將多個肉雞聯(lián)合起來作為攻擊源，對網(wǎng)站服務器發(fā)動拒絕服務攻擊，可在短期內(nèi)導致網(wǎng)站不可用。因此網(wǎng)站在E線前需要進行滲透測試，在運行過程中需要進行全方位的安全防護。并且需要考慮到企業(yè)多個網(wǎng)站的防護，制定有效的防護策略，防止網(wǎng)站的保護資源不足或浪費，達到最佳的防護效果和投入產(chǎn)出比。

2. 數(shù)字錢包防護定制化

私鑰的安全就是數(shù)字資產(chǎn)的安全，數(shù)字錢包是私鑰的管理容器，因此數(shù)字錢包的安全至關重要。區(qū)塊鏈數(shù)字錢包有多種形態(tài)： 1） 私鑰托管模式，用戶的私鑰托管在服務提供者的服務器上，用戶對數(shù)字資產(chǎn)的管理和使用是通過服務商提供的網(wǎng)站注冊后登錄進行相關操作，這種情況下服務商的服務器的安全至關重要，數(shù)字資產(chǎn)被盜事件屢見不鮮，且涉及金額巨大。每每發(fā)生類似事件，都會造成大規(guī)模恐慌情緒.2）輕錢包，應用不在錢包使用的設備里面建設完整的區(qū)塊鏈節(jié)點，不同步所有的區(qū)塊數(shù)據(jù)。輕錢包按照存儲的方式主要分為硬件（如存儲在芯片中）和軟件（如存儲在移動終端設備應用里）兩種。硬件錢包也叫冷錢包，私鑰不接觸網(wǎng)絡，相對安全性比較高。

無論私鑰是托管，還是存儲在數(shù)字錢包App中，亦或存儲在大家普通認為安全性較高的硬件錢包中，都有被破解的事件報道。數(shù)字錢包形態(tài)不同，運行環(huán)境和實現(xiàn)方式不同，其面臨的威脅也各不相同，需要根據(jù)錢包形態(tài)采取不同的防護技術，從設計、運行環(huán)境，數(shù)據(jù)存儲安全等方面采取安全措施。

3. 安全貫穿智能合約的全生命周期

智能合約作為區(qū)塊鏈發(fā)展的產(chǎn)物，是數(shù)字化的紙質(zhì)合約，是能被計算機自動執(zhí)行的合約條款，不需要人去執(zhí)行。基于區(qū)塊鏈的智能合約包括構(gòu)建、存儲和執(zhí)行過程，每一個過程都不可避免地存在錯誤，一旦出現(xiàn)問題被攻擊，其代價巨大;智能合約與傳統(tǒng)的軟件不一樣，出現(xiàn)錯誤時，很難輕易打上補丁，智能合約的這些特性決定了安全防護從設計階段開始，并貫穿開發(fā)、發(fā)布前以及上線運行的全生命周期 各個階段。

設計時考慮其架構(gòu)和安全性的權衡點：開發(fā)過程需要有新的開發(fā)理念，對可能的錯誤有所準備：發(fā)布前，進行嚴格、徹底的測試，包括正確性測試和一致性測試，驗證測試結(jié)果與合約的預期結(jié)果是否一致，并在任何新的攻擊手法被發(fā)現(xiàn)后及時進行測試，并提供bug賞金計劃：運行過程進行實時監(jiān)控，一旦發(fā)現(xiàn)異常，分析異常原因，并采取相應的響應措施。

4. 系統(tǒng)運行統(tǒng)一安全管控

統(tǒng)一的安全管控對于區(qū)塊鏈系統(tǒng)十分重要。區(qū)塊鏈系統(tǒng)包括網(wǎng)站、移動App、數(shù)據(jù)庫、智能合約等多個組件和應用，利用關聯(lián)分析等數(shù)據(jù)挖掘以及統(tǒng)計分析技術進行實時分析，統(tǒng)的安全管控能夠快速發(fā)現(xiàn)各類威脅攻擊、安全隱患，同時第一時間制定相關的安全防護策略并下發(fā)。

通過安全的統(tǒng)管控，實現(xiàn)攻擊溯源過程分析，針對安全事件進行IP地址回溯分析。通過源IP地址和目的IP地址的不斷迭代，將調(diào)查的軌跡逐步定位到邊界。這個邊界可以是網(wǎng)絡的邊界，代表攻擊者來自互聯(lián)網(wǎng)：也可以是內(nèi)網(wǎng)，代表攻擊者來自內(nèi)網(wǎng)。通過有層次的分析，同時輔助動態(tài)的圖形化展示，可以清晰地將IP地址移動軌跡分析出來。

通過統(tǒng)一安全管控，借助機器學習等算法進行自動分析處理與深度挖掘，對網(wǎng)絡的安全狀態(tài)進行分析評價，建立網(wǎng)絡攻擊模型，感知網(wǎng)絡中的異常事件與整體安全態(tài)勢，發(fā)現(xiàn)已知和未知威脅。

通過統(tǒng)一安全管控的可視化，包括風險、事件、漏洞等維度分析與展示，則能幫助安全運營人員清晰了解整體安全風險，提升組織安全防護能力。

區(qū)塊鏈安全保障體系建議

NIST網(wǎng)絡安全框架模型中的IPDRR能力框架模型包括風險識別（ldentify）、安全防御（ Protect）、安全檢測（ Detect）、安全響應（ Response）和安全恢復（Recovery） 五大能力。安全能力的落實依賴于三大體系的建設，包括管理體系、技術體系和運營體系。區(qū)塊鏈安全安全管理體系從策略、管理辦法及組織、規(guī)范及流程構(gòu)建自上而下的決策層、管理層、執(zhí)行層三層體系：區(qū)塊鏈安全技術體系保證業(yè)務邏輯層、數(shù)據(jù)層、平臺層、IT與技術層的安全;區(qū)塊鏈安全運營體系在運營管理平臺基礎上從攻擊預防、運行監(jiān)控、安全事件應急響應、災難恢復等方面保證區(qū)塊漣運行過程的安全。區(qū)塊鏈安全體系架構(gòu)如圖4-1所示。

圖4-1區(qū)塊鏈安全體系架構(gòu)

區(qū)塊鏈安全管理體系、區(qū)塊鏈安全技術體系和區(qū)塊鏈安全運營體系三大體系相互依存，相互促進、協(xié)同統(tǒng)一。技術和管理相互結(jié)合，一方面，安全防護技術措施需要安全管理措施來加強、保障保護作用的發(fā)揮，另一方面技術也是對管理措施貫徹執(zhí)行的監(jiān)督手段，支持管理體系流程的改進和優(yōu)化。區(qū)塊鏈安全運營體系中的統(tǒng)的安全管理平臺有助于各種安全管理技術手段的相互補充和有效發(fā)揮，也便于從系統(tǒng)整體的角度來進行安全的監(jiān)控和管理，從而提高安全管理工作的效率， 使人為的安全管理活動參與量大幅下降。運營體系的建設對技術體系提出要求，同時，安全技術體系又是技術運營的物質(zhì)實現(xiàn)。技術體系、管理體系與運營維體系共同構(gòu)筑區(qū)塊鏈系統(tǒng)全面的安全保障體系，為區(qū)塊鏈業(yè)務系統(tǒng)的持續(xù)安全穩(wěn)定運行保駕護航。

1. 安全管理體系建議

區(qū)塊鏈安全管理體系建設的難點和重點主要包括以下幾個方面：

1） 區(qū)塊鏈技術是新興技術，各方參與者的個人能力參差不齊，對技術的了解和理解層次不一樣，執(zhí)行的效果也會不一樣，因此體系落地運轉(zhuǎn)難以達到預期目標。

2） 區(qū)塊鏈系統(tǒng)涉及到-一些新的技術，面對新的攻擊方法和手段，如何及時有效地應對各類攻擊事件，也在給體系的建設帶來巨大挑戰(zhàn)。

3） 區(qū)塊鏈系統(tǒng)作為業(yè)務部門運行的工具，更看重的是業(yè)務穩(wěn)定運行，而信息安全管理體系只是輔助業(yè)務安全穩(wěn)定運行的工具。不同部門的KPI重點考核指標不同，作為信息安全部門KPI重點考核指標的“信息安全管理體系建設落地”，對業(yè)務部門就是一個次要的指標，因此業(yè)務部門對信息安全體系的落地在某些方面會進行排斥。

面對上述的管理難點和重點，區(qū)塊鏈安全管理體系的設計原則和思路如下：

1） 自上而下，全員參與： ISO27001中所提倡的“領導力”概念，信息安全需要從上至下推動，需要從上而下全員參與。高層管理人員出面處理跨部門之間的協(xié)調(diào)問題，相應的安全方針政策、控制措施方可在組織的上上下下得到更有效地貫徹，體系建設會事半功倍。

2） 業(yè)務需求驅(qū)動，投入與產(chǎn)出平衡：投入與產(chǎn)出比是亙古不變的話題，是安全管理崗需要去衡量的。安全終究是為業(yè)務服務的，信息安全管理體系必須從業(yè)務目標出發(fā)，滿足業(yè)務的安全需求。

依據(jù)上述的建設原則和思路，我們建議區(qū)塊鏈安全管理體系的具體架構(gòu)如圖所示。區(qū)塊鏈網(wǎng)絡安全管理體系架構(gòu)分為兩個層面： 一是區(qū)塊鏈網(wǎng)絡安全整體職能架構(gòu)，包括區(qū)塊鏈產(chǎn)業(yè)中各層級管理職能分配以及各層級的管理、匯報和協(xié)作關系： 二是在區(qū)塊鏈產(chǎn)業(yè)內(nèi)具體組注領域。

圖4-2區(qū)塊鏈安全管理體系

在區(qū)塊鏈網(wǎng)絡安全職能架構(gòu)中，主要分為3個層次：決策組織層、網(wǎng)絡安全運營組織層和管理執(zhí)行層。

1） 決策組織層工作主要是由監(jiān)管機構(gòu)承擔，其需定義區(qū)塊鏈系統(tǒng)的網(wǎng)絡安全整體策略和方針，細化和落實國家的相關網(wǎng)絡安全規(guī)定要求，指導和督促運營組織和管理執(zhí)行組織的網(wǎng)絡安全管理工作。由于信息安全工作往往需要多個業(yè)務部門的共同參與，為迅速解決業(yè)務中出現(xiàn)的問題，提高工作效率，公司必須建立跨部門的協(xié)調(diào)機制。

2） 網(wǎng)絡安全運營工作主要由運營服務機構(gòu)承擔，其主要工作職能是通過平臺和技術手段，收集管理執(zhí)行層的相關網(wǎng)絡安全運營數(shù)據(jù)，監(jiān)測各業(yè)務部門］網(wǎng)絡安全工作執(zhí)行情況。同時，作為調(diào)度中心，在網(wǎng)絡安全運營的事前、事中和事后的相關過程中，組織和協(xié)調(diào)，提升網(wǎng)絡安全事前預警、事中監(jiān)控和事后響應的能力。

3） 管理執(zhí)行工作主要由區(qū)塊鏈的成員單位、使用方及服務提供商承擔，包括云服務提供商、交易所等企業(yè)，其主要承擔具體的網(wǎng)絡安全管理和執(zhí)行工作，遵循決策組織層對區(qū)塊鏈網(wǎng)絡安全管理的策略和方針，組建相應的管理和執(zhí)行團隊，明確具體工作職責和執(zhí)行流程，規(guī)劃并確保相關的資源投入。同時需要與決策組織層建立有效的匯報機制和應急處置機制，與運營組織建立常態(tài)化的協(xié)同和督促機制。

在3個層次構(gòu)建的區(qū)塊鏈網(wǎng)絡安全職能整體架構(gòu)中，具體機構(gòu)和企業(yè)內(nèi)部的網(wǎng)絡安全管理架構(gòu)可分為安全治理和安全管理兩個部分：

●參考利用ISACA（信息系統(tǒng)審計與控制協(xié)會）的COBIT5 （Control Objctives for Information and related Technology：信息及相關技術控制目標）框架，可將治理內(nèi)容劃分為3個部分：評估（ Evaluate）、指導（Direct）、 監(jiān)控（Monitor）， 具體內(nèi)容為：通過評估利益相關者的需求、條件和選擇權，以決定所要實現(xiàn)的、平衡的、一致同意的企業(yè)目標，通過優(yōu)先次序設定方向并決策，進而監(jiān)控績效和對于共同方向和目標的符合性;

●IT管理會確保所選擇的治理方法能正確地執(zhí)行日常活動，IT管理側(cè)重于技術和資源的具體應用，追求效益最大化。IT管理作用可被描述為“通過規(guī)劃、構(gòu)建、運行和監(jiān)控活動保證與治理主體確定的方向保持一致，以實現(xiàn)企業(yè)目標”，其將IT管理按照信息化生命周期劃分為四個領域：

· 規(guī)劃領域：調(diào)整、規(guī)劃、組織（APO）

· 構(gòu)建領域：建立、獲取、實施（BAI）

· 運行領域：交付、服務、支持（DSS）

· 監(jiān)控領域：監(jiān)測、評估、分析（MEA）

IT治理與IT管理的區(qū)分與融合為組織信息化建設提供了一個方法和指引，IT治理保障IT與業(yè)務的一致性，確保決策科學： IT管理確保IT價值得以充分實現(xiàn)。IT 治理為IT管理提供指導和監(jiān)督，IT管理為IT治理提供日常反饋。

2. 安全技術體系建議

在區(qū)塊鏈網(wǎng)絡安全技術體系中，建設的難點和重點主要包括以下幾個方面：

1） 區(qū)塊鏈技術涉及到的新興技術導致新風險層出不窮。區(qū)塊鏈系統(tǒng)依靠密碼學和巧妙的分布式算法，使用共識算法和智能合約等新興技術解決了互聯(lián)網(wǎng)上的信任和價值傳遞問題。當前的區(qū)塊鏈技術中已經(jīng)出現(xiàn)了多種共識算法機制，最常見的有PoW、PoS、DPoS。但這些共識機制是否能實現(xiàn)并保障真正的安全，需要更嚴格的證明和時間的考驗。隨著人們越來越多地了解區(qū)塊鏈技術，智能合約頻遭攻擊，眾多智能合約漏洞日益凸顯。

2） 區(qū)塊鏈系統(tǒng)實現(xiàn)上比較容易出現(xiàn)問題。由于區(qū)塊鏈大量應用了各種密碼學技術，屬于算法高度密集工程，在實現(xiàn)上比較容易出現(xiàn)問題。歷史上有過此類先例，比如NSA對RSA算法實現(xiàn)埋入缺陷，使其能夠輕松破解別人的加密信息。一旦爆發(fā)這種級別的漏洞，可以說構(gòu)成區(qū)塊鏈整個大廈的地基將不再安全，后果極其可怕。之前就發(fā)生過由于比特幣隨機數(shù)產(chǎn)生器出現(xiàn)問題所導致的比特幣被盜事件，理論上，在簽名過程中兩次使用同一個隨機數(shù)，就能推導出私鑰。

為應對上述安全技術體系建設的難點與重點，建議區(qū)塊鏈安全技術體系整體架構(gòu)采用以下的原則和思路：

1）自主可控：優(yōu)先采用國內(nèi)各類自主研發(fā)網(wǎng)絡安全技術、產(chǎn)品、平臺和工具，以防止系統(tǒng)性風險。

2）迭代更新，緊扣區(qū)塊鏈技術發(fā)展趨勢。在技術體系的設計中，需具備對新技術帶來的新風險進行充分識別并快速迭代更新的能力。

圖4-3區(qū)塊鏈安全技術體系整體架構(gòu)

結(jié)合Gartner2018年3月的區(qū)塊鏈安全模型，區(qū)塊鏈安全技術體系包括4個安全對象：業(yè)務邏輯層、數(shù)據(jù)層、平臺層和IT與技術層安全。在明確對象的基礎上，參考Gartner PPDR自適應的信息安全模型和國內(nèi)外相關優(yōu)秀實踐，構(gòu)建對應的技術體系，下面將對具體內(nèi)容進行闡述說明。

1） 業(yè)務邏輯安全：作為業(yè)務應用端，業(yè)務邏輯安全包括各類具體業(yè)務運營工作，從安全技術角度而言，則需要從信息管理、聯(lián)盟管理、服務管理、用戶管理、智能合約管理和應用管理等層面，考慮相關服務的防攻擊、防泄漏和內(nèi)部與防第三方越權操作等方面的安全技術設計;

2） 數(shù)據(jù)安全：由于區(qū)塊鏈業(yè)務生成和存儲各類數(shù)據(jù)（如個人隱私數(shù)據(jù)、交易數(shù)據(jù)等）的重要價值，需要對該層面進行針對性的安全技術設計，范圍需涵蓋數(shù)據(jù)生成、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)使用和數(shù)據(jù)銷毀等數(shù)據(jù)全生命周期。

3） 平臺安全：作為支撐區(qū)塊鏈系統(tǒng)運營的重要基礎，平臺層需要從平臺架構(gòu)（傳統(tǒng)中心式架構(gòu)、云IaaS、 PaaS、大數(shù)據(jù)平臺架構(gòu)）、平臺接入、平臺訪問、平臺開發(fā)和平臺使用等方面，全方位考慮并設計相關的安全技術體系。

4） IT與技術層安全：主要包括網(wǎng)絡架構(gòu)安全（如網(wǎng)絡安全域的設計、網(wǎng)絡可用性設計等）、通信協(xié)議安全（如4G、5G、HTTPS. LTE-V等）、安全配置（相關網(wǎng)絡設備的安全配置）、安全設備（網(wǎng)絡中使用的相關安全產(chǎn)品）和安全日志（安全監(jiān)控和分析所需的日志）等，這--層在設計時需要重點考慮其鏈路的防篡改、防DDoS、可用性和實時性;同時還應包括傳統(tǒng)網(wǎng)絡安全中的系統(tǒng)安全、環(huán)境和物理安全。

針對上述的安全對象分類，梆梆安全參考Gartner PPDR信息安全模型，構(gòu)建完整的區(qū)塊鏈安全技術體系。具體包括：

1） 預測技術： 主要是以平臺化的方式提供安全攻擊預警、漏洞預警、惡意代碼告警、威脅分析告警和數(shù)據(jù)泄漏告警等威脅情報信息，通過漏洞掃描和自動化安全測試發(fā)現(xiàn)區(qū)塊鏈系統(tǒng)存在的問題。結(jié)合情報信息，區(qū)塊鏈運營機構(gòu)可以預先知悉并判定風險，為安全事件的消除或及時有效處置提供保障。

2） 保護技術： 通過身份認證和訪問控制以解決抗抵賴等真實性問題，又可以解決越權提權、惡意篡改和遠程攻擊等安全攻擊風險。對于移動App可采用加固和源碼混淆防止被逆向分析、反編譯、二次打包以及嵌入惡意代碼。在數(shù)據(jù)銷毀方面，其相關技術可以作為組件，以平臺或系統(tǒng)中的組件提供，也可以作為單獨的技術I具融入到業(yè)務應用中，實現(xiàn)數(shù)據(jù)安全的閉環(huán)管理

3） 檢測技術： 通過在線和離線兩種方式對威脅進行檢測，在線檢測數(shù)據(jù)泄露，監(jiān)控、審計繞過防護措施的威脅操作、網(wǎng)絡攻擊及病毒等。通過代碼動態(tài)和靜態(tài)分析檢測系統(tǒng)運行過程中的問題，找出代碼缺陷，發(fā)現(xiàn)破解路徑，提前做好有針對性的防護措施。

4） 響應技術： 對安全事件進行取證和溯源，分析其攻擊原因，采用虛擬補丁、漏洞修復等方式遏制攻擊，并對修復情況進行可視化管理。

以上技術在區(qū)塊鏈系統(tǒng)中，還需要結(jié)合具體業(yè)務場景和風險等級以及資源投入，靈活配置和組合，同時不斷迭代優(yōu)化，實現(xiàn)技術的有效保障。，

3. 安全運營體系建議

圖4-4區(qū)塊鏈安全運營體系

建設預防、監(jiān)控、響應一體化的智能安全運營中心，可有效應對各種組織逐漸升級的安全攻擊，同時消除內(nèi)部違規(guī)操作，為企業(yè)提供更高級別的安全保護。在區(qū)塊鏈安全運營體系中，需要建設人、流程和技術平臺為中心的企業(yè)安全運營體系，如上圖所示，建設的重點有以下3個方面：

1） 安全運營體系需要有效銜接安全管理體系和安全技術體系，安全運營體系驗證安全管理體系和技術體系是否合理、恰當，通過安全運營體系的運轉(zhuǎn)，實現(xiàn)安全管理體系和安全技術體系的不斷優(yōu)化提升：

2） 安全運營體系需要全面覆蓋網(wǎng)絡安全事件的事前、事中和事后，形成自主有效的閉環(huán)：

3） 建立有效、高效的安全運營流程和機制，為提升整個安全運營質(zhì)量制定相應流程，包括安全事件處理流程、安全運營持續(xù)改進流程等。

安全運營體系建設需要遵循以下5個原則：

1） 嚴格合規(guī)： 從國家法律法規(guī)要求和國際國內(nèi)行業(yè)標準角度出發(fā)，守住信息安全底線，重點防范外部各類攻擊和信息泄漏，確保不發(fā)生長時間、大范圍的信息安全事件。

2） 與業(yè)務、網(wǎng)絡運維融合：信息安全工作應聚焦服務于區(qū)塊鏈系統(tǒng)業(yè)務的穩(wěn)定運營和不斷發(fā)展，而不是追求絕對的安全。兼顧安全與成本，避免無限制安全阻礙新技術在區(qū)塊鏈系統(tǒng)的應用和業(yè)務創(chuàng)新。安全運營體系是網(wǎng)絡維護體系的有機組成部分，與日常網(wǎng)絡運維工作密切配合，方可實現(xiàn)安全運營和網(wǎng)絡運維一體化。

3） 全面覆 蓋：建立全面覆蓋智能終端開發(fā)、基礎架構(gòu)、網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)和業(yè)務行為的一體化監(jiān)控、分析、處置安全體系。并確保在新業(yè)務、新技術變革、外部攻擊形式變化等情況下，及時調(diào)整并覆蓋。

4） 快速響應聯(lián)動：在應對快速革新的新業(yè)態(tài)中，需要建立快速變化和快速應對的管理機制，同時該機制中應充分聯(lián)動區(qū)塊鏈系統(tǒng)使用方的各方資源，最終實現(xiàn)安全事件的提前預警研判，快速消除信息安全風險隱患。

5） 合作共治： 持續(xù)更新發(fā)展的知識和信息是維持高水平安全運行的保證。區(qū)塊鏈運營企業(yè)作為信息安全管理的前線陣地，在完善自身能力的前提下，還應與監(jiān)管部門、安全機構(gòu)加強合作交流，建立信息安全情報合作分享機制，打造“互聯(lián)網(wǎng)+”信息安全生態(tài)，共享信息安全成果，包括：最新安全知識收集和共享，最新漏洞信息和安全技術，實現(xiàn)安全技術的交流和培訓。