胡卿漢 何娟

摘? 要：“區(qū)塊鏈+供應(yīng)鏈金融”管理系統(tǒng)的基本架構(gòu)對(duì)其業(yè)務(wù)運(yùn)營(yíng)、維護(hù)和發(fā)展至關(guān)重要。因此，基于聯(lián)盟鏈提出關(guān)于供應(yīng)鏈金融信息安全的問(wèn)題思考，分析論證了聯(lián)盟鏈底層技術(shù)支持下，賬戶及權(quán)限管理、網(wǎng)絡(luò)環(huán)境安全、健康監(jiān)控及法律效力認(rèn)證等手段使信息安全風(fēng)險(xiǎn)可防可控，最后從加強(qiáng)技術(shù)研發(fā)、推動(dòng)基礎(chǔ)設(shè)施建設(shè)、提升從業(yè)人員素質(zhì)、完善法制建設(shè)等多角度提出信息安全管理建議，達(dá)到提升區(qū)塊供應(yīng)鏈金融穩(wěn)定性和運(yùn)作效率的目的。

關(guān)鍵詞：區(qū)塊鏈;供應(yīng)鏈金融;信息安全;聯(lián)盟鏈

中圖分類號(hào)：F275.6? ? 文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： The basic architecture of the“blockchain supply chain finance”management system is essential for its business operations， maintenance and development. Therefore， based on the consortium blockchain's thinking about the financial information security of the supply chain， it analyzed and demonstrated that under the support of the consortium chain's underlying technology， account and authority management， network environment security， health monitoring， and legal validity certification make information security risks preventable and preventable. Finally， it puts forward information security management suggestions from multiple perspectives such as strengthening technology research and development， promoting infrastructure construction， improving the quality of employees， and improving legal system construction， so as to achieve the purpose of improving the stability and operational efficiency of the blockchain supply chain financial.

Key words： blockchain; supply chain finance; information security; consortium blockchain

從2017年國(guó)務(wù)院辦公廳印發(fā)《關(guān)于積極推進(jìn)供應(yīng)鏈創(chuàng)新與應(yīng)用的指導(dǎo)意見》開始，供應(yīng)鏈金融業(yè)務(wù)對(duì)于解決中小微企業(yè)融資困境的重要性不斷提升。2018年商務(wù)部進(jìn)一步提出規(guī)范發(fā)展供應(yīng)鏈金融。供應(yīng)鏈金融市場(chǎng)規(guī)模將在近年內(nèi)繼續(xù)增長(zhǎng)，預(yù)計(jì)2020全年市場(chǎng)規(guī)模將達(dá)51.5萬(wàn)億元。傳統(tǒng)供應(yīng)鏈企業(yè)間信息交流不暢、交易信任成本高等問(wèn)題嚴(yán)重影響了供應(yīng)鏈系統(tǒng)運(yùn)作效率;銀行、金融機(jī)構(gòu)對(duì)于供應(yīng)鏈企業(yè)，特別是上下游中小微企業(yè)的信任度低，使供應(yīng)鏈金融業(yè)務(wù)發(fā)展受限。習(xí)近平總書記強(qiáng)調(diào)，“要抓住區(qū)塊鏈技術(shù)融合、功能拓展、產(chǎn)業(yè)細(xì)分的契機(jī)，發(fā)揮區(qū)塊鏈在促進(jìn)數(shù)據(jù)共享、優(yōu)化業(yè)務(wù)流程、降低運(yùn)營(yíng)成本、提升協(xié)同效率、建設(shè)可信體系等方面的作用”[1]。從比特幣網(wǎng)絡(luò)到聯(lián)盟鏈，一切區(qū)塊鏈操作必須在可信任的執(zhí)行環(huán)境中完成，而共識(shí)機(jī)制、智能合約等底層技術(shù)天生就具備了去中心化信任機(jī)制的特點(diǎn)，從而支撐了區(qū)塊鏈能夠成為顛覆性技術(shù)[2]。供應(yīng)鏈金融參與方的相關(guān)信息在區(qū)塊鏈分布式數(shù)據(jù)庫(kù)各節(jié)點(diǎn)實(shí)現(xiàn)公開、透明，為全鏈條的完整交易記錄及融資信用體系提供了底層數(shù)據(jù)支撐，有助于提升融資可獲得性、融資安全，降低融資成本，從根本上緩解中小微企業(yè)融資困境[3-6]。

本文旨在論證聯(lián)盟鏈與供應(yīng)鏈金融業(yè)務(wù)運(yùn)營(yíng)、維護(hù)和發(fā)展的適應(yīng)性良好，現(xiàn)有技術(shù)支持下供應(yīng)鏈金融信息安全風(fēng)險(xiǎn)可防可控，并且可從多方位提升區(qū)塊供應(yīng)鏈金融系統(tǒng)信息安全管理性能，全面提高區(qū)塊供應(yīng)鏈金融的穩(wěn)定性和運(yùn)作效率。

1? 區(qū)塊鏈金融信息安全現(xiàn)狀

供應(yīng)鏈企業(yè)依托區(qū)塊鏈平臺(tái)創(chuàng)造可信的價(jià)值流轉(zhuǎn)，在信息共享的合作基礎(chǔ)上拓展更多業(yè)務(wù)場(chǎng)景，如電子票據(jù)、數(shù)字資產(chǎn)開發(fā)、供應(yīng)鏈全程可溯源等，已成為行業(yè)趨勢(shì)性需求。就供應(yīng)鏈金融這樣的商用區(qū)塊鏈體系而言，在分布式記賬技術(shù)逐漸使各個(gè)主體的信息趨近于對(duì)稱化的同時(shí)，自身區(qū)塊中大量的商業(yè)機(jī)密信息（如交易數(shù)據(jù)、電子憑證、供應(yīng)鏈溯源信息、供應(yīng)鏈契約等）也可能被敵手所獲取。據(jù)Beosin（成都鏈安）統(tǒng)計(jì)結(jié)果顯示，2018年區(qū)塊鏈?zhǔn)芄舻闹饕獙?duì)象為交易平臺(tái)、智能合約、普通用戶;2018年，CNCERT檢測(cè)的430個(gè)互聯(lián)網(wǎng)金融APP中，安全漏洞多達(dá)1 005個(gè)，其中明文數(shù)據(jù)傳輸漏洞數(shù)量最多，占高危漏洞數(shù)量的20.8%[7]。2019年全球區(qū)塊鏈安全事件損失超60億美元。2019年7月，數(shù)字貨幣貸款平臺(tái)YouHodler超過(guò)8 600萬(wàn)用戶數(shù)據(jù)被盜，包括個(gè)人信息、加密錢包和交易數(shù)據(jù)等。2020年3月，英國(guó)金融科技公司Finastra被勒索軟件攻擊，導(dǎo)致服務(wù)器失控關(guān)機(jī);同年4月，網(wǎng)絡(luò)公開了兩則銀行職員泄露客戶隱私信息的犯罪案件[8]。近年來(lái)，全球數(shù)據(jù)泄露風(fēng)險(xiǎn)事件不斷發(fā)生，國(guó)家有關(guān)部門高度重視金融科技信息安全問(wèn)題，2020年9月，中國(guó)人民銀行等八部門聯(lián)合發(fā)布的《關(guān)于規(guī)范發(fā)展供應(yīng)鏈金融支持供應(yīng)鏈產(chǎn)業(yè)鏈穩(wěn)定循環(huán)和優(yōu)化升級(jí)的意見》里明確指出應(yīng)防范供應(yīng)鏈金融業(yè)務(wù)操作風(fēng)險(xiǎn)及金融科技應(yīng)用風(fēng)險(xiǎn)，推進(jìn)“區(qū)塊鏈+供應(yīng)鏈金融”業(yè)務(wù)開展的同時(shí)，需“持續(xù)加強(qiáng)供應(yīng)鏈金融服務(wù)平臺(tái)、信息系統(tǒng)等的安全保障、運(yùn)行監(jiān)控與應(yīng)急處置能力，切實(shí)防范信息安全、網(wǎng)絡(luò)安全等風(fēng)險(xiǎn)”[9]。

從理論上看，區(qū)塊鏈系統(tǒng)的數(shù)據(jù)池只會(huì)越來(lái)越大，信息量持續(xù)增長(zhǎng)，因此在龐大的數(shù)據(jù)池中，如何保障自身的隱私信息安全——既要基于高度化信息共享實(shí)現(xiàn)交易和融資高效性，又要避免商業(yè)機(jī)密泄露，成為許多區(qū)塊供應(yīng)鏈金融主體間商業(yè)信任機(jī)制的最后一道隔閡。在區(qū)塊鏈數(shù)據(jù)安全共享的基礎(chǔ)上，為實(shí)現(xiàn)供應(yīng)鏈金融系統(tǒng)信息“可用不可見”，鏈博科技正與電子科技大學(xué)等高校、單位合作共建金融區(qū)塊鏈應(yīng)用平臺(tái)，提供企業(yè)數(shù)據(jù)多方治理和安全共享服務(wù)[10]。Muzammal M等[11]提出一種可審計(jì)的防篡改區(qū)塊鏈數(shù)據(jù)系統(tǒng)，能實(shí)現(xiàn)對(duì)分布式數(shù)據(jù)的高效檢索。Karagiannis I等[12]在區(qū)塊鏈技術(shù)協(xié)議、網(wǎng)絡(luò)架構(gòu)等系統(tǒng)基礎(chǔ)框架方面提出了金融機(jī)構(gòu)信息共享的安全保障方法。Ming Li等[13]探究了區(qū)塊鏈電子商務(wù)零售物流金融平臺(tái)的流程化、標(biāo)準(zhǔn)化和監(jiān)管執(zhí)行等技術(shù)實(shí)現(xiàn)方法。常景超等[14]構(gòu)建了區(qū)塊鏈個(gè)人金融信息保護(hù)技術(shù)框架及隱私保護(hù)機(jī)制。由此可見，區(qū)塊供應(yīng)鏈金融全鏈條的信息安全保障機(jī)制是行業(yè)目前急需的一塊“補(bǔ)丁”，可降低用戶對(duì)于區(qū)塊鏈信息安全風(fēng)險(xiǎn)的顧慮，對(duì)推廣商用區(qū)塊鏈技術(shù)在供應(yīng)鏈金融領(lǐng)域落地具有積極影響。

2? 聯(lián)盟鏈與供應(yīng)鏈金融契合度分析

區(qū)塊鏈分為公有鏈、聯(lián)盟鏈、私有鏈。無(wú)中心機(jī)構(gòu)和中心服務(wù)器，任何節(jié)點(diǎn)可以通過(guò)算力自由加入和查看鏈上任意信息的區(qū)塊鏈為公有鏈（Public blockchain）;只允許授權(quán)節(jié)點(diǎn)加入，根據(jù)自身的權(quán)限范圍有條件地查看鏈上信息，通常應(yīng)用于數(shù)個(gè)機(jī)構(gòu)或公司之間的區(qū)塊鏈稱為聯(lián)盟鏈（Consortium blockchain），也稱行業(yè)鏈;由一家機(jī)構(gòu)或公司掌控所有節(jié)點(diǎn)，并全部按內(nèi)部權(quán)限、規(guī)則和程序運(yùn)作，這樣的區(qū)塊鏈稱為私有鏈（Private blockchain），常用于內(nèi)部工作管理[15]。本文主要從以下幾個(gè)方面闡釋聯(lián)盟鏈與供應(yīng)鏈金融業(yè)務(wù)的契合度和適用性。

2.1? 基本架構(gòu)

區(qū)塊鏈?zhǔn)构?yīng)鏈金融各環(huán)節(jié)從分割關(guān)系轉(zhuǎn)變?yōu)閼?zhàn)略同盟，形成了相互依存的一體化信息模式，還可以通過(guò)接入相關(guān)交易平臺(tái)進(jìn)行資源整合[16]。從供應(yīng)鏈金融的運(yùn)作模式來(lái)看，其最基本架構(gòu)就是由供應(yīng)鏈企業(yè)（包括核心企業(yè)、上下游中小微企業(yè)）、金融機(jī)構(gòu)、銀行所構(gòu)成，與聯(lián)盟鏈的定義更為契合;在供應(yīng)鏈金融的架構(gòu)模式基礎(chǔ)上，聯(lián)盟鏈易生成統(tǒng)一的共識(shí)機(jī)制，在一定范圍內(nèi)較公有鏈和私有鏈更能滿足實(shí)務(wù)需求。另一方面，相較公有鏈權(quán)利“完全分散”，私有鏈權(quán)利“完全集中”的控制模式，聯(lián)盟鏈權(quán)利的“部分集中”更適用于授信、放貸等具體業(yè)務(wù)流程。

2.2? 管理可控性

在比特幣網(wǎng)絡(luò)為代表的公有鏈中，節(jié)點(diǎn)用戶以俗稱“挖礦”的工作量證明算法來(lái)產(chǎn)生區(qū)塊并證明區(qū)塊數(shù)據(jù)的合法性，節(jié)點(diǎn)具有匿名性且無(wú)需權(quán)限審核，以算力強(qiáng)弱為標(biāo)準(zhǔn)獲取價(jià)值，電力消耗和設(shè)備損耗極大，不易管理（任何節(jié)點(diǎn)向任何人開放），難以落地于商業(yè)領(lǐng)域;私有鏈以完全中心制實(shí)體控制區(qū)塊驗(yàn)證，不符合供應(yīng)鏈金融運(yùn)行邏輯與發(fā)展方向，無(wú)法滿足區(qū)塊供應(yīng)鏈金融的框架設(shè)計(jì)。供應(yīng)鏈金融本身具有一定的局域性、范圍性，其依托于供應(yīng)鏈真實(shí)交易，自帶主體實(shí)名制的特性，不同于公有鏈和私有鏈的共識(shí)算法;并且在供應(yīng)鏈金融實(shí)務(wù)中主體間更傾向于初步了解彼此的基本情況，因此除某些特殊的保密性企業(yè)外，區(qū)塊供應(yīng)鏈主體的基本屬性信息公開程度一般情況下大于公有鏈。且聯(lián)盟鏈注重于信息安全、隱私保護(hù)和監(jiān)管，多樣化管控元素的加入，更趨近于類似傳統(tǒng)拜占庭家族（PBFT，DPOS）等共識(shí)機(jī)制，契合于區(qū)塊供應(yīng)鏈金融的體系構(gòu)建。

2.3? 可擴(kuò)展性

商用區(qū)塊鏈的架構(gòu)一般由底層協(xié)議、應(yīng)用適配層、應(yīng)用層組成。比特幣構(gòu)建的開源、開放區(qū)塊鏈平臺(tái)難以形成產(chǎn)品化，即便以太網(wǎng)延續(xù)了比特幣的特征，還使智能合約功能得到實(shí)現(xiàn)，推動(dòng)了去中心化應(yīng)用程序的形成，但其靈活度、性能速度、可視化程度還不足以應(yīng)用至商業(yè)場(chǎng)景;私有鏈的可擴(kuò)展性最低，更無(wú)法滿足供應(yīng)鏈金融業(yè)務(wù)運(yùn)行要求?；诼?lián)盟鏈能夠?qū)崿F(xiàn)數(shù)字資產(chǎn)、供應(yīng)鏈溯源、供應(yīng)鏈金融等多種商業(yè)應(yīng)用功能，并在其中形成價(jià)值自由流通、交換的網(wǎng)絡(luò)，可擴(kuò)展性良好且易于應(yīng)用開發(fā)。

2.4? 融資效率

區(qū)塊鏈數(shù)據(jù)分布式儲(chǔ)存、可驗(yàn)證性、點(diǎn)對(duì)點(diǎn)傳輸、可追溯等特點(diǎn)，有效增加了供應(yīng)鏈信息透明度，提升了供應(yīng)鏈金融準(zhǔn)入、審批、風(fēng)險(xiǎn)預(yù)警等業(yè)務(wù)效率。聯(lián)盟鏈數(shù)據(jù)處理速度快，依托于供應(yīng)鏈企業(yè)、銀行、金融機(jī)構(gòu)以及其他交易平臺(tái)更高效地進(jìn)行穩(wěn)定的點(diǎn)對(duì)點(diǎn)數(shù)據(jù)交互，不僅能提升融資效率，縮短融資周期，還可以降低融資成本，這是公有鏈和私有鏈所無(wú)法提供的。聯(lián)盟鏈上的“云交易”、“云撮合”功能，也體現(xiàn)出區(qū)塊供應(yīng)鏈戰(zhàn)略聯(lián)盟提升融資效率的價(jià)值[17]。

2.5? 去中心化信任

供應(yīng)鏈金融業(yè)務(wù)的特性決定了各個(gè)主體的權(quán)限不可能向以太坊P2P環(huán)境一樣完全無(wú)差別化，如果所有企業(yè)、金融機(jī)構(gòu)、銀行權(quán)限平等，則無(wú)法按照現(xiàn)有的供應(yīng)鏈層級(jí)、交易模式、融資流程來(lái)執(zhí)行業(yè)務(wù)。在聯(lián)盟鏈架構(gòu)下，碎片化真實(shí)交易數(shù)據(jù)擴(kuò)散至融資等各個(gè)場(chǎng)景，基于聯(lián)盟鏈能夠形成可信任的多中心區(qū)塊鏈基礎(chǔ)平臺(tái)以及多樣化的應(yīng)用業(yè)務(wù)支撐系統(tǒng)，使銀行、金融機(jī)構(gòu)可依托底層數(shù)據(jù)獲取企業(yè)真實(shí)征信。聯(lián)盟鏈根據(jù)節(jié)點(diǎn)的授權(quán)準(zhǔn)入，賦予了該節(jié)點(diǎn)的完全信任性;聯(lián)盟成員互相監(jiān)督，在共識(shí)基礎(chǔ)下可修改部分合約和事務(wù)，有利于審計(jì)工作的開展。在供應(yīng)鏈金融聯(lián)盟鏈中，各方“多方維護(hù)、共同寫入”分布式賬本，企業(yè)的主體信用和債權(quán)憑證對(duì)稱透明化，實(shí)現(xiàn)信任自證、信任多級(jí)無(wú)損傳遞、拆轉(zhuǎn)融[18]。因此，建立基于聯(lián)盟鏈的去中心化供應(yīng)鏈金融信任體系，即加強(qiáng)了供應(yīng)鏈企業(yè)間的互信，也使銀行、金融機(jī)構(gòu)對(duì)于供應(yīng)鏈企業(yè)的信任度得到極大的提升。

總體而言，聯(lián)盟鏈與供應(yīng)鏈金融在基本架構(gòu)、管理可控性、可擴(kuò)展性、融資效率、去中心化信任等五個(gè)方面契合度高，采取聯(lián)盟鏈架構(gòu)來(lái)建立區(qū)塊供應(yīng)鏈金融系統(tǒng)適應(yīng)性強(qiáng)，能夠科學(xué)、有效地提升供應(yīng)鏈信息透明度，加快供應(yīng)鏈資金流通速率，同時(shí)使信息安全風(fēng)險(xiǎn)可防可控。區(qū)塊鏈“智能保理”業(yè)務(wù)模式，能實(shí)現(xiàn)信息同步共享、關(guān)鍵數(shù)據(jù)保護(hù)與授權(quán)訪問(wèn)[19]。以基于聯(lián)盟鏈技術(shù)的供應(yīng)鏈“多級(jí)智能保理”業(yè)務(wù)為例，其執(zhí)行模式如圖1所示。

3? 基于聯(lián)盟鏈的供應(yīng)鏈金融信息安全技術(shù)分析

3.1? 賬戶及權(quán)限管理

供應(yīng)鏈金融信息安全主要面向供應(yīng)鏈企業(yè)、銀行和金融機(jī)構(gòu)，因此利用聯(lián)盟鏈?zhǔn)跈?quán)技術(shù)可賦予各角色不同的權(quán)限，通過(guò)智能合約依照賬戶權(quán)限查詢相應(yīng)的信息，在保證信息公開透明的同時(shí)保護(hù)各方商業(yè)隱私。簡(jiǎn)單來(lái)說(shuō)，區(qū)塊鏈架構(gòu)下的供應(yīng)鏈金融模式是一個(gè)具有特色交易功能、且用戶具有不同功能權(quán)限的去中心化商用應(yīng)用程序，能實(shí)現(xiàn)供應(yīng)鏈交易和融資領(lǐng)域的價(jià)值傳遞。通過(guò)去中心化的共識(shí)機(jī)制及智能合約技術(shù)制定相應(yīng)的數(shù)據(jù)展示條件，在應(yīng)用層可以實(shí)現(xiàn)授權(quán)特定賬戶查看或特定時(shí)間段查看，加強(qiáng)信息安全保護(hù)的可控性。例如，當(dāng)某企業(yè)加入?yún)^(qū)塊供應(yīng)鏈金融系統(tǒng)時(shí)，其不僅需要認(rèn)證在鏈上金融機(jī)構(gòu)的賬戶真實(shí)性，還需要通過(guò)聯(lián)盟鏈共識(shí)機(jī)制的權(quán)益證明（POS）認(rèn)證;并且當(dāng)企業(yè)A查詢企業(yè)B的相關(guān)數(shù)據(jù)交易信息時(shí)，須通過(guò)企業(yè)B的認(rèn)證，才能獲得代表查詢權(quán)限的密鑰，并且該權(quán)限管理過(guò)程也應(yīng)在全網(wǎng)廣播和分布式認(rèn)證，不僅能保證信息的真實(shí)性和私密性，同時(shí)能夠在信息隱私泄露風(fēng)險(xiǎn)發(fā)生時(shí)及時(shí)鎖定風(fēng)險(xiǎn)節(jié)點(diǎn)，限制相關(guān)用戶行為，達(dá)到防止風(fēng)險(xiǎn)擴(kuò)散的目的。

3.2? 網(wǎng)絡(luò)環(huán)境安全

區(qū)塊鏈服務(wù)網(wǎng)絡(luò)屬于第二代智能專業(yè)互聯(lián)網(wǎng)，融合互聯(lián)網(wǎng)數(shù)據(jù)傳輸協(xié)議及組織間的共識(shí)機(jī)制，并能適配5G、物聯(lián)網(wǎng)、人工智能等高科技，用戶通過(guò)區(qū)塊鏈瀏覽器可以實(shí)時(shí)查看、搜索和統(tǒng)計(jì)整條區(qū)塊鏈底層數(shù)據(jù)，包括賬戶、交易、資產(chǎn)等區(qū)塊核心信息，因此，區(qū)塊鏈網(wǎng)絡(luò)環(huán)境安全性和可信賴性對(duì)防范信息安全風(fēng)險(xiǎn)極為重要。應(yīng)用軟件（如區(qū)塊鏈瀏覽器或其他共享服務(wù)應(yīng)用軟件等）必須及時(shí)更新版本、補(bǔ)丁，避免被黑客利用漏洞惡意侵入底層數(shù)據(jù);應(yīng)用適配層的接口也存在一定風(fēng)險(xiǎn)性，如私鑰保險(xiǎn)箱體系中的密文傳輸和客戶端生成和解密密鑰過(guò)程存在密鑰泄露風(fēng)險(xiǎn);另外，區(qū)塊供應(yīng)鏈金融系統(tǒng)擴(kuò)展服務(wù)，如多鏈分片擴(kuò)容、跨鏈交互（多鏈條上進(jìn)行多方驗(yàn)證、確權(quán)、交易等），需要建立跨鏈安全協(xié)議，內(nèi)外部網(wǎng)絡(luò)進(jìn)行有條件交互，并對(duì)供應(yīng)鏈金融各業(yè)務(wù)場(chǎng)景的隱私數(shù)據(jù)進(jìn)行安全隔離，在此基礎(chǔ)上達(dá)到保護(hù)區(qū)塊一致性的目的，同時(shí)開啟專業(yè)級(jí)防火墻（網(wǎng)絡(luò)和應(yīng)用層）、防入侵設(shè)備（IPS），可抵御大多數(shù)的網(wǎng)絡(luò)惡意攻擊。利用聯(lián)盟鏈的多通道技術(shù)構(gòu)建供應(yīng)鏈金融數(shù)據(jù)共享網(wǎng)絡(luò)，可以實(shí)現(xiàn)數(shù)據(jù)通道隔離，避免受其他供應(yīng)鏈上企業(yè)節(jié)點(diǎn)訪問(wèn)[20]。

另一方面，區(qū)塊供應(yīng)鏈金融系統(tǒng)用戶采取“U盾”安全操作模式，區(qū)塊鏈U盾是用于區(qū)塊鏈用戶電子簽名和數(shù)字認(rèn)證的實(shí)體固件工具，內(nèi)置微型芯片，并且采用了非對(duì)稱密鑰算法進(jìn)行加密和解密。區(qū)塊鏈U盾可作為區(qū)塊鏈客戶端最高級(jí)別的安全工具，在用戶界面結(jié)合密鑰，操作區(qū)塊鏈瀏覽器或其他應(yīng)用軟件時(shí)可極大程度降低黑客、假服務(wù)網(wǎng)絡(luò)、病毒等各種風(fēng)險(xiǎn)，同時(shí)確保每個(gè)節(jié)點(diǎn)發(fā)生流程的保密性、可追溯性和不可抵賴性。

3.3? 健康監(jiān)控

區(qū)塊供應(yīng)鏈金融系統(tǒng)的健康監(jiān)控應(yīng)從三個(gè)維度展開：系統(tǒng)硬件層、服務(wù)網(wǎng)絡(luò)層和區(qū)塊數(shù)據(jù)層，且在每個(gè)維度均應(yīng)該提供完善的風(fēng)險(xiǎn)預(yù)警、鎖定以及日志機(jī)制，能夠?qū)^(qū)塊鏈系統(tǒng)的信息安全風(fēng)險(xiǎn)進(jìn)行完整的監(jiān)控及記錄，并發(fā)揮聯(lián)盟鏈的可審計(jì)功能，健康監(jiān)控體系工作模式如圖2所示。

區(qū)塊鏈的系統(tǒng)硬件層主要包括中央處理器（CPU）、內(nèi)存、磁盤、可信適配器等，當(dāng)硬件發(fā)生安全性風(fēng)險(xiǎn)時(shí)，整個(gè)區(qū)塊鏈系統(tǒng)將遭受數(shù)據(jù)泄露危機(jī)。目前有部分觀點(diǎn)因斯諾登事件質(zhì)疑區(qū)塊鏈系統(tǒng)硬固件可信性，可能在其供應(yīng)鏈的某環(huán)節(jié)被調(diào)換芯片或受篡改，導(dǎo)致區(qū)塊鏈技術(shù)原本充滿私密性的算法變得毫無(wú)價(jià)值。因此，健康監(jiān)控的系統(tǒng)硬件層不僅應(yīng)反映元件質(zhì)量、運(yùn)轉(zhuǎn)狀態(tài)，更要從系統(tǒng)整體運(yùn)行的角度考量硬件的可驗(yàn)證性和可信賴性。服務(wù)網(wǎng)絡(luò)層需記錄網(wǎng)絡(luò)時(shí)延、斷線以及P2P組網(wǎng)協(xié)議等安全性信息。健康監(jiān)控體系對(duì)于系統(tǒng)及用戶的網(wǎng)絡(luò)環(huán)境、網(wǎng)絡(luò)狀態(tài)實(shí)時(shí)監(jiān)控并生成日志，在必要時(shí)可對(duì)斷線節(jié)點(diǎn)臨時(shí)隔離保護(hù)，避免受害;另一方面，保護(hù)STUN透?jìng)鲄f(xié)議、UPnP熱插拔協(xié)議等基礎(chǔ)P2P組網(wǎng)和通信協(xié)議不被惡意篡改，防止黑客偽造區(qū)塊鏈合法節(jié)點(diǎn)和暴力破解系統(tǒng)的共識(shí)機(jī)制。當(dāng)區(qū)塊鏈服務(wù)網(wǎng)絡(luò)出現(xiàn)異常和P2P協(xié)議被攻擊時(shí)，健康監(jiān)控系統(tǒng)可立刻告警并根據(jù)風(fēng)險(xiǎn)程度立刻進(jìn)行資源隔離。區(qū)塊數(shù)據(jù)層包含區(qū)塊生成、交易驗(yàn)證、多鏈分片的合法性和分布式記賬一致性等監(jiān)控內(nèi)容。例如某用戶未經(jīng)授權(quán)試圖非法侵入?yún)^(qū)塊鏈或反復(fù)解密失敗會(huì)立即觸發(fā)安全保護(hù)機(jī)制告警;此外，若發(fā)生公鑰泄密、信息泄露等風(fēng)險(xiǎn)事件，能夠通過(guò)私鑰解密記錄追溯到解密者及其操作，對(duì)于風(fēng)險(xiǎn)定性、定量和最大程度規(guī)避有重要意義，當(dāng)某用戶查看過(guò)的數(shù)據(jù)發(fā)生泄漏時(shí)，該用戶的權(quán)限將會(huì)被緊急鎖定并進(jìn)行安全驗(yàn)證。

3.4? 法律效力認(rèn)證

在區(qū)塊供應(yīng)鏈金融系統(tǒng)中，智能合約技術(shù)和鏈上節(jié)點(diǎn)引入司法機(jī)構(gòu)如互聯(lián)網(wǎng)法院、司法風(fēng)控平臺(tái)、中國(guó)金融認(rèn)證中心（CFCA）等具有法律效應(yīng)的權(quán)威機(jī)構(gòu)，結(jié)合具體的業(yè)務(wù)場(chǎng)景簽發(fā)和存檔電子合同、司法存證等具真實(shí)身份信息備案文件，為區(qū)塊數(shù)據(jù)信息安全提供了多重保障。在區(qū)塊供應(yīng)鏈金融這樣的商用聯(lián)盟鏈系統(tǒng)中，必須保證商業(yè)環(huán)境的良好秩序、商業(yè)行為合法性，才能確保商業(yè)機(jī)密信息安全。區(qū)塊鏈用戶需持有第三方可信機(jī)構(gòu)——證書授權(quán)中心（CA）頒發(fā)的數(shù)字證書，才能接入系統(tǒng)和操作區(qū)塊數(shù)據(jù)。CA證書的本質(zhì)是CA對(duì)用戶公鑰的認(rèn)證，所有真實(shí)身份認(rèn)證信息均映射至區(qū)塊鏈賬戶;可用CA的公鑰驗(yàn)證該證書上簽字的真?zhèn)渭坝行?。CA證書內(nèi)容包括CA信息、公鑰用戶信息、當(dāng)前時(shí)間戳、CA簽字和有效期等，存于用戶終端設(shè)備，其格式和驗(yàn)證過(guò)程普遍遵循X.509國(guó)際標(biāo)準(zhǔn)。我國(guó)CA認(rèn)證授權(quán)由國(guó)家工業(yè)和信息化部頒發(fā)，全國(guó)范圍內(nèi)僅數(shù)十家企業(yè)具備CA認(rèn)證資質(zhì)，使不法分子難以利用偽造的假公鑰行騙。另外，鏈上數(shù)據(jù)需經(jīng)過(guò)標(biāo)記確權(quán)并通過(guò)認(rèn)證，保證數(shù)據(jù)具有歸屬性，數(shù)據(jù)確權(quán)是數(shù)據(jù)操作安全性和合法性的前提。

4? 基于聯(lián)盟鏈的供應(yīng)鏈金融信息安全管理建議

4.1? 加強(qiáng)技術(shù)研發(fā)

加強(qiáng)對(duì)于系統(tǒng)底層組網(wǎng)安全協(xié)議的技術(shù)研發(fā)，如接入IP控制、信任列表智能控制等技術(shù);在共識(shí)算法的安全性和容錯(cuò)能力之間進(jìn)行優(yōu)化，如優(yōu)化條約投票通過(guò)閥值，加強(qiáng)惡意節(jié)點(diǎn)處理技術(shù)、黑白名單智能管理技術(shù);優(yōu)化密碼學(xué)算法，加強(qiáng)用戶密鑰、數(shù)字證書的智能管理技術(shù)研發(fā);同時(shí)提升隱私數(shù)據(jù)保險(xiǎn)箱的技術(shù)安全級(jí)別，在提高信息安全共享效率的同時(shí)，可滿足監(jiān)管審計(jì)需求。

4.2? 推動(dòng)基礎(chǔ)設(shè)施建設(shè)

各省市應(yīng)加快落實(shí)區(qū)塊鏈規(guī)劃建設(shè)方案，推動(dòng)政企合作，積極發(fā)展網(wǎng)絡(luò)化的區(qū)塊鏈基礎(chǔ)設(shè)施建設(shè)。科技企業(yè)應(yīng)該與政府持續(xù)開展深度合作，建設(shè)BaaS基礎(chǔ)設(shè)施，為區(qū)塊鏈上層應(yīng)用的實(shí)現(xiàn)和運(yùn)營(yíng)提供安全、可信的公共資源環(huán)境[21-22]。只有實(shí)現(xiàn)區(qū)塊鏈底層架構(gòu)和基礎(chǔ)設(shè)施建設(shè)的有序發(fā)展，才能逐步解決跨鏈交互、業(yè)務(wù)場(chǎng)景融合等難題，否則將面臨新一輪信息孤島和安全漏洞的風(fēng)險(xiǎn)。

4.3? 提升從業(yè)人員素質(zhì)

一方面，提升系統(tǒng)物理硬固件、機(jī)房管理人員的從業(yè)素質(zhì)，加強(qiáng)對(duì)于員工日常管理規(guī)范及防火、防盜、防斷電等方面的安全教育培訓(xùn)，制定完備的員工操作準(zhǔn)則和風(fēng)險(xiǎn)預(yù)案機(jī)制，并進(jìn)行模擬實(shí)戰(zhàn)演練;另一方面，對(duì)于網(wǎng)絡(luò)技術(shù)人員應(yīng)提高供應(yīng)鏈金融數(shù)據(jù)的安全性意識(shí)，在嚴(yán)謹(jǐn)、成熟的管理制度下工作，定期開展加強(qiáng)技術(shù)水平、業(yè)務(wù)能力和風(fēng)險(xiǎn)管理能力的培訓(xùn)，并通過(guò)嚴(yán)格的人員業(yè)務(wù)審計(jì)，降低人員操作帶來(lái)的信息安全風(fēng)險(xiǎn)。

4.4? 完善法制建設(shè)

2020年7月，全國(guó)人大常委會(huì)就《中華人民共和國(guó)數(shù)據(jù)安全法（草案）》在中國(guó)人大網(wǎng)向公眾公開征求意見，央行下發(fā)《關(guān)于發(fā)布金融行業(yè)標(biāo)準(zhǔn)推動(dòng)區(qū)塊鏈技術(shù)規(guī)范應(yīng)用的通知》，全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)審查通過(guò)了《區(qū)塊鏈技術(shù)金融應(yīng)用評(píng)估規(guī)則》（JR/T 0913-2020），要求區(qū)塊鏈系統(tǒng)具備對(duì)數(shù)據(jù)來(lái)源和變更的操作者身份進(jìn)行追溯的功能，體現(xiàn)了國(guó)家立法層面和行業(yè)標(biāo)準(zhǔn)技術(shù)層對(duì)于區(qū)塊鏈金融平臺(tái)的數(shù)據(jù)安全重視程度。區(qū)塊鏈金融服務(wù)平臺(tái)應(yīng)進(jìn)行公安部信息系統(tǒng)安全等級(jí)保護(hù)備案測(cè)評(píng)，領(lǐng)取相應(yīng)等級(jí)的備案證書，同時(shí)結(jié)合《合同法》、《電子簽名法》、《網(wǎng)絡(luò)安全法》、《電子商務(wù)法》、《金融法》等現(xiàn)有相關(guān)法律，實(shí)現(xiàn)“法律+行業(yè)標(biāo)準(zhǔn)”相結(jié)合的區(qū)塊供應(yīng)鏈金融信息安全法制體系建設(shè)，杜絕信息安全違法行為。

5? 結(jié)語(yǔ)與展望

本文思考探究了“區(qū)塊鏈+供應(yīng)鏈金融”管理系統(tǒng)的基本架構(gòu)和信息安全問(wèn)題，對(duì)于提升區(qū)塊供應(yīng)鏈金融穩(wěn)定性和運(yùn)作效率具有重大意義。聯(lián)盟鏈技術(shù)雖良好適用于供應(yīng)鏈金融服務(wù)系統(tǒng)，但也需要多位一體的管理策略來(lái)保障鏈上數(shù)據(jù)信息安全，以上內(nèi)容對(duì)于學(xué)術(shù)界和行業(yè)實(shí)務(wù)仍具有較大的探索空間。應(yīng)用5G、物聯(lián)網(wǎng)、人工智能等新科技挖掘、采集底層數(shù)據(jù)，實(shí)現(xiàn)分布式商業(yè)存證和去中心化信用體系，在區(qū)塊鏈、云平臺(tái)上基于數(shù)據(jù)增值開發(fā)出更多供應(yīng)鏈金融創(chuàng)新型服務(wù)應(yīng)用，保證信息傳輸和存儲(chǔ)安全，防止信息孤島、惡意篡改或泄密事件發(fā)生，形成良好的金融新科技生態(tài)環(huán)境，是行業(yè)未來(lái)發(fā)展的遠(yuǎn)景。

參考文獻(xiàn)：

[1]? 鞏富文. 以區(qū)塊鏈賦能社會(huì)治理（新論）[EB/OL]. （2019-11-21）[2020-11-25]. https：//baijiahao.baidu.com/s？id=165076068251

6026403&wfr=spider&for=pc.

[2] 劉彥松，夏琦，李柱，等. 基于區(qū)塊鏈的鏈上數(shù)據(jù)安全共享體系研究[J]. 大數(shù)據(jù)，2020，6（5）：92-105.

[3]? Zhu Chaoyong， Dong Aiqiang. The coordination mechanism of supply chain finance based on block chain[EB/OL]. （2018）[2020-11-25]. https：//www.onac-ademic.com/detail/joumal_1000041614937699.4569.html.

[4]? V G Venkatesha， Kai Kangb， Bill Wangc， et al. System Architecture for Blockchain Based Transparency of Supply Chain Social Sustainability[EB/OL]. （2020）[2020-11-25]. https：//www.sciencedirect.com/science/article/abs/pii/s0726584519301589.

[5] 田琳. 基于“區(qū)塊鏈+供應(yīng)鏈金融”下中小企業(yè)融資問(wèn)題探究[J]. 農(nóng)家參謀，2020（11）：175，181.

[6]? Jiri Chod， Nikolaos Trichakis， Gerry Tsoukalas， et al. On the Financing Benefits of Supply Chain Transparency and Blockchain Adoption[J]. Management Science， 2019（7）：1-13.

[7] 佚名. 淺析互聯(lián)網(wǎng)金融與區(qū)塊鏈的安全困擾：高危漏洞、數(shù)據(jù)泄露及盜取[EB/OL]. （2019-04-20）[2020-11-25]. https：//xw.qq.com/amphtml/20190420A00AE300.

[8] 佚名. 2020年金融銀行行業(yè)網(wǎng)絡(luò)信息安全、信息泄漏事件匯總[EB/OL]. （2020-05-19）[2020-11-25]. https：//blog.csdn.net/jojo7

05/article/details/106188966.

[9] 中國(guó)人民銀行. 關(guān)于規(guī)范發(fā)展供應(yīng)鏈金融 支持供應(yīng)鏈產(chǎn)業(yè)鏈穩(wěn)定循環(huán)和優(yōu)化升級(jí)的意見[EB/OL]. （2020-09-22）[2020-11

-25]. http：//www.pbc.gov.cn/goutongjiaoliu/113456/113469/4101190/index.html.

[10] 佚名. 生活在大數(shù)據(jù)時(shí)代的我們?nèi)绾伪Ｗo(hù)個(gè)人隱私？[EB/OL]. （2020-08-03）[2020-11-25]. https：//www.sohu.com/a/4112626

32_120337357？_trans_=000014_bdss_dkzzwhfs.

[11]? Muzammal M， Qu Q， Nasrulin B， et al. A Blockchain Database Application Platform[EB/OL]. （2018）[2020-11-25]. https：//xueshu.baidu.com/usercenter/paper/shaw？paperid=098e2aaab3d7ec010d03210a3e715f828site=xueshu_se.

[12]? Karagiannis I， Mavrogiannis K， Soldatos J， et al. Blockchain Based Sharing of Security Information for Critical Infrastructures of the Finance Sector[Z]. 2020.

[13]? Ming Li， Saijun Shao， Qiwen Ye， et al. Blockchain-enabled logistics finance execution platform for capital-constrained

E-commerce retail[EB/OL]. （2020）[2020-11-25]. https：//sciencedirct.com/science/artide/abs/pii/s0736584519303400.

[14] 常景超，趙蕾，李成君. 金融科技背景下的隱私信息保護(hù)[J]. 青海金融，2019（12）：31-36.

[15] 許茹. 基于區(qū)塊鏈的會(huì)計(jì)檔案信息共享平臺(tái)建設(shè)研究——以聯(lián)盟鏈為例[J]. 檔案天地，2020（8）：39-42，18.

[16] 何力，鄒江，陳俞佳. 基于區(qū)塊鏈技術(shù)的供應(yīng)鏈金融實(shí)踐應(yīng)用[J]. 全國(guó)流通經(jīng)濟(jì)，2020（5）：160-161.

[17] 何娟，沈迎紅. 基于第三方電子交易平臺(tái)的供應(yīng)鏈金融服務(wù)創(chuàng)新——云倉(cāng)及其運(yùn)作模式初探[J]. 商業(yè)經(jīng)濟(jì)與管理，2012（7）：5-13.

[18] 張功臣，趙克強(qiáng)，侯武彬. 基于區(qū)塊鏈技術(shù)的供應(yīng)鏈融資創(chuàng)新研究[J]. 信息技術(shù)與網(wǎng)絡(luò)安全，2019，38（10）：14-17.

[19] 鄧愛民，李云鳳. 基于區(qū)塊鏈的供應(yīng)鏈“智能保理”業(yè)務(wù)模式及博弈分析[J]. 管理評(píng)論，2019，31（9）：231-240.

[20] 肖博，夏輝，陳明. 基于聯(lián)盟鏈的制造供應(yīng)鏈質(zhì)量追溯研究[J]. 國(guó)外電子測(cè)量技術(shù)，2020，39（9）：19-24.

[21] 華夏時(shí)報(bào). 政企合作謀求雙贏? 區(qū)塊鏈技術(shù)成為新型城市基礎(chǔ)設(shè)施建設(shè)重要一環(huán)[EB/OL]. （2020-11-10）[2020-11-25]. https：//finance.ifeng.com/c/81HcLbPTo53.

[22] 國(guó)家發(fā)展改革委. 區(qū)塊鏈技術(shù)可提高數(shù)據(jù)可信性和安全性[EB/OL]. （2020-08-25）[2020-11-25]. https：//baijiahao.baidu.com/s？id=1675969729932137799&wfr=spider&for=pc.