区块链技术，如何提升网络安全？

眼下，区块链已经成为科技界的热门技术，甚至被称为颠覆性技术。那么，在网络安全领域，区块链能否发挥作用呢？答案是肯定的。

——编者

当著名咨询公司Gartner在预测2018年对大部分企业公司影响显著的十大战略技术时，区块链技术位列其中。而最近普华永道国际会计事务所（PwC）发布的全球金融科技调研结果也显示，区块链技术正在快速地从实验阶段迈向企业应用阶段。区块链技术融合了分布式架构、P2P网络协议、加密算法、数据验证、共识算法、身份认证、智能合约等技术，利用基于时间顺序的区块形成链进行数据存储，利用共识机制实现各节点之间数据的一致性，利用密码学体制保证数据的存储和传输安全，利用自动化的脚本建立智能合约而实现交易的自动判断和处理，解决了中心化模式存在的安全性低、可靠性差、成本高等问题。值得注意的是，除了上述优点以外，区块链技术本身还具有优越的安全特性，人们可以应用区块链技术来提升网络安全。

在不可靠的网络上

进行可靠的传输

区块链解决了在不可靠网络上可靠的传输信息的难题，由于不依赖与中心节点的认证和管理，因此防止了中心节点被攻击造成的数据泄露和认证失败的风险。

区块链的基本工作过程如图所示，当节点A向节点B转账时，产生的交易信息会以区块的形式以P2P的方式广播到网络中所有有效节点，节点通过共识机制对该区块进行认证，当该区块的正确性和有效性被认可后，该区块按顺序被添加到网络现有区块链中，A向B的转账即完成。由于区块链中的信息得到了网络中大部分节点的一致性认同，因此该信息是无法擦除和篡改的，且所有节点都可以读取和查询交易信息。显然，区块链具备优越的安全特性。

区块链基于其数学算法和数据结构，相比传统网络安全防护具有三大特点。

**第一，共识机制代替中心认证机制。**传统网络的用户认证采用中央认证中心（CA）方式，整个系统的安全性完全依赖于集中部署的 CA 认证中心和相应的内部管理人员身上。如果CA被攻击，则所有用户的数据可能被窃取或者修改。而在区块链节点共识机制下，无需第三方信任平台，写入的数据需要网络大部分节点的认可才可以被记录，因此，攻击者需要至少控制全网络51%的节点才能够伪造或者篡改数据，这将大大增加攻击的成本和难度。

**第二，数据篡改“一发动全身”。**区块链采用了带有时间戳的链式区块结构存储数据，为数据的记录增加了时间维度，具有可验证性和可追溯性。当改变其中一个区块中的任何一个信息，都会导致从该区块往后所有区块数据的内容修改，从而极大增加数据篡改的难度。

**第三，抵抗分布式拒绝服务（DDoS）。**区块链的节点分散，每个节点都具备完整的区块链信息，而且可以对其他节点的数据有效性进行验证，因此针对区块链的DDoS攻击将会更难展开。即便攻击者攻破某个节点，剩余节点也可以正常维持整个区块链系统。

网络安全领域

区块链大有可为

区块链技术可用于网络安全领域。区块链技术凭借其去中心化结构而带来的安全特性，目前已被国外金融、医疗、互联网等领域各大公司用来提升网络安全。具体来看，区块链技术可以在管理和保护用户认证数据、提高网络数据安全、有效阻止DDoS攻击以及增强物联网安全等领域发挥作用。

**——管理和保护用户认证数据。**美国麻省理工大学推出的虚拟货币CertCoin最先采用了基于区块链的公钥基础设施，摒弃传统中心认证方式，采用公共密钥实现分布式节点之间的互相认证，从而防止网络单点故障。乌克兰公司Ukroboronprom与网络安全公司REMME合作，通过在区块链上管理用户认证相关数据，几乎完全阻断了黑客使用虚假认证消息获取用户身份的可能。

**——提高网络数据安全性。**全球最大规模的区块链公司Guardtime通过分布节点之间协商来提供区块链上数据的机密性和完整性，实现了爱沙尼亚100万份用户医疗数据的安全性保证。美国国防部高级研究计划局DARPA也开始采用该方式为军方敏感性数据提供安全保护。

**——有效阻止DDoS攻击。**区块链初创公司Nebulis目前正在开发基于区块链的分布式互联网域名系统，只允许授权用户来管理域名，其他公司诸如Blockstack和MaidSafe也开始使用分布式Web技术，替代原有第三方管理Web服务器和数据库的模式，从而阻止网络 DDoS攻击。

**——增强物联网安全。**通过智能合约模式，区块链一方面可以利用 P2P 网络中的网络设备节点对待接入设备进行鉴权；另一方面可以有效抵挡物联网DDoS攻击。在2016年爆发的Mirai僵尸网络DDos攻击事件中，大规模的物联网设备被入侵，致使大半美国网络瘫痪。在区块链系统中，当某个节点被入侵时，其他设备会检测到该设备异常，并且将其列为异常和不信任节点，从而将其排除。

技术成熟前

应用需谨慎

虽然区块链凭借其天然的技术特点而具有用户认证、数据保护、防DDoS攻击等安全优势，但现阶段区块链技术还不成熟，在实际应用时仍然存在诸多安全风险。

**首先，区块数据的可靠性会随时间降低。**早期生成的区块由于当时使用的算法过时或者密钥长度不够，此部分交易历史有可能会被篡改伪造。由于区块链采用关系型的数据结构，而且现有机制还没有删除历史交易数据的机制，将会导致新产生的区块也不可以被信任。此外，所有交易记录不断累加也会造成节点超负荷，增加安全隐患。

**其次，区块链的配套软件可能存在漏洞和隐患。**由于区块链系统由代码维持，攻击者会通过系统中存在的漏洞恶意篡改或者盗取数据。在2016年的The Dao事件中，由于以太坊智能合约程序存在严重漏洞，该合约筹集的公众款项不断被一个函数的递归调用而转向它的子合约，最终被窃取了价值超过60万美元的以太币。2017年7月，黑客同样利用以太坊智能合约漏洞盗取了超过约3000万美元的以太币。

**最后，区块链可能会造福犯罪分子。**基于区块链本身的匿名和安全特性，不法分子可能会采用区块链技术来进行违法网络交易，例如暗网交易以及进行洗钱犯罪活动等。目前，美国参议院已经通过了7000亿美元国防法案，其中就包含研究区块链技术潜在的安全风险，以及评估网络罪犯利用该技术可能造成的危害。

00亿美元国防法案，其中就包含研究区块链技术潜在的安全风险，以及评估网络罪犯利用该技术可能造成的危害。

区块链技术具有可靠的信息交互、完整的数据存储、可信的节点认证等安全性优势，因而为网络安全提供了一种崭新的安全防护思路和模式，将传统网络边界式防护转变为全网络节点参与的安全防护新模式，通过分布式的节点共识机制来抵抗恶意节点的攻击，在网络安全领域具有极大的应用潜力。但是，现阶段区块链技术还不够成熟，区块链系统仍然存在许多安全隐患和漏洞，因此在下一步应用中，应加强区块链的监管和安全技术的研究与实践，推动区块链应用的稳步发展，充分发挥区块链技术的安全优势，有效提升网络安全防护水平。接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三：顶级网络安全工程师

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

学习资料分享

当然，只给予计划不给予学习资料的行为无异于耍流氓，这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包，可点击下方二维码链接领取哦。