CSA 数字货币交易所Top 10安全风险在线下载,免费下载

m o c . 5 b u h t i g ©2020 云安全联盟大中华区-版权所有 1 m o c . 5 b u h t i g @2020 云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看、打印及，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下: （a）本文只可作个人、信息获取、非商业用途；(b) 本文内容不得篡改; (c)本文不得转发; (d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 ©2020 云安全联盟大中华区-版权所有 2 致谢云安全联盟大中华区（简称：CSA GCR）区块链安全工作组在 2020 年 2 月份成立。由黄连金担任工作组组长，9 位领军人分别担任 9 个项目小组组长，分别有：知道创宇创始人&CEO 赵伟领衔数字钱包安全小组，北大信息科学技术学院区块链研究中心主任陈钟领衔共识算法安全小组，赛博英杰创始人&董事长谭晓生领衔交易所安全小组，安比实验室创始人郭宇领衔智能合约安全小组，世界银行首席信息安全架构师张志军领衔 Dapp 安全小组，元界 DNA 创始人兼 CEO 初夏虎领衔去中心化数字身份安全小组，北理工教授祝烈煌领衔网络层安全小组，武汉大学教授陈晶领衔数据层安全小组，零时科技 m o c . 5 CEO 邓永凯领衔 AML 技术与安全小组。区块链安全工作组现有 100 多位安全专家们，分别来自中国电子学会、耶鲁大学、北京大学、北京理工大学、世界银行、中国金融认证中心、华为、腾讯、知道创宇、慢雾科技、启明星辰、天融信、联想、OPPO、零时科技、普华永道、安永、阿斯利康等六 b u 十多家单位。 h t i g 本白皮书主要由交易所安全小组专家撰写，感谢以下专家的贡献：原创作者：邓永凯、黄连金、谭晓生、叶振强、余晓光、余弦（按拼音字母排序）审核专家：陈大宏、赵勇贡献单位：华为关于研究工作组的更多介绍，请在 CSA 大中华区官网（https://c-csa.cn/research/）上查看。如本白皮书有不妥当之处，敬请读者联系 CSA GCR 秘书处给与雅正! 联系邮箱： info@c-csa.cn; 云安全联盟 CSA 公众号： ©2020 云安全联盟大中华区-版权所有 3 序言 CSA GCR 区块链安全工作组的交易所安全小组对于过去几年交易所发生的安全事件进行了分析，按照安全事件的发生频率和资金损失程度总结了主要的十个安全风险。对于每个风险进行解释和描述，给出有关的案例的文章链接供读者参考，并且给出应对措施和建议。交易所管理用户的资金，因此所有交易所，不管大小，都需要金融级别的安全。金融系统的身份管理，两地三中心的高可用性和灾难备份的能力，安全风险感知，7×24 h m o c . 5 实时监测预警，数据安全和隐私保护等等安全控制是交易所必须建立的安全能力。CSA GCR 希望通过对于已经发生的交易所安全事故的分析，提出应对风险的可以落地的对策。希望交易所能够重视安全，避免为黑客打工。 b u h t i g 李雨航 Yale Li CSA 大中华区主席兼研究院院长 ©2020 云安全联盟大中华区-版权所有 4 目录致谢................................................................................................................................................................... 3 序言................................................................................................................................................................... 4 1：高级长期威胁（APT：Advanced Persistent Threat）...................................................................... 7 风险描述：...............................................................................................................................................7 相关案例链接：.......................................................................................................................................7 应对措施：...............................................................................................................................................7 m o c . 5 2：分布式拒绝服务（DDOS）....................................................................................................................... 8 风险描述：...............................................................................................................................................8 相关案例链接：.......................................................................................................................................8 应对措施：...............................................................................................................................................9 b u 3：内鬼监守自盗（Insider Attack）............................................................................................................ 10 风险描述：.............................................................................................................................................10 h t i g 相关案例链接：.....................................................................................................................................10 应对措施：.............................................................................................................................................11 4：API 安全风险问题................................................................................................................................... 11 风险描述：.............................................................................................................................................11 相关案例链接.........................................................................................................................................12 应对措施：.............................................................................................................................................13 5：假充值问题（False Top-up）................................................................................................................ 13 风险描述：.............................................................................................................................................13 相关案例链接：...................................................................................................