为深化政法智能化建设,加强“智慧治理”“智慧法院”“智慧检务”“智慧警务”“智慧司法”等信息平台建设,深入实施大数据战略,实现科技创新成果同政法工作深度融合。法制日报社已连续举办了六届“政法智能化建设技术装备及成果展”。
作为装备展配套活动,法制日报社于今年3月继续举办了2023政法智能化建设创新案例及论文征集宣传活动,活动征集了“智慧治理”“智慧法院”“智慧检务”“智慧警务”“智慧司法”创新案例、方案、产品、论文,6月25日结果揭晓发布。入选的各类创新案例、方案、产品、论文在7月10日至11日举办的成果展上进行了集中展示,并已编辑整理成册——《2023政法智能化建设创新案例及论文汇编》。
该汇编分为智慧治理篇、智慧法院篇、智慧检务篇、智慧警务篇、智慧司法篇五个篇章,为政法信息化、智能化建设提供及时、准确、 实用的资讯信息与经验观点。
应广大读者要求,我们特开辟专栏,分别将部分创新案例、创新方案、创新产品、创新论文进行展示,敬请关注!
以下推出的是《智慧法院篇 | 创新论文之“司法区块链在智慧法院建设中安全风险及应对方法”》
司法区块链在智慧法院建设中的
安全风险及应对方法
吕 峥 袁光涛 王 刚 高彦恺
北京天融信网络安全技术有限公司
【摘 要】:司法区块链是智慧法院建设中的创新应用典范,足够重视司法区块链的安全问题才能不断提升其应用效能。本文分析了司法区块链的建设背景、建设现状,深入研究司法区块链的核心安全风险及应对措施,提供了体系化的安全防护思路以提高司法区块链的安全性,有效地为智慧法院的建设服务。
【关键词】:司法区块链、智慧法院、共识节点、存证验证、智能合约
一、司法区块链建设背景
区块链确保数据可信、有序、安全地共享及资产透明、高效、可靠地流通,是数字中国建设的重要支撑。司法区块链是支撑电子诉讼的基础设施,是发挥诉源治理的关键要件[[1]]。司法区块链不仅可以解决数据安全和数据诈骗等问题,还可以提高司法处理案件的效率和执法的公正性,受到高度重视。最高人民法院积极部署推进区块链建设:2018年《最高人民法院关于互联网法院审理案件若干问题的规定》首次承认了区块链存证的电子证据用于互联网案件举证的合法性;2019年最高人民法院启动“人民法院司法区块链统一平台”建设;2022年最高人民法院工作报告指出“司法区块链上链累计存证17.1亿条,形成经济社会运行大数据报告220份”,并于同年发布《最高人民法院关于加强区块链司法应用的意见》。全面推进区块链在法院工作中的深度应用,已成为人民法院全面建设智慧法院的重要基石之一。
由于司法系统具有高度的机密性和安全性要求,在司法区块链加速落地过程中更需要考虑和解决安全问题。
二、司法区块链建设现状
“人民法院司法区块链统一平台”分为专网和互联网两部分进行建设。两部分均已经建成区块链核心框架,地方法院及外部单位存在新共识节点建设及接入平台的需求。
司法区块链专网部分通过在法院专网环境构建共识环境,承载内网业务数据上链和证据核验等业务。专网业务应用包括电子卷宗及档案等法院专网数据的上链存证、对审判及执行等环节的高敏感操作实时存证、自动冻结及划转等执行措施,既提高了执行效率,也可以有效解决久拖不执的现象[2]。
司法区块链互联网部分在互联网条件下构建共识和数据同步环境,通过可信的API接口为社会提供互联网法院业务数据的存证和核验等业务服务。应用场景主要是满足当事人及法官案前存证、案中验证的需求等。
三、司法区块链核心安全风险
司法区块链的安全建设主要是围绕已建设的和新建的共识节点展开,这些共识节点在专网或互联网环境下分散部署,在同一网络环境下的各共识节点安全环境、安全风险、安全需求基本一致,单共识节点的核心安全风险主要来自于其技术架构。如图所示,区块链及共识节点主要是五层结构:数据层通过封装的链式结构、加密技术等完成数据存储和交易的安全实现,密码技术确保区块链数据构造、传输、存储的完整和安全;网络层基于P2P传输协议完成组网,支持直接相互访问、共享资源;节点间通过共识机制保证数据一致及不可篡改;通过算法、程序编码等技术手段形成在链上自动执行的智能合约;应用层调用区块链服务应用于各业务领域。
图1区块链技术架构
各层均面临来自网络的各种安全威胁,应逐层采取安全防护措施。实际业务系统中存储在链下数据库的大量法院业务数据也面临安全风险。深入研究司法区块链技术架构面临的核心安全风险,总结如下表所示。
表1核心安全风险
四、构建体系化安全防护框架
(一)司法区块链安全框架
司法区块链系统安全建设除了要考虑自身技术架构的安全风险、部署区块链的基础设施安全风险、“区块链+司法”业务应用的安全风险,还需要考虑安全管理需求。
基础设施安全:部署区块链的环境设施安全,涉及容器、网络、服务器、链下存储等;
链安全:区块链技术架构自身安全,涉及链上存储安全、P2P安全、密码安全、共识机制安全、智能合约安全等;
应用安全:基于区块链服务的业务系统的安全,涉及web安全、业务安全、API安全、APP安全等;
安全管理:安全审计发现、分析并跟踪异常事件;监管支持提供管理员权限,接入区块链系统获取监管信息;配置管理,相关方共同配置建立区块链系统;等等。
(二)司法区块链安全建设思路
区块链安全建设可参考Gartner PPDR自适应信息安全模型,按照预测、防护、监测、响应的步骤,构建对应的区块链(各共识节点)安全防护能力闭环。同传统信息系统的安全防护不同的是,区块链的防护对于基础设施、链、应用分别采用不同安全保护措施:基础设施安全措施包括入侵防护、抗DDoS、数据库安全防护等,属于传统安全范畴;链安全措施主要针对核心安全风险,包括完善升级链上存储安全、共识协议安全、智能合约安全、零知识证明等,即包括传统安全措施也包括链自身升级改造;应用安全措施包括身份管理、访问控制、抗DDoS、密码防护、APP防护等,也属于传统安全范畴。下表列出了针对司法区块链核心安全风险的应对措施。
表2应对措施
基于以上建设思路和安全措施,可以有效应对司法区块链建设及应用过程中面临的诸多安全问题和风险,解决好司法区块链面临的数据隐私问题、篡改问题、节点安全等问题。
五、结语
司法区块链作为高度适用于数字世界的新型纠纷解决技术方案,具有广阔的应用前景,预示着智慧司法的发展方向[[3]]。本文在研究司法区块链于智慧法院建设中的安全风险的基础上,提出了相应的安全建设思路。除技术手段以外,结合人员培养、内部控制监管、合作联盟、应急响应等机制,可以极大地解决司法区块链的安全问题。建立全面的安全体系,是实现司法领域区块链技术推广应用的关键。
[1]石松,邝志强. 司法区块链的应用与发展[J]. 中国应用法学,2021(3):35-46.
[2]孙占利.运用区块链推进智慧法院建设研究[J].法律适用,2020(01):23-31.
[3]韩旭至.司法区块链的价值目标及其实现路径[J].上海大学学报(社会科学版),2022,39(02):29-44.