金色沙龙线上版精彩回顾——全球应用安全加速 区块链发展的护城河与加速器
7月8日,金色财经联合阿里云举办金色沙龙第53期线上版——全球应用安全加速 区块链发展的护城河与加速器,本期沙龙邀请阿里云新金融事业部解决方案架构师元佑,阿里云网络产品解决方案架构师骐迹,阿里云安全高级解决方案架构师福威,HBTC霍比特创始人巨建华,火币公链技术专家汪毅江,库币首席安全官CSOAngelia Tian,Bybit首席安全官Benjamin七位嘉宾,以及金色财经内容总监王瑜琨,金色财经陈颖两位主持人。
沙龙开场, 阿里云新金融事业部解决方案架构师元佑 发表了“区块链客户云上架构迭代与升级”的主题演讲。
元佑认为,区块链和云计算可以完美的结合,云计算、大数据人工智能、区块链、物联网、安全等技术是金融科技创新发展的基石、是数字经济时代的新基建。阿里云是能够提供区块链行业客户数字化云化演进的最佳云平台,阿里云该领域可以为区块链行业客户带来的计算/存储能力优势,主要包括以下几个方面:
1) 计算存储分离及灵活自主定义的组合
2) 资源按需采购,弹性扩展
3) GPU分时复用提高性价比
4) 通过全球部署实现全球范围内部署调度
5) 灵活的使用模式降低启动成本
6) 云原生的安全、管控、批量部署、高可靠高可用能力极大地简化了管理投入。
区块链行业可以基于阿里云丰富的产品能力,全球技术设施资源,针对行业客户专有的计算存储网络安全等能力,快速实现系统部署和业务拓展,实现云化数字化高效演进。
接下来, 阿里云网络产品解决方案架构师骐迹 发表了“阿里云全球一张网助力区块链行业加速出海”的主题演讲。
骐迹跟大家分享了全球化趋势和中国企业出海之路,全球应用安全加速方案,精品EIP——加速回国线路。首先从全球应用安全加速及精品公网IP两个产品解决方案来解读阿里云网络如何助力行业的出海全球化;接着分享了全球应用安全加速方案,阿里云通过全球一张传输网的优势,替换掉了原本互联网用户基于internet的访问线路,而且通过专线的线路来降低访问时延、提升方案的稳定性,从而达到稳定高速的跨境访问质量;最后,介绍了如何通过阿里云精品EIP提供加速回国线路,精品EIP回国加速线路主要为三个典型应用场景:互联网金融服务商、中资出海及加速服务SAAS服务商。依托于阿里云网络十年的技术坚持和持续创新,阿里云希望通过全球一张网连接全球、超大规模、弹性伸缩等核心能力,与客户一起,打造如丝般顺滑的网络服务体验。
接着, 阿里云安全高级解决方案架构师福威 带来:安全加速与攻击溯源——云安全助力区块链企业全球化发展。
福威首先介绍了区块链客户面临的诸多问题:网络攻击、时延、网络劫持、稳定性差、安全事件发生后如何溯源;接着针对这些问题介绍阿里云的解决方案。第1块是高仿类业务,这里面主要包含海外版的高仿,支持八大数据中心无限流量的清洗,弹性安全网络,主要是针对APP类的业务实现我们的快速安全访问和溯源,然后是安全加速网络基于中国到香港精品线路,提供2T的防御能力,让大家在访问时也基本上控制在50毫秒左右;第2块是威胁狩猎服务,这是新推出的一个服务,主要是将蜜罐部署在云端,然后仿制业务,构建一个欺诈平台,并且对攻击进行取证,黑客真人来进行溯源;第3块是主机层面,云安全中心能满足合规,满足主机上的资产管理、漏洞管理、脆弱性管理、入侵检测等能力,同时阿里云上还有其他的一些服务,比如针对社区类的内容安全服务,和支付宝相同实人认证服务,业务风控类的服务,比如反欺诈、二三四要素的验证等等,能够极大的减少客户在业务上面造成的损失。
主题演讲结束后,是精彩的圆桌环节,以下为圆桌精彩内容:
圆桌问题一: 目前,区块链行业正处于飞速发展的时期,如何保证区块链资讯和业务平台针对跨境用户快速高效访问,保障全球用户访问如丝般顺滑呢?这也成为中国企业拓展出海业务的一大挑战。
元佑: 随着区块链行业业务的飞速发展,以及该行业业务的特殊性。企业客户逐步会把服务部署在海外。那么随之而来的挑战,则是国内用户如何还能像在家门口一样访问高质量的互联网服务;另外一个场景,则是国内企业客户出海业务的拓展,大家常用的方案就是我再把业务复制一套到海外,但是这种业务架构设计则会带来另外一个问题的思考,如何将海外的数据同步至国内,满足企业数据管理的需求。
我们今天分享的阿里云全球应用安全加速方案则很好地解决了企业跨境出海加速及国内加速访问海外的这样两个场景需求。
阿里云依托于自身全球一张网的基础设施优势,我们在跨境场景上帮助客户完成了跨境高速线路的建设,通过全球加速GA的跨境高速线路完成对企业服务的回源加速,从而替换掉原有C端用户通过跨境互联网线路的访问链路,最终通过底层物理专线和精品线路的高质量实现全球用户全球加速的效果。
当前阿里云可以实现全球20多个国家及地域客户全球就近加速访问。最重要的一点,该解决方案无需更改客户原有业务架构,且分钟级就能完成加速线路的部署,就能立刻帮忙企业解决跨境访问的难题,改造成本非常低。
同时,为了加强客户服务安全防护的能力,我们也能在全球加速服务的基础上,增加阿里云高防DDOS和waf安全防护的能力,更好地保证客户服务的安全及稳定性。
巨建华: 这个问题我觉得结合今天我看阿里云工程师的介绍,大家其实各个云厂商都有相应的方案。但不管怎么说,中国和海外都是目前区块链公司的这个业务目标所在的地区。所以我们觉得针对不同的地区,使用不同的服务商提供的基础设施去做相应的业务知识会比较有优势。
在一个区域性的市场。针对这样的问题,最好的办法是在软件架构相做一些升级。尽可能的能够将速递数据做一些本地化的工作,然后在数据本地化完成之后,这几页合集网络的优化应该能起到特别不错的效果。这也是我们一直以来都在使用的方式方法。
汪毅江: 我理解这个问题,是用户如何能够更好地访问区块链网络。这里单说公链的TPS问题。公链如果要进入大规模商业应用的环境,其TPS必然不能低。那么要提高TPS我们比较常见的方式,一则是缩短区块链网络出块的时间,二则是采用分片、侧链或者多链结构的方式,而这两种方式都会造成区块链网络安全的问题。于是高TPS和安全性就形成了一个矛盾关系,这也是区块链不可能三角的核心问题。
在我看来,企业如果要打造公链,必须要根据其应用场景因地制宜地平衡TPS和安全性之间的平衡,一方面在初始设计公链底层架构时即思考清楚其使用的场景的极限,TPS需要到什么样的量级,另一方面需要考虑安全性如何能够绝对保障。总而言之,先从应用场景考虑所有的设计框架。总而言之,先从应用场景考虑所有的设计框架。
Angelia: 我觉得在区块链领域,还可以通过云+区块链开放平台+底层联盟链来完成。利用联盟链的管理机制,可以建设全球的公共节点,把属于各方的云资源和数据中心链接起来。再提供开放平台,让开发者可以快速,便捷的接入这套基于联盟链的运行区块链应用的全球性公共基础设施。这套基础设施就可以根据用户的应用部署位置,访问者的位置,选择最近,最优的访问线路,保证全球用户访问丝般顺滑。并且新增的节点都需要经过联盟的授权,才可以接入。这样也保证了区块链平台的安全性。同时利用区块链分布式、去信任的特点,多节点同步备份,能保证书数据一旦存入系统就无法更改,也大大保证了数据的可靠性、可信性、可用性。
Benjamin: 其实,这个问题的答案特别简单:如何保证用户跨境高速稳定访问体验?当然是我们这些企业很幸运有AWS, 阿里云这样专业、优秀的合作伙伴可以信赖,专业的事情交给专业的伙伴,三件套,全球访问加速、高防、WAF,然后全球用户访问如丝般顺滑这个结果就自然而然了。
圆桌问题二: 安全对于每个领域来说都是至关重要的,但是这个概念很宽泛,如果从区块链应用场景来看,安全技术主要守护的是哪些方面?又是从哪些角度进行守护的?
元佑:
从区块链整体的产业链来看,其实我们可以简单把它归结为三层,第一层是基础设施层,里面主要包含了基础协议,硬件,服务这一部分的内容,
第二层是技术拓展层包含数据服务,数字钱包,智能合约等等这些内容,
第三层是行业的应用,包含金融行业的应用,医疗行业的应用,能源行业的应用,产权保护方面的一些应用等等。
基础设施上其实是区块链和安全是不可分离的。
另外一个角度来看我们区块链包含我们的前端和我们的后端,对于我们后端的服务来说,其实区块链本身因为它是区块链式的结构,所以对他的某一个节点进行攻击的难度其实比较大的。
前端我们的web应用/app,我们的应用中可能涉及到我们的业务流程,比如说我们的交易流程等等,这个涉及到业务整体安全架构的防护。
这块是可以跟传统安全防护结合起来的,比如网络大流量攻击的防护也是ddos,针对我前端的web或者是APP的防护也就是就是那个waf一类的服务,然后针对我网络的防护也是云防火墙,针对主机层面的防护是我们刚提到的云安全中心,然后针对我们的维护人员的安全,比如说数据的脱敏,堡垒机。
基础安全大家都有很多的防护手段,在自身业务层面建议多考虑一下,适度进行一些渗透测试和攻防演练。
巨建华: 如果单纯区块链技术的场景来看的话,就是抛开这个企业安全和我们安全这些因素。我觉得应该主要是在看待关于区块链相关部分本身的安全问题。比如说设计区块链的这种钱包资产。但是从这个区块链的底层开始,对吧。比如说从这个代码的安全审计,然后到这种协议设计共识的这种安全性。然后再到比如说整个区块链网络的包括像智能合约,然后像这个整个DApp的开发,这些都是跟区块链相关的方方面面。
目前在这个城是在怎么区块链应用的场景里面,实际上还会涉及到一部分。比如说像一些这种做就是资产的管理流通的这种平台就会涉及到。比如说虽然而部分是区块链的系统,但区块链系统特别是像资产钱包这类和中心化的这种管理平台又结合。这个时候中心化的这种业务平台和区块链结合的部分也会涉及到很多安全和风控方面的问题。这是这个时候跟传统安全就可以结合的比较紧密,就是首先要解决传统安全所面临的各种问题。其次才是而通过一些就是针对区块链应用场景的这种安全,然后做相关的这种风险控制和各种安全方面的加固、审计这些工作。所以相对于传统的安全来说,应用场景的安全实际上挑战是挺大的。然后我们也看到就是在区块链领域发生了这种安全事件数量以及安全事件受影响的这种业务规模也都全事件数量,以及安全事件受影响的这种业务规模也都比这个传统的安全问题要大的多。
所以综合来讲,就是区块链应用场景的业务安全实际上是一个全新的安全方向。他不仅要求有传统安全的相关的业务基础,同时也需要能够根据不同的区块链,包括不同的公链,不同的应用场景,甚至包括有不同的这种。第二是开发者所构建的一个应用本身的一些创新,然后带来的新安全问题进行针对性的,然后去防御和解决。比如说像我们都知道在前段时间deforce因为智能合约的漏洞就导致被盗,到时候好几百好几百美金的加密货币,但是然后幸好追回来了。但这里面给大家敲响的警钟,就是即使是在本身成熟代码经过审计的情况下,也有可能会因为这个不同的业务功能组合而不同的这种去中心化的业务功能,组合带来全新的风险就是一直都超出这个研发团队和整个业界的预期的安全问题。这些新的问题都没有办法用这种已有的经验然后去解决。发团队和整个业界的预期的安全问题。这些新的问题呢,都没有办法用。这种已有的经验,然后去解决,所以他需要这个更多的安全投入。
汪毅江: 这里主持人问到主要守护的有哪些点,我认为,值得注意的点大概有那么几个关键的地方:私钥管理安全、业务流程安全、智能合约与开源代码安全、还有随机数安全,区块链本质上决解的一个问题是反数据篡改以及数据可信,但有意思的是,区块链领域的企业却面临着严重的反数据篡改和确保数据可信的挑战。
Angelia: 我觉得区块链由各个节点组成,很大一部分是保护各个节点的安全。通常情况下,每个节点都是受信任的。如果节点被攻破了,在合规的方法下,正确的增加了”非法“的记录,那么整个区块链的安全性就不存在了。每个节点安全,其实都涉及链上和链下的安全。链上,比如节点部署的合约/应用安全、协议安全、51%攻击风险、区块链第三方公共库风险等等。链下,私钥安全,数据安全风险、系统安全风险,钓鱼等等。另外,针对整个行业,尽早形成区块链的安全标准也很重要。
Benjamin: 区块链应用,无论是利用区块链技术对传统业务的改进,有点像“区块链+”的概念,比如做存证、溯源、供应链管理甚至是跨境支付场景;还是一些公链项目,比如加密货币加密资产,或者DeFi。从一个安全从业者角度来理解,我觉得区块链应用场景下,安全的本质并没有发生大的变化,安全还是保护用户、保护公司数据和资产、保护公司品牌,安全技术也还是实现保密性、可用性和完整性。和金融或者互联网业务比较,我个人感觉,和巨总的观点类似,安全比较大的一个区别是区块链场景与链下结合时用户隐私保护更富有挑战性。这里面其实有一个很有意思的现象,就是隐私保护问题。大家都在意识层面认为区块链技术是保护用户隐私,也就是“更安全”,但实际上由于真实商业世界是多个很多环节的长链条、端到端的,链上这个环节用户可以是匿名的,但延伸到整个商业链条,由于众多中心化节点的存在再加上区块链技术的透明信任机制,用户在区块链应用场景下实际上隐私安全威胁或挑战更大。
圆桌问题三:
区块链本身便有着较高的安全属性,但依会有安全事故出现,原因是什么?根据以往的事故案例,您认为造成安全事故的原因是否全在企业或项目本身?如果不是,还会有哪些方面的因素呢?
元佑:
这个里面其实我们认为有几个层面的原因。
第一个层面我们看就是在这个区块链协议层面,就是协议层面的这种攻击。如果是说协议漏洞,或者是说在区块链的实现代码机制上存在相关的一些漏洞被利用造成这样的安全事故出现。这个的话就是我们需要依赖于协议自身的不断的增强,以及在这个代码安全开发。就是我们在建议是说在生产测试的过程中增加这个安全审计代码审计等等等等这样相关的一些安全流程。确保说我们在这个代码实现协议层面上具有这样的安全能力。
第二点就是说我们也看到相关的一些部分安全事件。比如说系统高可用能力不强,导致说这个出现了出现了可用性的问题。或者是说这个基础安全能力建设的不牢固,出现了被攻击的行为。这个层次的话就是我们今天讲的会比较清楚一些的,就是在这个基础安全能力建设上面需要进行相关的加固,来保障我们基础安全的能力。
再一个来讲的话,就是我们在这个传统安全里面经常讲到的是安全,要做到外防内控,对吧?这个内控的话,一般情况下就是我们讲对这个呃,比如说相关的一些区块链的业务系统对人员的权限如何去管理,对访问控制如何去管理这样这样的一些机制的话,就需要从这个管理层面,从这个技术层面进行相关的一些保障。
巨建华: 其实说区块链本身就很大的安全性啊,这个应该指的是在这种业务安全和信任方面。但是在这个技术安全方面,其实区块链本身可能会比一些中心化的系统。而风险还有大一些。因为其区块链系统本身它也是运行在大家都知道的,对吧,这个服务器硬件,然后包括现在的操作系统,甚至是在很多这个开源的软件库的基础上的。这些用来构建区块链系统的基础的这些硬件和软件,包括加密的算法,其实都构成了一个就是一个一个的安全风险。这些基础安全风险我认为是很大一部分。当这些基础的主键,基础的设施出现,这种突然爆发的这种问题的时候,那实际上对整个这种比较开放的区块链网络的影响,网络的影响。而是远远超过这种中心化的系统的。
在区块链场景下面,主要还是因为这些DAPP应用的开发者,我们看到的大多数的安全事故时,都来自于这些就是DApp或者说合约这一类的开发者。因为这类应用它实际上是依托于区块链的底层设施比较多,但区块链的底色是从比如说虚拟机。然后到这个整个协议,甚至包括说这个链本身的一些运行环境的因素影响比较大。而对于开发者来说啊,其实能够去作为这种上层的开发人员,实际上不一定能够说非常深入的能够理解说这每一个真合约的代码。在这个虚拟机层面执行的请这些指令被执行处理的层面会发生哪些不可控的因素。所以这是的因素,所以这是目前这个安全问题主要出现的地方。
另外就是说如假如现在大家把这种比如说像加密货币行业,如果你也为安全行业的话,这种实际上加密货币相关的,包括一些区块链资产管理相关的这些行业的公司。他其实本质上就会承受两种风险,一种风险是刚才都提到过的。比如说修炼本身的安全机制,比如说51%攻击,比如说如果节点人数太少或者就是节点被入侵。然后这些因素的攻击,还有就是这些企业自身的各种内网管理或者风控系统不完善,或者甚至为了服务用户的这些地道式的网络安全,各种南极劫持,都是这个安全频发的地方。也就是各种许可。另一一旦跟这种传统的系统结合所暴露出的安全问题会更加的严重。这是安全问题会更加的严重啊,这是目前我们认为这个风险主要发生的地方。
汪毅江: 为什么依然会有安全事故出现,是因为攻击者有利可图。抽象的看,信息安全是本质是安全对抗的攻防战,不管是传统领域还是区块链领域,是用钱对抗钱的问题,在区块链领域搞创新的很多企业和项目,可能并不能意识到安全问题的本质,所以这方面的投入是不足的。亦或者,企业项目本身也意识到安全的重要性,但是没有足够的力量支持打造安全的环境。事实上,当企业的项目体量已经足够大的时候,就应该需要认识到,项目已经让黑客感兴趣了,那么必须有道高一尺魔高一丈的反应,立即进一步加强安全的投入。
Angelia: 统计交易所的安全事故,大部分是属于:系统设计缺陷(业务逻辑漏洞导致,可以被恶意利用窃取资金)、钓鱼(冷钱包被盗、私钥被盗、用户名密码被盗)、假充值漏洞。其他还有SIM卡劫持、第三方js服务劫持、网络入侵等。已知攻击手法的EOS Dapp安全事故: 系统设计缺陷(随机数攻击,理论抽奖是随机的,但是随机因子是伪随机数、交易排挤攻击)、假eos、hard_fail 攻击、私钥被盗。当然其他的DApp,公链、钱包等等。也主要是这些问题。综合起来的话,最多的安全事故,是系统设计缺陷、钓鱼导致的私钥被盗、用户名密码被盗导致的。系统设计缺陷的原因主要在于交易所或项目本身,需要加强自己的系统设计方案的审核,还需要加上完备的风控机制。设定关键指标,对超过关键指标阈值的进行告警和暂停系统运行。其他方面的原因,需要企业和用户,加强自身安全意识,防范钓鱼攻击。比如邮件、收到的东西、客服。最近还有钓鱼是利用领英私信的。等等, 需要大家共同注意。
Benjamin: 安全事故肯定既有外部威胁导致的、也有内部软硬件故障导致的、或者同时兼有。对于安全事故,我从企业安全能力方面来说吧。区块链技术的应用和大部分业务场景发展还处于初级阶段,这就意味着从业人员经验、行业标准和积累都与传统金融行业无法相比,开发人员中能同时具备安全开发能力的比例足够高吗?答案是否定的,所以比传统行业的安全事故的概率可能就更高,更不要说“双花”、智能合约代码审计、密钥底层硬件工程等难题。具备区块链安全架构设计、产品开发和区块链事件安全紧急响应能力的从业人员也远远不够,安全能力也需提升。
圆桌问题四: 说起安全技术,大多数人想到是被动的防护手段,如同一面盾牌,那么安全技术能否主动出击,在恶意侵害事件发生前将其扼杀在摇篮里?能否举一两个案例?
元佑: 现在的话,一般我们能做到的就从几个维度上去展开。
第一个维度的话就是从管理的维度。首先要清楚就是就我们这边自己有什么对吧,就是我们存在的一些就是已知的问题。通过减少这方面的问题,去做好我们相关的资产资源,以及相关的一些漏洞的管理。发现问题的时候啊,我们及时去做这种修补。大部分的黑客的话,他其实没有这个挖掘漏洞的能力。
第二点的话就是我们要了解就是攻击方对对手的相关的一些入侵的入侵的手段要做到之比。刚才的话就是我们安全的专家,也是讲到了阿里云相关的威胁,狩猎的服务。通过蜜罐的话,我们可以了解到对手的相关的这个攻击方式。结合相关的一些威胁情报的这种模式。对这个攻击人的访问行为进行预判。阿里云的弹性安全网络的话,本身就是能够主动的分析终端和这个个人用户的一些行为。如果发现行为出现异常的时候啊,你把他关到小黑屋里面,避免对我们的系统造成出现异常的时候啊,你把他关到小黑屋里面,避免对我们的系统造成更大的一些风险。
这种模式,其实我们在这个游戏行业里面有用的会比较多一些。就是我们发现这个攻击方对游戏的登录。比如说就是装库攻击的时候,从后台又依赖于这个大数据分析的模型,可以定位到这个设备相关的一些id然后我们把他的这个流量引到一些相关特定的服务器上。比如把这个攻击方金地这样的一些行为。他的这个防护手段的话,就主动的去判断这些安全的攻击,说实话比较难一些。
巨建华: 如果针对地道实际上的攻击,其实很多时候对你会发现说你的攻击可能都来自于差不多。你能吃到了竞争对手,甚至通过一些攻击溯源啊,你是能够知道可能哪些竞争对手,然后再对你做攻击。我觉得假如这个攻击是来自于国内的话,实际上是可以通过这些通过你本地的公司,然后报警,然后去通过比如说这个网安这样的这样的这样的就是路径去解决的。但如果你要是说通过直接走低到失去攻击对方来主动性的实现这种防御呢,可能就被人戴上了一条歪路。这个中国的网络安全法,包括各个不同国家都有有可能会导致你自己反倒就是说络安全法,包括各个不同国家都有有可能会导致你自己反倒就是说陷入到这种法律风险里面去。
同时就是说一些安全类的技术,我觉得应该能实现一点,这样主动攻击类似的做法。比如说这种系统里的这种蜜罐,然后对吧,一些模拟的系统,然后不不是在系统内,然后通过这些蜜罐具体的服务来捕获到预期可能那个呃入不知情的入侵者。然后同时在去结合一些比如说这个溯源跟踪的这种方式,应该能够提前防止一些,甚至说提前消灭系统安全风险。
在目前说真的我们还没有看到过书把这种安全的隐患,然后通过主动出击的方式给消灭掉的。嗯,只有说通过一些风控一些完善的风控措施,来防止出现这种就是大规模的安全性的问题。或者说做好这个安全工作。很少有见到说这个,能够通过主动出击的方式,也没有目前也没有看到。
汪毅江: 主动出击的例子在我们领域很多,我们来讲一下以太坊智能合约漏洞方向的实践。对于智能合约漏洞,我觉得没有个人或者组织能够保证他能发现某个智能合约的全部问题,所以理论上,智能合约永远存在潜在安全问题。我们的实践经验是,我们虽然不能保证提前发现未知问题,但我们要做到当问题出现后,我们比别人发现问题更快,同时解决问题更快。 Angelia: 主动出击,我们现在基本上可以从两个方面去做,风控层面和技术架构层面。风控层面,建设风险情报系统。比如阿里云的蜜罐,引诱攻击者进行攻击。另外,我们现在也从区块链、开源分析,全面了解整体安全情况、及时感知目前的生态系统环境。提醒用户防诈骗、防木马。未来在这一块,也需要和更多优秀的第三方分析公司、全球执法机构、行业合作伙伴进行更紧密合作,提前发现诈骗、钓鱼、黑客等犯罪行为,实施有效打击。更具这些风险、威胁情报,我们也进一步建设了风控系统,对我们想要保护的资产,用户进行全面的风险评估,对不同风险值的用户,或数字资产进行分级保护。系统逻辑漏洞等导致的安全问题,都能通过风控系统及时发现。在技术架构层面,针对钓鱼攻击,已经有比较先进的js防御能在前端进行智能检测。比如用户浏览什么页面,不知不觉中了病毒,自动安装以后就成了肉鸡。现在在交易所站点,可以主动加入保护措施。动态识别IP、设置指纹、剪切板内容劫持、第三方恶意链接、截屏等危险操作。实现预警并阻断。保护企业、用户资产安全。另外,在数据存储本身,我们也可以选择安全存储方案、多签、双因子认证等,增加高攻击难度。安全技术主动出击的还挺多的,就不一一举例了。区块链安全是区块链系统稳定发展的基石。
Benjamin: 主动的安全防护一般都是些架构层面的安全设计,硬的方便比如零信任安全架构(含各种技术)、比如平台高可用方面今天阿里云专家分享的全球网络加速、高防等,软的方面就是企业的拥抱合规、行业自律甚至联盟、用户保险机制和安全生态建设等,比如All in云计算并和AWS、阿里云这样的优秀企业深度合作。
圆桌问题五: 目前,区块链行业正处于飞速发展的时期,安全技术在这一过程中起到了怎样的作用?说是护城河很好理解,但它是如何起到加速器的作用的?
元佑: 这个问题也比较宽泛,安全领域密码学相关技术为区块链出现奠定了基础,密码学的技术在区块链的应用中也不断的进化,保障我们用户基础数据的安全。从整体业务来看,一个是保障前端应用的安全、保障我们交易的安全,安全在里面起到了一个催化的作用,当我们的安全性得到越好的时候,我们更能够给生态提升信任,能为区块链提供一些更好的体验,带来正向反馈机制;所以从区块链起源到区块链发展,都离不开安全在其中的加速融合促进作用。
巨建华: 其实区块链业务本质就是就是互联网业务。如果说这个是互联网业务,他本身这个安全就是互联网最重要的一方面,如果没有安全,然后也就没有业务基础。因为这个区块链本身是要解决这种信任问题。如果他自身不是很安全的话,或者有老有安全问题的话,实际上会导致这个区块链本身就受到质疑,那就更难去解决这个所谓的信任问题。所以在这个区块那个行业的发展的过程中,安全是真正帮助整个行业成长的基础。这也是我们会发现说从这个加密货币或者区块链行业开始发展以来,很多专门予以区块链安全为基础的公司,然后开始蓬勃的成长,在国内跟国外都有很多家知名的专业的区块链安全公司。而这些安全公司的创始人大多数都来自于传统的安全行业。从这一点上其实是能够说明许可链行业对安全这个可链行业对安全这个市场的需求,对安全的需求。
汪毅江: 安全是区块链技术的第一核心要素,如果安全得不到保障,其高性能和去中心化的意义都没有基础,因此,植根于安全性的区块链网络,其发展会更为稳健,这即是护城河的意义。而安全性同时也是区块链项目发展的加速器,大量攻击行为会导致很多项目出现优胜劣汰,继而发生马太效应现象。比如一个区块链网络一旦出现了安全事故,可能不是开发者赶紧改BUA就能够说没事,这可能就意味着凝聚共识的基础丧失,甚至可能就此死掉,而经受住考验的区块链项目则会在此过程中吸引更多的共识,继而提高发展的效率,因此安全技术起到了加速的作用。
Angelia: 解决传统分布式网络中的一致性问题, 颠覆了依赖可信第三方实现大规模组织管理控制的传统技术架构,要知道传统的架构是非常耗时的,比如跨境支付,以前各种核算、汇款,确认,需要3天时间,现在只需要1分钟。并且依赖可信的安全区块链平台,能够快速实现跨境部署、全球化、吸纳海外用户、管理全球数据、资产。所以安全技术在区块链行业不仅起到了护城河的作用,也起到了加速器的作用。当然了,区块链安全本身也仍然有很多安全问题需要解决。区块链安全是区块链系统稳定发展的基石。只有基石足够好,上层业务,才能快速发展。
Benjamin: 我们做安全的,常有一个说法是安全职能价值体现三阶段:第一阶段不出大事或少出,第二阶段保护用户保护数据保护品牌(差不多护城河的意思),第三阶段为驱动业务(加速器?),做安全的,大家都想做到第三阶段,体现价值嘛。安全如何成为加速器,其实特别简单——只要安全解决的问题、提供的价值是用户真实的核心需求,不是伪需求、也不是隔层再隔层需求,那安全技术、安全职能就是组织的加速器,安全能力就是企业的核心能力。在区块链行业,安全就是用户的核心需求。
我个人有一个看法:以中国市场为例,未来十年,区块链是安全的主战场、或者最少是一个主战场。今时今日,既然身在主战场,我们区块链行业安全从业人员应该有这样的自信和担当:安全在企业内部成为业务加速器,就是一个常规操作。
币桃社区发起人、DISCTOP合伙人张星星:POC的共识是共识黑马
币桃社区发起人、DISCTOP合伙人张星星以《如何走上PoC快车道》为主题,从个人经历出发,分享了PoC共识发展的现状,创建币桃社区的历程以及他对PoC共识未来的发展态度。
BHD community、PoC community发起人张德涛: PoC未来会像PoW一样会出现千亿市值的项目
POC目前的生态如何?有什么优势?未来前景怎样?BHD community、PoC community的发起人张德涛以《新时代 新共识》为主题作了分享。
金色沙龙 | POC—共识机制下的硬盘挖矿前景
本期沙龙以“POC—共识机制下的硬盘挖矿前景”为主题,对硬盘挖矿的前景进行深入探讨。