區塊鏈發展對護城河與加速期-ODAILY_區塊鏈

由金色財經舉辦的“金色沙龍—全球應用安全加速”線上主題論壇于7月8日結束，此次大會圍繞著區塊鏈安全等相關主題展開討論。此次大會邀請了Bybit首席安全官Benjamin、阿里云高級架構師福威、HBTC創始人巨建華等相關領域的專家。

以下為Bybit首席安全官Benjamin回答回顧：

主持人：目前，區塊鏈行業正處于飛速發展的時期，如何保證區塊鏈資訊和業務平臺針對跨境用戶快速高效訪問，保障全球用戶訪問如絲般順滑呢？這也成為中國企業拓展出海業務的一大挑戰。

Benjamin：各位好，我是Bybit的Benjamin。我倒是事先準備了一點文字，但直接Paste總是不好，邊敲邊說。對于bybit來說是反過來的，我們不是出海，是進入中國市場，但背后的跨境用戶訪問挑戰是相同的。

其實，這個問題的答案特別簡單：如何保證用戶跨境高速穩定訪問體驗？當然是我們這些企業很幸運有AWS,阿里云這樣專業、優秀的合作伙伴可以信賴，專業的事情交給專業的伙伴，三件套，全球訪問加速、高防、WAF，然后全球用戶訪問如絲般順滑這個結果就自然而然了。當然，我們是阿里云的用戶、也就是說擁有阿里云頭寸，所以上述不作為選型建議哈。

廣州市人大代表丘育華：鼓勵中小企業“走入”區塊鏈:廣州市人大代表、廣州市華安達實業有限公司董事長丘育華在《關于推進廣州市區塊鏈產業發展，更好地為民營企業服務》的建議中表示，希望能夠將區塊鏈技術引入中小企業，助力其解決融資難問題。他表示，區塊鏈技術在金融領域、公共服務和實體經濟等領域均已落地應用，但很難普惠到中小企業中去。因此他建議鼓勵中小企業“走入”區塊鏈，通過區塊鏈技術獲得更多的資金流、物流、信息流上的新技術，從而進行企業本身的經營改革和適應當下經濟環境的整體轉型升級。[2020/6/5]

安全對于每個領域來說都是至關重要的，但是這個概念很寬泛，如果從區塊鏈應用場景來看，安全技術主要守護的是哪些方面？又是從哪些角度進行守護的？

主持人：區塊鏈應用，無論是利用區塊鏈技術對傳統業務的改進，有點像“區塊鏈+”的概念，比如做存證、溯源、供應鏈管理甚至是跨境支付場景；還是一些公鏈項目，比如加密貨幣加密資產，或者DeFi。

動態 | 360提出大安全戰略，嘗試融合區塊鏈等前沿技術:金色財經報道，10月28日，360 IoT安防戰略升級暨新品發布會在深圳舉行，備受關注的360家庭安全大腦正式發布。360 IoT家庭安防業務負責人宗良表示，在5G技術落地應用、萬物互聯大勢所趨的當下，360公司敏銳地覺察到網絡安全的形勢正發生翻天覆地的變化，舊的安防理念日漸失效，新的網絡威脅無孔不入。基于這一嚴峻形勢，360公司提出了以網絡安全大腦、城市安全大腦和家庭安全大腦為核心的大安全戰略，嘗試融合移動通信、人工智能、區塊鏈、云計算、邊緣計算和大數據等前沿技術，守衛國家、城市和家庭的安全。[2019/11/30]

Benjamin：從一個安全從業者角度來理解，我覺得區塊鏈應用場景下，安全的本質并沒有發生大的變化，安全還是保護用戶、保護公司數據和資產、保護公司品牌，安全技術也還是實現保密性、可用性和完整性。和金融或者互聯網業務比較，我個人感覺，和巨總的觀點類似，安全比較大的一個區別是區塊鏈場景與鏈下結合時用戶隱私保護更富有挑戰性。

動態 | 蔡弋戈正式出任騰訊虛擬銀行區塊鏈總經理:原騰訊區塊鏈業務總經理蔡弋戈正式出任騰訊虛擬銀行區塊鏈總經理。在任期內，蔡弋戈帶領騰訊區塊鏈團隊，積極推動區塊鏈底層技術的研發，并在電子發票、供應鏈金融、法務存證、游戲等領域實現商業應用。其中區塊鏈發票在深圳云南多地開花，多場景多行業接入，取得了1000萬張以上開票量的不菲成績，在業內廣為傳播，建立了業界對騰訊區塊鏈的品牌認知。本次職務變動并非空穴來風，在11月8日舉行的“2019世界區塊鏈大會·烏鎮”上，蔡弋戈便透露，騰訊已獲得由香港金融管理局授予的虛擬銀行牌照，并正在籌備虛擬銀行區塊鏈項目。目前，騰訊在供應鏈金融、提升資產與資金配置效率方面已經有數字資產實踐。本次的變動，體現了騰訊對香港虛擬銀行新戰場的重視，基于騰訊香港虛擬銀行平臺，在蔡弋戈的帶領下，相信騰訊的區塊鏈業務版圖會有新一番的突破。（巴比特）[2019/11/15]

這里面其實有一個很有意思的現象，就是隱私保護問題。大家都在意識層面認為區塊鏈技術是保護用戶隱私，也就是“更安全”，但實際上由于真實商業世界是多個很多環節的長鏈條、端到端的，鏈上這個環節用戶可以是匿名的，但延伸到整個商業鏈條，由于眾多中心化節點的存在再加上區塊鏈技術的透明信任機制，用戶在區塊鏈應用場景下實際上隱私安全威脅或挑戰更大。

聲音 | 清華教授何平：區塊鏈技術讓數據產生價值要先解決三個問題:清華大學經管學院教授何平日前在接受采訪時表示，區塊鏈作為一門技術，并不能夠直接解決問題，其關鍵在于把數據的價值利用起來。讓數據更有效率的服務于業務本身。但要達到讓數據產生價值的目的，必須先要解決三個問題：其一，如何保證數據產生時的真實性；其二，數據的流通過程中如何保證數據的安全和隱私；其三，數據產生的價值如何再分配給生產者。只有解決了這些問題，才能利用數據產生的價值提出具體的行業解決方案。他認為區塊鏈技術還處于不斷完善的階段，產學研融合是其中的重要一環。[2019/5/13]

舉個例子，假設有一天人人使用加密貨幣來做支付，可以設想一下我今天在某個寫字樓用自己的錢包花比特幣買了一杯星巴克，傳統商業場景下想要獲得這個用戶“誰在哪里花了多少錢買了什么”的隱私是很難的——因為你很難黑進銀行的結算系統。在加密貨幣場景，很可能黑客只需要黑掉大樓的攝像頭視頻監控系統，再結合星巴克在鏈上的錢包標簽和錢包或個人的交易地址標簽，直接讀區塊鏈上公開的交易明細，識別出那些Tx是和這個地址相關，進而分析出具體是誰在哪里買過什么……與傳統的封閉的以銀行為核心的支付體系相比，區塊鏈應用場景下保護用戶隱私實際是更難了。

浙江農林大學張永亮：監管理念應跟上區塊鏈等技術帶來的金融科技的發展:5月14日，浙江農林大學法政學院副教授張永亮發表文章《推進金融科技監管法治化》，文中指出，大數據、云計算、人工智能和區塊鏈等技術為金融科技帶來了突破性金融創新，但隨著金融科技的快速發展，監管理念急需適時調整。信息科技時代，金融監管理念應從過往的“機械式”監管思維轉向“大數據”監管思維。[2018/5/14]

和大家匯報一下最近我們的關注點，就是隱私安全方面的技術，知道我們阿里是MPC聯盟成員，據我所知，MPC聯盟是一個由國際頂尖密碼技術企業組成的聯盟，目前國內好像就兩家企業，阿里和PlatON。所以需要向阿里專家學習的地方有很多。

主持人：下一個問題是區塊鏈本身便有著較高的安全屬性，但依會有安全事故出現，原因是什么？根據以往的事故案例，您認為造成安全事故的原因是否全在企業或項目本身？如果不是，還會有哪些方面的因素呢？

Benjamin：安全事故肯定既有外部威脅導致的、也有內部軟硬件故障導致的、或者同時兼有。安全事故是否全在企業項目本身，說“全是”肯定絕對了，應該casebycase來談。但，毋庸諱言，相比較區塊鏈對安全的要求而言，區塊鏈企業的安全能力是亟待提升的。對于安全事故，我從企業安全能力方面來說吧。

區塊鏈技術的應用和大部分業務場景發展還處于初級階段，這就意味著從業人員經驗、行業標準和積累都與傳統金融行業無法相比，比如一些公鏈項目底層、智能合約開發就是相對較新的技術。都說codeislaw，那創造code的代碼開發人員對law的理解有多深？開發人員中能同時具備安全開發能力的比例足夠高嗎？答案是否定的，所以比傳統行業的安全事故的概率可能就更高，更不要說“雙花”、智能合約代碼審計、密鑰底層硬件工程等難題。

比如，十五年甚至十年前，互聯網應用的溢出漏洞、跨站和注入比比皆是，但現在盡管仍然是owasptop10,但實際上能被黑客利用一鍵擊穿的漏洞就少了很多很多。類比，具備區塊鏈安全架構設計、產品開發和區塊鏈事件安全緊急響應能力的從業人員也遠遠不夠，安全能力也需提升。

說起安全技術，大多數人想到是被動的防護手段，如同一面盾牌，那么安全技術能否主動出擊，在惡意侵害事件發生前將其扼殺在搖籃里？能否舉一兩個案例？

如果純從字面意義，主動出擊的具體安全技術，我聽大家說了這么久還是不太確定，實際上我也不太相信有這樣的技術、如果有那肯定也成本高到安全主管用不起。當然如果是說阻止安全event事態惡化成incident的技術，那就太多了，就是傳統安全的“事前事中事后“的事前和事中嘛，剛才@毅江提的智能合約安全、@Angelia提到的動態識別IP指紋等業務安全風控技術就是，各種安全架構設計比如零信任架構、態勢感知、AI安全技術等等，我覺得都算是。

說主動的安全防護機制，我倒想和大家分享一點想法。主動的安全防護一般都是些架構層面的安全設計，硬的方便比如零信任安全架構、比如平臺高可用方面今天阿里云專家分享的全球網絡加速、高防等，軟的方面就是企業的擁抱合規、行業自律甚至聯盟、用戶保險機制和安全生態建設等，比如Allin云計算并和AWS、阿里云這樣的優秀企業深度合作

主持人：目前，區塊鏈行業正處于飛速發展的時期，安全技術在這一過程中起到了怎樣的作用？說是護城河很好理解，但它是如何起到加速器的作用的？

Benjamin：我們做安全的，常有一個說法是安全職能價值體現三階段：第一階段不出大事或少出，第二階段保護用戶保護數據保護品牌，第三階段為驅動業務，做安全的，大家都想做到第三階段，體現價值嘛。

其實，我覺得自己能做區塊鏈行業安全工作，是很幸運的一件事，原因很簡單，區塊鏈可能是目前所有行業中、安全最有機會在企業中起到加速器作用的行業。開個玩笑，看看我們這次參加研討會的嘉賓，就有兩位是CSO，我以前在其它行業做安全參加活動的時候，都是叫安全總監、安全負責人的。安全如何成為加速器，其實特別簡單——只要安全解決的問題、提供的價值是用戶真實的核心需求，不是偽需求、也不是隔層再隔層需求，那安全技術、安全職能就是組織的加速器，安全能力就是企業的核心能力。在區塊鏈行業，安全就是用戶的核心需求。

我個人有一個看法：以中國市場為例，未來十年，區塊鏈是安全的主戰場、或者最少是一個主戰場。如果說過去十年安全的主戰場，毫無疑問是互聯網，因為互聯網的安全風險最高、安全需求最強烈、安全人員的能力總體上是最高的——當然收入也是最高的，比方說，阿里騰訊這類互聯網企業的安全人員收入就是行業最高嘛。再往前十年，安全的主戰場可能是金融行業或者對知識產權特別敏感的企業。

今時今日，既然身在主戰場，我們區塊鏈行業安全從業人員應該有這樣的自信和擔當：安全在企業內部成為業務加速器，就是一個常規操作。

面對飛速發展的行業現狀，再新興的行業也要十分重視安全防范意識。感謝Bybit首席安全官Benjamin給我們的分享。

Tags：區塊鏈ENJBENJAMIN區塊鏈工程專業學什么課程好enjin-coinBENJA幣gemini女朋友染染照片

幣安下載