圖片來源:Thinkstock區塊鏈已經成為科技界的新寵兒,而企業級區塊鏈是其中的一種形式。企業級區塊鏈利用加密技術保證機構之間交易和數據記錄的一致性與安全性。這一突破性技術,引發了各行業的創新和研發。僅在過去一年,IBM就建立了700多個企業級區塊鏈。與此同時,為了保證數據安全,越來越多的公司希望布局區塊鏈。目前基于區塊鏈的安全工具市場才剛剛興起,公司可以對區塊鏈技術有各種設想。在投資企業級區塊鏈之前需要考慮的第一件事是:如何保證企業級區塊鏈平臺和應用程序的安全?本文作者BrettValentine介紹了企業級區塊鏈平臺、平臺及應用程序組件的組成特征,并建議公司對企業級區塊鏈供應商、平臺及應用程序進行全面的安全評估。enjoy~什么是企業級區塊鏈平臺
首先,企業級區塊鏈平臺通常包括:?\t同意共享該平臺的機構網絡;?\t作為網絡成員的機構,對數據和交易擁有不同級別的權限;?\t該平臺的結構,包括所有管理區塊鏈、平臺功能和用例的共享系統、基礎設施和應用程序;?\t與平臺進行交互并影響區塊鏈數據的應用程序;?\t區塊鏈數據,包括儲存在區塊鏈的信息和提供給官方機構成員的數據元素;?\t一個創建并可能托管區塊鏈平臺的供應商。
Coinbase將在未來幾個月內逐步關閉貸款業務Coinbase Borrow:金色財經報道,一位Coinbase發言人對CoinDesk表示,Coinbase將在未來幾個月內逐步關閉貸款業務Coinbase Borrow,因為該公司將資源集中在客戶最關心的產品上。Coinbase Borrow是一個允許客戶以其持有的比特幣獲得最多100萬美元法定貸款的計劃,通過該計劃持有貸款的客戶必須在2023年11月20日之前償還任何未償還的貸款余額。
Coinbase曾在5月份宣布,作為重新評估其產品的常規流程的一部分,不再允許向Coinbase Borrow客戶發放新貸款。[2023/7/21 11:08:20]
IBM區塊鏈網絡應用,圖片來源:SecurityIntelligence企業級區塊鏈平臺提供商通常基于云計算技術提供動態可擴展性、中立性和一致的訪問路徑。因此,平臺的組件和安全性通常是黑箱,但這并不意味著安全性得到保證。在選擇平臺供應商并加入區塊鏈網絡之前,一個機構必須完成大量的法律審查,并進行跨網絡信任、治理和技術審查。所有評估都需要包括安全因素。一些供應商的企業級區塊鏈包括終端用戶使用的應用程序,而其他平臺只是通過應用編程接口對外公開的系統。無論是哪個類型,都需要對這些應用程序進行安全控制。每個組件必須遵守和利用那些保證業務連續性和運營效率的公司政策、標準、流程和技術。為了建立跨網絡信任,成員機構需要共享并執行相同的應用安全控制信息。區塊鏈平臺和應用程序組件的特征
Yearn社區發起推出yETH代幣的提案,當前民意投票中反對票占優:4月14日消息,DeFi收益聚合器Yearn Finance社區近日發起推出yETH代幣的提案,根據該提案,Yearn ETH (yETH) 是在用戶存入一籃子各種ETH流動性質押代幣時生成的。yETH 可以回收存入的價值,并在質押時通過LSD的多樣化獲得相關的以太坊PoS質押獎勵,并獲得更混合的風險/回報。
該提案目前正處于討論階段。根據投票規則,它將通過不具約束力的論壇投票進行至少3天的討論以衡量情緒,然后才能為其分配YIP編號并轉移到快照以供veYFI持有人進行有約束力的投票.不過,在當前的民意調查中,已有20人投票,其中11人投了反對票。民意調查將再持續三天。[2023/4/14 14:03:50]
成員機構可能無法了解企業級區塊鏈平臺的底層組件。除非機構自行開發區塊鏈平臺,否則無法深入了解這項技術。假設企業級區塊鏈平臺包含如下所示的組件,這些是企業級應用程序中的典型組件。
IBM區塊鏈網絡平臺,圖片來源:SecurityIntelligence企業級區塊鏈擁有一個“秘密武器”——Fabric結構代碼。該代碼定義了每個成員必須使用區塊鏈的數據結構、功能和能力。在某種程度上,Fabric可以標準化;但是,目前的Fabric都是為網絡定制的。類似地,與平臺交互的應用程序使用的是大家熟悉的體系結構組件。業務邏輯和功能體現在應用程序代碼和配置信息中。由于每個成員機構的區塊鏈應用程序可能由機構單獨創建并管理,他們應該可以完全控制其應用程序及組件。
科技巨頭收縮元宇宙業務 虛擬房產價格暴跌:金色財經報道,此前在科技界炙手可熱的元宇宙已經“失寵”。迪士尼將取消其元宇宙部門,微軟關閉了2017年收購的一個社交虛擬現實平臺,而將Facebook更名為Meta以示對元宇宙的重視的扎克伯格,在上個月的財報電話會議上表示,他更關注人工智能。與此同時,虛擬房產的價格也大幅下跌。追蹤元世界土地銷售的網站WeMeta的數據顯示,Decentraland的土地銷售價格中值比一年前下降了近90%,從45美元/平方米降至5美元/平方米。(華爾街日報)[2023/3/29 13:33:16]
IBM區塊鏈應用平臺,圖片來源:SecurityIntelligenceBrettValentine表示,作為安全專家,我們關心平臺和應用程序每個組件的安全性,尤其是Fabric結構和應用程序代碼的編碼實踐。因此,需要應用盡可能多的公司安全策略和工具來實現一致性和運營效率。如何選擇和驗證供應商
表面上看,企業級區塊鏈網絡包括其他成員公司。而實際上,最重要的非官方成員是區塊鏈供應商。公司都有評估供應商的政策和程序,但通常只是例行公事就能通過的評估。鑒于企業級區塊鏈的敏感性和影響,需要更加全面地進行評估。簡單的征求建議書(RFP)是不夠的——第三方安全審計報告只是一個開始。評估還應考慮:?\t公司的規模和聲譽;?\t平臺中每個組件的安全性;?\t網絡中每個成員的安全級別;?\t區塊鏈敏感數據的最小存儲方式;?\t適當的數據生命周期管理,如創建、管理、驗證、加密和銷毀;?\t量子加密及技術,以確保隨著量子計算成為主流,區塊鏈未來不會被解密或破壞;?\t隨著區塊鏈規模的增長,平臺的增長能力和性能保證;?\t平臺的可用性、正常運行時間和災難恢復能力;?\t組件修復和維護流程;?\t供應商內部和網絡成員之間的特權訪問控制以及RACI模型;?\t供應商內部和網絡成員之間的業務和支持活動的RACI模型;?\t密碼管理的可靠性;?\t證明交易完整性的測試。隨著時間的推移,企業級區塊鏈的市場領導者將會崛起,其安全性也將得到證實——就像過去幾十年云技術提供商的情況一樣。而在此之前,機構必須在投資區塊鏈供應商之前自己進行全面評估。如何對區塊鏈平臺進行安全評估
德意志銀行:將Block的目標價格從155美元降至95美元,維持買入評級:10月6日消息,德意志銀行分析師Bryan Keane在一份研究報告中告訴投資者,最近幾個月,Block在連接其三個主要的生態系統,即Square、Cash App和Afterpay方面不斷取得進展。該分析師認為,最大的機會來自于將Cash App Pay的接受范圍擴大到更多的商戶,從而創造出另一個廣泛使用的數字錢包,其功能類似于支付寶或微信。他稱Cash App Pay是“潛在的沉睡巨”。Keane稱,Cash App Pay的加入可能會使Cash App的毛利潤增長率每年遠遠超過20%。[2022/10/6 18:40:47]
評估供應商的安全狀況后,下一個主要任務是評估平臺本身。這個步驟實際上是對供應商評估的擴展,但是需要其他成員機構的參與和同意。法律和合同必須通過合同來定義企業級區塊鏈平臺、網絡和結構的各個方面。當然,安全必須是其中一個重要部分,也可能是最難實施的評估因素,因為必須所有成員都同意。更多的成員意味著更長時間的法律審查和更多的紅線。這個評估的一個重要因素是責任,每個公司可能都有不同的法律部門要求。因此,需要明確規定每個成員和供應商在發生安全違規或違約事件時的責任。功能用例從定義用例開始,通過合同的形式與供應商進行詳細規定。通常包括創建交易、批準交易、查找數據和其他業務功能。每個用例定義應該包含安全活動和組件交互,例如多因素身份驗證(MFA)、驗證批準交易的權利、加密和解密以及API安全性。網絡治理成員通常會進行自我管理,而供應商很少參與。理解每個成員的角色很重要,在成員機構中擁有權威的個人、把控活動節奏、解決爭端、成員之間進行報告以及許多其他領域扮演的角色。換句話說,機構應該對成員和區塊鏈供應商采用一致的安全計劃。基于云技術的安全控制云安全聯盟(CSA)和類似機構的安全框架是評估區塊鏈平臺的良好基礎。雖然全面了解平臺組件是很好的事情,但大多數供應商不會透露他們的知識產權。因此,成員機構必須提出問題,并且盡可能地進行量化和定性。CSA提供了一個很好的框架,可以幫助公司尋求詳細的答案。共享操作區塊鏈供應商可能會進行技術層面的托管和維護,但是成員們也需要執行特定的操作任務。從服務器操作系統加固到區塊鏈數據驗證,機構必須定義所有任務。安全操作和控制需要許多或所有成員的參與,例如滾動加密密鑰、定期滲透測試、事件響應和取證以及補丁修復和配置管理。數據所有權最佳做法是避免在區塊鏈存儲敏感數據,只上傳共享和參考信息。這種策略可以讓區塊鏈的規模可控,同時保持盡可能高的性能。這也意味著數據在權威機構之間分發。因此,必須定義并寫明哪些成員擁有每個數據元素,如何訪問或驗證,誰可以訪問以及所有者如何保護它。當多個成員在不同條件下對同一數據元素具有權威性時,這一點就尤其復雜。如果存儲個人驗證信息(PII),還會受到《通用數據保護條例》(GDPR)要求的影響。對其他成員進行安全測試其他成員的安全是在網絡中建立信任的重要組成部分。所以,每年必須對所有成員使用的應用程序進行第三方安全測試,并將結果公布給所有其他成員。如何保護區塊鏈應用程序的安全
傳大型投行爆雷 市場猜測主角為百年銀行巨頭瑞信:10月2日消息,百年銀行巨頭瑞士信貸爆雷傳言在本周末發酵。ABC新聞記者表示,有“可靠消息”稱一家大型國際投行處于危機邊緣。不少人猜測這家大型投資銀行就是瑞士信貸,此前該行就在Archegos爆倉風波中蒙受巨虧,股價一路下跌。福克斯財經頻道記者表示,瑞信CEO一直在與主要機構投資者會面,這些投資者擔心公司財務基礎不穩固,CEO向他們保證瑞信有強大的資本、流動性。一位大投資者表示,瑞信的銀行和財富管理平臺很有價值,但是投行業務就像是災難,公司CDS的交易情況簡直就像雷曼時刻即將到來一樣。但就在本周五,瑞信CEO曾向員工發出備忘錄,稱“相信員工不會混淆公司日常股價表現與實際擁有的強大資本基礎和流動性。(金十)[2022/10/2 18:37:38]
假設每個企業級區塊鏈的應用程序由成員單獨管理,那么就更容易控制其安全性。一般來說,保護這些程序需要特別關注以下領域:實施公司安全標準和系統應使用所有公司政策、標準和通用安全平臺,從而保證一致性、可靠性、熟悉度和運營效率。例如,企業標準身份和訪問管理工具應該用于身份驗證、MFA、訪問控制和身份數據存儲。同樣,應該使用安全軟件開發生命周期和應用程序掃描工具來確保代碼開發和部署的安全性。如果公司沒有針對所使用技術的集成模式或特定安全策略,那就趁此機會創建。假設最高等級的風險分類數據假設區塊鏈將管理最高等級的風險分類數據。即使你的成員機構可能無法管理或訪問機密信息,而其他成員或許可以。假設最高等級的風險分類數據也表明對其他成員的安全承諾,從而在網絡中建立信任。執行MFA人類通常是安全中最薄弱的環節,而MFA有助于對抗這種風險。MFA已經成為云計算應用的事實標準,也應該應用到區塊鏈領域。因為區塊鏈具備分布式的特性,而數據具有潛在敏感性,并且有必要與其他成員逐漸培養信任。保證身份識別API的安全性大多數區塊鏈依賴API,并且在未來還會繼續。API安全最佳實踐包括每個API調用關聯用戶標識和會話信息。這也應該是區塊鏈應用程序的標準做法,因為它提供了審計跟蹤,并且允許實行功能級權利。執行最強加密密鑰管理確保你的機構擁有強大可靠的密鑰管理系統。區塊鏈基于加密數據的使用,而區塊鏈網絡可能包含成百上千的加密密鑰。手動管理這些密鑰需要花費大量精力,但是保護數據和成員機構的安全至關重要。關聯安全事件成員應該盡可能透明地共享安全事件信息。保密協議(NDA)應允許成員傳遞安全事故的司法鑒定信息。雖然可能很難共享一個安全信息和事件管理(SIEM)系統,但是應該建立安全事件饋送,通過平臺向成員傳輸信息,并且成員之間提供選定的事件信息。企業級區塊鏈的前景
企業級區塊鏈的未來將會如何?如果能夠正確地實施,企業級區塊鏈具有優勢和能力來統一和保護不同機構之間的交易。但是,在市場建立并廣泛遵循安全標準之前,企業需要全面評估區塊鏈供應商的安全狀況,并評估自己的技術基礎設施與區塊鏈平臺集成的能力。
Tags:區塊鏈OINCOINCOI區塊鏈dapp開發合法嗎NekocoinBitcoin Planetkpaycoin
本文來自鏈塔智庫,作者:鏈塔分析師團隊,星球日報經授權發布。前言截止到2018年8月27日,我國今年公開的區塊鏈專利數量已經達到了1065件,剔除外國公司在我國申請的專利數量,本土公司、單位、個.
1900/1/1 0:00:00當前,我們每天通過手機完成社交、閱讀資訊、訂餐、打車、網購、理財、工作等需求,有數據統計,中國人平均花費在手機上的時間達3小時,位居全球第2位.
1900/1/1 0:00:00當一個平臺可以實現各種公鏈、數字資產的價值轉換和交易,你會感興趣嗎?Odaily星球日報日前接觸到的FUSION團隊正在打造一個區塊鏈金融基礎平臺,彌補現有區塊鏈上的價值資產難以互聯互通的缺陷.
1900/1/1 0:00:00雖然區塊鏈技術進入“2.5時代”,卻依然沒誕生出“大眾級應用”。Odaily星球日報近期接觸的日本區塊鏈服務商Wowoo認為,最有機會改變這一現狀的,也許是已經有落地應用和用戶基礎的大公司.
1900/1/1 0:00:00據Newsbtc8月6日報道,英國巴克萊銀行近日創建了數字資產項目,主要研究如何快速進入數字貨幣市場.
1900/1/1 0:00:00本文來自:區塊律動,作者:袁煜明,經區塊律動整理,星球日報經授權轉發。此文是火幣區塊鏈研究院院長,前國內投行TMT一哥袁煜明,在清華大學的演講內容。本文將其稍作整理,在此分享.
1900/1/1 0:00:00