当网络安全遇到区块链:一种基于风险管理的区块链应用程序开发方法
现实情况是:区块链技术必须应对诸多技术、治理和法规挑战,才能满足公有和私有领域的计划需求。尽管它能利用其不可变的分布式账本帮助业务交易进行转型,但在区块链获得广泛采用之前,有许多问题需要解决。其中一个问题是保护区块链应用程序。
在本文中,我将介绍如何为区块链提供安全保证,将网络安全原则和企业风险管理与许可网络上的区块链应用程序开发紧密相结合。我还将介绍如何使用 IBM Blockchain Platform 构建跨多个学科的创新性网络安全解决方案和服务。
治理与智能合约管理
在一个先发制人的时代,所有行业的机构都承担不起忽视颠覆性技术的后果。区块链的分布式账本就是这样一种颠覆性技术的最好示例。它们支持跨不同的复杂生态系统和流程来共享单一事实版本。这带来了共享业务价值、更低的成本、更小的风险,以及全新的业务模式。
随着区块链技术显著扩大了新成员进入全球市场的通道,保护交易对区块链采用至关重要。事实证明,用传统方法管理风险和维护安全性不足以解决安全问题。尽管区块链应用程序目前已取得诸多成绩,但它们不是针对区块链技术本身,而是针对智能合约(代码中定义的业务逻辑,旨在简化、验证或执行合约谈判)和区块链网络边缘上的应用程序。
区块链网络安全保证
随着区块链应用程序、接口和智能合约的复杂性的增加,区块链应用程序面临的风险也在增加。因此,需要由精通战略、治理、法规和合规性流程的网络安全专业人员,制定全面的风险管理和网络安全保证计划。
区块链应用程序开发人员与开发运营 (DevOps) 团队必须考虑他们是否有恰当的工具来实现安全和隐私合规性。整个行业必须审视安全形势,识别安全风险,开发威胁建模工具,建立加固安全状态的路线图,并部署技术来减轻风险。
让我们看看一个区块链网络安全保证模型,该模型将会根据特定于领域的风险防御方法和网络安全实现最佳实践来解决区块链风险:
该模型中的关键元素:
智能合约治理和风险评估:
依据网络安全方法和 NIST(美国国家标准技术局)风险管理框架,针对区块链应用程序和生态系统 DevOps 来定义和调整安全计划。
数据安全和隐私评估:
分析区块链应用程序数据集,以便了解法律、政策和法规问题、链上和链下设计考虑因素、责任,以及可行性问题。
密钥管理:
实现公钥基础架构和相关的密钥生命周期管理服务,包括证书撤销、生成和销毁。
区块链应用程序威胁建模和安全编码评估:
分析区块链网络参与者的生态系统设计,并保护微服务。评估服务间的安全性、应用编程接口、访问控制,以及业务伙伴协议。
运营一个区块链业务网络的证书、资格证明和授权:
理解和应用基于风险的程序来评估、描述、备案、测试和创作区块链应用程序和业务网络。
区块链网络安全智能和运营
持续监视、检测、分析、诊断和减轻威胁,洞察区块链威胁的敞口并预防事故的发生。
事故响应
制定一个关于事故响应的编排计划,有效地调动人员、流程和技术力量,响应和修复企业区块链应用程序中机密性、完整性和可用性的安全漏洞。
作者简介
Adewale Omoniyi: IBM 全球企业咨询服务部公共服务分部的网络安全与生物统计学 (C&B) 服务领域高级咨询经理,以及网络安全和区块链技术解决方案架构师。他目前是 IBM GBS 联邦医疗网络安全主管,兼 GBS 网络安全公共服务分部区块链主管。他获得了纽约大学的战略与全球业务专业的高级工商管理硕士 (MBA) 学位。他拥有天普大学的管理与信息系统专业的工商管理学士 (BBA) 学位。他还获得了 CISSP、CISM、CRISC 网络安全认证。
Shue-Jane Thompson 博士: IBM 全球企业咨询服务部公共服务分部的网络安全与生物统计学 (C&B) 服务领域的副总裁兼合伙人。她负责监督对美国国防部、英特尔、联邦、州和地方客户的 C&B 相关技术创新、解决方案工程设计和服务交付,领导着数百位高素质的安全专业人员,为美国顶级机构提供先进的网络功能来帮助执行任务。她在商业、政府、国际技术和业务管理方面拥有 30 多年的经验。