这个主题之前乱写了一点。在又经过数周的学习后,重新整理一下。
首先,正如2008年云计算的落地为信息安全产业带来的新的机会一样。这些年,区块链带来了新的计算环境,新的生产环境。这意味着区块链的落地也将为信息安全产业带来了新的增长空间。
区块链领域可以简单的分为下面几层:
应用层:钱包,交易所,DApp
智能合约层:VM/Solidity/Javascript
链层:激励层/共知层/网络层/数据层都算做链层。
在链层上,节点是链层里最主要的参予角色。所以,节点对安全保护有较多的需求。节点需要:
主机防护(这个是传统的通用安全)
防火墙(这个也是传统的通用安全)
节点运行状态监护(这个就是业务层了)
在智能合约层上,智能合约和VM里这一层的主要参予角色,可能的需求有:
合约代码的安全审计
合约运行监护
在应用层,用户,交易所,DApp(去中心化应用)有不同的需求:
用户:安全的钱包。(传统的安全公司开发钱包是一个优势)
交易所:恶意帐户分析,建立帐户动态情况追踪。总之,就是一个区块链交易预警平台。这个平台甚至可以也以区块链的方式建立起来。供全行业共享。这个应该是风控领域的。
DApp:这个需求还不是很明确。因为DApp还在发展中。2018年会是它的爆发期。以当前 DApp的架构,主要还是其中心化服务器的保护,基本类似于Web防护。
最近有机会与多位朋友讨论这个主题,归纳和补充一些新的想法:
区块链安全的主要需求是合约代码的审计。因为智能合约漏洞会带来的巨大损失,TheDAO, MBC, EDU。其实,当前智能合约的复杂度并不高,甲方应做好代码审查,并在智能合约放入熔断机制。在这个需求上,乙方主要是提供人力智力服务。
扩展一点,也许可以开发合约运行监护产品,建立某种模式来判断合约运行是否出现异常。这个应该是可以产品化的。
对于区块链安全,当前还是应当保持观注。等待机会,寻找合适的切入点。对于公司,应该:
1. 保持对区块链发展的跟踪,建立与链圈的交流,定期在公司内部进行技术分析。
2. 成立0day小组,对区块链的链层代码,合约层进行代码审计,挖掘漏洞。建立媒体关系,定期发布相关报告,建立公司在区块链领域的技术形象。
3. 在1,2的进展过程中,一旦发现 可以产品化的 用户痛点需求, 立刻将前期的积累转化为产品。
网友评论