你的位置:两化动态

区块链带来3个管理问题

2020-02-11

从比特币(Bitcoin)兴起以来,作为它的账本系统,区块链技术也逐渐受到重视。区块链透过点对点网络架构(P2Ppeer-to-peer),实现了一个去中心化的系统(透过集体维护,使区块链内的数据更可靠),并有不易窜改纪录、低成本等优势,在记录数据上,更敏捷、安全,各大企业、政府都开始找寻适合的应用领域。

有机构调查各国企业高管对区块链的看法,2018年有74%的人指出,已经见识到“有说服力的商业案例”;34%的受访者说,公司开始建立区块链应用系统。到了2019年,高达81%的受访者表示,他们正运用区块链系统取代既有的数据纪录系统。

例如,20194月瑞士雀巢公司(Nestlé)和法国连锁超市家乐福(Carrefour)与IBM携手,运用区块链技术记录食品产销履历,在马铃薯泥的产品包装袋上印制QRcode,消费者即可到区块链上查询马铃薯的品种、生产日期和地点等信息。

然而,区块链虽然可以用来记录金融交易、存储医疗纪录,甚至通过供应链追踪物流,本质上仍是一个复杂的分类账簿系统,需要结合企业现行的业务系统,在过程中仍有许多潜在资安风险,不得不防。

整合区块链与既有系统,衍生多项资安议题

举例来说,使用区块链技术记录食品产销履历,仍需要由人员输入数据,或透过生产线机器自动纪录,如果没有控管好输入的数据、设置监控机制,输入错误讯息,将直接导致这些数据写入区块链系统,且历史纪录不易修改,衍生问题。

因此,勤业众信2019年的调查也发现,企业高管坦言,使用区块链技术还是有许多挑战,分别为“法令遵循议题”“如何取代或调整现行系统”“可能出现资安威胁”。由此可见,虽然多数人看好区块链发展潜力,也了解到附加的问题,像是如果没有考虑数据所有权、个人资料保护等议题,将造成法遵风险;如果不当写入数据,可能造成外泄的资安危机。

进一步来看,要在区块链应用上做好资安防护,要把“信息系统既有的议题”以及“区块链技术所衍生的议题”分类检视。信息系统既有的议题,主要包含软件开发安全、访问控制管理、变更管理、密钥管理等。

1.软件开发安全

把数据写入区块链系统,需要开发应用软件,好比智能合约(smartcontract)就是在区块链系统上执行的一种应用程序。因此,如何开发安全的系统是重要议题。有几个资安事件的起因,就是不安全的软件或智能合约设计。

2.访问控制管理

谁可以读取数据、谁可以写入数据,一直是企业规划访问控制最基本的两个问题,区块链系统也一样,尤其在跨国或跨企业间的应用场景中,此议题更为重要。

3.变更管理

作为跨企业间的数据交换与纪录系统,如何进行区块链系统的异动,是个重要的议题,假如不同企业内部与不同类型的系统介接时,想要降低影响、确保稳定,困难度会大幅提高。

4.密钥管理

透过加密技术保护重要数据,以及透过数字证书验证数字身份,已是网络应用的基本概念,而引入现代密码学与密钥技术的区块链系统也是如此,企业应该安全的保管持有的密钥与数字证书。

区块链虽有不易窜改的特性,还是要做好基本风控

区块链技术所衍生的议题,主要包含数据的正确与有效性、网络安全管理、智能合约管理等。

1.数据正确性与有效性

因为技术限制,区块链并不能作为企业数据库使用,但它的纪录不易窜改,让它可作为好的资料提供来源,如民众就诊纪录等。

我们可以因为不易窜改的特性,一定程度相信数据的正确性,降低验证成本。然而,设计一个良好的流程、确保写入数据的有效性与正确性,还是非常重要,一旦没有做好设计与管理,错误写入数据,还是会因数据不正确,产生严重的资安议题。

2.网络安全管理

网络安全管理是信息系统既有的议题,但因为区块链技术的特性,使得它的重要性再次提升,例如恶意的大量联机,对区块链系统所造成的破坏,可能大于传统的网络应用系统(如网站、email)。

3.智能合约管理

智能合约是一种应用程序,当满足一组预先设定的条件时,区块链系统将自动执行程序所设定的内容。

智能合约为企业带来很大的发展想象与应用潜力,如保险自动理赔、贸易金融中的自动拨款等应用场景。但是,因为自动执行的特性,错误的智能合约,将带来极大的资安风险。