锐格信安CEO雷年胜:数字资产,安全是“硬”道理论文

锐格信安CEO雷年胜:数字资产,安全是“硬”道理

◎文/《新产经》郭师绪

雷年胜,北京锐格信安技术有限公司创始人兼CEO

清华大学本硕毕业。先后在大唐电信、握奇数据担任软件开发中心总经理、研发副总裁兼CIO,移动安全业务副总裁等职位,超过十五年企业管理经验,所开发产品在银行、电信、交通、政企部门的应用数以亿计。在软件开发、移动支付、物联网、密码学与可信计算等领域有丰富经验。科技部中小科技型企业创新基金评审专家,北京市科学技术奖励评审专家。

近年来,区块链受到的追捧急剧升级。不仅是小型初创企业,腾讯、阿里、百度、京东等巨头公司也都纷纷加码对区块链的投入。区块链技术已经被应用在了供应链金融、腾讯微黄金、物流信息、法务存证、公益寻人等领域。早在2017年4月,腾讯就正式发布了区块链方案白皮书。白皮书称:“腾讯区块链在鉴证证明、智能合约、共享经济、数字资产等领域拥有多样化的应用前景,为合作伙伴提供金融级区块链基础设施的同时,也为用户提供更安全、平等的产品服务。”

我们身处大数据和互联网时代,只要上网浏览,就会产生数据信息,用户数据是互联网企业的宝藏,正迅速成为全球最宝贵的资源之一。数据安全一旦出现问题,可能会演变成一场世界性灾难。近日,北京锐格信安技术有限公司创始人兼CEO雷年胜接受了《新产经》专访,就区块链领域安全问题进行了探讨。

《新产经》: 区块链技术是互联网技术新的发展,先后受到金融界和科技届的广泛关注,近两年来,逐渐在各大领域落地应用。请您简单谈一谈我们应该如何理解区块链技术?

雷年胜: 锐格团队时刻关注相关领域的技术和市场发展变化,通过研究,我们意识到区块链技术的巨大价值和其对未来可能产生的颠覆性影响,区块链是一种去中心化、去信任化的分布式账本技术,由分布式数据存储、点对点网络、密码技术、共识算法与博弈论等多种技术机制集合而成。区块链起源于比特币,自2009年提出以来,特别是2016年以后,成为各大金融机构、IT公司、投资机构、咨询机构关注的热点,产业界纷纷加大研发投入力度,成为近年来IT技术热点之一。

摘 要:利用信息技术进行教学是当前很多教育工作者用来优化课堂教学过程、提升教学效益的方式之一。信息技术具有虚拟性、交互性等特征,在学生学习兴趣激发、课堂教学容量扩大、学生自主学习能力培养、教学模式创新方面有积极的作用。怎样才能将信息技术的优势充分发挥出来,构建一个高效的语文课堂,是现阶段教育工作者致力研究的课题。

区块链已经不仅仅只应用在数字货币和支付结算领域,在供应链金融、共享经济、商品溯源、慈善、征信、数字身份等领域也都有探索,同时,区块链与AI、物联网、云计算、大数据等其它新一代信息技术结合应用,相互赋能,必将带来全新的发展机遇。区块链作为一项具有“颠覆性”潜力的新兴技术,成为全球技术创新和模式创新的“策源地”,推动“信息互联网”向“价值互联网”变迁,也越来越受到各国政府的重视,我国《“十三五”国家信息化规划》中把区块链作为一项重点前沿技术,明确提出需加强区块链等新技术的创新、试验和应用,以实现抢占新一代信息技术主导权。

第二,建立考核评价与责任追究机制。建立科学有效的考核评价与责任追究机制,实施检查、测评长效机制,形成有效的常规管理模式和制度性保障。坚持“风险防范人人有责”的原则,明确每个职能部门的风险防范职责,将防范工作落实到具体的岗位和人员,形成以岗定责、归责到人的责任体制。坚持首问责任制,对于最早发现风险的部门或人员,应当立即组织办理、及时处置或主动联系相关部门处理,否则将追究首位发现风险人员的责任。坚持责任追究制,在工程项目组织管理规定中明确法律风险防控责任追究办法,自上而下层层分解防控目标责任,对违反责任规定、给企业利益造成损害的,依据责任追究办法进行责任追究,杜绝懈怠违规和有法不依现象。

2016年以来,谷城县资金使用管理逐步规范,建立健全了覆盖资金分配、拨付、使用、监管和绩效评价全过程的扶贫统筹资金管理制度体系。

锐格非常看好区块链与各个产业的结合,尤其是在数字资产和物联网领域,经过一年多的研究开发,锐格已经推出区块链个人数字钱包RIGBOX ,以数字资产加密机HSM产品为核心的企业数字资产安全解决方案RIGBOX Vault和以嵌入式区块链eWallet为基础的RIGBOX IOT(物联网)解决方案三类产品/解决方案。

雷年胜: 传统金融行业有句话“无硬件,不安全”。从安全性来说,硬件钱包无疑是最好的,私钥生成、存储、运算、交易确认及签名都在硬钱包中完成,硬件钱包是一个完整的安全堡垒,设计安全产品有两个基本的原则:

互联网全面发展以后,已经较好地解决了信息传递的问题,但是还不能自由地实现价值点对点的传递,价值的传递仍然需要中心化的可信第三方来完成,这在某些应用场景中仍存在一定的局限性,比如隐私和数据安全问题、中心化第三方权力垄断问题等,区块链的出现能够在没有信任基础的多方间建立一个可信平台,完成价值传递,因而被视为创造信任的机器。由于其去中心化、不可篡改、不可抵赖等特点,区块链被认为可应用到多种业务场景中,用来建立信任、提升透明性、可靠性与安全性。

3.备份好助记词或私钥,放在足够安全的地方。

3.对不打算频繁交易的资产还是转移到独立钱包中,命运掌握在自己手里。

从技术层面看,区块链及其相关的产业,如公链、交易所、矿池、钱包也是典型的IT系统或软件,传统互联网软件所需要面对如SQL注入、DDOS、钓鱼、内存溢出挟持、程序逻辑缺陷利用、APT等攻击也是存在的。

争取区域一级开发权限,争当城市区域一级开发的主体.纵观国内城投公司,要做到真正有地位、有形象,无一不是通过城市区块的一级开发实现的.有了一级开发权限,更容易打造有影响的城市地标,更容易打理好自己的经营盘子,减少来自各方的制约,提升发展的层次.

不仅如此,区块链系统还要面对智能合约漏洞、双花攻击、51%攻击这些与区块链特定实现机制相关的新问题。“老革命碰到新问题”尚且也得摸索适应一阵子,何况部分从业人员和机构本身不具备足够的安全能力和风险意识去应对这些安全威胁,所以区块链领域频繁出现安全问题就不奇怪了。

从收益和风险层面,与其它信息系统相比,区块链有如下几个特点让它面临更大的威胁:区块链上承载的是资产,这让黑客攻击后的收益直接更大,其它系统攻击得手还面临如何变现的问题,而区块链上直接是真金白银,黑客攻击的意愿更强烈。区块链网络中一般是匿名或者不记名,资产被盗,更加不易追踪和回溯到现实中的人,攻击者更加隐蔽和安全。

总而言之,区块链领域安全问题频发的主要原因在于,既要应对传统互联网软件存在的攻击,还要面对智能合约漏洞、双花攻击、51%攻击等与区块链特定实现机制相关的新问题,况且部分从业人员和机构不具备足够的安全能力和风险意识。

《新产经》: 对持有数字资产的广大普通用户来说,有些安全问题是很难触及和防范的,只能交给专业人员去完善解决,普通用户重要是保护好自己的数字资产。一般来说,普通用户要么放在交易所,要么放在独立钱包中。作为普通用户,在数字资产管理过程中的安全注意事项有哪些?

雷年胜: 如果选择放在交易所,就是选择信任交易所可以保护好自己的资产,有如下建议:

1.选择技术实力强,规模大的交易所,祈祷交易所别出事。据不完全统计,2018年上半年数字加密货币交易所被攻击,损失了约7亿美元。

2.保护好自己的登录密码,谨防钓鱼攻击。

雷年胜: 这些安全事件并非个例,根据网络安全公司CarbonBlack的调查数据显示,2018年上半年,有价值约11亿美元的数字加密货币被盗,各方面原因造成的经济损失近28亿美元。

数字资产存放在软钱包也有多种实现方式,包括嵌入到浏览器的网页钱包、软件钱包、硬件钱包。大家知道,区块链钱包里是没有“钱”的,钱包是一个私钥管理工具和签名工具,资产是被记录在区块链网络上的公共账本里,区块链网络是不记名的,对资产的所有权完全看是否持有相应的私钥,私钥一旦丢失或被盗用,区块链上的资产也就没有了,所以钱包的安全性主要看其私钥生命周期安全性,它决定了用户资产的安全性。

1.4.1 多数村庄建设缺少科学合理的总体规划。村庄的数量、规模、平面布局、空间结构、功能组合都缺乏科学性,村庄建设不能形成合理控制和正确引导,更不具有任何约束力和内控力。农民个体上对于合理规划他们的房屋意识欠缺,常常导致胡乱修建、胡乱开发,很多人有“道路修到哪,房屋建到哪”的观念,房屋难以集中连片[4]。

软钱包的安全性难点在于其没有足够清晰的安全边界,受制于操作系统本身的安全,受第三方库的安全影响,即便是有足够经验的开发团队,类似Copay的情况也是难以防范的。使用软钱包,有如下建议:

1.别ROOT手机。

所谓过腔的依附性,首先是说没有字腔,也就没有过腔存在的必要。其次是说,既存的过腔位置必定在字腔之后,这是为了与后一个字腔相连接而存在的音调,所有的过腔都是如此,这就是过腔的依附性。

2.存放软钱包的手机或PC不要安装来历不明的软件。

零价铁还原-芬顿氧化工艺已广泛应用于各类化工废水的预处理工段,其中零价铁还原技术的处理效果比较稳定,而芬顿氧化技术需投加大量的双氧水药剂,导致药剂用量大、运行成本较高。

4.当零钱包用,别放太多资产。

在具体的融合中,要充分发挥乡规民约的积极作用。梁治平教授认为,“在国家法所不及和不足的地方,生长出另一种秩序,另一种法律。这里可以概括地称之为民间法”[7]。乡规民约既是村民多年认同的行为规范也是道德标准,是“三治”教育的绝佳结合。无论是基层矛盾的化解还是村民自治权行使的宣传,都应当将其列为重点。在保定市一些县区农村的基层矛盾化解中,农民满意度之所以较高,重要原因在于除了以法为据外,解决人善于以乡规民约与道德舆论为工具,使人对结果心悦诚服,并能够以化解矛盾为契机,对农民进行“三治”教育。

《新产经》: 您认为最安全的数字资产保管方式是什么?

《新产经》: 去年以来,区块链领域发生了几起区块链领域的典型安全事件。如,总部位于大阪的TechBureau Corp.旗下的Zaif交易所发生了比特币(Bitcoin)、萌奈币(MonaCoin)和比特币现金(BitcoinCash)被盗事件,国外知名钱包Copay也爆出严重安全漏洞,数字资产被盗事件频发的根本原因是什么?

1.与安全相关的部分越独立越好,复杂性是安全性的敌人。

2.与外界接口越简单越好,攻击面小,易于防范攻击。

相对于软钱包来说,硬件钱包一般采用定制软件,不依赖通用操作系统和第三方库,通过USB、蓝牙、NFC或者二维码与主机(PC或手机)通信,系统功能专一,边界更清晰。

但硬钱包的实现技术也多种多样,安全性也有很大差别。首先看是否有使用了通过安全认证的安全芯片,比如我们在银行卡和网银盾产品中常用的金融级安全芯片。

有些硬钱包只使用普通的AP或MCU,建在沙滩上的堡垒是不可能真正安全的,硬钱包一旦丢失,私钥很容易被破解,而安全芯片有防护各种物理攻击和半侵入式攻击的机制,钱包即便丢失,破解也会有难度,需要专业的设备花费从数天到月余的时间,用户有安全转移资产的时间。

《新产经》: 安全是一个系统工程,需要综合考虑硬件、软件、应用流程配合才能做出一个合格的安全产品,包括硬钱包。锐格公司打造的RIGBOX锐格硬件钱包有哪些亮点?差异化在哪里?您对大家在选择硬钱包时有何建议?

雷年胜: 对于大家选钱包的建议,首先,产品要基于金融级安全芯片。其次,团队要有安全芯片软件开发经验。

在那之后,按照计划的进行,将由频繁的登月任务开始搭建起月球上的基础设施——比如说,搜寻到能作为燃料使用的水资源。接着会开始月球的工业化,建造起“支撑月球平稳发展的平台”。iSpace公司有66名员工和位于3个国家的公司总部,在第一轮融资中,获得了大约9 500万美元投资——这差不多比此前的所有太空探索公司的首轮融资都要高。该公司的一个赚钱想法是将顾客的载运物加到公司未来的月球车和着陆器上。

随着旅游业对地区经济发展贡献的不断扩大,安徽省政府高度重视旅游业的发展,明确提出要强力推动旅游业大发展,在一些基础条件比较好的旅游城市、旅游区域先行先试,抓好示范引领,加快把旅游业打造成支柱产业和重要增长极[1].在省政府的指导下,各市均将旅游业作为支柱产业或重要产业来培育.然而,安徽省各地的区位条件、经济基础和资源禀赋差别较大,如何选择符合安徽实际的旅游发展战略,进而提升安徽旅游业在全国旅游市场中的竞争优势显得尤为重要.

锐格的核心开发团队涵盖密码学、移动支付、智能硬件、网络安全等专业领域,均有超过十年的为大型银行、运营商、手机厂商提供安全产品的开发经验,对数字安全领域有深刻的认知。

目前很多硬钱包基于物理按键组合操作,很不方便。不少只能在PC和Android上使用,无iOS方案。而锐格有着基于金融级的安全芯片设计、支持指纹生物特征验证身份、依托蓝牙实现移动端Android/iOS跨平台全兼容、触控屏简单易操作等优势。相信锐格能够将硬件钱包的安全性和易用性推升到一个新的高度。

《新产经》: 目前市面上的硬件钱包,有用安全芯片的,也有用AP和通用MCU的,设计方案差异比较大,所以将来硬件钱包的发展会是百花齐放,还是逐渐走向统一?

雷年胜: 我认为使用非安全芯片的方案将会被逐步淘汰,对于资产保护来说,安全是“硬”道理,是基本要求。

标签:;  ;  ;  ;  ;  

锐格信安CEO雷年胜:数字资产,安全是“硬”道理论文
下载Doc文档

猜你喜欢