最近的研究顯示，到2025年，區(qū)塊鏈將變得無處不在，它進(jìn)入世界范圍內(nèi)的主流業(yè)務(wù)并支撐著供應(yīng)鏈。

這項(xiàng)技術(shù)旨在提供更高的透明度、可跟蹤性和不變性，允許人們和組織共享數(shù)據(jù)而不必?fù)?dān)心安全性。然而，區(qū)塊鏈的強(qiáng)度取決于它最薄弱的環(huán)節(jié)。盡管區(qū)塊鏈的安全性是不可改變的，但在實(shí)施之前，圍繞它的風(fēng)險(xiǎn)仍然存在，組織必須意識(shí)到這點(diǎn)并降低風(fēng)險(xiǎn)。

重要的是要理解有兩種類型的區(qū)塊鏈——許可和無許可的。無許可區(qū)塊鏈最突出的例子是比特幣——一個(gè)任何人都可以參與的公共區(qū)塊鏈網(wǎng)絡(luò)。比特幣等加密貨幣之所以青睞這種區(qū)塊鏈技術(shù)，是因?yàn)樗顾杏脩裟軌蚋?、?yàn)證和確認(rèn)交易，而不管用戶是否選擇匿名。

另一個(gè)區(qū)塊鏈模型是許可的（也稱為私有區(qū)塊鏈）——主要用于商業(yè)應(yīng)用程序。這些網(wǎng)絡(luò)只對(duì)合作伙伴、供應(yīng)商或客戶等已知實(shí)體開放。經(jīng)許可的區(qū)塊鏈，公司建立協(xié)議以達(dá)成共識(shí)，并驗(yàn)證和組裝區(qū)塊。這個(gè)設(shè)置每秒可以交付數(shù)千個(gè)交易，并提供對(duì)誰看到和訪問交易的粒度管理和控制。

在這兩種情況下，主要的好處是區(qū)塊鏈帶來的信任和透明度——網(wǎng)絡(luò)中的所有參與者都對(duì)區(qū)塊鏈總賬中記錄的交易具有完全可見性，并且每個(gè)區(qū)塊都與它之前的區(qū)塊相關(guān)聯(lián)。

這種透明度使得區(qū)塊鏈在規(guī)模上操作極其困難。雖然區(qū)塊鏈平臺(tái)本身可能是安全的，但仍有一些工作要做，以確保組織有能力使他們的網(wǎng)絡(luò)端到端安全。為了真正的安全，組織必須關(guān)注物理事件和該事件的數(shù)字化記錄之間的最后一公里連接。

如果這些進(jìn)入平臺(tái)的點(diǎn)被篡改了，區(qū)塊鏈將變得一文不值。因此，在考慮大規(guī)模部署區(qū)塊鏈之前，各組織必須確保各入境點(diǎn)的安全，并對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估。他們將需要考慮各個(gè)層面的安全問題，最重要的是：

基礎(chǔ)設(shè)施

這首先要確保輸入到區(qū)塊鏈生態(tài)系統(tǒng)中的數(shù)據(jù)和交易得到充分的保護(hù)，以免被操縱。這些網(wǎng)絡(luò)所在的基礎(chǔ)設(shè)施也必須有必要的保護(hù)措施。用區(qū)塊鏈，你的強(qiáng)壯程度取決于你最薄弱的環(huán)節(jié)。

如果集成點(diǎn)受到危害，整個(gè)區(qū)塊鏈生態(tài)系統(tǒng)就會(huì)處于危險(xiǎn)之中，這意味著區(qū)塊鏈憑證和數(shù)據(jù)可能會(huì)暴露給未經(jīng)授權(quán)的用戶。

身份和訪問管理

為了防止未經(jīng)授權(quán)的各方訪問區(qū)塊鏈數(shù)據(jù)，需要將加密和身份管理工具結(jié)合起來。被盜的憑證有可能允許一個(gè)網(wǎng)絡(luò)罪犯訪問區(qū)塊鏈平臺(tái)，不管它有多么安全，組織必須部署標(biāo)識(shí)和訪問管理控制。除此之外，還應(yīng)該部署加密技術(shù)，以確保數(shù)據(jù)不會(huì)在傳輸過程中被竊取、篡改或泄漏。

最終用戶

當(dāng)涉及到區(qū)塊鏈時(shí)，內(nèi)部威脅也應(yīng)該成為關(guān)注的焦點(diǎn)。組織必須考慮到，員工、合作伙伴和供應(yīng)商——不管是無意還是惡意的——都可能導(dǎo)致影響區(qū)塊鏈的安全事故。

為了緩解這種情況，組織應(yīng)該對(duì)員工進(jìn)行安全意識(shí)培訓(xùn)，并向合作伙伴概述明確的安全參數(shù)和責(zé)任。這將防止員工犯粗心的錯(cuò)誤，也可能防止惡意的內(nèi)部人士。為了滿足這些要求，區(qū)塊鏈可以提供高級(jí)安全控制——例如，利用公鑰基礎(chǔ)設(shè)施（PKI）來認(rèn)證和授權(quán)各方，并對(duì)其通信進(jìn)行加密。

數(shù)據(jù)治理

基于區(qū)塊鏈的網(wǎng)絡(luò)是基于建立在共同的商業(yè)利益之上的，從而建立了一個(gè)信任體系。然而，隨著網(wǎng)絡(luò)的擴(kuò)大，參與實(shí)體可以離開網(wǎng)絡(luò)，新的實(shí)體可能會(huì)加入，從而導(dǎo)致圍繞數(shù)據(jù)共享和數(shù)據(jù)所有權(quán)的業(yè)務(wù)考慮因素含糊不清。這可能會(huì)對(duì)數(shù)據(jù)所有者這樣的組織造成嚴(yán)重的監(jiān)管和聲譽(yù)影響，因?yàn)樗鼈儫o法保護(hù)客戶數(shù)據(jù)。

互操作性

組織是多方面的，有多種收入流，經(jīng)常相互聯(lián)系。采用區(qū)塊鏈的主要挑戰(zhàn)之一是不同區(qū)塊鏈網(wǎng)絡(luò)之間缺乏互操作性。最近有了一些進(jìn)展，主要的參與者開始開發(fā)可互操作的網(wǎng)絡(luò)，這將區(qū)塊鏈的興趣提升到一個(gè)不同的水平，同時(shí)帶來了更多的脆弱性。

智能合約

區(qū)塊鏈網(wǎng)絡(luò)的一個(gè)關(guān)鍵組件是智能契約，它是在所使用的平臺(tái)上使用不同的語言開發(fā)的，如在Ethereum中使用的Solidity。這些語言允許開發(fā)人員更改底層塊鏈網(wǎng)絡(luò)，從而導(dǎo)致漏洞。然而，從企業(yè)區(qū)塊鏈的角度來看，一個(gè)使用被許可鏈的穩(wěn)固的治理機(jī)制可以建立一個(gè)安全的系統(tǒng)來限制治理機(jī)構(gòu)的特權(quán)。

為了從區(qū)塊鏈中獲得最大的價(jià)值，無論是現(xiàn)在還是將來，組織都必須在各個(gè)層面——應(yīng)用、基礎(chǔ)設(shè)施、數(shù)據(jù)和合作伙伴——承擔(dān)起它們的安全和保障責(zé)任。

通過進(jìn)行區(qū)塊鏈風(fēng)險(xiǎn)評(píng)估和處理關(guān)鍵風(fēng)險(xiǎn)，各組織可以確保自己處于有利地位，利用區(qū)塊鏈所提供的效率、透明度和成本效益，同時(shí)又不會(huì)讓自己面臨意想不到的風(fēng)險(xiǎn)。對(duì)于那些對(duì)區(qū)塊鏈感興趣的組織來說，最實(shí)用的方法是通過試點(diǎn)程序來測試這個(gè)概念。試點(diǎn)應(yīng)該集中在為組織提供最多控制權(quán)的領(lǐng)域，公司應(yīng)該考慮到這些薄弱環(huán)節(jié)。

最終，區(qū)塊鏈有能力解決與可追溯性、響應(yīng)性和信任相關(guān)的業(yè)務(wù)問題。通過采取精心策劃的實(shí)施方式，了解區(qū)塊鏈的薄弱環(huán)節(jié)，組織可以釋放區(qū)塊鏈的真正價(jià)值，創(chuàng)造新的機(jī)會(huì)，提高效率。