區塊鏈(Blockchain)是目前最炙手可熱的科技項目,比特幣(Bitcoin)引起投資泡沫令業界、甚至是門外漢加入一窩蜂投資相關運算與交易平台,往往忽略最基礎的 IT 基建問題。
投資者一窩蜂投資相關加密貨幣運算與交易平台,往往忽略最基礎的 IT 基建問題。亂建不合規格的數據中心,到搶購 GPU 到電力資源,全民瘋狂「掘礦」對正規的 IT 系統管治帶來輕微衝擊。資訊系統保安(iSystems Security)首席顧問吳樹偉引述數據指出,去年已有 300 萬到 500 萬名活躍用戶參與加密貨幣(Cryptocurrency)交易,目前香港境內也有數個常見交易平台,在網上買賣交易的選擇多,很多情況下只需信用卡與個人資料即可成事。在技術層面上,區塊鏈的保安架構屬一環扣一環,他認為整個方案本身設計完善,更可保障匿名交易。
拒絕採公有雲
然而,不同國家對加密貨幣政策有異。吳樹偉希望成立服務平台的用戶,不僅只從技術度出發,更需要了解不同地方法律,以項目安全水平為先。雖然雲端運算資源的存取十分方便,但吳樹偉絕不建議採用公有雲,即使是採用 Tier3+ 或近乎 Tier 4 的自建數據中心規格,亦必須採用硬件加密框架,以杜絕入侵解密,甚至設數據自動毀滅機制。
額外硬件加密
從另一個安全角度看,加密貨幣交易平台需要成立雙重認證,更建議採用「零信任模型(Zero-Trust Model)」與硬件安全模塊(HSM)保護密鑰與運算平台,系統對於斷阻式服務 (DDoS)攻擊也具保護性,需設關鍵保護機制防止假交易。另一方面,操作員工也要有背景檢查,更包括安全審計與源碼掃描,因為有心或無意下,開發者或於現有代碼中遺下系統漏洞。他建議採用可靠代碼外,更要使用專業工具重新掃描當中內容。
在香港建立運算平台十分容易,但要實現具高保安規格的數據中心,動輒需要數十以至數百萬元方可成事。保安是由人出發,也是最弱一環。來自四大會計師行亦新近設立 CCSS 標準,讓業界從中成長,吳樹偉寄望業界參與者能抱有正面的道德標準,為本地建立長遠的加密貨幣發展環境。
Photo:法新社
Source:ezone.hk