互聯網資安風控實戰

本文來自：OTCBTC首席執行官-鄭易廷

前言

我近幾年來，寫了很多書。各有不一樣特點，有增加方面的書籍，也有創業的書籍，教人學習、編程、分析財報的書籍等等。不少人可能好奇爲何我如今又要寫一本書新書，並且仍是「互聯網服務安全實戰」如今生僻的選題。其實，這個主題一直以來，就是我很想寫的一本書。
互聯網服務的設計安全，一直是一個被行業與大衆忽略的議題。
這個主題不是不重要，而是諸多因素，形成這個議題很難被重視：

• 設計安全服務的成本巨大，一個初創企業，在創業過程當中，每每關注的是獲利與生存，故無暇投資在這方面的建設。

• 企業沒有被攻擊過，就不知道安全的重要性，更沒法想像這裏面的水有多深。

• 安全人才難覓，安全每每是 by design 的。一般企業通常來講沒法自行培養出有安全意識的架構師與風控部門。這一類的人才，每每是有過大型服務的互聯網公司，纔有相關的意識訓練。

• 所謂安全的系統，是以控制風險與多重校驗做爲主要手段。而此類的設計，每每會在正常業務上附加上很是多複雜的 overhead。除非業務已定型成熟，須要進入到風險控制階段，不然開發人員並沒有意願加入相似的設計。

• 安全是有價的。並且是極高的代價。除非該間網路公司經營的是一間與金融高度相關的產業，若是隻是一個博客或者互聯網社羣服務，一般此類公司對於「安全」的需求設計相對較低。由於若遭受到黑客攻擊，用戶資料被盜，咱們能夠問問，使用者或企業的損失會是什麼？若是「只是」「密碼被盜」，而「密碼被盜」並不會連鎖致使使用者的其餘重要資產連鎖被盜。則企業可能會輕視，甚至意識不到這當中的危險性，而選擇不加以防範。

• 資安與風控都是稀缺人才。並非想要補強就能補強。有時候，一些企業連諮詢求助對象都沒有。

• 企業被黑入，不少時候都是選擇與黑客私了，或者是受害用戶私了。許多過去寶貴經驗沒法分享，由於有些這一類的經驗甚至分享以後，會形成更大的行業災難。

基於以上種種緣由。這一類的信息很難被交流，甚至坊間不多有相關書籍，或者是業界熟手能夠求教。

我過去由於經營一間小有規模區塊鏈交易所，在這一兩年經營、開發、經手、協助無數次的資安風控事件。累積了至關多行業設計知識。咱們公司的交易所，八萬多行代碼，其中有 1/3 的代碼都是風控相關。

而與熟識的資安顧問交流後，認爲這幾年我累積下來的行業知識很是寶貴，並且甚至部分可能領先業界。

所以想藉由這個機會，將相關的知識公開，可以造福互聯網業界，下降並防範你們的損失。

這本書會談哪一些主題？

    區塊鏈交易所，是一個很是奇特的產業。過去互聯網世界，從未有同時間，有這麼多競爭者，同時涌入同一個領域。根據坊間統計，可能在 2017-2019 年，在世界上就誕生了接近萬間交易所。廝殺的無比慘烈。不少人會涌入這個行業的主要緣由，多半是衝著「錢」而來。
外界與行業裏的人都有一個錯覺，開交易所「很是賺錢」，主要業務是「割韭菜」。但事實上真是這樣嗎？
雖然在這一兩年，雖然行業有這麼多交易所開張了。可是，必需要說，不少交易所不但割不到韭菜，反而還被韭菜與黑客割的更嚴重，開張一個月即破產倒閉的幣所比比皆是。
交易所方每每戲稱，在這一場區塊鏈趨勢裏面，賺最多錢的職業，可能不是開交易所。而是「黑客」與「區塊鏈安全審計公司」。
一些人知道我開幣所，每每興沖沖的想要諮詢我關於這一行的相關知識。我每每會勸阻他們。
由於這行水很是深，若是創業團隊裏面不具有有背景深厚且通曉資安的架構師，不要輕易嘗試。
區塊鏈這一行並不如通常互聯網行業，只要你的服務背後接了一個錢包，無論你是開交易所，託管，企業錢包，區塊鏈遊戲，「資安挑戰都等同於開一個幣所」。
由於只要你防護失敗了，損失的每每不單隻有數據庫的資料，而是企業資產（公司的幣，與客戶的幣）會被提領一空。
互聯網創業這一行，沒有什麼比區塊鏈這個行業更高風險的類別了。
這是那些一頭熱想要栽進這個行業裏面跟風的人，沒法想像的世界。
這些人所在的世界，以前是不太可能碰到什麼風險的，因此再多的口頭警告，都沒法勸退他們，反而對方還會認爲你是在擋他財路。
不少人認爲，區塊鏈行業是個新興很是有前景的行業。
但說白了，區塊鏈行業只是另一種型態的互聯網金融行業。並且這個行業可能遠遠較管理實體金錢的互聯網金融行業風險更大。由於起碼銀行賬號的錢，是搬不走的。而區塊鏈公司裏面的錢，只要你的服務被滲透了，不僅用戶的錢會被偷走，企業也有一夕之間面臨倒閉的風險。能夠說，區塊鏈行業裏面碰到的 case，可能都會是你在互聯網行業碰到最極端的設計。這本書裏面，我會從兩個角度去談。包括風險管理和風險控制。
主要從幾個面象去談以及防護：

1. 如何防範使用者資料被盜，而且下降損失

2. 如何設計相對安全的技術架構，阻斷連環損失

3. 如何攔下惡意使用者針對系統的惡意攻擊

4. 當公司管理的錢一大，沒有人可以防護變質的人心，如何預防內鬼，而且下降損失。

5. 如何預先創建風控策略，與外部團隊聯手合做。

但願你們在閱讀完這本書以後，可以有所收穫。

打造互聯網金融企業安全與風控的實戰手冊。

以區塊鏈交易所爲例。

書中會談及主題：

1. 如何防範使用者資料被盜，而且下降損失

2. 如何設計相對安全的技術架構，阻斷連環損失

3. 如何攔下惡意使用者針對系統的惡意攻擊

4. 當公司管理的錢一大，沒有人可以防護變質的人心，如何預防內鬼，而且下降損失。

5. 如何預先創建風控策略，與外部團隊聯手合做。

本文分享自微信公衆號 - 糖果的實驗室（mycandylab）。
若有侵權，請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」，歡迎正在閱讀的你也加入，一塊兒分享。