不疯魔不成活,穿梭于区块链大时代的“安全行者”
导言:2019年零壹智库基于国家知识产权局数据发布的《全球区块链专利报告》中,通付盾是我国在区块链领域获得授权发明专利总数第一的企业。通付盾将区块链数字加密技术应用于数字化技术之中,以保护广大企业用户数据隐私安全为目标,将区块链技术普惠于大众。
27年前,一部中国电影《霸王别姬》成功斩获38项国际大奖,令世界影坛为之侧目,美国《纽约时报》评价其是电影史上的旷世巨作,国际影评人联盟更是将其视为中国版《乱世佳人》。
特别是段小楼对程蝶衣那句:“你可真是不疯魔不成活呀”,让无数人唏嘘不已。虽然时移世易,但总有那么一批人在各自领域上演着一幕幕不疯魔不成活的好戏。
2019年12月底某凌晨,位于南京江北腾飞大厦23层的通付盾办公室依旧灯火通明,头戴黑框眼镜,身着浅色衬衫、深色外套的汪德嘉博士正带领技术团队,为即将推出的新产品做着紧张的筹备,其言谈话语之间逻辑严谨、思维缜密,他身后是通付盾近些年所获得奖项和荣誉的展示柜。
我的中国心
率先将多项领先安全技术引入中国
身为通付盾掌舵人的汪德嘉,可谓是一个不折不扣的“学霸式”理工男,拥有美国威斯康星大学数学博士学位、中科院软件研究所理学硕士和中国科学技术大学概率统计学士,以及十一年国际知名软件公司ORACLE、VISA、IBM等的总体设计、产品开发及管理经验。
在很多人眼里,如此光鲜的海外背景在国外完全可以拥有更多机遇,但机缘巧合,他不仅选择回国发展,更将先进的安全技术带回了中国。
2008年,移动设备刚刚兴起,在线欺诈行为十分猖獗,全球还没有一个有效的解决方案处理这一棘手难题,全球著名反欺诈公司ThreatMetrix也刚把业务扩展到美国。
彼时,汪德嘉正在美国着手解决在线游戏微交易中的欺诈问题。虽然几美金的小额交易看似不起眼,甚至就连传统支付公司都很难覆盖到,但欺诈分子则可以利用这种被忽略的高频小额交易,顺畅进行洗钱等违法行为。
如何才能通过对身份的验证,有效遏制违法行为?设备指纹的技术解决方案被提了出来。当时,阿里也在同步研究这一技术,但由于国内浏览器各种版本纷乱复杂,PC端设备指纹千头万绪无从下手,另外移动设备指纹方兴未艾,国内厂商缺乏技术积累,导致产品效果大多数不尽如人意。
2011年,汪德嘉在这方面的研究已取得初步成果,并取得多项自主知识产权。而国内电商正处于草莽发展阶段,信用环境十分不完善,因此国内对反欺诈技术的需求数倍于国外。
此时,恰逢阿里设备指纹项目这一契机,于是汪德嘉立即决定回国创立通付盾,并首次将设备指纹技术正式引入中国,和这一技术一同被带回的还有在当时鲜为人知的二维码支付技术。
如今,在安全领域,有很多技术都与数学加密算法息息相关,比如椭圆曲线加密、RSA非对称加密、哈希加密、同态加密、安全多方计算、零知识证明等,这些都需要具有深厚的数学背景才能将艰深晦涩的原理应用于实践。而汪德嘉在美国威斯康星大学深造数学的经历,恰好帮助他为一步步开拓通付盾业务以及掌舵企业未来方向提供了源泉。
只做自己不跟风
以对技术的初心坚守企业价值观
对于成功而言,世上没有捷径可走,任何看似的捷径其实都是弯路。
2018年,汪德嘉带领通付盾经历了最为困难的业务重构时期,按照他的话来说,通付盾是从“死人堆”里爬出来的。从那之后,通付盾重新聚焦数字化技术本质并清晰规划产品线,将平台进一步夯实,客户的数量和收入稳步上升,业务步入良性发展的快车道。
在2019年新年致辞中,汪德嘉面对资本寒冬理性且不失乐观,他表示,别人的成功经验,有我们可学习之处,别人的失败教训,亦是给我们的警醒。寒冬虽然难耐,但挨过去就能迎来春风。
在通付盾的词典里,诚信和技术为本是任何人都必须要坚守的价值观,也是喧嚣市场中两个最为清晰的路标。特别是在面对区块链等新兴趋势的来临,许多企业都迷失在了资本的狂热之中,通付盾则通过将区块链技术与数字化技术深度融合,找到数字经济业务的突破口,重新站上了业务的制高点。
早在2013年,通付盾便组建起以研究区块链技术为核心的团队,团队成员均长期从事数字身份认证、数据隐私保护等领域的技术研究及产品开发,并积极参与相关标准制定工作。
如今,汪德嘉又有了一个新的身份——北京大数据研究院区块链实验室主任,他的初衷,并非因为区块链爆棚的热度,而是通过与高校和科研机构的全面合作,将区块链数字加密技术应用于数字化技术之中,以保护广大网民数字身份和隐私安全为目标,将区块链技术普惠于大众。
在通付盾的核心技术中,多因子身份认证技术将区块链技术与安全进行无缝结合,使用多达数千个因子进行深度学习和交叉身份认证,包括账户、设备、应用、时间、空间、行为、关系、偏好、生物特征等。
在2019年零壹智库基于国家知识产权局数据发布的《全球区块链专利报告》中,通付盾跻身“2019年中国区块链获得授权专利TOP10”榜单,是我国在区块链领域获得授权发明专利总数第一的企业。
正是源于通付盾“只做自己不跟风”的信念,使通付盾于2018年底受到国内首支国资背景的区块链基金——南京扬子区块链基金的青睐,成为其第一个投资项目。
伴随技术的精进,市场与行业对通付盾在数字化技术领域所做出成绩也给予了高度认可。
2020年1月份,通付盾与寒武纪、商汤科技共同跻身“融资中国2019年度中国新经济领域最具价值投资企业”、成功入选中国网络安全能力图谱、荣获2019年度金融科技创新突出贡献奖、荣膺第十届“金貔貅奖”年度最具影响力区块链技术服务奖、连续5年入选安全牛“中国网络安全企业五十/百强”、连续三年荣获“毕马威金融科技50强”等荣誉。
刀刃向内的勇气
填补去中心化企业即时通讯市场空白
最近,汪德嘉率领团队以数字身份区块链“证明链”为基础开发出适合于ToB行业的去中心化即时通讯工具——通付盾DAPP,现已升级到4.2版本。
不过,市场上关于企业即时通讯方面的工具已多如牛毛,比如阿里的钉钉、腾讯的企业微信以及最近刚刚发布的华为云WeLink,我们是否有必要还要开发一款企业即时通讯的APP?通付盾DAPP究竟与其他即时通讯APP有何与众不同?
相比其他企业即时通讯,通付盾DAPP最大的特点在于去中心化,主要提供包括可信身份、加密通信、加密云盘等功能的数字化服务,为个人和企业构建安全可信的身份认证、匿名点对点加密通信、点对点文件加密存储与分享等场景,全方位保护用户的数字身份与数据隐私。
市场上大多数企业即时通讯类产品都是中心化产品,所有数据、图片、文件均储存在厂商的中心化服务器之上,虽然服务厂商会尽可能保证数据安全,但也不乏会有黑客对服务器进行攻击。并且,随着越来越多数据泄露事件的发生,用户对于厂商能否真正保证数据安全产生了怀疑。
比如,Facebook就曾承认,一家名为Cambridge Analytica的数据分析公司违规获得了5000万Facebook用户的信息。
在这个时代,企业的权力越来越大,用户拥有的权利反而越来越少。互联网上的数据是用户创造的,但却从不属于用户,一切的数据和隐私均可以被拥有数据的企业和机构肆意使用。解决这一顽疾的最好方式,就是数据和秘钥本地储存,归还用户数据主权,秘钥的管理和分发则通过区块链网络完成,数据将不会落到服务器上,黑客也就无法窃取到数据,从而消除数据泄露风险。
通付盾DAPP以去中心化的区块链替代了传统的中心化网络,用户注册成功后,系统会给用户生成DID(去中心化身份),用于身份标识。用户可进行加密聊天,聊天方式支持文字、语音、图片、文件、在线通话等。
在通付盾DAPP中,基于通付盾证明链、云密码和零知识证明等技术为用户提供数据与数字资产“保险箱”,所有的文件上传、下载、分享、传输均基于完备的零信任理论,点对点加密,保护数据隐私安全。
值得一提的是,通付盾系统已获得公安部、国家密码局、国家信息安全测评中心等权威机构多项检测与资质认证,填补了去中心化企业即时通讯软件的市场空白。
比尔·盖茨曾经说过:“人们总是高估未来两年的变化,低估未来十年的变革。”伴随区块链、人工智能、5G等全新技术有可能带来的行业变革,通付盾以刀刃向内的勇气和对安全领域的专注实现了业务的多点突破,并在纷纭的市场中找到了属于自己的独有位置。
衍生阅读:目前是全民抗击新型冠状病毒肺炎疫情的特殊时期,节后上班首日,很多企业宣布将远程办公作为主要的工作方式,远程办公软件成了员工之间主要的沟通渠道。但由于对在家办公人数预估不足,全国人民试水协同办公的第一天,不少软件都崩了,钉钉、企业微信、WeLink等接连遇到瘫痪问题。同时远程办公也面临着数据保密和网络安全等重大问题。
齐心协力抗疫情网络病毒却来凑热闹
事情起源于某员工人数不低于200人的企业,该企业的某位业务主管在远程办公时,使用了个人电脑,该台电脑先被XRed病毒感染,致使电脑EXE文件及电子表格文件均被病毒感染,通过内部工作群分享远程办公工具之后,造成该病毒在同事间扩散。事情起源于,该企业某位业务主管在远程办公时,使用了个人电脑,该台电脑先被XRed病毒感染,致使电脑EXE文件及电子表格文件均被病毒感染,通过内部工作群分享远程办公工具之后,造成该病毒在同事间扩散。安全专家分析表示,XRed病毒是具备远程控制、信息窃取能力的感染型病毒,可以感染本地EXE文件及xlsx电子表格文件,病毒可通过文件分享和U盘、移动硬盘等媒介传播。企业因发现比较及时,目前已恢复被感染的文件,庆幸的是,本次病毒攻击未对该企业造成重大影响。
数据隐私是最大痛点
据前瞻产业研究院统计,2018年,中国企业智能移动办公投入结构分别为移动应用建设与开发投入46%、移动办公相关服务20%,其他投入20%,移动安全投入仅占14%,信息安全投入略显不足,移动应用的信息安全建设仍是重中之重。
太极资本创始人梁公军认为,数据隐私保护是企业用户当前最核心的关注点。首先是安全问题。石墨文档市场负责人刘丛礼介绍石墨文档在三个重点环节做的工作。在存储方面,将用户数据保存至阿里云;在基层结构上,从文件、文件夹到团队空间(类似于企业云盘),每一层都可设置不同的权限,从上往下逐级开放,便于企业管理;在离职交接方面,专门设置了一键交接文件归属权的功能,避免文件泄露的尴尬。
对于安全问题,国外已经有了另一套成熟的思路。供职于美国硅谷某企业的工程师Edward表示,国内的公司更加强调内网的概念,但是这样的危险之处在于,如果内网被入侵了,那就意味着入侵者可以借机得到大量额外的权限,为了确保安全,公司就需要把大量精力放在保证内网不被入侵上,即便如此,风险依然存在,一般大公司都有成千上万台电脑,难保不出问题。
而目前国外最新的思路是淘汰内部办公网,将所有的核心资源放在云上,员工可在家访问,可在公司内部访问,访问权限不再以网络环境区分,而是以用户身份认证的过程区分。当然前提是,企业需要确保所有数据可追溯、可审计。举个例子,如果员工在家访问了公司资源,一旦发生数据泄漏,企业需具备可溯源查证数据泄露始末的能力。Edward补充说,硅谷常用的在线协作软件有Google Apps、Office 365、Slack等,但对于即时沟通软件,很多大公司禁止使用外部的此类应用,选择开发自家的工具,比如Google就用Hangouts,微软就用Microsoft Teams等。
再者是集成问题。在充分竞争的市场环境下,产品同质化是行业绕不开的问题。很多企业都有自己的OA系统,都希望外来的软件能集成到自身的OA系统中,便于员工一站式使用,不用来回切换。
对于集成问题,人民数字科技产业有限公司常务副总经理张国君给出了相同的建议,市场不是非此即彼的零和游戏,很多OA系统用的仍然是一些通用性软件,线上协作工具可在专业性和定制化上下功夫,做现有OA的“伴侣”。张国君称,大企业技术比较先进,生态比较完整,需要更重视小组织的用户体验和需求;小企业更具特色,需要具备更强的扩展性,强化与商业化程度的软件的打通。
远程在线办公,需高效和安全并重
在互联网时代,企业数据与核心信息具有难以估量的价值,因此,安全是远程办公的前提。那么,远程线上办公,一般具有哪些安全隐患呢?
1、私人设备与企业系统
集中远程办公第一特点是——将大量使用个人主机设备,通常则是非公司统一配发的私人电脑。
这些电脑在使用远程控制系统等接入公司网络之前的安全状态,很大可能是安全盲点。毕竟个人电脑往往缺乏相关IT管理员进行维护,且使用人员也可能较多,使用不规范的情况并不罕见。
2、特殊时期“物理渗透”
疫情当前,很多企业的办公室往往只留个别人员值班,甚至处于完全关闭的状态。这个时候,如果别有用心的人员趁机潜入,应是难得良机。
此外,员工在家办公,办公设备的物理保障方面,也有可能存在缺失疏漏。比如小孩随意将装有重要资料的U盘带出去遗失,小偷上门窃取贵重电脑设备,以及黑灰产业盯梢某掌管企业核心数据信息的人员伺机窃取设备等。特别需要注意的是,对于公司核心信息资产,如果远程办公期间不需要使用,则应妥善隔离封存。
3、身份权限识别认证
以往在办公室办公,大家面对面,均使用公司设备,往往很容易识别彼此身份,控制权限也能轻松进行。
但是,远程办公状态下,所有员工分散在四面八方,企业如何确保远程办公人员身份的真实性、业务操作可溯源性、业务数据传输机密性和设备应用的安全性,事关企业核心利益。
此外,在远程办公期间,也要提高对钓鱼邮件和水坑等攻击手段的警惕意识,避免遭受经济与数据信息损失。尤其是AI技术日新月异,模拟领导声音、模拟电话号码、高仿邮件等操作,让企业蒙受损失的新闻事件屡见不鲜。
4、信息保密与账号安全
远程办公,登录企业系统,不可避免需要使用到账号密码。由于处于非企业内网之中,所以企业应尽量购置保护远程账号密码安全的安全产品。此外,员工之间不可借用账号密码进行访问,更不可将办公账号密码转介外人,其他家庭成员、来访客人,最好不要碰触使用工作电脑。
疫情期间允许访问源代码,但如需访问核心/关键信息资产或者红区,请向信管办申请例外权限,请不要以任何方式,将公司及客户保密信息保存到私人设备或向外部传递(包括但不限于拍照、截屏、录像、微信社交媒体等)。还有,请不要对公司保密信息进行打印,尤其是到外面打印店打印。如因工作需要,则需按照公司信息安全规定执行。
由于在家办公,自由时间较多,打游戏成为不少人消遣的娱乐。一般家庭中,往往只拥有一两台电脑设备,不少人打游戏时,喜欢下载各种攻略、外挂等软件。事实上,大量病毒木马就喜欢潜藏在这类软件之中。
安全意识与安全工具同样重要
当下安全厂商纷纷涌现,若无确真核心技术,早已被大浪淘沙,淘汰出局。对于未来,通付盾不仅要用科技之剑为用户抵御潜藏的网络风险,同时更要用科技之犁普惠广大用户,这也是通付盾一直以来所坚持的初心和信念。