資管專題聽講心得-私有區塊鏈應用之安全風險評估機制

資訊管理學系暨研究所

撰文者/資訊管理學研究所碩二 李⽻浩

任教於臺灣科技大學資管系的查⼠朝教授在資安領域有深厚的底子與經驗,甚至有相當多的證照作為證明。查教授有提到他近年進行的專案,其中像是電子發票相關的驅動程式修正與Gogoro 的漏洞讓我印象最深刻。前者的背景是在於最後採購的裝置與開發的裝置不同,導致原先的程式無法在新的平板上執行。由於先前的經驗讓查教授能在短時間內重新寫一個驅動程式。至於後者則是發現Gogoro 的一些啟動機制有安全性的漏洞,甚至曾在資安的會議上發表。這兩個專案體現出教授是一個橫跨許多領域的專家,且在相當底層的程式設計都難不倒他。

查教授首先介紹關於區塊鏈的內容,以及其風險評估機制。他提到,在正常的運作機制下,區塊鏈能擁有完整性與可用性,因為其內容能保證不被竄改、並透過分散式帳本多人共同監督。然而是否具有機密性?實際上,區塊鏈最底層的設計是沒有的,需要透過其他層面的機制來保護他的機密性。

區塊鏈分為公有鍊以及私有鍊,但要如何評估兩者的風險?只看底層架構的技術是否足夠?要從哪些面向思考?是否有一些公正的參考依據?他提到,無論是何種資訊安全相關的評估都可以參照:「目標 -> 威脅 -> 控制 -> 校準」的順序來評估,區塊鏈也一樣。訂定一些目標,評估其中的威脅有哪些、或實際面臨的威脅是什麼,接著提出控制的方案並對其提出校準的措施。

整場演講收益匪淺,我覺得查教授能在許多領域都有相當深厚的實力與表現就是因為學理的根基穩固。打好基礎在不同領域僅是應用而已。像是他原先是在系統、裝置的資訊安全有相當的經歷,隨著近年區塊鏈的發展,讓他在跨族這個領域之後也能用原先的基礎針對區塊鏈的資訊安全有所研究與了解。可見基礎的重要性。

除此之外在最後的Q&A 也有相當多的討論話題。其中關於區塊鏈應用的討論相當發人深省。區塊鏈的設計本是去中心化,然而若是在應用層面反而需要⼀個中⼼進行管理,是否本末倒置?又或者是擷取兩邊的優點,在足夠讓人能信任的條件下尋求更好的應⽤?實在值得好好思考!