数据分析与隐私安全成 Web3.0 成败关键因素,企业如何布局?
邱祥宇7 月 20 日,由巴比特和亚马逊云科技联合主办的《Web3.0 数据分析与隐私安全》活动在中国(杭州)未来区块链创新中心举办,亚马逊云科技解决方案架构师倪赛龙、亚马逊云科技解决方案架构师区域经理 韩思捷、数美科技华东区解决方案专家王秋元、ADVANCE.AI高级数据科学家陈硕、MotorN技术部智能合约部经理Water等众多行业领袖做了精彩分享。
倪赛龙首先在主题演讲环节分享了亚马逊云科技在 Web3.0 数据分析与隐私安全上的一揽子解决方案,包括读取和修改链上数据的参考架构、资产托管架构、丰富的一键部署方案、无处不在的加密服务 KMS、可信计算 - AWS Nitro Enclave 等。
其中,KMS 是一个托管私钥的数据加密服务,它背后其实是有加密机的,通过这个服务可以做云上的加密和解密。KMS 的调用是基于身份权限去做控制的,调用之后的所有的审计记录都会存储起来,我们就可以很清楚看到谁调用这个服务去解密了某个私钥,所以这个服务是亚马逊云科技做云上的数字资产保护最重要的一个服务。
AWS Nitro Enclave 是一项新的 EC2 功能,使客户能够创建隔离的计算环境 (Enclaves) 来进一步保护和安全地处理高度敏感的数据,例如其 Amazon EC2 实例中的个人身份信息 (PII)、医疗保健、金融和知识产权数据。Nitro Enclave 可帮助客户减少他们用于处理最敏感数据的应用程序的攻击面。
当我们去做区块链相关的签名操作的时候需要私钥,在拿出私钥的时候有可能会被黑客内存嗅探操作系统内存以获取私钥造成资产损失。AWS Nitro Enclave 里面完全隔离了一个 CPU 和内存空间,用户在里面可以放心地执行私钥的生成以及签名等敏感操作。
数据安全保护就像买车险,不能抱侥幸心理
目前国内商业公司对数据的隐私和安全保护通常重视程度不够,数据裸奔的情况屡见不鲜。
在圆桌分享环节,韩思捷认为,由于在很多企业的观念里安全是花钱的部门,而且看不到明显的收益,所以就没有足够动力在安全上面投入足够的人力和资源。然而,数据安全保护就像车险,如果车主认为自己开车不会出事,别人也不会来撞,当然可以不用买车险。但是安全事件发生是必然的,只是时间早晚的问题。
王秋元表示,自己在做债券业务风控的业务过程中会遇一些客户在公司体量小的时候,是不重视安全问题的。然而每个人数据都是有价值的,怎么把这些价值回归到用户本身的同时把数据安全做好,是每家公司都必须要回答问题。现在市场对于首席安全官职位的需求度越来越高,从侧面反映出市场对于安全认知是越来越重视的。
数据分析和安全在 web3.0 时代的应用实践
在数据的隐私保护上,嘉宾们分享了他们的经验。
韩思捷详细展开介绍了亚马逊云科技在保护数据安全方面的要求。
第一,责任共担。双方互相协定好安全的一个边界,亚马逊云科技负责虚拟化层面往下,包括虚拟化层,主机硬件、机房,而虚机的操作系统以及应用则由客户来进行安全防护。对于亚马逊云科技来说,更多的是提供一些工具或者最佳实践来协助我们的用户做好安全保护。
第二点,安全理念。亚马逊云科技在实践中采取“洋葱模型”的安全理念,层层展开,层层递进。最外层是监控和报警,需要构建好整个监控体系监控安全事件,再往里一层是身份认证和管理,对需要访问系统的人,都需要进行身份的认证和授权。再往里一层是基础架构的网络安全体系,比如WAF,DDoS,防火墙等都要设置好。第四层是数据防护,最基本的是对数据进行KMS加密,敏感数据可以放到Nitro Enclave这样的隔离环境里处理,即便被黑客拿到主机的最高用户权限,也看不到里面的数据。第五层是风险管控与合规,亚马逊云科技可以通过定期运行一些合规检查来判断整个环境是否是正常安全的环境。
王秋元分享了数美科技对于个人信息安全的保护措施,在数据生命周期的各个阶段,如数据存储、数据采集、数据传输、数据处理等,都采取了不同的措施来保障个人信息的安全。比如在数据传输前会对不同数据设置不同的数据保密等级,从而采用不同的加密方式,比如移动端设备数据通过RSA+AES进行加密。
陈硕分享了 ADVANCE.AI 在保障数据隐私安全和真实性方面的三个实践经验。
第一,拥抱新技术。比如像隐私计算这样的技术,在国内已经有一定的落地实践,在ADVANCE.AI 的主要市场东南亚,这块的应用还处于相对空白状态,ADVANCE.AI 也会做一些探索和布局。
第二,和数据的官方提供商保持更紧密的合作,一方面保障数据本身的合规,另一方面也保证数据本身的真实性。此外,与本地的数据拥有方合作,以输出 AI 建模能力的方式,帮他们去做数字化转型和数据资产的变现。
第三,严格把控内部数据访问权限,比如分层的机制和环境的隔离,定期模型的审查以及数据质量的审查。
Water 介绍了 MotorN 主打的市场是新加坡,在新加坡的服务器数据是不出境的,严格遵守当地监管政策法规。
Web3 的创投机会在哪里
7 月 12 日,上海市人民政府办公厅印发《上海市数字经济发展“十四五”规划》。《规划》指出,支持探索 NFT 交易平台建设,研究推动 NFT 等资产数字化、数字 IP 全球化流通、数字确权保护等相关业态在上海先行先试。
韩思捷认为,上海发布的《上海市数字经济发展“十四五”规划》里明确提出了很多热点赛道,比如数据可信交易、分布式存储、NFT 以及数字藏品等,这些政策鼓励发展的方向,未来必然会有更多的资金涌入,是重点发展的方向。从个人角度看,看好钱包、数据聚合以及链游三个方向。因为钱包是流量入口,会随着 Web3 的生态发展不断变大,价值不断凸显。数据聚合平台也是流量入口,可以让用户选择不同的协议。链游会从目前的 X 2 earn 向真正的 3 A 大作发展,X 2 earn 长期来看容易变成死亡螺旋,提高游戏的可玩性的 3 A 大作是发展趋势。
王秋元表示看好游戏赛道,链游以星火燎原之势迅速发展,其成功也说明区块链游戏是受大众所认可的。而完整的游戏世界中自成体系的交易系统与分布式账本技术拥有天然的契合,虚拟与现实终会在web3上产生连接。
陈硕表示,从 2 B 数据分析看,目前链上数据格式不统一,链上数据的分析整理和各个 DAPP 自有请求数据分析结合的场景会是未来发展方向。从 2 C 看,流量是最重要的,移动端和高频的应用类的属性的工具会是发展方向。
Water 表示,看好元宇宙、数据挖掘相关以及 GameFi。