11月1日,由中国信通院主办的2019中国金融科技产业峰会进入了第二天分论坛环节。其中,分论坛二《区块链与加密技术在金融领域应用》在中国信通院云大所金融科技部技术总监许一骏主持下隆重召开。
会上,来自东吴证券股份有限公司信息技术总部总经理助理张之浩先生进行了主题为“区块链驱动金融信息系统的可信安全”的分享。
东吴证券股份有限公司信息技术总部总经理助理张之浩
张之浩:各位领导、各位专家:
大家上午好!
区块链有几个特性:1.去中心化;2.防篡改;3.存证和溯源。在证券行业想做完全的去中心化是不太现实的,不可能把最核心的核心机构去掉,其实在去中心化的时候,我们在场外的一些交易,尤其对于交易频度不是特别高的地方可以做部分去中心化。我们也在思考,证券公司区块链能做什么东西?习总书记介绍区块链之前,大家总认为区块链技术不够成熟,其实区块链有两大特性,存证溯源、防篡改,东吴证券做了前期探索主要用这两个特性去做安全相关的探索。今天演讲的主题是关于区块链驱动金融信息系统的可信安全。
相关背景
当时做区块链时是2017年,《网络安全法》刚刚颁布,包括等保2.0征求意见稿刚刚出来时,想用区块链做一些安全的东西,用原有信息安全技术是否能够达到真正所谓的安全?我们在思考,满足等保2.0和未来规划免疫安全完全不是一个概念。
传统的信息安全通过什么方式?这个痛点比较痛,做安全时,基本都做黑名单,所有防火墙也好,非法入侵检测软件也好,包括有些其他加密算法也好,往往都是针对黑名单去做的,就是哪些人不能够访问我的机器,哪些人不能篡改我的数据。我们作为券商或作为金融机构,是不知道漏洞的,只能知道什么时候出补丁,什么时候爆发病毒,再去杀病毒,这个痛点非常痛。
近几年,尤其金融行业对于整个信息系统安全是在整个软件全流程过程中都有所涉及的。之前做过一个调查,如果在软件开发前期发现漏洞,比真的上线之后再发现漏洞成本会低很多。我们思考在整个软件开发过程中或者在整个软件上线过程中,对于金融行业来说,是不是能及早发现原有漏洞,用区块链方式保护核心数据、核心文件,这是我们一个关注点。所以我们基本提出的背景是信息安全在金融行业怎么使用区块链。
技术创新
当时提出一个项目目标,希望能够在整个金融行业体系中把安全加到整个体系中,通过区块链的方式保护我们核心数据不被篡改,或者一些核心代码,包括电子合同能上链做存证、做溯源,这是我们当时提出的主要目标。主体思想就是希望能够用一些新的技术,包括区块链、可信计算、人工智能技术,在每一个阶段把整个开发过程中做到更安全,这是我们提出的一个目标,而不是传统的到最后上线交付之后,交给信息安全团队,让他们用防火墙,让他们做相关抵御和入侵,往往成本和效果不是特别好的。
我们当时提出一个新的想法,结合区块链本身防篡改或可溯源的特点,实现数据存储与共享过程中,关键数据的上链。区块链本质是分布式的,数据其实是很多份的,区块链在应用过程中还有一点相对来说不是那么方便的地方,就是整个共识速度相对比较慢。在应用场景时,我们也做了一些共识算法的改进,但真正在做过程中,只是把一些关键数据、核心数据上链,包括当时还跟交易所做过一些联盟链的探索,把核心文件哈希上链,也很有用,把核心数据、核心日志上链,至少可以校验出现在文件和数据是否被篡改过,或这些代码什么时候上传上去,什么时候改过,整个溯源过程比较好。
除此以外,还提出用可信计算,这也是比较创新,跟北京大学做的相关合作。为什么把区块链和可信计算放在一起?既然做安全,区块链保护的是数据,谁来保护区块链?现在很信任区块链,但有可能区块链的底层环境出现问题,有可能黑客入侵,也有可能内部人员运维过程中或开发人员运维过程中出现一些问题,导致出现一些问题,我们做区块链时,把可信计算加进来的目标就是用来保护区块链。例,我们一直相信杀毒软件,但是我曾经见过有些病毒模仿成杀毒软件,把杀毒软件干掉了,然后它在你的机器里,其实你运行的杀毒软件已经不是真正杀毒软件了。
可信计算主要目标是希望即便黑客或一些运维人员、所谓“内鬼”拿到运行权限以后也不能篡改运行环境。
实践成果
在区块链里做了哪些东西?用区块链,一定是在共识算法方面做一些优化,和北京大学做了相关优化,前期做私有链时相对比较简单。从我的角度来看,只是在用区块链,具体相关优化的东西可能是用各家供应商或厂商会做,所以我们当时跟北京大学联合做了区块链整个共识算法的优化,整体用可信计算之后,区块链在做共识过程中,每发生一笔交易,去做一次记账、做一次共识。我们核心思路就是通过投票方式,在发生交易之前就已经做相关共识和算法,并且推选相关可信的长期节点出来,就像选人大代表一样,原来的方法是有10万个人,50%以上的人要选举投票,现在选取人大代表出来之后,最后真正投票的可能只有10个人,速度会快很多。所以在私有链时做相关优化,整个速度相对来说比较快。主要用的是核心数据上链。
整个项目研发和探索过程中主要是跟高校做相关科研验证,我们做相关应用落地,东吴证券态势感知平台主要目标是实现核心日志和数据防篡改,我们现在把合同做成电子化,所有签的电子合同的版本和时间全部都上链。例,客户理财是8个点,当时签的时候是9个点,我不承认,你当时肯定改了,现在跟交易所或几个券商,甚至跟银行做一个私有链、联盟链,上链之后,可以追溯,看得到你是什么时候签这个版本,谁签的,在什么地方签的,签的版本是什么样,具体细节是什么样,完全可以上链,完全是不可以篡改,而且相当于存证和追溯比较好做的。
态势感知平台,当时建了三个节点,做了文件防篡改和溯源。
规划展望
前期我们做探索时,是很懵的,怎用区块链?我们尝试用区块链解决一些技术上的问题,后续希望能够把区块链应用到我们真实的交易场景。包括ABS、资产证券化、场外市场交易很多可以上链,但要一步一步积累,我们首先要先有这条链,先懂得区块链是什么东西,后续可以逐步把业务的一些东西放到链上,这是比较重要的一个点。
东吴证券也在跟上海交易所做相关监管类的区块链,可能会在证券行业做一个联盟链,把相关监管日志和信息、哈希值上链,实时检验日志的安全性,包括监管的安全性,也解决了行业一个痛点。整体而言,希望通过用可信计算作为一个底层IaaS平台,上层做一个区块链PaaS平台,之上可以做非常多的东西,所有的开发、运维、软件运行,可以在上面做SaaS平台。我们大致的方向和发展,就是自下而上的环节。
欢迎大家后续有一些好的想法,来跟东吴证券做交流,谢谢大家!