投资企业级区块链，你必须要了解这些！

1、什献垴淄睬么是企业级区块链平台首先，企业级区块链平台通常包括：• 同意共享该平台的机构网络；• 作为网络成员的机构，对数据和交易拥有不同级别的权限；• 该嫌嗳动垴平台的结构，包括所有管理区块链、平台功能和用例的共享系统、基础设施和应用程序；• 与平台进行交互并影响区块链数据的应用程序；• 区块链数据，包括储存在区块链的信息和提供给官方机构成员的数据元素；• 一个创建并可能托管区块链平台的供应商。企业级区块链平台提供商通常基于云计算技术提供动态可扩展性、中立性和一致的访问路径。因此，平台的组件和安全性通常是黑箱，但这并不意味着安全性得到保证。在选择平台供应商并加入区块链网络之前，一个机构必须完成大量的法律审查，并进行跨网络信任、治理和技术审查。所有评估都需要包括安全因素。一些供应商的企业级区块链包括终端用户使用的应用程序，而其他平台只是通过应用编程接口（API）对外公开的系统。无论是哪个类型，都需要对这些应用程序进行安全控制。每个组件必须遵守和利用那些保证业务连续性和运营效率的公司政策、标准、流程和技术。为了建立跨网络信任，成员机构需要共享并执行相同的应用安全控制信息

3、如何对区块链平台进行安全评估评估供应商的安全状况后，下一个主要任务是评估平台本身。这个步骤实际上是对供应商评估的扩展，但是需要其他成员机构的参与和同意

5、功能用例从定义用例开始，通过合同的形式与供应商进行详细规定。通常包括创建交易、批准交易、查找数据和其他业务功能。每个用例定义应该包含安全活动和组件交互，例如多因素身份验证(MFA)、验证批准交易的权利、加密和解密以及 API 安全性

7、基于云技术的安全控制云安全联盟 (CSA)和类似机构的安全框架是评估区块链平台的良好基础。虽然全面了解平台组件是很好的事情，但大多数供应商不会透露他们的知识产权。因此，成员机构必须提出问题，并且尽可能地进行量化和定性。CSA 提供了一个很好的框架，可以帮助公司寻求详细的答案

9、数据所有权最佳做法是避免在区块链存储敏感数据，只上传共享和参考信息。这种策略可以让区块链的规模可控，同时保持尽可能高的性能。这也意味着数据在权威机构之间分发。因此，必须定义并写明哪些成员拥有每个数据元素，如何访问或验证，谁可以访问以及所有者如何保护它。当多个成员在不同条件下对同一数据元素具有权威性时，这一点就尤其复杂。如果存储个人验证信息 (PII)，还会受到《通用数据保护条例》(GDPR)要求的影响

11、如何保护区块链应用程序的安全假设每个企褂偶裢蜮业级区块链的应用程序由成员单独管理，那么就更容易控制其安全性。一般来说，保护这些程序需要特别关注以下领域：实施公鸶恐抻台司安全标准和系统应使用所有公司政策、标准和通用安全平台，从而保证一致性、可靠性、熟悉度和运营效率。例如，企业标准身份和访问管理（IAM）工具应该用于身份验证、MFA、访问控制和身份数据存储。同样，应该使用安全软件开发生命周期（SDLC）和应用程序扫描工具来确保代码开发和部署的安全性。如果公司没有针对所使用技术的集成模式或特定安全策略，那就趁此机会创建。假设最高等级的风险分类数据假设区块链将管理最高等级的风险分类数据。即使你的成员机构可能无法管理或访问机密信息，而其他成员或许可以。假设最高等级的风险分类数据也表明对其他成员的安全承诺，从而在网络中建立信任。执行 MFA人类通常是安全中最薄弱的环节，而 MFA 有助于对抗这种风险。MFA 已经成为云计算应用的事实标准，也应该应用到区块链领域。因为区块链具备分布式的特性，而数据具有潜在敏感性，并且有必要与其他成员逐渐培养信任。保证身份识别 API 的安全性大多数区块链依赖 API，并且在未来还会继续。API 安全最佳实践包括每个 API 调用关联用户标识和会话信息。这也应该是区块链应用程序的标准做法，因为它提供了审计跟踪，并且允许实行功能级权利。执行最强加密密钥管理确保你的机构拥有强大可靠的密钥管理系统。区块链基于加密数据的使用，而区块链网络可能包含成百上千的加密密钥。手动管理这些密钥需要花费大量精力，但是保护数据和成员机构的安全至关重要。关联安全事件成员应该尽可能透明地共享安全事件信息。保密协议 (NDA) 应允许成员传递安全事故的司法鉴定信息。虽然可能很难共享一个安全信息和事件管理 (SIEM)系统，但是应该建立安全事件馈送，通过平台向成员传输信息，并且成员之间提供选定的事件信息