互联网资安风控实战

本文来自：OTCBTC首席执行官-郑易廷

前言

我近几年来，写了很多书。各有不一样特点，有增加方面的书籍，也有创业的书籍，教人学习、编程、分析财报的书籍等等。不少人可能好奇为何我如今又要写一本书新书，并且仍是「互联网服务安全实战」如今生僻的选题。其实，这个主题一直以来，就是我很想写的一本书。
互联网服务的设计安全，一直是一个被行业与大众忽略的议题。
这个主题不是不重要，而是诸多因素，形成这个议题很难被重视：

• 设计安全服务的成本巨大，一个初创企业，在创业过程当中，每每关注的是获利与生存，故无暇投资在这方面的建设。

• 企业没有被攻击过，就不知道安全的重要性，更没法想像这里面的水有多深。

• 安全人才难觅，安全每每是 by design 的。一般企业通常来讲没法自行培养出有安全意识的架构师与风控部门。这一类的人才，每每是有过大型服务的互联网公司，才有相关的意识训练。

• 所谓安全的系统，是以控制风险与多重校验做为主要手段。而此类的设计，每每会在正常业务上附加上很是多复杂的 overhead。除非业务已定型成熟，须要进入到风险控制阶段，不然开发人员并没有意愿加入相似的设计。

• 安全是有价的。并且是极高的代价。除非该间网路公司经营的是一间与金融高度相关的产业，若是只是一个博客或者互联网社群服务，一般此类公司对于「安全」的需求设计相对较低。由于若遭受到黑客攻击，用户资料被盗，咱们能够问问，使用者或企业的损失会是什么？若是「只是」「密码被盗」，而「密码被盗」并不会连锁致使使用者的其余重要资产连锁被盗。则企业可能会轻视，甚至意识不到这当中的危险性，而选择不加以防范。

• 资安与风控都是稀缺人才。并非想要补强就能补强。有时候，一些企业连谘询求助对象都没有。

• 企业被黑入，不少时候都是选择与黑客私了，或者是受害用户私了。许多过去宝贵经验没法分享，由于有些这一类的经验甚至分享以后，会形成更大的行业灾难。

基于以上种种缘由。这一类的信息很难被交流，甚至坊间不多有相关书籍，或者是业界熟手能够求教。

我过去由于经营一间小有规模区块链交易所，在这一两年经营、开发、经手、协助无数次的资安风控事件。累积了至关多行业设计知识。咱们公司的交易所，八万多行代码，其中有 1/3 的代码都是风控相关。

而与熟识的资安顾问交流后，认为这几年我累积下来的行业知识很是宝贵，并且甚至部分可能领先业界。

所以想藉由这个机会，将相关的知识公开，可以造福互联网业界，下降并防范你们的损失。

这本书会谈哪一些主题？

    区块链交易所，是一个很是奇特的产业。过去互联网世界，从未有同时间，有这么多竞争者，同时涌入同一个领域。根据坊间统计，可能在 2017-2019 年，在世界上就诞生了接近万间交易所。厮杀的无比惨烈。不少人会涌入这个行业的主要缘由，多半是冲著「钱」而来。
外界与行业里的人都有一个错觉，开交易所「很是赚钱」，主要业务是「割韭菜」。但事实上真是这样吗？
虽然在这一两年，虽然行业有这么多交易所开张了。可是，必需要说，不少交易所不但割不到韭菜，反而还被韭菜与黑客割的更严重，开张一个月即破产倒闭的币所比比皆是。
交易所方每每戏称，在这一场区块链趋势里面，赚最多钱的职业，可能不是开交易所。而是「黑客」与「区块链安全审计公司」。
一些人知道我开币所，每每兴冲冲的想要谘询我关于这一行的相关知识。我每每会劝阻他们。
由于这行水很是深，若是创业团队里面不具有有背景深厚且通晓资安的架构师，不要轻易尝试。
区块链这一行并不如通常互联网行业，只要你的服务背后接了一个钱包，无论你是开交易所，托管，企业钱包，区块链游戏，「资安挑战都等同于开一个币所」。
由于只要你防护失败了，损失的每每不单只有数据库的资料，而是企业资产（公司的币，与客户的币）会被提领一空。
互联网创业这一行，没有什么比区块链这个行业更高风险的类别了。
这是那些一头热想要栽进这个行业里面跟风的人，没法想像的世界。
这些人所在的世界，以前是不太可能碰到什么风险的，因此再多的口头警告，都没法劝退他们，反而对方还会认为你是在挡他财路。
不少人认为，区块链行业是个新兴很是有前景的行业。
但说白了，区块链行业只是另一种型态的互联网金融行业。并且这个行业可能远远较管理实体金钱的互联网金融行业风险更大。由于起码银行账号的钱，是搬不走的。而区块链公司里面的钱，只要你的服务被渗透了，不仅用户的钱会被偷走，企业也有一夕之间面临倒闭的风险。能够说，区块链行业里面碰到的 case，可能都会是你在互联网行业碰到最极端的设计。这本书里面，我会从两个角度去谈。包括风险管理和风险控制。
主要从几个面象去谈以及防护：

1. 如何防范使用者资料被盗，而且下降损失

2. 如何设计相对安全的技术架构，阻断连环损失

3. 如何拦下恶意使用者针对系统的恶意攻击

4. 当公司管理的钱一大，没有人可以防护变质的人心，如何预防内鬼，而且下降损失。

5. 如何预先创建风控策略，与外部团队联手合做。

但愿你们在阅读完这本书以后，可以有所收获。

打造互联网金融企业安全与风控的实战手册。

以区块链交易所为例。

书中会谈及主题：

1. 如何防范使用者资料被盗，而且下降损失

2. 如何设计相对安全的技术架构，阻断连环损失

3. 如何拦下恶意使用者针对系统的恶意攻击

4. 当公司管理的钱一大，没有人可以防护变质的人心，如何预防内鬼，而且下降损失。

5. 如何预先创建风控策略，与外部团队联手合做。

本文分享自微信公众号 - 糖果的实验室（mycandylab）。
若有侵权，请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”，欢迎正在阅读的你也加入，一块儿分享。