首页 » 行业声音

中国工商银行苏恒:区块链信息内容安全保障实践分享

时间: 2019-04-17 11:32     浏览次数:108    来源:未知

由工业和信息化部、深圳市人民政府主办,中国通信学会、中国互联网协会互联网金融工作委员会、金融科技创新联盟、深圳市商用密码行业协会承办、中国金融信息网协办的“2019中国国际区块链技术与应用大会”在深圳成功召开。中国工商银行软件开发中心总经理助理苏恒出席大会并发表主题演讲。

中国工商银行软件开发中心总经理助理苏恒

以下为苏恒发言实录:

尊敬的李司长、容院士、各位嘉宾,各位朋友:

大家好!我是工行软件开发中心苏恒,今天有幸在这里跟大家就我们在区块链信息内容安全保障治理方面的实践和做的一些工作做个分享。

我们看到,互联网的发展不断交替叠加,重复着信息互联网-价值互联网-秩序互联网的螺旋式发展之路(这是大数据战略重点实验室研究成果,见《块数据3.0》一书),我非常认同。不同的人、不同的社团、以及管理机构,均围绕着自身对利益的诉求在其中不断进行试探、博弈和治理,其中涉及信息内容传播方面尤为显得敏感,远的如快播、近的如近期在新西兰发生的对枪击事件直播,成就了一个看似无序、混沌的互联网世界。过程中,主流民意从未放弃过对政府主导监管,构建秩序互联网环境诉求。

区块链是互联网发展的产物,随着区块链技术在各行业不断获得应用,因其与生俱来的技术基因特质--分布式账本、隐私保护、共识机制,一方面给很多如信息共享、版权管理、产品溯源等应用带来了新的解决思路和应用突破;另一方面因其交易匿名、存证内容不可篡改等特性也给当今社会带来了新的问题,构成了新的挑战。

今年2月14日,国家互联网信息办公室公布了《区块链信息服务管理规定》,我们认为,这对于从事区块链技术研究和应用业者来说,是一个里程碑式的事件,《规定》为在中国境内从事区块链服务澄明了要求,明确了主体权责。

区块链基于规则而生,其通过分布式账本技术、智能合约和P2P网络技术建立起一套共识共治机制,形成可记录、可追溯、可确权、隐私保护等的技术约束力,可确保运行在其之上信息的真实性和公开透明,解决了不同交易主体在不同时空的信用交易问题。区块链有别于传统系统设计中更多对交易处理结果的存储予以特别关注的特点,天生强调对原始贴源交易请求数据、交易背景和处理结果的存证与保护,由时序交易串接起来的区块链+存证电子交易数据本身就是一条不可篡改的执行证据链。也因为这点特性,为我们对互联网信息可信共享提供了新的技术解决思路和办法,也提供了将互联网状态下的流动数据纳入可监管和可共享框架内予以管理的能力。业内对区块链技术研究一般围绕着“分布式账本、隐私保护、共识机制”这个不变的基因组合演进发展,聚焦于不断提升对数据的处理效率和处理能力。但对由区块链应用带来的交易信息内容整体安全管理体系的治理却相对落后于对技术的推动。随着外部应用过程中带来问题的涌现,外界的担心、质疑、博弈就会随之而来。。。。。。

国信办在《区块链信息服务管理规定》中提出须建立健全用户注册、信息审核、应急处置、安全防护等管理制度,明确要求区块链信息服务提供者应落实信息内容安全管理责任,为从业者如何对标治理明确了方向。我认为既然由时序交易串接起来的区块链+存证电子交易数据本身就是一条不可篡改的执行证据链。既为“证据”,就得符合合法性、关联性和客观性的“三性”要求。无规矩不成方圆,从规范区块链应用设计入手开展对区块链信息内容安全管理的治理,构成了我们基础工作的重要组成部分,这也不是只为了落实《规定》要求,而是为了让自己工作行稳致远。

综合这部分治理工作,主要聚焦五部分内容,包括:交易来源管理、交易报文设计、交易内容识别、交易信息保全、取证与隔离管理五个方向。

一在交易来源管理治理方向。回顾互联网发展前期,曾经的匿名发表成为很多人自认为天然拥有的一种必然权利,于是社会出现了“不负责任”现象,如今,实名成为要求、也成为了潮流,特别在新技术层出不穷的今天,匿名已不再是百分百,真实才是负责任的体现,是互信的基础。用户如实申报,平台提供商尽责核实,服务约定、服务备案、依约管控,是治理交易来源的思路,其中对“用户身份和备案材料证真实性和完整性治理”、对“用户接入合法性管理”、对“三方协议管理有效性管理”三点,是我们治理的重点。

二在交易报文设计治理方向。记得我第一次接触比特币区块链,发现BlockChain里面记录的就是一个个交易的故事,存证记录承载了故事发生的事件、人物、做了什么事等内容,目的是要做到不可抵赖,是标榜可信平台、可信交易的证明。可见规范对区块链交易报文的设计非常重要,因而成为我们的特别关注点。当然,关注它并不是因为有了区块链应用才去这样做,没区块链,我们也一直如是。我们知道,传统设计关注的是对结果的有选择记录,因而成就其具有的“不可逆”特点,区块链记录的是原始的故事,将该故事放回发生的时空,理论上是可以“重播”。基于这样的认识,包括对交易输入请求(I)、交易处理背景(P)、交易输出结果(O)的分类提出设计指引,忠实记录交易的流转处理过程,显得非常重要,细致之处包括输入部分要体现用户、设备/渠道、时间、活动、完整的记账凭证要素等、处理部分要记录智能合约执行的背景,输出部分如实记录执行结果和提交的下一手执行环节信息等。

三在交易内容识别提升方向。实话说,内容很重要,识别内容很有挑战性。对信息内容安全管理工作的敬畏,是促使《规定》出台的背景原因。传统的对结构化报文数据进行字段、字段与字段间关联关系的合法性检查,问题都不太大。困难在于对加密存储的私有数据,特别是非结构化数据的识别方面。我相信在这方面对于从事提供内容服务的互联网企业会有相当大的技术储备和能力,目前他们会做得更好。现在我们可以去做到并正在做的是,运用语音、图片、视频、自然语言处理等技术赋予的我们大数据处理能力,在获得授权情况下,通过在生产上对策略的部署,实施对交易内容依法依规的识别,拦截和审核,尽力配合监管部门净化交易环境。

四在交易信息保全提升方向。随着技术的进步和平台能力的增强,我们对交易信息保全技术手段愈加丰富。考虑对信息在同一系统同一链内数据与数据之间、同一系统不同链内数据间、同构和异构系统跨链数据间、链上数据与链下数据间,对同一交易电子数据的安全保全,确保交易证据的完整性、一致性、不可篡改、隐私保护,这是我们对交易信息保全能力的提升要求。通过区块链+证书认证+存证电子交易数据,实现对电子交易数据内容和交易时间的实时持久固化,确保在系统内信息的可信存储,系统间信息的可信关联,构成了我们对这部分治理工作的总体思路。

五在对交易信息取证与隔离管理治理方向。我们知道,国家赋予相关监管部门监督管理权利,其中包括调查取证权、询问权、查阅复制和封存权、以及申请司法机关冻结权。利用区块链技术存证的交易行为和数字资产,其权属属于交付的个人或组织用户所有,因区块链特有的隐私保护能力,作为区块链信息服务提供者,我们认为必须具备配合监管部门依法依规完成全套的调查取证和信息封存隔离的智能合约交易能力,并要求所有的这类操作均通过智能合约存证在区块链中,经得起审计的调查。

以上是今天的分享内容,欢迎大家指正,交流。最后补充这三点,我们认为:第一、作为区块链信息服务提供者,必须高度重视对信息内容安全管理治理,并将治理工作贯穿始终。第二、区块链的未来是基于秩序之上的价值交换网络,合规、安全、确权是区块链未来的发展趋势。第三、建基在区块链之上的新一代跨领域、跨业务、信息互通、能力互享、价值互换的秩序互联网正在形成。
 

会议合作:

电话:010–58561510/1512

邮箱:vip@fintechcn.org