Voice of the MANXers Series #3 Ru

Третья сессия AMA MANX посвящена сетевой безопасности. Сессия проходила в закрытом сообществе MANX Academy of Token Economics (MATE), предназначенном для информационных и образовательных дискуссий по вопросам всех аспектов, касающихся технологии блокчейн. Участники сообщества отбираются по итогам их активного участия в основных группах MANX.

Сессия проводилась при участии Dr. Yang Tang (глава отдела сетевой безопасности), Dr. Yawei Cui (соучредитель), модерацию осуществляла Jennifer Bie-Purewal (глава сообществ MANX). Стенограмма отредактирована для правильного восприятия информации.


Jennifer: В чем основные отличия между безопасностью на блокчейне и сетевой безопасностью?

Yang : Для защиты основной компьютерной системы могут быть использованы аппаратные средства за счет централизованного развертывания самой системы. Но на блокчейне (P2P сетях) все должно быть надежнее. Необходимо имплементировать динамическую политику безопасности для защиты с помощью мощных алгоритмов шифрования и полноценного анализа, зависящего от потребительской среды. В то же время код должен быть внимательно проверен. MANX делает все эти вещи.

Yawei : Вопрос из китайского сообщества. Мы заметили, что Вы в этой сфере давно и работали в крупнейшем банке Китая China Consruction Bank. Как Вы планируете использовать свой опыт в MANX, проект которого значительно меньше?

Yang: MANX это новая блокчейн инфраструктура. Его дизайнерские идеи круты и беспрецедентны. MANX впитает мой опыт по информационной безопасности, который я получил крупнейшем мировом банке.

MANXer V: Создание блокчейна, как правило, приводит к серьезному компромиссу в отношении безопасности (есть, конечно, пути обхода, но большинство из них не так элегантны). Как на счет MANX? Какие проблемы Вы готовы решать сейчас, а какие в будущем?

Yang: Архитектура MANX нацелена на построение многоуровневой финансовой, надежной и проактивной блокчейн системы безопасности для обеспечения продуманных, комплексных, открытых и необходимых сервисов безопасности.

1) Безопасные фондовые транзакции, клиентская информация.

2) Баланс между безопасностью транзакций и опытом потребителя.

3) Уровень ресурсов, полный цикл защиты.

MANXer T: Каким образом организована политика сетевой безопасности? Я имею ввиду, что все делают продукт безопасным, но не всегда этого достаточно. У Вас есть своя команда или вы отдадите на аутсорс?

Yawei: Мы строим команду сейчас. Что же касаемо политики в общем — цель TPS это эффективность, цель задач безопасности — обеспечение защиты активов. MANX считает защиту активов важным критерием. Будут приняты все необходимые меры по повышению безопасности, эффективности обработки, что бы соответствовать требованиям, касающимся TPS целей и требованиям безопасности.

MANXer N: Правдиво ли утверждение: «Лучше безопасность — меньше скорость?»

Yawei: Ваш вопрос, в основном, касается взаимосвязи между безопасностью и скоростью. Прежде всего, мы не считаем, что скорость и безопасность могут конфликтовать. Здесь нет однозначного выбора. Мы считаем, что реальная безопасность заключается в знании потребностей бизнеса, таких как проектирование инфраструктурных целей TPS. Меры безопасности могут быть усилены контролем авторизации, сменой формата шифрования, влиянием на правила бизнеса, то есть исключительно комплексно. Необходимо всегда искать точку равновесия.

Yang является экспертом в банковской индустрии. Банки же, в свою очередь, всегда проводят хорошую работу с безопасностью. Обеспечение безопасности и технология приложений в MANX всегда будет следовать девизу «безопасность — это сервис».

MANXer M: Сейчас всем кажется, что отслеживая Github, можно контролировать команду. Я не говорю о вреде или же пользе этого. Мои вопросы таковы:
1) Необходимо ли это?
2) Безопасно ли это?
3) Каким деталям команда должна уделять максимальное внимание для обеспечения безопасности баз данных и конфиденциальности, вовлеченных в проект?

Yang: Ведение Github это прекрасная возможность показать всем прогресс, которого достигла команда. Но это не значит, что основные разработки будут открыты, особенно касательно уязвимости систем. Мы поэтапно будем открывать свои наработки для помощи разработчикам и потребителям в понимании и использовании, ибо мы хотим создать больше проработанных продуктов для малых и средних предприятий. Вот почему мы так же запустили MATE. Мы будем выкладывать код только после необходимых тестирований, после того, как будет понятно, что это безопасно. Мы не можем выложить код, тысячу раз не подумав об этом, ведь это очень большие риски. Это антропогенная проблема и именно то, чего ждут хакеры. Мы всегда говорим, что информационная безопасность вовлекает людей, активы и технологии. Любые проекты разрабатываются людьми, поэтому вопросы безопасности и управленческие возможности в сфере безопасности команды разработчиков определяют — будут ли разработчики совершать ошибки на низком уровне программной безопасности, модификации вредоносного кода. Как результат — MANX с самого начала сформировали команду по кибербезопасности, которая сфокусирована на взаимодействии с разработчиками. Активы же необходимо идентифицировать и классифицировать, а так же защищать самые важные. База данных гомоморфного шифрования, база данных аудита, биологической идентификации, предотвращение утечки данных — это все меры по защите.

MANXer T: Как вы будете справляться с управлением рисками в среде безопасности записи транзакций? Банки скоро начнут использовать блокчейн, возможно когда-то мы будем использовать Ваш блокчейн для трансфера активов.

Yang: MANX реализовывает защиту границ и глубинную защиту одновременно для каждой ноды. Благодаря динамической настройке стратегии безопасности система защиты границ развивается от «Cask Model» до «Multi-waterlocks Model», что эффективно позволяет избежать «Buckets Effect» в традиционной архитектуре безопасности.

MANXer B: Есть ли необходимость разрабатывать приватную цепь для малых и средних предприятий до публичной цепи?

Yawei: Возможно, я не совсем Вас понимаю. MANX это не приватная цепь, это публичная цепь предназначенная для кого угодно, в особенности для малых и средних предприятий и частных лиц.

MANXer G: Могут ли требования безопасности повлиять на TPS?

Yawei: Нет. Я подчеркиваю — цель TPS эффективность, когда целью безопасности является сохранение активов.

MANXer G: Имеют ли пользователи возможность выбора настроек/стратегий безопасности?

Yawei: В зависимости от требований конечного пользователя, MANX предоставляет различные типы компонентов безопасности, в том числе, такие компоненты как аутентификационные клиентские, небольшие и микро аутентификационные потребительские, криптографические сервисные, безопасности данных, мониторинга безопасности и безопасности инфраструктуры.

MANXer G: Расскажите о защите конфиденциальности.

Yawei: Защита конфиденциальности — это одна из ключевых задач MANX. 25 мая 2018 года вступили в силу «Общие правила по защите данных ЕС» («GDPR»).

Команда MANX с самого начала следит за углубленным изучением и анализом регулирования и стандартизации защиты конфиденциальности в IT в 18 странах и регионах. Защита конфиденциальности включена в процессы разработки.

Yawei: Как MANX будет противостоять «eclipse attack»?

Yang: Ноды должны быть в постоянном контакте для поддержки анализа данных. Злоумышленник, завладевший одной из нод и транслирующий некорректные данные, может тратить ресурсы и подтверждать ненастоящие транзакции.

В MANX правила и уровни безопасности в общем основаны на контекстной информации, объемах транзакций и знании лучших методов верификации для предоставления потребителю лучших моделей безопасности.

Система постоянно улучшается за счет самообучаемости и правильной оптимизации, что бы быть перманентно адаптированной к внутренним атакам и мошенничеству.

Jennifer: На самом деле у нас осталось очень много вопросов, на которые мы не успели ответить. Но как я и говорила в начале — все впереди. Мы готовы к любым дискуссиям.

Следующая сессия AMA будет посвящена токен экономике. Отвечать на вопросы будет Dr. Dennis Zhang, глава экономического подразделения и разработчик dApp. Cессия так же будет проходить в MATE. Подписывайтесь на основную группу t.me/macrochain, следите за анонсами, будьте вовлечены и наконец приглашены в WL.