商用區塊鏈使用場景

本文是要讓讀者了解在商業案例使用區塊鍊的效益與相關的資安考量，以下為分為四類來說明。

第一類:商業運作

商業運作是區塊鏈技術可以幫助滿足業務需求的四類領域中的第一類。 這一類涉及處理組織維運基礎設之的情況。

持續運作與災難復原(Business Continuity/Disaster Recovery)

商業風險管理中一定會有的部分就是組織業務上的持續運作與災難復原 (BC/DR) 策略。這個該策略會描述企業將如何對應可能降低或破壞組織持續進行業務的事件。

區塊鏈技術具有對有 BC/DR 策略的企業有以下幾種功能：

• 區塊鏈系統是被設計成抵禦故障的。
• 分散式系統的設計在區塊鏈上的所有節點同時失效的可能性趨近於零。
• 分散式設計消除了單點故障的可能性，不管一個甚至一大部分節點失效。區塊鏈仍能持續運作。

當我們要使用基於區塊鏈的BC/DR解決方案時，我們需要考慮到以下幾個資安考量:

• 儲存機密資料在區塊鏈上也許有法規監管或法律問題
• 將所需的功能寫進智慧合約可能會受到“code as law”的裁決

合約的管理

大多數企業都會跟供應商、經銷商等簽訂合約。區塊鏈技術可以通過多種不同方式進行合約管理：

• 合約內的條文可以放進智慧合約執行
• 智慧合約可以做成貨幣或資產來託管
• 合約競標可以放在區塊鏈上並能面向更多的客戶
• 分佈式帳本技術確保參與到交易的各方都可以訪問合約並防止修改

在考慮使用區塊鏈進行合約管理時，我們需要注意以下幾點：

• 智慧合約代碼會在區塊鏈上公開
• 智慧合約代碼可視為具有法律約束力（code as law的裁決）

產品分銷

商業世界中的一個主要挑戰是尋找一種具有成本效益的方式將產品推向市場的方法。而 區塊鏈技術可以幫助我們提高產品分銷策略的效能：

• 區塊鏈網路可以覆蓋到大量的潛在客戶
• 智慧合約可以對購買產品選項、產品服務條款等進行規則編碼。

與所有技術一樣，基於區塊鏈的解決方案必須經過僅慎的設計，以防止安全漏洞。 使用智慧合約平台進行產品分銷時的幾個考量因素如下：

• 智慧合約代碼會在裁決中受制於“code as law”
• 智慧合約可能難以停止或替換
• 智慧合約代碼是公開的，有可能會洩露商業機密或知識產權

產品代幣化

絕大多數企業的目標是制定一個策略，以最大限度地提高產品使用率和價值，同時最大限度地降低成本。 區塊鏈技術有一些特性可以為組織的產品營銷和代幣化策略提供這些價值：

• 對金融交易的內建支援
• 能夠將交易寫進為智能合約
• 產品銷售外包，只有銷售出去時才付費

在使用區塊鏈進行金融交易時，安全的設計和實施至關重要。 一些重要的安全注意事項包括：

• 區塊鏈帳號保護不當可能導致財務損失
• 程式寫得爛的智慧合約可能會產生財務上的影響
• 智慧合約無法移除．智慧合約代碼被視為最終裁決者

第二類:資料管理

第二類是區塊鏈可以協助組織管理其機密資料的方式。 區塊鏈可以很有效益的應用在access management和資料保留和刪除政策。

Access Control

企業一定都會進行基於need-to-know政策來限制員工權限。 區塊鏈實現access control的效益包括：

• 區塊鏈內建身份管理
• 許可制的區塊鏈能夠進行access control
• 分散式和去中心化的架構降低了攻擊者針攻擊大量運行中節點的能力

在使用區塊鏈解決方案進行access control時，以下事項很重要：

• MSP(Membership Service Provider)節點控制所有區塊鏈權限
• 無法從分佈式帳本中刪除保護不當的資料
• 程式寫得爛的智慧合約可能會被一直重複利用

資料的刪除跟保留

企業通常都會有關於資料要保留多久以及應該如何刪除的政策。 區塊鏈技術對於在這整個過程中追踪資料有以下效益：

• 資料可在區塊鏈上被追踪，減少追踪錯誤資料訊息的可能性
• 智慧合約可以自動執行資料尋找和刪除程序

在設計基於區塊鏈的資料保留和刪除方案時，需要考量以下幾點：

• 存儲在區塊鏈上的資料無法從分佈式帳本中刪除(當然如果你能關閉整個區塊鏈則另當別論)
• 智慧合約代碼是公開的，允許攻擊者識別和利用漏洞(私有區塊鏈可免除這種狀況)
• 程式寫得爛的智慧合約可能難以更新或刪除(如果是私有區塊鏈然後你能關閉整個區塊鍊則另當別論)

第三類:基礎設施

企業的基礎設施是區塊鏈可以使企業受益的第三個領域。 區塊鏈技術為管理企業資產、基礎設施的可擴展性和安全通訊提供了解決方案。

資產管理

由於企業必須在部門和可能的組織各層級之間追踪資產所有權、狀態、位置等，因此管理組織的有形資產可能很困難。 區塊鏈技術可以幫助建立自動化資產管理系統：

• 資產所有權證明可在區塊鏈上追踪和轉移
• 分佈式帳本使所有權資訊可被訪問並減少資料遺失的機會
• 如果資產需要更新或報廢，智慧合約可以自動發出訊息
• 智慧合約可以查詢資產的當前狀態、驗證位置等

在實施基於區塊鏈的資產管理系統時，應適當緩解以下風險和資安問題：

• 所有權資訊可能在區塊鏈上公開，揭示公司資產的詳細資訊
• 寫得爛的智慧合約可能會讓資產所有權被不當轉移

基礎設施可擴展性

企業對一般大眾的服務需要能夠擴展以滿足需求。 區塊鏈技術為尋求基礎設施可擴展性解決方案的企業提供了以下效益：

• 軟體可以被寫成一個智慧合約來外包託管在區塊鏈上
• 智慧合約只在被啟動時才需要付款
• 區塊鏈網路具有內建激勵措施，可提高網路在需求增加時整體區塊鏈增長的可能性
• 運算和存儲資源可以通過智慧合約進行On-Demand的方式來租用

在開發基於區塊鏈的解決方案時，以下設計事項很重要：

• 區塊鏈是為穩定的交易量而設計的，而不是突然的大量暴增的交易．
• 如果發現漏洞，已經上線的智慧合約不能下線

安全的通訊

企業需要能夠在內部和外部進行安全和私密的通訊。區塊鍊是安全通訊的良好的解決方案並具有以下效益：

• 大多數區塊鏈能夠通過交易發送資料(訊息)
• 部分區塊鏈具有偽匿名性(pseudo-anonymity)，隱藏訊息發送者和接收者
• peer-to-peer網路使攔截或阻止通訊變得困難

在開發基於區塊鏈的通訊方案時，重要的是要考慮到交易無法從分佈式帳本中移除。

法規和監管的合規要求

大多數的企業存儲受法律或法規保護的敏感資料。 常見的要求包括資料控制、資料安全和企業透明度的解決方案。

資料控制

企業在存儲、處理或傳輸敏感資料時，通常會要求企業能夠證明他們對敏感資料具有控制權。 區塊鏈技術可以幫助實施一種在企業控制下的資料追蹤解決方案：

• 資料可以在區塊鏈上進行存儲、追踪和加密傳輸
• 區塊鏈使用公開可用的軟體，降低隱藏漏洞的可能性
• 區塊鏈上的資料一但打包成區塊後就無法修改

在使用區塊鏈來遵守資料控制的監管要求時，需要注意以下事項：

• 如果檢測到安全問題，無法停止區塊鏈(私有區塊鍊可能另當別論)
• 現行法規可能不承認區塊鏈技術為存儲媒介

資料安全

受法律或法規保護的資料(例如個資)必須以確保資料已不會被破壞的方式處理。 對於尋找能夠證明其控制的資料有適當保護的企業而言，基於區塊鏈的解決方案有幾個效益：

• 資料可以在區塊鏈上進行存儲、追踪和加密傳輸
• 區塊鏈使用公開可用的軟體，降低隱藏漏洞的可能性
• 區塊鏈不變特性能夠偵測未經授權的資料修改
• 嘗試訪問資料的transacation(access log) 都可以在帳本中看到

在使用區塊鏈保護敏感資料時，在設計解決方案時應考量以下事項：

• 分佈式帳本中存儲的資料和代碼是公開可見的
• 寫得爛的智慧合約可能無法從區塊鏈中移除

透明度

企業的透明度是避免欺詐和商業舞弊的常見的要求。 區塊鏈技術可以幫助企業以透明的方式營運：

• 區塊鏈上的所有交易都是公開可見的
• 分佈式帳本中存儲的資料無法修改或刪除

在區塊鏈上放置資訊以符合監管透明度要求時，如果我們保護資料不當可能會洩露有關企業營運的訊息。