金融有三个要素:安全性收益性流动性
而这三者有一一个共通之处,即现在与未来在空间和时间,上的冲突。冲突就是不安定的因素,必须通过权力的设计进行约束,而这个权力设计的约束就是控制。这个控制的过程,对应的是等价的交换原则,或者说是冲突性的防御性设计。原文链接
下面看一看这个防御性设计的原理:
首先,我们需要做评估。先看一下风险评估的定义:
在风险事件发生之前或之后(但还没有结束),对该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。
也就是说,风险评估就是量化地测评某一事件或事物带来的影响或损失的可能程度。从信息安全的角度讲,风险评估是对信息资产(即某一事件或事物所具有的信息集)所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。我们需要意识到,人是有动机的,而机器和程序只有指令。这是人和机器的重要差别。
下面是在风险控制之防御性设计的过程管理中所面临的问题:
要确定保护的对象(或者资产)是什么?它的直接和间接价值如何?
资产面临哪些潜在威胁?是什么导致了威胁?威胁发生的可能性有多大?
资产中存在哪些弱点可能会被威胁所利用?利用的容易程度又如何?
一旦威胁事件发生,则组织会遭受怎样的损失或者面临怎样的负面影响?
组织应该采取怎样的安全措施才能将风险带来的损失降到最低?
而解决以上问题的过程,就是风险评估的过程。
在进行风险评估时,有几个对应关系必须要考虑:
每项资产可能面临多种威胁
威胁源(威胁代理)可能不止一个
每种威胁可能利用一个或多个系统弱点
风控系统就是关于动机及过程管理的体系。而动机和过程管理正是风控体系的基本逻辑。你有没有发现,这些都是人的设计。人的设计,基于知识结构和经验判断。基于案例和统计学的原理,就有了尽职调查。
然而调查的根源是空间和时间的不确定性;调查的动机是为了使未来和现在达成共识。请注意,这依然还是人的设计。正如所有的调查报告都是人写的,人参考的资料和数据也是人写的。那么,重点来了,人设定的程序,能不能被技术取代?这个问题在过去可能是无解的,如今它有了答案。
这个答案可能就是区块链。
微信公众号关注:区块链妖妖零