近日，台湾半导体制造商台积电旗下多家工厂遭病毒入侵，导致其主要生产线被迫暂时停摆。8月4至6日，台积电对外公布，病毒入侵事件是公司安装新机台设备时“没有先隔离、确认无病毒再联网，导致新机台里面的病毒在联网后快速传播”导致的。

这次的病毒是勒索病毒WannaCry的变种，症状是宕机或重复开机。病毒感染将直接导致台积电第三季度营收下降3%，损失金额约2.4亿美元；此外，新iPhone的生产进度和交货时间也将受到牵连。

事发后，很多朋友可能都会纳闷：台积电可是全球著名的大半导体制造商，各种数据安全防护应该是很到位的，为什么一个去年的“老病毒”就能轻而易举让核心产线瘫痪？

本期《何洋开讲》，我们就来聊聊这件事背后的原因，以及带给我们的启示。

在我们燕麦云服务的其它大型高端制造业客户中，像台积电这种体量的企业对数据安全的重视，绝对是一等一的。

因此，台积电在网络数据安全防护方面肯定有着深厚积累；凡涉及核心生产线的电脑设备，一般都会跟外网进行隔离，只用内网进行连接。也就是说，生产线的电脑是不可以连到外面互联网上的，它只在局域网环境内工作，只能访问内网的服务器和相关设备。

这种“内外网隔离”的设计，在制造型企业中是一个通用做法，它的好处是隔绝核心生产线与外网的连接，以确保数据的绝对安全。

台积电的官方声明点出，在安装新机台的软件过程中发生了人为失误，让病毒进入了生产线的内网环境，进而快速感染了台积电局域网中的全部电脑。

因此，“对局域网的管理缺失”显然是导致台积电内网中招的关键原因。病毒这次利用了一个“管理逻辑盲区”——过度重视被认为是不安全的地方，却轻视了已经被认为是安全的地方。

在燕麦云服务的众多企事业单位中，我们经常看到，客户在投入大量资源防护外网威胁的同时，对内网系统的投入和部署却显得相对不足。在一个纯内网环境中，为了方便记忆，我们经常可以看到类似“111111”和“123456”这样高风险的系统登录密码。

针对这种情况，我们一般会帮客户设计一套内网安全管控的方法——有些大家认为已经很安全了的地方，其实才最有安全隐患。就像这次台积电病毒感染事件一样，虽然隔绝了外网，但内网设备总要进行软件升级的，有些病毒甚至可以“潜伏”上几年的时间，就为了在系统升级时“一击即中”。

除了加强内网安全管控外，还有一个关键问题我想和大家探讨，那就是——如何用技术手段管理所谓“人为失误”！

人为失误是不可避免的，但除了无心之过外，还有一个事实需要我们提高警惕——大多数知识产权案件都是“内鬼”作案。

如果搭建整套安全防护系统的人就是“内鬼”，该怎么办呢？

举一个极端却不是没有可能的例子：如果公司内部的技术人员，为了非法获利而直接在系统代码中动手脚，企业想要追查和溯源是件不可能的事情。把这个思路放到台积电感染病毒事件中的话，就是一件让人细思极恐的事情了（有媒体已经提出了这种假设）。

区块链技术就为解决这一难题提供了最好的解题思路。

企业可以应用区块链技术，在内部建立起一个基于数据的分布式“共识”系统。它是一个“去中心化”、少数服从多数的机制，就算少数区块链节点被外人篡改，但多数未被篡改的节点仍然可以确保数据被准确的保存；此外，所有在区块链中的操作都会留下不可磨灭的痕迹，这对不法分子来说，也是一个极大的震慑。

将区块链技术应用于企事业单位的数据安全防护，事实上就是用一套“共识系统”来取代“人的信任”，从而解决数据安全难题。

如果你对区块链技术“去中心化”特性还有疑虑，那只能说明你太不了解今天区块链技术的最新形态了。

现在区块链技术早就已经具备了“选择性共识”能力。

举个例子，区块链系统的共识特性可以仅限定在数据的不可篡改上，而其它行为则可以交由整个区块链系统中的某个节点去决策；即在“中心化”环境下，保留“去中心化”带来的全部优点。

换句话来说，企事业单位既能保证其底下所有数据的安全性和不可篡改性，又能在必要时刻宏观操控全盘，拨乱反正。

数据安全威胁的发展日新月异，台积电受互联网病毒侵害的事件不是第一次，也不会是最后一次。

了解新技术、拥抱新思路，利用科技带来的红利；才能趋利避害，在越来越激烈的市场竞争中立于不败。