360董事長兼CEO周鴻祎
2014年9月24日,亞太信息安全領(lǐng)域最權(quán)威的年度峰會——2014中國互聯(lián)網(wǎng)安全大會(ISC?2014)在北京國家會議中心召開。大會主席、360董事長兼CEO周鴻祎發(fā)表了題為《IOT時代的大數(shù)據(jù)安全》的主題演講,詳細闡述了IOT時代的六大挑戰(zhàn)以及信息安全三原則。
隨著IOT(Internet?of?Things)萬物互聯(lián)時代的到來,任何設(shè)備都將接入互聯(lián)網(wǎng),由此帶來的信息安全挑戰(zhàn)前所未有。周鴻祎坦言,很難以通過一套完整的安全產(chǎn)品和服務(wù)從根本上杜絕安全隱患。
對此周鴻祎提出,大數(shù)據(jù)時代必須重塑信息安全的三個基本原則,以保護用戶隱私和數(shù)據(jù)安全為前提,明確用戶對信息數(shù)據(jù)的所有權(quán),明確企業(yè)對信息數(shù)據(jù)的保障義務(wù),并保障用戶在信息交換和使用時的知情權(quán),是IOT時代保護信息安全的基礎(chǔ)。
信息安全面臨的六大挑戰(zhàn)
1.網(wǎng)絡(luò)接入邊界模糊化
周鴻祎表示,在PC互聯(lián)網(wǎng)時代,電腦連接還有明顯的邊界,通過線纜來進行連接,這時的安全問題可以靠防病毒、查殺流氓軟件、防火墻進行防御。但到了互聯(lián)網(wǎng)新階段,特別是移動互聯(lián)網(wǎng)時代,手機打破了對網(wǎng)絡(luò)邊界的定義,手機和個人隱私信息聯(lián)系在一起,所以,安全的問題變得更加嚴重。
他認為,下一個五到十年是IOT時代——萬物互聯(lián)。互聯(lián)網(wǎng)不僅僅是人和人連起來,也不僅僅是手機之間的連接,而是能夠把今天我們所有能看到、能想到、能碰到的各種各樣的設(shè)備,大到工廠里的發(fā)電機,車床,小到冰箱、插座、燈泡,到每個人身上帶的所有的東西都可以連接起來。
在老周看來,萬物互聯(lián)時代所有的設(shè)備,都會內(nèi)置一個智能的芯片和內(nèi)置的智能操作系統(tǒng),所有的東西,實際上都變成了一個“手機”。例如智能汽車,就是騎在一部有四個輪子的大手機上。所有的設(shè)備都通過3G、4G的網(wǎng)絡(luò),通過Wi-Fi、藍牙等各種各樣的協(xié)議都要和互聯(lián)網(wǎng)、云端7×24小時相連,這里面就會產(chǎn)生真正大量的海量數(shù)據(jù),他估計未來五年內(nèi)至少有100~200億智能設(shè)備連接互聯(lián)網(wǎng),這個設(shè)備的數(shù)量會遠超過今天人口的數(shù)目,會遠遠超過現(xiàn)在電腦和手機的數(shù)目。
2.所有企業(yè)都將呈現(xiàn)互聯(lián)網(wǎng)化趨勢
周鴻祎認為IOT將是一個巨大的機會,對于互聯(lián)網(wǎng)公司,可以利用IOT技術(shù)把原來很多線上的設(shè)計延展到線下。舉個例子,過去360做電腦衛(wèi)士、手機衛(wèi)士,但現(xiàn)在要做路由器,為什么呢?未來用戶的家居如果被人攻占了,家庭局域網(wǎng)出現(xiàn)問題,可能問題就比較大。利用IOT技術(shù),給每個兒童戴上一個手表,父母可以隨時定位知道它的位置,根據(jù)環(huán)境我們可以知道小孩所處的情況,可以迅速把他的位置和情況通知給父母,這就是利用IOT技術(shù)從線上的安全走到線下,解決用戶的人身安全和家居安全。
至于IOT更大的機會,周鴻祎則認為中國傳統(tǒng)產(chǎn)業(yè)特別是傳統(tǒng)制造業(yè)將會有機會,重新發(fā)明輪子的時代到了,利用IOT的技術(shù)你可以把輪胎也變成智能的。企業(yè)可以通過IOT賣東西的生意變成了長期服務(wù)的生意。所以,很多IOT的技術(shù)支持下,傳統(tǒng)企業(yè)不僅僅是利用互聯(lián)網(wǎng)來獲取信息、發(fā)布信息和銷售產(chǎn)品。還可以讓自己的產(chǎn)品都變成具有互聯(lián)網(wǎng)體驗的產(chǎn)品,可以讓商業(yè)模式從一次性買賣變成提供互聯(lián)網(wǎng)服務(wù)。所以,這也就意味著IOT可以幫助很多傳統(tǒng)企業(yè)轉(zhuǎn)型升級,最后所有的企業(yè)都會變成互聯(lián)網(wǎng)企業(yè)。
3.大數(shù)據(jù)時代對用戶隱私的挑戰(zhàn)
在暢談IOT帶給互聯(lián)網(wǎng)甚至全行業(yè)機遇的同時,周鴻祎也對存在的實際安全問題,提出了自己的見解。他表示未來最重要的就是對用戶隱私的挑戰(zhàn),在這樣一個IOT和大數(shù)據(jù)的時代,每個人的數(shù)據(jù),實際上只要使用網(wǎng)絡(luò)服務(wù)就會被傳到云端,就會被儲存到各個提供互聯(lián)網(wǎng)服務(wù)的公司,每個公司都會運用云技術(shù)來存儲用戶的信息,每個人會變得更加透明。
而當前法律和規(guī)則的制定是落后的,存在很多問題,在這種情況下更需要很好的去保護個人的隱私。例如,大數(shù)據(jù)時代是廣告主夢寐以求的黃金時期,過去做廣告都不知道用戶是誰,不知道用戶喜歡什么,所有的廣告效果都很難評估。但今天有了大數(shù)據(jù),可以7×24小時的不斷的采集數(shù)據(jù),并在云端把它們匯總起來,這樣每個人就變成了透明人,每個人在干什么,在想什么,可能云端全部都知道,在這種情況下,除非不用任何先進的設(shè)備,不用網(wǎng)絡(luò),不用手機,否則這種情況下很難解決個人隱私數(shù)據(jù)的保護問題。
美國有一家公司,只要給他的試管吐一口吐沫,就可以免費測出用戶的基因組。周鴻祎表示,未來測基因的成本一定會很低,有這樣一家免費測基因的公司,它就拿到了大家最隱私的數(shù)據(jù),二十年以后,就可以上門通過掌握的最隱私的信息,向你推銷產(chǎn)品,所有的商業(yè)模式就會建立起來,這對公司來說是黃金時代,但對個人來說個人信息安全則變得無比脆弱。
萬物互聯(lián)的前提下,所有的設(shè)備都將智能化,接入網(wǎng)絡(luò)后,邊界的概念將會進一步被削弱,也就是說接入點越多,可以被攻破的入口可能就越多。過去,可以奉行隔離、切斷,但今天你會發(fā)現(xiàn)越來越多的可能不起眼的設(shè)備都支持Wi-Fi和藍牙,這里面有太多可以被別人攻擊的點,而且攻擊點越多,從防御來說挑戰(zhàn)就越大。
老周表示,過去很多企業(yè)可能不太重視企業(yè)安全。安全措施例如企業(yè)防火墻究竟是否有效,也不太看重。過去企業(yè)的發(fā)展,可能把自己割裂在一個安全的孤島上,但變成互聯(lián)網(wǎng)企業(yè)之后,不可避免要把核心業(yè)務(wù)系統(tǒng)接入到互聯(lián)網(wǎng)上。
當所有的企業(yè)都變成互聯(lián)網(wǎng)企業(yè)后,企業(yè)安全一定要提高到一個更重要的優(yōu)先級上,如果企業(yè)服務(wù)器或網(wǎng)絡(luò)被攻破之后,可能不意味著僅僅是內(nèi)部數(shù)據(jù)泄露,可能意味著用戶數(shù)據(jù)的災(zāi)難。此前,美國一家零售企業(yè)遭受共計,導(dǎo)致有五千萬用戶的資料丟失;中國企業(yè)也發(fā)生過用戶信用卡密碼丟失的情況,這對很多企業(yè)來說意味著,企業(yè)安全的防護級別和對抗能力要前所未有的提高。
4.智能設(shè)備被非法控制后的災(zāi)難
對于可能造成的危害,周鴻祎認為,智能設(shè)備IOT被非法控制之后造成的危害是巨大的。過去電腦中毒了,最多覺得今天完不成。手機出問題,無非是最近多了很多艷照。今天手機和支付系統(tǒng)連在一起,用戶的通訊錄被盜用了,會收到一些詐騙短信。但萬物互聯(lián)是可被控制的,不是一個單純的網(wǎng)絡(luò),被控制后帶來的風(fēng)險就非常大了。
如果智能汽車在行駛中突然死機了,藍屏了,彈出一個大窗口提示,這樣的汽車不會有人開的,一旦出現(xiàn)問題就會非常的嚴重。
他反復(fù)強調(diào),IOT時代一旦網(wǎng)絡(luò)被人控制不堪設(shè)想。就像電影大片虎膽龍威中布魯斯威斯利說的那樣,恐怖分子控制了電廠,控制了大壩,控制了交通信號燈,之前覺得不可思議,這些專用網(wǎng)絡(luò)為何要接入互聯(lián)網(wǎng)。但到了IOT時代,所有的設(shè)備都可以遠端控制、智能采集數(shù)據(jù),都可以接入互聯(lián)網(wǎng)。
5.大數(shù)據(jù)污染
周鴻祎首先對于大數(shù)據(jù)污染進行了詮釋,就是大數(shù)據(jù)中如果被人為加入了不好的數(shù)據(jù),人為操作和注入修改虛假信息,在數(shù)據(jù)傳輸存儲過程中出現(xiàn)了問題,根據(jù)大數(shù)據(jù)做一些行業(yè)的指導(dǎo)和趨勢的分析,可能會出問題。
“數(shù)據(jù)污染”通常分為兩種情況,一種是收集的數(shù)據(jù)中含有刻意、無意的無用甚至對分析產(chǎn)生負作用的數(shù)據(jù);另一種是收集后的數(shù)據(jù)遭受入侵、篡改、替換等情況。
上升到大數(shù)據(jù)層面,“數(shù)據(jù)污染”將會為數(shù)據(jù)分析方帶來“誤判”,從宏觀局面考慮,“大數(shù)據(jù)污染”可能導(dǎo)致“國家金融導(dǎo)向偏失”、“傳染病疫情失控”以及“國計民生政策制定偏差”等,嚴重情況下甚至可能引發(fā)事故災(zāi)難。
在未來,大數(shù)據(jù)將成為一切組織、國家、社會行為決策判斷的基礎(chǔ),如果大數(shù)據(jù)被入侵、被篡改、被污染,那么將會影響一系列的社會決策問題,其后果將是災(zāi)難性的。
6.人工智能的挑戰(zhàn)
除了IOT的趨勢,周鴻祎還談到美國另一個很熱的概念——機器人。按照他的理解,機器人的背后是人工智能和機器的意識,但傳統(tǒng)的機器人工智能的方法,例如教電腦下棋和做電腦翻譯,從五十年代這些問題一直在解決中,但從來沒有找到真正革命性的解決方法。但最近一年,一些機器學(xué)習(xí)和智能算法的出現(xiàn),包括圖像識別,在機器翻譯方面都取得了進展,其實它的本質(zhì)是利用了大數(shù)據(jù)。有了海量數(shù)據(jù),再跟這些算法的結(jié)合,它可能產(chǎn)生真正的人工智能,所以IOT將來在云端可能會出現(xiàn)利用大數(shù)據(jù)之后產(chǎn)生機器的這種智能,或者所謂叫做云腦和機器大腦,讓它再反過來對各種設(shè)備進行反向控制,所以,這聽起來可能既是一個好消息,對安全也會是一個挑戰(zhàn)。
信息安全三原則
針對大數(shù)據(jù)時代背景下,可能存在的安全隱患,周鴻祎提出了信息安全三原則:
第一,雖然這些信息儲存在不同的服務(wù)器上,但這些數(shù)據(jù)應(yīng)該是用戶的資產(chǎn),這是必須被明確的。周鴻祎希望將來談及用戶數(shù)據(jù)時,能等同于財產(chǎn)所有權(quán)一樣,個人隱私數(shù)據(jù)也會有所有權(quán),希望立法專家能夠考慮這個所有權(quán)應(yīng)屬于用戶所有。所以,個人信息是用戶的資產(chǎn),它只是暫時托管和存放在各個公司的服務(wù)器上。
第二,不僅是今天的互聯(lián)網(wǎng)公司、網(wǎng)絡(luò)安全公司,甚至包括很多要進入互聯(lián)網(wǎng)要利用IOT技術(shù),要給用戶提供這些信息服務(wù)的公司來講,要有相應(yīng)的安全能力,要把收集到的用戶數(shù)據(jù)進行安全存儲和安全的傳輸,這是企業(yè)的責(zé)任和義務(wù),如果這個企業(yè)沒有足夠的安全能力,收集了用戶的信用卡資料,這些信息的丟失,都會給整個社會帶來很災(zāi)難的結(jié)果。
每一個想做互聯(lián)網(wǎng)業(yè)務(wù)的公司,每一個有用戶資料的公司,每一個要把自己的服務(wù)擺到互聯(lián)網(wǎng)上去的公司,都要提升公司的安全能力,提升安全防護水平,要收集用戶的數(shù)據(jù),必須要先解決安全可靠的傳輸存儲的基礎(chǔ)。
第三,使用用戶的信息,一定要讓用戶有知情權(quán)、選擇權(quán),平等交換、授權(quán)使用,不能未經(jīng)用戶的授權(quán)就去采集他的信息。比如今天在手機上有很多數(shù)據(jù),有很多應(yīng)用,它根本和短信毫無關(guān)系,卻要把用戶的短信記錄傳到網(wǎng)上,沒有讓用戶有知情權(quán),還有很多用戶可以選擇說,不需要廠商提供的這個服務(wù),可以把它關(guān)掉,可以拒絕廠商采集用戶的數(shù)據(jù),用戶一定要有這種選擇權(quán)。
用戶用自己的數(shù)據(jù)交換了可能對這種服務(wù)的使用,這種數(shù)據(jù)被企業(yè)拿到之后,企業(yè)可以利用它來做一些所謂的推廣,但一定要獲得用戶的授權(quán),這種未經(jīng)用戶授權(quán)對用戶數(shù)據(jù)的泄露,把這種數(shù)據(jù)賣給別人利用這種數(shù)據(jù)牟利,將來不僅要被視作不道德的行為,而且要看成是非法的。
最后,周鴻祎表示只有遵守上述的三原則,進入萬物互聯(lián)時代,才能讓用戶對下一代互聯(lián)網(wǎng)感覺更放心,才能更好的使用。這種全新的挑戰(zhàn),需要每個人、每個公司、安全企業(yè)各方面的支持,互聯(lián)網(wǎng)上最重要的就是安全第一。
