周鴻祎解讀大數(shù)據(jù)安全:六挑戰(zhàn)三原則

責(zé)任編輯:editor006

2014-09-24 17:27:24

摘自:中國(guó)新聞網(wǎng)

今日,在2014中國(guó)互聯(lián)網(wǎng)安全大會(huì)(ISC 2014)上,360董事長(zhǎng)兼CEO周鴻祎發(fā)表了題為《IOT時(shí)代的大數(shù)據(jù)安全》的主題演講,詳細(xì)闡述了IOT時(shí)代的六大挑戰(zhàn)以及信息安全三原則。

今日,在2014中國(guó)互聯(lián)網(wǎng)安全大會(huì)(ISC 2014)上,360董事長(zhǎng)兼CEO周鴻祎發(fā)表了題為《IOT時(shí)代的大數(shù)據(jù)安全》的主題演講,詳細(xì)闡述了IOT時(shí)代的六大挑戰(zhàn)以及信息安全三原則。

隨著IoT(Internet of Things)萬(wàn)物互聯(lián)時(shí)代的到來(lái),任何設(shè)備都將接入互聯(lián)網(wǎng),由此帶來(lái)的信息安全挑戰(zhàn)前所未有。周鴻祎坦言,很難以通過(guò)一套完整的安全產(chǎn)品和服務(wù)從根本上杜絕安全隱患。

對(duì)此周鴻祎提出,大數(shù)據(jù)時(shí)代必須重塑信息安全的三個(gè)基本原則,以保護(hù)用戶隱私和數(shù)據(jù)安全為前提,明確用戶對(duì)信息數(shù)據(jù)的所有權(quán),明確企業(yè)對(duì)信息數(shù)據(jù)的保障義務(wù),并保障用戶在信息交換和使用時(shí)的知情權(quán),是IoT時(shí)代保護(hù)信息安全的基礎(chǔ)。

IOT趨勢(shì)下,網(wǎng)絡(luò)接入邊界模糊化

周鴻祎表示,在PC互聯(lián)網(wǎng)時(shí)代,電腦連接還有明顯的邊界,通過(guò)線纜來(lái)進(jìn)行連接,這時(shí)的安全問(wèn)題可以靠防病毒、查殺流氓軟件、防火墻進(jìn)行防御。但到了互聯(lián)網(wǎng)新階段,特別是移動(dòng)互聯(lián)網(wǎng)時(shí)代,手機(jī)打破了對(duì)網(wǎng)絡(luò)邊界的定義,手機(jī)和個(gè)人隱私信息聯(lián)系在一起,所以,安全的問(wèn)題變得更加嚴(yán)重。

他認(rèn)為,下一個(gè)五到十年是IOT時(shí)代——萬(wàn)物互聯(lián)?;ヂ?lián)網(wǎng)不僅僅是人和人連起來(lái),也不僅僅是手機(jī)之間的連接,而是能夠把今天我們所有能看到、能想到、能碰到的各種各樣的設(shè)備,大到工廠里的發(fā)電機(jī),車(chē)床,小到冰箱、插座、燈泡,到每個(gè)人身上帶的所有的東西都可以連接起來(lái)。

在老周看來(lái),萬(wàn)物互聯(lián)時(shí)代所有的設(shè)備,都會(huì)內(nèi)置一個(gè)智能的芯片和內(nèi)置的智能操作系統(tǒng),所有的東西,實(shí)際上都變成了一個(gè)“手機(jī)”。例如智能汽車(chē),就是騎在一部有四個(gè)輪子的大手機(jī)上。所有的設(shè)備都通過(guò)3G、4G的網(wǎng)絡(luò),通過(guò)Wi-Fi、藍(lán)牙等各種各樣的協(xié)議都要和互聯(lián)網(wǎng)、云端7×24小時(shí)相連,這里面就會(huì)產(chǎn)生真正大量的海量數(shù)據(jù),他估計(jì)未來(lái)五年內(nèi)至少有100~200億智能設(shè)備連接互聯(lián)網(wǎng),這個(gè)設(shè)備的數(shù)量會(huì)遠(yuǎn)超過(guò)今天人口的數(shù)目,會(huì)遠(yuǎn)遠(yuǎn)超過(guò)現(xiàn)在電腦和手機(jī)的數(shù)目。

所有企業(yè)都將呈現(xiàn)互聯(lián)網(wǎng)化趨勢(shì)

周鴻祎認(rèn)為IOT將是一個(gè)巨大的機(jī)會(huì),對(duì)于互聯(lián)網(wǎng)公司,可以利用IOT技術(shù)把原來(lái)很多線上的設(shè)計(jì)延展到線下。舉個(gè)例子,過(guò)去360做電腦衛(wèi)士、手機(jī)衛(wèi)士,但現(xiàn)在要做路由器,為什么呢?未來(lái)用戶的家居如果被人攻占了,家庭局域網(wǎng)出現(xiàn)問(wèn)題,可能問(wèn)題就比較大。利用IOT技術(shù),給每個(gè)兒童戴上一個(gè)手表,父母可以隨時(shí)定位知道它的位置,根據(jù)環(huán)境我們可以知道小孩所處的情況,可以迅速把他的位置和情況通知給父母,這就是利用IOT技術(shù)從線上的安全走到線下,解決用戶的人身安全和家居安全。

至于IOT更大的機(jī)會(huì),周鴻祎則認(rèn)為中國(guó)傳統(tǒng)產(chǎn)業(yè)特別是傳統(tǒng)制造業(yè)將會(huì)有機(jī)會(huì),重新發(fā)明輪子的時(shí)代到了,利用IOT的技術(shù)你可以把輪胎也變成智能的。企業(yè)可以通過(guò)IOT賣(mài)東西的生意變成了長(zhǎng)期服務(wù)的生意。所以,很多IOT的技術(shù)支持下,傳統(tǒng)企業(yè)不僅僅是利用互聯(lián)網(wǎng)來(lái)獲取信息、發(fā)布信息和銷(xiāo)售產(chǎn)品。還可以讓自己的產(chǎn)品都變成具有互聯(lián)網(wǎng)體驗(yàn)的產(chǎn)品,可以讓商業(yè)模式從一次性買(mǎi)賣(mài)變成提供互聯(lián)網(wǎng)服務(wù)。所以,這也就意味著IOT可以幫助很多傳統(tǒng)企業(yè)轉(zhuǎn)型升級(jí),最后所有的企業(yè)都會(huì)變成互聯(lián)網(wǎng)企業(yè)。

不能回避的安全問(wèn)題——用戶隱私

在暢談IOT帶給互聯(lián)網(wǎng)甚至全行業(yè)機(jī)遇的同時(shí),周鴻祎也對(duì)存在的實(shí)際安全問(wèn)題,提出了自己的見(jiàn)解。他表示未來(lái)最重要的就是對(duì)用戶隱私的挑戰(zhàn),在這樣一個(gè)IOT和大數(shù)據(jù)的時(shí)代,每個(gè)人的數(shù)據(jù),實(shí)際上只要使用網(wǎng)絡(luò)服務(wù)就會(huì)被傳到云端,就會(huì)被儲(chǔ)存到各個(gè)提供互聯(lián)網(wǎng)服務(wù)的公司,每個(gè)公司都會(huì)運(yùn)用云技術(shù)來(lái)存儲(chǔ)用戶的信息,每個(gè)人會(huì)變得更加透明。

而當(dāng)前法律和規(guī)則的制定是落后的,存在很多問(wèn)題,在這種情況下更需要很好的去保護(hù)個(gè)人的隱私。例如,大數(shù)據(jù)時(shí)代是廣告主夢(mèng)寐以求的黃金時(shí)期,過(guò)去做廣告都不知道用戶是誰(shuí),不知道用戶喜歡什么,所有的廣告效果都很難評(píng)估。但今天有了大數(shù)據(jù),可以7×24小時(shí)的不斷的采集數(shù)據(jù),并在云端把它們匯總起來(lái),這樣每個(gè)人就變成了透明人,每個(gè)人在干什么,在想什么,可能云端全部都知道,在這種情況下,除非不用任何先進(jìn)的設(shè)備,不用網(wǎng)絡(luò),不用手機(jī),否則這種情況下很難解決個(gè)人隱私數(shù)據(jù)的保護(hù)問(wèn)題。

美國(guó)有一家公司,只要給他的試管吐一口吐沫,就可以免費(fèi)測(cè)出用戶的基因組。周鴻祎表示,未來(lái)測(cè)基因的成本一定會(huì)很低,有這樣一家免費(fèi)測(cè)基因的公司,它就拿到了大家最隱私的數(shù)據(jù),二十年以后,就可以上門(mén)通過(guò)掌握的最隱私的信息,向你推銷(xiāo)產(chǎn)品,所有的商業(yè)模式就會(huì)建立起來(lái),這對(duì)公司來(lái)說(shuō)是黃金時(shí)代,但對(duì)個(gè)人來(lái)說(shuō)個(gè)人信息安全則變得無(wú)比脆弱。

萬(wàn)物互聯(lián)的前提下,所有的設(shè)備都將智能化,接入網(wǎng)絡(luò)后,邊界的概念將會(huì)進(jìn)一步被削弱,也就是說(shuō)接入點(diǎn)越多,可以被攻破的入口可能就越多。過(guò)去,可以奉行隔離、切斷,但今天你會(huì)發(fā)現(xiàn)越來(lái)越多的可能不起眼的設(shè)備都支持Wi-Fi和藍(lán)牙,這里面有太多可以被別人攻擊的點(diǎn),而且攻擊點(diǎn)越多,從防御來(lái)說(shuō)挑戰(zhàn)就越大。

老周表示,過(guò)去很多企業(yè)可能不太重視企業(yè)安全。安全措施例如企業(yè)防火墻究竟是否有效,也不太看重。過(guò)去企業(yè)的發(fā)展,可能把自己割裂在一個(gè)安全的孤島上,但變成互聯(lián)網(wǎng)企業(yè)之后,不可避免要把核心業(yè)務(wù)系統(tǒng)接入到互聯(lián)網(wǎng)上。

當(dāng)所有的企業(yè)都變成互聯(lián)網(wǎng)企業(yè)后,企業(yè)安全一定要提高到一個(gè)更重要的優(yōu)先級(jí)上,如果企業(yè)服務(wù)器或網(wǎng)絡(luò)被攻破之后,可能不意味著僅僅是內(nèi)部數(shù)據(jù)泄露,可能意味著用戶數(shù)據(jù)的災(zāi)難。此前,美國(guó)一家零售企業(yè)遭受共計(jì),導(dǎo)致有五千萬(wàn)用戶的資料丟失;中國(guó)企業(yè)也發(fā)生過(guò)用戶信用卡密碼丟失的情況,這對(duì)很多企業(yè)來(lái)說(shuō)意味著,企業(yè)安全的防護(hù)級(jí)別和對(duì)抗能力要前所未有的提高。

控制災(zāi)難

對(duì)于可能造成的危害,周鴻祎認(rèn)為,智能設(shè)備IOT被控制之后造成的危害是巨大的。過(guò)去電腦中毒了,最多覺(jué)得今天完不成。手機(jī)出問(wèn)題,無(wú)非是最近多了很多艷照。今天手機(jī)和支付系統(tǒng)連在一起,用戶的通訊錄被盜用了,會(huì)收到一些詐騙短信。但萬(wàn)物互聯(lián)是可被控制的,不是一個(gè)單純的網(wǎng)絡(luò),被控制后帶來(lái)的風(fēng)險(xiǎn)就非常大了。

如果智能汽車(chē)在行駛中突然死機(jī)了,藍(lán)屏了,彈出一個(gè)大窗口提示,這樣的汽車(chē)不會(huì)有人開(kāi)的,一旦出現(xiàn)問(wèn)題就會(huì)非常的嚴(yán)重。

他反復(fù)強(qiáng)調(diào),IOT時(shí)代一旦網(wǎng)絡(luò)被人控制不堪設(shè)想。就像電影大片虎膽龍威中布魯斯威斯利說(shuō)的那樣,恐怖分子控制了電廠,控制了大壩,控制了交通信號(hào)燈,之前覺(jué)得不可思議,這些專(zhuān)用網(wǎng)絡(luò)為何要接入互聯(lián)網(wǎng)。但到了IOT時(shí)代,所有的設(shè)備都可以遠(yuǎn)端控制、智能采集數(shù)據(jù),都可以接入互聯(lián)網(wǎng)。

大數(shù)據(jù)污染

周鴻祎首先對(duì)于大數(shù)據(jù)污染進(jìn)行了詮釋?zhuān)褪谴髷?shù)據(jù)中如果被人為加入了不好的數(shù)據(jù),人為操作和注入修改虛假信息,在數(shù)據(jù)傳輸存儲(chǔ)過(guò)程中出現(xiàn)了問(wèn)題,根據(jù)大數(shù)據(jù)做一些行業(yè)的指導(dǎo)和趨勢(shì)的分析,可能會(huì)出問(wèn)題。

“數(shù)據(jù)污染”通常分為兩種情況,一種是收集的數(shù)據(jù)中含有刻意、無(wú)意的無(wú)用甚至對(duì)分析產(chǎn)生負(fù)作用的數(shù)據(jù);另一種是收集后的數(shù)據(jù)遭受入侵、篡改、替換等情況。

上升到大數(shù)據(jù)層面,“數(shù)據(jù)污染”將會(huì)為數(shù)據(jù)分析方帶來(lái)“誤判”,從宏觀局面考慮,“大數(shù)據(jù)污染”可能導(dǎo)致“國(guó)家金融導(dǎo)向偏失”、“傳染病疫情失控”以及“國(guó)計(jì)民生政策制定偏差”等,嚴(yán)重情況下甚至可能引發(fā)事故災(zāi)難。

在未來(lái),大數(shù)據(jù)將成為一切組織、國(guó)家、社會(huì)行為決策判斷的基礎(chǔ),如果大數(shù)據(jù)被入侵、被篡改、被污染,那么將會(huì)影響一系列的社會(huì)決策問(wèn)題,其后果將是災(zāi)難性的。

人工智能奇點(diǎn)

除了IOT的趨勢(shì),周鴻祎還談到美國(guó)另一個(gè)很熱的概念——機(jī)器人。按照他的理解,機(jī)器人的背后是人工智能和機(jī)器的意識(shí),但傳統(tǒng)的機(jī)器人工智能的方法,例如教電腦下棋和做電腦翻譯,從五十年代這些問(wèn)題一直在解決中,但從來(lái)沒(méi)有找到真正革命性的解決方法。但最近一年,一些機(jī)器學(xué)習(xí)和智能算法的出現(xiàn),包括圖像識(shí)別,在機(jī)器翻譯方面都取得了進(jìn)展,其實(shí)它的本質(zhì)是利用了大數(shù)據(jù)。有了海量數(shù)據(jù),再跟這些算法的結(jié)合,它可能產(chǎn)生真正的人工智能,所以IOT將來(lái)在云端可能會(huì)出現(xiàn)利用大數(shù)據(jù)之后產(chǎn)生機(jī)器的這種智能,或者所謂叫做云腦和機(jī)器大腦,讓它再反過(guò)來(lái)對(duì)各種設(shè)備進(jìn)行反向控制,所以,這聽(tīng)起來(lái)可能既是一個(gè)好消息,對(duì)安全也會(huì)是一個(gè)挑戰(zhàn)。

大數(shù)據(jù)時(shí)代背景下,周鴻祎的信息安全三原則

針對(duì)大數(shù)據(jù)時(shí)代背景下,可能存在的安全隱患,周鴻祎提出了信息安全三原則:

第一,雖然這些信息儲(chǔ)存在不同的服務(wù)器上,但這些數(shù)據(jù)應(yīng)該是用戶的資產(chǎn),這是必須被明確的。周鴻祎希望將來(lái)談及用戶數(shù)據(jù)時(shí),能等同于財(cái)產(chǎn)所有權(quán)一樣,個(gè)人隱私數(shù)據(jù)也會(huì)有所有權(quán),希望立法專(zhuān)家能夠考慮這個(gè)所有權(quán)應(yīng)屬于用戶所有。所以,個(gè)人信息是用戶的資產(chǎn),它只是暫時(shí)托管和存放在各個(gè)公司的服務(wù)器上。

第二,不僅是今天的互聯(lián)網(wǎng)公司、網(wǎng)絡(luò)安全公司,甚至包括很多要進(jìn)入互聯(lián)網(wǎng)要利用IOT技術(shù),要給用戶提供這些信息服務(wù)的公司來(lái)講,要有相應(yīng)的安全能力,要把收集到的用戶數(shù)據(jù)進(jìn)行安全存儲(chǔ)和安全的傳輸,這是企業(yè)的責(zé)任和義務(wù),如果這個(gè)企業(yè)沒(méi)有足夠的安全能力,收集了用戶的信用卡資料,這些信息的丟失,都會(huì)給整個(gè)社會(huì)帶來(lái)很災(zāi)難的結(jié)果。

每一個(gè)想做互聯(lián)網(wǎng)業(yè)務(wù)的公司,每一個(gè)有用戶資料的公司,每一個(gè)要把自己的服務(wù)擺到互聯(lián)網(wǎng)上去的公司,都要提升公司的安全能力,提升安全防護(hù)水平,要收集用戶的數(shù)據(jù),必須要先解決安全可靠的傳輸存儲(chǔ)的基礎(chǔ)。

第三,使用用戶的信息,一定要讓用戶有知情權(quán)、選擇權(quán),平等交換、授權(quán)使用,不能未經(jīng)用戶的授權(quán)就去采集他的信息。比如今天在手機(jī)上有很多數(shù)據(jù),有很多應(yīng)用,它根本和短信毫無(wú)關(guān)系,卻要把用戶的短信記錄傳到網(wǎng)上,沒(méi)有讓用戶有知情權(quán),還有很多用戶可以選擇說(shuō),不需要廠商提供的這個(gè)服務(wù),可以把它關(guān)掉,可以拒絕廠商采集用戶的數(shù)據(jù),用戶一定要有這種選擇權(quán)。

用戶用自己的數(shù)據(jù)交換了可能對(duì)這種服務(wù)的使用,這種數(shù)據(jù)被企業(yè)拿到之后,企業(yè)可以利用它來(lái)做一些所謂的推廣,但一定要獲得用戶的授權(quán),這種未經(jīng)用戶授權(quán)對(duì)用戶數(shù)據(jù)的泄露,把這種數(shù)據(jù)賣(mài)給別人利用這種數(shù)據(jù)牟利,將來(lái)不僅要被視作不道德的行為,而且要看成是非法的。

最后,周鴻祎表示只有遵守上述的三原則,進(jìn)入萬(wàn)物互聯(lián)時(shí)代,才能讓用戶對(duì)下一代互聯(lián)網(wǎng)感覺(jué)更放心,才能更好的使用。這種全新的挑戰(zhàn),需要每個(gè)人、每個(gè)公司、安全企業(yè)各方面的支持,互聯(lián)網(wǎng)上最重要的就是安全第一。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)