所有設備接入網絡后,接入點越多,可被攻破的入口就越多,防守角度來說挑戰更大。所有企業變成互聯網企業后,安全放到更高的優先級上,數據泄露意味著用戶數據的災難。
在周鴻祎看來大數據時代保護用戶隱私應當遵循三原則:
雖然是保護在服務器上,信息是用戶的個人資產,只是托管在服務器上,必須明確;
安全傳輸,安全存儲,是企業的責任,必須提升安全防護水平;
使用用戶的信息,要讓用戶有知情權選擇權,平等交換、授權使用。
很多人問我互聯網思維是什么?如果用一個字總結是什么?我想了想是在過去的20年里互聯網最大的力量就是實現了網聚人的力量,互聯網把我們很多人連接起來。
在互聯網第一代的時候是PC互聯網,我們每個人的電腦連接起來,這時候安全問題還OK,當時的防病毒和查殺流氓軟件,或者我們很多邊界和防火墻的防御,但到了互聯網的新階段,我們每個人都用手機了,今天手機已經變成我們每個人手上的一個器官,我們每個人有一種新的病,幾分鐘不看手機覺得心里很失落,手機變成了一個新的連接點。手機打破了我們原來對邊界的定義,手機更多和我們的個人隱私信息聯結在一起,所以,安全的問題變得更加嚴重。
下面有一個好消息,也是一個壞消息,手機互聯網之后,下一個五到十年我們的互聯網將會往何處去?其實我覺得一個最重要的時代可能要開始那就是IoT——萬物互聯。互聯網不僅僅是人和人連起來,也不僅僅是手機之間的連接,而是互聯網能夠把今天我們所有能看到、能想到、能碰到的各種各樣的設備,大到工廠里的這種發電機,車床,小到你家里的冰箱、插座、燈泡,到每個人身上帶的這種戒指、耳環、手表、皮帶所有的東西都可以連接起來。過去中國有一個和它相對的概念叫做物聯網,但物聯網這個概念我不是很喜歡,可能在過去幾年里把它更多解釋成一個叫做傳感器網絡,我覺得這個和IoT不太一樣。第一,所有的設備,它都會內置一個智能的芯片和內置的智能操作系統,所以你可以看到說所有的東西,實際上都變成了一個手機,只不過它的外形不是手機,它可能沒有手機的屏幕。舉個最簡單的例子,如果各位比較喜歡拉風,你開了一個智能汽車,在我看來您就是騎在一部有四個輪子的大手機上。
第二,所有的設備都通過3G、4G的網絡,通過Wi-Fi、藍牙等各種各樣的協議都要和互聯網、云端7×24小時相連,這里面就會產生真正大量的海量數據,所以我說大數據時代其實剛剛開始。過去我們用電腦的時候一天也就用幾個小時,所以這里產生的數據量還是非常有限的,手機,除了我們睡覺的時候不用,基本上手機已經比電腦時間要長很多,而且手機里有各種各樣的傳感器,所以大家手機里的信息基本都被上傳到云端。但我覺得這個數據還不夠大,到IoT時代這個數據才真正足夠大。比如說電腦,中國可能有五億臺,電腦市場已經不增長了,手機中國人有15億,好人拿一部手機就足夠了,別有用心的人會拿兩到三部手機,這樣算下來中國有20億部手機,我覺得差不多是手機市場的一個數目了。但如果像IoT來講,在你身上可能就有五、六部設備連接互聯網,你回到家里,你家里所有的智能電器,你回家路上開的汽車,所有的東西都連上互聯網以后,我估計未來五年內至少有100~200億智能設備連接互聯網,這個設備的數量會遠超過今天我們人口的數目,會遠遠超過我們現在電腦和手機的數目。
這些智能設備其實在你睡覺的時候,它也無時不在工作,所以它基本上是7×24小時記錄和產生數據,而且這些智能設備本地的存儲能力一般都比較弱,因為它會裝在各種各樣的微小設備里,所以,大量的數據虧被傳到云端,你想像一下,比如說有人帶了一個手環,這個手環現在不僅提供運動的監測,還能夠提供很多參數的,可能您在睡覺的時候,它也不斷產生數據,所以你把這兩個因素一乘起來,你會發現這是真正的大數據時代。所以,到了大數據時代,我覺得還有一個可能的變化。
最近美國除了IoT很熱,還有一個概念很熱,就是機器人。其實我理解機器人的背后是機器的人工智能和機器的意識,但傳統的機器人工智能的方法,我們教電腦下棋和做電腦翻譯,從五十年代這些問題好像一直在解決中,但從來沒有找到真正革命性的解決方法。但最近一年大家可能感覺到了,一些機器學習和智能算法的出現,包括讓我們在圖像識別,在機器翻譯方面都取得了進展,其實它的本質不是說什么算法特別神,而是說這個算法背后實際上是利用了大數據。有了海量數據,再跟這些算法的結合,它可能產生真正的人工智能,所以,IoT的第三點很重要的一個概念,將來在云端可能會出現利用大數據之后產生機器的這種智能或者我們所謂叫做云腦和機器大腦,讓它再反過來對各種設備進行反向控制,所以,這聽起來可能既是一個好消息,可能對安全也會是一個挑戰。
對IoT來講,我先講講好消息,我覺得這是一個巨大的機會,不僅是對于互聯網公司來說,你可以利用IoT技術把原來很多線上的設計延展到線下。舉個例子,過去360做你的電腦衛士,現在我們做你的手機衛士,但現在我們要做路由器,為什么呢?我們要做你的家庭衛士,因為你的家居如果未來被人攻占了,你的家庭局域網出現了問題,可能問題就比較大。再比如我們利用IoT技術,我們馬上會重新發售兒童手表,給每個兒童戴上一個手表,父母可以隨時定位知道它的位置,根據環境我們可以知道小孩所處的情況,可以迅速把他的位置和情況通知給父母,這就是利用IoT技術可以讓我們從過去只是做線上的安全,我們走到線下也變成可以解決你人生的安全和家居的安全。
但IoT更大的機會,我覺得是對中國傳統產業特別是傳統制造業的一個機會,用一句俗話說叫做重新發明輪子的時代到了,因為很多東西已經走到盡頭了,你再怎么發明不可能把輪子從圓的變成方的,但利用IoT的技術你可以把輪胎也變成智能的。其實馬航370事件,原來一個飛機處在實時監控中,GE五公司過去是賣發動機,現在他們通過IoT不僅僅賣發動機,而且還可以告訴航空公司什么時候該維修,什么時候該換零件了,所以,他們把一個賣東西的生意變成了長期服務的生意。所以,很多IoT的技術,我們很多傳統企業就不僅僅是說利用互聯網來獲取信息、發布信息和賣我們的東西,它可以利用IoT的技術,可以讓自己的產品每個都變成具有互聯網體驗的產品,它可以讓商業模式變成從一次性買賣的模式變成提供互聯網服務的模式。所以,某種角度意味著IoT可以幫助很多企業轉型升級,最后所有的企業都會變成互聯網企業。
loT的好處我不多渲染了,我想提出六個問題,請我們所有安全的從業人員來思考,這在安全上對我們意味著什么樣的挑戰。順道說一下,今天我相信來的有很多人可能并不一定都是互聯網行業的人,可能有很多是CIO,其實我倒是覺得未來安全的挑戰越大,包括IoT和互聯網思維的發展,可能會讓傳統行業的CIO的角色變得越來越重要。因為過去你只是一個Information,你只是一個IT的支持,你是為了你的公司的核心業務提供幫助,但未來當IoT技術會變成主導,當互聯網思維變成主導之后,你會發現,因為你在單位里對互聯網技術的了解,對互聯網產業的了解,你可能會從一個支持的角色變成一個主導的角色,隨著安全的挑戰進一步加大,相信我們很多單位的這種首席信息官或者首席技術官也會變成首席安全官,所以,我覺得這都是給我們帶來巨大的機遇。
但是安全的挑戰,我覺得有這么幾個問題。
第一,當所有的設備都變成智能化,都接入網絡以后,邊界的概念將會進一步被削弱,也就是說接入點越多,可以被攻破的這種可能的入口就會越多,過去,我們很奉行什么隔離,什么切斷,我們可以把電腦放在一個屋子里,我們可以把一個網絡進行隔離,但今天你會發現越來越多的可能不起眼的設備都支持Wi-Fi和藍牙,這里面有太多可以被別人攻擊的點,而且攻擊點越多,從防守來說我們的挑戰就越大。
第二,過去我們很多企業可能不太重視企業的安全。我們很多時候買防火墻是為了合規,是上級要求和行業要求,但就像剛才云博士講到的,那個防火墻究竟有沒有配置好,能起多大的作用不太知道,可能也不太出事。過去我們企業的發展,可能把自己割裂在一個安全的孤島上,但你要變成互聯網企業之后,你不可避免要把自己的核心業務系統接入到互聯網上。
舉個例子,過去你辦銀行業務就要到銀行的網點和后臺服務主機,它可以把他所有的環節都進行保護。但今天所有的銀行都要提供網上銀行、網上支付和互聯網金融的業務,那么它就不可能避免的。你會發現當所有的企業都變成互聯網企業之后,你的企業安全一定要提高到一個更重要的優先級上,也就是說當你的服務器或你的網絡被攻破之后,可能不意味著僅僅是你內部數據的泄露,可能意味著用戶數據的災難,比如剛才里奇講了一個例子,就是美國一家零售業遭受供給有五千萬用戶的資料丟失,中國有一個企業也發生過用戶信用卡密碼出現的丟失,這對很多企業來說意味著你在安全上的防護級別和對抗能力要前所未有的提高。
第三個問題,大數據污染,就是大數據中如果被人人為加入了這種不好的數據,人為操作和注入修改虛假信息,在數據傳輸存儲過程中出現了問題,你根據大數據做一些行業的指導和趨勢的分析,可能會出問題,這個問題今后會詳細嘗試。
但我認為還是有三個最重要的問題。第一個是這種智能設備IoT被控制之后的這種災難或者危害會比電腦手機大。因為過去大家記得嗎,你的電腦中毒了,有問題了,大家最多覺得說今天給老板交的報告寫不出來了,所以我電腦中毒了經常成為工作完不成的一個借口。手機出問題了呢,無非你們看到最近多了很多眼照,不小心照片上傳了,當然今天手機和支付系統連在一起,可能當你的通信錄被盜用了,就會收到一些詐騙短信。包括前面講到的那個木馬之所以會得逞,就是因為它盜用了你的通信錄的地址本,熟人發來的短信,大家都會連接。但IoT是可被控制的,不是一個單純的網絡,這個被控制了帶來的風險就大了。
前段時間中國人崇拜完喬布斯之后,因為中國的假喬布斯太多了,他們又開始崇拜美國另外一個人,號稱鋼鐵俠,他造了一部汽車叫做特斯拉,他上次來中國的時候,我有幸和他們大家一起吃了晚餐。我問了一個他很惱怒的問題,我說你的汽車會被人駭客嗎?他說不會,我們所有的應用都是自己寫的,我們不會安裝任何第三方應用,所以不會有任何問題。我就提了兩個問題,第一個你的汽車是有Wi-Fi和藍牙,我可能駭客不了你的汽車,但你用手機接入的話,我可以駭客你的手機,我一樣可以通過手機駭客這個汽車。自然你是一個智能汽車它就像一個大手機一樣,一定要和云端通信,所以如果有人下發了你的通信協議或者破解了你的云端的網絡,我一樣可以控制你的汽車。我們后來在全國征得了很多有識之士,有人成功破解了對特斯拉的協議,成功實現了對汽車的控制。所以,中國汽車廠要生產智能汽車,我給他們說對重要的不是邊開汽車邊看互聯網影視,最重要的是老百姓敢不敢看你的車,如果半路上突然死機了,突然欄屏了,突然彈出一個大窗口說你必須下載一個什么玩意兒,這樣的汽車不會有人開的,一旦出現問題就會非常的嚴重。
所以,這是我講的在IoT時代一旦網絡被人控制不可設想。我是一個電影迷,我家里有很多好萊塢電影,很多都是網上下的,我記得布魯斯威利斯在虎膽龍威里說的,說恐怖分子控制了美國的電廠,控制了大壩,控制了交通信號燈,當時我看的時候覺得匪夷所思,他們怎么這么傻,這都是專用系統干嗎要接入互聯網呢?但到了IoT時代,你發現所有的設備都希望可以遠端控制和智能采集數據,這些東西都可以接入互聯網。舉個小例子,當一個IT發燒友把你們家的燈泡、電視、都換成智能的,又裝了一個攝象頭,變成智能攝象頭,如果你們家路由器被人駭客了,我就可以把你家的燈都關了,還可以裝上一個攝像機,這何止艷照啊,三級片都出來了。
有很多問題我沒有答案,我只是在安全大會上提出來,我覺得這要靠我們大家共同努力去意識到這些挑戰,同時我們來尋找解決的方法。
還有兩個問題,一個是大數據帶來的用戶隱私問題。最近美國機器人很熱,坦率說我覺得也是代表了一個趨勢,當大數據產生了人工智能之后很有可能人類技術發展會到達一個新的基點,當能夠控制很多設備的時候,我覺得有兩種可能,一種是我們的家庭生活會變得更加幸福,一種是駭客帝國的時代會來臨。所以下次我的PPT再做可以多用一些電影的劇照,大家更便于理解。
比如說你以后設想看到的機器人和智能汽車,我有一個斷言,它未必是由這個設備里的智能系統單獨做智能判斷,它一定是和云端一個更大的智能系統相連,比如在你真正的智能駕駛,你何止需要這一部汽車的數據才能做判斷,你可能需要路邊很多傳感器和很多其他汽車發來來的信息,你需要在云端進行高速的分析,再反饋過去。所以,將來有一天可能不僅僅是這臺車上的電腦在指揮,很有可能是云端的一個東西在指揮,所以你看到各種各樣無論是專用機器人還是通用機器人,我相信在幾年以后也會越來越普及,它都會和互聯網相連,這樣當真正云端安全出現問題以后,這些自動駕駛汽車,包括有些人覺得說變形金剛這個電影完全是瞎扯,我不這么看,比如現在很多人在研究無人機,亞馬遜用無人機送貨,無人機加上智能傳感器的判斷,無人機就是飛機人,所以,機器智能帶來的轉換這是我們下一個五到十年所謂做網絡安全的人需要考慮的問題。
最重要的一個挑戰是用戶隱私的挑戰,在這樣一個IoT和大數據的時代,我們每個人的數據,實際上只要你用網絡服務就會被傳到云端,就會被儲存到各個提供互聯網的,不一定是互聯網公司,可能是所有的公司都有它的云端數據的收集,每個人會變得更加透明。這時候我覺得法律和規則的制定是落后的,有很多問題是不清楚的,怎樣在這種情況下更好的去保護我們個人的隱私,我可以舉兩個例子,比如對很多公司來講,大數據時代是他們夢寐以求的最好的黃金時期,過去做廣告都不知道你是誰,不知道你喜歡什么,當然所有的廣告效果都很難評估,但今天有了大數據,可以7×24小時的不斷的采集,這些在云端,當這些數據看起來是碎片,再把它匯總起來,你會發現說可能我們每個人就變成了透明人,我們每個人在干什么,在想什么,可能這時候云端全部都知道,在這種情況下,除非你不用任何先進的設備,除非你不用網絡,除非你不用手機,否則的話你怎樣解決在這種情況下對個人隱私數據的保護。
比如我們推出了兒童手環,我們第一版做得不是很完美,后來我要求改版,要求他們一定要做到表袋足夠短,一定成年人戴不上,因為很多媽媽聽說這個消息以后,他們覺得非常興奮,覺得終于有了保護自己家庭的利器了,他們買了兩個,一個給孩子戴,一個給老公戴。所以,在大數據時代,個人隱私的這種挑戰空前大。
包括美國有一家公司,他說你只要給他的試管吐一口吐沫,就可以免費測出你的基因組。我相信未來測基因一定會成本很低,如果有這樣一家免費測基因的公司,他就拿到了大家最隱私的數據,過了二十年以后,他就上門來找你了,說從你的基因看,你就會得老年癡呆癥,所以我們給你賣藥,他掌握了你很多的最隱私的信息,所有的商業模式就會建立起來,這對公司是一個黃金時代,但對我們個人來說可能每個人都會覺得自己很脆弱。所以我提出了一個新的想法,在大數據時代,我提出了如何保護用戶隱私的三原則。
第一,雖然這些信息儲存在不同的服務器上,但你們覺得這些數據的擁有權究竟屬于這些公司還是屬于用戶自己?我的答案是這些數據應該是用戶的資產,這是必須明確的,我希望將來在打很多官司的時候會出來,關于財產所有權一樣,以后這種個人隱私數據也會有一個所有權,我希望我們的立法專家能夠考慮這個所有權應該屬于用戶所有,這是第一個原則。
就像當年我很愛看科幻小說,有一個小說家叫阿西諾夫,他提出機器人三原則,他幻想未來機器人遍地跑的時候,機器人如何不傷害人類和破壞人類的文明。到IoT時代也需要一個類似的三原則,使得用戶數據都在云端的時候,這些公司能夠遵循一些更好的原則,給用戶提供更好隱私的保護,所以,第一個是個人信息是用戶的資產,它只是暫時托管和存放在各個公司的服務器上。
第二,不僅是今天的互聯網公司,更不僅僅是今天的網絡安全公司,甚至包括很多要進入互聯網要利用IoT技術,要給用戶提供這些信息服務的公司來講,你要有相應的安全能力,你要把你收集到的用戶數據進行安全存儲和安全的傳輸,這是企業的責任和義務,如果你這個企業沒有足夠的安全能力,你收集了用戶的信用卡資料,比如你是一個網店賣東西的,你拿到了用戶的帳號,你這些信息的丟失,都會給整個社會帶來很災難的結果。舉個例子,一家網站被拖庫,所有的用戶口令都要改,因為用戶在很多網站上都用一個用戶名和一個口令。所以我也講,可能未來五到十年網絡安全的責任不僅僅是我們今天這些安全從業人員的責任,我覺得每一個想做互聯網業務的公司,每一個有用戶資料的公司,每一個要把自己的服務擺到互聯網上去的公司,你都要提升你的安全能力,提升你的安全防護水平,你要收集用戶的數據,必須要先解決安全可靠的傳輸存儲的基礎。
第三,所謂你使用用戶的信息,一定你要讓用戶有知情權,你要讓用戶有選擇權,所謂叫做平等交換、授權使用,你不能未經用戶的授權就去采集他的信息。比如今天在手機上有很多數據,有很多應用,它根本和短信毫無關系,它卻要把你的短信記錄傳到網上,這種就沒有讓用戶有知情權,還有很多用戶可以選擇說,我不需要你提供這個服務,我可以把它關掉,我可以拒絕你采集我的數據,用戶一定要有這種選擇權。事實上像今天,我剛才說的手環業務、智能家電業務和汽車的業務,很多時候用戶沒有選擇,因為當你選用了這樣一個智能產品,你在使用它的服務時,它這個服務先天功能的設計就不可避免的把你一些數據會上傳,這里面實際上是用戶用自己的數據交換了可能對這種服務的使用,這種數據被企業拿到之后,企業可以利用他來做一些所謂對用戶的推廣,但一定要獲得用戶的授權,這種未經用戶授權對用戶數據的泄露,把這種數據賣給別人利用這種數據牟利,我覺得將來不僅要被視作不道德的行為,而且要看成是非法的行為。
所以有了這三原則,在我們進入IoT時代,我們才能讓用戶對下一代互聯網感覺更放心,才能更好的使用。最后的結束語也是我開頭講的,未來安全的問題不會被徹底解決掉,隨著人類越來越貪婪,越來越懶惰,我們的生活越來越舒服,我們對各種先進技術的使用越來越多,帶來一個負面就是對安全的挑戰越來越多,這種會解決安全的挑戰,需要我們每個人也需要我們安全行業的公司,更需要我們安全企業各方面的支持,我們大家一起攜手未來創造一個安全的互聯網,只有安全的互聯網才有美好的互聯網,所以在互聯網上最重要的就是安全第一。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:周鴻祎:萬物互聯時代到來 安全依舊第一
本文網址:http://www.guhuozai8.cn/html/consultation/10839416477.html