我简单自我介绍一下,我的公司叫做360,说起来和微软有些渊源。起名字的时候,我特别喜欢微软的一个产品叫做X-Box360,所以我们就取了这个名字,表示我们做网络安全希望360度全方位的保护用户。
我们做安全和其他的像赛门铁克、McAfee其他做安全的公司最大的不一样,我们在2006年的时候就相信网络安全是用户的一种基本需求,所以,就像搜索、邮件、即时通信一样我觉得它是互联网里的一个基础服务,就应该免费,所以,我们面对中国的六亿用户提供免费的安全服务,重新创造了一种新的免费安全的模式。
我今天想分享一个观点,就是在下一个五年,对互联网、移动互联网安全最大的威胁和挑战是什么?
IOT让威胁无处不在
最近大家都在谈一个趋势IOT或者IOE,InternetofThing或者叫做InternetofEverything,我觉得这是令人感到非常激动的一个趋势,也就是我们所有能看到的、能想象到的各种各样的硬件,无论是汽车、无论是家居还是我们身上可穿戴的各种东西,甚至到很多工业生产制造业里的这些设备都会智能化,我觉得不是简单的家电传感器,它都会变成一个不像手机的手机,它都会和网络实时的连接,也有人说IOT带来了巨大的机会,它真的可以把互联网和很多online和很多offline的东西联系在一起,而且它实际上是可能比3D打印机更让人激动的,是会带来第四次工业革命,我也经常和国内很多生产制造业的企业交谈说,IOT技术可以帮助他们来重新发明轮子,也就是说我们不可能把轮子从圆的变成方的,但我们可以在轮子里加入各种智能芯片和传感技术,同时我们可以把很多企业的商业模式从单纯的一次性去卖设备,把它变成实时与互联网相连,变成互联网服务。
但是,今天我想说的是,这带来了三个巨大的对安全的挑战和威胁。
第一,我觉得这是对各种社会的攻击的可能性大大增加,传统企业安全在部署的时候,经常喜欢说,我们把我们的网络隔离起来,让我们在边界的地方加上防火墙,加上这种安全的控制,我们就以为企业的网络就可以高枕无忧了。
事实上当各种各样的设备,无处不在的设备都是通过Wi-Fi、蓝牙等各种各样的无线的协议连接到整个企业网的时候,越来越多的连接点就意味着越来越多攻击的可能性。举个例子,中国有很多厂商要做这种智能汽车,他们也来找我们说智能汽车最大的问题不是自动驾驶,甚至不是电机充电,而是消费者会认为说如果我开在路上,到底它会不会被人攻击?事实上也有很多厂商认为自己用的系统非常坚固,但我就跟他讲一个道理,你的汽车上有蓝牙,你的汽车上有一个Wi-Fi,你用你的手机去当钥匙来控制,只要有这种机会,那么我通过先控制你的手机,我就能够进一步再去控制这辆汽车,甚至国内有不少的黑客已经试图用类似的方法去劫持像特斯拉汽车,可以让它在行驶的过程中出问题,所以,以后这种边界安全的概念将会变得非常的含糊。
过去我们讲终端安全非常重要,但这个终端将会随着IOT设备数目十位数的增长,我觉得攻击点会特别多,所以,这对我们每个安全企业来说都是一个巨大的挑战和机会,也就是以后汽车里面是不是也要有防火墙。
第二,过去我们讲起网络攻击,大家的电脑被攻击了无非是损失一些文件,如果大家的手机被攻击了可能会有更多隐私的泄露,会有一些在线的欺诈。但一旦IOT普及后,这种对IOT设备的攻击可能会带来巨大的物理伤害或者人身伤害,举两个最典型的例子,一个是汽车,如果你的汽车在行驶过程中突然死机或者突然叫停在高速公路上,你有可能出现非常严重的问题。所以,过去在美国很多好莱坞大片里看到的这种,比如在布鲁斯·威利演的《虎胆龙威》第五集里恐怖分子可以通过网络去控制工厂,控制交通信号灯,控制电梯甚至控制你们家的门锁,我觉得这在下一步恐怕不是一个幻想的电影了,这样网络攻击的结果就会比现在仅仅是一些信息和个人隐私数据的丢失更为严重。
第三,是针对用户大数据带来的隐私问题。我们现在都在谈大数据,但实际上我觉得真正的大数据时代还没有到来,因为现在数据的产生比如PC只是在我们工作时间会产生一些数据,但有了手机之后除了睡觉我们都在用手机,我们在用手机各种APP的时候会产生各种数据,手机会比PC产生各种大数据的上传,但对于IOT来说,因为它的计算能力比较弱,它一定要把数据传到云端,其次,IOT设备的数目会是现在的十倍,现在中国有6亿网民,未来平均一个人用两部手机,一部iPhone一部Android,就是15亿部移动的设备,但是你想像一下,以后每个人身上至少有5到10个这种IOT的设备,你的家里可能有20个不同的设备,甚至包括灯泡和插座都是连到互联网上的,所以你会发现整个IOT设备的数目会比现在大10倍到20倍,也就是说几年之后仅仅在中国市场连接互联网的这种智能终端的数量不会是15亿部,很有可能是150亿到200亿部,这是一个巨大的数字。
IOT设备还有一个特点,比如今天很多人戴的运动手环或者智能手表,在你睡觉的时候它也在工作,它也在时刻7×24小时的把你的数据传递给你,所以,IOT带来一个巨大的挑战,它真正产生了海量的数据,但这些大数据实际上把一个人的各个维度的数据都搜集上来,其实你发现在这个时代任何个体没有隐私可言了,你会变成一个透明的数码人,你所有的数据都被不同的互联网公司拿到他们的服务器上。
用户隐私大数据的三原则
所以,我觉得我们现在很多互联网企业也非常激动,非常热衷地谈说,我们拿着这么多大数据,我们就知道一些最终的问题,你是谁,你要干什么,你准备干什么,我们都知道,所以,我们准备渴望用大数据来对用户做更精准的营销,做各种智能的推荐,这里面确实有一个平衡,就是如何保护用户的隐私。美国有一个著名的作家叫做阿西诺夫,我非常喜欢他的作品,他写了很多经典的科幻小说,他当时定了一个机器人三定律,防止机器文明的发展如何能够不伤害人类,所以他提出了三定律。所以,我们在国内也和很多互联网公司交流,我们也提出了一个用户隐私大数据的三原则和大家分享一下。
第一,现在在法律上定义非常含糊,我用了这些智能设备,用了手机上的APP,所有这些产生的数据被传到云端的数据,虽然是放在互联网公司的云端服务器上,但它到底是谁的资产,我们觉得应该非常旗帜鲜明的定义这些资产应该是用户的资产,只不过是用户把它托管在各个互联网公司的服务器上。当然,我有一个概念要讲,IOT以后不光是互联网公司,以后很多的企业都会变成互联网公司,比如说过去卖电视的人没有用户数据,但电视机买回家成了用户和卖电视企业之间的连接,它要拿到用户的习惯。以后卖汽车的人也至少会有一个云端的服务器给每部汽车制作OTA自动的升级和更新,所以,从这个角度来说以后越来越多的企业用了IOT技术都会变成我定义的这种互联网公司,所以,这里面我们觉得第一个原则是用户数据是用户的资产。
第二,其实用户之所以心甘情愿把这些数据交给互联网公司去使用,它一定是换取了很多免费或者有价值的服务,比如你在用搜索的时候,因为你要搜索,所以你就自然把自己内心非常隐私的一种需求输入进去,让你的搜索请求会被存在搜索引擎的服务端。比如你在用WhatsApp或者微信这些新一代的手机和IM软件的时候,你就会把你的地址本全部上传上去,这样系统才能帮你匹配知道谁是你的朋友,谁是你朋友的朋友,你和谁联系最频繁的。当互联网公司要利用这些用户的数据牟利的时候,这是正当的商业模式,但最关键的是用户要有知情权和选择权,也就是说用户不是完全被动的,企业必须要得到用户的授权,要通过授权交换用户使用各种免费网站的服务。如果有少数用户说我确实不愿意我的隐私拿来做商业的这种交换,那么我觉得用户可以有权利要求互联网公司去销毁和删掉自己的数据或者把这些数据允许用户自己拿走。
第三,我刚才讲了最近我们在中国看到一些例子,很多用户信息的丢失是因为这些互联网公司自己的安全水平不过关,导致他们的服务器被人攻破,导致一个服务器被攻破,导致在一个电商网站上所有用户的信用卡记录都被拿走了,甚至有些网站用明文来储存信用卡的密码和信用卡最后三位,本来应该用加密的三位确认码都是明文,所以,我们就意识到说如果当很多企业很兴奋地说我也要利用IOT技术,我转型成互联网公司,你要扪心自问必须要有这种技术能力和产品能力,要做到安全的存储、安全的传输,也就是说当你一方面在夸耀你拿到了多少用户的这种习惯、用户的数据的时候,你一定要尽到一个责任来保护好用户的数据,因为这种用户数据一旦从服务器上被攻破拿走,它整个造成的后果不堪设想。因为很多用户都用一个密码在所有的网站、或者所有的APP上,意味着其他的网站其他的应用也会受到攻击,所以,这是我们提出的三原则,我们很希望说在未来我们和无论是美国还是中国所有做网络安全的公司,包括做用户隐私保护的公司,也包括和很多传统的互联网公司大家一起来讨论,我觉得只有让用户有安全感,让用户觉得自己的隐私得到了保护,我觉得用户才会花更多的时间使用各种互联网的新技术和产品,这也是我们一直做免费安全的一个哲学,就是安全,特别是用户安全的上网就像人权一样,应该是一个基本点,这样互联网才能繁荣。你设想一下,如果互联网大家上去不是有钓鱼网站,就是欺诈或者自己数据的泄露,我觉得不可能有一个真正美好的互联网。
电话:0371-67970699
邮件:zzipa0371@163.com