360周鴻祎:IOT時(shí)代的信息安全 六挑戰(zhàn)三原則

0 評論 7242 瀏覽 8 收藏 13 分鐘

前一段時(shí)間我干了很多和安全關(guān)系不大的事情,看到了很多傳統(tǒng)行業(yè)的老大如何患上“互聯(lián)網(wǎng)焦慮癥”,他們害怕互聯(lián)網(wǎng)成為傳統(tǒng)價(jià)值的毀滅者,其實(shí)這些是對于互聯(lián)網(wǎng)的一些誤解,所以我還寫了一本書,講我的互聯(lián)網(wǎng)方法論。

很多人問我互聯(lián)網(wǎng)思維是什么?如果用一個(gè)詞總結(jié)是什么?我想了想是在過去的20年里互聯(lián)網(wǎng)最大的力量就是實(shí)現(xiàn)了“網(wǎng)聚人的力量”,互聯(lián)網(wǎng)把我們很多人連接起來。

在互聯(lián)網(wǎng)第一代的時(shí)候是PC互聯(lián)網(wǎng),我們每個(gè)人的電腦連接起來,這時(shí)候安全問題還OK,當(dāng)時(shí)的防病毒和查殺流氓軟件,以及我們很多邊界和防火墻的防御技術(shù);但到了互聯(lián)網(wǎng)的新階段,我們每個(gè)人都用手機(jī)了,今天手機(jī)已經(jīng)變成我們每個(gè)人手上的一個(gè)器官,我們每個(gè)人有一種新的病,幾分鐘不看手機(jī)就覺得心里很失落,手機(jī)變成了一個(gè)新的連接點(diǎn)。手機(jī)打破了我們原來對邊界的定義,手機(jī)更多和我們的個(gè)人隱私信息聯(lián)接在一起,所以,安全的問題變得更加嚴(yán)重。

有一個(gè)好消息,也是一個(gè)壞消息,手機(jī)互聯(lián)網(wǎng)之后,下一個(gè)五到十年我們的互聯(lián)網(wǎng)將會往何處去?

其實(shí)我覺得一個(gè)最重要的時(shí)代可能要開始那就是IoT——Internet of Things,萬物互聯(lián)。

美國的硅谷現(xiàn)在非常流行IoT這個(gè)詞,Internet of Things,我早些時(shí)候提出來有些人質(zhì)疑是“物聯(lián)網(wǎng)”的翻版,但是我認(rèn)為并不是。物聯(lián)網(wǎng)被翻譯成傳感器網(wǎng)絡(luò),而IoT網(wǎng)絡(luò)是萬物互聯(lián)的。

來IoT時(shí)代,所有設(shè)備都將內(nèi)置一個(gè)智能芯片和智能OS,所有設(shè)備都能通過各種網(wǎng)絡(luò)協(xié)議進(jìn)行通信,而且是7 x 24小時(shí)的相連,能夠產(chǎn)生真正海量的大數(shù)據(jù);并且,伴隨大數(shù)據(jù)應(yīng)用的逐步升級,也會讓機(jī)器變得更加智能,甚至具備自己的意識。我認(rèn)為,IOT時(shí)代的信息安全其實(shí)也是大數(shù)據(jù)的安全問題,而且至少要面臨六方面的挑戰(zhàn)。

首先,當(dāng)所有的設(shè)備都變成智能化,都接入網(wǎng)絡(luò)以后,邊界的概念將會進(jìn)一步被削弱,也就是說接入點(diǎn)越多,可以被攻破的這種可能的入口就會越多。過去,我們很信奉“隔離”、“切斷”,我們可以把電腦放在一個(gè)屋子里,我們可以把一個(gè)網(wǎng)絡(luò)進(jìn)行隔離,但今天你會發(fā)現(xiàn)越來越多的不起眼設(shè)備都支持Wi-Fi和藍(lán)牙,這里面有太多可以被別人攻擊的接入點(diǎn),而且攻擊點(diǎn)越多,對防守的挑戰(zhàn)就會越大。

第二,未來企業(yè)都將成為互聯(lián)網(wǎng)企業(yè),企業(yè)信息安全面臨更大的挑戰(zhàn)。過去我們很多企業(yè)可能不太重視企業(yè)的安全,我們很多時(shí)候買防火墻是為了合規(guī),是上級要求和行業(yè)要求。過去我們企業(yè)的發(fā)展,可能把自己割裂在一個(gè)安全的孤島上,但你要變成互聯(lián)網(wǎng)企業(yè)之后,你不可避免要把自己的核心業(yè)務(wù)系統(tǒng)接入到互聯(lián)網(wǎng)上。

但當(dāng)所有的企業(yè)都變成互聯(lián)網(wǎng)企業(yè)之后,企業(yè)安全一定要提高到一個(gè)更重要的優(yōu)先級上,也就是說當(dāng)你的服務(wù)器或你的網(wǎng)絡(luò)被攻破之后,可能不意味著僅僅是你內(nèi)部數(shù)據(jù)的泄露,可能意味著用戶數(shù)據(jù)的災(zāi)難。

第三個(gè)問題,大數(shù)據(jù)污染。就是大數(shù)據(jù)中如果被人為加入了各種無效、錯(cuò)誤的數(shù)據(jù),人為操作和注入修改虛假信息,在數(shù)據(jù)傳輸存儲過程中出現(xiàn)了問題,那么根據(jù)大數(shù)據(jù)所做的一切行業(yè)指導(dǎo)和趨勢分析,都可能面臨災(zāi)難性的后果。

第四,智能設(shè)備IoT被控制之后的災(zāi)難,這種危害或者會比電腦手機(jī)更大。

過去大家都記得,你的電腦中毒了、有問題了,大家最多覺得“今天給老板交的報(bào)告寫不出來了”,所以我電腦中毒了經(jīng)常成為工作完不成的一個(gè)借口。機(jī)出問題了呢,無非你們看到最近多了很多“艷照”,不小心照片上傳了;然今天手機(jī)和支付系統(tǒng)連在一起,可能當(dāng)你的通信錄被盜用了,就會收到一些詐騙短信。包括前面講到的那個(gè)木馬之所以會得逞,就是因?yàn)樗I用了你的通信錄的地址本,熟人發(fā)來的短信,大家都會連接。

但I(xiàn)oT是可被控制的,不是一個(gè)單純的網(wǎng)絡(luò),這個(gè)被控制了帶來的風(fēng)險(xiǎn)就大了。

前段時(shí)間中國人崇拜完喬布斯之后,因?yàn)橹袊募賳滩妓固嗔?,他們又開始崇拜美國另外一個(gè)人,號稱鋼鐵俠,他造了一部汽車叫做特斯拉,他上次來中國的時(shí)候,我有幸和他們大家一起吃了晚餐。我問了一個(gè)他很惱怒的問題,我說你的汽車會被人駭客嗎?他說不會,我們所有的應(yīng)用都是自己寫的,我們不會安裝任何第三方應(yīng)用,所以不會有任何問題。我就提了兩個(gè)問題,第一個(gè)你的汽車是有Wi-Fi和藍(lán)牙,我可能駭客不了你的汽車,但你用手機(jī)接入的話,我可以駭客你的手機(jī),我一樣可以通過手機(jī)駭客這個(gè)汽車。自然你是一個(gè)智能汽車,它就像一個(gè)大手機(jī)一樣,一定要和云端通信,所以如果有人下發(fā)了你的通信協(xié)議或者破解了你的云端的網(wǎng)絡(luò),我一樣可以控制你的汽車。

我們后來在全國征得了很多有識之士,有人成功破解了對特斯拉的協(xié)議,成功實(shí)現(xiàn)了對汽車的控制。所以,中國汽車廠要生產(chǎn)智能汽車,我給他們說最重要的不是邊開汽車邊看互聯(lián)網(wǎng)影視,最重要的是老百姓敢不敢開你的車,如果半路上突然死機(jī)了,突然藍(lán)屏了,突然彈出一個(gè)大窗口說你必須下載一個(gè)什么玩意兒,這樣的汽車不會有人開的,一旦出現(xiàn)問題就會非常的嚴(yán)重。

第五個(gè)問題,當(dāng)大數(shù)據(jù)產(chǎn)生了人工智能之后,很可能人類技術(shù)發(fā)展會到達(dá)一個(gè)新的“奇點(diǎn)”。

比如說以后的機(jī)器人和智能汽車,我有一個(gè)斷言,它未必是由這個(gè)設(shè)備里的智能系統(tǒng)單獨(dú)做智能判斷,它一定是和云端一個(gè)更大的智能系統(tǒng)相連。

  比如真正的智能駕駛,你何止需要這一部汽車的數(shù)據(jù)才能做判斷,可能需要路邊很多傳感器和很多其他汽車發(fā)來的信息,你需要在云端進(jìn)行高速的分析,再反饋過去。所以,將來有一天可能不僅僅是這臺車上的電腦在指揮,很有可能是云端的一個(gè)機(jī)器在指揮。

因此,各種各樣無論是專用機(jī)器人還是通用機(jī)器人,在幾年以后也會越來越普及,都會和互聯(lián)網(wǎng)相連,甚至它們再反過來對各種設(shè)備進(jìn)行反向控制。

這樣,當(dāng)真正云端安全出現(xiàn)問題以后,機(jī)器智能帶來的轉(zhuǎn)換,這是我們下一個(gè)五到十年必須要考慮的問題。

第六個(gè)問題,也是最重要的一個(gè)挑戰(zhàn)就是對用戶隱私的挑戰(zhàn)。

如果說IOT時(shí)代,各種傳感器讓每個(gè)人的數(shù)據(jù)維度更加豐富了,而且產(chǎn)生的數(shù)據(jù)都記錄在云端,所以IOT時(shí)代的大數(shù)據(jù)下每個(gè)人都是透明的,一旦出現(xiàn)泄露后果也是極其嚴(yán)重的。

而且值得深思的是,在對用戶隱私信息的保護(hù),現(xiàn)行的法律和規(guī)則的制定都是落后的,有很多問題是不清楚的,怎樣在這種情況下更好的去保護(hù)我們個(gè)人的隱私?除非不用任何先進(jìn)設(shè)備、不接入網(wǎng)絡(luò),否則用戶的個(gè)人隱私信息永遠(yuǎn)都是安全挑戰(zhàn)。

就像前幾天我看到美國有一家公司,只要給他的試管吐一口吐沫,就可以免費(fèi)測出用戶的基因組。未來基因的檢測的成本會更低,而這樣的公司他直接拿到了用戶的最隱秘?cái)?shù)據(jù)——基因。

所以說,IOT時(shí)代可以是某些企業(yè)的黃金時(shí)代,但同樣對信息安全的保護(hù)卻變得無比脆弱。對于這六個(gè)方面的挑戰(zhàn),有些已經(jīng)在發(fā)生,有些是即將發(fā)生。在此,我也提出一個(gè)新的想法,在大數(shù)據(jù)時(shí)代,如何保護(hù)用戶信息的三原則。

第一,數(shù)據(jù)應(yīng)該是用戶的資產(chǎn),這是必須明確的。雖然未來將有大量的信息存在互聯(lián)網(wǎng)服務(wù)商的服務(wù)器上,但是用戶數(shù)據(jù)的所有權(quán)必須明確,所有數(shù)據(jù)與信息都是屬于用戶的個(gè)人資產(chǎn)。

第二,任何企業(yè)都需要把收集到的用戶數(shù)據(jù)進(jìn)行安全存儲和安全的傳輸,這是企業(yè)的責(zé)任和義務(wù)。

不僅僅是提供互聯(lián)網(wǎng)服務(wù)的公司,包括所有暫時(shí)存儲著用戶數(shù)據(jù)的想做互聯(lián)網(wǎng)業(yè)務(wù)的公司,都要提高公司安全能力,都要有加強(qiáng)安全防護(hù)水平的責(zé)任和義務(wù);既然你們要收集用戶數(shù)據(jù),就必須解決傳輸、存儲的基本安全問題。

第三,用戶信息的使用,一定要保障用戶的知情權(quán)和選擇權(quán),平等交換、授權(quán)使用。

存有用戶數(shù)據(jù)的企業(yè),在使用這些數(shù)據(jù)之前,一定要遵循平等交換,授權(quán)使用的原則,不能未經(jīng)許可采集和濫用。更重要的是,要保障用戶說“不”的權(quán)力:還有很多用戶可以選擇,當(dāng)不需要某項(xiàng)服務(wù)時(shí),可以把它關(guān)掉,可以拒絕采集數(shù)據(jù),用戶一定要有這種選擇權(quán)。

不論是現(xiàn)在,還是未來,這些數(shù)據(jù)在未經(jīng)用戶授權(quán)的情況下進(jìn)行了交易牟利,這不僅要被視作不道德的行為,更應(yīng)該視為是非法的。

所以有了這三原則,在我們進(jìn)入IoT時(shí)代時(shí),我們才能讓用戶對下一代互聯(lián)網(wǎng)感覺更放心,才能更好的使用。

只有安全的互聯(lián)網(wǎng)才有美好的互聯(lián)網(wǎng),所以在互聯(lián)網(wǎng)上最重要的就是安全第一。

本文轉(zhuǎn)載自 PMtoo

更多精彩內(nèi)容,請關(guān)注人人都是產(chǎn)品經(jīng)理微信公眾號或下載App
樂樂
打雜賣苦力妹紙一枚,每天被各種不良產(chǎn)品虐,不開心的時(shí)候虐一虐woshipm.com.
215篇作品 2547531總閱讀量
07-183835 瀏覽
“萌寵經(jīng)濟(jì)”迎來全面升級潮,品牌主如何選對陣地脫穎而出?
10-252601 瀏覽
平臺都在說“雙11低價(jià)”,問問商家愿意嗎?
11-021416 瀏覽
原型說明咋寫-開關(guān)
07-205768 瀏覽
Axure高保真原型:購票選座模板
01-046891 瀏覽
還不明白為何要做留資設(shè)計(jì)?幫你弄明白產(chǎn)品中要怎么做
評論
評論請登錄
  1. 目前還沒評論,等你發(fā)揮!