奇虎360董事長(zhǎng)
(圖片來(lái)源于網(wǎng)絡(luò))
在2006年的時(shí)候,我們就相信網(wǎng)絡(luò)安全是用戶(hù)的一種基本需求�。和搜索�����、郵件、即時(shí)通信一樣�����,它作為互聯(lián)網(wǎng)的基礎(chǔ)服務(wù)����,就應(yīng)該是免費(fèi)的,所以我們創(chuàng)造了一種新的模式���,面對(duì)中國(guó)的六億用戶(hù)提供免費(fèi)的安全服務(wù)��。
我今天想分享一個(gè)觀點(diǎn)��,就是在下一個(gè)五年�,對(duì)互聯(lián)網(wǎng)���、移動(dòng)互聯(lián)網(wǎng)安全最大的威脅和挑戰(zhàn)是什么��?
最近大家都在談一個(gè)趨勢(shì):IOT(Internet of Things)或者IOE(Internet of Everything)。這個(gè)趨勢(shì)非常令人激動(dòng)�,它是指所有我們能看到或想象到的硬件都會(huì)變成“不像手機(jī)的手機(jī)”�,并實(shí)現(xiàn)與網(wǎng)絡(luò)的智能化實(shí)時(shí)對(duì)接—無(wú)論是汽車(chē)�����、家居�、各種可穿戴設(shè)備,還是一些工業(yè)生產(chǎn)與制造設(shè)備�����。
也有人說(shuō)��,IOT帶來(lái)了巨大的機(jī)會(huì)�,它真的能把互聯(lián)網(wǎng)和很多on-line(線上)與off-line(線下)的東西聯(lián)系在一起。與3D打印機(jī)相比��,IOT實(shí)際上更讓人激動(dòng)�,因?yàn)樗赡軙?huì)帶來(lái)第四次工業(yè)革命。比如����,IOT技術(shù)可以幫助國(guó)內(nèi)的生產(chǎn)制造業(yè)重新發(fā)明輪子,也就是說(shuō)��,雖然我們不可能把輪子從圓的變成方的,但可以在輪子里加入各種智能芯片和傳感技術(shù)���,同時(shí)還能改變多企業(yè)的商業(yè)模式��,從單純的一次性賣(mài)產(chǎn)品��,變成實(shí)時(shí)與互聯(lián)網(wǎng)相連的互聯(lián)網(wǎng)服務(wù)�����。
但是�,對(duì)于安全而言�,IOT還帶來(lái)了三個(gè)巨大的挑戰(zhàn)和威脅。
第一����,我們面對(duì)各種攻擊的可能性會(huì)大大增加。傳統(tǒng)企業(yè)在作安全部署的時(shí)候���,經(jīng)常說(shuō)要“把網(wǎng)絡(luò)隔離起來(lái)”��,讓我們?cè)谶吔缂由戏阑饓σ赃_(dá)到對(duì)安全的控制�,以為這樣就可以高枕無(wú)憂了�����。事實(shí)上,當(dāng)各種各樣的設(shè)備都通過(guò)Wi-Fi���、藍(lán)牙、ZigBee等無(wú)處不在的無(wú)線協(xié)議連接到整個(gè)企業(yè)網(wǎng)的時(shí)候����,越多的連接點(diǎn)就意味著越大的受攻擊可能性。
舉個(gè)例子����,中國(guó)有很多廠商要做智能汽車(chē),他們也認(rèn)為最大的問(wèn)題并不在于自動(dòng)駕駛或電機(jī)充電��,而是如果車(chē)開(kāi)在路上��,它的安全和操作控制系統(tǒng)到底會(huì)不會(huì)被人攻擊��。而這一點(diǎn)�����,也正是許多消費(fèi)者擔(dān)心的�。事實(shí)上���,也有很多廠商認(rèn)為自己用的系統(tǒng)非常堅(jiān)固,但我會(huì)反復(fù)解釋一個(gè)道理:當(dāng)你的汽車(chē)上有藍(lán)牙或是Wi-Fi���,而手機(jī)就是控制這一切的“鑰匙”�����,那么只要有機(jī)會(huì)�����,別人就可以先控制你的手機(jī)���,再進(jìn)一步去控制整輛汽車(chē)。
在國(guó)內(nèi)��,已經(jīng)有不少的黑客試圖用類(lèi)似的方法去劫持智能汽車(chē)(比如特斯拉)����,可以讓它在行駛的過(guò)程中出問(wèn)題,所以����,“邊界安全”的概念在以后將會(huì)變得更加模糊��。之前我們認(rèn)為終端安全非常重要��,但隨著IOT設(shè)備數(shù)目的高速增長(zhǎng)�,攻擊點(diǎn)會(huì)越來(lái)越多��,這對(duì)每個(gè)安全企業(yè)而言都是巨大的挑戰(zhàn)和機(jī)會(huì)����。
第二���,我們受到安全攻擊的后果可能會(huì)遠(yuǎn)比以前嚴(yán)重����。過(guò)去的網(wǎng)絡(luò)攻擊���,無(wú)非是損失一些文件��,泄露一些隱私�����,或是陷入在線欺詐��。但一旦普及了IOT���,這種安全攻擊可能會(huì)帶來(lái)巨大的物理傷害或者人身傷害���。
舉兩個(gè)最典型的例子,一個(gè)是汽車(chē)���,另一個(gè)是其他公共或私人場(chǎng)所���。如果你的汽車(chē)在行駛過(guò)程中突然死機(jī),或者在高速公路上突然叫停�,后果不堪設(shè)想。在很多好萊塢大片中還出現(xiàn)過(guò)這樣的場(chǎng)景:恐怖分子可以通過(guò)網(wǎng)絡(luò)控制工廠�����、交通信號(hào)燈�、電梯甚至私人住宅的門(mén)鎖。在未來(lái)����,這恐怕將不再只是電影中的幻想而已,它造成的結(jié)果肯定更為嚴(yán)重和糟糕�。
第三�,針對(duì)用戶(hù)大數(shù)據(jù)����,IOT還會(huì)帶來(lái)隱私問(wèn)題。雖然現(xiàn)在都在談大數(shù)據(jù)��,但實(shí)際上真正的大數(shù)據(jù)時(shí)代還沒(méi)有真正到來(lái)���,因?yàn)槟壳皵?shù)據(jù)的產(chǎn)生范圍還有限�����。
首先,這與設(shè)備有關(guān)�����。比如����,PC只會(huì)在工作時(shí)間產(chǎn)生一些數(shù)據(jù),有了手機(jī)之后���,除了睡覺(jué)時(shí)間以外��,我們使用APP時(shí)都會(huì)產(chǎn)生和上傳各種數(shù)據(jù)��,甚至數(shù)量要比PC更多����。
其次,這與數(shù)據(jù)量和計(jì)算能力有關(guān)�����。IOT設(shè)備本身的計(jì)算能力比較弱�����,它一定要把數(shù)據(jù)傳到云端����,并且在將來(lái),IOT設(shè)備的數(shù)目可能會(huì)達(dá)到現(xiàn)在的十倍���,從而產(chǎn)生更龐大的數(shù)據(jù)量���。目前中國(guó)有6億網(wǎng)民,按未來(lái)平均每人兩部手機(jī)(一部iPhone一部android)算,就是15億部移動(dòng)設(shè)備�,非常驚人。何況�,以后每個(gè)人身上可能至少有5到10個(gè)IOT設(shè)備,家里可能還有20個(gè)(甚至連燈泡和插座都與互聯(lián)網(wǎng)連接)�����,所以整個(gè)IOT設(shè)備的數(shù)目會(huì)比現(xiàn)在大10~20倍���。也就是說(shuō)�����,幾年之后�,僅僅在中國(guó)市場(chǎng)�����,連接互聯(lián)網(wǎng)的智能終端數(shù)量就不會(huì)是15億��,而很有可能是150~200億部�����,這是一個(gè)巨大的數(shù)字��。
IOT設(shè)備(比如現(xiàn)在正在普及的運(yùn)動(dòng)手環(huán)或智能手表)還有一個(gè)特點(diǎn):你睡覺(jué)的時(shí)候它也在工作���,7×24小時(shí)不停歇地傳遞你的私人數(shù)據(jù)���。這在真正產(chǎn)生海量數(shù)據(jù)的同時(shí),也帶來(lái)了一個(gè)巨大的挑戰(zhàn)—它把你各個(gè)維度的數(shù)據(jù)都搜集起來(lái)���,上傳到不同互聯(lián)網(wǎng)公司的服務(wù)器上�����,你就會(huì)發(fā)現(xiàn)在這個(gè)時(shí)代���,個(gè)體不再有隱私可言,甚至?xí)兂梢粋€(gè)透明的數(shù)碼人�����。
所以�����,現(xiàn)在很多互聯(lián)網(wǎng)企業(yè)也非常激動(dòng),非常熱衷于交談?dòng)脩?hù)數(shù)據(jù)����。拿著這么多大數(shù)據(jù),這些企業(yè)就能知道一些最終的問(wèn)題:你是誰(shuí)���,你要干什么�����,你準(zhǔn)備干什么��?
當(dāng)這些大數(shù)據(jù)都被拿到以后��,我們就開(kāi)始渴望利用它來(lái)對(duì)用戶(hù)做更精準(zhǔn)的營(yíng)銷(xiāo)以及各種智能的推薦���。在這里確實(shí)有一個(gè)blance(平衡),就是如何保護(hù)用戶(hù)的隱私�。美國(guó)一個(gè)著名的科幻作家阿西諾夫?qū)懥撕芏嘟?jīng)典的科幻小說(shuō),他定了一個(gè)機(jī)器人三定律�����,思考如何能防止機(jī)器文明的發(fā)展傷害到人類(lèi)��。據(jù)此�����,我們也提出了一個(gè)用戶(hù)隱私大數(shù)據(jù)的“三原則”����。
第一,用戶(hù)數(shù)據(jù)是屬于用戶(hù)的資產(chǎn)�����。目前��,大數(shù)據(jù)的歸屬權(quán)在法律上的定義還非常含糊����,雖然用戶(hù)在使用智能設(shè)備與程序時(shí)產(chǎn)生了大量數(shù)據(jù),它們被上傳到互聯(lián)網(wǎng)公司的云端服務(wù)器上����,但它們到底是誰(shuí)的資產(chǎn)?我們旗幟鮮明地認(rèn)為����,這理所當(dāng)然應(yīng)該是用戶(hù)的資產(chǎn)����,只不過(guò)是托管在各個(gè)互聯(lián)網(wǎng)公司的服務(wù)器上而已��。
并且����,從某種意義上說(shuō),將來(lái)很多傳統(tǒng)企業(yè)都會(huì)變成互聯(lián)網(wǎng)公司����,同時(shí)也涉及到這一問(wèn)題。比如��,過(guò)去賣(mài)電視�����、賣(mài)汽車(chē)的公司并沒(méi)有用戶(hù)數(shù)據(jù)�,但將來(lái)通過(guò)各種IOT系統(tǒng),它們就能拿到用戶(hù)的習(xí)慣和各種其他信息��。從這個(gè)角度來(lái)說(shuō)����,這第一個(gè)原則對(duì)它們而言也非常重要。
第二�,用戶(hù)對(duì)自己的數(shù)據(jù)享有處理權(quán)。用戶(hù)之所以心甘情愿地把這些數(shù)據(jù)交給互聯(lián)網(wǎng)公司去使用����,一定是因?yàn)榭梢該Q取免費(fèi)或有價(jià)值的服務(wù),但用戶(hù)仍然應(yīng)有知情權(quán)和選擇權(quán)���。
舉個(gè)例子����,在使用搜索工具時(shí)���,因?yàn)橛脩?hù)有需求�����,才會(huì)輸入自己內(nèi)心的隱私��,其搜索請(qǐng)求就會(huì)被存在引擎的服務(wù)端��。再比如���,在使用一些手機(jī)通訊軟件時(shí)���,用戶(hù)也會(huì)上傳自己的聯(lián)系人記錄等,這樣系統(tǒng)才能自動(dòng)匹配��,知道誰(shuí)是你的朋友�����,誰(shuí)是你朋友的朋友��,你和誰(shuí)聯(lián)系最頻繁��。
互聯(lián)網(wǎng)公司利用用戶(hù)數(shù)據(jù)牟利�����,也屬于正當(dāng)?shù)纳虡I(yè)模式�����,但關(guān)鍵在于保證用戶(hù)的知情權(quán)和選擇權(quán)�。用戶(hù)不能處于被動(dòng)地位,企業(yè)也不能在沒(méi)有任何告知的情況下濫用用戶(hù)數(shù)據(jù)�����,而必須要得到用戶(hù)的授權(quán),并以各種服務(wù)作為交換�。如果有少數(shù)用戶(hù)確實(shí)不愿意把自己的隱私拿來(lái)做商業(yè)交換,那么我認(rèn)為他們也有權(quán)利把這些數(shù)據(jù)拿走����,或是要求企業(yè)銷(xiāo)毀和刪掉�����。
第三����,企業(yè)有責(zé)任保護(hù)用戶(hù)的數(shù)據(jù)安全。最近國(guó)內(nèi)出現(xiàn)了一些例子�����,由于某些互聯(lián)網(wǎng)公司的安全水平不過(guò)關(guān)��,導(dǎo)致服務(wù)器被人攻破�,很多用戶(hù)信息丟失,再加上信息的加密與儲(chǔ)存有問(wèn)題(使用了明文來(lái)儲(chǔ)存信用卡密碼以及三位確認(rèn)碼)�,最終某電商網(wǎng)站上所有用戶(hù)的信用卡記錄都被拿走了。所以����,很多企業(yè)應(yīng)該意識(shí)到����,當(dāng)自己興奮地表明想利用IOT技術(shù)轉(zhuǎn)移成互聯(lián)網(wǎng)公司時(shí)���,要捫心自問(wèn)�����,自己是否確實(shí)有相應(yīng)的技術(shù)能力和產(chǎn)品能力�����,去確保安全的存儲(chǔ)與傳輸�?
當(dāng)企業(yè)在夸耀自己拿到了多少用戶(hù)的習(xí)慣和數(shù)據(jù)時(shí)���,也一定要盡到保護(hù)這些用戶(hù)數(shù)據(jù)的責(zé)任��,因?yàn)橐坏┓?wù)器被攻破�����,用戶(hù)數(shù)據(jù)被拿走�����,造成的后果會(huì)非常嚴(yán)重��。很多用戶(hù)都用一個(gè)密碼“走天下”�,無(wú)論是在網(wǎng)站還是APP上,所以一旦失守�,就可能全線覆沒(méi)�����。
在未來(lái)�����,無(wú)論是美國(guó)還是中國(guó)����,無(wú)論是做網(wǎng)絡(luò)安全還是保護(hù)用戶(hù)隱私的公司,當(dāng)然還包括那些傳統(tǒng)的互聯(lián)網(wǎng)公司��,都不可能無(wú)視用戶(hù)數(shù)據(jù)安全的問(wèn)題�����。只有讓用戶(hù)有安全感,讓他們覺(jué)得自己的隱私得到了保護(hù)�����,他們才會(huì)花更多的時(shí)間來(lái)使用各種互聯(lián)網(wǎng)的新技術(shù)和新產(chǎn)品�,這也是我們一直做免費(fèi)安全的哲學(xué)指導(dǎo)。用戶(hù)安全上網(wǎng)的權(quán)利就像人權(quán)一樣�����,應(yīng)該作為一個(gè)基本點(diǎn)����,那樣互聯(lián)網(wǎng)才能繁榮。如果互聯(lián)網(wǎng)充斥的不是釣魚(yú)網(wǎng)站�,就是網(wǎng)絡(luò)欺詐或數(shù)據(jù)泄露,那么我們就不可能有一個(gè)真正美好的互聯(lián)網(wǎng)�。
