-
-
周鸿祎:IOT给互联网安全提出巨大挑战
-
发表于: 2015-4-9 23:52 1666
-
新闻链接:http://news.163.com/14/1203/17/ACICS93N00014JB6.html
新闻时间:2014-12-03
新闻正文:
美国时间12月2日至3日,第七届中美互联网论坛在美国华盛顿举行。在本次中国代表团中,有中国国家互联网信息办公室主任鲁炜、微软大中华区副总裁陈实、中国工程院院士以及本土互联网企业的高层代表。360公司董事长兼CEO周鸿祎代表中国互联网企业出席并在论坛招待晚宴上发表致辞。
周鸿祎在演讲中表示,在下一个五年,IOT的发展将给互联网、移动互联网安全提出巨大的挑战。当各种各样的设备,无处不在的设备都是通过Wi-Fi、蓝牙、ZigBee各种各样的无线的协议连接到整个企业网的时候,越来越多的连接点就意味着越来越多攻击的可能性。同时,针对用户大数据带来的隐私问题也会日益突出。
为此,360提出用户保护三原则:用户数据是用户的资产;用户有知情权和选择权,有权不允许网络公司使用自己的数据;公司有责任保护用户数据,对数据进行安全存储、安全传输。
360公司董事长周鸿祎演讲全文:
我简单自我介绍一下,我的公司叫做360,说起来起这个名字的时候,我特别喜欢微软的一个产品叫做X-Box360(音),所以我们就取了这个名字,表示我们做网络安全希望360度全方位的保护用户。
我们做安全和其他的像赛门铁克、McAfee其他做安全的公司最大的不一样,我们在2006年的时候就相信网络安全是用户的一种基本需求,所以,就像搜索、邮件、即时通信一样我觉得它是互联网里的一个基础服务,就应该免费,所以,我们面对中国的六亿用户提供免费的安全服务,重新创造了一种新的免费安全的模式。
我今天想分享一个观点,就是在下一个五年,对互联网、移动互联网安全最大的威胁和挑战是什么?
最近大家都在谈一个趋势IOT或者IOE,Internet of things或者叫做internet of everythings(音),我觉得这是令人感到非常激动的一个趋势,也就是我们所有能看到的、能想象到的各种各样的硬件,无论是汽车、无论是家居还是我们身上可穿戴的各种东西,甚至到很多工业生产制造业里的这些设备都会智能化,我觉得不是简单的家电传感器,它都会变成一个不像手机的手机,它都会和网络实时的连接,也有人说IOT带来了巨大的机会,它真的可以把互联网和很多online和很多offline的东西联系在一起,而且它实际上是可能比3D打印机更让人激动的是会带来第四次工业革命,我也经常和国内很多生产制造业的企业交谈说,IOT技术可以帮助他们来重新发明轮子,也就是说我们不可能把轮子从圆的变成方的,但我们可以在轮子里加入各种智能芯片和传感技术,同时我们可以把很多企业的商业模式从单纯的一次性去卖产品,把它变成实时与互联网相连,变成互联网服务。
但是,今天我想说的是,这带来了三个巨大的对安全的挑战和威胁。第一,我觉得这是对各种社会的攻击的可能性大大增加,传统企业安全在部署的时候,经常喜欢用一个词说我们把我们的网络隔离起来,让我们在边界的地方加上防火墙,加上这种安全的控制,我们就以为企业的网络就可以高枕无忧了。事实上当各种各样的设备,无处不在的设备都是通过Wi-Fi、蓝牙、ZigBee各种各样的无线的协议连接到整个企业网的时候,越来越多的连接点就意味着越来越多攻击的可能性。举个例子,中国有很多厂商要做这种智能汽车,他们也来找我们说智能汽车最大的问题不是自动驾驶,甚至不是电机充电,而是消费者会认为说如果我开在路上,到底它会不会被人攻击?事实上也有很多厂商认为我用的系统非常坚固,但我就跟他讲一个道理,你的汽车上有蓝牙,你的汽车上有一个Wi-Fi,你用你的手机去当钥匙来控制,只要有这种机会,那么我通过先控制你的手机,我就能够进一步再去控制这辆汽车,甚至国内有不少的黑客已经试图用类似的方法去劫持像特斯拉汽车,可以让它在行驶的过程中出问题,所以,以后这种边界安全的概念将会变得非常的含糊。
过去我们讲终端安全非常重要,但这个终端将会随着IOT设备数目十位数的增长,我觉得攻击点会特别多,所以,这对我们每个安全企业来说都是一个巨大的挑战和机会,也就是以后汽车里面是不是也要有防火墙。
第二,过去我们讲起网络攻击,大家的电脑被攻击了无非是损失一些文件,如果大家的手机被攻击了可能会有更多隐私的泄露,会有一些在线的欺诈。但一旦IOT普及后,这种对IOT设备的攻击可能会带来巨大的物理伤害或者人身伤害,举两个最典型的例子,一个是汽车,如果你的汽车在行驶过程中突然死机或者突然叫停在高速公路上,你有可能出现非常严重的问题。所以,过去在美国很多好莱坞大片里看到的这种,比如在布鲁斯威利演的《虎胆龙威第五集》里恐怖分子可以通过网络去控制工厂,控制交通信号灯,控制电梯甚至控制你们家的门锁,我觉得这在下一步恐怕不是一个幻想的电影了,这样网络攻击的结果就会比现在仅仅是一些信息和个人隐私数据的丢失更为严重。
第三,是针对用户大数据带来的隐私问题。我们现在都在谈大数据,但实际上我觉得真正的大数据时代还没有到来,因为现在数据的产生比如PC只是在我们工作时间会产生一些数据,有了手机之后除了睡觉我们不带手机,我们在用手机各种APP的时候会产生各种数据,手机会比PC产生各种大数据的上传,但对于IOT来说,因为它的计算能力比较弱,它一定要把数据传到云端,第二,IOT设备的数目会是现在的十倍,现在中国有6亿网民,未来平均一个人用两部手机,一部iPhone一部android,就是15亿部移动的设备,但是你想像一下,以后每个人身上至少有5到10个这种IOT的设备,你的家里可能有20个不同的设备,甚至包括灯泡和插座都是连到互联网上的,所以你会发现整个IOT设备的数目会比现在大10倍到20倍,也就是说几年之后仅仅在中国市场连接互联网的这种智能终端的数量不会是15亿部,很有可能是150亿到200亿部,这是一个巨大的数字。
IOT设备还有一个特点,比如今天很多人戴的运动手环或者智能手表,在你睡觉的时候它也在工作,它也在时刻7×24小时的把你的数据传递给你,所以,IOT带来一个巨大的挑战,它真正产生了海量的数据,但这些大数据实际上你把一个人的各个维度的数据都搜集上来,其实你发现在这个时代任何个体没有隐私可言了,你会变成一个透明的数码人,你所有的数据都被不同的互联网公司拿到他们的服务器上。
所以,我觉得我们现在很多互联网企业也非常激动,非常热衷地谈说,我们拿着这么多大数据,我们就知道一些最终的问题,你是谁,你要干什么,你准备干什么,我们都知道,所以,我们准备渴望用大数据来对用户做更精准的营销,做各种智能的推荐,这里面确实有一个blance,就是如何保护用户的隐私。美国有一个著名的作家叫做阿西诺夫,我非常喜欢他的作品,他写了很多经典的科幻小说,他当时定了一个机器人三定律,防止机器文明的发展如何能够不伤害人类,所以他提出了三定律。所以,我们在国内也和很多互联网公司交流,我们也提出了一个用户隐私大数据的三原则和大家分享一下。
第一,现在在法律上定义非常含糊,我用了这些智能设备,用了手机上的APP,所有这些产生的数据被传到云端的数据,虽然是放在互联网公司的云端服务器上,但它到底是谁的资产,我们觉得应该非常旗帜鲜明的定义这些资产应该是用户的资产,只不过是用户把它托管在各个互联网公司的服务器上。当然我有一个概念讲此了,IOT以后不光是互联网公司,以后很多的企业都会变成互联网公司,比如说过去卖电视的人没有用户数据,但电视机买回家成了用户和卖电视企业之间的连接,它要拿到用户的习惯。以后卖汽车的人也至少会有一个云端的服务器给每部汽车制作OTA自动的升级和更新,所以,从这个角度来说以后越来越多的企业用了IOT技术都会变成我定义的这种互联网公司,所以,这里面我们觉得第一个原则是用户数据是用户的资产。
第二,其实用户之所以心甘情愿把这些数据交给互联网公司去使用,它一定是换取了很多免费或者有价值的服务,比如你在用搜索的时候,因为你要搜索,所以你就自然把自己内心非常隐私的一种需求输入进去,让你的搜索请求会被存在搜索引擎的服务端。比如你在用whatapp或者wechat这么新一代的手机通讯软件的时候,你就会把你的地址本全部上传上去,这样系统才能帮你匹配知道谁是你的朋友,谁是你朋友的朋友,你和谁联系最频繁的。当互联网公司要利用这些用户的数据牟利的时候,这是正当的商业模式,但最关键的是用户要有知情权和选择权,也就是说用户不是完全被动的,没有任何被告知这些数据都被烂用,企业必须要得到用户的授权,要通过授权交换用户使用各种免费网站的服务。如果有少数用户说我确实不愿意我的隐私拿来做商业的这种交换,那么我觉得用户可以有权利要求互联网公司去销毁和删掉自己的数据或者把这些数据允许用户自己拿走。
第三,我刚才讲了最近我们在中国看到一些例子,很多用户信息的丢失是因为这些互联网公司自己的安全水平不过关,导致他们的服务器被人攻破,导致一个服务器被攻破,导致在一个电商网站上所有用户的信用卡记录都被拿走了,甚至有些网站用明文来储存信用卡的密码和信用卡最后三位,本来应该用加密的三位确认码都是明文,所以,我们就意识到说如果当很多企业很兴奋地说我也要利用IOT技术,我转移成互联网公司,你要扪心自问必须要有这种技术能力和产品能力,要做到安全的存储,安全的传输,也就是说当你一方面在夸耀你拿到了多少用户的这种习惯,用户的数据的时候,你一定要尽到一个责任来保护好用户的数据,因为这种用户数据一旦从服务器上被攻破拿走,它整个造成的后果,因为很多用户都用一个密码在所有的网站,或者所有的APP上,意味着其他的网站其他的应用也会受到攻击,所以,这是我们提出的三原则,我们很希望说在未来我们和无论是美国还是中国所有做网络安全的公司,包括做用户隐私保护的公司,也包括和很多传统的互联网公司大家一起来讨论,我觉得只有让用户有安全感,让用户觉得自己的隐私得到了保护,我觉得用户才会花更多的时间使用各种互联网的新技术和产品,这也是我们一直做免费安全的一个哲学,就是安全,特别是用户安全的上网就像人权一样,应该是一个基本点,这样互联网才能繁荣。你设想一下,如果互联网大家上去不是有钓鱼网站,就是欺诈或者自己数据的泄露,我觉得不可能有一个真正美好的互联网。
最后我补充一句话,刚才听了鲁部长的讲话,我非常受启发,因为前两天我去上课,我的中国的国学老师给我讲了一句话叫做君子和而不同,所以,原来我们对和的理解是不对的,我们都以为和是和气,其实不是这样的,在中国的传统文化里讲和是多样性,彼此尊重,彼此的不一样,但是大家可以做很好的沟通,同,才是要求所有人都必须一样,所以中国有句古话叫做君子和而不同,小人同而不和。中国还有一句话,和为贵,过去我们理解是错的,都以为是和气,他讲和是多样性,保持这种多样性是最可贵的。所以,刚才听了鲁部长讲话,君子和而不同和和为贵,恰恰是反映了鲁部长讲话最精髓的地方,谢谢大家。
新闻时间:2014-12-03
新闻正文:
美国时间12月2日至3日,第七届中美互联网论坛在美国华盛顿举行。在本次中国代表团中,有中国国家互联网信息办公室主任鲁炜、微软大中华区副总裁陈实、中国工程院院士以及本土互联网企业的高层代表。360公司董事长兼CEO周鸿祎代表中国互联网企业出席并在论坛招待晚宴上发表致辞。
周鸿祎在演讲中表示,在下一个五年,IOT的发展将给互联网、移动互联网安全提出巨大的挑战。当各种各样的设备,无处不在的设备都是通过Wi-Fi、蓝牙、ZigBee各种各样的无线的协议连接到整个企业网的时候,越来越多的连接点就意味着越来越多攻击的可能性。同时,针对用户大数据带来的隐私问题也会日益突出。
为此,360提出用户保护三原则:用户数据是用户的资产;用户有知情权和选择权,有权不允许网络公司使用自己的数据;公司有责任保护用户数据,对数据进行安全存储、安全传输。
360公司董事长周鸿祎演讲全文:
我简单自我介绍一下,我的公司叫做360,说起来起这个名字的时候,我特别喜欢微软的一个产品叫做X-Box360(音),所以我们就取了这个名字,表示我们做网络安全希望360度全方位的保护用户。
我们做安全和其他的像赛门铁克、McAfee其他做安全的公司最大的不一样,我们在2006年的时候就相信网络安全是用户的一种基本需求,所以,就像搜索、邮件、即时通信一样我觉得它是互联网里的一个基础服务,就应该免费,所以,我们面对中国的六亿用户提供免费的安全服务,重新创造了一种新的免费安全的模式。
我今天想分享一个观点,就是在下一个五年,对互联网、移动互联网安全最大的威胁和挑战是什么?
最近大家都在谈一个趋势IOT或者IOE,Internet of things或者叫做internet of everythings(音),我觉得这是令人感到非常激动的一个趋势,也就是我们所有能看到的、能想象到的各种各样的硬件,无论是汽车、无论是家居还是我们身上可穿戴的各种东西,甚至到很多工业生产制造业里的这些设备都会智能化,我觉得不是简单的家电传感器,它都会变成一个不像手机的手机,它都会和网络实时的连接,也有人说IOT带来了巨大的机会,它真的可以把互联网和很多online和很多offline的东西联系在一起,而且它实际上是可能比3D打印机更让人激动的是会带来第四次工业革命,我也经常和国内很多生产制造业的企业交谈说,IOT技术可以帮助他们来重新发明轮子,也就是说我们不可能把轮子从圆的变成方的,但我们可以在轮子里加入各种智能芯片和传感技术,同时我们可以把很多企业的商业模式从单纯的一次性去卖产品,把它变成实时与互联网相连,变成互联网服务。
但是,今天我想说的是,这带来了三个巨大的对安全的挑战和威胁。第一,我觉得这是对各种社会的攻击的可能性大大增加,传统企业安全在部署的时候,经常喜欢用一个词说我们把我们的网络隔离起来,让我们在边界的地方加上防火墙,加上这种安全的控制,我们就以为企业的网络就可以高枕无忧了。事实上当各种各样的设备,无处不在的设备都是通过Wi-Fi、蓝牙、ZigBee各种各样的无线的协议连接到整个企业网的时候,越来越多的连接点就意味着越来越多攻击的可能性。举个例子,中国有很多厂商要做这种智能汽车,他们也来找我们说智能汽车最大的问题不是自动驾驶,甚至不是电机充电,而是消费者会认为说如果我开在路上,到底它会不会被人攻击?事实上也有很多厂商认为我用的系统非常坚固,但我就跟他讲一个道理,你的汽车上有蓝牙,你的汽车上有一个Wi-Fi,你用你的手机去当钥匙来控制,只要有这种机会,那么我通过先控制你的手机,我就能够进一步再去控制这辆汽车,甚至国内有不少的黑客已经试图用类似的方法去劫持像特斯拉汽车,可以让它在行驶的过程中出问题,所以,以后这种边界安全的概念将会变得非常的含糊。
过去我们讲终端安全非常重要,但这个终端将会随着IOT设备数目十位数的增长,我觉得攻击点会特别多,所以,这对我们每个安全企业来说都是一个巨大的挑战和机会,也就是以后汽车里面是不是也要有防火墙。
第二,过去我们讲起网络攻击,大家的电脑被攻击了无非是损失一些文件,如果大家的手机被攻击了可能会有更多隐私的泄露,会有一些在线的欺诈。但一旦IOT普及后,这种对IOT设备的攻击可能会带来巨大的物理伤害或者人身伤害,举两个最典型的例子,一个是汽车,如果你的汽车在行驶过程中突然死机或者突然叫停在高速公路上,你有可能出现非常严重的问题。所以,过去在美国很多好莱坞大片里看到的这种,比如在布鲁斯威利演的《虎胆龙威第五集》里恐怖分子可以通过网络去控制工厂,控制交通信号灯,控制电梯甚至控制你们家的门锁,我觉得这在下一步恐怕不是一个幻想的电影了,这样网络攻击的结果就会比现在仅仅是一些信息和个人隐私数据的丢失更为严重。
第三,是针对用户大数据带来的隐私问题。我们现在都在谈大数据,但实际上我觉得真正的大数据时代还没有到来,因为现在数据的产生比如PC只是在我们工作时间会产生一些数据,有了手机之后除了睡觉我们不带手机,我们在用手机各种APP的时候会产生各种数据,手机会比PC产生各种大数据的上传,但对于IOT来说,因为它的计算能力比较弱,它一定要把数据传到云端,第二,IOT设备的数目会是现在的十倍,现在中国有6亿网民,未来平均一个人用两部手机,一部iPhone一部android,就是15亿部移动的设备,但是你想像一下,以后每个人身上至少有5到10个这种IOT的设备,你的家里可能有20个不同的设备,甚至包括灯泡和插座都是连到互联网上的,所以你会发现整个IOT设备的数目会比现在大10倍到20倍,也就是说几年之后仅仅在中国市场连接互联网的这种智能终端的数量不会是15亿部,很有可能是150亿到200亿部,这是一个巨大的数字。
IOT设备还有一个特点,比如今天很多人戴的运动手环或者智能手表,在你睡觉的时候它也在工作,它也在时刻7×24小时的把你的数据传递给你,所以,IOT带来一个巨大的挑战,它真正产生了海量的数据,但这些大数据实际上你把一个人的各个维度的数据都搜集上来,其实你发现在这个时代任何个体没有隐私可言了,你会变成一个透明的数码人,你所有的数据都被不同的互联网公司拿到他们的服务器上。
所以,我觉得我们现在很多互联网企业也非常激动,非常热衷地谈说,我们拿着这么多大数据,我们就知道一些最终的问题,你是谁,你要干什么,你准备干什么,我们都知道,所以,我们准备渴望用大数据来对用户做更精准的营销,做各种智能的推荐,这里面确实有一个blance,就是如何保护用户的隐私。美国有一个著名的作家叫做阿西诺夫,我非常喜欢他的作品,他写了很多经典的科幻小说,他当时定了一个机器人三定律,防止机器文明的发展如何能够不伤害人类,所以他提出了三定律。所以,我们在国内也和很多互联网公司交流,我们也提出了一个用户隐私大数据的三原则和大家分享一下。
第一,现在在法律上定义非常含糊,我用了这些智能设备,用了手机上的APP,所有这些产生的数据被传到云端的数据,虽然是放在互联网公司的云端服务器上,但它到底是谁的资产,我们觉得应该非常旗帜鲜明的定义这些资产应该是用户的资产,只不过是用户把它托管在各个互联网公司的服务器上。当然我有一个概念讲此了,IOT以后不光是互联网公司,以后很多的企业都会变成互联网公司,比如说过去卖电视的人没有用户数据,但电视机买回家成了用户和卖电视企业之间的连接,它要拿到用户的习惯。以后卖汽车的人也至少会有一个云端的服务器给每部汽车制作OTA自动的升级和更新,所以,从这个角度来说以后越来越多的企业用了IOT技术都会变成我定义的这种互联网公司,所以,这里面我们觉得第一个原则是用户数据是用户的资产。
第二,其实用户之所以心甘情愿把这些数据交给互联网公司去使用,它一定是换取了很多免费或者有价值的服务,比如你在用搜索的时候,因为你要搜索,所以你就自然把自己内心非常隐私的一种需求输入进去,让你的搜索请求会被存在搜索引擎的服务端。比如你在用whatapp或者wechat这么新一代的手机通讯软件的时候,你就会把你的地址本全部上传上去,这样系统才能帮你匹配知道谁是你的朋友,谁是你朋友的朋友,你和谁联系最频繁的。当互联网公司要利用这些用户的数据牟利的时候,这是正当的商业模式,但最关键的是用户要有知情权和选择权,也就是说用户不是完全被动的,没有任何被告知这些数据都被烂用,企业必须要得到用户的授权,要通过授权交换用户使用各种免费网站的服务。如果有少数用户说我确实不愿意我的隐私拿来做商业的这种交换,那么我觉得用户可以有权利要求互联网公司去销毁和删掉自己的数据或者把这些数据允许用户自己拿走。
第三,我刚才讲了最近我们在中国看到一些例子,很多用户信息的丢失是因为这些互联网公司自己的安全水平不过关,导致他们的服务器被人攻破,导致一个服务器被攻破,导致在一个电商网站上所有用户的信用卡记录都被拿走了,甚至有些网站用明文来储存信用卡的密码和信用卡最后三位,本来应该用加密的三位确认码都是明文,所以,我们就意识到说如果当很多企业很兴奋地说我也要利用IOT技术,我转移成互联网公司,你要扪心自问必须要有这种技术能力和产品能力,要做到安全的存储,安全的传输,也就是说当你一方面在夸耀你拿到了多少用户的这种习惯,用户的数据的时候,你一定要尽到一个责任来保护好用户的数据,因为这种用户数据一旦从服务器上被攻破拿走,它整个造成的后果,因为很多用户都用一个密码在所有的网站,或者所有的APP上,意味着其他的网站其他的应用也会受到攻击,所以,这是我们提出的三原则,我们很希望说在未来我们和无论是美国还是中国所有做网络安全的公司,包括做用户隐私保护的公司,也包括和很多传统的互联网公司大家一起来讨论,我觉得只有让用户有安全感,让用户觉得自己的隐私得到了保护,我觉得用户才会花更多的时间使用各种互联网的新技术和产品,这也是我们一直做免费安全的一个哲学,就是安全,特别是用户安全的上网就像人权一样,应该是一个基本点,这样互联网才能繁荣。你设想一下,如果互联网大家上去不是有钓鱼网站,就是欺诈或者自己数据的泄露,我觉得不可能有一个真正美好的互联网。
最后我补充一句话,刚才听了鲁部长的讲话,我非常受启发,因为前两天我去上课,我的中国的国学老师给我讲了一句话叫做君子和而不同,所以,原来我们对和的理解是不对的,我们都以为和是和气,其实不是这样的,在中国的传统文化里讲和是多样性,彼此尊重,彼此的不一样,但是大家可以做很好的沟通,同,才是要求所有人都必须一样,所以中国有句古话叫做君子和而不同,小人同而不和。中国还有一句话,和为贵,过去我们理解是错的,都以为是和气,他讲和是多样性,保持这种多样性是最可贵的。所以,刚才听了鲁部长讲话,君子和而不同和和为贵,恰恰是反映了鲁部长讲话最精髓的地方,谢谢大家。
赞赏
看原图
赞赏
雪币:
留言: