360周鸿祎：IOT时代的信息安全 六挑战三原则

360周鸿祎：IOT时代的信息安全 六挑战三原则

    前一段时间我干了很多和安全关系不大的事情，看到了很多传统行业的老大如何患上“互联网焦虑症”，他们害怕互联网成为传统价值的毁灭者，其实这些是对于互联网的一些误解，所以我还写了一本书，讲我的互联网方法论。

很多人问我互联网思维是什么？如果用一个词总结是什么？我想了想是在过去的20年里互联网最大的力量就是实现了“网聚人的力量”，互联网把我们很多人连接起来。

在互联网第一代的时候是PC互联网，我们每个人的电脑连接起来，这时候安全问题还OK，当时的防病毒和查杀流氓软件，以及我们很多边界和防火墙的防御技术；但到了互联网的新阶段，我们每个人都用手机了，今天手机已经变成我们每个人手上的一个器官，我们每个人有一种新的病，几分钟不看手机就觉得心里很失落，手机变成了一个新的连接点。手机打破了我们原来对边界的定义，手机更多和我们的个人隐私信息联接在一起，所以，安全的问题变得更加严重。

有一个好消息，也是一个坏消息，手机互联网之后，下一个五到十年我们的互联网将会往何处去？

其实我觉得一个最重要的时代可能要开始那就是IoT——Internet of Things，万物互联。

美国的硅谷现在非常流行IoT这个词，Internet of Things，我早些时候提出来有些人质疑是“物联网”的翻版，但是我认为并不是。物联网被翻译成传感器网络，而IoT网络是万物互联的。

    来IoT时代，所有设备都将内置一个智能芯片和智能OS，所有设备都能通过各种网络协议进行通信，而且是7 x 24小时的相连，能够产生真正海量的大数据；并且，伴随大数据应用的逐步升级，也会让机器变得更加智能，甚至具备自己的意识。我认为，IOT时代的信息安全其实也是大数据的安全问题，而且至少要面临六方面的挑战。

首先，当所有的设备都变成智能化，都接入网络以后，边界的概念将会进一步被削弱，也就是说接入点越多，可以被攻破的这种可能的入口就会越多。过去，我们很信奉“隔离”、“切断”，我们可以把电脑放在一个屋子里，我们可以把一个网络进行隔离，但今天你会发现越来越多的不起眼设备都支持Wi-Fi和蓝牙，这里面有太多可以被别人攻击的接入点，而且攻击点越多，对防守的挑战就会越大。

第二，未来企业都将成为互联网企业，企业信息安全面临更大的挑战。过去我们很多企业可能不太重视企业的安全，我们很多时候买防火墙是为了合规，是上级要求和行业要求。过去我们企业的发展，可能把自己割裂在一个安全的孤岛上，但你要变成互联网企业之后，你不可避免要把自己的核心业务系统接入到互联网上。

但当所有的企业都变成互联网企业之后，企业安全一定要提高到一个更重要的优先级上，也就是说当你的服务器或你的网络被攻破之后，可能不意味着仅仅是你内部数据的泄露，可能意味着用户数据的灾难。

第三个问题，大数据污染。就是大数据中如果被人为加入了各种无效、错误的数据，人为操作和注入修改虚假信息，在数据传输存储过程中出现了问题，那么根据大数据所做的一切行业指导和趋势分析，都可能面临灾难性的后果。

第四，智能设备IoT 被控制之后的灾难，这种危害或者会比电脑手机更大。

    过去大家都记得，你的电脑中毒了、有问题了，大家最多觉得“今天给老板交的报告写不出来了”，所以我电脑中毒了经常成为工作完不成的一个借口。机出问题了呢，无非你们看到最近多了很多“艳照”，不小心照片上传了；然今天手机和支付系统连在一起，可能当你的通信录被盗用了，就会收到一些诈骗短信。包括前面讲到的那个木马之所以会得逞，就是因为它盗用了你的通信录的地址本，熟人发来的短信，大家都会连接。

    但IoT是可被控制的，不是一个单纯的网络，这个被控制了带来的风险就大了。

    前段时间中国人崇拜完乔布斯之后，因为中国的假乔布斯太多了，他们又开始崇拜美国另外一个人，号称钢铁侠，他造了一部汽车叫做特斯拉，他上次来中国的时候，我有幸和他们大家一起吃了晚餐。我问了一个他很恼怒的问题，我说你的汽车会被人骇客吗？他说不会，我们所有的应用都是自己写的，我们不会安装任何第三方应用，所以不会有任何问题。我就提了两个问题，第一个你的汽车是有Wi-Fi和蓝牙，我可能骇客不了你的汽车，但你用手机接入的话，我可以骇客你的手机，我一样可以通过手机骇客这个汽车。自然你是一个智能汽车，它就像一个大手机一样，一定要和云端通信，所以如果有人下发了你的通信协议或者破解了你的云端的网络，我一样可以控制你的汽车。

    我们后来在全国征得了很多有识之士，有人成功破解了对特斯拉的协议，成功实现了对汽车的控制。所以，中国汽车厂要生产智能汽车，我给他们说最重要的不是边开汽车边看互联网影视，最重要的是老百姓敢不敢开你的车，如果半路上突然死机了，突然蓝屏了，突然弹出一个大窗口说你必须下载一个什么玩意儿，这样的汽车不会有人开的，一旦出现问题就会非常的严重。

第五个问题，当大数据产生了人工智能之后，很可能人类技术发展会到达一个新的“奇点”。

    比如说以后的机器人和智能汽车，我有一个断言，它未必是由这个设备里的智能系统单独做智能判断，它一定是和云端一个更大的智能系统相连。

    比如真正的智能驾驶，你何止需要这一部汽车的数据才能做判断，可能需要路边很多传感器和很多其他汽车发来的信息，你需要在云端进行高速的分析，再反馈过去。所以，将来有一天可能不仅仅是这台车上的电脑在指挥，很有可能是云端的一个机器在指挥。

    因此，各种各样无论是专用机器人还是通用机器人，在几年以后也会越来越普及，都会和互联网相连，甚至它们再反过来对各种设备进行反向控制。

    这样，当真正云端安全出现问题以后，机器智能带来的转换，这是我们下一个五到十年必须要考虑的问题。

第六个问题，也是最重要的一个挑战就是对用户隐私的挑战。

    如果说IOT时代，各种传感器让每个人的数据维度更加丰富了，而且产生的数据都记录在云端，所以IOT时代的大数据下每个人都是透明的，一旦出现泄露后果也是极其严重的。

    而且值得深思的是，在对用户隐私信息的保护，现行的法律和规则的制定都是落后的，有很多问题是不清楚的，怎样在这种情况下更好的去保护我们个人的隐私？除非不用任何先进设备、不接入网络，否则用户的个人隐私信息永远都是安全挑战。

    就像前几天我看到美国有一家公司，只要给他的试管吐一口吐沫，就可以免费测出用户的基因组。未来基因的检测的成本会更低，而这样的公司他直接拿到了用户的最隐秘数据——基因。

       所以说，IOT时代可以是某些企业的黄金时代，但同样对信息安全的保护却变得无比脆弱。对于这六个方面的挑战，有些已经在发生，有些是即将发生。在此， 我也提出一个新的想法，在大数据时代，如何保护用户信息的三原则。

第一，数据应该是用户的资产，这是必须明确的。虽然未来将有大量的信息存在互联网服务商的服务器上，但是用户数据的所有权必须明确，所有数据与信息都是属于用户的个人资产。

第二，任何企业都需要把收集到的用户数据进行安全存储和安全的传输，这是企业的责任和义务。

不仅仅是提供互联网服务的公司，包括所有暂时存储着用户数据的想做互联网业务的公司，都要提高公司安全能力，都要有加强安全防护水平的责任和义务；既然你们要收集用户数据，就必须解决传输、存储的基本安全问题。

第三，用户信息的使用，一定要保障用户的知情权和选择权，平等交换、授权使用。

存有用户数据的企业，在使用这些数据之前，一定要遵循平等交换，授权使用的原则，不能未经许可采集和滥用。更重要的是，要保障用户说“不”的权力：还有很多用户可以选择，当不需要某项服务时，可以把它关掉，可以拒绝采集数据，用户一定要有这种选择权。

    不论是现在，还是未来，这些数据在未经用户授权的情况下进行了交易牟利，这不仅要被视作不道德的行为，更应该视为是非法的。

    所以有了这三原则，在我们进入IoT时代时，我们才能让用户对下一代互联网感觉更放心，才能更好的使用。

    只有安全的互联网才有美好的互联网，所以在互联网上最重要的就是安全第一。