首页   全球精英学院     
周鸿祎万物互联时代将上演骇客帝国

未来的网络世界,一半是无比舒适的便捷,一半是无孔不入的危险。只有安全的互联网才有美好的互联网,所以在互联网上安全第一。

前一段时间,我做了很多和安全没有关的事情。因为最近有很多企业都得了一种病,特别是很多传统行业的大佬们,他们都从瞧不上互联网变成了互联网焦虑,大家都觉得互联网成了一个颠覆的力量,成了一个价值的毁灭者。所以,我就和他们沟通如何理解互联网。

很多人问我互联网思维是什么?我认为在过去20年里互联网最大的力量就是实现了网聚人的力量,互联网把我们很多人连接起来。

互联网的第一代是PC互联网,我们每个人的电脑连接起来,这时候安全问题还没有如此突出,当时的防病毒和查杀流氓软件能解决大多数的安全隐患,还有我们很多边界和防火墙的防御。但到了互联网的新阶段,我们每个人都用手机了,今天手机已经变成我们每个人手上的一个器官,很多人几分钟不看手机就觉得心里很失落,手机变成了一个新的连接点。智能手机打破了我们原来对边界的定义,更广泛的与我们的个人隐私信息联结在一起,所以,安全的问题变得更加严重。

下面有一个好消息,也是一个坏消息,手机互联网之后,下一个五到十年我们的互联网将会往何处去?我觉得一个最重要的时代可能将要开始,那就是IoT——万物互联。未来的互联网不仅仅是人和人连起来,也不仅仅是手机之间的连接,而是能够把今天我们所有能看到、能想到、能碰到的各种各样的设备——大到工厂里的发电机、车床,小到你家里的冰箱、插座、灯泡,到每个人身上带的这种戒指、耳环等东西都可以连接起来。过去中国有一个和它相对的概念叫做物联网,但物联网这个概念我不是很喜欢,可能是因为在过去几年里它更多地被解释成传感器网络,所以我认为物联网和IoT并不一样。在IoT的概念里,第一,所有的设备都会内置一个智能的芯片和智能操作系统,可以说所有的东西实际上都变成了一个手机,只不过它的外形不是手机而已。举个最简单的例子,如果你开了一辆智能汽车,在我看来就是骑在一部有四个轮子的大手机上。第二,所有的设备都可以通过3G、4G的网络,通过Wi-Fi、蓝牙等各种各样的协议和互联网、云端7×24小时相连,这里面就会产生真正的海量数据,所以我说大数据时代其实才刚刚开始。我估计未来五年内至少有100~200亿智能设备连接互联网,这个设备的数量会远超过今天我们人口的数目,会远远超过我们现在电脑和手机的数目。这些智能设备其实在你睡觉的时候,它也无时不在工作,所以它基本上是7×24小时记录和产生数据。但这些智能设备的本地存储能力一般都比较弱,因为它会装在各种各样的微小设备里,所以,大量的数据会被传到云端。想像一下,有人带了一个手环,这个手环不仅提供运动的监测,还能够提供很多参数,即便在你睡觉的时候,它也不断产生数据,当你把这两个因素乘起来的时候,你会发现这是真正的大数据时代。

除了IoT,最近美国还有一个概念很热,就是机器人。我理解的机器人背后是机器的人工智能和机器的意识。最近一些机器学习和智能算法的出现,让我们在包括图像识别、在机器翻译等方面都取得了进展,其实它的本质并不是什么算法特别神,而是因为这个算法背后利用了大数据。有了海量数据,再跟这些算法结合,就可能产生真正的人工智能。所以,IoT的第三点——也是很重要的一个概念——将来在云端,可能会出现利用大数据之后产生智能机器——我们可以称之为云脑和机器大脑,让它再反过来对各种设备进行反向控制,所以,这听起来既是一个好消息,同时对安全也会是一个挑战。

对IoT来讲,我先讲讲好消息。我觉得这是一个巨大的机会,不仅是对于互联网公司来说,你可以利用IoT技术把原来很多线上的设计延展到线下。举个例子,过去360做你的电脑卫士,现在我们做你的手机卫士,但现在我们要做路由器,为什么呢?我们要做你的家庭卫士,因为你的家居如果未来被人攻占了,家庭局域网出现了问题,可能问题就比较大。再比如利用IoT技术,我们马上会重新发售儿童手表,给每个儿童戴上一个手表,父母可以随时定位知道它的位置,根据环境我们可以知道小孩所处的情况,可以迅速把他的位置和情况通知给父母。这就是利用IoT技术让我们从过去只是做线上的安全,延伸到线下变成可以解决你的人身安全和家居安全。但IoT更大的机会,我觉得是对中国传统产业特别是传统制造业的一个机会,用一句俗话说叫做重新发明轮子的时代到了,因为很多东西已经走到尽头了,你再怎么发明不可能把轮子从圆的变成方的,但利用IoT的技术你可以把轮胎也变成智能的。IoT的好处我不多渲染了,下面我想提出几个问题,请我们所有安全的从业人员来思考,这在安全上对我们意味着什么样的挑战:

第一,当所有的设备都变成智能化,都接入网络以后,边界的概念将会进一步被削弱,也就是说接入点越多,可以被攻破的入口就会越多。过去,我们很奉行什么隔离,什么切断,我们可以把电脑放在一个屋子里,我们可以把一个网络进行隔离,但今天你会发现越来越多的可能不起眼的设备都支持Wi-Fi和蓝牙,这里面有太多可以被别人攻击的点,而且攻击点越多,从防守来说我们的挑战就越大。

第二,过去我们很多企业可能不太重视企业的安全。很多时候我们买防火墙是为了合规,是上级要求和行业要求,防火墙究竟有没有配置好,能起多大的作用不太知道,可能也不太出事。过去我们企业的发展,可能把自己割裂在一个安全的孤岛上,但你要变成互联网企业之后,你不可避免要把自己的核心业务系统接入到互联网上。你会发现当所有的企业都变成互联网企业之后,你的企业安全一定要提高到一个更重要的优先级上,因为当你的服务器或你的网络被攻破之后,可能不仅仅是意味着你内部数据的泄露,更意味着用户数据的灾难。

第三,大数据污染。就是大数据中如果被人为加入了不好的数据,人为操作和注入修改虚假信息,或者在数据传输存储过程中出现了问题,那么你根据大数据做出的行业指导和趋势分析,可能就会出问题,这个问题今后会详细阐释。

前段时间中国人崇拜乔布斯,但因为中国的假乔布斯太多了,他们又开始崇拜美国另外一个人,号称钢铁侠,他造了一部汽车叫做特斯拉。他上次来中国的时候,我有幸和他们一起吃了晚餐。我问了一个令他很恼怒的问题,我说你的汽车会被人骇客吗?他说不会,我们所有的应用都是自己写的,我们不会安装任何第三方应用,所以不会有任何问题。于是我就提出了下面两个问题,第一你的汽车是有Wi-Fi和蓝牙,我可能骇客不了你的汽车,但你用手机接入的话,我可以骇客你的手机,我一样可以通过手机骇客这个汽车。第二一个智能汽车就像一个大手机一样,一定要和云端通信,所以如果有人下发了你的通信协议或者破解了你的云端网络,我一样可以控制你的汽车。我们后来在全国征得了很多有识之士,有人成功破解了对特斯拉的协议,成功实现了对汽车的控制。所以,中国汽车厂要生产智能汽车,我给他们说对重要的不是边开汽车边看互联网影视,最重要的是老百姓敢不敢开你的车,如果半路上突然死机了,突然蓝屏了,突然弹出一个大窗口说你必须下载一个什么软件,这样的汽车不会有人开的,因为一旦出现问题就会非常的严重。

所以,在IoT时代,一旦网络被人控制不可设想。我是一个电影迷,家里有很多好莱坞电影,很多都是网上下的,我记得布鲁斯威利斯在《虎胆龙威》里说,恐怖分子控制了美国的电厂,控制了大坝,控制了交通信号灯,当时我看的时候觉得匪夷所思,他们怎么这么傻,这都是专用系统干吗要接入互联网呢?但到了IoT时代,你发现所有的设备都希望可以远端控制和智能采集数据,这些东西都可以接入互联网。举个小例子,当一个IT发烧友把你们家的灯泡、电视、都换成智能的,又装了一个摄像头,变成智能摄像头,如果你们家路由器被人骇客了,我就可以把你家的灯都关掉,还可以装上一个摄像机。

有很多问题我没有答案,我只是提出来,我觉得这要靠大家共同努力去意识到这些挑战,同时寻找解决的方法。

还有两个问题,一个是大数据带来的用户隐私问题。最近美国机器人很热,坦率说我觉得也是代表了一个趋势,当大数据产生了人工智能之后,很有可能人类技术发展会到达一个新的基点,当能够控制很多设备的时候,我觉得有两种可能,一种是我们的家庭生活会变得更加幸福,一种是骇客帝国的时代会来临。

最重要的一个挑战是用户隐私的挑战,在这样一个IoT和大数据的时代,我们每个人的数据,实际上只要你用网络服务就会被传到云端,就会被储存到各个提供互联网的地方——不一定是互联网公司,可能所有的公司都有它的云端数据的收集,每个人会变得更加透明。这时候如果法律和规则的制定是落后的,将会有很多问题弄不清楚。,怎样在这种情况下更好的去保护我们个人的隐私?我提出了一个新的想法:在大数据时代,如何保护用户隐私的三原则。

第一,虽然这些信息储存在不同的服务器上,但你们觉得这些数据的拥有权究竟属于这些公司还是属于用户自己?我的答案是这些数据应该是用户的资产,这是必须明确的。我希望将来在打很多官司的时候会出来,这与财产所有权一样,个人隐私数据也会有一个所有权,我希望我们的立法专家能够考虑到所有权应该属于用户所有,这是第一个原则。

第二,不仅是今天的互联网公司,更不仅仅是今天的网络安全公司,甚至包括很多要进入互联网要利用IoT技术,要给用户提供这些信息服务的公司来讲,你都要有相应的安全能力,你要把你收集到的用户数据进行安全存储和安全的传输,这是企业的责任和义务,如果你这个企业没有足够的安全能力,将会给整个社会带来灾难。所以我也讲,可能未来五到十年网络安全的责任不仅仅是我们今天这些安全从业人员的责任,我觉得每一个想做互联网业务的公司,每一个有用户资料的公司,每一个要把自己的服务摆到互联网上去的公司,都要提升安全能力,提升安全防护水平。如果要收集用户的数据,必须要先解决安全可靠的传输存储的基础。

第三,如果你使用用户的信息,一定要让用户有知情权,要让用户有选择权,所谓叫做平等交换、授权使用,你不能未经用户的授权就去采集他的信息。

所以有了这三原则,在我们进入IoT时代后,才能让用户对下一代互联网感觉更放心,才能更好的使用。

未来安全的问题不会被彻底解决掉,随着人类越来越贪婪,越来越懒惰,我们的生活越来越舒服,我们对各种先进技术的使用越来越多,带来的负面就是对安全的挑战越来越多。解决安全的挑战,需要我们每个人也需要我们安全行业的公司,更需要我们安全企业各方面的支持,我们大家一起携手未来创造一个安全的互联网,只有安全的互联网才有美好的互联网,所以在互联网上最重要的就是安全第一。

2014-9-26点击数/观注度 2586
 
咨询电话 13910949198 (李桂松)
北京市平谷区中关村科技园区平谷园1区-21594(集群注册)
京ICP备16017448号

京公网安备 11011302003178号

技术支持