周鴻禕：IOT設備急速增長 將帶來全球性安全威脅

我簡單自我介紹一下，我的公司叫做360，說起來和微軟有些淵源。起名字的時候，我特別喜歡微軟的一個產品叫做X-Box360，所以我們就取了這個名字，表示我們做網絡安全希望360度全方位的保護用戶。

我們做安全和其他的像賽門鐵克、McAfee其他做安全的公司最大的不一樣，我們在2006年的時候就相信網絡安全是用戶的一種基本需求，所以，就像搜索、郵件、即時通信一樣我覺得它是互聯網裡的一個基礎服務，就應該免費，所以，我們面對中國的六億用戶提供免費的安全服務，重新創造了一種新的免費安全的模式。

我今天想分享一個觀點，就是在下一個五年，對互聯網、移動互聯網安全最大的威脅和挑戰是什麼？

IOT讓威脅無處不在

最近大家都在談一個趨勢IOT或者IOE，Internet of Thing或者叫做Internet of Everything，我覺得這是令人感到非常激動的一個趨勢，也就是我們所有能看到的、能想象到的各種各樣的硬件，無論是汽車、無論是家居還是我們身上可穿戴的各種東西，甚至到很多工業生產製造業里的這些設備都會智能化，我覺得不是簡單的家電傳感器，它都會變成一個不像手機的手機，它都會和網絡實時的連接，也有人說IOT帶來了巨大的機會，它真的可以把互聯網和很多online和很多offline的東西聯繫在一起，而且它實際上是可能比3D打印機更讓人激動的，是會帶來第四次工業革命，我也經常和國內很多生產製造業的企業交談說，IOT技術可以幫助他們來重新發明輪子，也就是說我們不可能把輪子從圓的變成方的，但我們可以在輪子里加入各種智能芯片和傳感技術，同時我們可以把很多企業的商業模式從單純的一次性去賣設備，把它變成實時與互聯網相連，變成互聯網服務。

但是，今天我想說的是，這帶來了三個巨大的對安全的挑戰和威脅。

√ 第一，我覺得這是對各種社會的攻擊的可能性大大增加，傳統企業安全在部署的時候，經常喜歡說，我們把我們的網絡隔離起來，讓我們在邊界的地方加上防火牆，加上這種安全的控制，我們就以為企業的網絡就可以高枕無憂了。

事實上當各種各樣的設備，無處不在的設備都是通過Wi-Fi、藍牙等各種各樣的無線的協議連接到整個企業網的時候，越來越多的連接點就意味着越來越多攻擊的可能性。舉個例子，中國有很多廠商要做這種智能汽車，他們也來找我們說智能汽車最大的問題不是自動駕駛，甚至不是電機充電，而是消費者會認為說如果我開在路上，到底它會不會被人攻擊？事實上也有很多廠商認為自己用的系統非常堅固，但我就跟他講一個道理，你的汽車上有藍牙，你的汽車上有一個Wi-Fi，你用你的手機去當鑰匙來控制，只要有這種機會，那麼我通過先控制你的手機，我就能夠進一步再去控制這輛汽車，甚至國內有不少的黑客已經試圖用類似的方法去劫持像特斯拉汽車，可以讓它在行駛的過程中出問題，所以，以後這種邊界安全的概念將會變得非常的含糊。

過去我們講終端安全非常重要，但這個終端將會隨着IOT設備數目十位數的增長，我覺得攻擊點會特別多，所以，這對我們每個安全企業來說都是一個巨大的挑戰和機會，也就是以後汽車裡面是不是也要有防火牆。

√ 第二，過去我們講起網絡攻擊，大家的電腦被攻擊了無非是損失一些文件，如果大家的手機被攻擊了可能會有更多隱私的泄露，會有一些在線的欺詐。但一旦IOT普及后，這種對IOT設備的攻擊可能會帶來巨大的物理傷害或者人身傷害，舉兩個最典型的例子，一個是汽車，如果你的汽車在行駛過程中突然死機或者突然叫停在高速公路上，你有可能出現非常嚴重的問題。所以，過去在美國很多好萊塢大片里看到的這種，比如在布魯斯·威利演的《虎膽龍威》第五集里恐怖分子可以通過網絡去控制工廠，控制交通信號燈，控制電梯甚至控制你們家的門鎖，我覺得這在下一步恐怕不是一個幻想的電影了，這樣網絡攻擊的結果就會比現在僅僅是一些信息和個人隱私數據的丟失更為嚴重。

√ 第三，是針對用戶大數據帶來的隱私問題。我們現在都在談大數據，但實際上我覺得真正的大數據時代還沒有到來，因為現在數據的產生比如PC只是在我們工作時間會產生一些數據，但有了手機之後除了睡覺我們都在用手機，我們在用手機各種APP的時候會產生各種數據，手機會比PC產生各種大數據的上傳，但對於IOT來說，因為它的計算能力比較弱，它一定要把數據傳到雲端，其次，IOT設備的數目會是現在的十倍，現在中國有6億網民，未來平均一個人用兩部手機，一部iPhone一部Android，就是15億部移動的設備，但是你想像一下，以後每個人身上至少有5到10個這種IOT的設備，你的家裡可能有20個不同的設備，甚至包括燈泡和插座都是連到互聯網上的，所以你會發現整個IOT設備的數目會比現在大10倍到20倍，也就是說幾年之後僅僅在中國市場連接互聯網的這種智能終端的數量不會是15億部，很有可能是150億到200億部，這是一個巨大的數字。

IOT設備還有一個特點，比如今天很多人戴的運動手環或者智能手錶，在你睡覺的時候它也在工作，它也在時刻7×24小時的把你的數據傳遞給你，所以，IOT帶來一個巨大的挑戰，它真正產生了海量的數據，但這些大數據實際上把一個人的各個維度的數據都搜集上來，其實你發現在這個時代任何個體沒有隱私可言了，你會變成一個透明的數碼人，你所有的數據都被不同的互聯網公司拿到他們的服務器上。

用戶隱私大數據的三原則

所以，我覺得我們現在很多互聯網企業也非常激動，非常熱衷地談說，我們拿着這麼多大數據，我們就知道一些最終的問題，你是誰，你要幹什麼，你準備幹什麼，我們都知道，所以，我們準備渴望用大數據來對用戶做更精準的營銷，做各種智能的推薦，這裡面確實有一個平衡，就是如何保護用戶的隱私。美國有一個著名的作家叫做阿西諾夫，我非常喜歡他的作品，他寫了很多經典的科幻小說，他當時定了一個機械人三定律，防止機器文明的發展如何能夠不傷害人類，所以他提出了三定律。所以，我們在國內也和很多互聯網公司交流，我們也提出了一個用戶隱私大數據的三原則和大家分享一下。

√ 第一，現在在法律上定義非常含糊，我用了這些智能設備，用了手機上的APP，所有這些產生的數據被傳到雲端的數據，雖然是放在互聯網公司的雲端服務器上，但它到底是誰的資產，我們覺得應該非常旗幟鮮明的定義這些資產應該是用戶的資產，只不過是用戶把它托管在各個互聯網公司的服務器上。當然，我有一個概念要講，IOT以後不光是互聯網公司，以後很多的企業都會變成互聯網公司，比如說過去賣電視的人沒有用戶數據，但電視機買回家成了用戶和賣電視企業之間的連接，它要拿到用戶的習慣。以後賣汽車的人也至少會有一個雲端的服務器給每部汽車製作OTA自動的升級和更新，所以，從這個角度來說以後越來越多的企業用了IOT技術都會變成我定義的這種互聯網公司，所以，這裡面我們覺得第一個原則是用戶數據是用戶的資產。

√ 第二，其實用戶之所以心甘情願把這些數據交給互聯網公司去使用，它一定是換取了很多免費或者有價值的服務，比如你在用搜索的時候，因為你要搜索，所以你就自然把自己內心非常隱私的一種需求輸入進去，讓你的搜索請求會被存在搜索引擎的服務端。比如你在用WhatsApp或者微信這些新一代的手機和IM軟件的時候，你就會把你的地址本全部上傳上去，這樣系統才能幫你匹配知道誰是你的朋友，誰是你朋友的朋友，你和誰聯繫最頻繁的。當互聯網公司要利用這些用戶的數據牟利的時候，這是正當的商業模式，但最關鍵的是用戶要有知情權和選擇權，也就是說用戶不是完全被動的，企業必須要得到用戶的授權，要通過授權交換用戶使用各種免費網站的服務。如果有少數用戶說我確實不願意我的隱私拿來做商業的這種交換，那麼我覺得用戶可以有權利要求互聯網公司去銷毀和刪掉自己的數據或者把這些數據允許用戶自己拿走。

√ 第三，我剛才講了最近我們在中國看到一些例子，很多用戶信息的丟失是因為這些互聯網公司自己的安全水平不過關，導致他們的服務器被人攻破，導致一個服務器被攻破，導致在一個電商網站上所有用戶的信用卡記錄都被拿走了，甚至有些網站用明文來儲存信用卡的密碼和信用卡最後三位，本來應該用加密的三位確認碼都是明文，所以，我們就意識到說如果當很多企業很興奮地說我也要利用IOT技術，我轉型成互聯網公司，你要捫心自問必須要有這種技術能力和產品能力，要做到安全的存儲、安全的傳輸，也就是說當你一方面在誇耀你拿到了多少用戶的這種習慣、用戶的數據的時候，你一定要盡到一個責任來保護好用戶的數據，因為這種用戶數據一旦從服務器上被攻破拿走，它整個造成的後果不堪設想。因為很多用戶都用一個密碼在所有的網站、或者所有的APP上，意味着其他的網站其他的應用也會受到攻擊，所以，這是我們提出的三原則，我們很希望說在未來我們和無論是美國還是中國所有做網絡安全的公司，包括做用戶隱私保護的公司，也包括和很多傳統的互聯網公司大家一起來討論，我覺得只有讓用戶有安全感，讓用戶覺得自己的隱私得到了保護，我覺得用戶才會花更多的時間使用各種互聯網的新技術和產品，這也是我們一直做免費安全的一個哲學，就是安全，特別是用戶安全的上網就像人權一樣，應該是一個基本點，這樣互聯網才能繁榮。你設想一下，如果互聯網大家上去不是有釣魚網站，就是欺詐或者自己數據的泄露，我覺得不可能有一個真正美好的互聯網。