周鴻祎：如何應(yīng)對(duì)互聯(lián)網(wǎng)設(shè)備的安全隱私問(wèn)題

時(shí)間：2022-05-25 15:27:01 | 來(lái)源：網(wǎng)絡(luò)營(yíng)銷(xiāo)

時(shí)間：2022-05-25 15:27:01 來(lái)源：網(wǎng)絡(luò)營(yíng)銷(xiāo)

不論是安全教父周鴻祎，還是國(guó)內(nèi)外的科技大佬以及先知們，在關(guān)于未來(lái)的趨勢(shì)上均有兩點(diǎn)共識(shí)：所有企業(yè)都會(huì)成為互聯(lián)網(wǎng)企業(yè)；所有設(shè)備都會(huì)成為互聯(lián)網(wǎng)設(shè)備。



Internet of Things(IOT)時(shí)代之后，人類(lèi)正在進(jìn)入Internet of Everything(IoE)，無(wú)處不在的計(jì)算和連接設(shè)備正在滿足人類(lèi)的貪婪和懶惰，讓人類(lèi)生活更加舒適的同時(shí)卻帶來(lái)的前所未有的安全挑戰(zhàn)。

正如周鴻祎在2014年互聯(lián)網(wǎng)安全大會(huì)上所描繪的，互聯(lián)網(wǎng)安全已進(jìn)入Security of Things(SoT)時(shí)代，大數(shù)據(jù)安全、云端安全、隱私安全和實(shí)體世界安全成為重中之重。

一、比特原子化大潮掀起安全風(fēng)暴

傳統(tǒng)世界由原子組成，信息革命則帶來(lái)呈現(xiàn)海量爆炸的比特世界，隨著互聯(lián)網(wǎng)縱深發(fā)展，兩個(gè)下沉趨勢(shì)正在發(fā)生，一是互聯(lián)網(wǎng)下沉到傳統(tǒng)行業(yè)成為其升級(jí)工具；二是互聯(lián)網(wǎng)下沉到所有設(shè)備掀起智能化大潮。

在億企邦看來(lái)，正是“比特原子化”的趨勢(shì)這個(gè)大背景，讓互聯(lián)網(wǎng)安全面臨全新的挑戰(zhàn)。

人類(lèi)的貪婪懶惰催生了大量改變世界的發(fā)明，萬(wàn)物互聯(lián)很大程度也是這個(gè)原因，人們期望汽車(chē)自動(dòng)駕駛、機(jī)器人可以做完家務(wù)和陪伴孩孩子、尚未到家便可以用手機(jī)控制空調(diào)提前制冷，政府部門(mén)為了提高破案效率和維護(hù)社會(huì)治安部署著海量的攝像頭，商場(chǎng)為了進(jìn)行精準(zhǔn)營(yíng)銷(xiāo)則開(kāi)始部署近場(chǎng)感應(yīng)網(wǎng)絡(luò)……。

每個(gè)人、每個(gè)家庭、每個(gè)企業(yè)都在擁有著越來(lái)越多的具備操作系統(tǒng)和聯(lián)網(wǎng)能力的設(shè)備，每個(gè)人所處的環(huán)境中的具備感知和計(jì)算能力的設(shè)備也在曾爆炸式增長(zhǎng)之中，周鴻祎估計(jì)未來(lái)三五年內(nèi)這些設(shè)備數(shù)量為達(dá)到200億規(guī)模，遠(yuǎn)遠(yuǎn)超過(guò)地球人之和，海量設(shè)備在服務(wù)人類(lèi)的同時(shí)卻帶來(lái)更大的安全挑戰(zhàn)。

二、周鴻祎眼中的六大新安全問(wèn)題

對(duì)于新時(shí)代的互聯(lián)網(wǎng)設(shè)備，周鴻祎認(rèn)為目前存在很多的安全問(wèn)題，尤其是一些數(shù)據(jù)和隱私的安全問(wèn)題，具體來(lái)說(shuō)有以下幾點(diǎn)：

1、邊界正在消失，傳統(tǒng)手段失效

電腦PC端和手機(jī)安全在網(wǎng)絡(luò)和系統(tǒng)層面尚且擁有邊界，隔離、切斷行之有效，但I(xiàn)oT(Internet of Things)時(shí)代，海量設(shè)備分散在不同的物理地點(diǎn)又交叉連接、終端必須與云連接以使用其計(jì)算、存儲(chǔ)和服務(wù)能力，未來(lái)沒(méi)有一個(gè)設(shè)備是單獨(dú)存在的，而是必須與環(huán)境、與周?chē)O(shè)備、與云連接在一起。

這將暴露出更多的潛在攻擊點(diǎn)以及更多漏洞機(jī)會(huì)，傳統(tǒng)的安全邊界正在消失，安全手段不再行之有效。

2、企業(yè)互聯(lián)網(wǎng)化，安全亟待惡補(bǔ)

互聯(lián)網(wǎng)企業(yè)正在滲透到每一個(gè)行業(yè)，傳統(tǒng)企業(yè)、學(xué)校、醫(yī)院、政府等組織所使用的互聯(lián)網(wǎng)手段越來(lái)越多，部署的連接設(shè)備越來(lái)越多，因此收集到的用戶數(shù)據(jù)也越來(lái)越多。

大數(shù)據(jù)是每個(gè)組織的機(jī)會(huì)，又是每個(gè)組織的安全隱患，因?yàn)椴徽撌菑囊庾R(shí)、人才、投入還是技術(shù)上看，大多數(shù)企業(yè)都不具備保護(hù)用戶隱私數(shù)據(jù)的能力，譬如一個(gè)安全監(jiān)控?cái)z像頭的店鋪的網(wǎng)絡(luò)如若被入侵，黑客就可以追蹤一些人的軌跡和習(xí)慣。

3、大數(shù)據(jù)污染，數(shù)據(jù)決策風(fēng)險(xiǎn)

大數(shù)據(jù)時(shí)代，人類(lèi)會(huì)越來(lái)越依賴(lài)于基于數(shù)據(jù)的決策方式，輔助決策也是大數(shù)據(jù)的核心能力，但在億企邦看來(lái)，倘若數(shù)據(jù)收集、傳輸或存儲(chǔ)任何一個(gè)環(huán)節(jié)出現(xiàn)紕漏被黑客所攻擊，悄無(wú)聲息地注入垃圾數(shù)據(jù)，或者說(shuō)是有意影響分析結(jié)果的數(shù)據(jù)，則會(huì)讓數(shù)據(jù)決策適得其反，最終影響企業(yè)的運(yùn)行，這樣的數(shù)據(jù)污染非常難以被監(jiān)控。

4、信息到設(shè)備，安全危害升級(jí)

過(guò)去是信息安全時(shí)代，出現(xiàn)安全問(wèn)題頂多是導(dǎo)致設(shè)備無(wú)法運(yùn)行降低工作效率、隱私信息被泄露或者說(shuō)財(cái)產(chǎn)損失等等，設(shè)備安全時(shí)代，因?yàn)樵O(shè)備與人們的生活已經(jīng)融為一體了，被攻破后果嚴(yán)重一萬(wàn)倍不止（具體可查看億企邦《heartbleed漏洞事件：可怕的不是公開(kāi)的漏洞，而是未公開(kāi)的漏洞》的相關(guān)介紹）。

周鴻祎舉例說(shuō)，智能汽車(chē)是人們騎著四個(gè)輪子的手機(jī)，被攻破了就可以影響駕駛安全，在智能家居這些領(lǐng)域還有更多隱患，譬如門(mén)禁被攻破帶來(lái)家庭財(cái)產(chǎn)和人生安全隱患、機(jī)器人被攻破可以從朋友變?yōu)閿橙耍瑪z像頭被攻破讓人類(lèi)家庭毫無(wú)隱私……，倘若上升到社會(huì)基礎(chǔ)設(shè)施那就更不可思議了，智能電網(wǎng)、交通系統(tǒng)哪怕只是紅綠燈、廣播電視系統(tǒng)，每一個(gè)出問(wèn)題后果都不堪設(shè)想。

5、大數(shù)據(jù)時(shí)代，用戶隱私難題

無(wú)數(shù)傳感器將會(huì)不斷收集我們的數(shù)據(jù)并上傳到云端，將所有碎片化的云端數(shù)據(jù)還原之后匯總起來(lái)就可能將我們每個(gè)人就變成了透明人，我們每個(gè)人在干什么，在想什么，可能這時(shí)候云端全部都知道。

如果有一個(gè)或者幾個(gè)云端服務(wù)商出現(xiàn)了安全問(wèn)題，或者說(shuō)本地的設(shè)備出現(xiàn)了紕漏，我們的數(shù)據(jù)被別有用心的人收集到之后，整個(gè)人都透明化地呈現(xiàn)在別人面前，隱私暴露比艷照門(mén)之類(lèi)的嚴(yán)重許多，更可怕的是艷照門(mén)事件后受害者是知道的，但大數(shù)據(jù)隱私泄露很可能是一個(gè)人一輩子都被監(jiān)控之中，生活收到影響還渾然不知。

6、法律法規(guī)制度的滯后

企業(yè)在收集和使用用戶數(shù)據(jù)時(shí)的責(zé)任和義務(wù)，出現(xiàn)問(wèn)題后應(yīng)該付出的代價(jià)，數(shù)據(jù)的所有權(quán)，攻擊者應(yīng)該付出的代價(jià)，都還沒(méi)有完善的法律法規(guī)體系來(lái)監(jiān)督約束。

只有法律法規(guī)才可以不斷督促企業(yè)去完善安全防護(hù)措施，可以震懾別有用心的攻擊者，讓整個(gè)行業(yè)更加安全。

三、如何應(yīng)對(duì)新時(shí)代的安全隱私問(wèn)題

周鴻祎是互聯(lián)網(wǎng)老兵，從PC時(shí)代到移動(dòng)互聯(lián)網(wǎng)時(shí)代都能很好把握住用戶痛點(diǎn)做出令人叫絕的產(chǎn)品（具體可查看億企邦《周鴻祎：怎么做一個(gè)好產(chǎn)品》的相關(guān)介紹），盡管一些產(chǎn)品的推廣手段有爭(zhēng)議，但產(chǎn)品本身卻很接地氣。

周鴻祎對(duì)用戶需求理解很深，安全教父的背景讓其站在用戶角度對(duì)安全形勢(shì)提出了全面、前瞻和務(wù)實(shí)的洞察，周鴻祎演講口才上乘，更是通過(guò)各種案例和段子將安全趨勢(shì)這樣的枯燥話題深入淺出地講述出來(lái)。

但問(wèn)題是倘若這些安全問(wèn)題變?yōu)槭聦?shí)，人類(lèi)的未來(lái)就更不樂(lè)觀了，尤其是隱私幾乎是空談了，那又該如何做呢？周鴻祎認(rèn)為有三大原則必須遵守：

1、所有用戶數(shù)據(jù)的所有權(quán)必須屬于用戶

不論存放在哪家服務(wù)器上，不論是免費(fèi)還是收費(fèi)，它只是暫時(shí)存放和托管在企業(yè)服務(wù)器上，這就意味著用戶對(duì)數(shù)據(jù)如何使用、數(shù)據(jù)是否可被刪除等等擁有決定權(quán)，歐盟今年要求Google提供支持用戶刪除關(guān)于自己的內(nèi)容的功能正是印證了這一原則。

2、所有收集和存儲(chǔ)用戶數(shù)據(jù)的企業(yè)必須具備保護(hù)數(shù)據(jù)的能力，并且為之負(fù)責(zé)

你要把你收集到的用戶數(shù)據(jù)進(jìn)行安全存儲(chǔ)和安全的傳輸，這是企業(yè)的責(zé)任和義務(wù)，如果這一原則被政府接納，未來(lái)相關(guān)法律法規(guī)必然會(huì)對(duì)企業(yè)進(jìn)行資質(zhì)審核、數(shù)據(jù)監(jiān)督以及出現(xiàn)問(wèn)題后的判罰，企業(yè)也必須在安全上投入更多。

3、給予用戶知情權(quán)和選擇權(quán)

企業(yè)不能未經(jīng)用戶授權(quán)就去采集他的信息，采集之后如何使用、何時(shí)使用、是否有交給第三方或者出賣(mài)給第三方使用，都必須讓用戶知曉，同時(shí)用戶應(yīng)該隨時(shí)具備停止自己的數(shù)據(jù)被使用的權(quán)利。

三原則落實(shí)是否就能讓人類(lèi)沒(méi)有后顧之憂地?fù)肀oT時(shí)代呢？?jī)|企邦的答案是否定的，三原則只能是最基礎(chǔ)最底層的建議，要讓人類(lèi)在新時(shí)代享受真正的大數(shù)據(jù)安全、隱私安全、設(shè)備安全、云安全，還需要更多的原則去遵守，同時(shí)，相關(guān)法律法規(guī)、行業(yè)規(guī)約、技術(shù)手段、物理設(shè)施、企業(yè)和用戶意識(shí)都需要配套完善起來(lái)才行。

億企邦點(diǎn)評(píng)：

盡管互聯(lián)網(wǎng)下沉給所有傳統(tǒng)企業(yè)帶來(lái)機(jī)會(huì)，給人類(lèi)描繪了一個(gè)全新的未來(lái)生活，但安全一定是一直未伴隨并且揮之不去的“陰影”，這似乎是在提醒人類(lèi)在用智慧滿足貪婪懶惰的時(shí)候，別忘了科技終究還是一把雙刃劍，人類(lèi)應(yīng)該心存敬畏。