12 月 2 日至 3 日,第七届中美互联网论坛在美国华盛顿举行。360 公司董事长兼 CEO 周鸿祎代表中国互联网企业出席并发表了主题演讲,演讲实录如下:
我简单自我介绍一下,我的公司叫做 360,说起来和微软有些渊源。起名字的时候,我特别喜欢微软的一个产品叫做X-Box360,所以我们就取了这个名字,表示我们做网络安全希望 360 度全方位的保护用户。
我们做安全和其他的像赛门铁克、McAfee 其他做安全的公司最大的不一样,我们在 2006 年的时候就相信网络安全是用户的一种基本需求,所以,就像搜索、邮件、即时通信一样我觉得它是互联网里的一个基础服务,就应该免费,所以,我们面对中国的六亿用户提供免费的安全服务,重新创造了一种新的免费安全的模式。
我今天想分享一个观点,就是在下一个五年,对互联网、移动互联网安全最大的威胁和挑战是什么?
IOT技术带来第四次工业革命
最近大家都在谈一个趋势 IOT 或者 IOE,Internet of Thing 或者叫做 Internet of Everything,我觉得这是令人感到非常激动的一个趋势,也就是我们所有能看到的、能想象到的各种各样的硬件,无论是汽车、无论是家居还是我们身上可穿戴的各种东西,甚至到很多工业生产制造业里的这些设备都会智能化,我觉得不是简单的家电传感器,它都会变成一个不像手机的手机,它都会和网络实时的连接,也有人说 IOT 带来了巨大的机会,它真的可以把互联网和很多 online 和很多 offline 的东西联系在一起,而且它实际上是可能比 3D 打印机更让人激动的,是会带来第四次工业革命,我也经常和国内很多生产制造业的企业交谈说,IOT 技术可以帮助他们来重新发明轮子,也就是说我们不可能把轮子从圆的变成方的,但我们可以在轮子里加入各种智能芯片和传感技术,同时我们可以把很多企业的商业模式从单纯的一次性去卖设备,把它变成实时与互联网相连,变成互联网服务。
IOT时代存在巨大安全威胁
但是,今天我想说的是,这带来了三个巨大的对安全的挑战和威胁。
第一,我觉得这是对各种社会的攻击的可能性大大增加,传统企业安全在部署的时候,经常喜欢说,我们把我们的网络隔离起来,让我们在边界的地方加上防火墙,加上这种安全的控制,我们就以为企业的网络就可以高枕无忧了。
事实上当各种各样的设备,无处不在的设备都是通过 Wi-Fi、蓝牙等各种各样的无线的协议连接到整个企业网的时候,越来越多的连接点就意味着越来越多攻击的可能性。举个例子,中国有很多厂商要做这种智能汽车,他们也来找我们说智能汽车最大的问题不是自动驾驶,甚至不是电机充电,而是消费者会认为说如果我开在路上,到底它会不会被人攻击?事实上也有很多厂商认为自己用的系统非常坚固,但我就跟他讲一个道理,你的汽车上有蓝牙,你的汽车上有一个 Wi-Fi,你用你的手机去当钥匙来控制,只要有这种机会,那么我通过先控制你的手机,我就能够进一步再去控制这辆汽车,甚至国内有不少的黑客已经试图用类似的方法去劫持像特斯拉汽车,可以让它在行驶的过程中出问题,所以,以后这种边界安全的概念将会变得非常的含糊。
过去我们讲终端安全非常重要,但这个终端将会随着 IOT 设备数目十位数的增长,我觉得攻击点会特别多,所以,这对我们每个安全企业来说都是一个巨大的挑战和机会,也就是以后汽车里面是不是也要有防火墙。
第二,过去我们讲起网络攻击,大家的电脑被攻击了无非是损失一些文件,如果大家的手机被攻击了可能会有更多隐私的泄露,会有一些在线的欺诈。但一旦 IOT 普及后,这种对 IOT 设备的攻击可能会带来巨大的物理伤害或者人身伤害,举两个最典型的例子,一个是汽车,如果你的汽车在行驶过程中突然死机或者突然叫停在高速公路上,你有可能出现非常严重的问题。所以,过去在美国很多好莱坞大片里看到的这种,比如在布鲁斯·威利演的《虎胆龙威》第五集里恐怖分子可以通过网络去控制工厂,控制交通信号灯,控制电梯甚至控制你们家的门锁,我觉得这在下一步恐怕不是一个幻想的电影了,这样网络攻击的结果就会比现在仅仅是一些信息和个人隐私数据的丢失更为严重。
第三,是针对用户大数据带来的隐私问题。我们现在都在谈大数据,但实际上我觉得真正的大数据时代还没有到来,因为现在数据的产生比如 PC 只是在我们工作时间会产生一些数据,但有了手机之后除了睡觉我们都在用手机,我们在用手机各种 APP 的时候会产生各种数据,手机会比 PC 产生各种大数据的上传,但对于 IOT 来说,因为它的计算能力比较弱,它一定要把数据传到云端,其次,IOT 设备的数目会是现在的十倍,现在中国有 6 亿网民,未来平均一个人用两部手机,一部 iPhone 一部 Android,就是 15 亿部移动的设备,但是你想像一下,以后每个人身上至少有 5 到 10 个这种 IOT 的设备,你的家里可能有 20 个不同的设备,甚至包括灯泡和插座都是连到互联网上的,所以你会发现整个 IOT 设备的数目会比现在大 10 倍到 20 倍,也就是说几年之后仅仅在中国市场连接互联网的这种智能终端的数量不会是 15 亿部,很有可能是 150 亿到 200 亿部,这是一个巨大的数字。
IOT 设备还有一个特点,比如今天很多人戴的运动手环或者智能手表,在你睡觉的时候它也在工作,它也在时刻7×24 小时的把你的数据传递给你,所以,IOT 带来一个巨大的挑战,它真正产生了海量的数据,但这些大数据实际上把一个人的各个维度的数据都搜集上来,其实你发现在这个时代任何个体没有隐私可言了,你会变成一个透明的数码人,你所有的数据都被不同的互联网公司拿到他们的服务器上。
用户信息安全的三原则
所以,我觉得我们现在很多互联网企业也非常激动,非常热衷地谈说,我们拿着这么多大数据,我们就知道一些最终的问题,你是谁,你要干什么,你准备干什么,我们都知道,所以,我们准备渴望用大数据来对用户做更精准的营销,做各种智能的推荐,这里面确实有一个平衡,就是如何保护用户的隐私。美国有一个著名的作家叫做阿西诺夫,我非常喜欢他的作品,他写了很多经典的科幻小说,他当时定了一个机器人三定律,防止机器文明的发展如何能够不伤害人类,所以他提出了三定律。所以,我们在国内也和很多互联网公司交流,我们也提出了一个用户隐私大数据的三原则和大家分享一下。
第一,现在在法律上定义非常含糊,我用了这些智能设备,用了手机上的 APP,所有这些产生的数据被传到云端的数据,虽然是放在互联网公司的云端服务器上,但它到底是谁的资产,我们觉得应该非常旗帜鲜明的定义这些资产应该是用户的资产,只不过是用户把它托管在各个互联网公司的服务器上。当然,我有一个概念要讲,IOT 以后不光是互联网公司,以后很多的企业都会变成互联网公司,比如说过去卖电视的人没有用户数据,但电视机买回家成了用户和卖电视企业之间的连接,它要拿到用户的习惯。以后卖汽车的人也至少会有一个云端的服务器给每部汽车制作 OTA 自动的升级和更新,所以,从这个角度来说以后越来越多的企业用了 IOT 技术都会变成我定义的这种互联网公司,所以,这里面我们觉得第一个原则是用户数据是用户的资产。
第二,其实用户之所以心甘情愿把这些数据交给互联网公司去使用,它一定是换取了很多免费或者有价值的服务,比如你在用搜索的时候,因为你要搜索,所以你就自然把自己内心非常隐私的一种需求输入进去,让你的搜索请求会被存在搜索引擎的服务端。比如你在用 WhatsApp 或者微信这些新一代的手机和 IM 软件的时候,你就会把你的地址本全部上传上去,这样系统才能帮你匹配知道谁是你的朋友,谁是你朋友的朋友,你和谁联系最频繁的。当互联网公司要利用这些用户的数据牟利的时候,这是正当的商业模式,但最关键的是用户要有知情权和选择权,也就是说用户不是完全被动的,企业必须要得到用户的授权,要通过授权交换用户使用各种免费网站的服务。如果有少数用户说我确实不愿意我的隐私拿来做商业的这种交换,那么我觉得用户可以有权利要求互联网公司去销毁和删掉自己的数据或者把这些数据允许用户自己拿走。
第三,我刚才讲了最近我们在中国看到一些例子,很多用户信息的丢失是因为这些互联网公司自己的安全水平不过关,导致他们的服务器被人攻破,导致一个服务器被攻破,导致在一个电商网站上所有用户的信用卡记录都被拿走了,甚至有些网站用明文来储存信用卡的密码和信用卡最后三位,本来应该用加密的三位确认码都是明文,所以,我们就意识到说如果当很多企业很兴奋地说我也要利用 IOT 技术,我转型成互联网公司,你要扪心自问必须要有这种技术能力和产品能力,要做到安全的存储、安全的传输,也就是说当你一方面在夸耀你拿到了多少用户的这种习惯、用户的数据的时候,你一定要尽到一个责任来保护好用户的数据,因为这种用户数据一旦从服务器上被攻破拿走,它整个造成的后果不堪设想。因为很多用户都用一个密码在所有的网站、或者所有的 APP 上,意味着其他的网站其他的应用也会受到攻击,所以,这是我们提出的三原则,我们很希望说在未来我们和无论是美国还是中国所有做网络安全的公司,包括做用户隐私保护的公司,也包括和很多传统的互联网公司大家一起来讨论,我觉得只有让用户有安全感,让用户觉得自己的隐私得到了保护,我觉得用户才会花更多的时间使用各种互联网的新技术和产品,这也是我们一直做免费安全的一个哲学,就是安全,特别是用户安全的上网就像人权一样,应该是一个基本点,这样互联网才能繁荣。你设想一下,如果互联网大家上去不是有钓鱼网站,就是欺诈或者自己数据的泄露,我觉得不可能有一个真正美好的互联网。