您的位置: 网界网 > 周报全文 > 正文

[周报全文]周鸿祎解读大数据安全:六挑战 三原则

2014年10月30日 17:02:50 | 作者:CNW.com.cn | 来源:网界网 | 查看本文手机版

摘要:2014年9月24日,亚太信息安全领域最权威的年度峰会――2014中国互联网安全大会(ISC 2014)在北京国家会议中心召开。

标签
安全
大数据
周鸿祎

2014年9月24日,亚太信息安全领域最权威的年度峰会——2014中国互联网安全大会(ISC 2014)在北京国家会议中心召开。大会主席、360董事长兼CEO周鸿发表了题为“IoT时代的大数据[注]安全”的主题演讲,详细阐述了IoT时代的六大挑战,以及信息安全三原则。

随着万物互联(IoT,Internet of Things)时代的到来,任何设备都将接入互联网,由此带来的信息安全挑战前所未有。周鸿坦言,很难以通过一套完整的安全产品和服务从根本上杜绝安全隐患。

对此,周鸿提出,大数据时代必须重塑信息安全的三个基本原则,以保护用户隐私和数据安全为前提,明确用户对信息数据的所有权,明确企业对信息数据的保障义务,并保障用户在信息交换和使用时的知情权,这是IoT时代保护信息安全的基础。

IoT趋势下 网络接入边界模糊化

周鸿表示,在PC互联网时代,电脑连接还有明显的边界,通过线缆来进行连接,这时的安全问题可以靠防病毒、查杀流氓软件、防火墙进行防御。但到了互联网新阶段,特别是移动互联网时代,手机打破了对网络边界的定义,手机和个人隐私信息联系在一起。所以,安全问题变得更加严重。

他认为,下一个五到十年是IoT时代。互联网不仅仅是将人和人连起来,也不仅仅是手机之间的连接,而是能够把今天我们所有能看到、能想到、能碰到的各种各样的设备,大到工厂里的发电机、车床,小到冰箱、插座、灯泡,乃至每个人身上带的东西都可以连接起来。

在周鸿看来,万物互联时代所有的设备都会内置一个智能的芯片和内置的智能操作系统,所有这些都将变成一个“手机”。例如智能汽车,就是骑在一部有四个轮子的大手机上,所有的设备都通过3G、4G的网络,通过Wi-Fi、蓝牙等各种各样的协议和互联网、云端7×24小时相连,从而产生真正的海量数据。他估计,未来五年内至少有100~200亿部智能设备连接互联网,这个设备的数量会远超今天人口的数目,以及电脑和手机的数目。

企业将呈现互联网化趋势

周鸿认为IoT将是一个巨大的机会,互联网公司可以利用IoT技术把原来很多线上的设计延展到线下。举个例子,过去360做电脑卫士、手机卫士,但现在要做路由器,为什么呢?未来用户的家居如果被人攻占了,家庭局域网就会出现大问题。利用IoT技术,给每个儿童戴上一个手表,父母可以随时定位,根据环境可以知道小孩所处的情况,并迅速把他的位置和情况通知给父母。这就是利用IoT技术从线上的安全走到线下,最终解决用户的人身安全和家居安全。

至于IoT更大的机会,周鸿则认为中国传统产业,特别是传统制造业将会有机会。重新发明轮子的时代到了,利用IoT的技术,你可以把轮胎也变成智能的。在很多IoT的技术支持下,传统企业不仅可利用互联网来获取信息、发布信息和销售产品,还可以让自己的产品都变成具有互联网体验的产品,可以让商业模式从一次性买卖变成提供互联网服务。所以,这也就意味着IoT可以帮助很多传统企业转型升级,最后所有的企业都会变成互联网企业。

不能回避的安全问题:用户隐私

在畅谈IoT带给互联网,甚至全行业机遇的同时,周鸿也对存在的实际安全问题提出了自己的见解。他表示,未来最重要的就是对用户隐私的挑战,每个人的数据,实际上只要使用网络服务就会被传到云端,从而被储存到各个提供互联网服务的公司。而每个公司都会运用云技术来存储用户的信息,每个人会变得更加透明。

而当前法律和规则的制定是落后的,存在着很多问题,在这种情况下更需要很好地去保护个人的隐私。例如,大数据时代是广告主梦寐以求的黄金时期,过去做广告都不知道用户是谁,不知道用户喜欢什么,所有的广告效果都很难评估。但今天有了大数据,可以7×24小时地不断采集数据,并在云端将其汇总,这样每个人就变成了透明人,每个人在干什么,在想什么,可能云端全部都知道。这种情况下,除非不用任何先进的设备,不用网络,不用手机,否则很难解决个人隐私数据的保护问题。

万物互联的前提下,所有的设备都将智能化,接入网络后,边界的概念将会进一步被削弱。也就是说,接入点越多,可以被攻破的入口可能就越多。过去,可以奉行隔离、切断,但今天越来越多不起眼的设备都支持Wi-Fi和蓝牙,这里面有太多可以被别人攻击的点,而且攻击点越多,从防御角度来说,挑战就越大。

当所有的企业都变成互联网企业后,企业安全一定要提高到一个更重要的优先级上,如果企业服务器或网络被攻破之后,意味着不仅仅是内部数据泄露,而且是用户数据的灾难。此前,美国一家零售企业遭受攻击,导致五千万用户的资料丢失。中国企业也发生过用户信用卡密码丢失的情况。这对很多企业来说,意味着企业安全的防护级别和对抗能力要前所未有地提高。

大数据污染

周鸿对于大数据污染进行了诠释,就是大数据中如果被人为地加入了不好的数据,人为的操作和注入修改虚假信息,在数据传输存储过程中出现了问题,根据大数据做一些行业的指导和趋势的分析,可能会出问题。

“数据污染”通常分为两种情况,一种是收集的数据中含有刻意、无意的无用数据,甚至对分析产生负作用的数据;另一种是收集后的数据遭受入侵、篡改、替换等情况。

上升到大数据层面,“数据污染”将会为数据分析方带来“误判”。从宏观局面考虑,“大数据污染”可能导致国家金融导向偏失,传染病疫情失控,以及国计民生政策制定偏差等。情况严重的甚至可能引发事故灾难。

在未来,大数据将成为一切组织、国家、社会行为决策判断的基础(+微信关注网络世界),如果大数据被入侵、篡改、污染,那么将会影响一系列的社会决策,其后果将是灾难性的。

信息安全三原则

针对大数据时代背景下可能存在的安全隐患,周鸿提出了信息安全三原则:

第一,虽然这些信息储存在不同的服务器上,但这些数据应该是用户的资产,这是必须被明确的。周鸿希望将来谈及用户数据时,能等同于财产所有权一样,个人隐私数据也会有所有权。希望立法专家能够考虑将这个所有权归属于用户所有。个人信息是用户的资产,它只是暂时托管和存放在各个公司的服务器上。

第二,不仅是今天的互联网公司和网络安全公司,甚至很多即将利用IoT技术的公司,要有相应的安全能力,要把收集到的用户数据进行安全存储和安全传输,这是企业的责任和义务。如果这个企业没有足够的安全能力,收集了用户的信用卡资料,万一这些信息丢失了,将会给整个社会带来灾难。

每一个想做互联网业务的公司,每一个有用户资料的公司,每一个要把自己的服务摆到互联网上去的公司,都要提升公司的安全能力,提升安全防护水平。要收集用户的数据,必须要先解决安全可靠的传输存储的基础。

第三,使用用户的信息,一定要让用户有知情权、选择权,平等交换、授权使用,而不能未经用户的授权就去采集其信息。比如今天在手机上有很多数据,有很多应用,它根本和短信毫无关系,却要把用户的短信记录传到网上,没有让用户有知情权。还有很多用户可以选择说不需要厂商提供的这个服务,可以把它关掉,可以拒绝厂商采集用户的数据,用户一定要有这种选择权。

用户用自己的数据交换了可能对这种服务的使用,这种数据被企业拿到之后,企业可以利用它来做一些所谓的推广,但一定要获得用户的授权。那种未经用户授权而发生的用户数据泄露事件,或者把数据卖给别人并利用这种数据牟利,将来不仅要被视作不道德的行为,而且是非法的,必将受到相应的法律制裁。

最后,周鸿表示,只有遵守上述的三原则,进入万物互联时代,才能让用户对下一代互联网感觉更放心,才能更好地使用。这种全新的挑战,需要每个人、每个公司、安全企业各方面的支持。互联网最重要的就是安全第一。(更多内容详见: http://www.cnw.com.cn/P/6011)

参考资料

1.大数据:(Big Data),研究机构Gartner给出了这样的定义。“大数据”是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。 ...详情>>

[责任编辑:孙可 sun_ke@cnw.com.cn]