今日，在2014中國互聯(lián)網(wǎng)安全大會(ISC 2014)上，360董事長兼CEO周鴻祎發(fā)表了題為《IOT時(shí)代的大數(shù)據(jù)安全》的主題演講，詳細(xì)闡述了IOT時(shí)代的六大挑戰(zhàn)以及信息安全三原則。

隨著IoT(Internet of Things)萬物互聯(lián)時(shí)代的到來，任何設(shè)備都將接入互聯(lián)網(wǎng)，由此帶來的信息安全挑戰(zhàn)前所未有。周鴻祎坦言，很難以通過一套完整的安全產(chǎn)品和服務(wù)從根本上杜絕安全隱患。

對此周鴻祎提出，大數(shù)據(jù)時(shí)代必須重塑信息安全的三個基本原則，以保護(hù)用戶隱私和數(shù)據(jù)安全為前提，明確用戶對信息數(shù)據(jù)的所有權(quán)，明確企業(yè)對信息數(shù)據(jù)的保障義務(wù)，并保障用戶在信息交換和使用時(shí)的知情權(quán)，是IoT時(shí)代保護(hù)信息安全的基礎(chǔ)。

IOT趨勢下，網(wǎng)絡(luò)接入邊界模糊化

周鴻祎表示，在PC互聯(lián)網(wǎng)時(shí)代，電腦連接還有明顯的邊界，通過線纜來進(jìn)行連接，這時(shí)的安全問題可以靠防病毒、查殺流氓軟件、防火墻進(jìn)行防御。但到了互聯(lián)網(wǎng)新階段，特別是移動互聯(lián)網(wǎng)時(shí)代，手機(jī)打破了對網(wǎng)絡(luò)邊界的定義，手機(jī)和個人隱私信息聯(lián)系在一起，所以，安全的問題變得更加嚴(yán)重。

他認(rèn)為，下一個五到十年是IOT時(shí)代——萬物互聯(lián)。互聯(lián)網(wǎng)不僅僅是人和人連起來，也不僅僅是手機(jī)之間的連接，而是能夠把今天我們所有能看到、能想到、能碰到的各種各樣的設(shè)備，大到工廠里的發(fā)電機(jī)，車床，小到冰箱、插座、燈泡，到每個人身上帶的所有的東西都可以連接起來。

在老周看來，萬物互聯(lián)時(shí)代所有的設(shè)備，都會內(nèi)置一個智能的芯片和內(nèi)置的智能操作系統(tǒng)，所有的東西，實(shí)際上都變成了一個“手機(jī)”。例如智能汽車，就是騎在一部有四個輪子的大手機(jī)上。所有的設(shè)備都通過3G、4G的網(wǎng)絡(luò)，通過Wi-Fi、藍(lán)牙等各種各樣的協(xié)議都要和互聯(lián)網(wǎng)、云端7×24小時(shí)相連，這里面就會產(chǎn)生真正大量的海量數(shù)據(jù)，他估計(jì)未來五年內(nèi)至少有100~200億智能設(shè)備連接互聯(lián)網(wǎng)，這個設(shè)備的數(shù)量會遠(yuǎn)超過今天人口的數(shù)目，會遠(yuǎn)遠(yuǎn)超過現(xiàn)在電腦和手機(jī)的數(shù)目。

所有企業(yè)都將呈現(xiàn)互聯(lián)網(wǎng)化趨勢

周鴻祎認(rèn)為IOT將是一個巨大的機(jī)會，對于互聯(lián)網(wǎng)公司，可以利用IOT技術(shù)把原來很多線上的設(shè)計(jì)延展到線下。舉個例子，過去360做電腦衛(wèi)士、手機(jī)衛(wèi)士，但現(xiàn)在要做路由器，為什么呢？未來用戶的家居如果被人攻占了，家庭局域網(wǎng)出現(xiàn)問題，可能問題就比較大。利用IOT技術(shù)，給每個兒童戴上一個手表，父母可以隨時(shí)定位知道它的位置，根據(jù)環(huán)境我們可以知道小孩所處的情況，可以迅速把他的位置和情況通知給父母，這就是利用IOT技術(shù)從線上的安全走到線下，解決用戶的人身安全和家居安全。

至于IOT更大的機(jī)會，周鴻祎則認(rèn)為中國傳統(tǒng)產(chǎn)業(yè)特別是傳統(tǒng)制造業(yè)將會有機(jī)會，重新發(fā)明輪子的時(shí)代到了，利用IOT的技術(shù)你可以把輪胎也變成智能的。企業(yè)可以通過IOT賣東西的生意變成了長期服務(wù)的生意。所以，很多IOT的技術(shù)支持下，傳統(tǒng)企業(yè)不僅僅是利用互聯(lián)網(wǎng)來獲取信息、發(fā)布信息和銷售產(chǎn)品。還可以讓自己的產(chǎn)品都變成具有互聯(lián)網(wǎng)體驗(yàn)的產(chǎn)品，可以讓商業(yè)模式從一次性買賣變成提供互聯(lián)網(wǎng)服務(wù)。所以，這也就意味著IOT可以幫助很多傳統(tǒng)企業(yè)轉(zhuǎn)型升級，最后所有的企業(yè)都會變成互聯(lián)網(wǎng)企業(yè)。

不能回避的安全問題——用戶隱私

在暢談IOT帶給互聯(lián)網(wǎng)甚至全行業(yè)機(jī)遇的同時(shí)，周鴻祎也對存在的實(shí)際安全問題，提出了自己的見解。他表示未來最重要的就是對用戶隱私的挑戰(zhàn)，在這樣一個IOT和大數(shù)據(jù)的時(shí)代，每個人的數(shù)據(jù)，實(shí)際上只要使用網(wǎng)絡(luò)服務(wù)就會被傳到云端，就會被儲存到各個提供互聯(lián)網(wǎng)服務(wù)的公司，每個公司都會運(yùn)用云技術(shù)來存儲用戶的信息，每個人會變得更加透明。

而當(dāng)前法律和規(guī)則的制定是落后的，存在很多問題，在這種情況下更需要很好的去保護(hù)個人的隱私。例如，大數(shù)據(jù)時(shí)代是廣告主夢寐以求的黃金時(shí)期，過去做廣告都不知道用戶是誰，不知道用戶喜歡什么，所有的廣告效果都很難評估。但今天有了大數(shù)據(jù)，可以7×24小時(shí)的不斷的采集數(shù)據(jù)，并在云端把它們匯總起來，這樣每個人就變成了透明人，每個人在干什么，在想什么，可能云端全部都知道，在這種情況下，除非不用任何先進(jìn)的設(shè)備，不用網(wǎng)絡(luò)，不用手機(jī)，否則這種情況下很難解決個人隱私數(shù)據(jù)的保護(hù)問題。

美國有一家公司，只要給他的試管吐一口吐沫，就可以免費(fèi)測出用戶的基因組。周鴻祎表示，未來測基因的成本一定會很低，有這樣一家免費(fèi)測基因的公司，它就拿到了大家最隱私的數(shù)據(jù)，二十年以后，就可以上門通過掌握的最隱私的信息，向你推銷產(chǎn)品，所有的商業(yè)模式就會建立起來，這對公司來說是黃金時(shí)代，但對個人來說個人信息安全則變得無比脆弱。

萬物互聯(lián)的前提下，所有的設(shè)備都將智能化，接入網(wǎng)絡(luò)后，邊界的概念將會進(jìn)一步被削弱，也就是說接入點(diǎn)越多，可以被攻破的入口可能就越多。過去，可以奉行隔離、切斷，但今天你會發(fā)現(xiàn)越來越多的可能不起眼的設(shè)備都支持Wi-Fi和藍(lán)牙，這里面有太多可以被別人攻擊的點(diǎn)，而且攻擊點(diǎn)越多，從防御來說挑戰(zhàn)就越大。

老周表示，過去很多企業(yè)可能不太重視企業(yè)安全。安全措施例如企業(yè)防火墻究竟是否有效，也不太看重。過去企業(yè)的發(fā)展，可能把自己割裂在一個安全的孤島上，但變成互聯(lián)網(wǎng)企業(yè)之后，不可避免要把核心業(yè)務(wù)系統(tǒng)接入到互聯(lián)網(wǎng)上。

當(dāng)所有的企業(yè)都變成互聯(lián)網(wǎng)企業(yè)后，企業(yè)安全一定要提高到一個更重要的優(yōu)先級上，如果企業(yè)服務(wù)器或網(wǎng)絡(luò)被攻破之后，可能不意味著僅僅是內(nèi)部數(shù)據(jù)泄露，可能意味著用戶數(shù)據(jù)的災(zāi)難。此前，美國一家零售企業(yè)遭受共計(jì)，導(dǎo)致有五千萬用戶的資料丟失；中國企業(yè)也發(fā)生過用戶信用卡密碼丟失的情況，這對很多企業(yè)來說意味著，企業(yè)安全的防護(hù)級別和對抗能力要前所未有的提高。

控制災(zāi)難

對于可能造成的危害，周鴻祎認(rèn)為，智能設(shè)備IOT被控制之后造成的危害是巨大的。過去電腦中毒了，最多覺得今天完不成。手機(jī)出問題，無非是最近多了很多艷照。今天手機(jī)和支付系統(tǒng)連在一起，用戶的通訊錄被盜用了，會收到一些詐騙短信。但萬物互聯(lián)是可被控制的，不是一個單純的網(wǎng)絡(luò)，被控制后帶來的風(fēng)險(xiǎn)就非常大了。

如果智能汽車在行駛中突然死機(jī)了，藍(lán)屏了，彈出一個大窗口提示，這樣的汽車不會有人開的，一旦出現(xiàn)問題就會非常的嚴(yán)重。

他反復(fù)強(qiáng)調(diào)，IOT時(shí)代一旦網(wǎng)絡(luò)被人控制不堪設(shè)想。就像電影大片虎膽龍威中布魯斯威斯利說的那樣，恐怖分子控制了電廠，控制了大壩，控制了交通信號燈，之前覺得不可思議，這些專用網(wǎng)絡(luò)為何要接入互聯(lián)網(wǎng)。但到了IOT時(shí)代，所有的設(shè)備都可以遠(yuǎn)端控制、智能采集數(shù)據(jù)，都可以接入互聯(lián)網(wǎng)。

大數(shù)據(jù)污染

周鴻祎首先對于大數(shù)據(jù)污染進(jìn)行了詮釋，就是大數(shù)據(jù)中如果被人為加入了不好的數(shù)據(jù)，人為操作和注入修改虛假信息，在數(shù)據(jù)傳輸存儲過程中出現(xiàn)了問題，根據(jù)大數(shù)據(jù)做一些行業(yè)的指導(dǎo)和趨勢的分析，可能會出問題。

“數(shù)據(jù)污染”通常分為兩種情況，一種是收集的數(shù)據(jù)中含有刻意、無意的無用甚至對分析產(chǎn)生負(fù)作用的數(shù)據(jù)；另一種是收集后的數(shù)據(jù)遭受入侵、篡改、替換等情況。

上升到大數(shù)據(jù)層面，“數(shù)據(jù)污染”將會為數(shù)據(jù)分析方帶來“誤判”，從宏觀局面考慮，“大數(shù)據(jù)污染”可能導(dǎo)致“國家金融導(dǎo)向偏失”、“傳染病疫情失控”以及“國計(jì)民生政策制定偏差”等，嚴(yán)重情況下甚至可能引發(fā)事故災(zāi)難。

在未來，大數(shù)據(jù)將成為一切組織、國家、社會行為決策判斷的基礎(chǔ)，如果大數(shù)據(jù)被入侵、被篡改、被污染，那么將會影響一系列的社會決策問題，其后果將是災(zāi)難性的。

人工智能奇點(diǎn)

除了IOT的趨勢，周鴻祎還談到美國另一個很熱的概念——機(jī)器人。按照他的理解，機(jī)器人的背后是人工智能和機(jī)器的意識，但傳統(tǒng)的機(jī)器人工智能的方法，例如教電腦下棋和做電腦翻譯，從五十年代這些問題一直在解決中，但從來沒有找到真正革命性的解決方法。但最近一年，一些機(jī)器學(xué)習(xí)和智能算法的出現(xiàn)，包括圖像識別，在機(jī)器翻譯方面都取得了進(jìn)展，其實(shí)它的本質(zhì)是利用了大數(shù)據(jù)。有了海量數(shù)據(jù)，再跟這些算法的結(jié)合，它可能產(chǎn)生真正的人工智能，所以IOT將來在云端可能會出現(xiàn)利用大數(shù)據(jù)之后產(chǎn)生機(jī)器的這種智能，或者所謂叫做云腦和機(jī)器大腦，讓它再反過來對各種設(shè)備進(jìn)行反向控制，所以，這聽起來可能既是一個好消息，對安全也會是一個挑戰(zhàn)。

大數(shù)據(jù)時(shí)代背景下，周鴻祎的信息安全三原則

針對大數(shù)據(jù)時(shí)代背景下，可能存在的安全隱患，周鴻祎提出了信息安全三原則：

第一，雖然這些信息儲存在不同的服務(wù)器上，但這些數(shù)據(jù)應(yīng)該是用戶的資產(chǎn)，這是必須被明確的。周鴻祎希望將來談及用戶數(shù)據(jù)時(shí)，能等同于財(cái)產(chǎn)所有權(quán)一樣，個人隱私數(shù)據(jù)也會有所有權(quán)，希望立法專家能夠考慮這個所有權(quán)應(yīng)屬于用戶所有。所以，個人信息是用戶的資產(chǎn)，它只是暫時(shí)托管和存放在各個公司的服務(wù)器上。

第二，不僅是今天的互聯(lián)網(wǎng)公司、網(wǎng)絡(luò)安全公司，甚至包括很多要進(jìn)入互聯(lián)網(wǎng)要利用IOT技術(shù)，要給用戶提供這些信息服務(wù)的公司來講，要有相應(yīng)的安全能力，要把收集到的用戶數(shù)據(jù)進(jìn)行安全存儲和安全的傳輸，這是企業(yè)的責(zé)任和義務(wù)，如果這個企業(yè)沒有足夠的安全能力，收集了用戶的信用卡資料，這些信息的丟失，都會給整個社會帶來很災(zāi)難的結(jié)果。

每一個想做互聯(lián)網(wǎng)業(yè)務(wù)的公司，每一個有用戶資料的公司，每一個要把自己的服務(wù)擺到互聯(lián)網(wǎng)上去的公司，都要提升公司的安全能力，提升安全防護(hù)水平，要收集用戶的數(shù)據(jù)，必須要先解決安全可靠的傳輸存儲的基礎(chǔ)。

第三，使用用戶的信息，一定要讓用戶有知情權(quán)、選擇權(quán)，平等交換、授權(quán)使用，不能未經(jīng)用戶的授權(quán)就去采集他的信息。比如今天在手機(jī)上有很多數(shù)據(jù)，有很多應(yīng)用，它根本和短信毫無關(guān)系，卻要把用戶的短信記錄傳到網(wǎng)上，沒有讓用戶有知情權(quán)，還有很多用戶可以選擇說，不需要廠商提供的這個服務(wù)，可以把它關(guān)掉，可以拒絕廠商采集用戶的數(shù)據(jù)，用戶一定要有這種選擇權(quán)。

用戶用自己的數(shù)據(jù)交換了可能對這種服務(wù)的使用，這種數(shù)據(jù)被企業(yè)拿到之后，企業(yè)可以利用它來做一些所謂的推廣，但一定要獲得用戶的授權(quán)，這種未經(jīng)用戶授權(quán)對用戶數(shù)據(jù)的泄露，把這種數(shù)據(jù)賣給別人利用這種數(shù)據(jù)牟利，將來不僅要被視作不道德的行為，而且要看成是非法的。

最后，周鴻祎表示只有遵守上述的三原則，進(jìn)入萬物互聯(lián)時(shí)代，才能讓用戶對下一代互聯(lián)網(wǎng)感覺更放心，才能更好的使用。這種全新的挑戰(zhàn)，需要每個人、每個公司、安全企業(yè)各方面的支持，互聯(lián)網(wǎng)上最重要的就是安全第一。