Internet of Things（IOT）時代之后，人類正在進入Internet of Everything（IoE）。無處不在的計算和連接設(shè)備正在滿足人類的貪婪和懶惰，讓人類生活更加舒適的同時卻帶來的前所未有的安全挑戰(zhàn)。正如周鴻祎在2014年互聯(lián)網(wǎng)安全大會上所描繪的，互聯(lián)網(wǎng)安全已進入Security of Things（SoT）時代，大數(shù)據(jù)安全、云端安全、隱私安全和實體世界安全成為重中之重。

比特原子化大潮掀起安全風暴

傳統(tǒng)世界由原子組成，信息革命則帶來呈現(xiàn)海量爆炸的比特世界。隨著互聯(lián)網(wǎng)縱深發(fā)展，兩個下沉趨勢正在發(fā)生，一是互聯(lián)網(wǎng)下沉到傳統(tǒng)行業(yè)成為其升級工具；二是互聯(lián)網(wǎng)下沉到所有設(shè)備掀起智能化大潮。正是“比特原子化”的趨勢這個大背景，讓互聯(lián)網(wǎng)安全面臨全新的挑戰(zhàn)。

人類的貪婪懶惰催生了大量改變世界的發(fā)明，萬物互聯(lián)很大程度也是這個原因。人們期望汽車自動駕駛、機器人可以做完家務(wù)和陪伴孩孩子、尚未到家便可以用手機控制空調(diào)提前制冷；政府部門為了提高破案效率和維護社會治安部署著海量的攝像頭；商場為了進行精準營銷則開始部署近場感應網(wǎng)絡(luò)……

每個人、每個家庭、每個企業(yè)都在擁有著越來越多的具備操作系統(tǒng)和聯(lián)網(wǎng)能力的設(shè)備。每個人所處的環(huán)境中的具備感知和計算能力的設(shè)備也在曾爆炸式增長之中。周鴻祎估計未來三五年內(nèi)這些設(shè)備數(shù)量為達到200億規(guī)模，遠遠超過地球人之和。海量設(shè)備在服務(wù)人類的同時卻帶來更大的安全挑戰(zhàn)。

周鴻祎眼中的六大新安全問題

1、邊界正在消失，傳統(tǒng)手段失效

PC和手機安全在網(wǎng)絡(luò)和系統(tǒng)層面尚且擁有邊界，隔離、切斷行之有效。但IoT（Internet of Things）時代，海量設(shè)備分散在不同的物理地點又交叉連接、終端必須與云連接以使用其計算、存儲和服務(wù)能力，未來沒有一個設(shè)備是單獨存在的，而是必須與環(huán)境、與周圍設(shè)備、與云連接在一起。這將暴露出更多的潛在攻擊點以及更多漏洞機會，傳統(tǒng)的安全邊界正在消失，安全手段不再行之有效。

2、企業(yè)互聯(lián)網(wǎng)化，安全亟待惡補

互聯(lián)網(wǎng)企業(yè)正在滲透到每一個行業(yè)，傳統(tǒng)企業(yè)、學校、醫(yī)院、政府等組織所使用的互聯(lián)網(wǎng)手段越來越多，部署的連接設(shè)備越來越多，因此收集到的用戶數(shù)據(jù)也越來越多，大數(shù)據(jù)是每個組織的機會，又是每個組織的安全隱患，因為不論是從意識、人才、投入還是技術(shù)上看，大多數(shù)企業(yè)都不具備保護用戶隱私數(shù)據(jù)的能力，譬如一個安全監(jiān)控攝像頭的店鋪的網(wǎng)絡(luò)如若被入侵，黑客就可以追蹤一些人的軌跡和習慣。

3、大數(shù)據(jù)污染，數(shù)據(jù)決策風險

大數(shù)據(jù)時代，人類會越來越依賴于基于數(shù)據(jù)的決策方式，輔助決策也是大數(shù)據(jù)的核心能力。但倘若數(shù)據(jù)收集、傳輸或存儲任何一個環(huán)節(jié)出現(xiàn)紕漏被黑客所攻擊，悄無聲息地注入垃圾數(shù)據(jù)，或者說是有意影響分析結(jié)果的數(shù)據(jù)，則會讓數(shù)據(jù)決策適得其反，最終影響企業(yè)的運行，這樣的數(shù)據(jù)污染非常難以被監(jiān)控。

4、信息到設(shè)備，安全危害升級

過去是信息安全時代，出現(xiàn)安全問題頂多是導致設(shè)備無法運行降低工作效率、隱私信息被泄露或者說財產(chǎn)損失等等。設(shè)備安全時代，因為設(shè)備與人們的生活已經(jīng)融為一體了，被攻破后果嚴重一萬倍不止。周鴻祎舉例說，智能汽車是人們騎著四個輪子的手機，被攻破了就可以影響駕駛安全。在智能家居這些領(lǐng)域還有更多隱患，譬如門禁被攻破帶來家庭財產(chǎn)和人生安全隱患、機器人被攻破可以從朋友變?yōu)閿橙?，攝像頭被攻破讓人類家庭毫無隱私……倘若上升到社會基礎(chǔ)設(shè)施那就更不可思議了，智能電網(wǎng)、交通系統(tǒng)哪怕只是紅綠燈、廣播電視系統(tǒng)，每一個出問題后果都不堪設(shè)想。

5、大數(shù)據(jù)時代，用戶隱私難題

無數(shù)傳感器將會不斷收集我們的數(shù)據(jù)并上傳到云端，將所有碎片化的云端數(shù)據(jù)還原之后匯總起來就可能將我們每個人就變成了透明人。我們每個人在干什么，在想什么，可能這時候云端全部都知道。如果有一個或者幾個云端服務(wù)商出現(xiàn)了安全問題，或者說本地的設(shè)備出現(xiàn)了紕漏，我們的數(shù)據(jù)被別有用心的人收集到之后，整個人都透明化地呈現(xiàn)在別人面前，隱私暴露比艷照門之類的嚴重許多。更可怕的是艷照門事件后受害者是知道的，但大數(shù)據(jù)隱私泄露很可能是一個人一輩子都被監(jiān)控之中，生活收到影響還渾然不知。

6、法律法規(guī)制度的滯后

企業(yè)在收集和使用用戶數(shù)據(jù)時的責任和義務(wù)，出現(xiàn)問題后應該付出的代價，數(shù)據(jù)的所有權(quán)，攻擊者應該付出的代價，都還沒有完善的法律法規(guī)體系來監(jiān)督約束。只有法律法規(guī)才可以不斷督促企業(yè)去完善安全防護措施，可以震懾別有用心的攻擊者，讓整個行業(yè)更加安全。

三大原則應對新時代安全問題

周鴻祎是互聯(lián)網(wǎng)老兵，從PC時代到移動互聯(lián)網(wǎng)時代都能很好把握住用戶痛點做出令人叫絕的產(chǎn)品——盡管一些產(chǎn)品的推廣手段有爭議但產(chǎn)品本身卻很接地氣。周鴻祎對用戶需求理解很深，安全教父的背景讓其站在用戶角度對安全形勢提出了全面、前瞻和務(wù)實的洞察。周鴻祎演講口才上乘，更是通過各種案例和段子將安全趨勢這樣的枯燥話題深入淺出地講述出來。但問題是倘若這些安全問題變?yōu)槭聦?，人類的未來就更不樂觀了，尤其是隱私幾乎是空談了，如何破？周鴻祎認為有三大原則必須遵守。

1、所有用戶數(shù)據(jù)的所有權(quán)必須屬于用戶。不論存放在哪家服務(wù)器上，不論是免費還是收費，它只是暫時存放和托管在企業(yè)服務(wù)器上，這就意味著用戶對數(shù)據(jù)如何使用、數(shù)據(jù)是否可被刪除等等擁有決定權(quán)。歐盟今年要求Google提供支持用戶刪除關(guān)于自己的內(nèi)容的功能正是印證了這一原則。

2、所有收集和存儲用戶數(shù)據(jù)的企業(yè)必須具備保護數(shù)據(jù)的能力，并且為之負責。“你要把你收集到的用戶數(shù)據(jù)進行安全存儲和安全的傳輸，這是企業(yè)的責任和義務(wù)”。如果這一原則被政府接納，未來相關(guān)法律法規(guī)必然會對企業(yè)進行資質(zhì)審核、數(shù)據(jù)監(jiān)督以及出現(xiàn)問題后的判罰。企業(yè)也必須在安全上投入更多。

3、給予用戶知情權(quán)和選擇權(quán)。企業(yè)不能未經(jīng)用戶授權(quán)就去采集他的信息，采集之后如何使用、何時使用、是否有交給第三方或者出賣給第三方使用，都必須讓用戶知曉。同時用戶應該隨時具備停止自己的數(shù)據(jù)被使用的權(quán)利。

三原則落實是否就能讓人類沒有后顧之憂地擁抱IoT時代呢？答案是否定的。三原則只能是最基礎(chǔ)最底層的建議，要讓人類在新時代享受真正的大數(shù)據(jù)安全、隱私安全、設(shè)備安全、云安全，還需要更多的原則去遵守，同時，相關(guān)法律法規(guī)、行業(yè)規(guī)約、技術(shù)手段、物理設(shè)施、企業(yè)和用戶意識都需要配套完善起來才行。盡管互聯(lián)網(wǎng)下沉給所有傳統(tǒng)企業(yè)帶來機會，給人類描繪了一個全新的未來生活，但安全一定是一直未伴隨并且揮之不去的“陰影”，這似乎是在提醒人類在用智慧滿足貪婪懶惰的時候，別忘了科技終究還是一把雙刃劍，人類應該心存敬畏。

來源：36氪；作者：羅超；