譚曉生:萬物互聯時代如何從産品安全到安全産品
- 發佈時間:2014-09-25 17:22:48 來源:中國網財經 責任編輯:湯婧
中國網財經9月25日訊 2014中國網際網路安全大會(ISC2014)于24日在京召開。在今天下午進行的“前瞻技術論壇”上,大會執行主席、360 副總裁譚曉生發表了“萬物互聯從安全産品走向産品安全”的主題演講,他表示,面對當前智慧硬體領域存在的安全問題,過去的安全産品難以應對,需要重新尋找解決萬物互聯時代安全的方法。
圖:大會執行主席、360副總裁譚曉生談萬物互聯時代的産品安全
譚曉生在演講中表示,人類正在走向萬物互聯的後移動網際網路時代,智慧設備甚至萬物皆成為駭客攻擊的對象。近年來發生的安全事件層出不窮,在2014Defcon上駭客演示45分鐘內破解22種硬體設備,SyScan360上駭客破解Tesla電動車,2013年數百萬家用路由器被黑風波等,無不預示著未來的萬物互聯時代安全形勢日益嚴峻。
現在的智慧是很多人基於網際網路,由網際網路上更強大的後臺推送一些東西,甚至是完全放在雲端,現在常見的硬體層面的製造階段並不太重視安全保密,把自己標識的東西都放在那裏,調試起來是方便,但駭客也很高興,你能看到我也能看,基本上沒有做這方面的安全防護的。這些是不是可以改進的?這樣讓攻擊者攻破的概率低一些。
在萬物互聯時代,安全公司、政府和企業在智慧硬體和網際網路的安全裏的角色需要有鎖變化,對安全公司要做一個角色的轉換,過去是靠賣安全産品掙錢,今天針對這種攻擊硬體我們的安全産品不見得好賣了,這時候要借助自己的安全從業經驗,來探索新的商業模式。360本身也做智慧硬體開發,流程和普通的開發流程不一樣,安全的因素是一開始就帶進來的,做更早期的檢查,安全公司是可以做的。
譚曉生談到,目前有一個共識認為安全會變成一種服務,其實完全可以變成一門生意,産品做出來以後,可以有一種安全的評測,可以收費也可以不收費,進行安全評測給用戶提供更多選擇的資訊。今天的智慧硬體有一個基本的先決條件會聯網,有上傳大量的資訊,未來的大數據更多是由於智慧硬體産生的,家裏的溫度控制器、攝像頭等産生的資訊。有可能可以挖掘出來一些安全的隱患和問題,是不是正在被攻擊。在談到使用大數據解決安全問題時,譚曉生指出智慧硬體也可以用,有機會來做一個雲的安全中心為智慧硬體提供集中的服務。
對於政府在智慧硬體安全問題中的角色,以智慧汽車的安全規定為例,當汽車發展到一定的階段政府會出臺一定的政策,要求汽車的安全性必須要達到什麼樣的標準,類似于碰撞的四星、五星標準,對政府來説應該是遊戲規則的制定者,制定國家標準,制定準入的標準,哪個産品是滿足條件之後才允許在市場上銷售,現在安全産品是被準入管得很死,可是現在在於智慧硬體産品的準入是非常松的。國家每年都會有課題,其實在現在的萬物互聯的智慧硬體的時代,安全課題是非常之少的,這個領域是比較新的,是不是國家可以下達一個課題,科研院所可以跟進一些。
最後譚曉生認為,企業出了問題要追責,企業造成了嚴重的安全事故是不是要召回和履行賠償的責任,這不能靠企業的道德。對智慧硬體的製造企業需要做的是要把産品納入到設計和管理的流程裏面,要對現有存在安全缺陷的産品進行召回和賠償,很遺憾看到去年中國的家庭路由器被黑了好幾百萬台,不僅僅沒有召回連BUG都沒有改,360檢測到去年受影響的家庭的路由器有1000多萬,被篡改的有300多萬,這麼多人被黑了沒有人出面。對企業來説,將來要為自己設計産品的不安全的漏洞負責任,對有安全缺陷的産品實施召回。