大會執行主席、360副總裁譚曉生談萬物互聯時代的產品安全
  國際在線消息:日前,中國互聯網安全大會(ISC2014)在北京國家會議中心開幕,全球超過百位安全大牛齊聚北京,與參會者共同討論安全趨勢和方向。在25日下午進行的“前瞻技術論壇”上,大會執行主席、360 副總裁譚曉生髮表了“萬物互聯從安全產品走向產品安全”的主題演講,他表示,面對當前智能硬件領域存在的安全問題,過去的安全產品難以應對,需要重新尋找解決萬物互聯時代安全的方法。
  譚曉生在演講中表示,人類正在走向萬物互聯的後移動互聯網時代,智能設備甚至萬物皆成為黑客攻擊的對象。近年來發生的安全事件層出不窮,在2014Defcon上黑客演示45分鐘內破解22種硬件設備,SyScan360上黑客破解Tesla電動車,2013年數百萬家用路由器被黑風波等,無不預示著未來的萬物互聯時代安全形勢日益嚴峻。
  現在的智能是很多人基於互聯網,由互聯網上更強大的後臺推送一些東西,甚至是完全放在雲端,現在常見的硬件層面的製造階段並不太重視安全保密,把自己標識的東西都放在那裡,調試起來是方便,但黑客也很高興,你能看到我也能看,基本上沒有做這方面的安全防護的。這些是不是可以改進的?這樣讓攻擊者攻破的概率低一些。
  在萬物互聯時代,安全公司、政府和企業在智能硬件和互聯網的安全里的角色需要有鎖變化,對安全公司要做一個角色的轉換,過去是靠賣安全產品掙錢,今天針對這種攻擊硬件我們的安全產品不見得好賣了,這時候要借助自己的安全從業經驗,來探索新的商業模式。360本身也做智能硬件開發,流程和普通的開發流程不一樣,安全的因素是一開始就帶進來的,做更早期的檢查,安全公司是可以做的。
  譚曉生談到,目前有一個共識認為安全會變成一種服務,其實完全可以變成一門生意,產品做出來以後,可以有一種安全的評測,可以收費也可以不收費,進行安全評測給用戶提供更多選擇的信息。今天的智能硬件有一個基本的先決條件會聯網,有上傳大量的信息,未來的大數據更多是由於智能硬件產生的,家裡的溫度控制器、攝像頭等產生的信息。有可能可以挖掘出來一些安全的隱患和問題,是不是正在被攻擊。在談到使用大數據解決安全問題時,譚曉生指出智能硬件也可以用,有機會來做一個雲的安全中心為智能硬件提供集中的服務。
  對於政府在智能硬件安全問題中的角色,以智能汽車的安全規定為例,當汽車發展到一定的階段政府會出台一定的政策,要求汽車的安全性必須要達到什麼樣的標準,類似於碰撞的四星、五星標準,對政府來說應該是游戲規則的制定者,制定國家標準,制定准入的標準,哪個產品是滿足條件之後才允許在市場上銷售,現在安全產品是被準入管得很死,可是現在在於智能硬件產品的準入是非常松的。國家每年都會有課題,其實在現在的萬物互聯的智能硬件的時代,安全課題是非常之少的,這個領域是比較新的,是不是國家可以下達一個課題,科研院所可以跟進一些。
  最後譚曉生認為,企業出了問題要追責,企業造成了嚴重的安全事故是不是要召回和履行賠償的責任,這不能靠企業的道德。對智能硬件的製造企業需要做的是要把產品納入到設計和管理的流程裡面,要對現有存在安全缺陷的產品進行召回和賠償,很遺憾看到去年中國的家庭路由器被黑了好幾百萬台,不僅僅沒有召回連BUG都沒有改,360檢測到去年受影響的家庭的路由器有1000多萬,被篡改的有300多萬,這麼多人被黑了沒有人出面。對企業來說,將來要為自己設計產品的不安全的漏洞負責任,對有安全缺陷的產品實施召回。  (原標題:譚曉生:萬物互聯時代如何從產品安全到安全產品)
arrow
arrow
    全站熱搜

    cw18cwyjak 發表在 痞客邦 留言(0) 人氣()