问:如何评价未来硬件端带来的安全隐患?软件商需要做什么?
周鸿祎:大家现在谈芯片,光谈到了芯片设计和芯片制造,当然我们一定要有国产芯片,但只有芯片是不够的,有两个理由:
芯片本身也可以被人做手脚。今天中国有芯片设计能力,但流片和生产拿到海外,在流片过程中一样可以被做手脚。在英特尔芯片里都有后门,甚至美国很多安全专家也刚刚发现。即使不谈后门问题,在今天ARM体系和X86 体系里都有好几个漏洞,会导致CPU严重的问题,如果这个漏洞封堵上的话,它的能力退70%。芯片产业要大力发展,但同时要注意如何能打造相配套的安全防护体系。
即使芯片没有问题,其他层次出现问题依然很致命。今天的安全是多层次结构,有操作系统层面,有网络层面,也有应用程序层面。所以今天很多人做一个钓鱼网站、做一个虚假短信,跟芯片没关系,一样可以做恶劣攻击。芯片是重要的IT基础我们要承认,但安全是多层问题。
我们认为在打造芯片同时也要重视网络安全产业发展,这两个要双轮驱动。也就是在打造芯片产业的同时,在自己设计国产芯片同时,应该提前未雨绸缪考虑到配套安全体系。
问:目前对于一些集中平台个人信息泄露没有问责制,您如何看待这一问题?
周鸿祎:我们也提出过建议,但真的挺难落实。所以国家现在虽然有《网络安全法》,将个人信息保护作为重头,但缺乏执行细则。
对于用黑客手段盗窃个人隐私数据,国家绝对要重点打击。现在的问题是因为互联网到了云时代,今天用任何互联网服务,不得不把自己的信息交出去,不交信息用不了服务,不是互联网公司怎么样,是互联网服务先天的特点。
很多互联网公司手里有大量用户数据,能力越大责任越大,国家应该出台相应规定,比如在安全上要作出相应规定,掌握用户数据之后,应该如何处理用户数据,不能私下转卖,不能随便跟别人做交换,这应该有相应规定。
要有相应技术能力,保证这些数据至少不是明文存放,是加密存储,至少不会被人攻破。
如果被人攻破,现在每次一发生事件,企业似乎都是受害者,其实应该问责。
美国很多政府和大的国防企业建立IT系统时,政府强制要求必须IT投资10%-15%做安全。比如美国萨班斯法案,所有上市的公司都要接受这个法案,除了防止贪污受贿、行贿,还有一个很严格的规定,要符合萨班斯法案,对IT安全、信息安全的投入做非常严格的规定,如果出现用户信息泄露,就违反了萨班斯法。
美国过去几大会计师公司,像安永、普华永道、德勤等,本来都是做会计师审计的公司,现在都成了收入很高的网络安全咨询公司,因为他们要给他们的客户提供网络安全信息咨询服务。甚至安永这样的公司一年收入超过中国所有网络安全公司,可以看得出来美国在重视信息安全的投入方面是有法律法规的。要不投入,出了事就是重罚,你的CEO要坐牢。现在我们有法律,已经有法可依了,但需要执行的细则。
