車(chē)企上云，數(shù)據(jù)的合規(guī)使用和安全防范將是重中之重！

嚴(yán)格意義上來(lái)說(shuō)，汽車(chē)數(shù)字化的基礎(chǔ)是各種數(shù)據(jù)集成，數(shù)據(jù)集成所被表現(xiàn)出來(lái)的，則是軟件的大量應(yīng)用。

而車(chē)內(nèi)的車(chē)機(jī)系統(tǒng)、智能駕駛座艙、自動(dòng)駕駛功能等，都是汽車(chē)數(shù)字化的具體呈現(xiàn)，同時(shí)也是車(chē)內(nèi)最容易出現(xiàn)網(wǎng)絡(luò)安全漏洞的部分。

一旦這些部分出現(xiàn)網(wǎng)絡(luò)安全問(wèn)題，將會(huì)對(duì)用戶(hù)造成比較嚴(yán)重的影響。

如當(dāng)前用戶(hù)可通過(guò)手機(jī) APP 的藍(lán)牙功能實(shí)現(xiàn)遠(yuǎn)程控車(chē)，如果 APP 設(shè)計(jì)或者接口不嚴(yán)謹(jǐn)，就有可能出現(xiàn)黑客批量控制用戶(hù) APP的情況，攻擊者就可以隨意開(kāi)走任何車(chē)輛。

相比智能手機(jī)，汽車(chē)數(shù)據(jù)網(wǎng)絡(luò)安全問(wèn)題所能夠給人帶來(lái)的威脅以及損失更大，這也注定車(chē)企需要花費(fèi)更多的精力來(lái)投入到車(chē)上數(shù)據(jù)網(wǎng)絡(luò)安全的建設(shè)。

2 月 24 日，汽車(chē)之心與騰訊智慧出行聯(lián)合策劃了「行者有云」系列沙龍第二期《車(chē)企上云，如何構(gòu)筑云上安全防線》正式播出。

本期沙龍邀請(qǐng)了上海帆一尚行科技有限公司網(wǎng)絡(luò)安全總監(jiān)、上汽騰訊網(wǎng)絡(luò)安全實(shí)驗(yàn)室聯(lián)合負(fù)責(zé)人陳寧，以及騰訊安全策略發(fā)展中心總經(jīng)理呂一平。

此次沙龍主要圍繞數(shù)據(jù)安全和風(fēng)險(xiǎn)防御問(wèn)題，共同探討了車(chē)企在系列新規(guī)背景下，將會(huì)采用怎樣的新手段、新模式來(lái)保證數(shù)據(jù)的合理開(kāi)發(fā)利用，并有效防范潛在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

01、3 類(lèi)數(shù)據(jù)，5 方面舉措，車(chē)企需合規(guī)使用數(shù)據(jù)

在智能網(wǎng)聯(lián)汽車(chē)發(fā)展早期階段，數(shù)據(jù)的收集和應(yīng)用，并沒(méi)有明確的相關(guān)法律法規(guī)進(jìn)行規(guī)定，相比于被強(qiáng)制監(jiān)管數(shù)十年的金融領(lǐng)域，汽車(chē)數(shù)據(jù)安全防護(hù)還是「新兵」。

去年 8 月，國(guó)家互聯(lián)網(wǎng)信息辦公室、國(guó)家發(fā)展和改革委員會(huì)、工業(yè)和信息化部、公安部、交通運(yùn)輸部聯(lián)合發(fā)布《汽車(chē)數(shù)據(jù)安全管理若干規(guī)定（試行）》，自 2021 年 10 月 1 日開(kāi)始實(shí)施。

與汽車(chē)數(shù)據(jù)安全法前后發(fā)布的法規(guī)，還有《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》等，多項(xiàng)關(guān)于數(shù)據(jù)的法規(guī)密集發(fā)布，以及當(dāng)時(shí)被制裁的某個(gè)海外車(chē)企，都讓車(chē)企們意識(shí)到，數(shù)據(jù)合法合規(guī)使用，是必然趨勢(shì)。

畢竟，智能汽車(chē)每天收集到的數(shù)據(jù)非常龐大，除駕駛員的個(gè)人信息數(shù)據(jù)之外，更重要的一點(diǎn)是，智能網(wǎng)聯(lián)汽車(chē)的傳感器能夠?qū)崟r(shí)收集到高精度地圖數(shù)據(jù)，這涉及到很多敏感的地理位置信息。

因此，車(chē)企想要合法合規(guī)的使用數(shù)據(jù)，首先需要對(duì)這些數(shù)據(jù)進(jìn)行分類(lèi)。

對(duì)此，呂一平認(rèn)為汽車(chē)行業(yè)主要有 3 大類(lèi)數(shù)據(jù)比較重要：

• 汽車(chē)研發(fā)過(guò)程中車(chē)輛狀態(tài)的相關(guān)數(shù)據(jù)，這一類(lèi)數(shù)據(jù)一直被車(chē)企所收集，并留作自用。

• 與用戶(hù)相關(guān)的隱私數(shù)據(jù)。當(dāng)前國(guó)家有明確的法律法規(guī)要求車(chē)企對(duì)這類(lèi)數(shù)據(jù)進(jìn)行保護(hù)，并針對(duì)不同的使用場(chǎng)景，對(duì)數(shù)據(jù)要進(jìn)行明確的分類(lèi)分級(jí)，并依據(jù)法規(guī)使用用戶(hù)隱私相關(guān)數(shù)據(jù)。

• 敏感數(shù)據(jù)的使用，比如傳感器收集到的地理位置數(shù)據(jù)、高精度地圖數(shù)據(jù)，這一塊主要涉及到國(guó)家安全部分，是車(chē)企需要非常關(guān)注的點(diǎn)。

數(shù)據(jù)分類(lèi)分級(jí)之后，則是數(shù)據(jù)的合規(guī)使用問(wèn)題。

對(duì)此，陳寧根據(jù)目前的相關(guān)法規(guī)，總結(jié)了 5 方面舉措：

• 在使用數(shù)據(jù)前，車(chē)企的相關(guān)車(chē)輛應(yīng)用服務(wù)必須要通過(guò)等保測(cè)評(píng)，并建立起相關(guān)的網(wǎng)絡(luò)安全或數(shù)據(jù)安全的配套防護(hù)措施和防范的管理體系。

• 當(dāng)前法規(guī)明確要求，默認(rèn)車(chē)企不得收集用戶(hù)上車(chē)數(shù)據(jù)，如果需要收集，則必須告知用戶(hù)，以及需要收集的數(shù)據(jù)信息。

• 在收集數(shù)據(jù)狀態(tài)中，讓用戶(hù)知道正在收集其數(shù)據(jù)，如果有些信息用戶(hù)不希望被收集，則需要允許用戶(hù)進(jìn)行屏蔽。

• 車(chē)企要盡量將車(chē)內(nèi)敏感數(shù)據(jù)模糊化處理，防止通過(guò)數(shù)據(jù)清晰定義用戶(hù)的情況出現(xiàn)。

• 在數(shù)據(jù)流通和共享上，按照數(shù)據(jù)安全法和汽車(chē)數(shù)據(jù)安全法相關(guān)規(guī)定，車(chē)企每年 12 月份要上報(bào)數(shù)據(jù)安全報(bào)告。同時(shí)，汽車(chē)在向海外發(fā)展的過(guò)程中，如果數(shù)據(jù)要向境外輸出，則需要經(jīng)過(guò)相關(guān)評(píng)審。

建立數(shù)據(jù)的分級(jí)分類(lèi)，并合法合規(guī)的使用，僅僅是建立數(shù)據(jù)安全防護(hù)的基礎(chǔ)。

在分級(jí)分類(lèi)防護(hù)數(shù)據(jù)之后，更為重要的是，車(chē)企要建立針對(duì)網(wǎng)絡(luò)安全問(wèn)題的應(yīng)對(duì)和響應(yīng)機(jī)制，以及相對(duì)應(yīng)的處理技術(shù)能力。

此前，傳統(tǒng)的汽車(chē)產(chǎn)業(yè)中，如果汽車(chē)出現(xiàn)了某些安全問(wèn)題，車(chē)企一般都會(huì)通過(guò)召回的方式解決這些問(wèn)題，但召回的周期很長(zhǎng)，很難適應(yīng)網(wǎng)絡(luò)安全問(wèn)題的節(jié)奏變化。

陳寧表示：「如果車(chē)企能夠建立起針對(duì)網(wǎng)絡(luò)安全問(wèn)題的 48 小時(shí)之內(nèi)的安全補(bǔ)丁或修復(fù)能力，這將是未來(lái)車(chē)企很大的競(jìng)爭(zhēng)力。」

02、加大研發(fā)投入，車(chē)企要加速建立網(wǎng)絡(luò)安全防護(hù)體系

不過(guò)，現(xiàn)階段車(chē)企針對(duì)汽車(chē)數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)仍處于探索初期，其想要逐漸構(gòu)建自己的安全防護(hù)網(wǎng)絡(luò)體系，將是一個(gè)相當(dāng)漫長(zhǎng)的過(guò)程。

一方面，數(shù)據(jù)安全僅僅是車(chē)企網(wǎng)絡(luò)安全建設(shè)中一部分內(nèi)容，想要做好數(shù)據(jù)安全，車(chē)企還要打好很多地基工作。

如云上安全，技術(shù)架構(gòu)安全等，還包括很多相關(guān)網(wǎng)絡(luò)安全建設(shè)，如云上的邊界防護(hù)、安全監(jiān)測(cè)、網(wǎng)絡(luò)安全的漏洞或者網(wǎng)絡(luò)安全響應(yīng)的能力等。

另一方面，人才問(wèn)題也是影響汽車(chē)網(wǎng)絡(luò)安全建設(shè)進(jìn)程的一個(gè)重要因素。

陳寧表示，在網(wǎng)絡(luò)安全領(lǐng)域，中國(guó)高校每年輸送的畢業(yè)生大概是 10 萬(wàn)人左右，但自去年開(kāi)始，出現(xiàn)非常大的缺口，未來(lái)的趨勢(shì)也是缺口逐漸變大，相對(duì)應(yīng)的，涉及到汽車(chē)網(wǎng)絡(luò)安全的人才缺口，將會(huì)更大。

雖然汽車(chē)數(shù)據(jù)網(wǎng)絡(luò)安全建設(shè)是一個(gè)長(zhǎng)周期的持續(xù)投入，但在當(dāng)前各項(xiàng)法規(guī)要求的倒逼下，車(chē)企也應(yīng)該逐漸加快自身在網(wǎng)絡(luò)安全防護(hù)體系的建設(shè)。

從車(chē)企本身汽車(chē)網(wǎng)絡(luò)安全建設(shè)進(jìn)程來(lái)說(shuō)，陳寧以上汽為例，闡述了上汽的汽車(chē)產(chǎn)品從研發(fā)，到生產(chǎn)，再到交付以及交付之后的相關(guān)防御措施。

在汽車(chē)投產(chǎn)之前，對(duì)于產(chǎn)品的零件或者整車(chē)，會(huì)在技術(shù)和流程上，從安全設(shè)計(jì)、滲透測(cè)試、投產(chǎn)運(yùn)營(yíng)等方面做一系列的測(cè)試研發(fā)。

針對(duì)車(chē)內(nèi)安全網(wǎng)絡(luò)防護(hù)，上汽現(xiàn)階段所建立的防御體系主要是從云管邊端逐層防護(hù)，同時(shí)，傳統(tǒng)云驅(qū)動(dòng)安全內(nèi)容也適用于當(dāng)下。

通道方面，則主要是從云端到車(chē)端的通訊鏈路，用加密方法進(jìn)行加密，確保上汽的鏈路不會(huì)被截?cái)嗷蛘弑恢虚g人截取掉。

同時(shí)，上汽也對(duì)車(chē)與車(chē)之間進(jìn)行傳輸?shù)男畔⒔o予加密保護(hù)，保證數(shù)據(jù)的安全性和唯一性。

在車(chē)輛交付之后，上汽也會(huì)建立相關(guān)的防御措施，比如網(wǎng)關(guān)或者 IDPS 等，通過(guò)它將車(chē)輛相關(guān)的模塊或者相關(guān)的服務(wù)隔開(kāi)，確保車(chē)輛在行駛過(guò)程中關(guān)鍵通信和關(guān)鍵指令不會(huì)被人惡意篡改掉。

除了車(chē)企本身的自我網(wǎng)絡(luò)安全防護(hù)體系建設(shè)外，車(chē)企也會(huì)尋求外部網(wǎng)絡(luò)安全公司的合作。

其中，騰訊一直是將自己定位為汽車(chē)行業(yè)助手的角色，助力汽車(chē)行業(yè)在安全方面形成自身的能力。

騰訊在與車(chē)企的合作過(guò)程中，主要為車(chē)企提供4 方面的能力，幫助車(chē)企構(gòu)建數(shù)據(jù)網(wǎng)絡(luò)安全：

• 騰訊云助力車(chē)企云上安全，幫助車(chē)企在云服務(wù)端構(gòu)建安全防護(hù)體系，形成有效的安全防護(hù)能力。

• 針對(duì)車(chē)端存在的 security 和 safety 風(fēng)險(xiǎn)問(wèn)題，騰訊具備研發(fā)和測(cè)試等合規(guī)的品牌和工具，助力車(chē)企在這方面的能力建設(shè)。

• 在數(shù)字化營(yíng)銷(xiāo)場(chǎng)景下可能存在的「黑產(chǎn)」問(wèn)題，騰訊可以提供相對(duì)應(yīng)的解決方案，保證車(chē)企在營(yíng)銷(xiāo)過(guò)程中更好的觸達(dá)用戶(hù)，大大降低「黑產(chǎn)」薅羊毛的機(jī)率。

• 騰訊能夠通過(guò)自身能力幫助車(chē)企對(duì)數(shù)據(jù)進(jìn)行分類(lèi)分級(jí)，界定清楚各類(lèi)數(shù)據(jù)的重要性，并在此基礎(chǔ)上助力車(chē)企構(gòu)建數(shù)據(jù)安全保護(hù)方案。

在實(shí)際的合作案例中，此前騰訊已經(jīng)與上汽組建了聯(lián)合實(shí)驗(yàn)室，上汽在設(shè)計(jì)了相關(guān)防御測(cè)試后，需要建立自己的驗(yàn)證和測(cè)試體系。

而騰訊則參與到了上汽部分車(chē)輛中智能座艙的設(shè)計(jì)和規(guī)劃工作，在設(shè)計(jì)和研發(fā)早期，基于安全防護(hù)方面的能力，助力上汽產(chǎn)品的研發(fā)。

前文也有所言，在數(shù)字化網(wǎng)絡(luò)安全防護(hù)方面，汽車(chē)行業(yè)還是「新兵」，車(chē)企雖然逐漸在加強(qiáng)對(duì)這方面的重視，但目前仍是處于早期投入階段。

騰訊安全策略發(fā)展中心總經(jīng)理呂一平

呂一平表示，在金融行業(yè)，一般在網(wǎng)絡(luò)安全方面的研發(fā)投入可能是在 6%-8% 之間，而當(dāng)前汽車(chē)行業(yè)的投入則普遍在 2% 左右。

事實(shí)上，從法規(guī)密集發(fā)布情況來(lái)看，網(wǎng)絡(luò)安全給汽車(chē)行業(yè)做響應(yīng)時(shí)間并不多了。

如果車(chē)企不能夠加快節(jié)奏，逐漸提高在該領(lǐng)域的研發(fā)投入，極有可能面臨著極大的風(fēng)險(xiǎn)，一旦出現(xiàn)大規(guī)模的網(wǎng)絡(luò)安全事件，則將是對(duì)整個(gè)行業(yè)的重大打擊。

返回第一電動(dòng)網(wǎng)首頁(yè) >