編輯 |德新

軟件正在成為現代汽車不可或缺的一部分。根據大眾汽車的預測，到2025年，一輛汽車上的代碼數量會超過10億行。

智能化在提供功能便利和更佳用戶體驗的同時，也引入了更多安全風險，例如數據隱私問題、汽車被黑客遠程利用漏洞控制等……

廣州車展前夕，《廣州日報》發起的一項針對智能車的調研顯示：43%的用戶將“信息安全”和品牌、外觀、價格、續航等一起納入了購車的首要考慮因素。

傳統汽車經歷了一百多年發展歷史，有成熟的工業體系。比如在安全（Safety）領域，一些即便非常專業的術語也能被大眾熟知，并催生了如沃爾沃這樣主打安全的汽車品牌。隨著汽車越來越智能，在信息安全（Security）上投入更多精力，用來保障用戶安全，對于企業自身的長期發展而言也是一種價值投資。

在車展啟幕當天，我們邀請了零束科技網安實驗室負責人王君鋒以及騰訊安全策略發展中心總經理呂一平，一起探討智能汽車的信息安全問題以及如何貫徹「安全左移」。

一、從2016-2023，智能網聯安全的趨勢

吳德新：科恩實驗室當年有一個很有名的案例是2016年破解和遙控特斯拉，還被邀請去馬斯克家里吃了飯。從你的角度看，2016年的智能汽車跟2023年的智能汽車，在數字安全、信息安全上有哪些變化，經歷了哪些標志性的節點？

呂一平：我們從2016年開始關注智能網聯汽車安全，也是從2016年開始有一些研究的成果。

之所以2016年去關注特斯拉，是因為它是比較早實現了智能網聯的一個新能源車。“新四化”里面的“三化”都是特斯拉率先來做的。我們當時覺得，當汽車從一個封閉的設備變成聯網設備時，會不會帶來新的安全風險？我們去研究了一下，確實也發現了比較嚴重的問題。

當然，特斯拉本身的安全響應和修復速度也很快，當時我們報告問題以后，他們花了差不多一周時間就通過遠程升級的方式把問題給修復了。

反觀當時傳統車企可能都還沒有這種線上升級的能力。

2015年美國的兩個安全研究人員上報了克萊斯勒- 吉普的安全問題，當時召回了140萬輛車做線下升級，而特斯拉在同時期已經是在用比較先進的思維在做。

2016年至2020年，我覺得這個行業的一個啟蒙期。

行業開始因為能力建設的需求和對安全的重視，開始驅動來做信息安全領域。很多的主機廠都已經意識到了網絡安全的重要性，并跟我們展開合作了。比如上汽，我們共同研究當時上汽的主力車型，評估了可能存在的安全問題，上汽也很積極地進行了對應的修復等一些工作。

到了2020年以來，國家層面開始重視智能網聯汽車了。

智能網聯汽車安全的強制標準要求開始起草，進入到發布前的準備環節了。隨著合規需求驅動，越來越多的車企在最近兩年開始投入資源做智能網聯安全的專項工作。

二、智能網聯安全強標即將出臺

德新：接下來的強標，能保障車主用戶哪些方面的權益？

呂一平：大家都知道NCAP碰撞測試的認證。我個人理解，未來智能網聯汽車網絡安全的強標，是一個相似的認證過程。只不過，怎么去認證一臺智能網聯汽車，如何從網絡安全角度來評估它是安全的，也會有對應的認證要求和標準。

王君鋒：強標其實大家都很關注，可能在年底或者明年的話就會公布了。

隨著強標的落地，我覺得后續的測評也會從多維度把一輛車的網絡安全指標細化出來，比如說從通信、數據安全、智能駕駛方面的一些影響，在各個方面為用戶提供參照指標，幫助用戶在選擇車輛的時候，更多地去了解車廠在網絡安全或者數據安全方面投入的實際情況。

吳德新：其實相當于網絡安全或者數字安全領域的NCAP，只是說它這種碰撞測試并不是這種那么直觀肉眼可見，而是一種無形的測試？

王君鋒：對，但是跟傳統的物理安全和碰撞安全的測試相比，網絡安全其實更加復雜。最起碼從兩個維度去看是有很大的不同。

第一個是邊界的復雜度，傳統的物理安全、碰撞安全，我們在車上去做一定的加固和優化就能達到相應的評測結果指標，但數字安全的邊界更復雜，因為智能汽車提供服務的時候，它是跟云服務、手機APP等相互構建了一個大系統為客戶提供這種體驗。我們后續在評估評測一輛智能車的數字安全的話，也需要把這些相關的主體、系統都考慮進去。

另一個不同，數字安全是一個相對動態的指標。它本質上，是一種對抗攻擊或者說抗入侵的能力，一次或者說幾次的測評其實也并不能完全說明問題。對一個企業來講，還是需要一個非常專業的安全團隊持續地對安全風險進行識別、規避。

吳德新：數字安全、網絡安全的內涵是非常豐富的，涉及的環節非常多，能大概講講咱們的工作大概會涉及哪些大的方面？哪些環節，是用戶感知比較明確的環節。

王君鋒：用戶有感知的風險點的話，一個可能是智能駕駛，智能駕駛的安全性關系到車乘人員本身的人身安全；還有一個是數據安全，例如行駛軌跡、車外的影像信息等，不規范的采集行為或者說數據保護能力的缺失都會帶來一定的風險。

三、智能車的信息安全，該怎么評測？

吳德新：碰撞安全的結果是非常直接的，它的結果會直接影響到車的銷量。但其實信息安全、網絡安全、數據安全，就沒有那么直觀，你們怎么評估它的效果，或者投入產出比？

王君鋒：這是一個蠻好的問題。從長遠看，隨著強標的落地，我們相信大眾對智能汽車的信息安全評測也會越來越關注，某種程度上也會影響甚至決定一個用戶的購買行為。對我個人而言，現在考慮購置一輛車的話，我是真的會考慮這個因素的。

我們零束科技是智能車新賽道的領跑者，很注重建設端到端的智能網聯汽車的網絡安全跟數據安全融合的研發體系。當前已經具備了覆蓋整個研發生命周期的網安、數安雙結合的解決方案。

落地實踐方面，我們會遵循產品安全開發的生命周期的原則，在早期我們就會介入相應的一個安全工作，就是盡量地保障產品的安全力是隨著產品的研發慢慢生長出來的。

剛剛提到評估、評測體系，我們選擇行業內權威的評測機構對我們的研發流程做相應的評估。

技術上面，我們一般會選擇滲透測試去評估這個產品的安全性，因為滲透測試是模擬黑客進行攻擊型的測試，更接近于實際的攻防場景，所以從技術維度它可以提供非常好的參考。

呂一平：汽車行業是非常關注安全的，但是這個安全指的是功能安全（Safety），圍繞著功能安全有完整的一套質量管理和質量工程化的體系支撐。我一直以來的觀點是，網絡安全（Security）應該和功能安全一樣成為汽車質量密不可分的一個部分，而且是一個很重要的部分。

隨著強規的推出，我覺得它一定會變成汽車質量的重要部分，在汽車整個從設計制造研發甚至售后整個過程里面去體現出來。

有很多合規性要求很高的行業，比如像金融、能源，我們有一個觀察，金融行業在安全方面的投入占到整個數字化投入的比例，大概在6%到8%左右；有一些對安全性要求或者合規要求特別高的行業和企業可能能到10%左右。汽車行業可能現在目前的投入度可能有1到2%，可能在這個水平上下。

我認為對汽車行業來說，隨著未來合規要求、國家在這方面關注度越來越高，在安全投入上面應該會有更多的加強。

但的確現在不光是汽車，整個網絡安全面臨的一個難題是比較難量化，因為它是看不見、摸不著的東西。

我們騰訊安全最近其實推了一個叫作“數字安全免疫力模型”的安全能力建設框架，也配套了評估的一些工具，也應邀對一些汽車主機廠做了一些整體的評估工作，的確發現了一些可能存在需要提升和短板補足的點。

圖注：數字安全免疫力模型圖

吳德新：數字安全免疫力模型相當于是一種評價工具。類似在功能安全領域，它大概會包含兩塊，一塊是對整個流程和能力的認證，第二部分是對具體產品的認證。從你們的角度看，未來會不會有針對產品的評估方式或者評估模型？

呂一平：我們目前的評估模式是需要企業建立對應的安全能力的，如果車企沒有這個能力的話，它也很難做出來安全的產品對吧？

所以說我們是先從基礎上去評估這個企業維度的安全能力怎么樣。

產品安全的測評，其實馬上就要發布的強標就是面向產品的，側重的是上市的新車，站在一個產品維度的安全認證。

王君鋒：因為強標其實也會強調企業的安全體系，沒有安全體系是沒法支撐產品安全的；后面它就會圍繞著產品的不同維度去提相應的安全方面的要求，我相信隨著強標的推進，后面評測肯定也會越來越清晰、越來越量化。

吳德新：呂總剛提到了一個數據，其他行業的安全投入可能是6%- 8%的占比，汽車行業是1%-2%。從不同行業對比，車企在安全建設上，處于怎樣的水平？

呂一平：從智能網聯安全的角度看的話，最開頭提到的特斯拉領先度還是非常高的。因為它是一個互聯網思維的造車企業，它在網絡安全上面的關注度從一開始就非常高，所以從設計階段，它就考慮了很多能夠讓車變得更安全的一些機制能力，比如像這個OTA能力，2016年就已經有了。上汽零束其實也是比較早開始做安全能力建設，到目前為止，也已經相當不錯了。

國際上一些比較大的車企目前也是在逐步地看這塊。

但是我整體上來看，因為安全是跟技術發展和技術應用緊密結合在一塊的，只有新的技術應用了才會催生更多的安全需求。

如果說在傳統車的領域，國際車系對我們有領先的話，在網絡安全這個領域，我覺得國際和國內的車企是在一條起跑線上，齊頭并進的。

四、又快又安全，車企面臨的開發挑戰

吳德新：車企現在對于整車開發的推進非常快，咱們怎么保證又快又安全，這個是對你工作的一個挑戰。

王君鋒：有一個預測說，2025年智能汽車的代碼數量將達到10億，就可想而知。代碼的量是一個方面，而且剛才提到FOTA功能，說明代碼會不停地有迭代的訴求，對于安全體系建設上，確實是挑戰巨大的工作。

所以我們認為，安全體系跟方法論是非常重要的，這里面要提一個詞，叫“安全左移”，我們認為安全左移是這個體系建設的關鍵，就是要保障軟件的代碼具備一定的安全性，那針對它的各種安全檢測必須融合到或者嵌入到整個軟件開發生命周期的前置過程中去。

剛剛提到產品的安全能力，要讓它隨著產品去生長出來。不是說到了我要量產的時候，給它貼個“安全”的標簽，其實這是一種不負責任的做法。所以我們通過積極地去建設符合汽車行業標準網絡安全體系流程，去應對這樣一種挑戰，我們率先也獲得了國際知名機構頒發的汽車網絡安全管理體系的認證證書。

標準體系，可以理解成是安全實踐的一個大綱和指南，但好的實踐還是需要我們安全團隊跟開發團隊去配合探索，從流程上我們設計了很多安全活動，從建模、設計、開發到部署，也就是說在代碼生產之前、生產中以及生產后的這些場景，都需要通過安全的活動，去規范它的研發過程。

吳德新：能夠做到又快又安全的團隊，他們往往做對了什么？

呂一平：汽車是一個非常復雜的產品。我們前面的討論主要關注的是車端，但是智能化涉及后端的服務、涉及用戶移動端的體驗，是一個非常復雜的體系，需要有一個全局的思考，特別是在研發過程當中你考慮的不光是這個車本身。比如說，絕大部分的汽車行業的數據都是從后臺服務端泄露的，而不是從車上泄露的，所以說我覺得車企必須有一個全局的概念，就是車的“云管端”是一體的，必須有一個全新的觀念。

做得好的企業做對了什么：

第一，我覺得有全局觀念、能夠整體看安全的，這個車企它可能相對來講會做得好一些；

第二個，安全一定是要跟本企業的研發流程做一個緊密的結合，安全能夠和研發的體系協同得比較好、配合得比較好，并且有卡點機制的，相對來講是比較好的；

第三，光靠自己的能力建設可能還不夠，它也需要吸取整個行業和一些先進的能力企業，能夠比較體系化地去整合業界的能力。

比如說騰訊現在跟零束和一些其他車企的合作，會把我們的技術能力比較強的工具平臺、能力平臺輸出給汽車行業的合作伙伴，結合他們實際的工作場景和需求再去做進一步的一些打磨。我們其實跟上汽配合得非常緊密。

第四個，有專職的安全團隊。安全是一個常態化的工作，需要有專人負責，要建流程，要有運營的能力，這個在汽車行業是需要進一步加強的。因為汽車現在很多零部件都是供應鏈在提供的，對主機廠來講，供應鏈的模塊還有一點像是“黑盒”。未來怎么能夠把車廠的一個規范能夠向上下游的產業鏈去做延展，確保供應鏈的安全上面，不管是零部件的準入還是定期的軟件更新這一塊，持續地要有一個很好的管理機制。

五、高階智駕普及，安全如何保證？

吳德新：今年這種高階輔助駕駛的普及，往下高階智能駕駛怎么樣去更好地保證它的安全性。

王君鋒：從研究的角度，涉及兩方面的安全。

首先高階輔助駕駛，本身的功能安全，就是我們在設計相關的邏輯的時候，要把很多模式考慮進去，因為車在有一定的自主駕駛的能力的時候，其實它會遇到各種狀況，要把能考慮到的場景都考慮到，比如說哪個傳感器失效了，或者說它的信號不可信了——這個狀況就是在功能安全的范疇里面，設計時要考慮的。

再延伸到網絡安全的邊界，會更大一點，因為網絡安全是人為去制造的一種入侵或者說干擾。所以，在功能安全的基礎上，我們要再從網絡安全的角度，比如通訊接口或者是傳感器的干擾，不管從通訊接口的加密或者認證，多個維度去設計安全認證的一些措施、加固的措施，去保障這些接口沒有那么容易被外部的攻擊所影響，最大程度保障接口的安全性。

所以做好這個事情，就是要融合地去把網絡安全跟功能安全都考慮都做好，才能真正地達到產品安全的一個大的目標。

呂一平：安全是一個伴生屬性，新技術應用會帶來新的安全風險。高階的自動駕駛引入以后，可能會帶來哪些新的技術，比如高精地圖的數據安全是很重要的，這個肯定是車企重點關注的領域。

特斯拉是走全攝像頭的模式，其他的車企的話走混合模式，包括毫米波雷達、激光雷達加攝像頭的混合的模式，從感知部分也會有很多對抗，我們之前跟對特斯拉做過研究。其實我們是做的對抗樣本，是可以干擾到自動駕駛的視覺輸入的，造成了它的駕駛決策上可能會有失誤。

第三個，國家現在重點在提車路協同，它還不光是車本身的問題，可能還會涉及很多車的周邊的，不管是給車提供信息的，還是車跟路上的基礎設施會做交互的，這一塊也是需要重點去關注的。

最近我在上海坐網約車的時候，聽到導航提示“前方綠燈馬上就要開啟”，其實你會看到現在很多道路上的信息已經在跟車做同步交換，在未來比如說紅綠燈的紊亂會不會干擾到車的正常行駛？它也是信息安全需要關注的。

返回第一電動網首頁 >