信息安全強標即將出臺，什么是智能車時代的「NCAP」？

編輯 | 德新

軟件正在成為現(xiàn)代汽車不可或缺的一部分。根據(jù)大眾汽車的預測，到2025年，一輛汽車上的代碼數(shù)量會超過10億行。

智能化在提供功能便利和更佳用戶體驗的同時，也引入了更多安全風險，例如數(shù)據(jù)隱私問題、汽車被黑客遠程利用漏洞控制等……

廣州車展前夕，《廣州日報》發(fā)起的一項針對智能車的調研顯示：43%的用戶將“信息安全”和品牌、外觀、價格、續(xù)航等一起納入了購車的首要考慮因素。

傳統(tǒng)汽車經(jīng)歷了一百多年發(fā)展歷史，有成熟的工業(yè)體系。比如在安全（Safety）領域，一些即便非常專業(yè)的術語也能被大眾熟知，并催生了如沃爾沃這樣主打安全的汽車品牌。隨著汽車越來越智能，在信息安全（Security）上投入更多精力，用來保障用戶安全，對于企業(yè)自身的長期發(fā)展而言也是一種價值投資。

在車展啟幕當天，我們邀請了零束科技網(wǎng)安實驗室負責人王君鋒以及騰訊安全策略發(fā)展中心總經(jīng)理呂一平，一起探討智能汽車的信息安全問題以及如何貫徹「安全左移」。

從2016-2023，智能網(wǎng)聯(lián)安全的趨勢

吳德新：科恩實驗室當年有一個很有名的案例是2016年破解和遙控特斯拉，還被邀請去馬斯克家里吃了飯。從你的角度看，2016年的智能汽車跟2023年的智能汽車，在數(shù)字安全、信息安全上有哪些變化，經(jīng)歷了哪些標志性的節(jié)點？

呂一平：我們從2016年開始關注智能網(wǎng)聯(lián)汽車安全，也是從2016年開始有一些研究的成果。

之所以2016年去關注特斯拉，是因為它是比較早實現(xiàn)了智能網(wǎng)聯(lián)的一個新能源車?！靶滤幕崩锩娴摹叭倍际翘厮估氏葋碜龅?。我們當時覺得，當汽車從一個封閉的設備變成聯(lián)網(wǎng)設備時，會不會帶來新的安全風險？我們?nèi)パ芯苛艘幌拢_實也發(fā)現(xiàn)了比較嚴重的問題。

當然，特斯拉本身的安全響應和修復速度也很快，當時我們報告問題以后，他們花了差不多一周時間就通過遠程升級的方式把問題給修復了。

反觀當時傳統(tǒng)車企可能都還沒有這種線上升級的能力。

2015年美國的兩個安全研究人員上報了克萊斯勒- 吉普的安全問題，當時召回了140萬輛車做線下升級，而特斯拉在同時期已經(jīng)是在用比較先進的思維在做。

2016年至2020年，我覺得這個行業(yè)的一個啟蒙期。

行業(yè)開始因為能力建設的需求和對安全的重視，開始驅動來做信息安全領域。很多的主機廠都已經(jīng)意識到了網(wǎng)絡安全的重要性，并跟我們展開合作了。比如上汽，我們共同研究當時上汽的主力車型，評估了可能存在的安全問題，上汽也很積極地進行了對應的修復等一些工作。

到了2020年以來，國家層面開始重視智能網(wǎng)聯(lián)汽車了。

智能網(wǎng)聯(lián)汽車安全的強制標準要求開始起草，進入到發(fā)布前的準備環(huán)節(jié)了。隨著合規(guī)需求驅動，越來越多的車企在最近兩年開始投入資源做智能網(wǎng)聯(lián)安全的專項工作。

智能網(wǎng)聯(lián)安全強標即將出臺

德新：接下來的強標，能保障車主用戶哪些方面的權益？

呂一平：大家都知道NCAP碰撞測試的認證。我個人理解，未來智能網(wǎng)聯(lián)汽車網(wǎng)絡安全的強標，是一個相似的認證過程。只不過，怎么去認證一臺智能網(wǎng)聯(lián)汽車，如何從網(wǎng)絡安全角度來評估它是安全的，也會有對應的認證要求和標準。

王君鋒：強標其實大家都很關注，可能在年底或者明年的話就會公布了。

隨著強標的落地，我覺得后續(xù)的測評也會從多維度把一輛車的網(wǎng)絡安全指標細化出來，比如說從通信、數(shù)據(jù)安全、智能駕駛方面的一些影響，在各個方面為用戶提供參照指標，幫助用戶在選擇車輛的時候，更多地去了解車廠在網(wǎng)絡安全或者數(shù)據(jù)安全方面投入的實際情況。

吳德新：其實相當于網(wǎng)絡安全或者數(shù)字安全領域的NCAP，只是說它這種碰撞測試并不是這種那么直觀肉眼可見，而是一種無形的測試？

王君鋒：對，但是跟傳統(tǒng)的物理安全和碰撞安全的測試相比，網(wǎng)絡安全其實更加復雜。最起碼從兩個維度去看是有很大的不同。

第一個是邊界的復雜度，傳統(tǒng)的物理安全、碰撞安全，我們在車上去做一定的加固和優(yōu)化就能達到相應的評測結果指標，但數(shù)字安全的邊界更復雜，因為智能汽車提供服務的時候，它是跟云服務、手機APP等相互構建了一個大系統(tǒng)為客戶提供這種體驗。我們后續(xù)在評估評測一輛智能車的數(shù)字安全的話，也需要把這些相關的主體、系統(tǒng)都考慮進去。

另一個不同，數(shù)字安全是一個相對動態(tài)的指標。它本質上，是一種對抗攻擊或者說抗入侵的能力，一次或者說幾次的測評其實也并不能完全說明問題。對一個企業(yè)來講，還是需要一個非常專業(yè)的安全團隊持續(xù)地對安全風險進行識別、規(guī)避。

吳德新：數(shù)字安全、網(wǎng)絡安全的內(nèi)涵是非常豐富的，涉及的環(huán)節(jié)非常多，能大概講講咱們的工作大概會涉及哪些大的方面？哪些環(huán)節(jié)，是用戶感知比較明確的環(huán)節(jié)。

王君鋒：用戶有感知的風險點的話，一個可能是智能駕駛，智能駕駛的安全性關系到車乘人員本身的人身安全；還有一個是數(shù)據(jù)安全，例如行駛軌跡、車外的影像信息等，不規(guī)范的采集行為或者說數(shù)據(jù)保護能力的缺失都會帶來一定的風險。

智能車的信息安全，該怎么評測？

吳德新：碰撞安全的結果是非常直接的，它的結果會直接影響到車的銷量。但其實信息安全、網(wǎng)絡安全、數(shù)據(jù)安全，就沒有那么直觀，你們怎么評估它的效果，或者投入產(chǎn)出比？

王君鋒：這是一個蠻好的問題。從長遠看，隨著強標的落地，我們相信大眾對智能汽車的信息安全評測也會越來越關注，某種程度上也會影響甚至決定一個用戶的購買行為。對我個人而言，現(xiàn)在考慮購置一輛車的話，我是真的會考慮這個因素的。

我們零束科技是智能車新賽道的領跑者，很注重建設端到端的智能網(wǎng)聯(lián)汽車的網(wǎng)絡安全跟數(shù)據(jù)安全融合的研發(fā)體系。當前已經(jīng)具備了覆蓋整個研發(fā)生命周期的網(wǎng)安、數(shù)安雙結合的解決方案。

落地實踐方面，我們會遵循產(chǎn)品安全開發(fā)的生命周期的原則，在早期我們就會介入相應的一個安全工作，就是盡量地保障產(chǎn)品的安全力是隨著產(chǎn)品的研發(fā)慢慢生長出來的。

剛剛提到評估、評測體系，我們選擇行業(yè)內(nèi)權威的評測機構對我們的研發(fā)流程做相應的評估。

技術上面，我們一般會選擇滲透測試去評估這個產(chǎn)品的安全性，因為滲透測試是模擬黑客進行攻擊型的測試，更接近于實際的攻防場景，所以從技術維度它可以提供非常好的參考。

呂一平：汽車行業(yè)是非常關注安全的，但是這個安全指的是功能安全（Safety），圍繞著功能安全有完整的一套質量管理和質量工程化的體系支撐。我一直以來的觀點是，網(wǎng)絡安全（Security）應該和功能安全一樣成為汽車質量密不可分的一個部分，而且是一個很重要的部分。

隨著強規(guī)的推出，我覺得它一定會變成汽車質量的重要部分，在汽車整個從設計制造研發(fā)甚至售后整個過程里面去體現(xiàn)出來。

有很多合規(guī)性要求很高的行業(yè)，比如像金融、能源，我們有一個觀察，金融行業(yè)在安全方面的投入占到整個數(shù)字化投入的比例，大概在6%到8%左右；有一些對安全性要求或者合規(guī)要求特別高的行業(yè)和企業(yè)可能能到10%左右。汽車行業(yè)可能現(xiàn)在目前的投入度可能有1到2%，可能在這個水平上下。

我認為對汽車行業(yè)來說，隨著未來合規(guī)要求、國家在這方面關注度越來越高，在安全投入上面應該會有更多的加強。

但的確現(xiàn)在不光是汽車，整個網(wǎng)絡安全面臨的一個難題是比較難量化，因為它是看不見、摸不著的東西。

我們騰訊安全最近其實推了一個叫作“數(shù)字安全免疫力模型”的安全能力建設框架，也配套了評估的一些工具，也應邀對一些汽車主機廠做了一些整體的評估工作，的確發(fā)現(xiàn)了一些可能存在需要提升和短板補足的點。

吳德新：數(shù)字安全免疫力模型相當于是一種評價工具。類似在功能安全領域，它大概會包含兩塊，一塊是對整個流程和能力的認證，第二部分是對具體產(chǎn)品的認證。從你們的角度看，未來會不會有針對產(chǎn)品的評估方式或者評估模型？

呂一平：我們目前的評估模式是需要企業(yè)建立對應的安全能力的，如果車企沒有這個能力的話，它也很難做出來安全的產(chǎn)品對吧？

所以說我們是先從基礎上去評估這個企業(yè)維度的安全能力怎么樣。

產(chǎn)品安全的測評，其實馬上就要發(fā)布的強標就是面向產(chǎn)品的，側重的是上市的新車，站在一個產(chǎn)品維度的安全認證。

王君鋒：因為強標其實也會強調企業(yè)的安全體系，沒有安全體系是沒法支撐產(chǎn)品安全的；后面它就會圍繞著產(chǎn)品的不同維度去提相應的安全方面的要求，我相信隨著強標的推進，后面評測肯定也會越來越清晰、越來越量化。

吳德新：呂總剛提到了一個數(shù)據(jù)，其他行業(yè)的安全投入可能是6%- 8%的占比，汽車行業(yè)是1%-2%。從不同行業(yè)對比，車企在安全建設上，處于怎樣的水平？

呂一平：從智能網(wǎng)聯(lián)安全的角度看的話，最開頭提到的特斯拉領先度還是非常高的。因為它是一個互聯(lián)網(wǎng)思維的造車企業(yè)，它在網(wǎng)絡安全上面的關注度從一開始就非常高，所以從設計階段，它就考慮了很多能夠讓車變得更安全的一些機制能力，比如像這個OTA能力，2016年就已經(jīng)有了。上汽零束其實也是比較早開始做安全能力建設，到目前為止，也已經(jīng)相當不錯了。

國際上一些比較大的車企目前也是在逐步地看這塊。

但是我整體上來看，因為安全是跟技術發(fā)展和技術應用緊密結合在一塊的，只有新的技術應用了才會催生更多的安全需求。

如果說在傳統(tǒng)車的領域，國際車系對我們有領先的話，在網(wǎng)絡安全這個領域，我覺得國際和國內(nèi)的車企是在一條起跑線上，齊頭并進的。

又快又安全，車企面臨的開發(fā)挑戰(zhàn)

吳德新：車企現(xiàn)在對于整車開發(fā)的推進非?？?，咱們怎么保證又快又安全，這個是對你工作的一個挑戰(zhàn)。

王君鋒：有一個預測說，2025年智能汽車的代碼數(shù)量將達到10億，就可想而知。代碼的量是一個方面，而且剛才提到FOTA功能，說明代碼會不停地有迭代的訴求，對于安全體系建設上，確實是挑戰(zhàn)巨大的工作。

所以我們認為，安全體系跟方法論是非常重要的，這里面要提一個詞，叫“安全左移”，我們認為安全左移是這個體系建設的關鍵，就是要保障軟件的代碼具備一定的安全性，那針對它的各種安全檢測必須融合到或者嵌入到整個軟件開發(fā)生命周期的前置過程中去。

剛剛提到產(chǎn)品的安全能力，要讓它隨著產(chǎn)品去生長出來。不是說到了我要量產(chǎn)的時候，給它貼個“安全”的標簽，其實這是一種不負責任的做法。所以我們通過積極地去建設符合汽車行業(yè)標準網(wǎng)絡安全體系流程，去應對這樣一種挑戰(zhàn)，我們率先也獲得了國際知名機構頒發(fā)的汽車網(wǎng)絡安全管理體系的認證證書。

標準體系，可以理解成是安全實踐的一個大綱和指南，但好的實踐還是需要我們安全團隊跟開發(fā)團隊去配合探索，從流程上我們設計了很多安全活動，從建模、設計、開發(fā)到部署，也就是說在代碼生產(chǎn)之前、生產(chǎn)中以及生產(chǎn)后的這些場景，都需要通過安全的活動，去規(guī)范它的研發(fā)過程。

吳德新：能夠做到又快又安全的團隊，他們往往做對了什么？

呂一平：汽車是一個非常復雜的產(chǎn)品。我們前面的討論主要關注的是車端，但是智能化涉及后端的服務、涉及用戶移動端的體驗，是一個非常復雜的體系，需要有一個全局的思考，特別是在研發(fā)過程當中你考慮的不光是這個車本身。比如說，絕大部分的汽車行業(yè)的數(shù)據(jù)都是從后臺服務端泄露的，而不是從車上泄露的，所以說我覺得車企必須有一個全局的概念，就是車的“云管端”是一體的，必須有一個全新的觀念。

做得好的企業(yè)做對了什么：

第一，我覺得有全局觀念、能夠整體看安全的，這個車企它可能相對來講會做得好一些；

第二個，安全一定是要跟本企業(yè)的研發(fā)流程做一個緊密的結合，安全能夠和研發(fā)的體系協(xié)同得比較好、配合得比較好，并且有卡點機制的，相對來講是比較好的；

第三，光靠自己的能力建設可能還不夠，它也需要吸取整個行業(yè)和一些先進的能力企業(yè)，能夠比較體系化地去整合業(yè)界的能力。

比如說騰訊現(xiàn)在跟零束和一些其他車企的合作，會把我們的技術能力比較強的工具平臺、能力平臺輸出給汽車行業(yè)的合作伙伴，結合他們實際的工作場景和需求再去做進一步的一些打磨。我們其實跟上汽配合得非常緊密。

第四個，有專職的安全團隊。安全是一個常態(tài)化的工作，需要有專人負責，要建流程，要有運營的能力，這個在汽車行業(yè)是需要進一步加強的。因為汽車現(xiàn)在很多零部件都是供應鏈在提供的，對主機廠來講，供應鏈的模塊還有一點像是“黑盒”。未來怎么能夠把車廠的一個規(guī)范能夠向上下游的產(chǎn)業(yè)鏈去做延展，確保供應鏈的安全上面，不管是零部件的準入還是定期的軟件更新這一塊，持續(xù)地要有一個很好的管理機制。

高階智駕普及，安全如何保證？

吳德新：今年這種高階輔助駕駛的普及，往下高階智能駕駛怎么樣去更好地保證它的安全性。

王君鋒：從研究的角度，涉及兩方面的安全。

首先高階輔助駕駛，本身的功能安全，就是我們在設計相關的邏輯的時候，要把很多模式考慮進去，因為車在有一定的自主駕駛的能力的時候，其實它會遇到各種狀況，要把能考慮到的場景都考慮到，比如說哪個傳感器失效了，或者說它的信號不可信了——這個狀況就是在功能安全的范疇里面，設計時要考慮的。

再延伸到網(wǎng)絡安全的邊界，會更大一點，因為網(wǎng)絡安全是人為去制造的一種入侵或者說干擾。

所以，在功能安全的基礎上，我們要再從網(wǎng)絡安全的角度，比如通訊接口或者是傳感器的干擾，不管從通訊接口的加密或者認證，多個維度去設計安全認證的一些措施、加固的措施，去保障這些接口沒有那么容易被外部的攻擊所影響，最大程度保障接口的安全性。所以做好這個事情，就是要融合地去把網(wǎng)絡安全跟功能安全都考慮都做好，才能真正地達到產(chǎn)品安全的一個大的目標。

呂一平：安全是一個伴生屬性，新技術應用會帶來新的安全風險。高階的自動駕駛引入以后，可能會帶來哪些新的技術，比如高精地圖的數(shù)據(jù)安全是很重要的，這個肯定是車企重點關注的領域。

特斯拉是走全攝像頭的模式，其他的車企的話走混合模式，包括毫米波雷達、激光雷達加攝像頭的混合的模式，從感知部分也會有很多對抗，我們之前跟對特斯拉做過研究。其實我們是做的對抗樣本，是可以干擾到自動駕駛的視覺輸入的，造成了它的駕駛決策上可能會有失誤。

第三個，國家現(xiàn)在重點在提車路協(xié)同，它還不光是車本身的問題，可能還會涉及很多車的周邊的，不管是給車提供信息的，還是車跟路上的基礎設施會做交互的，這一塊也是需要重點去關注的。

最近我在上海坐網(wǎng)約車的時候，聽到導航提示“前方綠燈馬上就要開啟”，其實你會看到現(xiàn)在很多道路上的信息已經(jīng)在跟車做同步交換，在未來比如說紅綠燈的紊亂會不會干擾到車的正常行駛？它也是信息安全需要關注的。