新規(guī)背景下，車企如何構(gòu)建在數(shù)據(jù)網(wǎng)絡(luò)安全領(lǐng)域的競爭力？

　　車企上云，數(shù)據(jù)的合規(guī)使用和安全防范將是重中之重！

　　嚴(yán)格意義上來說，汽車數(shù)字化的基礎(chǔ)是各種數(shù)據(jù)集成，數(shù)據(jù)集成所被表現(xiàn)出來的，則是軟件的大量應(yīng)用。而車內(nèi)的車機(jī)系統(tǒng)、智能駕駛座艙、自動駕駛功能等，都是汽車數(shù)字化的具體呈現(xiàn)，同時也是車內(nèi)最容易出現(xiàn)網(wǎng)絡(luò)安全漏洞的部分。一旦這些部分出現(xiàn)網(wǎng)絡(luò)安全問題，將會對用戶造成比較嚴(yán)重的影響。

　　相比智能手機(jī)，汽車數(shù)據(jù)網(wǎng)絡(luò)安全問題給人帶來的威脅以及損失更大，這也注定車企需要花費(fèi)更多的精力來投入到車上數(shù)據(jù)網(wǎng)絡(luò)安全的建設(shè)。

　　近日，騰訊智慧出行與汽車之心聯(lián)合策劃了「行者有云」系列沙龍第二期《車企上云，如何構(gòu)筑云上安全防線》正式播出。本期沙龍邀請了上海帆一尚行科技有限公司網(wǎng)絡(luò)安全總監(jiān)、上汽騰訊網(wǎng)絡(luò)安全實(shí)驗(yàn)室聯(lián)合負(fù)責(zé)人陳寧，以及騰訊安全策略發(fā)展中心總經(jīng)理呂一平。此次沙龍主要圍繞數(shù)據(jù)安全和風(fēng)險防御問題，共同探討了車企在系列新規(guī)背景下，將采用怎樣的新手段、新模式來保證數(shù)據(jù)的合理開發(fā)利用，并有效防范潛在網(wǎng)絡(luò)安全風(fēng)險。

　　3類數(shù)據(jù)、5方面舉措車企需合規(guī)使用數(shù)據(jù)

　　在智能網(wǎng)聯(lián)汽車發(fā)展早期階段，數(shù)據(jù)的收集和應(yīng)用，并沒有明確的相關(guān)法律法規(guī)進(jìn)行規(guī)定，相比于被強(qiáng)制監(jiān)管數(shù)十年的金融領(lǐng)域，汽車數(shù)據(jù)安全防護(hù)還是“新兵”。去年 8 月，國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部、公安部、交通運(yùn)輸部聯(lián)合發(fā)布《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》，自 2021 年 10 月 1 日開始實(shí)施。與汽車數(shù)據(jù)安全法前后發(fā)布的法規(guī)，還有《個人信息保護(hù)法》《數(shù)據(jù)安全法》等，多項(xiàng)關(guān)于數(shù)據(jù)的法規(guī)密集發(fā)布，都讓車企們意識到，數(shù)據(jù)合法合規(guī)使用，是必然趨勢。

　　畢竟，智能汽車每天收集到的數(shù)據(jù)非常龐大，除駕駛員的個人信息數(shù)據(jù)之外，更重要的一點(diǎn)是，智能網(wǎng)聯(lián)汽車的傳感器能夠?qū)崟r收集到高精度地圖數(shù)據(jù)，這涉及到很多敏感的地理位置信息。因此，車企想要合法合規(guī)使用數(shù)據(jù)，首先需要對這些數(shù)據(jù)進(jìn)行分類。

騰訊安全策略發(fā)展中心總經(jīng)理呂一平

　　對此，呂一平認(rèn)為汽車行業(yè)主要有 3 大類數(shù)據(jù)比較重要：

　　汽車研發(fā)過程中車輛狀態(tài)的相關(guān)數(shù)據(jù)，這一類數(shù)據(jù)一直被車企所收集，并留作自用。與用戶相關(guān)的隱私數(shù)據(jù)，當(dāng)前國家有明確的法律法規(guī)要求車企對這類數(shù)據(jù)進(jìn)行保護(hù)，并對不同的使用場景，對數(shù)據(jù)要進(jìn)行明確的分類分級，并依據(jù)法規(guī)使用用戶隱私相關(guān)數(shù)據(jù)。敏感數(shù)據(jù)的使用，比如傳感器收集到的地理位置數(shù)據(jù)、高精度地圖數(shù)據(jù)，這一塊主要涉到國家安全部分，是車企需要非常關(guān)注的點(diǎn)。數(shù)據(jù)分類分級之后，則是數(shù)據(jù)的合規(guī)使用問題。

海帆一尚行科技有限公司網(wǎng)絡(luò)安全總監(jiān)、上汽騰訊網(wǎng)絡(luò)安全實(shí)驗(yàn)室聯(lián)合負(fù)責(zé)人陳寧

　　對此，陳寧根據(jù)目前的相關(guān)法規(guī)，總結(jié)了 5 方面舉措：

　　在使用數(shù)據(jù)前，車企的相關(guān)車輛應(yīng)用服務(wù)必須要通過等保測評，并建立起相關(guān)的網(wǎng)絡(luò)安全或數(shù)據(jù)安全的配套防護(hù)措施和防范的管理體系。當(dāng)前法規(guī)明確要求，默認(rèn)車企不得收集用戶上車數(shù)據(jù)，如果需要收集，則必須告知用戶，以及需要收集的數(shù)據(jù)信息。在收集數(shù)據(jù)狀態(tài)中，讓用戶知道正在收集其數(shù)據(jù)，如果有些信息用戶不希望被收集，則需要允許用戶進(jìn)行屏蔽。

　　車企要盡量將車內(nèi)敏感數(shù)據(jù)模糊化處理，防止通過數(shù)據(jù)清晰定義用戶的情況出現(xiàn)。在數(shù)據(jù)流通和共享上，按照數(shù)據(jù)安全法和汽車數(shù)據(jù)安全法相關(guān)規(guī)定，車企每年 12 月份要上報數(shù)據(jù)安全報告。同時，汽車在向海外發(fā)展的過程中，如果數(shù)據(jù)要向境外輸出，則需要經(jīng)過相關(guān)評審。建立數(shù)據(jù)的分級分類，并合法合規(guī)使用，僅僅是建立數(shù)據(jù)安全防護(hù)的基礎(chǔ)。在分級分類防護(hù)數(shù)據(jù)之后，更為重要的是，車企要建立針對網(wǎng)絡(luò)安全問題的應(yīng)對和響應(yīng)機(jī)制，以及相對應(yīng)的處理技術(shù)能力。

　　此前，傳統(tǒng)的汽車產(chǎn)業(yè)中，如果汽車出現(xiàn)了某些安全問題，車企一般都會通過召回的方式解決這些問題，但召回的周期很長，很難適應(yīng)網(wǎng)絡(luò)安全問題的節(jié)奏變化。

　　陳寧表示：“如果車企能夠建立起針對網(wǎng)絡(luò)安全問題的 48 小時之內(nèi)的安全補(bǔ)丁或修復(fù)能力，這將是未來車企很大的競爭力。”

　　加大研發(fā)投入車企要加速建立網(wǎng)絡(luò)安全防護(hù)體系

　　不過，現(xiàn)階段車企針對汽車數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)仍處于探索初期，其想要逐漸構(gòu)建自己的安全防護(hù)網(wǎng)絡(luò)體系，將是一個相當(dāng)漫長的過程。

　　一方面，數(shù)據(jù)安全僅僅是車企網(wǎng)絡(luò)安全建設(shè)中一部分內(nèi)容，想要做好數(shù)據(jù)安全，車企還要打好很多地基工作。如云上安全，技術(shù)架構(gòu)安全等，還包括很多相關(guān)網(wǎng)絡(luò)安全建設(shè)，如云上的邊界防護(hù)、安全監(jiān)測、網(wǎng)絡(luò)安全的漏洞或者網(wǎng)絡(luò)安全響應(yīng)的能力等。另一方面，人才問題也是影響汽車網(wǎng)絡(luò)安全建設(shè)進(jìn)程的一個重要因素。陳寧表示，在網(wǎng)絡(luò)安全領(lǐng)域，中國高校每年輸送的畢業(yè)生大概是 10 萬人左右，但自去年開始，出現(xiàn)非常大的缺口，未來的趨勢也是缺口逐漸變大，相對應(yīng)的，涉及到汽車網(wǎng)絡(luò)安全的人才缺口，將會更大。

　　雖然汽車數(shù)據(jù)網(wǎng)絡(luò)安全建設(shè)是一個長周期的持續(xù)投入，但在當(dāng)前各項(xiàng)法規(guī)要求的倒逼下，車企也應(yīng)該逐漸加快自身在網(wǎng)絡(luò)安全防護(hù)體系的建設(shè)。

　　從車企本身汽車網(wǎng)絡(luò)安全建設(shè)進(jìn)程來說，陳寧以上汽為例，闡述了上汽的汽車產(chǎn)品從研發(fā)，到生產(chǎn)，再到交付以及交付之后的相關(guān)防御措施。在汽車投產(chǎn)之前，對于產(chǎn)品的零件或者整車，會在技術(shù)和流程上，從安全設(shè)計、滲透測試、投產(chǎn)運(yùn)營等方面做一系列的測試研發(fā)。針對車內(nèi)安全網(wǎng)絡(luò)防護(hù)，上汽現(xiàn)階段所建立的防御體系主要是從云管邊端逐層防護(hù)，同時，傳統(tǒng)云驅(qū)動安全內(nèi)容也適用于當(dāng)下。

　　通道方面，則主要是從云端到車端的通訊鏈路，用加密方法進(jìn)行加密，確保上汽的鏈路不會被截斷或者被中間人截取掉。同時，上汽也對車與車之間進(jìn)行傳輸?shù)男畔⒔o予加密保護(hù)，保證數(shù)據(jù)的安全性和唯一性。在車輛交付之后，上汽也會建立相關(guān)的防御措施，比如網(wǎng)關(guān)或者 IDPS 等，通過它將車輛相關(guān)的模塊或者相關(guān)的服務(wù)隔開，確保車輛在行駛過程中關(guān)鍵通信和關(guān)鍵指令不會被人惡意篡改掉。

　　除了車企本身的自我網(wǎng)絡(luò)安全防護(hù)體系建設(shè)外，車企也會尋求外部網(wǎng)絡(luò)安全公司的合作。其中，騰訊一直是將自己定位為汽車行業(yè)助手的角色，助力汽車行業(yè)在安全方面形成自身的能力。

　　騰訊在與車企的合作過程中，主要為車企提供 4 方面的能力，幫助車企構(gòu)建數(shù)據(jù)網(wǎng)絡(luò)安全：

　　騰訊云助力車企云上安全，幫助車企在云服務(wù)端構(gòu)建安全防護(hù)體系，形成有效的安全防護(hù)能力。

　　針對車端存在的 security 和 safety 風(fēng)險問題，騰訊具備研發(fā)和測試等合規(guī)的品牌和工具，助力車企在這方面的能力建設(shè)。在數(shù)字化營銷場景下可能存在的“黑產(chǎn)”問題，騰訊可以提供相對應(yīng)的解決方案，保證車企在營銷過程中更好的觸達(dá)用戶，大大降低”黑產(chǎn)”薅羊毛的機(jī)率。而騰訊能夠通過自身能力幫助車企對數(shù)據(jù)進(jìn)行分類分級，界定清楚各類數(shù)據(jù)的重要性，并在此基礎(chǔ)上助力車企構(gòu)建數(shù)據(jù)安全保護(hù)方案。

　　在實(shí)際的合作案例中，此前騰訊已經(jīng)與上汽組建了聯(lián)合實(shí)驗(yàn)室，上汽在設(shè)計了相關(guān)防御測試后，需要建立自己的驗(yàn)證和測試體系。而騰訊則參與到了上汽部分車輛中智能座艙的設(shè)計和規(guī)劃工作，在設(shè)計和研發(fā)早期，基于安全防護(hù)方面的能力，助力上汽產(chǎn)品的研發(fā)。

　　前文也有所言，在數(shù)字化網(wǎng)絡(luò)安全防護(hù)方面，汽車行業(yè)還是“新兵”，車企雖然逐漸在加強(qiáng)對這方面的重視，但目前仍是處于早期投入階段。呂一平表示，在金融行業(yè)，一般在網(wǎng)絡(luò)安全方面的研發(fā)投入可能是在 6%-8% 之間，而當(dāng)前汽車行業(yè)的投入則普遍在 2% 左右。

　　事實(shí)上，從法規(guī)密集發(fā)布情況來看，網(wǎng)絡(luò)安全給汽車行業(yè)做響應(yīng)時間并不多了。如果車企不能夠加快節(jié)奏，逐漸提高在該領(lǐng)域的研發(fā)投入，極有可能面臨著極大的風(fēng)險，一旦出現(xiàn)大規(guī)模的網(wǎng)絡(luò)安全事件，則將是對整個行業(yè)的重大打擊。