尊敬的各位朋友大家下午好!我叫闞志剛，來自于梆梆安全，準(zhǔn)備從一個(gè)從業(yè)20年網(wǎng)絡(luò)安全人員的角度來看我們網(wǎng)聯(lián)汽車的安全性。公司從2015年開始進(jìn)入到智能網(wǎng)聯(lián)汽車安全領(lǐng)域，遇到了很多的難以想象困難和問題，今天我也呼吁我們一起最終建成基于生命周期的智能網(wǎng)聯(lián)汽車信息安全體系建設(shè)。

從發(fā)展趨勢(shì)來講，剛才各位專家都提到了，三化也好，五化也好。但是從一個(gè)網(wǎng)絡(luò)安全角度來考量，無論你多少個(gè)“化”，其實(shí)我認(rèn)為車?yán)锩娑际嵌嗔烁嗟某绦颍a算法，無論怎么樣，在我們看來，網(wǎng)絡(luò)安全從業(yè)人員看來無非就是增加了很多的代碼鏈，我們一個(gè)無人駕駛車代碼量會(huì)超過波音飛機(jī)的代碼量。我跟汽車專家談的時(shí)候，2015年開始談很痛苦，基本上都是懂車的人不懂安全，懂安全的人不懂車，很難理解。我感覺到從汽車專家學(xué)到很多東西，給我們很多挑戰(zhàn)，我有三個(gè)問題，到現(xiàn)在還沒有解決，可以給大家分享一下。

我跟一個(gè)汽車廠商匯報(bào)的時(shí)候我說廠長找到了100個(gè)bug，廠長也高興也不高興，你找到100個(gè)bug是不是能找到1000個(gè)bug，bug是收斂的嗎。我們汽車設(shè)計(jì)程序設(shè)計(jì)的很好，但是代碼實(shí)現(xiàn)，程序的實(shí)現(xiàn)，你怎么能夠讓它百分之百吻合，我是程序員，我心情不好的時(shí)候開發(fā)程序肯定會(huì)存在問題。設(shè)計(jì)很好，我怎么樣能夠完全匹配，這是第二個(gè)問題。第三個(gè)問題就是說程序跟法律跟倫理之間他到底有什么關(guān)系，我們用程序能不能完全表達(dá)法律跟倫理內(nèi)涵的一些問題。

舉例來講一輛自動(dòng)駕駛汽車撞人了，是撞小孩是撞老人，是撞我是撞你，怎么去選擇，還是撞向旁邊什么物體。這三個(gè)問題其實(shí)都是我在跟在座各位汽車專家交流的時(shí)候，學(xué)到很多問題。這就是我想隨著我們網(wǎng)聯(lián)汽車的發(fā)展，網(wǎng)絡(luò)安全發(fā)展，可以和在座各位順利溝通，有可能后續(xù)我們會(huì)達(dá)到一個(gè)完全的融合，我們之間對(duì)話是完全可以聽得懂的，我們提出來的一些觀點(diǎn)、思想也不被你們?nèi)ッ镆暳耍驗(yàn)槲矣X得汽車是一個(gè)百年的行業(yè)，網(wǎng)絡(luò)安全才十年二十年，怎么樣解析，為在座各位提供更加有價(jià)值的一些點(diǎn)。

我簡單總結(jié)一下，如果汽車產(chǎn)業(yè)是一個(gè)國家的話，它應(yīng)該算第六大經(jīng)濟(jì)體，我剛接觸汽車產(chǎn)業(yè)的時(shí)候感覺到汽車產(chǎn)業(yè)挺簡單，進(jìn)去之后就蒙了，這個(gè)產(chǎn)業(yè)鏈太長了，生產(chǎn)環(huán)節(jié)、銷售環(huán)節(jié)、售后市場根本找不到門，不知道找誰來去談這個(gè)網(wǎng)絡(luò)安全問題，通過這幾年的梳理我們也知道什么什么階段，有TL1、TL2等等，就是這些名詞也漸漸懂了，這是我們分的一個(gè)過程。

另外，我認(rèn)為，就是網(wǎng)聯(lián)汽車的發(fā)展，本質(zhì)的問題就是說物理安全和網(wǎng)絡(luò)安全的一個(gè)深度融合，原來我講過懂車的人不懂安全，懂安全人不懂車，現(xiàn)在我們需要在某一個(gè)層面進(jìn)行一種融合，能夠在網(wǎng)絡(luò)安全知識(shí)跟物理空間安全的一些特點(diǎn)能夠進(jìn)行結(jié)合。這個(gè)我摘抄了一下IBM的一個(gè)圖表，他說明的意思就是說網(wǎng)絡(luò)安全發(fā)生的問題，他雖然產(chǎn)生了一種損失小，但是高頻度是很高的，有可能一年會(huì)發(fā)生100次、1000次、10000次，公司也有很多我們車輛，整車，黑客對(duì)整車進(jìn)行攻擊的時(shí)候，是很容易就能夠攻擊進(jìn)去的。原來都是檢測物理設(shè)備有沒有炸彈，有沒有物理損壞，現(xiàn)在已經(jīng)深入到對(duì)車的駕駛系統(tǒng)進(jìn)行一些衡量，我們就發(fā)現(xiàn)一些車的Tbox有可能被刷機(jī)了，我們手機(jī)經(jīng)常會(huì)出現(xiàn)刷機(jī)現(xiàn)象，現(xiàn)在就有一些刷車，把軟件系統(tǒng)換成黑客的，從而控制車的一些錄音，或者軌跡，是很容易得到的，雖然網(wǎng)絡(luò)安全問題損失比較小，但是次數(shù)比較多，對(duì)我們每個(gè)企業(yè)的商業(yè)損失商譽(yù)損失非常嚴(yán)重。

通過我們這幾年的研究，總結(jié)出來在網(wǎng)聯(lián)汽車安全有這四方面挑戰(zhàn)，第一個(gè)挑戰(zhàn)就是行業(yè)標(biāo)準(zhǔn)是滯后的，我們車發(fā)展的也很快。對(duì)我們來講，也不知道怎么去改，我們只能說根據(jù)原來的工具，標(biāo)準(zhǔn)等級(jí)保護(hù)等等，看這個(gè)車，有可能不太適合我們網(wǎng)聯(lián)車的發(fā)展需要。第二個(gè)就是從業(yè)務(wù)層面上，安全我們是不太熟悉的，我們只是懂一些系統(tǒng)安全，但是車本身的安全，怎么去做，車聯(lián)網(wǎng)有可能需要更高的安全這種要求，傳統(tǒng)的安全管理手段有可能就遭到一些挑戰(zhàn)。第三個(gè)缺少一些安全承諾，第四個(gè)就是重技術(shù)輕管理，我們很多的專家認(rèn)為解決了一個(gè)車的點(diǎn)的安全問題，有可能就會(huì)通過技術(shù)來去解決這樣的問題，我們認(rèn)為不太可能的，所以說今天我們提倡要建立一套安全體系來去做，而不是說只把某一個(gè)點(diǎn)哪一方面安全就可以，持續(xù)運(yùn)營的過程，其實(shí)在網(wǎng)絡(luò)安全領(lǐng)域，我們經(jīng)常也說網(wǎng)絡(luò)安全做的好七分靠管理，三分靠技術(shù)，在車聯(lián)網(wǎng)領(lǐng)域有可能這個(gè)結(jié)論也是成立的，所以說我們不能夠只關(guān)注技術(shù)，輕管理，這個(gè)是不行的。

我們根據(jù)我們的理解，不一定對(duì)，我們把車聯(lián)網(wǎng)的安全分成了兩類，一類是廣域網(wǎng)的安全，分別從八個(gè)方面進(jìn)行整理，這些都是跟我們車聯(lián)網(wǎng)息息相關(guān)的一些供應(yīng)鏈，或者是一些單位，包括用戶端、云端、辦公環(huán)境、生產(chǎn)工廠，這些都應(yīng)該會(huì)存在安全管理或者安全基數(shù)的問題，應(yīng)該站在更高角度全面的來去分析網(wǎng)絡(luò)安全存在的問題。

另外從車本身來講的話，我們分了狹義，車聯(lián)網(wǎng)的安全概念，無非就是車機(jī)還有TSP等等，這是我們一個(gè)簡單的分類，工作很多，我們也逐漸希望把安全問題，每一個(gè)階段梳理清楚。第一部分給大家講網(wǎng)絡(luò)安全問題，當(dāng)網(wǎng)絡(luò)安全遇到車聯(lián)網(wǎng)的時(shí)候，智能互聯(lián)的時(shí)候有很多的碰撞激蕩，讓我們學(xué)習(xí)到很多新的知識(shí)，我們也感覺到不應(yīng)該只是關(guān)注某一點(diǎn)的技術(shù)，站在一個(gè)更高的角度看網(wǎng)絡(luò)安全問題。

我們?cè)倩ㄎ宸昼娊o大家講一下怎么來去建設(shè)一個(gè)車聯(lián)網(wǎng)安全的體系建設(shè)，我們提出來說零信任、零風(fēng)險(xiǎn)、自適應(yīng)管理模型，SAE國際的標(biāo)準(zhǔn)里面也提到七點(diǎn)的原則，我希望我們?cè)谧魑挥袝r(shí)間的話可以仔細(xì)讀一讀，SAE的有關(guān)安全方面的一些指導(dǎo)原則。他的主體思想，就是說我們要認(rèn)為每一個(gè)部件，每一個(gè)地方都是有風(fēng)險(xiǎn)的，我們不要假設(shè)它是安全的，首先認(rèn)為是有風(fēng)險(xiǎn)的，然后再去證明沒有風(fēng)險(xiǎn)，這個(gè)是一個(gè)最基本的原則。

另外我們也提出來說因?yàn)檎麄€(gè)車的制造過程，生產(chǎn)過程是很復(fù)雜的，我們應(yīng)該按照PDCA這種理論，能夠建立一種基于生命周期的一套方法論來去做這個(gè)事情，包括需求階段，設(shè)計(jì)階段，生產(chǎn)階段，驗(yàn)證階段，發(fā)布階段，每個(gè)階段都應(yīng)該有安全因素，設(shè)計(jì)因素加進(jìn)去考量進(jìn)去，才是完備的思想。怎么來建這個(gè)體系建設(shè)，我們公司現(xiàn)在跟30多家車企進(jìn)行聯(lián)系，很多是我們客戶了，我們幫他去建一個(gè)體系的建設(shè)，包括四個(gè)方面，先評(píng)估，再分析，再實(shí)施，再持續(xù)的安全運(yùn)營。我想這個(gè)過程應(yīng)該是說起來很簡單，但是做起來非常痛苦的。

其實(shí)有了上述講的方法論，模型，思想，我們認(rèn)為一個(gè)車企要建立一個(gè)安全運(yùn)營中心，其實(shí)在縱觀世界上的這些汽車廠商，我們認(rèn)為特斯拉的安全運(yùn)營中心建的還是非常不錯(cuò)的，剛才一位老師講到將來車那么老多，我們?cè)趺礃幽軌虮ＷC它持續(xù)安全，持續(xù)運(yùn)營，我希望除了坐車之外，對(duì)車的管理安全運(yùn)營應(yīng)該成為我們?cè)谧魑换蛘呤堑谌綇S商的一個(gè)很重要的責(zé)任，從情報(bào)管理預(yù)防監(jiān)控響應(yīng)工具司法見證幾個(gè)方面把運(yùn)營中心用起來，不是說只是關(guān)注于某一個(gè)技術(shù)點(diǎn)。

另外我們也提出安全即服務(wù)這樣一個(gè)理念，也是持續(xù)運(yùn)營相關(guān)的一些事情，監(jiān)控分析人員，具有什么樣的職責(zé)，都應(yīng)該有定義的，是非常清楚的。不應(yīng)該把網(wǎng)絡(luò)安全看成是一個(gè)附屬的小事情，對(duì)不同的職業(yè)，不同的崗位，分工更加詳細(xì)的。

汽車行業(yè)未來面臨的挑戰(zhàn)，SAE定義，有關(guān)鍵分析點(diǎn)，包括網(wǎng)絡(luò)安全，應(yīng)用系統(tǒng)安全，泛在網(wǎng)絡(luò)安全等等。其實(shí)歸根結(jié)底有兩點(diǎn)需要大家去注意，一點(diǎn)我們不要重技術(shù)輕松管理，我們希望每一個(gè)車企能夠建立一套自己的安全運(yùn)營中心，安全運(yùn)營體系，這是其一。

其二我們能夠?qū)ψ约很嚴(yán)锩娴某绦蚰軌蛴懈嗟陌踩男ｒ?yàn)方法，或者能夠證明我們程序是完全正確的，這個(gè)地方跟大家最后提一點(diǎn)，我們公司一直在致力于怎么能夠證明一段程序是100%正確的其實(shí)這個(gè)問題很難，我們?cè)噲D使用形式化驗(yàn)證的方式來去證明。我編了將近20多年程序，最困難的是什么呢?我編了這10000行程序，誰能證明我的10000行程序100%是正確的，現(xiàn)在在國際上證明通過數(shù)學(xué)的方式來證明。

所以我始終相信，因數(shù)學(xué)是我們?nèi)祟惖淖詈笠粋€(gè)宗教，我們網(wǎng)絡(luò)安全最終的發(fā)展極端目標(biāo)，也是我們能夠證明車?yán)锩娴牟皇钦f所有的程序，關(guān)鍵程序，能夠用數(shù)學(xué)證明是完全正確的。我給大家兩條結(jié)論，非常感謝大家。