去年末，蔚來數(shù)據(jù)泄漏被勒索225萬美元等額比特幣事件，再度為智能汽車行業(yè)的安全問題敲響警鐘。

盡管此次蔚來泄漏的數(shù)據(jù)并非出自車輛信息系統(tǒng)的漏洞，但隨著汽車走向“新四化”，對外接口數(shù)越來越多的車輛被黑客攻擊的概率大幅提高，近年來車輛因被攻擊導致數(shù)據(jù)泄漏、行駛安全受影響的事件層出不窮。

2022年這一年，就有豐田汽車遠程車載信息通信服務(wù)T-connect泄露近30萬名客戶的個人信息，還有特斯拉被19歲黑客入侵控制25輛特斯拉汽車的解鎖車門、啟動無鑰匙駕駛、控制喇叭和燈光等操作權(quán)限。

另一方面，除了攻擊事件與日俱增，智能汽車各種軟件系統(tǒng)本身的安全，在各類自動駕駛相關(guān)的事故中也被打上了問號。

2021年，蔚來汽車半個月內(nèi)接連發(fā)生兩起致死事故，其中一起事故發(fā)生時，蔚來的自動輔助駕駛系統(tǒng)NOP處于被激活狀態(tài)。此外，特斯拉、理想、小鵬都曾不同程度因自動駕駛事故引發(fā)輿論爭議。

在智能汽車時代，信息安全與系統(tǒng)安全已然成為各大主機廠無法回避的責任。目前，智能汽車行業(yè)的安全建設(shè)水平如何？怎樣建設(shè)完備的智能汽車安全保障體系？存在哪些難題和挑戰(zhàn)？圍繞這些關(guān)鍵問題，雷峰網(wǎng)開啟智能汽車安全“十人談”系列報道，嘗試厘清智能汽車安全建設(shè)的思路及路徑。

本文為該系列的第一篇，由國汽智控CEO&CTO尚進從汽車信息安全角度分享。

尚進是國內(nèi)少數(shù)具備汽車和安全背景的從業(yè)者。他在清華大學汽車系本碩博連讀，博士論文曾獲“全國優(yōu)秀博士學位論文”，他還是南加州大學計算機系碩士，先后在Sonicwall、飛塔、Juniper、山石網(wǎng)科等全球一流網(wǎng)絡(luò)安全公司工作，被稱為“安全圈里最懂汽車、汽車圈里最懂安全的人”。

“今天汽車的信息安全防護市場規(guī)模很低，說是0都可以，沒有哪個主機廠真正來做建設(shè)?！鄙羞M認為，盡管在業(yè)內(nèi)推行全面的信息安全防護體系仍面臨著重重阻礙，但信息安全和數(shù)據(jù)安全在今日無疑是保證智能汽車安全的剛需。

因自動駕駛域擁有車內(nèi)最大、最復雜的軟硬件系統(tǒng)，最多的對外連接與數(shù)據(jù)源，智能汽車的數(shù)據(jù)安全首要做在自動駕駛域，這考驗著安全團隊對防護對象——自動駕駛與智能汽車的了解程度。若以此為標準，目前國內(nèi)大多數(shù)安全廠商、互聯(lián)網(wǎng)公司都做不了車內(nèi)信息安全。

“多數(shù)安全廠商做不了車內(nèi)安全”

尚進認為，安全可以從兩個角度來看，其一是攻擊和防護，另一為安全技術(shù)和安全平臺。

安全平臺也就是防護對象。從上世紀80年代第一代防火墻技術(shù)誕生以來，網(wǎng)絡(luò)安全行業(yè)發(fā)展至今30余年，防護范圍逐步擴大，從網(wǎng)絡(luò)擴展到路由器、交換機和云端，如今最熱門的防護對象則是智能汽車。

過去，由于汽車的智能化有限，汽車信息安全并非是個緊迫問題，汽車廠商也無需為此組建一支專業(yè)團隊。新四化（電動化、網(wǎng)聯(lián)化、智能化、共享化）的到來，顛覆了傳統(tǒng)的汽車行業(yè)，新技術(shù)與汽車的融合，帶來了行業(yè)新增長。

與此同時，也衍生出了新問題。汽車變得更加智能的另一面是，傳感器、對外接口增多，采集到的個人數(shù)據(jù)和場景數(shù)據(jù)也成指數(shù)級增長，而配套的信息安全建設(shè)卻極其滯后。

在這個背景下，越來越多的汽車廠商發(fā)生數(shù)據(jù)泄露、車輛被黑客控制的事故。與汽車信息安全相關(guān)的法規(guī)建設(shè)加速提上日程，對汽車廠商提出信息安全的合規(guī)要求。

監(jiān)管之下，汽車信息安全建設(shè)不得不起步。尚進直言，由于缺乏積累，智能汽車的信息安全，與發(fā)展了30多年的黑客技術(shù)相比，簡直是小巫見大巫。

所幸建設(shè)并非必須從零做起。

尚進認為，新四化將汽車演變成“四個輪子+一個數(shù)據(jù)中心”的形態(tài)，汽車從分布式電子電氣架構(gòu)走向集中式架構(gòu)，新的產(chǎn)業(yè)鏈將基于“硬件——操作系統(tǒng)——應(yīng)用”的模式，這些變化讓汽車行業(yè)與ICT行業(yè)越來越相似，汽車的生態(tài)越來越像PC、手機。

“智能汽車跟企業(yè)網(wǎng)、數(shù)據(jù)中心的拓撲類似，里面的硬軟件架構(gòu)也差不多，處理器、軟件提供的服務(wù)，以及也要訪問云端的相似性，決定了攻擊汽車和ICT行業(yè)的黑客是同一幫人、同一幫技術(shù)?！?/p>

他表示，智能汽車行業(yè)應(yīng)該借鑒ICT行業(yè)，迅速搭建起信息安全防護體系和生態(tài)，比如車也要做邊界，做處理器防護。實際上，無論車內(nèi)通訊、車外通訊、安全服務(wù)（包括云安全、手機安全、應(yīng)急響應(yīng)等），在ICT行業(yè)都有成熟技術(shù)可以借鑒、移植。

既然已有較成熟的經(jīng)驗可以借鑒、移植，汽車信息安全防護體系的建立是否還存在其他難點與挑戰(zhàn)？

尚進認為，技術(shù)的實現(xiàn)確實不難，但最大的挑戰(zhàn)在于能否實現(xiàn)ICT行業(yè)經(jīng)驗與智能汽車的充分融合，這考驗著安全團隊對防護對象，即自動駕駛與智能汽車，是否有足夠的了解。

以自動駕駛域為例，引入數(shù)據(jù)安全防護技術(shù)與體系后，應(yīng)當保證整個系統(tǒng)依然達到車規(guī)級，以及自動駕駛的性能不受影響，而這需要安全團隊真正了解自動駕駛，把數(shù)據(jù)安全放到合適的位置。

智能汽車與普通數(shù)據(jù)中心不同的一個特點在于，智能汽車的自動駕駛域是個非常強大的多級處理單元，采集到數(shù)據(jù)后，會對數(shù)據(jù)進行感知、規(guī)劃、控制等計算處理，會產(chǎn)生新的數(shù)據(jù)，因此除了對數(shù)據(jù)進行全生命周期的防護和管控外，也需要對自動駕駛的全生命周期進行數(shù)據(jù)安全防護。

尚進的觀點非常簡單且直接：“如果以對防護對象的了解程度作為標準，目前國內(nèi)大多數(shù)安全廠商、互聯(lián)網(wǎng)公司都做不了車內(nèi)信息安全，因為他們沒有真正進入到汽車供應(yīng)鏈體系?！?/p>

以下為新智駕與尚進的對話節(jié)選，新智駕做了不改變原意的編輯和整理。

Q：您的本碩博都是汽車工程專業(yè)，為什么后面又會選擇做安全？

尚進：單從職業(yè)軌跡來看，我是2016年從網(wǎng)絡(luò)安全圈轉(zhuǎn)行到汽車圈，其中的跨度非常大，算是安全圈里轉(zhuǎn)行最徹底的人。

這其實有賴于我在學生時期打下的基礎(chǔ)，本碩博10年，在清華大學讀的正是汽車系，師從管迪華教授。

那時候，我對機械類課程談不上喜歡，本科時期甚至曾有轉(zhuǎn)系的念頭。但堅持在汽車系讀下來，我逐漸體會到了推導、試驗驗證、理論提升這個科研過程的魅力。

為了體驗更具創(chuàng)新性的科研，博士期間，我選擇了汽車動力學理論里最需要研究和最具挑戰(zhàn)性的輪胎力學作為研究方向，畢業(yè)論文主題是“利用模態(tài)參數(shù)對輪胎純側(cè)偏特性建?！?。在這篇論文中，我推導出了新的基礎(chǔ)計算模型，并成功計算出了多個經(jīng)典試驗成果。因為這些成就，我的博士論文后來入選了“全國優(yōu)秀博士學位論文”。

博士畢業(yè)后，我到了美國計劃做更深入的研究，但很快便發(fā)現(xiàn)美國在汽車研究上并不能提供比在清華時更優(yōu)秀的科研體驗，這讓我決心去轉(zhuǎn)變方向。

2001年，計算機專業(yè)非常流行，我轉(zhuǎn)到南加州大學讀計算機系，8個月后就拿到了碩士學位。畢業(yè)后，我加入美國網(wǎng)絡(luò)安全公司Sonicwall，正式踏入了安全行業(yè)。

在而后的14年，我先后在飛塔、Juniper、山石網(wǎng)科等網(wǎng)絡(luò)安全公司工作，設(shè)計和實現(xiàn)了分布式彈性云虛擬和物理防火墻，獲得網(wǎng)聯(lián)安全行業(yè)最著名的NSS-Lab評比測試綜合第一名。

硅谷風潮涌動，我周圍談?wù)撟詣玉{駛和電動車的聲音越來越多，逐漸意識到這股風潮中所蘊藏的機遇，所以我就當機立斷回歸到汽車行業(yè)。

2016年前后，為近距離接收最前沿的自動駕駛技術(shù)，國內(nèi)車企紛紛在硅谷建立研發(fā)中心，這其中就有廣汽研究院。當時廣汽研究院的院長王秋景是我在清華的同門師兄，他找到我?guī)兔ν扑]廣汽硅谷研發(fā)中心的負責人人選。幾次引薦，王秋景院長都不滿意，最后我接下了這個擔子，創(chuàng)建了廣汽硅谷研發(fā)中心，也順勢回到了老本行。

我為廣汽硅谷研發(fā)中心設(shè)定了包括自動駕駛和信息安全在內(nèi)的發(fā)展路線。實際上在加入廣汽之前，我就已經(jīng)在中國工程院院士李克強的提議下，為國內(nèi)汽車信息安全建設(shè)提建議，開始全面研究智能網(wǎng)聯(lián)汽車的發(fā)展和核心技術(shù)。

重回汽車行業(yè)后，我也主導了汽車信息安全首批國家標準《汽車網(wǎng)關(guān)信息安全技術(shù)要求》的擬定。

Q：網(wǎng)絡(luò)安全行業(yè)整體已經(jīng)發(fā)展30余年，而汽車信息安全才剛剛起步，您認為應(yīng)該怎么做汽車信息安全？

尚進：我曾經(jīng)總結(jié)了幾點到今天依然適用的觀點。第一，安全是a long journey that never ends，我是在參加黑帽大會時聽到的，對這句話很有體會。道高一尺，魔高一丈，安全是永遠做不完的。我算是有點改行了，但是我的很多朋友已經(jīng)在安全行業(yè)工作了近30年，到現(xiàn)在都還在這個圈子里。因為安全本質(zhì)上是跟人斗，人和人斗是無止境的。

第二，安全有兩大維度，一個是攻和防，另一個是安全技術(shù)和安全平臺。安全平臺也就是防護對象，我們的防護對象不斷發(fā)生變化，首先是網(wǎng)絡(luò)、路由器、交換機，后來在云端，今天在汽車，但是安全技術(shù)維度沒有變化，技術(shù)雖然越來越多，但它是一個疊加，而不是迭代，技術(shù)永遠不會過時，舊工具到今天依然很有用。

從安全性來講，還是傳統(tǒng)技術(shù)擁有最明確的市場?，F(xiàn)實中，占了80%的高頻攻擊，用傳統(tǒng)技術(shù)就能很好防住，低頻的是新的、更高級的攻擊，遇到這類攻擊事件幾乎所有技術(shù)都無法實時防住。

第三，在安全行業(yè)，“不知攻焉知防”的說法很流行，但不夠準確。實際上，攻擊和防護是兩撥人，兩種思路，攻擊就像是給一座樓“打洞”，從某種程度來講，攻擊方不需要對這座樓很了解，不斷地攻擊就能把樓打垮，找到漏洞；防護講究縱深防御，就像蓋樓，要形成一個很好的架構(gòu)體系，得對防護對象本身很了解。我們很容易被攻擊所吸引，但是防護才應(yīng)該是核心，汽車安全也應(yīng)該注意這一點。

汽車行業(yè)正在經(jīng)歷與ICT行業(yè)融合的過程。對于智能汽車的安全問題，最大的挑戰(zhàn)在于對融合的理解不夠，對自動駕駛和智能汽車的了解不夠。如果以對防護對象的了解程度作為標準，目前國內(nèi)大多數(shù)安全廠商、互聯(lián)網(wǎng)公司都做不了車內(nèi)信息安全，因為他們沒有真正進入到汽車供應(yīng)鏈體系，對自動駕駛和智能汽車的了解有限。

第四，剛剛已提到，遇到低頻的高級攻擊事件，所有的安全手段都防不住，所以不能為了做更多的安全防護而犧牲性價比，要講究平衡。

Q：很多網(wǎng)絡(luò)安全行業(yè)的理念都能為汽車行業(yè)所用，具體來看，汽車行業(yè)應(yīng)該怎么借鑒其他行業(yè)已有的經(jīng)驗？

尚進：從智能汽車的發(fā)展來看，智能汽車正在演變成“四個輪+一個數(shù)據(jù)中心”的形態(tài)，比如車本身就有邊界、有內(nèi)網(wǎng)、有對外連接。

什么叫數(shù)據(jù)中心？一個典型的數(shù)據(jù)中心是，物理上很大的服務(wù)器，中間高速網(wǎng)路沿，又有很多指向各地的小執(zhí)行器，智能汽車在往這個方向發(fā)展，特斯拉就是這樣。抽象來看，智能汽車的拓撲其實跟企業(yè)網(wǎng)、數(shù)據(jù)中心的類似，里面的硬軟件架構(gòu)也差不多，處理器、軟件提供的服務(wù)，以及也要訪問云端的相似性，決定了攻擊汽車和ICT行業(yè)的黑客是同一幫人、同一幫技術(shù)。

黑客技術(shù)已經(jīng)發(fā)展了30 多年，但智能汽車的安全防護才剛剛開始，就像是一個成年人對小學生，這怎么辦？我剛剛在講安全的維度時已經(jīng)提到，安全平臺在變，但是安全技術(shù)沒有變化，這種情況下很多安全技術(shù)都是可以移植使用的，所以我們應(yīng)該借鑒ICT行業(yè)迅速地把車的防護體系建立起來。

從另一個角度來看，智能汽車使用的安全技術(shù)戰(zhàn)略、產(chǎn)品與ICT行業(yè)的幾乎沒有變化，就談不上是創(chuàng)新，依然在紅海里。

Q：近幾年智能汽車的信息安全問題越來越受重視，您怎么看待這個趨勢？

尚進：幾年前，黑客攻擊汽車其實是很丟人的事情，技術(shù)那么厲害，卻去攻擊沒有防護的車輛，你覺得這值得炫耀嗎？信息安全圈有個特征，安全是講究成本的，沒有攻擊方就不需要做安全。實際上，傳統(tǒng)車輛或者現(xiàn)在一般的智能車都沒有攻擊價值，因為車輛里面沒有什么值得攻擊的東西。所以盡管汽車信息安全的概念很早就有了，但是這個市場一直很差。

現(xiàn)在情況變了，因為自動駕駛的發(fā)展，以及數(shù)據(jù)安全問題越來越受重視。去年，國內(nèi)乘用車L2級別輔助駕駛的裝機量將近30%，車輛上有了更多的功能、攝像頭和傳感器，每天采集驚人的數(shù)據(jù)量。

另外一點，車是高速移動的，每天會開很多地方，而且攝像頭是主動采集數(shù)據(jù)，個人不知道自己什么時候被拍下，政府也不知道哪個地點會被拍下，敏感數(shù)據(jù)非常多。這些特征使得數(shù)據(jù)安全變成汽車信息安全，甚至是整個信息安全行業(yè)最大的熱點和剛需。

很多人都會混淆“數(shù)據(jù)安全”這個詞，其實“數(shù)據(jù)安全”包含了兩個概念，一個是security，一個privacy?，F(xiàn)在大家談?wù)摰母嗍莗rivacy問題，比如個人和地方的隱私保護，這不是數(shù)據(jù)泄露的問題，而是數(shù)據(jù)管理的問題，哪些要上傳，哪些要脫敏，哪些要加密等等。針對數(shù)據(jù)安全，在ICT行業(yè)也已經(jīng)有很成熟的技術(shù)，可以借鑒移植過來。

Q：做汽車的數(shù)據(jù)安全，技術(shù)可以移植，那么是否還有需要克服的難題？

尚進：這需要先回答一個問題，車內(nèi)數(shù)據(jù)跟哪個零部件或者功能關(guān)系最大？是自動駕駛，因為大部分數(shù)據(jù)都是圍繞著自動駕駛轉(zhuǎn)的，所有的攝像頭都是為自動駕駛服務(wù)的，自動駕駛是我們車內(nèi)最大、最復雜的一個軟硬件系統(tǒng)，有著最多的對外連接，也是最容易被黑客攻擊的。那么講車內(nèi)的數(shù)據(jù)安全，首要是做在自動駕駛域，反過來講，做自動駕駛就一定要做數(shù)據(jù)安全。

數(shù)據(jù)安全技術(shù)本身沒有難度，最大的難度是怎么和自動駕駛?cè)诤?。大概來講，自動駕駛包括感知、規(guī)劃、控制，在這幾大流程都可能會有數(shù)據(jù)安全的問題，怎么把數(shù)據(jù)安全很好地融合進來是一個難題。

Q：在車內(nèi)數(shù)據(jù)安全方面，國汽智控現(xiàn)在合作的主機廠有哪些？落地周期多久？

尚進：現(xiàn)在上車的有比亞迪、長安、廣汽、上汽等主機廠。跟主機廠的開發(fā)周期，也就是我們共性產(chǎn)品落到不同車型上的額外開發(fā)周期，其實不需要多長時間，一兩個月就可以出來。由于產(chǎn)品以軟件為主，本身也能夠在上車之后進行功能升級，以及分級分類數(shù)據(jù)庫升級。

車內(nèi)數(shù)據(jù)安全建設(shè)，是兩個行業(yè)的融合，大多數(shù)情況是我們的客戶對安全不懂，我們更多是引導主機廠，主機廠一般不會對具體的技術(shù)提出質(zhì)疑。

Q：除了向供應(yīng)商采購數(shù)據(jù)安全產(chǎn)品，會有主機廠選擇自建團隊做這塊的研發(fā)嗎？

尚進：有些車企可能會說參與進整體的產(chǎn)業(yè)鏈建設(shè)，但很少車企會做安全技術(shù)開發(fā)。一方面是安全技術(shù)已經(jīng)很成熟，另一方面是融合的挑戰(zhàn)很大，有門檻，需要對兩個行業(yè)都懂，這樣的人才太少了。另外，自己做的性價比也不高。

Q：數(shù)據(jù)安全得到空前重視，汽車信息安全的市場應(yīng)該有所改善，現(xiàn)在整體的市場規(guī)模有多大？

尚進：實際上，不能說市場改善很多。安全屬于純成本支出，車主不會買單，主機廠對此的預(yù)算不高，也注定主機廠不會真正投入做建設(shè)。搭建完備的信息安全防護體系，也牽扯到產(chǎn)業(yè)鏈上眾多的供應(yīng)商，做起來很麻煩。目前，業(yè)內(nèi)普遍的做法是使用開源的代碼來搭簡單的防護手段。

現(xiàn)在，市場大的反而是更吸引人的攻擊測試產(chǎn)品，防護產(chǎn)品的重視程度比較低。從這點來看，今天的汽車信息安全防護市場規(guī)模很低，說是0都可以。

Q：主機廠用開源代碼做安全防護，但是車輛的研發(fā)周期較長，進入量產(chǎn)后很難再做代碼升級，會出現(xiàn)量產(chǎn)之后代碼過時、防護手段失效的情況嗎？

尚進：用開源的代碼，就要符合開源的體系，一定要有升級的本事，這就牽涉到一體化和操作系統(tǒng)。那么升級的是什么，是應(yīng)用，這就需要一個堅固的、不需要經(jīng)常升級的操作系統(tǒng)，這也是國汽智控在做的。以數(shù)據(jù)安全為例，數(shù)據(jù)安全核心引擎做得堅實，但是數(shù)據(jù)安全的分級分類庫是可以升級的，不能割裂開。

Q：如何打造一個系統(tǒng)性的汽車信息安全防護體系？

尚進：建立起完整的汽車信息安全防護體系還需要全產(chǎn)業(yè)鏈的參與，而非具體某家安全廠商所能為。

安全服務(wù)需要搭建共享的漏洞庫與應(yīng)急響應(yīng)體系，也就是“打補丁”。任何防護技術(shù)都不能100%避免被攻破，所以我們有時候最強大的依賴是打補丁。打補丁的要訣之一是快速，出現(xiàn)漏洞后，要能夠在短時間內(nèi)在全球的計算機里進行更新，這是安全防護的最后一道屏障。

智能汽車同樣需要實現(xiàn)這個功能，但在傳統(tǒng)的供應(yīng)鏈模式下，打補丁依然是個難題。以特斯拉和沃爾沃為例，特斯拉最好的車一兩年前打補丁需要一個月以上，沃爾沃最好的車需要半年。

冗長的時長來自于汽車的供應(yīng)鏈體系。漏洞出來后，主機廠需要定位到具體哪個供應(yīng)商的軟件，通知其更新，再上傳、測試，整套流程下來耗費數(shù)月的時間。在信息安全領(lǐng)域，這是絕對不能接受的。

所以我建議，汽車的產(chǎn)業(yè)鏈都應(yīng)該融入信息安全的防護體系中，軟件供應(yīng)商連接上漏洞庫，向上與主機廠建立快速的OTA更新機制，實現(xiàn)以天數(shù)計算的更新。

因為經(jīng)常宣講汽車信息安全，我偶爾會提醒對話人，國汽智控并非一家做汽車信息安全起家的公司，而是自動駕駛操作系統(tǒng)tier 1.5。

我把國汽智控提供的數(shù)據(jù)安全和信息安全產(chǎn)品視為自動操作系統(tǒng)不可或缺的組成部分，數(shù)據(jù)安全與信息安全是保證智能汽車安全的必要條件，這也是國汽智控開發(fā)相關(guān)產(chǎn)品的出發(fā)點。

沒有數(shù)據(jù)安全就沒有智能汽車安全，安全永遠不是商業(yè)的風口，但會永遠存在。

雷峰網(wǎng)(公眾號：雷峰網(wǎng)) 雷峰網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。