【汽车与环境】东软集团陈静相：中国车辆信息安全发展

2018年12月7日-8日，以“创新驱动、技术引领”为主题的2018第六届“汽车与环境”创新论坛在上海·安亭正式举办。本次论坛完整覆盖汽车行业技术领域的研讨，旨在进一步促进整车企业与零部件企业之间对技术发展趋势的探讨、加强汽车行业专家之间的交流互动、增强整车与零部件企业的交流、搭建合作平台，通过活动促进汽车零部件产业创新转型升级、打造更具竞争力的整零协同创新关系，助力实现向汽车强国的转变。以下是东软集团股份有限公司网络安全事业部产品总监陈静相在本次论坛上的发言：

东软集团股份有限公司网络安全事业部产品总监 陈静相

作为一个零部件供应商，我从信息安全的这样一个视角，分享一下我的理解和感受。

我们看到智能网联的发展，从2015年开始到现在步伐越来越快，包括百度的阿波罗年初发布，比亚迪前段时间推出汽车整个零部件的生态，还有长安发布了它的智能网联的规划。

从车厂的这些布局来看，智能网联这件事情绝对是汽车产业发展必然的一个过程，就像今年年初丰田提出汽车传统厂商从制造业往移动出行服务转型，这个步骤是必然发生的。

这两天跟长安智能网联的院长聊的时候，他说今年董事会作汇报的时候，提到2020年有点晚，还是2019年全部达成全车联网。现阶段我们看到的现象，车厂会大步伐的做这个事情。这样的一个发展的速度，在某种意义上，我觉得会带来信息安全问题的凸显。车不联网我们感觉到信息安全的重要性，车联网的时候某种意义上打通了虚拟世界和现实世界的一个通道。

我也是做传统IT安全出身的，传统IT发生的信息安全的问题，最多损失一些钱、一些业务。对于车一旦产生信息安全的问题，我们损失的可能是公共安全，可能是一些危害事件。为什么我们有这么多的智能网联相关的业务，都谈到信息安全也是出于这方面的考虑。

我作为一个相关从业的成员，从2015年到现在整个国家政策法规标准体系推动和建设是非常迅速的。首先，2015年把相关的一些政策方针提出来，从某种意义上更像是一个大方向，一个指南针，我们做这件事情大概的方向和思路摆出来。然后就落到了相关汽车产业，我们要做相关的规划，车厂、配套应该做什么，相关产业的监管应该做什么，到最后监管包括车厂所关注的法律法规以及标准。

整体的推动到现在这个阶段，预计到2019年或者2020年我们相关产业这一套的政策法规，包括标准会更加完善。我们都知道一个产业如果没有非常好的整体的运营的机制和相关的政策，其实是不能形成产业的，所以我觉得信息安全从某种意义上逐渐走向成熟，而不是现在这个阶段我们老在嘴上提，我们老在思想上重视，活动中畅谈。但是实际落地中很难形成产业化成熟的方式推动这个事情，我觉得未来2019、2020年这件事情将慢慢趋向落地。

我跟尚博士有很多地方是有共鸣的，因为我是做IT信息安全出身的，做了十多年IT产品运营的信息安全，2015年开始接触车的信息安全。我们在给车厂提供我们的一些信息安全理解的时候，其实我觉得从2015年到现在，现在还感觉好点。最初是很难受的，你说很多所谓的信息安全的体系、理念、概念，车厂对这个不关心，“跟我有什么关系，你也没有把我的车攻破，”领导不受重视，项目没有预算，事情推动不下去，确实像现在很多就是求效果，博眼球做攻击为主。

我们做安全的人都知道，我们虽然做了一些攻击的尝试，难道真的以后不会再受攻击了，本质是在于怎么有一套安全理论的基础支撑这个体系的建设，在每个环节做怎么样的安全整体的管控运营，才能真正解决这个信息安全的问题。

车厂一方面为什么需要这种攻击的效果。因为它可能确实需要知道这件事到底有多重要，我觉得是车厂不知道信息安全应该怎么保证质量，可能车厂知道信息安全重要，首先不知道信息安全什么时候会发生问题，其次不知道真做了信息安全做到什么样，我这个投入产出是合理的，这个是信息安全在车厂，我觉得通过他的立项预算、汇报，我感受到的车厂对从业人员最困难的地方。

第一点国家没有最相关的标准出台，这个车发布必须要做什么样的信息安全的要求，哪怕有这个从某种意义上来说，车厂也好交差，现在产业不成熟。第二点这个车投了钱做信息安全，能达到什么样的效果，这个信息安全做的质量怎么样，怎么能把控这个质量，车厂现在的从业人员在线下领域很少能说明白这个事情，导致的问题是上报预算或者推动量产的时候，会发现这个就是增加成本的事，没有任何人说的明白这个到底是怎么样的。

从我这三年来的了解来看，现在这个阶段是一个大家都在这里很痛苦摸索的过程，在这个过程里面，我觉得整车厂和信息安全这些交叉领域的人才培养，或者交叉领域的合作，更加互相对对方去开放自己这块的积累，更好的融合成一个整体做这个事情。融合我是非常认同的。

车联网或者说网联车有很多的应用场景，V2X、V2I、V2U都是它的应用场景。这是一个复杂的生态系统，车会和外部很多的实体做一个交互，产生交互的任意一个节点都是信息安全的隐患。这么复杂的一个场景我认为参与的角色是非常多的，就是包括我们传统的信息服务供应商，包括元器件供应商，包括这种通信供应商，设备生产商整车厂等，大家在整个生态里面某种意义上单个公司是解决不了问题，更需要说能系统的把相关的产业做整合，构建好一个完整的产业生态上下游的企业，协同解决车辆在智能网联这个领域面临的问题。

在信息安全这个领域，或者说针对信息安全在车上的一个实践的思考，我们关注在车联网或者智能网联领域是以车为主体，我们当时在做ISO标准的时候还讨论过，这个标准的范围到底应该是多大，包含整个车联网所有的应用场景，应用场景非常的复杂非常的多，还是说我们应该找到一个关注的对象，基于这个对象我们去展开。后来我们一致认为作为车联网的信息安全，车这个节点是我们考虑的主体，车确实是一个复杂的网络构造。有外网、内网还有对应的各个零件各个节点，我们认为分成四层对车进行逐层的考虑，做信息安全的布置。

第一层车以外相关的节点，我们叫外部的设备。包括服务器，路边的单元等这些某种意义上来说，是我们传统IP领域的范畴，相对来说包括云，包括说我们做一些业务安全，包括移动终端安全等都是非常安全的体系。

第二层车内体系上，外场通信，WIFI、5G和通信接口，以及相关的感知设备上做安全的加固和相关的安全领域的部署。

第三层就是内网，具备了类似整个局域网内的所有提醒，包括网络的隔离，网络相关的一些特征的识别，这一部分对于车联网络会很好的参考传统IT领域的设计经验对它进行设计。

对于就是内网的设备，这块和传统IT差异最大的部分，ECU资源、实时性效率导致了它没有那么足够的空间或者说资源去做相应的一些IT方面的防御。所以我们需要针对这样的环境做特殊的一些指令。

我们针对车联网应用场景做的分解，每个环节做安全的加固。我认为汽车的生产制造是一个整体的开发周期，在开发周期的过程中我们先要对整个车厂的资产做一个评估，评估我们的资产，评估我们的风险，需要分析出来安全需求到底有哪些。基于这样的风险评估提出的这样的安全需求，我们需要针对安全需求做重点的安全巩固的措施，包括针对业务在传输侧需要做一些措施，在云上做一些相关的安全管控，包括车内在各个环节要做一些事情。

当做完了安全评估，安全的加固之后做深度测试，检验这个效果。整体上对整个生命周期事前风险分析，事中安全防御的实施，事后的应急响应，保证车在运营的过程中生命周期里面信息安全的问题。我们到底在什么样的阶段应该上什么样的安全措施，这个是需要思考的问题，安全是一个属性，上的太重了某种意义上反而变成了功能上的一个影响，上的太少了可能真的就影响到这个功能的运营，所以我们需要考虑说在什么样的业务场景下用什么样的安全技术做保证。

安全除了是属性之外还是一种服务，因为信息安全从某种意义上来说，不出事的时候，信息安全一分钱不值，出事的时候信息安全很值钱。这个临界点就是当这个事情爆发的时候，所以是一个服务。当事情爆发的时候，车厂或者车厂的信息安全供应商有没有能力去解决这个时间窗口，这部分是我们整车厂需要思考的，也是信息安全公司需要思考的。

信息安全应该是伴随着车厂的一种能力，同时在每一个节点投入多少，我们需要慎重的去规划、去思考。

对于操作系统层面，我觉得汽车现在有种说法叫SDCAR，软件定义汽车。软件在汽车的层面占用的这样一个地位越来越高，像AUTOSAR这样一套架构能很好的对车内进行软件定义车的实验，未来是一件非常好的事情。这里面我觉得信息安全层面上有很多的思考，我们也在AUTOSAR也做了一些服务，他们提出的概念非常好，第二个需不需要在这个过程补充它的特性，最近爆发的一系列中美的情况，国内来说像这样的基于AUTOSAR的框架是不是应该有一些自主可控的能力在里面，会不会也是我们国内需要重点考虑的一件事情。

简单说一下东软，以及东软睿驰，东软是一个行业解决方案的公司，大概在金融、政府、医疗方面有很好的积累，也做了25年左右车的相关的开发和研发。东软睿驰是东软整个汽车板块单独成立的新的行业方向，主要的重点是四块，我们提供相关的车内零部件，提供相关的服务和数据类的产品，也提供整车信息安全的解决，一部分是为了解决自身的业务安全能力，第二部分也希望能去给车厂提供信息安全相关的服务。

我们做信息安全这个领域，我们的思路或路线是这样的，首先基于跨行业的积累，进入车内信息安全的产业，在最开始的时候，这个交叉领域的标准或者相关的一些经验是不具备的，我们积极的投身和参与到相关标准的一个编写和制定过程中去；其次，基于这样一个标准的参与，我们希望构建一个比较完整的安全生态，在生态里面现在也已经和一些相关的企业达成了比较好的合作模式和方案。

通过这样的整体综合能力，去和车厂做相关信息安全，介入一些有需求的地区，并提供我们相关的信息安全解决方案，最终达到在车厂纬度，让车的信息安全得到更好的保证，这是我们在这个交叉领域的路线图，也希望能在这个里面和车厂更好的共同推动这个板块的前进。

敬请关注盖世汽车“2018汽车与环境创新论坛”直播专题

PC：http://auto.gasgoo.com/NewsTopic/157.html

移动：http://m.gasgoo.com/news/topic/157

提示：本文为现场速记，未经专家审核，请勿转载！