WICV2020 | 腾讯安全产业吕一平：安全左移，高效提升智能网联安全

11月11-13日，“2020世界智能网联汽车大会（WICV2020）”在北京隆重召开，本次大会由北京市人民政府、工业和信息化部、公安部、交通运输部、中国科学技术协会共同主办。旨在打造全球智能网联汽车领域内规模最大、级别最高、影响力最大的世界级平台，持续引领全球汽车产业发展趋势，全面开启智能网联汽车产业发展的新征程。下面是腾讯安全产业安全运营部总经理吕一平在本次论坛上的发言：

很高兴今天有机会跟各位专家一块探讨一下智能网联汽车的安全。刚才很多位专家，包括李总讲了安全重要性。我们一直想，我们已经和汽车行业沟通很多次安全多么重要，今天讲讲实践，和主机厂，包括和汽车行业的同仁们一块，在工作的时候，我们看到的一些情况和问题，我们的一些思路和想法做一个分享。

今天标题叫作“安全左移”，我们在智能网联汽车设计和研发阶段关注安全，对于整个按照性的提升帮助非常大。安全要贯穿整个汽车的研发流程里面去。包括刚才360李总，包括银基的领导讲了，大家对整个智能网联汽车有一个自己的理解，是我们腾讯对智能网联汽车的理解。从车端到后端，到移动端，我用了一个词，智能网联汽车安全需要有全局思维，高度协同和前瞻性。我们做整车研究的时候，后端IT负责，移动端找了合作伙伴做开发的，导致情况是各做各的功能，拼起来做一个车。

从腾讯角度讲，过去到2020年我们发布很多研究成果，在多个攻击面上实现对车的入侵和车的远程控制，我们不能割裂看而是整体看。为什么高度协同？正是因为一个APP的问题，或者一个车后台TSP的安全问题，可能导致这个车被恶意控制，或者被恶意的入侵了。各个部门之间需要有协同机制，可管理的流程存在，才能更好的做好安全。

为什么前瞻性？车的研发周期太长了，即使车企做很多研发过程和研发流程的优化，原来一个三年的整车研发周期，现在缩减2年或者2年半，新势力造车的车企来讲，通过软件快速迭代，更新车的能力，研发周期变得更短，有1年半左右的周期。但是总体来讲，和手机，或者技术的电子设备的产品讲，研发周期还是长。

当这个产品出来的时候，我们面对的问题是一年半以前，2年以前我们需要考虑的问题。所以说为什么需要有前瞻性，大家都在讲我们L3-L5的自动驾驶体系落地，现在L2+今年已经有在落了，未来了L3-L5也要落，我们做L3-L5的过程，我们考虑体系安全性怎么做，而不是等到车量产再考虑这个问题。比如说从去年开始到今年，我们国家大力推广5G，5G场景和新基建，新基里有非常大的场景是V2X，车路协同整个5G各行业应用里面跑的最快的，包括参与到面向V2X特定场景下的评估和测试场景里去，无人驾驶货运的场景，高速公路上的场景比较简单的货车无人驾驶，我们都有参与，安全要全局思维，高度协同，要有前瞻性。

有一个问题，和汽车行业同仁们合作的过程当中，大家有一个问题，怎么去量化安全的投入，安全投入有产出，安全始终面临一个问题，没有出现安全问题的时候，大家认为安全没有那么重要，真的出现安全问题的时候，大家认为安全没有做好，这样一个悖论。怎么更好的量化，怎么更好体现安全价值，我们和汽车行业各位同仁一起思考的问题。基于过去几十个车企项目的合作，我们自己总结了一套方法，对智能网联汽车信息安全问题设计安全和实践安全的维度。

我们腾讯过去几年做过的车的自己对它的评估，或者一个打分，我们有一个分布。设计维度和时间维度越在大家的右上角的，是设计和实现，越往左下角，从整车设计安全性和工程实现安全性比较差，通过这样的过程，我们的能力赋能给我们的车企客户以后，他们在设计安全曾经上，或者工程实现上有提升，给了比较好量化的方式。

要在研发阶段全过程里面重点看安全，我们基于过去的案例。2016年第一次在特斯拉上实现了对整车的远程非授权的控制，不光控制车身所有的功能，还能控制行车过程中的一些控制。包括刹车，包括转向，我们都可以做相应的控制。这是技术细节，不详细讲了。一个点，我们在2016年对特斯拉的研究发现，更多的问题是设计层面上发生的。大家可以看，刚才360的李总讲了，OTA2016年案例里面，OTA不安全成为很重要的打击特斯拉的点。

所以说，从设计层面讲，包括浏览器版本比较低，APP应用层防护的设计做的不好，包括OTA没有做相应的数字签名校验，很多技术层面的工作没有做好，这些问题在整车安全架构设计阶段中我们需要重点考虑安全因素和按照能力如何叠加。

刚才讲，特斯拉进化的速度很快，到了2017年可以看，2017年我们针对特斯拉X做了相应的研究，做一次实现2016年的效果，做出的控制效果，对车辆的远程控制效果比S更好，大家有兴趣看看我们的研究视频。一个很大的感受，到了2017年的时候，特斯拉发现这些问题的重点已经不是在设计层面上，已经在工程实现曾经上的问题更多。

一点，经过短短不到一年的时间，特斯拉在智能网联汽车安全设计层面上，已经有了很大的进步和飞跃。而更多的问题是设计已经相对来讲比较完备的情况下，实现层面上因为代码量和迭代速度的问题存在缺陷，这种修补的成本比设计成本低很多。大家可以看，去年漏洞已经修复了，版本不是最新的，我们可以做，内核是最新的，真的是发现一些未知的漏洞，最后打穿他们。

包括OTA的层面做了校验，这些东西是我们重点关心的，特斯拉是一个进步速度非常快，学习能力非常强的车企，2016年安安全设计出现问题，快速调整，安全的完备性更好，更多是工程的问题，修复的成本低很多。

到了2019年，我们做了特斯拉的案例，特斯拉发了用自己的芯片做新一代的自动驾驶体系，2019年做了自动驾驶的研究，自动驾驶对环境的感知，对整个体系的会跟原来智能网联是两大方向，网联方向2016年，2017年做的更多，2019年智能化方向做了一个成果，看到新的攻击面，有一个简短的视频给大家看一下。

（VCR）

做自动驾驶安全研究的意义，我们发现新的攻击面，原来更多网联安全，通过进场的wifi，或者蓝牙，通过物理接触，我们是不是能够通过通讯的劫持，通过软件的漏洞打进车。到了自动驾驶以后，因为有感知层，从环境做感知以后，会收集到很多的数据，又成为对车辆的新的输入，到L3以上的自动驾驶以后，汽车驾驶的过程交给系统控制的时候，输入如果产生问题，也会造成一些影响。

刚才展示三个场景有两类问题，第一个和第二个是视觉算法的样本对抗，雨刷那个，构造出来的图片，是下雨天或者下雪天，地面上部署干扰点，认为这是一个正常车道的轨迹，这些都是对自动驾驶视觉算法和视觉算法的决策做干扰的，对于智能网联汽车来讲是新的攻击场景和新的攻击手段。刚才用游戏手柄控车是比较传统的，通过网联的模式，有一个重要的点，特斯拉APP高级辅助驾驶的模块，因为大量的驾驶决策和驾驶控制已经交给系统本身了，而不是人决策，一旦系统本身控制造成的危害更大，比我们2016年-2017年能控车的案例更严重，自动驾驶高度应用以后，再来看信息安全，比网联的信息安全变得更重要。

前面几位专家讲了大面上的东西，我们讲一些细节的东西，为什么研发阶段关注安全很重要。是我们做了这么多台车，和车企合作以后我们的经验。我们把发现的安全问题定义车三个等级，比较简单的，中等的和困难的，简单的问题大部分和安全设计相关，这些问题如果设计阶段做了很好的工作，是可以解决掉的。比较困难的发现，在工程实现层面上，高质量的代码开发过程当中我们有一些问题，发现起来，或者利用起来是非常困难的。

大家可以看，也是我们看到一些常见的问题，我们分了几个等级。从严重，到高危，到中危，60%的问题还是设计层面的问题，或者已知的问题，设计阶段没有更好的引入安全的一些专业性的分析和设计。已知漏洞研发周期太长导致的，为什么讲智能网联汽车安全有前瞻性，必须考虑2-3年汽车上市的时候面临什么样的严重挑战，现在未知的问题3年以后是已知的问题，我们看到60%的情况还是这些。

有相当一部分涉及功能安全，信息安全对功能严重的影响。经常讲一个概念，如果在PC和移动时代，信息安全只是影响你的数据，信息泄露了，钱款，电子钱包的钱被偷了，用户帐号窃取了，涉及虚拟世界的挑战。到了车的时代，虚拟世界的安全问题对真实的物理世界造成影响。像远程控制，刚才展示的都是物理世界的影响。

刚才讲全局思维，一个比较严重的攻击，对车辆进行远程入侵，是多个模块的组合形成攻击造成的，如果只看单个模块，不足以支撑安全。合作的群体有几类，国际车企，国内车企，还有新势力造车群体，三位OEM合作比较多，我们在一些新势力造车，包括国际OEM合作的趋势，电子电机架构做不断升级，算力集中，控制体系集中，用到软件，弥补硬件的分散化，做到集中算力，集中控制和集总技术的平台化。

今年年初的时候我们加入国际车联网联盟，更多由OEM和TON组成的，大家共同探讨如何落地，研发的过程中保证整车的功能性和安全性，我们参与到工作组里面，像宝马，包括一些国际的知名企业一块探讨，在研发过程中和检测过程中把安全性做的更好。

我们看到一个趋势，随着更新和迭代，安全是不可缺少的一个属性了。刚才李总讲木桶原理，一些传统的信息安全领域在智能网联汽车安全当中同样适用的，最小权限的原则，默认的原则，内生安全和原生安全，需要在一开始的时候把配置做好，包括纵深防守，一些重要的理念和点在智能网联汽车里面同样的适用。

可以看到，刚才讲的总结出来的问题，有四类手段解决这些问题。我们如果去适应好刚才讲的基本原则，已经覆盖很大的问题，用自动化工具做更好的测试，让大家一块找问题，包括刚才讲过的，当车进入运营阶段以后怎么做实时的监控。这是我们目前和车企配合的时候怎么帮助车企规划，在不同的阶段，不同的问题进行解决。

刚才讲的测试平台，我们腾讯基于智能网联汽车，我们自己做了一套平台，已经有多个车企在用，反馈不错，不光覆盖车联网安全，对物联网的安全做相应的覆盖。前两天这个平台获得工信部智能网联汽车试点示范，车企反馈非常有帮助的工具平台。我们在不断的考虑更好帮助车企行业的用户，用我们的专业能力集成到平台化的方案里面去，更好的帮助车企。

刚才讲安全左移我们需要考虑安全，原来汽车研发，包括21434马上发布的车联网信息安全里面，基于原来的V字形的工程模式添加工程能力。未来随着软件定义汽车的趋势越来越明显，包括对智能网联汽车软件迭代速度也会越来越快，未来需要考虑更加适应快速迭代研发流程安全管理和技术体系，互联网像SDO软件企业比较多，互联网企业更多强调在整个研发过程中，在代码阶段高速的有规范的下发，测试的阶段快速的测试，快速的在保证不影响快速迭代版本发布的情况下，能够同时保证运行，这是未来汽车行业逐步看到的，会采用应用的整个研发管理流程和方法。

最后，在设计和研发阶段考虑安全的确给安全问题的解决带来更低的成本，有一点一直强调，在各种会上和汽车同仁强调，汽车行业是非常关注质量控制和质量体系的行业，信息安全作为新兴的类别，应该纳入争整车研发质量控制体系里面去，应该成为质量体系的一部分，目前来没有纳入进来，我认为从接触的一些国际车企，已经逐步的在做这件事情，合作国内头部车企，也在做这个工作了，逐步的把信息安全的整个考量纳入质量考量体系里面去。

需要有专业的人做专业的事，在技术层面上把一些成熟的技术，按照车的场景，按照智能网联汽车研发的场景，逐步融入到研发过程中去。最近我们参与多个车企的设计阶段的评审和评估上，也就是说把安全的工作提前做，更好的设计配合车企落地一个更合理的，更安全的架构，或者整个智能网联汽车技术框架架构，更好规避到工程开发阶段，设计阶段面临的风险，把关注点从设计的完备性，安全的完备性，逐步转移到工程开发实验中怎么自研的研发团队做的更好，怎么更好管控供应链。

逐步在流程层面上建立起来，安全未来应该纳入到智能网联汽车整个安全质量管控体系里面去，人、技术和流程都很重要。谢谢大家。

（注：本文根据现场速记整理，未经演讲嘉宾审阅，仅作为参考资料，请勿转载！）