编者按：11月14-16日，由工业和信息化部、应急管理部、科学技术部、广东省人民政府指导举办的“2018中国安全产业”在广东佛山举行。车云主办“安全出行主题论坛暨第二届交通安全产业峰会”，峰会以”安全出行”为主题，”专业论坛+创新展”联动，打通汽车、交通、电子、通信等多个行业，探讨最具前瞻性和可行性的安全出行模式与生态，强势推动跨界融合与协同发展，全面提升大会关注度及影响力。

论坛期间，北京梆梆安全科技有限公司智能网联&汽车事业部总监李浩文发表了以“基于生命周期的智能网联汽车信息安全体系建设”为主题的演讲，以下为演讲实录。

各位领导，大家上午好。今天非常有幸分享一下我们在智能网联汽车体系建设方面的一些心得。

首先今天看到场的各位都是汽车行业的相关从业者，这两年我们作为国内或者最早从事智能网联汽车技术研发的公司，看到近几年的主机厂还有行业的合作伙伴越来越多开始组织智能网联汽车的建设，但是我们也不断的听到主机厂反馈的声音说，“安全不好做”。实际上分析汽车整个生命周期的产业链足够长，设计到研发到最终卖车给用户和报废，这个时间是十年甚至够久，所有的信息系统来看都是非常漫长的过程。在这个过程当中给我们管理非常大的挑战，我们把从生产、销售，中间涉及到无数家的供应链，主机厂等等。

汽车行业的发展的态势，相信已经是老生常谈了。我们对智能网联的追求，钟总提到了，这些方向的发展，每一个方向都意味着代码量的指数级增长。但不管怎么发展，在我们看来都有可能带来非常多的隐患，这个安全隐患从代码数量的增加，联网设备的增加，从攻击方面而言就可能产生非常多的可攻击点和利用点。

这个是我们拿到高尔夫车型的情况。从四代、五代、六代，ECU的数量也是会成倍的增加，包括型号等等，车辆现在越来越像一个快速发展的智能终端。从物联网到联网，简单的形态，以前是有手动挡的变速箱或者自动化程度不高的汽车，从一个单一的信息孤岛彼此发生连接和用户发生连接，变成一个非常复杂的信息系统。从复杂的形态来看，归纳到更抽象和未来整个的发展趋势来看，整个物理空间和数字空间的融合，也是接下来十年、二十年，整个数字世界发生的重要的趋势。

这带来的风险，我们以前知道，网络攻击或者数字空间的安全风险影响到的是我们的数据和隐私，对信息系统的使用，数字空间和物理空间发生高度的融合，实际的风险影响到我们的某些物理实体，在汽车行业发现在以前的攻击可能更多的用户隐私，现在和未来极有可能影响到行驶安全和功能安全。随之而来给汽车行业的挑战，我们认为很多的车企在数字化和物理化融合的过程当中，需要做平行的安全管理，昨天在大会上听到一种声音，以前做安全管理重点做主动安全和被动安全，接下来我们认为功能安全和信息安全会成为两个非常非常重要的点。

但是，其实现在功能安全管理和信息安全管理在大量的主机厂内部缺乏统一规划。这两个概念在国内相对比较新的，我们认为信息安全一些比较重要的影响可能未来都是会去到功能安全方面的影响，这个带来的影响非常恶劣。

我们再整个纵向地看行业面临的挑战。其实信息安全管理本质是风险管理，对一个企业来讲，传统的风险管理可能需要外部事件，商业风险。但是数据风险我们看到其实近年来的发展频次在降低，单次的损失故障在收高，以前大家认为数据风险、事件造成的影响不会太高，不会向内部管理失策那么高，我们想一下，反向看假如每个人对信息系统的使用，或者故障不能很好的控制，发生的概率很高，包括去年病毒泛量的时候，国内不止五六家被勒索病毒攻击了，最严重的是有上百小时的停产时间的，更严重的一家数据没有做好及时的备份，产线的数据被加密了。未来数字攻击所产生的影响我们看到，攻击损失的金额在提升，随着我们的防护能力的增加，发生的几率会下降，我们需要重新在企业的管理维度评估过去的风险管理，是否适应未来的企业发展。

在信息安全建设过程当中，我们经常看到，整个行业不断地给我们提出问题，整个行业目前来说，带来的挑战有以下四点。

第一，行业标准。我们看来是滞后的，中国已经成为全世界最大的智能网联汽车的市场，在业内有共识的，但是我们以前汽车制造业大量的标准是参考欧洲、日本、美国的，在智能网联汽车我们突然走到世界最前面我们没有标准可以参考，给管理带来非常大的问题。同时讲到安全从IT向OT转移，对于主机厂来讲，主要的挑战在于我们知道IT管理部门的工作思维还有自己的知识体系跟OT电子部门有比较大的差异，两者的协调和融合是现在所有的主机厂尤其是传统的主机厂面临的重要问题；

其次，业内提到的对于供应链的管理，我们认为整个产业上上下下缺少承诺的，我们用第三方、供应商的部件，没有给我们输出安全功能和安全承诺。我们拿不到安全承诺的同时，没有办法向用户输出足够多的安全承诺，看了IT行业的腾讯或者阿里每年都会发布自己的安全白皮书，告诉用户自己在安全信息做了什么工作，这个看来在汽车行业要做到整个上下游的安全承诺需要相当多的时间；

另外，我们现在最经常看到的，我们讲到的重技术轻管理。“工程师思维”导致安全方案过多地侧重在防护、渗透等方面，忽略了在更宏观的管理者视角、用户视角看待安全。同时无系统、体系化的安全思维导致安全不能持续有效。

管理要素一直是整个管理过程当中非常重要的一点。我们当然也可以理解，工程师主导的项目，很多陷入单点安全，或者功能安全建设的泥沼，T-BOX怎么解决，车内怎么解决，很多时候安全管理失策很多在管理上，安全等于技术+管理，也经常可以在业内听到“三分技术七分管理”，而如果都投入到安全技术，我们认为安全共性走不远。

我们现在走访了大量的车企，在座的各位有主机厂还有供应链的伙伴，纵向思考一下，在智能网联汽车建设当中有误区，总结了10个。

首先是安全战略不清晰。我们认为数据安全风险其实应该上升到企业足够高的战略维度思考，只让工程师级别，或者项目组级别的同事思考安全，带来的挑战是比较大的，是让整个安全组织和安全建设不能持续久远的阻碍；

讲到组织安全的必要性。在业内似乎很少提及。必须要强调一点，不安全的组织管理不了安全的信息系统。如果组织都不安全，何谈自己的系统安全。所以这也是比较遗憾的一点，国内的主机厂通过ISO两万认证的比较少的，这意味着哪怕花了最昂贵的价格买了最好的网络安全产品，整个组织都是安全的。这是我们现在最被忽略的点。

其次，刚才讲到的技术和管理之间的平衡，现在大量的主机厂在搞安全建设，但只是思索单点的安全技术， 并没有思考管理端和流程怎么把控；

另外，提到IT和OT部门的协作问题，我们尤其看到传统主机厂内部比较突出的问题，以前IT部门更多的是企业内部的服务部门，管理OA，ERP、公共系统等等。IT部门的同事看到他们在汽车方面大量的知识是缺乏的，电子电器部门的同事，如果车辆不联网他们对网络架构的了解都有限，这之间的知识很多的跨越是目前来讲比较难的一点。如何战略统筹部门的协作我们认为对传统的尤其是中国的主机厂来讲，是比较大的挑战，同样的问题在德系、日系合资车企中也有，未来这两个部门建立良好的协作机制十分关键。

还有我们认为不能深入供应链的决心，也是比较大的安全建设误区。其实信息安全建设不见得很多的问题可以用技术解决的，风险转移也是方法，能不能转移给供应链？这两年看到很有意思的事情，新势力造车“互联网造车”他们可以跨过Tier 1，对自己用的芯片效能和能力，服务提供商是不太了解的，甚至能力怎么样都不知道，我们现在越来越看到，包括行业的要求，有可能需要主机厂跨过Tier 1，到Tier 2的，甚至有足够多的要求。

另外有一个误区，渗透测试替代风险评估必须强调任何严肃的成体系的安全建设必须是风险评估，汽车行业处于自己传统的安全测试的习惯来看，大多数希望通过一两次的测试达到安全风险的发现。我们认为安全评估和渗透测试的区别，渗透测试偏重挖掘，安全评估对资产做识别，做控制，做定级，这个是完善的体系，风险评估有时候被忽略了，传统的车企目前来说不太喜欢购买咨询服务。

我们认为对隐私保护的忽视，我们参加大大小小的会议大家都提安全，但极少提到大家对隐私保护的重视。我们讲了下一代的消费者，他们对于消费考虑，对信息隐私保护的概念跟以前有必要的变化。假设你的车内安装了相应的如摄像头、话筒等采集信息的设备，对用户来讲，首先你用来干什么，如果用了这些数据，能不能做一定的保护，都是非常重要的一点。

另外，我们可以看到信息安全和功能安全之间的平衡缺乏。从侧面来讲，就是业务人性的管理，很多车企现在有一些比较大的倾向自己自建CA和云等等。自建其实没有问题了，很多车企不差这点钱，能不能做好业务黏性的管理，在发生地震火灾的时候，业务能不能持续的运转，这边断电在毫秒级完成备份的切换，具体到车内功能安全和信息安全能不能做好联网的平衡。

当然这也存在知识完备性的挑战。智能网联汽车是跨学科的课题，还有IT、风险管理，这个行业的人才目前极度的缺乏，短期把人培养往市场投放其实不太现实，需要IT的同事和OT横跨自己的知识鸿沟去学习，信息安全做持续的建设的，我们按照APCA完成风险识别模型，持续地管理我们的安全，不断地检查我们安全点，不断评估，车辆的生命周期很久，现在的密码技术和安全技术不确定在五年十年是不是过时了，从管理体系架构分析，从广义来看覆盖全车的生命周期的，体系非常庞大，紧缩到狭义也是APP或者云还有车内的资产实际来说，大家看到资产和生命周期概念的时候，觉得比较复杂和比较漫长，我们认为智能网联信息建设过程当中需要参考的一些关键的要素。

首先驱动力，其次遵循什么框架。但是我们认为这个可能不是一年两年做到的，需要持续的，每年的安全目标是什么，安全开发包括隐私保护、密码学等等。

在这个基础上我们提出，建议行业使用的一套模型，我们讲到的信任零风险的咨询模型。对所有的资产首先是不信任，所有的参与人不信任，挨个的评估，建立安全等级不断做改进。

我们讲到持续改进的概念，我们分四个阶段，首先第一个阶段全面评估我们的风险，其次对风险进行分析和处置，符合自己企业特点的生产流程，做持续的安全的应用。

建立安全运营中心是每个企业相对终级的目标，要很多部门的配合，首先如何使用工具怎么做预防控制和响应，怎么做安全的管理，我们的情报怎么做，都是构建安全运营中心的一个关键的要素。

很多公司讲了，花了这么长的时间，建立了我的安全，能不能最大限度地凸现价值，未来应该呈现服务的方法，在车辆生产还有运维当中每个节点的控制，怎么给到供应商和客户，我们的公司内部这样做持续的安全管理和运营，这个后面安全部门需要突出或者是建立自己价值的一个模型。

我们认为在未来的挑战来讲，综合汽车行业的发展，其实留给我们的时间是有的，大家现在讲L2到L3的节点，我们从零做，2020年为国内的主机厂是足够的，如果现在不组织安全和一系列管理极有可能未来来不及，不是有钱就够的。时间不等人，今天这是我的主要的演讲。谢谢大家。