亚洲中文无码mv在线观看_日本中文字幕视频在线看_亚洲无码 一区二区三区_国产精品一区无码麻豆

當(dāng)“企業(yè)的各種漏洞信息在國(guó)際黑市賣出幾百萬(wàn)、幾千萬(wàn)”時(shí)，很多車企對(duì)汽車數(shù)字安全的認(rèn)知還停留在過(guò)去，應(yīng)對(duì)之策落伍且無(wú)效。

新時(shí)代的數(shù)字安全與以往有何不同？如何打造真正數(shù)字安全能力？如何走出誤區(qū)？哪個(gè)環(huán)節(jié)是汽車應(yīng)對(duì)數(shù)字安全危機(jī)的薄弱所在？何為“數(shù)字安全碰撞試驗(yàn)”？

《趙福全研究院》第70期，繼續(xù)探討“汽車技術(shù)生態(tài)創(chuàng)新”，這一次我們聚焦到數(shù)字化安全環(huán)節(jié)，趙福全院長(zhǎng)對(duì)話紅衣教主——360集團(tuán)創(chuàng)始人周鴻祎，從理論與實(shí)戰(zhàn)層面深度解析“未來(lái)汽車安全”的底層邏輯。

清華大學(xué)汽車產(chǎn)業(yè)與技術(shù)戰(zhàn)略研究院院長(zhǎng)趙福全（左）與360集團(tuán)創(chuàng)始人周鴻祎（右）

觀點(diǎn)摘要

人人對(duì)抗：靠殺毒軟件維護(hù)網(wǎng)絡(luò)安全的時(shí)代已經(jīng)過(guò)去，我們需要面對(duì)的是無(wú)孔不入、隨時(shí)可能發(fā)起攻擊的黑客，而且很可能是有組織的。網(wǎng)絡(luò)安全的本質(zhì)其實(shí)是人與人的對(duì)抗。

基礎(chǔ)設(shè)施：企業(yè)應(yīng)該建立一系列網(wǎng)絡(luò)安全防護(hù)的基礎(chǔ)設(shè)施；同時(shí)在網(wǎng)絡(luò)安全公司的支持下，建立和培養(yǎng)一支專業(yè)的網(wǎng)絡(luò)安全防護(hù)團(tuán)隊(duì)。

“數(shù)字安全碰撞試驗(yàn)”：車企邀請(qǐng)外部網(wǎng)絡(luò)安全公司，對(duì)其汽車產(chǎn)品進(jìn)行數(shù)字世界的攻防測(cè)試，即模擬實(shí)施各種網(wǎng)絡(luò)攻擊，以找出車內(nèi)網(wǎng)絡(luò)、車云網(wǎng)絡(luò)等的弱點(diǎn)，讓企業(yè)能夠及時(shí)進(jìn)行修補(bǔ)。

“數(shù)字安全大腦”：車企要集中各種數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)，為此可與網(wǎng)絡(luò)安全公司攜手建立“數(shù)字安全大腦”，隨時(shí)對(duì)各種網(wǎng)絡(luò)的所有數(shù)據(jù)的異動(dòng)進(jìn)行監(jiān)測(cè)和響應(yīng)。

不要因噎廢食：網(wǎng)絡(luò)安全和數(shù)字安全的法律法規(guī)必須以讓數(shù)據(jù)能被安全應(yīng)用為根本出發(fā)點(diǎn)，切不可因噎廢食，以安全為名過(guò)分限制數(shù)據(jù)的采集和使用。

投入不足：企業(yè)在數(shù)字化方面是愿意投入的，但在數(shù)字安全防護(hù)上卻往往不舍得投入，導(dǎo)致這兩方面的投入差距極其懸殊。就像舍得花500萬(wàn)元買房子，卻不舍得花5000元買防盜門(mén)。

走出誤區(qū)：“軟件硬件化、硬件盒子化、盒子柜子化”。就是說(shuō)相較于軟件，企業(yè)更愿意購(gòu)買安全硬件；這其實(shí)是一種落伍且無(wú)效的做法。最重要也最有價(jià)值的不是硬件，也不是軟件，而是安全服務(wù)，尤其是高水平、專業(yè)化的安全服務(wù)。

供應(yīng)鏈企業(yè)是難題：因?yàn)檎嚻髽I(yè)通常規(guī)模大、資金足，有能力雇傭高水平的安全服務(wù)團(tuán)隊(duì)。黑客不容易找到整車企業(yè)網(wǎng)絡(luò)的漏洞，很可能就會(huì)去攻擊供應(yīng)鏈企業(yè)的網(wǎng)絡(luò)。

OTA與模擬攻防試驗(yàn)：需要持續(xù)進(jìn)行“數(shù)字安全碰撞試驗(yàn)”，不斷尋找系統(tǒng)漏洞并加以修復(fù)?？赡苊總€(gè)月或者每次OTA升級(jí)之后都要進(jìn)行一次模擬攻防才行。

360為什么投資車企：這樣車企的各種網(wǎng)絡(luò)尤其是車內(nèi)網(wǎng)絡(luò)，就可以對(duì)360充分開(kāi)放，然后我們雙方攜手進(jìn)行模擬攻防測(cè)試，共同確保持久的網(wǎng)絡(luò)安全。

需要國(guó)家支持：面對(duì)一些有組織的甚至是有國(guó)家背景的黑客攻擊，大型整車企業(yè)都有可能力有未逮，需要共同建設(shè)國(guó)家或行業(yè)級(jí)的數(shù)字安全態(tài)勢(shì)感知中心、應(yīng)急響應(yīng)中心以及聯(lián)合研究中心等。

以下為對(duì)話實(shí)錄

網(wǎng)絡(luò)安全的本質(zhì)是人與人的對(duì)抗

趙福全：周總剛剛以很多真實(shí)的案例說(shuō)明，當(dāng)前網(wǎng)絡(luò)安全已經(jīng)不只局限于虛擬空間，而是開(kāi)始影響到物理世界了。未來(lái)隨著數(shù)字化的不斷推進(jìn)，網(wǎng)絡(luò)安全將升級(jí)為數(shù)字安全，并對(duì)物理世界產(chǎn)生更大的影響，甚至關(guān)系到人類社會(huì)和國(guó)民經(jīng)濟(jì)的安全。也就是說(shuō)，數(shù)字安全將是一個(gè)大概念，所有產(chǎn)業(yè)都將面臨嚴(yán)峻的挑戰(zhàn)，而汽車是數(shù)字安全最復(fù)雜也最難防護(hù)的產(chǎn)業(yè)之一。

這樣說(shuō)并不是因?yàn)槲覀兩硖幤嚠a(chǎn)業(yè)，而是因?yàn)槭聦?shí)如此。一方面，汽車產(chǎn)品有上萬(wàn)個(gè)零部件，涉及到幾百家供應(yīng)商，今后都要互聯(lián)起來(lái)，也就是剛才談到的工業(yè)互聯(lián)網(wǎng)，這必然是一個(gè)高度復(fù)雜的網(wǎng)絡(luò)。另一方面，汽車要與外部世界全面連接，包括車輛與人的連接、與其他車輛的連接、與道路的連接、與環(huán)境的連接等等，也就是剛才談到的車聯(lián)網(wǎng)。這同樣是物聯(lián)網(wǎng)的重要組成部分之一，而且涉及到的主體極多、范圍極廣。顯然，要做好這兩個(gè)網(wǎng)絡(luò)的安全防控是極其困難的，但又是必須要解決的問(wèn)題。那么在您看來(lái)，汽車數(shù)字安全的問(wèn)題應(yīng)該怎樣才能有效解決呢？

周鴻祎：我是這樣考慮的，汽車產(chǎn)業(yè)的數(shù)字安全問(wèn)題高度復(fù)雜，所以我們絕不能“眉毛胡子一把抓”。前面我把智能網(wǎng)聯(lián)汽車的網(wǎng)絡(luò)安全問(wèn)題分解成了五個(gè)方面，因?yàn)檫@樣就可以分而治之。同時(shí)在實(shí)施過(guò)程中，并不是要幾個(gè)方面齊頭并進(jìn)，我認(rèn)為可以先解決其中最主要的三個(gè)方面的問(wèn)題，即車內(nèi)網(wǎng)絡(luò)、車云網(wǎng)絡(luò)和車數(shù)網(wǎng)絡(luò)。

前面我說(shuō)過(guò)，軟件必然存在漏洞，有漏洞就必然存在被人利用的風(fēng)險(xiǎn)，所以幻想著黑客不攻擊或者攻不進(jìn)來(lái)是不現(xiàn)實(shí)的。問(wèn)題的關(guān)鍵在于，我們?cè)鯓硬拍茉诤诳颓秩刖W(wǎng)絡(luò)的時(shí)候以最快的速度發(fā)現(xiàn)和應(yīng)對(duì)。在這方面，360已經(jīng)形成了一套行之有效的方法，具備了及時(shí)發(fā)現(xiàn)和應(yīng)對(duì)網(wǎng)絡(luò)攻擊的強(qiáng)大能力。

在過(guò)去的20年里，360從免費(fèi)殺毒軟件開(kāi)始，積累了防御網(wǎng)絡(luò)攻擊的豐富實(shí)戰(zhàn)經(jīng)驗(yàn)。360的目標(biāo)是確保網(wǎng)絡(luò)安全，而不是單純的售賣安全產(chǎn)品。記得最初的時(shí)候，只有我們提供免費(fèi)殺毒軟件。也正是因?yàn)槊赓M(fèi)，后來(lái)中國(guó)有90%的網(wǎng)民都安裝了360殺毒軟件，這樣每天中國(guó)發(fā)生的各種網(wǎng)絡(luò)攻擊，我們基本上都會(huì)知道。同時(shí)，360招募了亞太地區(qū)最多的白帽子黑客對(duì)這些攻擊進(jìn)行分析。所謂白帽子黑客，通俗地講就是好的黑客，也就是站在黑客的立場(chǎng)攻擊系統(tǒng)、以排查安全漏洞的程序員。正是基于這樣的實(shí)戰(zhàn)演練，我們的安全防護(hù)能力才越來(lái)越強(qiáng)。

至于說(shuō)到如何確保汽車數(shù)字安全，我的建議是：汽車企業(yè)必須建立網(wǎng)絡(luò)安全的底線思維，并且做好網(wǎng)絡(luò)安全防護(hù)的頂層設(shè)計(jì)。也就是說(shuō)，當(dāng)企業(yè)花費(fèi)大量資金去建設(shè)自動(dòng)化生產(chǎn)車間、搭建供應(yīng)鏈生態(tài)系統(tǒng)或者打造智能網(wǎng)聯(lián)汽車產(chǎn)品的時(shí)候，切不可對(duì)網(wǎng)絡(luò)安全漠不關(guān)心或不以為然，而是必須同步開(kāi)展網(wǎng)絡(luò)安全防護(hù)的頂層設(shè)計(jì)，并切實(shí)做好相關(guān)工作。

之所以強(qiáng)調(diào)頂層設(shè)計(jì)，是因?yàn)槲以诤秃芏嗥髽I(yè)領(lǐng)導(dǎo)交流時(shí)，發(fā)現(xiàn)大家對(duì)于網(wǎng)絡(luò)安全的認(rèn)知普遍存在一個(gè)誤區(qū)：即大家都覺(jué)得，只要讓網(wǎng)絡(luò)安全防護(hù)公司為其提供一套足夠強(qiáng)大的設(shè)備，就可以一勞永逸地?cái)r截住各種網(wǎng)絡(luò)攻擊，徹底解決黑客攻擊、勒索軟件等所有威脅了。這個(gè)想法是美好的，但非常遺憾，世界上根本沒(méi)有這樣的安全防護(hù)設(shè)備。

又或者有人覺(jué)得只要像殺毒軟件那樣定期更新設(shè)備的版本就可以了。然而殺毒軟件能查殺的都是已知的病毒程序，這樣的病毒比較“傻”，很容易被找到和清除。而現(xiàn)在只靠殺毒軟件就能維護(hù)網(wǎng)絡(luò)安全的時(shí)代已經(jīng)過(guò)去了，我們需要面對(duì)的是無(wú)孔不入、隨時(shí)可能發(fā)起攻擊的黑客，而不是相對(duì)固化的病毒。這是一群高智商的網(wǎng)絡(luò)攻擊者，而且很可能是有組織的，他們會(huì)隨機(jī)而變，不斷尋找新的漏洞。從這個(gè)意義上講，網(wǎng)絡(luò)安全的本質(zhì)其實(shí)是人與人的對(duì)抗。這就遠(yuǎn)比使用氣囊、安全帶等硬件來(lái)實(shí)現(xiàn)安全防護(hù)要復(fù)雜得多。

正因如此，我認(rèn)為在網(wǎng)絡(luò)安全方面最重要的是，企業(yè)必須有全面的正確認(rèn)知和系統(tǒng)的頂層設(shè)計(jì)。其核心在于，企業(yè)應(yīng)該建立一系列網(wǎng)絡(luò)安全防護(hù)的基礎(chǔ)設(shè)施；同時(shí)在網(wǎng)絡(luò)安全公司的支持下，建立和培養(yǎng)一支專業(yè)的網(wǎng)絡(luò)安全防護(hù)團(tuán)隊(duì)。唯有如此，在遭遇網(wǎng)絡(luò)攻擊時(shí)，企業(yè)才能及時(shí)發(fā)現(xiàn)和有效封堵。

為此，我提出了“數(shù)字安全碰撞試驗(yàn)”的理念，建議車企邀請(qǐng)外部網(wǎng)絡(luò)安全公司，對(duì)其汽車產(chǎn)品進(jìn)行數(shù)字世界的攻防測(cè)試，即模擬實(shí)施各種網(wǎng)絡(luò)攻擊，以找出車內(nèi)網(wǎng)絡(luò)、車云網(wǎng)絡(luò)等的弱點(diǎn)，讓企業(yè)能夠及時(shí)進(jìn)行修補(bǔ)。舉個(gè)例子，我們?cè)谂c奔馳公司合作的過(guò)程中，發(fā)現(xiàn)了19個(gè)漏洞，通過(guò)這些漏洞可以控制其2017年以后出廠的、遍布全球的幾百萬(wàn)輛汽車，能夠遠(yuǎn)程讓車輛執(zhí)行啟動(dòng)、熄火或開(kāi)窗等指令。后來(lái)我們把這個(gè)信息反饋給奔馳公司，并幫助其修復(fù)了這些漏洞，得到了奔馳方面的高度認(rèn)可。最近，一汽等一些國(guó)內(nèi)車企也開(kāi)始與360合作，共同建立數(shù)字安全實(shí)驗(yàn)室。這表明汽車企業(yè)對(duì)網(wǎng)絡(luò)安全的重視程度，正在不斷提升。

不過(guò)我想強(qiáng)調(diào)的是，這些舉措還遠(yuǎn)遠(yuǎn)不夠。車企更應(yīng)該建立一種長(zhǎng)期性的機(jī)制，讓網(wǎng)絡(luò)安全公司持續(xù)幫助企業(yè)查找和修補(bǔ)漏洞。雖然網(wǎng)絡(luò)漏洞是無(wú)法窮盡的，但至少可以把我們目前能找到的漏洞都修補(bǔ)好，這樣才能不斷提升防護(hù)能力。

除了反復(fù)查找網(wǎng)絡(luò)漏洞之外，還有一個(gè)重要方法，那就是車企可以把各種數(shù)據(jù)都匯總起來(lái)，不只包括每輛汽車的運(yùn)行數(shù)據(jù)，還包括辦公電腦、加工機(jī)床等各種涉及網(wǎng)絡(luò)安全的設(shè)備的運(yùn)行數(shù)據(jù)，然后建立一個(gè)我們360稱之為“網(wǎng)絡(luò)安全大腦”或者“數(shù)字安全大腦”的數(shù)據(jù)中心，用于安全地存放這些數(shù)據(jù)。這個(gè)數(shù)據(jù)中心具備對(duì)所有數(shù)據(jù)安全的動(dòng)態(tài)感知能力，無(wú)論車內(nèi)網(wǎng)絡(luò)、車聯(lián)網(wǎng)絡(luò)，還是車云網(wǎng)絡(luò)、車企網(wǎng)絡(luò)、車數(shù)網(wǎng)絡(luò)，一旦出現(xiàn)異常的數(shù)據(jù)變化，控制“網(wǎng)絡(luò)安全大腦”的應(yīng)急團(tuán)隊(duì)都能第一時(shí)間感知到，從而立即行動(dòng)，及時(shí)阻止攻擊。

趙福全：我簡(jiǎn)單做個(gè)小結(jié)，周總給汽車企業(yè)的建議可以歸納為四點(diǎn)：一是車企負(fù)責(zé)人對(duì)于網(wǎng)絡(luò)安全要有正確的認(rèn)知?，F(xiàn)在已經(jīng)不是對(duì)抗固化的電腦病毒的時(shí)代了，今后網(wǎng)絡(luò)安全防護(hù)的本質(zhì)是與黑客進(jìn)行較量，即人與人的對(duì)抗。二是車企要做好網(wǎng)絡(luò)安全的頂層設(shè)計(jì)。即企業(yè)在打造數(shù)字化產(chǎn)品、數(shù)字化服務(wù)、數(shù)字化工廠的時(shí)候，必須同步做好相關(guān)網(wǎng)絡(luò)安全的整體性頂層設(shè)計(jì)。三是車企要建立負(fù)責(zé)保護(hù)網(wǎng)絡(luò)安全的專業(yè)團(tuán)隊(duì)。在這方面，應(yīng)該借助網(wǎng)絡(luò)安全公司的力量，不斷對(duì)自身網(wǎng)絡(luò)進(jìn)行攻防測(cè)試，以及時(shí)發(fā)現(xiàn)和修補(bǔ)漏洞，同時(shí)應(yīng)建立長(zhǎng)期性的防護(hù)機(jī)制。四是車企要集中各種數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)，為此可與網(wǎng)絡(luò)安全公司攜手建立“網(wǎng)絡(luò)安全大腦”或“數(shù)字安全大腦”，隨時(shí)對(duì)各種網(wǎng)絡(luò)的所有數(shù)據(jù)的異動(dòng)進(jìn)行監(jiān)測(cè)和響應(yīng)。

在此，周總提出了一個(gè)讓我印象深刻的概念，即“數(shù)字安全碰撞試驗(yàn)”。我理解就是要在數(shù)字世界中進(jìn)行各種硬件、軟件及其接口的安全攻防試驗(yàn)，模擬各種各樣的網(wǎng)絡(luò)攻擊，以驗(yàn)證相關(guān)的防護(hù)和應(yīng)對(duì)措施是否有效。這和我們車企需要進(jìn)行的實(shí)車碰撞試驗(yàn)可謂異曲同工，可以讓廣大汽車同仁很容易理解網(wǎng)絡(luò)安全攻防演練的過(guò)程和意義。

網(wǎng)絡(luò)安全立法必須平衡好鼓勵(lì)創(chuàng)新和保障安全

趙福全：周總，下面一個(gè)問(wèn)題。在數(shù)字安全方面，您認(rèn)為有多少問(wèn)題需要國(guó)家出臺(tái)法規(guī)標(biāo)準(zhǔn)來(lái)解決？又有多少問(wèn)題需要企業(yè)之間合作來(lái)解決呢？

周鴻祎：應(yīng)該說(shuō)，在網(wǎng)絡(luò)安全立法方面，這幾年政府做了很多工作。比如國(guó)家繼《網(wǎng)絡(luò)安全法》之后，又發(fā)布了《數(shù)據(jù)安全法》，還有最近推出的《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》，以及工信部相繼發(fā)布的關(guān)于智能網(wǎng)聯(lián)汽車安全的一系列文件。按照最新法規(guī)的精神，今后信息基礎(chǔ)設(shè)施如果遭到網(wǎng)絡(luò)攻擊，就和能源、交通基礎(chǔ)設(shè)施遭到攻擊一樣嚴(yán)重，而智能網(wǎng)聯(lián)汽車就是一種關(guān)鍵的信息基礎(chǔ)設(shè)施。這意味著對(duì)于汽車企業(yè)來(lái)說(shuō)，能不能把網(wǎng)絡(luò)安全防護(hù)做到位，已經(jīng)不只是有無(wú)風(fēng)險(xiǎn)的問(wèn)題，而是是否合規(guī)、合法的問(wèn)題了。

總體來(lái)看，政府在網(wǎng)絡(luò)安全和數(shù)字安全立法方面已經(jīng)打下了良好的基礎(chǔ)。不過(guò)政府只能提出基本的要求和規(guī)范，最終要真正做好安全防護(hù)，還需要作為市場(chǎng)競(jìng)爭(zhēng)主體的企業(yè)采取有力的行動(dòng)。在這方面，國(guó)外企業(yè)的重視程度是很高的。例如奔馳、微軟、谷歌等很多公司會(huì)定期聘請(qǐng)網(wǎng)絡(luò)安全公司和白帽子黑客，進(jìn)行模擬攻擊和測(cè)試，來(lái)幫助其發(fā)現(xiàn)自身系統(tǒng)的漏洞。相比之下，國(guó)內(nèi)企業(yè)做得就不太充分了。我認(rèn)為，一方面，我們應(yīng)該著力打造眾包眾籌的白帽子黑客平臺(tái)；另一方面，國(guó)內(nèi)企業(yè)也應(yīng)該積極邀請(qǐng)白帽子黑客來(lái)對(duì)自己企業(yè)和產(chǎn)品的系統(tǒng)進(jìn)行各種測(cè)試，以及時(shí)發(fā)現(xiàn)和解決問(wèn)題，特別是企業(yè)要舍得為此進(jìn)入投入。

事實(shí)上，我在與車企領(lǐng)導(dǎo)交流的過(guò)程中，發(fā)現(xiàn)汽車行業(yè)在安全方面有不少理念和做法都很值得學(xué)習(xí)。例如汽車產(chǎn)品的安全碰撞試驗(yàn)就非常好，不僅可以幫助車企改進(jìn)產(chǎn)品的安全性能，而且可以用客觀數(shù)據(jù)向廣大消費(fèi)者展示自身產(chǎn)品的安全等級(jí)，這遠(yuǎn)比企業(yè)自我宣傳更有說(shuō)服力。我提出的“數(shù)字安全碰撞試驗(yàn)”也在一定程度上借鑒了這種理念，即任何安全防護(hù)能力都應(yīng)該從實(shí)戰(zhàn)中得到檢驗(yàn)。我建議今后每家車企都應(yīng)該進(jìn)行“數(shù)字安全碰撞試驗(yàn)”，讓汽車產(chǎn)品的數(shù)字安全在出廠前經(jīng)過(guò)多輪模擬攻擊的考驗(yàn)和完善，以確保完全符合國(guó)家法規(guī)，并讓消費(fèi)者充分放心。

趙福全：這就引出了另一個(gè)重要問(wèn)題：現(xiàn)在國(guó)家對(duì)網(wǎng)絡(luò)安全和數(shù)字安全越來(lái)越重視，不斷加強(qiáng)這方面的立法工作。對(duì)此也有人擔(dān)心，國(guó)家出臺(tái)越來(lái)越多且越來(lái)越嚴(yán)的法規(guī)，尤其是發(fā)布了《數(shù)據(jù)安全法》之后，會(huì)不會(huì)在一定程度上導(dǎo)致數(shù)據(jù)無(wú)法有效流通和應(yīng)用，反而限制了企業(yè)的創(chuàng)新嘗試呢？周總，您怎么看這個(gè)問(wèn)題？

周鴻祎：我看過(guò)中國(guó)的《數(shù)據(jù)安全法》，與歐盟的GDPR即《通用數(shù)據(jù)保護(hù)條例》相比，我認(rèn)為中國(guó)的數(shù)據(jù)法規(guī)總體上還是鼓勵(lì)數(shù)據(jù)應(yīng)用以及這方面的創(chuàng)新的。另外，從工信部對(duì)汽車產(chǎn)品的一些管理規(guī)定來(lái)看，也是支持車企采集相關(guān)數(shù)據(jù)的；只是對(duì)某些數(shù)據(jù)的使用提出了要求，比如企業(yè)在收集用戶數(shù)據(jù)的過(guò)程中，必須把人臉信息模糊化，以防泄露用戶隱私。

正如剛剛趙院長(zhǎng)提到的，如果相關(guān)法律法規(guī)過(guò)于嚴(yán)苛，很可能會(huì)扼殺企業(yè)的創(chuàng)新嘗試。由于智能產(chǎn)品是基于數(shù)據(jù)來(lái)實(shí)現(xiàn)智能的，像智能網(wǎng)聯(lián)汽車就必須采集和使用數(shù)據(jù)，才能改進(jìn)自動(dòng)駕駛功能和智能座艙體驗(yàn)。所以我認(rèn)為，網(wǎng)絡(luò)安全和數(shù)字安全的法律法規(guī)必須以讓數(shù)據(jù)能被安全應(yīng)用為根本出發(fā)點(diǎn)，切不可因噎廢食，以安全為名過(guò)分限制數(shù)據(jù)的采集和使用。當(dāng)然，如果沒(méi)有法律法規(guī)的約束肯定是不行的，有法可依是必要的。畢竟今后數(shù)據(jù)是新的生產(chǎn)要素，也是國(guó)家重要的戰(zhàn)略資產(chǎn)。如果數(shù)據(jù)被盜竊或者破壞，輕則侵犯?jìng)€(gè)人隱私，重則危及國(guó)家安全。

從我接觸過(guò)的工信部、網(wǎng)信辦等相關(guān)部門(mén)的很多領(lǐng)導(dǎo)來(lái)看，他們思考問(wèn)題的第一出發(fā)點(diǎn)還是想支持?jǐn)?shù)字化轉(zhuǎn)型，并沒(méi)有限制企業(yè)數(shù)字化創(chuàng)新的意圖。正因如此，很多涉及隱私數(shù)據(jù)的人工智能技術(shù)也得到了推動(dòng)。在這一點(diǎn)上，我認(rèn)為中國(guó)政府的政策是務(wù)實(shí)而靈活的。政策的決策者們非常清楚，沒(méi)有發(fā)展只談安全或者只求發(fā)展不計(jì)安全，都是不可行的。

總體而言，我對(duì)中國(guó)智能網(wǎng)聯(lián)汽車的發(fā)展很有信心。中國(guó)本身就是全球最大的汽車市場(chǎng)，加上國(guó)家政策的大力推動(dòng)和各家車企的積極努力，我們?cè)谛录夹g(shù)應(yīng)用推廣方面速度很快。現(xiàn)在中國(guó)的新能源汽車銷量已經(jīng)是全球第一，而且其市場(chǎng)滲透率增長(zhǎng)之快，遠(yuǎn)遠(yuǎn)超出了大家的預(yù)期；未來(lái)我相信中國(guó)也將成為智能網(wǎng)聯(lián)汽車發(fā)展最快、銷量最大的國(guó)家。特別是中國(guó)政府在確保安全的前提下允許合理的數(shù)據(jù)采集，支持企業(yè)的數(shù)字化創(chuàng)新，由此將會(huì)支撐中國(guó)成為世界上自動(dòng)駕駛相關(guān)數(shù)據(jù)積累數(shù)量最多的國(guó)家。事實(shí)上，自動(dòng)駕駛的算法并沒(méi)有多大差異，真正起決定性作用的是基于數(shù)據(jù)的訓(xùn)練。數(shù)據(jù)越多，訓(xùn)練效果就越好。如果歐洲、美國(guó)的自動(dòng)駕駛汽車保有量少于中國(guó)，同時(shí)又有法規(guī)限制車企采集某些數(shù)據(jù)，而中國(guó)數(shù)量更多的自動(dòng)駕駛汽車每時(shí)每刻都在采集數(shù)據(jù)，那么最終的結(jié)果一定是，中國(guó)的自動(dòng)駕駛汽車將在全球范圍內(nèi)遙遙領(lǐng)先。

趙福全：的確如此，國(guó)家制定法律法規(guī)時(shí)必須有效平衡好鼓勵(lì)創(chuàng)新發(fā)展和保障產(chǎn)業(yè)安全。如果不能守住數(shù)據(jù)安全的底線，那么整個(gè)數(shù)字經(jīng)濟(jì)就是空中樓閣，甚至可能會(huì)給人們的生產(chǎn)和生活帶來(lái)嚴(yán)重威脅；而如果對(duì)數(shù)據(jù)收集和使用的要求過(guò)于嚴(yán)苛，那么萬(wàn)物互聯(lián)的價(jià)值就將大打折扣，人工智能也將失去數(shù)據(jù)支撐而無(wú)從發(fā)展。

周鴻祎：是的，歐盟GDPR的規(guī)定就比較嚴(yán)格，不僅美國(guó)等境外企業(yè)，也包括歐洲自己的企業(yè)，在數(shù)據(jù)采集和使用方面都有諸多限制，我覺(jué)得這對(duì)歐洲的數(shù)字化創(chuàng)新是非常不利的。

反過(guò)來(lái)講，我們也要充分理解數(shù)據(jù)監(jiān)管和安全保護(hù)的必要性。試想如果國(guó)家完全不清楚企業(yè)都在收集什么數(shù)據(jù)，已經(jīng)有了多少數(shù)據(jù)，數(shù)據(jù)都流動(dòng)到了哪里、又儲(chǔ)存在哪里，是不是足夠安全以確保不會(huì)外泄或者被破壞，那又怎么可能放心地支持?jǐn)?shù)字化創(chuàng)新呢？而且對(duì)于每個(gè)消費(fèi)者來(lái)說(shuō)，這種狀況也有潛在的巨大風(fēng)險(xiǎn)。所以，企業(yè)的數(shù)據(jù)系統(tǒng)在開(kāi)始運(yùn)行之后，從數(shù)據(jù)的采集、清洗、流通到存儲(chǔ)、計(jì)算、使用的全過(guò)程，都應(yīng)該對(duì)國(guó)家監(jiān)管部門(mén)充分開(kāi)放。

另一方面，企業(yè)領(lǐng)軍人應(yīng)該和國(guó)家一樣高度關(guān)注數(shù)據(jù)問(wèn)題。比如360也是一家大數(shù)據(jù)公司，即使國(guó)家不監(jiān)管，我自己作為老板，對(duì)公司的數(shù)據(jù)也要做到心中有數(shù)。為此，我提出了關(guān)于數(shù)據(jù)的所謂“靈魂三問(wèn)”：第一，公司的數(shù)據(jù)都是從哪里來(lái)的？第二，公司都有哪些數(shù)據(jù)、存儲(chǔ)在哪里？第三，這些數(shù)據(jù)要流向哪里、供誰(shuí)使用？事實(shí)上，360搭建大數(shù)據(jù)管理平臺(tái)，就是要幫助各類企業(yè)回答這三個(gè)問(wèn)題。同時(shí)，我們也會(huì)按照國(guó)家的監(jiān)管要求，把大數(shù)據(jù)管理平臺(tái)的接口向政府有關(guān)部門(mén)開(kāi)放，這樣就能讓政府了解和認(rèn)可這些企業(yè)在數(shù)據(jù)治理上的規(guī)范性。

目前360正在幫助很多車企收集數(shù)據(jù)，實(shí)際上主要就是幫助它們做好大數(shù)據(jù)的安全策劃與保護(hù)。我相信會(huì)有越來(lái)越多的車企意識(shí)到，加強(qiáng)數(shù)字安全防護(hù)絕不是“白花錢(qián)”，而是為了保障企業(yè)能夠更好地利用數(shù)據(jù)，最終使企業(yè)的核心競(jìng)爭(zhēng)力得到持續(xù)提升。

趙福全：是的，對(duì)于數(shù)據(jù)監(jiān)管法規(guī)的出臺(tái)，大家應(yīng)該正面、積極地看待。國(guó)家要求數(shù)據(jù)透明，并對(duì)部分?jǐn)?shù)據(jù)的采集和使用進(jìn)行一定的限制，這既是對(duì)大眾個(gè)人隱私的一種必要保護(hù)，也是對(duì)國(guó)家數(shù)據(jù)資產(chǎn)的一種有效管理。事實(shí)上，數(shù)據(jù)不只是某家企業(yè)的重要資產(chǎn)，更是全社會(huì)的共同財(cái)富，因此國(guó)家加強(qiáng)監(jiān)管是合理的、也是必要的。同時(shí)就像周總談到的，即便國(guó)家沒(méi)有提出相關(guān)要求，企業(yè)領(lǐng)軍人也應(yīng)該了解自己數(shù)字資產(chǎn)的“家底”，因?yàn)檫@是未來(lái)企業(yè)核心競(jìng)爭(zhēng)力的基礎(chǔ)所在。

現(xiàn)階段方向性的引導(dǎo)政策比具體的固化標(biāo)準(zhǔn)更有意義

趙福全：接下來(lái)，我們談?wù)剶?shù)據(jù)安全的標(biāo)準(zhǔn)。在我看來(lái)，這是國(guó)家、行業(yè)以及企業(yè)開(kāi)展安全防護(hù)工作的依據(jù)。例如在傳統(tǒng)的汽車被動(dòng)安全方面就有很多標(biāo)準(zhǔn)，主要是基于硬件制定的。也就是說(shuō)，此前出臺(tái)的安全標(biāo)準(zhǔn)都是從產(chǎn)品質(zhì)量的角度出發(fā)的，把安全視為非常重要的一個(gè)質(zhì)量問(wèn)題。

那么，對(duì)于網(wǎng)絡(luò)安全和數(shù)字安全，您認(rèn)為上述這種偏硬件的標(biāo)準(zhǔn)制定思路是不是需要調(diào)整？或者說(shuō)，我們應(yīng)該通過(guò)怎樣的國(guó)家和行業(yè)標(biāo)準(zhǔn)來(lái)保證數(shù)據(jù)安全？尤其是對(duì)于智能網(wǎng)聯(lián)汽車來(lái)說(shuō)，涉及到跨行業(yè)、跨領(lǐng)域的不同數(shù)據(jù)，比如有些數(shù)據(jù)與交通環(huán)境直接相關(guān)，可能是比較敏感的。對(duì)此，我們又該如何有效制定跨行業(yè)的安全標(biāo)準(zhǔn)呢？

周鴻祎：我覺(jué)得汽車現(xiàn)有的安全標(biāo)準(zhǔn)就是合規(guī)要求而已，就是說(shuō)，汽車產(chǎn)品要達(dá)到什么標(biāo)準(zhǔn)就符合了基本的安全規(guī)范。從實(shí)踐來(lái)看，這些標(biāo)準(zhǔn)解決了汽車產(chǎn)品物理安全的底線問(wèn)題和評(píng)價(jià)問(wèn)題，是非常必要和有效的。

但是今后僅僅符合這些標(biāo)準(zhǔn)的汽車產(chǎn)品并不是足夠安全的，因?yàn)槲覀冞€必須考慮網(wǎng)絡(luò)安全的問(wèn)題。這是一個(gè)不確定性和實(shí)戰(zhàn)對(duì)抗性都非常強(qiáng)的領(lǐng)域，對(duì)手根本不會(huì)根據(jù)相關(guān)標(biāo)準(zhǔn)來(lái)展開(kāi)攻擊，而是會(huì)無(wú)所不用其極。現(xiàn)在的情況是，在網(wǎng)絡(luò)安全方面有很多公司進(jìn)行了有益的創(chuàng)新實(shí)踐，在實(shí)戰(zhàn)中錘煉出了一些有效的方法和措施，而標(biāo)準(zhǔn)卻跟不上企業(yè)實(shí)戰(zhàn)的腳步。有鑒于此，我建議國(guó)家應(yīng)該多制定一些方向性的產(chǎn)業(yè)政策，而不要急于在技術(shù)上制定所謂的固化標(biāo)準(zhǔn)。

舉個(gè)例子，如果我們硬性要求多少行代碼中的漏洞數(shù)量必須低于多少個(gè)，恐怕是沒(méi)有辦法有效量化評(píng)估的。因?yàn)檎页雎┒词且患茈y預(yù)知的事情，比如我們幫助車企查找軟件漏洞，可能一個(gè)月就找出了10個(gè)，但也可能兩個(gè)月都沒(méi)找出1個(gè)，但這并不能說(shuō)明后一種情況的安全性就一定更高。

為此，我想給政府相關(guān)管理部門(mén)提以下三點(diǎn)建議：

第一，國(guó)家應(yīng)該要求車企必須在安全防護(hù)上進(jìn)行足夠的投入。我發(fā)現(xiàn)目前企業(yè)在數(shù)字化方面是愿意投入的，例如建設(shè)超算中心、實(shí)現(xiàn)算力上云等等；但在數(shù)字安全防護(hù)上卻往往不舍得投入，導(dǎo)致這兩方面的投入差距極其懸殊。這就像舍得花500萬(wàn)元買房子，卻不舍得花5000元買防盜門(mén)。為此，國(guó)家政策應(yīng)該在這方面加強(qiáng)引導(dǎo)，可以強(qiáng)制要求企業(yè)在進(jìn)行數(shù)字化投入時(shí)，必須拿出一定比例的資金投入到安全防護(hù)上。

第二，國(guó)家應(yīng)該引導(dǎo)和鼓勵(lì)企業(yè)購(gòu)買網(wǎng)絡(luò)安全服務(wù)，這對(duì)于網(wǎng)絡(luò)安全產(chǎn)業(yè)的發(fā)展會(huì)有很大幫助。當(dāng)前企業(yè)在購(gòu)買網(wǎng)絡(luò)安全公司的服務(wù)時(shí)，往往要求必須以具體產(chǎn)品的形式體現(xiàn)。在我們業(yè)內(nèi)稱之為“軟件硬件化、硬件盒子化、盒子柜子化”，就是說(shuō)相較于軟件，企業(yè)更愿意購(gòu)買安全硬件；這個(gè)安全硬件最好是一個(gè)很大的盒子，且越重就越顯得專業(yè)；這個(gè)盒子最好有很多的柜子，至少在理論上分別對(duì)應(yīng)著各種安全功能。一些網(wǎng)絡(luò)安全公司為了迎合買家的喜好，也開(kāi)發(fā)了很多這樣的產(chǎn)品。但正如前面我說(shuō)到的，這其實(shí)是一種落伍且無(wú)效的做法。

第三，國(guó)家應(yīng)該鼓勵(lì)白帽子黑客通過(guò)眾籌等市場(chǎng)化的模式，幫助企業(yè)查找網(wǎng)絡(luò)漏洞，而企業(yè)應(yīng)該為此向白帽子黑客提供相應(yīng)的回報(bào)。

我想，在網(wǎng)絡(luò)安全和數(shù)字安全方面，國(guó)家相關(guān)部門(mén)如果能夠多做一些方向上的引導(dǎo)，一定會(huì)對(duì)產(chǎn)業(yè)健康發(fā)展有更大的推動(dòng)作用。

未來(lái)整供車企需要共同負(fù)責(zé)供應(yīng)鏈的網(wǎng)絡(luò)安全

趙福全：周總剛才談了他對(duì)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的建議，其實(shí)這個(gè)話題在汽車行業(yè)內(nèi)也有不同的看法。有不少人希望，通過(guò)國(guó)家標(biāo)準(zhǔn)的制定和完善，我們可以把網(wǎng)絡(luò)安全問(wèn)題的危害降到最小。不過(guò)我覺(jué)得，所謂標(biāo)準(zhǔn)只能是最基本或者說(shuō)最低的要求，如果確立一個(gè)很高的標(biāo)準(zhǔn)讓所有企業(yè)都必須做到，恐怕是不現(xiàn)實(shí)的。換句話說(shuō)，我們不能寄希望于網(wǎng)絡(luò)安全標(biāo)準(zhǔn)能夠徹底解決所有相關(guān)的安全問(wèn)題。這就好比為了防備小偷，我們可以規(guī)定一些基本的安全措施，但如果來(lái)的是高智商、有組織的小偷，只靠這些基本措施是防不住的。

周鴻祎：趙院長(zhǎng)的這番話也提醒了我。我們最近就在與有關(guān)部門(mén)探討，能否制定一套企業(yè)數(shù)字安全防護(hù)能力的評(píng)估標(biāo)準(zhǔn)？當(dāng)然，要出臺(tái)這樣的標(biāo)準(zhǔn)難度非常大，但我覺(jué)得值得嘗試。這樣企業(yè)就可以根據(jù)評(píng)估結(jié)果了解自身防護(hù)能力的水平，并采取相應(yīng)的措施，而不是只滿足國(guó)家最低限度的基本標(biāo)準(zhǔn)和要求。

對(duì)于企業(yè)數(shù)字安全防護(hù)能力的評(píng)估，我認(rèn)為最可靠的方法還是通過(guò)模擬實(shí)戰(zhàn)的攻防測(cè)試來(lái)進(jìn)行。否則，評(píng)估標(biāo)準(zhǔn)很可能會(huì)變成安全防護(hù)產(chǎn)品紙面上的性能指標(biāo)，只是一組數(shù)字而已，并不能反映實(shí)際情況。這就像評(píng)價(jià)汽車被動(dòng)安全水平，要通過(guò)實(shí)車碰撞試驗(yàn)的表現(xiàn)來(lái)衡量，不能說(shuō)這款車裝了更多的氣囊，所以就一定是更安全的。

另外我想強(qiáng)調(diào)的是，未來(lái)汽車供應(yīng)鏈企業(yè)的數(shù)字安全防護(hù)是一大難題。因?yàn)檎嚻髽I(yè)通常規(guī)模大、資金足，有能力雇傭高水平的安全服務(wù)團(tuán)隊(duì)，不斷提升自身的防護(hù)能力。如果黑客不容易找到整車企業(yè)網(wǎng)絡(luò)的漏洞，很可能就會(huì)去攻擊供應(yīng)鏈企業(yè)的網(wǎng)絡(luò)。相比之下，很多供應(yīng)鏈企業(yè)規(guī)模較小，有些企業(yè)對(duì)網(wǎng)絡(luò)安全不夠重視，還有些企業(yè)雖然比較重視，但卻有心無(wú)力。畢竟它們先要解決生存的問(wèn)題，而加大安全投入并不能帶來(lái)直接的經(jīng)濟(jì)效益。這也是趙院長(zhǎng)剛才所說(shuō)的，國(guó)家是不能強(qiáng)制所有企業(yè)都必須滿足一個(gè)很高的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的。

從這個(gè)角度來(lái)看，或許整車企業(yè)未來(lái)需要肩負(fù)起這樣一種責(zé)任：即幫助其供應(yīng)鏈企業(yè)把網(wǎng)絡(luò)安全能力提升到至少及格的水平，為此投入一定的資金是必要的，也是有益的。不過(guò)車企會(huì)不會(huì)愿意做這種投入呢？這恐怕還要有一個(gè)不斷加深認(rèn)識(shí)的過(guò)程。

趙福全：周總談到汽車企業(yè)可能不太愿意在網(wǎng)絡(luò)安全防護(hù)上加大投入，我倒覺(jué)得從長(zhǎng)遠(yuǎn)來(lái)看，在這方面您不必太過(guò)擔(dān)憂。接下來(lái)，我就從汽車行業(yè)的角度來(lái)談?wù)勎业目捶ā?/span>

就企業(yè)而言，汽車產(chǎn)品的安全關(guān)乎生命安全，因此安全是汽車品牌最重要的基礎(chǔ)支撐，沒(méi)有一個(gè)汽車品牌能夠脫離安全而在行業(yè)立足。正因如此，一直以來(lái)汽車企業(yè)對(duì)于安全都是非常重視的，甚至有不少汽車品牌就是以安全為基因的。到了萬(wàn)物互聯(lián)的時(shí)代，車企只把傳統(tǒng)的汽車安全做到位已經(jīng)不夠了，網(wǎng)絡(luò)攻擊將成為越來(lái)越現(xiàn)實(shí)的可怕威脅。在這種情況下，車企肯定會(huì)盡最大努力防御網(wǎng)絡(luò)攻擊，以確保產(chǎn)品安全。

我在很多場(chǎng)合都曾講過(guò)，智能汽車必須以安全為第一要?jiǎng)?wù)。無(wú)論汽車的智能化程度有多高，如果不能確保安全，就稱不上是真正的智能汽車。而產(chǎn)品是汽車品牌的載體和體現(xiàn)，如果產(chǎn)品出了安全問(wèn)題，不管具體原因是什么，公眾都會(huì)質(zhì)疑車企的能力和態(tài)度，進(jìn)而對(duì)這個(gè)汽車品牌產(chǎn)生不信任感。所以，車企必須全方位地確保自身產(chǎn)品的安全，包括網(wǎng)絡(luò)安全或者說(shuō)數(shù)字安全。

就消費(fèi)者而言，買汽車與買手機(jī)或電腦的心態(tài)也是不一樣的。360一直提供免費(fèi)殺毒軟件，在很大程度上也是因?yàn)橄M(fèi)者不愿意花錢(qián)購(gòu)買殺毒軟件。他們往往認(rèn)為電腦和手機(jī)的安全防護(hù)就應(yīng)該是免費(fèi)的，或者覺(jué)得即便真的被攻擊了也沒(méi)關(guān)系，最多重裝一下系統(tǒng)就行了。但汽車不是這樣，消費(fèi)者很清楚如果汽車失控會(huì)帶來(lái)什么后果，因此更容易認(rèn)同汽車必須有更高的安全防護(hù)等級(jí)，會(huì)愿意支付合理的費(fèi)用。同時(shí)，汽車產(chǎn)品的價(jià)格遠(yuǎn)高于手機(jī)和電腦，也就有了容載安全防護(hù)成本的更大空間。假如今后360的汽車安全軟件搭載在汽車產(chǎn)品上，確實(shí)能夠?yàn)橄M(fèi)者保駕護(hù)航，我相信是可以收費(fèi)的。

所以，作為長(zhǎng)期在汽車行業(yè)打拼的一位老兵，我的判斷是：既然車企有強(qiáng)烈的責(zé)任感去做這件事，而消費(fèi)者也愿意為此買單，那么今后汽車企業(yè)對(duì)網(wǎng)絡(luò)安全防護(hù)的投入一定會(huì)越來(lái)越高，相應(yīng)的，汽車企業(yè)及產(chǎn)品的網(wǎng)絡(luò)安全防護(hù)能力也一定會(huì)越來(lái)越強(qiáng)。

比購(gòu)買安全防護(hù)產(chǎn)品更重要的是訓(xùn)練安全防護(hù)團(tuán)隊(duì)

趙福全：剛才周總談到了“數(shù)字安全碰撞試驗(yàn)”的理念，對(duì)此我有一個(gè)問(wèn)題。傳統(tǒng)的汽車安全碰撞試驗(yàn)，我們是能夠掌控其邊界條件的，比如幾種測(cè)試車速、幾種碰撞角度等等，都是標(biāo)準(zhǔn)化的。但是“數(shù)字安全碰撞試驗(yàn)”有很多未知的因素，就像您講到的，軟件漏洞無(wú)處不在，難以完全避免，而我們并不知道漏洞究竟在哪里，否則早就進(jìn)行修補(bǔ)了。然而哪怕只有一個(gè)小漏洞被黑客抓住，后果都很可能是致命的。在這樣的情況下，我們應(yīng)該怎樣設(shè)定數(shù)字安全碰撞的情景？或者說(shuō)，我們能否找到一些相對(duì)極限的工況，能夠盡可能覆蓋潛在的安全風(fēng)險(xiǎn)，并基于此進(jìn)行客觀的安全評(píng)價(jià)呢？

周鴻祎：這是一個(gè)非常好的問(wèn)題，模擬實(shí)戰(zhàn)攻防肯定不會(huì)也不能采用窮盡的方法，所以我們一定要選擇有代表性的場(chǎng)景。比如目前還不需要重點(diǎn)針對(duì)車內(nèi)網(wǎng)絡(luò)進(jìn)行模擬攻擊，雖然未來(lái)對(duì)車內(nèi)網(wǎng)絡(luò)的攻擊肯定會(huì)越來(lái)越多，不過(guò)現(xiàn)在攻擊車內(nèi)網(wǎng)絡(luò)的難度還比較高。因?yàn)椴煌嚻蟮牟僮飨到y(tǒng)還沒(méi)有趨同，不像電腦的Windows系統(tǒng)或手機(jī)的安卓系統(tǒng)那樣容易被針對(duì)。

我覺(jué)得當(dāng)前汽車行業(yè)的模擬攻防測(cè)試應(yīng)該主要針對(duì)車企網(wǎng)絡(luò)。大約從2016年開(kāi)始，360就與國(guó)家有關(guān)部門(mén)開(kāi)展網(wǎng)絡(luò)模擬攻防演習(xí)了。我們強(qiáng)調(diào)的理念是實(shí)網(wǎng)、實(shí)兵、實(shí)戰(zhàn)：實(shí)網(wǎng)就是真實(shí)的網(wǎng)絡(luò)，例如真實(shí)的工業(yè)互聯(lián)網(wǎng)；實(shí)兵是真實(shí)的攻擊隊(duì)，不是安排自己的團(tuán)隊(duì)假扮黑客，而是從外部邀請(qǐng)白帽子黑客或者其他網(wǎng)絡(luò)安全公司來(lái)展開(kāi)攻擊；實(shí)戰(zhàn)就是模擬真實(shí)的高級(jí)網(wǎng)絡(luò)攻擊。我們就是通過(guò)這樣的攻防演習(xí)來(lái)幫助企業(yè)發(fā)現(xiàn)網(wǎng)絡(luò)安全隱患的。

我想再次強(qiáng)調(diào)，網(wǎng)絡(luò)安全防護(hù)永遠(yuǎn)沒(méi)有止境，這就像矛和盾的關(guān)系。所謂“魔高一尺，道高一丈”。攻擊者一定會(huì)不斷尋找新的漏洞，持續(xù)提升自己的網(wǎng)絡(luò)攻擊能力；而防護(hù)者就一定要不斷發(fā)現(xiàn)和修補(bǔ)漏洞，持續(xù)提升自己的安全防護(hù)能力。所以，網(wǎng)絡(luò)安全防護(hù)是必須常抓不懈的一項(xiàng)工作。

趙福全：我們能做的是不斷地提高自己的防護(hù)能力，讓黑客越來(lái)越難以找到我們的漏洞，這樣他們想要有效實(shí)施攻擊就會(huì)越來(lái)越難。

周鴻祎：您說(shuō)得很對(duì)。問(wèn)題是我們的防護(hù)能力還不夠強(qiáng)，坦率地說(shuō)，目前很多車企網(wǎng)絡(luò)就像靶子似的擺在那里，辦公網(wǎng)絡(luò)、生產(chǎn)車間的網(wǎng)絡(luò)基本上都沒(méi)有安全防護(hù)，只是能正常進(jìn)行基本的通信和辦公而已。當(dāng)然，現(xiàn)在這些網(wǎng)絡(luò)與汽車產(chǎn)品還沒(méi)有直接關(guān)聯(lián)，包括今天的車聯(lián)網(wǎng)也還沒(méi)有成熟，所以危害還不那么明顯。不過(guò)對(duì)于車企網(wǎng)絡(luò)，當(dāng)前常規(guī)的網(wǎng)絡(luò)攻擊手段都是奏效的，這是很大的隱患。因此我認(rèn)為，“數(shù)字安全碰撞試驗(yàn)”除了測(cè)試汽車產(chǎn)品的車內(nèi)網(wǎng)絡(luò)之外，還需要測(cè)試車企網(wǎng)絡(luò)，以提升車企的系統(tǒng)性防護(hù)能力。

在2016年我們剛開(kāi)始進(jìn)行模擬攻防測(cè)試的時(shí)候，不少企業(yè)并不理解我們的做法，認(rèn)為360是在給他們找麻煩。但是經(jīng)過(guò)幾年的實(shí)踐之后，現(xiàn)在越來(lái)越多的企業(yè)領(lǐng)導(dǎo)對(duì)這件事開(kāi)始有了新的認(rèn)識(shí)。因?yàn)樗麄儼l(fā)現(xiàn)，曾經(jīng)以為很安全的網(wǎng)絡(luò)系統(tǒng)，原來(lái)很容易被攻進(jìn)來(lái)；同時(shí)，購(gòu)置的很多昂貴的安全設(shè)備，原來(lái)并沒(méi)有那么有效。所以，近年來(lái)企業(yè)對(duì)網(wǎng)絡(luò)安全的重視程度越來(lái)越高，對(duì)模擬攻防測(cè)試也越來(lái)越認(rèn)可了。

有很多企業(yè)的網(wǎng)絡(luò)安全團(tuán)隊(duì)都在模擬實(shí)戰(zhàn)中得到了鍛煉：過(guò)去他們往往自以為沒(méi)有遭受過(guò)網(wǎng)絡(luò)攻擊；現(xiàn)在他們經(jīng)過(guò)演練才發(fā)現(xiàn)，原來(lái)很多時(shí)候自己只是不知道網(wǎng)絡(luò)已被侵入了而已。另一方面，過(guò)去由于沒(méi)有進(jìn)行過(guò)演練，他們?cè)谟龅骄W(wǎng)絡(luò)攻擊時(shí)常常手忙腳亂；而現(xiàn)在通過(guò)實(shí)網(wǎng)、實(shí)兵、實(shí)戰(zhàn)的訓(xùn)練之后，他們面對(duì)各種攻擊都非常淡定，能夠快速做出最佳的應(yīng)對(duì)。

在這方面，我們有一個(gè)目標(biāo)：既然網(wǎng)絡(luò)攻擊不可避免，那我們就要努力幫助企業(yè)打造有韌性的系統(tǒng)和團(tuán)隊(duì)。確保遭到攻擊時(shí)，企業(yè)能夠以最快的速度有效地解決問(wèn)題。360以此作為自己的使命，全力為各種企業(yè)提供支持。

從這一使命出發(fā)，我覺(jué)得現(xiàn)在汽車企業(yè)中普遍存在一個(gè)誤區(qū)，那就是依然以為確保網(wǎng)絡(luò)安全就是要購(gòu)置防護(hù)設(shè)備。例如總是有車企領(lǐng)導(dǎo)問(wèn)我，應(yīng)該從360購(gòu)買什么安全防護(hù)產(chǎn)品？我們當(dāng)然也可以向車企出售一些安全防護(hù)產(chǎn)品，但是這并不能解決根本問(wèn)題。事實(shí)上，車企真正需要360做的，一是幫助他們做好網(wǎng)絡(luò)安全乃至數(shù)字安全的頂層設(shè)計(jì)，進(jìn)而明確現(xiàn)階段要解決哪些重點(diǎn)問(wèn)題；二是幫助他們培養(yǎng)一支有戰(zhàn)斗力的安全防護(hù)團(tuán)隊(duì)。我認(rèn)為，這些工作才是最重要的。我經(jīng)常這樣比喻：過(guò)去網(wǎng)絡(luò)安全行業(yè)就像是在賣藥，根據(jù)企業(yè)的病癥對(duì)癥下藥即可；而未來(lái)網(wǎng)絡(luò)安全行業(yè)必須幫助企業(yè)建立自己的醫(yī)院，可以解決可能出現(xiàn)的各種病癥。醫(yī)院里當(dāng)然也需要B超、X光機(jī)等設(shè)備，但這些并不是最重要的，最重要的應(yīng)該是由經(jīng)驗(yàn)豐富的醫(yī)生和護(hù)士組成的專業(yè)隊(duì)伍。

未來(lái)車內(nèi)網(wǎng)絡(luò)的安全防護(hù)挑戰(zhàn)更大

趙福全：聽(tīng)了周總剛才這番話，我認(rèn)為所有車企都應(yīng)該認(rèn)識(shí)到：第一，在智能網(wǎng)聯(lián)汽車大行其道之后，汽車產(chǎn)業(yè)的網(wǎng)絡(luò)安全防護(hù)要比以前重要得多、也困難得多，因此我們必須予以高度重視。第二，這種重視不能簡(jiǎn)單地停留在口頭上，更不能基于過(guò)去的固有“常識(shí)”來(lái)落實(shí)，我們必須摒棄PC時(shí)代那種購(gòu)買殺毒軟件或防護(hù)設(shè)備來(lái)確保網(wǎng)絡(luò)安全的傳統(tǒng)理念，而是要努力建立起一支屬于自己的安全防護(hù)團(tuán)隊(duì)，并不斷進(jìn)行模擬攻防演練。

到了萬(wàn)物互聯(lián)的時(shí)代，智能網(wǎng)聯(lián)汽車的硬件和軟件之間，汽車與人、與其他汽車、與環(huán)境之間，以及各種企業(yè)之間，各類連接近乎涉及到無(wú)窮多種場(chǎng)景。而只要有相互連接和數(shù)據(jù)交換，就有被網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。也就是說(shuō)，數(shù)字世界的網(wǎng)絡(luò)安全威脅將永遠(yuǎn)存在，不可能被徹底根除，而且也難以預(yù)料具體會(huì)在什么時(shí)候、什么地方發(fā)生什么攻擊。為此，車企必須建立并不斷提升應(yīng)對(duì)各種網(wǎng)絡(luò)安全威脅的能力。就像周總建議的那樣，要做好頂層設(shè)計(jì)并培養(yǎng)專業(yè)的團(tuán)隊(duì)。那么，您覺(jué)得汽車企業(yè)究竟應(yīng)該從何入手來(lái)開(kāi)展這些工作呢？

周鴻祎：說(shuō)起來(lái)，車云網(wǎng)絡(luò)和車企網(wǎng)絡(luò)與一般企業(yè)的網(wǎng)絡(luò)相比，并沒(méi)有太多不同。盡管現(xiàn)在由于重視程度不足，存在的問(wèn)題比較多，不過(guò)對(duì)于這類網(wǎng)絡(luò)的防護(hù)，我覺(jué)得還是有把握的。而在車數(shù)網(wǎng)絡(luò)方面，目前各個(gè)行業(yè)都在探索如何有效保護(hù)大數(shù)據(jù)，今后隨著大數(shù)據(jù)的不斷積累，數(shù)據(jù)安全治理方案一定會(huì)同步成熟起來(lái)。

相較之下，我認(rèn)為車內(nèi)網(wǎng)絡(luò)的安全防護(hù)未來(lái)可能會(huì)面臨更大的挑戰(zhàn)。因?yàn)檐噧?nèi)網(wǎng)絡(luò)非常復(fù)雜，又與行車安全直接相關(guān)。事實(shí)上，已經(jīng)有很多車企找到我們，希望我們能夠提供360車載版產(chǎn)品，例如360汽車衛(wèi)士，或者360汽車防火墻。我們?cè)瓉?lái)也確實(shí)設(shè)想過(guò)打造這種外掛式的防護(hù)產(chǎn)品，但最終還是覺(jué)得這種產(chǎn)品作用有限，甚至可能只有心理安慰作用，并不能真正解決車內(nèi)網(wǎng)絡(luò)安全的問(wèn)題，因此并沒(méi)有這樣去做。更進(jìn)一步地說(shuō)，這也正是我決定投資一家車企的根本原因所在。因?yàn)檫@樣一來(lái)，這家車企的各種網(wǎng)絡(luò)尤其是車內(nèi)網(wǎng)絡(luò)，就可以對(duì)360充分開(kāi)放，然后我們雙方攜手進(jìn)行模擬攻防測(cè)試，共同確保持久的網(wǎng)絡(luò)安全。

趙福全：一些車企希望你們提供360車載版產(chǎn)品，恰恰說(shuō)明他們對(duì)于智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全的認(rèn)識(shí)還需要進(jìn)一步提升，他們還沒(méi)有充分認(rèn)識(shí)到智能網(wǎng)聯(lián)汽車的網(wǎng)絡(luò)安全問(wèn)題具有高度的復(fù)雜性、系統(tǒng)性和動(dòng)態(tài)性，根本不是某一款安全防護(hù)產(chǎn)品就能徹底解決的。正因如此，周總多次提到，車企應(yīng)該建立自己的安全防護(hù)團(tuán)隊(duì)，并對(duì)各種網(wǎng)絡(luò)不斷進(jìn)行模擬實(shí)戰(zhàn)的攻防演練，即所謂的“數(shù)字安全碰撞試驗(yàn)”。這樣一旦發(fā)生網(wǎng)絡(luò)攻擊，企業(yè)就能有一支強(qiáng)大的防護(hù)團(tuán)隊(duì)進(jìn)行有效應(yīng)對(duì)。我認(rèn)為，周總的建議不僅給出了網(wǎng)絡(luò)安全防護(hù)的方法論，而且指明了企業(yè)建設(shè)網(wǎng)絡(luò)安全體系的前進(jìn)方向。

今后汽車企業(yè)必須在數(shù)字安全防護(hù)方面持續(xù)投入

趙福全：這就帶來(lái)了下一個(gè)問(wèn)題，車企究竟應(yīng)該如何把握產(chǎn)品競(jìng)爭(zhēng)力與安全度之間的平衡呢？即使車企把所有準(zhǔn)備工作都做得非常充分，智能網(wǎng)聯(lián)汽車還是會(huì)有很多安全隱患。因?yàn)橹悄芫W(wǎng)聯(lián)汽車的本質(zhì)就是能夠基于數(shù)據(jù)不斷自我進(jìn)化，這意味著汽車企業(yè)在數(shù)據(jù)積累和迭代到一定程度之后，需要通過(guò)OTA等方式對(duì)智能網(wǎng)聯(lián)汽車進(jìn)行在線升級(jí)。這個(gè)過(guò)程必然伴隨著數(shù)據(jù)的傳送，所以也就必然存在網(wǎng)絡(luò)安全隱患。

然而車企又不能不這樣做，否則推出的就不是真正的智能產(chǎn)品。事實(shí)上為了提升產(chǎn)品的競(jìng)爭(zhēng)力，未來(lái)車企必須努力構(gòu)建一個(gè)不斷擴(kuò)展的大生態(tài)系統(tǒng)，特別要把很多數(shù)據(jù)公司、互聯(lián)網(wǎng)公司、人工智能公司等都納入進(jìn)來(lái)。所以，智能網(wǎng)聯(lián)汽車的開(kāi)放程度會(huì)越來(lái)越高。這樣雖然能夠更好地優(yōu)化產(chǎn)品及服務(wù)，但同時(shí)也會(huì)隨之帶來(lái)更多的網(wǎng)絡(luò)安全隱患。對(duì)這個(gè)問(wèn)題，您怎么看？

周鴻祎：趙院長(zhǎng)說(shuō)得很對(duì)，這正是數(shù)字安全防護(hù)和物理安全防護(hù)不一樣的地方。要做好數(shù)字安全防護(hù)，必須像希臘神話中的西西弗斯那樣，不斷地把大石頭從山腳推到山頂，然后大石頭滾落下來(lái)，再重新把大石頭推向山頂，就這樣周而復(fù)始。

一款傳統(tǒng)汽車只要設(shè)計(jì)沒(méi)有改變，理論上只需要做一次物理安全碰撞試驗(yàn)就夠了，因?yàn)樵僮龆嗌俅卧囼?yàn)也不會(huì)改變結(jié)果。但是對(duì)于一款數(shù)字化的汽車，其操作系統(tǒng)和各種軟件是會(huì)改變的，會(huì)不斷地更新升級(jí)一些舊模塊，或者加載一些新模塊。所以，要確保數(shù)字化汽車產(chǎn)品的安全，就需要持續(xù)進(jìn)行“數(shù)字安全碰撞試驗(yàn)”，不斷尋找系統(tǒng)漏洞并加以修復(fù)。只要車輛還在使用，這個(gè)工作就不能停止，可能每個(gè)月或者每次OTA升級(jí)之后都要進(jìn)行一次模擬攻防才行。

其實(shí)電腦的Windows系統(tǒng)，也需要不停地打補(bǔ)丁，幾乎每個(gè)月微軟都會(huì)提供新的補(bǔ)丁。在過(guò)去也有不少人質(zhì)疑，打補(bǔ)丁是不是說(shuō)明系統(tǒng)質(zhì)量有問(wèn)題？而現(xiàn)在大家對(duì)此已經(jīng)習(xí)以為常了，反而覺(jué)得能夠隨時(shí)發(fā)現(xiàn)系統(tǒng)里的漏洞并提供補(bǔ)丁，這本身恰恰是系統(tǒng)安全工作做得比較到位的體現(xiàn)。

今后，車企使用的數(shù)字化技術(shù)一定會(huì)越來(lái)越多，為此我們應(yīng)該提前做好心理準(zhǔn)備：要充分認(rèn)識(shí)到數(shù)字安全必須常抓不懈，否則數(shù)字化帶來(lái)的一切優(yōu)勢(shì)就都沒(méi)有辦法保證。企業(yè)需要增加數(shù)字安全防護(hù)方面的投入，并且要持續(xù)不斷地投入。盡管這種成本可能確實(shí)不小，但卻是我們不得不支付的。

汽車企業(yè)必須建立網(wǎng)絡(luò)安全防護(hù)的基本能力

趙福全：與周總的交流，讓我更深刻地認(rèn)識(shí)到，汽車網(wǎng)絡(luò)安全是一項(xiàng)復(fù)雜的系統(tǒng)工程。只靠購(gòu)買外部產(chǎn)品和服務(wù)是不夠的，汽車企業(yè)需要建立自己的安全體系，組建自己的安全團(tuán)隊(duì)，培育自己的安全能力。當(dāng)然，這并不是說(shuō)什么事情都要自己來(lái)做，恰恰相反，企業(yè)必須有效借助外部資源，這其實(shí)也是一種必不可少的能力。說(shuō)到底，網(wǎng)絡(luò)安全防護(hù)能力只能在模擬攻防演練中才能不斷提升，因?yàn)榫W(wǎng)絡(luò)安全的本質(zhì)就是破壞者與防護(hù)者，即人與人之間的角力。

周鴻祎：您理解得非常到位。我估計(jì)今天的聽(tīng)眾應(yīng)該大都來(lái)自汽車行業(yè)，可能希望我這個(gè)來(lái)自網(wǎng)絡(luò)安全行業(yè)的人講講相關(guān)安全技術(shù)。但我認(rèn)為，太具體的技術(shù)內(nèi)容真的沒(méi)有必要多講。所謂“授人以魚(yú)不如授人以漁”，我更想借助今天這個(gè)難得的機(jī)會(huì)，把一些關(guān)于網(wǎng)絡(luò)安全的正確理念和方法傳遞給大家。所以我才一再?gòu)?qiáng)調(diào)，對(duì)于汽車企業(yè)來(lái)說(shuō)，重要的并不是購(gòu)買這樣或那樣的網(wǎng)絡(luò)安全防護(hù)設(shè)備，而是要形成自己的網(wǎng)絡(luò)安全防護(hù)能力。

至于車企如何建立網(wǎng)絡(luò)安全防護(hù)的基本能力，我有以下三點(diǎn)建議：

第一，車企應(yīng)打造全方位的數(shù)據(jù)感知能力。為此應(yīng)建立大數(shù)據(jù)感知及分析平臺(tái)，確保遭受攻擊時(shí)，企業(yè)至少能夠看得見(jiàn)。

第二，車企應(yīng)積極開(kāi)展“數(shù)字安全碰撞試驗(yàn)”。360原來(lái)稱之為“數(shù)字靶場(chǎng)”，可能“靶場(chǎng)”這個(gè)名稱不太適合汽車行業(yè)，但含義其實(shí)是一樣的。并且汽車“數(shù)字安全碰撞試驗(yàn)”不能僅靠?jī)?nèi)部團(tuán)隊(duì)來(lái)進(jìn)行，而是應(yīng)當(dāng)邀請(qǐng)外部的網(wǎng)絡(luò)安全公司和白帽子黑客與企業(yè)一起進(jìn)行測(cè)試。這個(gè)過(guò)程一方面要確保是“真刀實(shí)槍”的測(cè)試，否則達(dá)不到效果；另一方面，企業(yè)也要制定相應(yīng)的規(guī)范，并做好監(jiān)控，避免被邀請(qǐng)來(lái)的黑客在進(jìn)行模擬攻擊時(shí)，又偷偷在系統(tǒng)中埋下新的“后門(mén)”。

第三，車企應(yīng)建立數(shù)字安全響應(yīng)中心及運(yùn)營(yíng)團(tuán)隊(duì)。未來(lái)車內(nèi)網(wǎng)、車聯(lián)網(wǎng)和車企網(wǎng)等各種網(wǎng)絡(luò)都不可避免地會(huì)遭受攻擊，企業(yè)要做的就是在受到攻擊后，能夠盡可能做出最快的響應(yīng)和最有效的應(yīng)對(duì)。為此，必須建立響應(yīng)中心，并配備安全防護(hù)的基礎(chǔ)設(shè)施，同時(shí)組建運(yùn)營(yíng)團(tuán)隊(duì)，并不斷提升其專業(yè)能力。這相當(dāng)于為自己建一個(gè)醫(yī)院，同時(shí)配備上專業(yè)的醫(yī)護(hù)人員。唯有如此，才能有效應(yīng)對(duì)各種突如其來(lái)的病癥。

當(dāng)車企做好以上三點(diǎn)之后，自身就形成了一個(gè)閉環(huán)的安全防護(hù)環(huán)境，這個(gè)環(huán)境具備一定的自我成長(zhǎng)和自我凈化能力。再加上外部資源的支持，包括安全服務(wù)公司和白帽子黑客群體，企業(yè)就能具備持久的網(wǎng)絡(luò)安全防護(hù)能力了。

我曾經(jīng)與一汽集團(tuán)徐留平董事長(zhǎng)說(shuō)過(guò)：智能化網(wǎng)聯(lián)化是車企不容有失的發(fā)展機(jī)遇，為了抓住這個(gè)機(jī)遇，車企就一定要成為互聯(lián)網(wǎng)公司、大數(shù)據(jù)公司和人工智能公司。否則，是沒(méi)有機(jī)會(huì)在智能網(wǎng)聯(lián)汽車的時(shí)代取得勝利的。然而要成為這樣的公司，車企就一定要組建自己的網(wǎng)絡(luò)安全防護(hù)團(tuán)隊(duì)，建立完整的網(wǎng)絡(luò)安全防護(hù)體系。否則，是沒(méi)有辦法主宰自己企業(yè)和產(chǎn)品的命運(yùn)的。

過(guò)去，一些大型國(guó)企都建有自己的職工醫(yī)院；未來(lái)，我覺(jué)得大型車企更需要建設(shè)自己的數(shù)字醫(yī)院。而且這個(gè)醫(yī)院要不停地給企業(yè)進(jìn)行體檢，以確保企業(yè)能夠健康成長(zhǎng)。從源頭上講，這不僅需要車企領(lǐng)導(dǎo)者具有網(wǎng)絡(luò)安全防護(hù)的正確認(rèn)知，而且需要他們真正理解數(shù)字化的本質(zhì)、形成數(shù)字化的思維方式，進(jìn)而推動(dòng)企業(yè)逐漸形成數(shù)字化的基因。這就是一個(gè)更大的話題了。

數(shù)字安全防護(hù)最重要的不是硬件、軟件，而是服務(wù)

趙福全：剛才我們談到智能網(wǎng)聯(lián)汽車，談到OTA，談到與汽車企業(yè)和產(chǎn)品相關(guān)的各種網(wǎng)絡(luò)，應(yīng)該說(shuō)，汽車產(chǎn)業(yè)數(shù)字安全防護(hù)的商機(jī)實(shí)在是太大了。我想您作為領(lǐng)域內(nèi)代表性企業(yè)360的創(chuàng)始人，完全有理由為此感到激動(dòng)。當(dāng)然，面對(duì)汽車數(shù)字安全如此規(guī)模龐大的需求，恐怕只靠360一家企業(yè)是遠(yuǎn)遠(yuǎn)不夠的。

周鴻祎：是的，肯定不能只靠360。雖然我們已經(jīng)取得了一些成果，包括幫助多座城市建立起了數(shù)字安全空間或者應(yīng)急響應(yīng)中心。現(xiàn)在幾乎每座城市都有物理上的應(yīng)急系統(tǒng)，例如哪里煤氣爆炸了，哪里被水淹了，哪里斷電了，城市應(yīng)急系統(tǒng)都能做出相應(yīng)的快速反應(yīng)。而未來(lái)城市將是高度數(shù)字化的，因?yàn)槌鞘薪?jīng)濟(jì)將由數(shù)字經(jīng)濟(jì)主導(dǎo)，城市中的產(chǎn)業(yè)也都是數(shù)字化的，這樣一來(lái)城市必然會(huì)成為網(wǎng)絡(luò)戰(zhàn)的焦點(diǎn)。這就需要在物理應(yīng)急系統(tǒng)之外，建立起城市的數(shù)字應(yīng)急系統(tǒng)。

和企業(yè)的情況非常相似，我們?cè)诮ㄔO(shè)城市數(shù)字安全空間或者響應(yīng)中心的過(guò)程中，重點(diǎn)同樣是幫助城市做好頂層設(shè)計(jì)，組建和訓(xùn)練防護(hù)團(tuán)隊(duì)，并與該團(tuán)隊(duì)一起開(kāi)展實(shí)戰(zhàn)化的模擬攻防演練。也就是說(shuō)，我們并不是要把某種安全產(chǎn)品賣給城市，而是要把我們的知識(shí)庫(kù)、數(shù)據(jù)庫(kù)以及防護(hù)經(jīng)驗(yàn)對(duì)城市開(kāi)放，包括提供一些高水平的網(wǎng)絡(luò)安全服務(wù)專家或白帽子黑客，以幫助城市快速建立起一套行之有效的數(shù)字安全防護(hù)機(jī)制。

將來(lái)我希望把這套“授人以漁”的方式充分復(fù)制到汽車產(chǎn)業(yè)，而且不只限于360自己的資源，我們還要把行業(yè)內(nèi)其他網(wǎng)絡(luò)安全服務(wù)公司以及個(gè)人都組織起來(lái)，為汽車企業(yè)提供其所需的安全防護(hù)支持。同時(shí)，我希望我們能為越來(lái)越多不同體制、不同規(guī)模、不同發(fā)展階段的汽車企業(yè)提供服務(wù)。因?yàn)橹挥须S著客戶群體的不斷擴(kuò)大，我們自身網(wǎng)絡(luò)安全防護(hù)的經(jīng)驗(yàn)才能越來(lái)越豐富、能力才能越來(lái)越強(qiáng)大。

據(jù)我目前觀察到的情況，恐怕汽車行業(yè)要建立正確的網(wǎng)絡(luò)安全觀念還需要一個(gè)過(guò)程。一方面，車企對(duì)網(wǎng)絡(luò)安全的重視程度普遍不足，不少企業(yè)雖然在口頭上也表示非常重視，但并不愿意真正投入資金。另一方面，我前面也講到了，即使一些企業(yè)愿意投入資金，也沒(méi)有花在建設(shè)團(tuán)隊(duì)和培育能力上，而只熱衷于購(gòu)買安全防護(hù)設(shè)備，總覺(jué)得唯有添置了固定資產(chǎn)，安裝了防火墻，心里才踏實(shí)。可這些防火墻的實(shí)際使用效果非常令人懷疑，甚至有的企業(yè)在防火墻報(bào)警后也沒(méi)有人來(lái)處理，更沒(méi)有人來(lái)研究防火墻為什么報(bào)警，后續(xù)如何避免。這樣一來(lái)，防火墻根本就是形同虛設(shè)。

現(xiàn)在除了購(gòu)買安全硬件，企業(yè)逐漸開(kāi)始接受購(gòu)買安全軟件了，這也是一種進(jìn)步。但是未來(lái)對(duì)于數(shù)字安全來(lái)說(shuō)，最重要也最有價(jià)值的不是硬件，也不是軟件，而是服務(wù)，尤其是高水平、專業(yè)化的服務(wù)。為此，企業(yè)一定要建立正確的安全觀，清楚最應(yīng)該把錢(qián)花在哪里。相應(yīng)的，360要做的就是為車企提供數(shù)字安全防護(hù)服務(wù)，幫助車企找到各種漏洞，而不是把防火墻或安全軟件賣給車企。

在這個(gè)過(guò)程中，又涉及到如何合理評(píng)估安全服務(wù)價(jià)值的問(wèn)題。硬件或軟件都是實(shí)實(shí)在在的產(chǎn)品，而安全服務(wù)似乎看不見(jiàn)、摸不著，即使找到了一系列漏洞，又憑什么說(shuō)有很大的價(jià)值呢？對(duì)此，也需要企業(yè)形成正確的認(rèn)識(shí)。要反過(guò)來(lái)想，如果這些漏洞被黑客抓住，侵入了企業(yè)的系統(tǒng)，將會(huì)帶來(lái)多么嚴(yán)重的后果？！事實(shí)上，現(xiàn)在就有國(guó)際黑市在交易企業(yè)的各種漏洞信息，有的漏洞甚至能賣出幾百萬(wàn)、幾千萬(wàn)的價(jià)格?，F(xiàn)在的情況是，很多企業(yè)平時(shí)不愿意在安全服務(wù)上花錢(qián)；等到網(wǎng)絡(luò)真的被攻擊了，才連忙請(qǐng)人來(lái)排查和處理，這時(shí)候就是花再多的錢(qián)也不在乎了。由于企業(yè)缺乏未雨綢繆的意識(shí)，結(jié)果最終還是購(gòu)買了安全服務(wù)，但花費(fèi)的成本卻往往更高，而且企業(yè)已經(jīng)蒙受了損失。

趙福全：周總這番話非常重要，希望企業(yè)都能聽(tīng)得進(jìn)去。我理解這就像居家防盜：并不是說(shuō)門(mén)鎖越多就越安全，事實(shí)上，只要有一扇窗戶沒(méi)關(guān)好，即便在門(mén)上安裝了5道鎖也毫無(wú)意義，因?yàn)樾⊥颠€是可以溜進(jìn)來(lái)。也不是說(shuō)買足了安全設(shè)施就高枕無(wú)憂了，如果沒(méi)有訓(xùn)練有素、能夠及時(shí)響應(yīng)突發(fā)事件的警察和安保人員，安全設(shè)施再好再多也是不夠的。另外，對(duì)于網(wǎng)絡(luò)安全防護(hù)，企業(yè)應(yīng)該盡可能未雨綢繆，而不是坐待亡羊補(bǔ)牢，為此平時(shí)就要舍得在安全服務(wù)上進(jìn)行必要的投入。

汽車安全體系應(yīng)從行業(yè)層面上升至國(guó)家層面

趙福全：聽(tīng)了您剛才的分享，我覺(jué)得周總實(shí)際上是在強(qiáng)調(diào)一種系統(tǒng)性的綜合安全觀，而這與汽車產(chǎn)業(yè)一直以來(lái)的安全理念是完全契合的。汽車產(chǎn)業(yè)重視安全的傳統(tǒng)由來(lái)已久，并且我們始終強(qiáng)調(diào)打造安全體系、做好系統(tǒng)防護(hù)，而不是只靠單一的措施或單方面的能力去保障車輛的安全。過(guò)去，我們從各個(gè)零部件到總成、再到系統(tǒng)、直至整車，層層進(jìn)行質(zhì)量把關(guān)和安全校驗(yàn)，以確保每輛汽車作為一個(gè)整體都是安全可靠的。這可不是整車企業(yè)自己努力就夠了，而是要把所有供應(yīng)商，特別是重點(diǎn)安全件如氣囊、制動(dòng)器等的供應(yīng)商，都充分協(xié)同起來(lái)。既要確保單個(gè)零部件的絕對(duì)可靠，又要確保零部件集成后的絕對(duì)可靠。舉個(gè)例子，氣囊本身的功能可能不存在任何問(wèn)題，但只要早彈出或者晚彈出半秒鐘，就不會(huì)起到保護(hù)作用，甚至反而可能給乘員造成嚴(yán)重的傷害。今后，從綜合安全的理念出發(fā)，汽車企業(yè)沒(méi)有理由不把網(wǎng)絡(luò)安全或者說(shuō)數(shù)字安全也納入到整個(gè)安全體系中來(lái)。由此，或許相關(guān)投入的問(wèn)題也就迎刃而解了。

周鴻祎：您對(duì)汽車產(chǎn)業(yè)安全觀的描述也啟發(fā)了我，或許將來(lái)汽車產(chǎn)業(yè)在數(shù)字安全方面可以建立一種協(xié)同防護(hù)的模式。因?yàn)槲磥?lái)我們要面對(duì)一些有組織的甚至是有國(guó)家背景的黑客攻擊，只靠一家企業(yè)單獨(dú)應(yīng)對(duì)，恐怕非常困難。即便是大型整車企業(yè)都有可能力有未逮，就更不用說(shuō)那些中小型的供應(yīng)商了。

所以，我們應(yīng)該繼承汽車產(chǎn)業(yè)協(xié)同各方力量共同確保產(chǎn)品安全的傳統(tǒng)，集聚行業(yè)的力量來(lái)為各家企業(yè)提供數(shù)字安全保護(hù)。畢竟在萬(wàn)物互聯(lián)的環(huán)境下，任何一家企業(yè)的系統(tǒng)一旦被攻破，都有危及其他企業(yè)安全的可能。在這方面，360愿意全力參與其中。同時(shí)，也希望工信部等主管部委能夠從推動(dòng)智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)健康發(fā)展的角度出發(fā)，牽頭組織，把很多汽車及相關(guān)領(lǐng)域的企業(yè)都團(tuán)結(jié)起來(lái)，共同建設(shè)國(guó)家或行業(yè)級(jí)的數(shù)字安全態(tài)勢(shì)感知中心、應(yīng)急響應(yīng)中心以及聯(lián)合研究中心等。

趙福全：我做個(gè)小結(jié)。未來(lái)隨著人類進(jìn)入萬(wàn)物互聯(lián)的時(shí)代，所有的產(chǎn)業(yè)都將進(jìn)入生態(tài)化發(fā)展的新階段。而汽車產(chǎn)業(yè)由于涉及面廣、復(fù)雜度高、連接主體多、關(guān)聯(lián)影響大，將成為最重要的生態(tài)系統(tǒng)之一。正因如此，汽車產(chǎn)業(yè)的數(shù)字安全防護(hù)將是一項(xiàng)龐大的系統(tǒng)工程，其中整車企業(yè)要做的工作必不可少，但肯定遠(yuǎn)遠(yuǎn)不夠。事實(shí)上，即便把汽車行業(yè)的力量都整合起來(lái)，可能也不足以確保萬(wàn)全。畢竟未來(lái)汽車生態(tài)將和交通、能源、城市生態(tài)融合在一起，我們必須集聚多個(gè)產(chǎn)業(yè)的力量，才能確保汽車產(chǎn)業(yè)和產(chǎn)品的數(shù)字安全，確保交通、能源和城市系統(tǒng)的數(shù)字安全，進(jìn)而確保生產(chǎn)活動(dòng)的正常進(jìn)行和社會(huì)生活的穩(wěn)定有序。

舉一個(gè)簡(jiǎn)單的例子，汽車在充電過(guò)程中發(fā)生著火事故，可能是產(chǎn)品設(shè)計(jì)或生產(chǎn)質(zhì)量的問(wèn)題，但也可能是黑客侵入系統(tǒng)后加大了充電電壓而造成的。后者更加危險(xiǎn)，或?qū)?dǎo)致車輛爆炸，甚至引爆整個(gè)充電站。

從這個(gè)角度出發(fā)，我們談到了要建立新的汽車安全體系。過(guò)去，汽車安全體系主要是基于各種硬件以及硬件的集成；而未來(lái)我們必須把汽車硬件、軟件以及軟硬件的融合都考慮進(jìn)來(lái)，此外還包括OTA升級(jí)、與車輛連接的外部環(huán)境、各類企業(yè)的各種網(wǎng)絡(luò)等等，所有這些都要納入到汽車安全體系中。換句話說(shuō)，我們需要升級(jí)原有的綜合安全觀。

那么，應(yīng)該如何建立新的汽車安全體系呢？周總強(qiáng)調(diào)，企業(yè)只關(guān)注購(gòu)置網(wǎng)絡(luò)安全防護(hù)設(shè)備的做法是錯(cuò)誤的，正確的做法是在外部資源的支持下，建立自己的網(wǎng)絡(luò)安全防護(hù)團(tuán)隊(duì)，并不斷提升團(tuán)隊(duì)的專業(yè)能力。另外，周總還提到一個(gè)重要觀點(diǎn)，那就是網(wǎng)絡(luò)安全防護(hù)永無(wú)止境，所以企業(yè)需要持續(xù)進(jìn)行“數(shù)字安全碰撞試驗(yàn)”，即通過(guò)實(shí)戰(zhàn)化的模擬攻防演練，盡可能減少黑客可以攻擊的漏洞數(shù)量，并加強(qiáng)自身的應(yīng)對(duì)措施。

總體來(lái)說(shuō)，由于汽車產(chǎn)業(yè)的邊界正在不斷拓展且漸趨模糊，汽車安全體系也將不斷擴(kuò)大且日益重要。未來(lái)汽車安全體系不僅事關(guān)汽車產(chǎn)品、企業(yè)和產(chǎn)業(yè)的安全，而且還會(huì)影響國(guó)家信息安全、社會(huì)治理安全以及國(guó)防安全。所以，我們必須跳出汽車或者互聯(lián)網(wǎng)的單一視角，站在國(guó)家和跨產(chǎn)業(yè)的戰(zhàn)略高度，系統(tǒng)思考和布局未來(lái)汽車產(chǎn)業(yè)的數(shù)字安全體系。

來(lái)源：鳳凰網(wǎng)汽車

---