李允

为辰信安总经理

采写｜张孟月 采编｜李佳琪

校对｜吴政希 图｜由受访者提供

为辰信安总经理李允表示，网络安全必须依附对象存在，其每个环节都是相互关联、环环相扣的，任何一个环节暴露出的脆弱性都可能会给整个网联体系带来安全风险。

随着智能汽车产业的快速发展，“软件定义汽车”的时代已经来临。拥有新型软件架构的智能网联汽车在为用户带来前所未有的新体验的同时，也让汽车行业面临更加严峻的网络安全挑战，那么应如何应对这些挑战？

广东为辰信息科技有限公司（简称“为辰信安”）总经理李允接受《科技与金融》的专访时表示，鉴于网络安全涉及广泛领域，在政府做好顶层设计和规划的同时，汽车网络安全需要多个行业跨界协同、共同推动。

Q：您是汽车网络安全领域的专家，在您看来，智能网联汽车的网络安全有怎样的重要性？

李允：传统汽车的电子电气（E/E）系统是一个不联网的信息孤岛，并且使用专用的CAN总线等通信方式，在这种“温室”环境下，汽车制造企业根本无需考虑车辆遭受互联网攻击的风险，只需关注主动安全、被动安全、功能安全。

而当汽车行业拥抱互联网时代，车辆接入互联网，毫无防御措施的车辆E/E系统便被错综复杂的网络环境打了个措手不及。

此外，汽车行业的用户体验逐渐从单纯的“驾驶乐趣”转变为“驾乘乐趣”，越来越多消费者开始关注车内娱乐、舒适度以及便捷性的体验，而这些都需要由大量的软件去实现。如今，智能汽车的软件架构不仅总代码量超过了波音飞机，而且充斥了各种软件漏洞。

事实上，汽车的智能化程度越高，就意味着更高的网络安全风险。网络安全主要保障两大安全：功能安全和数据安全。

功能安全，即汽车能安全平稳地行驶，例如能按照驾驶人的意愿完成转弯、减速等操作；而数据安全则主要涉及防止数据非法泄露、侵犯车主隐私的问题。

网络安全在汽车领域受到高度重视，因为汽车产品具有社会属性，汽车智能化后带来的网络安全问题，对交通安全、社会安全甚至国家安全均有重要影响。自2022年7月1日开始，进入欧盟的新车都被要求进行网络安全认证。目前，国内相应的强制性国家标准和准入法规也在制定中。

国内、国际标准和法规的相继颁布，意味着汽车网络安全已经成为继主动安全、被动安全、功能安全之后的“第四安全”。

Q：我们应如何做好网络安全管理？

李允：网络安全是一个成熟产业，网络的攻击和防护本质上是人与人的对抗，也将一直持续下去。做好网络安全管理，有几点需注意：

首先，网络安全是一个体系或者说是生态。生态，即有攻也有防，还有查缺补漏以及应急响应，而不仅是简单的某个点。这也和网络安全的属性有关，其并非独立存在，而是必须依附对象而存在。网络安全的每个环节都是相互关联、环环相扣的，任何一个环节暴露出的脆弱性都可能会给整个网联体系带来安全风险。

其次，“攻”是广泛寻找、分析和尝试漏洞；“防”是根据防护对象、功能来建立防护体系和架构。所以，攻击和防护是两种不同的思维和体系，不能因为某个攻击的案例就将攻击与防护划等号。

最后，网络安全防护是个永无休止的工作，是永远做不完的。对手（黑客）的能力在增长，我们作为防守方也要不断增长能力，所以信息安全防护是项长期的工作。

Q：智能网联汽车网络安全产业的机遇与挑战有哪些？

李允：网络与数据安全逐渐成为智能网联汽车行业发展必不可少的关键内容。尤其是随着数据安全的快速发展，国内对数据的定位更高，业内把数据当成生产要素在发展，数据安全将成为车企需要解决的核心内容。

网络安全和数据安全已经逐渐列入到法规要求中，这是全球性的发展趋势。相关标准、法规政策的陆续发布，对汽车的网络和数据安全是非常利好的，但也存在一定的挑战，从多个方面来看：

首先，跨界人才稀缺，缺乏工作的系统性。汽车网络安全、数据安全近几年才开始出现，网络安全产业的快速发展令市场对综合性人才的需求增大，具体到汽车行业，相关人才既要懂汽车、也要懂安全，具有典型的跨界属性。

实际上，目前汽车产业的人员结构普遍是偏机械等方面的传统汽车专业，在网络安全方面存在重视程度不高、认知水平不够的局限，而网络安全和数据安全具有系统性，如果组织结构的重视程度不够，会导致工作开展较为困难。

其次，激烈的市场竞争导致各大汽车企业在网络安全上的相关投入不够。国内把智能网联汽车产业当作未来几年的重要抓手，无论是新势力，还是传统车厂，都在积极推进汽车产业的智能化、网联化。但同时也加剧了全行业的竞争态势，面临价格下行的巨大压力，导致部分OEM厂商在网络安全和数据安全方面投入有限。

再次，商业模式不完善。网络安全与数据安全，需要在汽车的整个生命周期开展服务工作，但目前缺乏能够支撑相应安全服务的商业模式。同时，网络安全的相关内容属于用户无法直接感受到的功能属性，为安全买单的意识不高。

最后，相关体制机制不完善。相关的安全标准、认证评价和管理仍处于快速发展的初期，给OEM厂商的执行带来挑战。

Q：在您看来，中国汽车网络安全体系应该如何进一步完善？

李允：如何建立网络安全体系和框架是业界持续探讨的重要课题。从监管的角度来看，网络安全涉及的部门比较多。智能网联汽车作为新的产业形态，在监管方面也对政府部门提出了许多新挑战。

当前，相关政府部门已牵头制定相关标准体系，陆续出台相关法规和行业准入要求。政府部门正在快速推进、规范汽车网络安全的持续发展。

然而，汽车网络安全是围绕汽车产品全产业链、全生命周期的安全保障和产业跨界融合协同的整体安全，需要多个行业跨界协同、共同推动。

我建议，在加快推进标准与法规制定方面工作的基础上，也应统筹规划、建设非盈利的行业服务体系，开展网络安全技术、情报等方面的共享服务，并通过区域性公共服务平台等载体，提供人才培养体系，满足汽车网络安全持续健康发展的需要。

此外，网络安全除建设外，运营也是重要的一环，这方面也是国内的相关企业较为欠缺的。

以为辰信安举例，并非将产品交付出去就意味着服务的终结，相反，我们还会持续地跟进运营。毕竟，网络安全和汽车的传统功能不同，传统功能一般上市后极少有大的调整，除非原来的设计有缺陷，需要召回或更换零部件。而汽车的网络安全保护一以贯之，汽车从概念、开发、生产、运维、报废等全生命周期各个阶段都必须考虑网络安全问题。

Q：对于智能汽车的网络安全问题，普通消费者可以如何发现及预防？政府、科研机构、企业分别可以怎么做，才能形成合力解决汽车的网络安全问题？

李允：消费者能做的事情很少，因为普通用户很难感受到车辆的防护措施是否足够，只有出现后果时才能意识到。例如，用户并不清楚，OTA（远程升级）过程是否有恶意软件，只有在中控台彩屏的内容被修改，或者车辆被非法侵入、财物丢失或车辆丢失等情况发生时，用户才对车辆网络安全问题有所察觉。

民众的安全意识、企业的网络安全自觉性、社会对于信息安全的容忍度都需要长时间培养，属于不可控因素，真正能够改善汽车工业带来的网络安全问题，当属政府部门制定法律法规和行业标准最为重要。

近年来，我国依据智能汽车产业发展的现状和趋势，陆续出台了多部法规，对于行业规范化发展有着极为重要的作用。《智能汽车创新发展战略》《车联网（智能网联汽车）网络安全标准体系建设指南》和《关于加强智能网联汽车生产企业及产品准入管理的意见》等法规的颁布为汽车企业如何保证汽车网络安全提供了指导性意见。

如果说法律的硬性规定给汽车行业安全构筑了一道坚实围墙，那么规范标准则为汽车安全提出了指导意见。其中，关注度最高的莫过于2022年9月工信部发布的《国家车联网产业标准体系建设指南（智能网联汽车）（2 0 2 2年版）》（以下简称《指南》）。

《指南》提出，制修订100项以上智能网联汽车相关标准，涵盖组合驾驶辅助、自动驾驶关键系统、网联基础功能及操作系统等标准，并贯穿功能安全、预期功能安全、网络安全和数据安全等安全标准，满足智能网联汽车技术、产业发展和政府管理对汽车安全标准化的需求。

然而，因车联网行业跨度大，技术领域广，构建网络安全生态离不开产业各界的共同探索。我建议，政府应鼓励科研机构、高校、行业组织和企业各方加强协作，促进产学研用交流合作，构建融合发展的网络安全产业生态，以解决单个企业无法处理的网络安全问题。

比如，通过政府项目推动解决智能汽车网络安全面临的共性关键技术问题；建立非盈利性信息共享与分析机构，提升行业应对网络安全威胁的水平；搭建联盟、协会等平台，建立区域性公共服务平台，加强人才培养等。

Q：请您分享您对粤港澳大湾区智能汽车网络安全市场发展的看法和建议。

李允：粤港澳大湾区对智能网联汽车的政策和资金支持都位居全国前列。广东省有完整的汽车产业链，是汽车大省，有许多龙头企业和知名品牌，2022年广东汽车制造业产业规模首次突破万亿元大关，成为第8个超万亿级的产业集群。

在汽车出口方面，虽然广东走在了全国前列，但在网络安全方面还在解决“有无”的阶段，欧美对汽车网络安全制定了市场准入标准，我国出口车辆必须符合相关的网络安全标准方能进入当地市场。当前，发达国家的传统汽车市场向新能源汽车市场大幅倾斜，使出口到发达国家的汽车技术要求逐渐提高，这给予了广东新的机会。新能源汽车产业正是广东的优势，2022年，广东省新能源汽车产量占全国新能源汽车份额近两成，并且拥有两大新能源汽车明星企业：埃安和比亚迪，发展势头强劲。

为让更多汽车“走出去”，我建议加强汽车网络安全咨询认证体系的建设工作，实现区域本地化认证。同时，相关汽车企业要提升出口认证法律规范意识，深入了解目标区域技术标准法规及强制性认证，提前根据相关法规做好网络安全防护工作。