【全球速看料】2022 WICV丨绿盟科技集团副总裁宫智：车联网智能网联汽车网络安全与数据安全思考与实践

9月16日，由北京市人民政府、工业和信息化部、公安部、交通运输部、中国科学技术协会联合主办的2022世界智能网联汽车大会，在北京中国国际展览中心（顺义馆）开幕。

本届大会以“智能加速度 网联新生态”为主题，包含1场开幕式暨主论坛、7场主题峰会、6个特色专场、2场闭门会及1场实地调研活动。

(资料图)

在9月18日主题峰会五——网络安全与数据安全中，绿盟科技集团副总裁宫智发表了题为“车联网智能网联汽车网络安全与数据安全思考与实践”的主题演讲。

图源：2022世界智能网联汽车大会

以下内容为现场演讲实录：

很荣幸能参加分论坛的活动。

绿盟科技是一家专门从事网络安全领域的公司，我们提供的是技术和方案。今天给大家从安全视角来看一下，车联网的数据安全未来的发展以及应该怎么面对。

从智能网联汽车发展这几年的路径来看，最核心的是两大风险，第一是车的智能化，车越智能越意味着自身代码量很多，BUG就会出现很多，车自身风险就会有一定的增加。另外是网联化，安全都讲曝露面，网联化是讲对外连接的数据越多，曝露面就增加了。以前车是封闭的，只有物理曝露面，随着智能网联车之后，车和车要连接，车和路要连接，车和云要连接，所有连接点都可能存在暴露面，包括车自身也在通过网络技术减少成本，这些都是潜在的风险。

这两年国家层面对网络智能网联车安全监管方面的要求越来越清晰和明确，安全永远是伴随着规范和制度，这是第一位。这些制度的发布其实对整个车联网安全发展进度有很大的推进作用，有了国家法规，下一步就是推行细化的标准。刚才捷菲主任谈到了数据分级分类，这也是车联网网络安全以及数据安全的重要依据或者基础，有了这样清晰的数据分类和分级的标准，我们才能给车企包括监管机构提供更有效的解决方案和产品。

大环境下，车企几方面的压力。一方面是合规要求，从政策、法规、管理制度的要求。再是自身，自身要提升企业的生产效率，同时更要保证车的功能安全，车跑在路上不能出事故，这是第一位。同时要兼顾社会安全，如果路上跑的都是智能车，那这些车是否会对社会产生安全风险，这对车企来说是它们所面临的风险。自然而然车企就有很强的需求，要打造一个具备安全的一套完整车联网的体系，这不单单是企业自身的安全体系，还包括未来要运营车联网和整个网络的安全体系。

通常我们考虑要建设一套开发模型，从车辆上线到运营，具有一套完整的深周期模型。安全建设要三同步：同步规划、同步建设、同步运营，其实在车的生命周期里是同样适用的。如果真的想实现终极安全，车企在初级规划时就要把安全作为同步规划的重要环节。我们都说安全是半生的需求，对于车这样的应用领域来说尤为重要，只有在初期把安全因素同步规划好，那未来投入的就会更少、更经济一些。

第二部分简单介绍一下绿盟科技在车联网安全方面的思考和实践。对于行业来说，无论是网络安全还是数据安全，其实都成为了车联网的基本属性，也是未来我们真正能够形成广泛的商业化的车联网环境的基础，如果没有安全其实谈不上未来车联网真正实现普遍商业化。对企业来说，做安全除了满足合规之外，大家在谈数据安全，数据安全还有另外一个，不但是面临法律风险问题，数据安全本身对网联车企来说，还是商业核心的价值问题。

比如说在智能网联车的运行数据，是企业核心的商业信息，这个信息如果泄露出去那会对企业增加商业损害，同样这个信息未来数据也是可以交易的。如果没有安全保证，那这个交易也就无从谈起了。我们在做安全建构的时候，第一步要先建体系，体系先行。我们绿盟科技在车联网这方面为车企或者智能网联车的制造企业，提供一套部比较完整的网络安全管理体系建设，帮助他们打造这样的体系。

一方面要遵循业内标准，包括行业标准、企业自身安全要求。同时结合自身供应链的情况。有了体系之外，下一步就是打造云、网、边、端完整的体系架构。对车来说，首先要做一台安全的车，在车上要有足够安全的检测和防御手段。再就是云端，云端车联网运营平台的安全怎么保证，无论从每个节点来看，都需要完整的方案来保证。

有了技术之外更重要的是如何让技术发挥作用，这就涉及到了安全运营。最终的体系也好，云、网、边、端的解决方案也好，最后要运转起来才能真正实现安全的防护效果，这也是我们谈到的未来企业即便打造了这样一套系统之后，这样的车如何通过安全运营发挥它的价值。绿盟科技我们这几年正在做转型，从简单的产品和技术提供商最重要变成安全运营能力服务的提供商。

网络谈完来谈数据，其实数据就是运转在网络上最核心的价值，无论是网络安全也好、数据安全也好，对安全的方法论都没有变化，绿盟科技提供了支、识、控、查、行的方法论，方法论没有变化，只是我们应用在了车联网的场景下，能发挥它的作用。

最后简单分享一下绿盟科技在数据安全和车联网包括数据安全方面的小成果。

首先是数据的脱敏安全，它除了能在车端通过轻量化部署实现安全威胁的检测，同时还能实现敏感数据的脱敏。这样的技术可以帮助车端把信息做一定的过滤、混淆进行脱敏，我们已经申请了专利。另外一个是车联网安全监测与防护系统，在国内有几家大车企已经落地了。

另外一个是整个车联网的安全咨询评估。如果企业想去构造一套强大和坚固的安全体系，首先你要自己梳理好当前企业的流程、标准和资产信息。网络做安全第一步是要先做咨询和服务，我们通过咨询服务帮助企业把它目前的企业现状、企业网络的拓扑现状以及数据现状的梳理清楚，之后基于企业当前的现状才能寻找适合的安全解决方案。安全咨询评估其实也是车企在考虑安全建设的第一步或者说非常重要的一环。

安全少不了攻防对抗，绿盟科技我们有一个专业的车联网安全实验室，它是针对车联网、物联网相关领域做攻防研究的，包括漏洞挖掘，包括常见的攻击技术的研究。前段时间也参加了工信部参加的针对智能网联车企业的演练活动，确实是当前客观来说，智能网联汽车当前的安全问题还是非常多的。

最后一页是一个建议，安全这个问题是个生态，绿盟科技也好，安全供应商也好，更多是从安全技术支撑，安全产品和解决方案支撑角度来帮助我们的车企。但这个支撑需要有个前提，比如说需要有更清晰的规范要求，有更明确的标准和管理制度，这其实和我们的技术结合才能真正打造更安全的车联网安全生态和体系。无论是从行业角度还是企业角度，都需要多方主管机构，主机厂和安全企业，以及未来的车联网运营商紧密配合才能够真正实现更完美的生态形成。

我今天的分享就到这里，谢谢大家！

（注：本文根据现场速记整理，未经演讲嘉宾审阅）