尊敬的各位朋友大家下午好!我叫阚志刚,来自于梆梆安全,准备从一个从业20年网络安全人员的角度来看我们网联汽车的安全性。公司从2015年开始进入到智能网联汽车安全领域,遇到了很多的难以想象困难和问题,今天我也呼吁我们一起最终建成基于生命周期的智能网联汽车信息安全体系建设。
从发展趋势来讲,刚才各位专家都提到了,三化也好,五化也好。但是从一个网络安全角度来考量,无论你多少个“化”,其实我认为车里面都是多了更多的程序,代码算法,无论怎么样,在我们看来,网络安全从业人员看来无非就是增加了很多的代码链,我们一个无人驾驶车代码量会超过波音飞机的代码量。我跟汽车专家谈的时候,2015年开始谈很痛苦,基本上都是懂车的人不懂安全,懂安全的人不懂车,很难理解。我感觉到从汽车专家学到很多东西,给我们很多挑战,我有三个问题,到现在还没有解决,可以给大家分享一下。
我跟一个汽车厂商汇报的时候我说厂长找到了100个bug,厂长也高兴也不高兴,你找到100个bug是不是能找到1000个bug,bug是收敛的吗。我们汽车设计程序设计的很好,但是代码实现,程序的实现,你怎么能够让它百分之百吻合,我是程序员,我心情不好的时候开发程序肯定会存在问题。设计很好,我怎么样能够完全匹配,这是第二个问题。第三个问题就是说程序跟法律跟伦理之间他到底有什么关系,我们用程序能不能完全表达法律跟伦理内涵的一些问题。
举例来讲一辆自动驾驶汽车撞人了,是撞小孩是撞老人,是撞我是撞你,怎么去选择,还是撞向旁边什么物体。这三个问题其实都是我在跟在座各位汽车专家交流的时候,学到很多问题。这就是我想随着我们网联汽车的发展,网络安全发展,可以和在座各位顺利沟通,有可能后续我们会达到一个完全的融合,我们之间对话是完全可以听得懂的,我们提出来的一些观点、思想也不被你们去蔑视了,因为我觉得汽车是一个百年的行业,网络安全才十年二十年,怎么样解析,为在座各位提供更加有价值的一些点。
我简单总结一下,如果汽车产业是一个国家的话,它应该算第六大经济体,我刚接触汽车产业的时候感觉到汽车产业挺简单,进去之后就蒙了,这个产业链太长了,生产环节、销售环节、售后市场根本找不到门,不知道找谁来去谈这个网络安全问题,通过这几年的梳理我们也知道什么什么阶段,有TL1、TL2等等,就是这些名词也渐渐懂了,这是我们分的一个过程。
另外,我认为,就是网联汽车的发展,本质的问题就是说物理安全和网络安全的一个深度融合,原来我讲过懂车的人不懂安全,懂安全人不懂车,现在我们需要在某一个层面进行一种融合,能够在网络安全知识跟物理空间安全的一些特点能够进行结合。这个我摘抄了一下IBM的一个图表,他说明的意思就是说网络安全发生的问题,他虽然产生了一种损失小,但是高频度是很高的,有可能一年会发生100次、1000次、10000次,公司也有很多我们车辆,整车,黑客对整车进行攻击的时候,是很容易就能够攻击进去的。原来都是检测物理设备有没有炸弹,有没有物理损坏,现在已经深入到对车的驾驶系统进行一些衡量,我们就发现一些车的Tbox有可能被刷机了,我们手机经常会出现刷机现象,现在就有一些刷车,把软件系统换成黑客的,从而控制车的一些录音,或者轨迹,是很容易得到的,虽然网络安全问题损失比较小,但是次数比较多,对我们每个企业的商业损失商誉损失非常严重。
通过我们这几年的研究,总结出来在网联汽车安全有这四方面挑战,第一个挑战就是行业标准是滞后的,我们车发展的也很快。对我们来讲,也不知道怎么去改,我们只能说根据原来的工具,标准等级保护等等,看这个车,有可能不太适合我们网联车的发展需要。第二个就是从业务层面上,安全我们是不太熟悉的,我们只是懂一些系统安全,但是车本身的安全,怎么去做,车联网有可能需要更高的安全这种要求,传统的安全管理手段有可能就遭到一些挑战。第三个缺少一些安全承诺,第四个就是重技术轻管理,我们很多的专家认为解决了一个车的点的安全问题,有可能就会通过技术来去解决这样的问题,我们认为不太可能的,所以说今天我们提倡要建立一套安全体系来去做,而不是说只把某一个点哪一方面安全就可以,持续运营的过程,其实在网络安全领域,我们经常也说网络安全做的好七分靠管理,三分靠技术,在车联网领域有可能这个结论也是成立的,所以说我们不能够只关注技术,轻管理,这个是不行的。
我们根据我们的理解,不一定对,我们把车联网的安全分成了两类,一类是广域网的安全,分别从八个方面进行整理,这些都是跟我们车联网息息相关的一些供应链,或者是一些单位,包括用户端、云端、办公环境、生产工厂,这些都应该会存在安全管理或者安全基数的问题,应该站在更高角度全面的来去分析网络安全存在的问题。
另外从车本身来讲的话,我们分了狭义,车联网的安全概念,无非就是车机还有TSP等等,这是我们一个简单的分类,工作很多,我们也逐渐希望把安全问题,每一个阶段梳理清楚。第一部分给大家讲网络安全问题,当网络安全遇到车联网的时候,智能互联的时候有很多的碰撞激荡,让我们学习到很多新的知识,我们也感觉到不应该只是关注某一点的技术,站在一个更高的角度看网络安全问题。
我们再花五分钟给大家讲一下怎么来去建设一个车联网安全的体系建设,我们提出来说零信任、零风险、自适应管理模型,SAE国际的标准里面也提到七点的原则,我希望我们在座各位有时间的话可以仔细读一读,SAE的有关安全方面的一些指导原则。他的主体思想,就是说我们要认为每一个部件,每一个地方都是有风险的,我们不要假设它是安全的,首先认为是有风险的,然后再去证明没有风险,这个是一个最基本的原则。
另外我们也提出来说因为整个车的制造过程,生产过程是很复杂的,我们应该按照PDCA这种理论,能够建立一种基于生命周期的一套方法论来去做这个事情,包括需求阶段,设计阶段,生产阶段,验证阶段,发布阶段,每个阶段都应该有安全因素,设计因素加进去考量进去,才是完备的思想。怎么来建这个体系建设,我们公司现在跟30多家车企进行联系,很多是我们客户了,我们帮他去建一个体系的建设,包括四个方面,先评估,再分析,再实施,再持续的安全运营。我想这个过程应该是说起来很简单,但是做起来非常痛苦的。
其实有了上述讲的方法论,模型,思想,我们认为一个车企要建立一个安全运营中心,其实在纵观世界上的这些汽车厂商,我们认为特斯拉的安全运营中心建的还是非常不错的,刚才一位老师讲到将来车那么老多,我们怎么样能够保证它持续安全,持续运营,我希望除了坐车之外,对车的管理安全运营应该成为我们在座各位或者是第三方厂商的一个很重要的责任,从情报管理预防监控响应工具司法见证几个方面把运营中心用起来,不是说只是关注于某一个技术点。
另外我们也提出安全即服务这样一个理念,也是持续运营相关的一些事情,监控分析人员,具有什么样的职责,都应该有定义的,是非常清楚的。不应该把网络安全看成是一个附属的小事情,对不同的职业,不同的岗位,分工更加详细的。
汽车行业未来面临的挑战,SAE定义,有关键分析点,包括网络安全,应用系统安全,泛在网络安全等等。其实归根结底有两点需要大家去注意,一点我们不要重技术轻松管理,我们希望每一个车企能够建立一套自己的安全运营中心,安全运营体系,这是其一。
其二我们能够对自己车里面的程序能够有更多的安全的校验方法,或者能够证明我们程序是完全正确的,这个地方跟大家最后提一点,我们公司一直在致力于怎么能够证明一段程序是100%正确的其实这个问题很难,我们试图使用形式化验证的方式来去证明。我编了将近20多年程序,最困难的是什么呢?我编了这10000行程序,谁能证明我的10000行程序100%是正确的,现在在国际上证明通过数学的方式来证明。
所以我始终相信,因数学是我们人类的最后一个宗教,我们网络安全最终的发展极端目标,也是我们能够证明车里面的不是说所有的程序,关键程序,能够用数学证明是完全正确的。我给大家两条结论,非常感谢大家。
