深度對話|車企上云，如何構筑云上安全防線？

　　隨著智能網聯化、數字化發展，汽車數據安全和網絡風險防范成為行業密切關注的難題。

　　汽車傳統的物理邊界被打破，出現了大量的云上服務，比如車聯網、自動駕駛技術、OTA等等，相應的，汽車產生的數據也越來越多。相關數據顯示，一輛智能網聯汽車每天大概會產生 10TB 的數據，這些數據包含駕駛人員的出行軌跡、駕乘習慣、車內語音圖像等個人信息，也包含車輛實時收集到的地圖數據等。

　　隨著《個人信息保護法》、《汽車數據安全管理若干規定(試行)》的頒布實施，對數據的合規分類收集和使用提出了更為嚴格的要求。同時，也有汽車品牌近來遭受到網絡黑客攻擊，造成不小的損失和安全風險。如何平衡數據使用的合規與高效，并在全面上云的背景下構筑扎實的安全防線，成為整個行業密切關注的話題和迫切需要解決的難題。

　　此此背景下，騰訊智慧出行與汽車之心聯合策劃了「行者有云」系列沙龍第二期——《車企上云，如何構筑云上安全防線》，聚焦汽車數據的合規使用和安全防范問題，加速車企構建在數據網絡安全領域的競爭力。

　　本期沙龍邀請到上海帆一尚行科技有限公司網絡安全總監、上汽騰訊網絡安全聯合實驗室負責人陳寧，騰訊安全策略發展中心總經理呂一平，共同探討車企數據安全防護建設和未來趨勢發展并發表了獨到精辟的見解。

　　以下為沙龍對話實錄：

　　主持人：大家好！歡迎收看“行者有云”系列沙龍，本期我們討論的話題是“車企數據上云，如何構筑云上安全防線”，我們將圍繞數據安全和風險防御問題討論。車企在系列新規背景下，將采用怎樣的新手段、新模式來保證數據的合理開發利用，并有效防范潛在風險。非常有幸我們請到了兩位嘉賓和我們一起分享討論。一位是上海帆一尚行科技有限公司網絡安全總監、上汽騰訊網絡安全實驗室聯合負責人陳寧；另一位是騰訊安全策略發展中心總經理呂一平。

　　在智能化網聯化大變革下，一輛汽車在使用過程中產生的數據越來越多，隨著《個人信息保護法》和《汽車數據安全管理若干規定（試行）》頒布實施，企業在使用處理數據的時候，要遵守哪些行為準則？

　　陳寧：在《個網法》講得比較細致針對《個人信息保護法》有8類處理原則，大概總結：

　　第一，對于用戶個人信息數據的授權，信息處理，告訴用戶要收集個人信息，個人隱私數據要進行處理。

　　第二，處理過程中要注意處理流程，要保護和保密。

　　第三，數據收集，要符合相關的規定。對于汽車來說，有《汽車數據安全管理若干規定（試行）》，定得比較明確，這和《個網法》有相互呼應的關系，上面有《數據安全法》，以此為由展開。

　　呂一平：還有一點，去年下半年國家集中出臺了比如《個人隱私信息保護》，及《數據安全法》等法律法規。同時面向汽車行業，汽車行業本身屬于關鍵信息基礎設施行業，針對“關基”（關鍵信息基礎）行業也有一些相應的針對基礎安全和數據安全的要求。所以，這也是需要汽車行業各位同仁需要考慮的問題。

　　主持人：如果針對整個汽車數據來說，我們有什么樣的分類界定？

　　陳寧：現在最關鍵的第一步是，汽車數據不可避免要收集。汽車聯網以后，很多服務云化后，為了對汽車的一些服務以及汽車這狀態甚至說自動駕駛，這天然需要搜集很多數據，所以說數據搜集是不可避免的。現在我們覺得對于汽車數據搜集，首先真正的明確怎樣服務搜集數據，如果說要做自動駕駛相關的，那么最少應該搜集什么樣的數據，盡可能的還是少搜。不要說不做分類，不做區分一概搜集上來后面處理，這是不合法不合情的，這是第一個按照服務的細分來分。第二，數據的共享和流動，這也是很重要的因素，現在很多服務在云上之后，不僅是主機廠要收集數據，很多合作伙伴，比如車上應用需要第三方的數據，我們要把數據給他，數據在流通的過程中以什么樣的合法合規方式流通，以及我如何對它授權，如何對它約束，這要處理好。

　　最后，敏感數據的收集，現在汽車廠有大量的傳感器、攝像頭，對于用戶的面部輪廓，關鍵設施和關鍵單位的識別、存儲，是否要做相關的模糊化處理或透明處理，這也比較關鍵。

　　呂一平：我主要做補充，從汽車行業數據來講，不僅要保護數據，要脫敏，盡量按照服務手續收集數據。基于很大的前提是，收集數據時要進行分類分型，針對不同的類型利用手段去保護數據。汽車行業有幾大數據比較重要：

　　1、汽車研發過程中的車輛狀態，這些數據傳統一直做收集，這方面更多是車企自用，甚至從數據保護角度來講是比較容易實現的，因為汽車公司內部流轉數據。

　　2、和用戶相關的隱私數據，國家有明確的法律法規要做到保護和保密。針對不同的使用場景我們應該如何給到數據，需要通過分類分級的方法做明確的界定，并有對應的使用要求和規則。

　　3、從技術進入到其他行業帶來新的需求，比如傳感器受地理位置數據，高清地圖數據，這是相當敏感的數據領域，這會涉及到國家安全部分，車企需要非常關注這類問題。去年國家重點關注了一家海外車企這方面的問題，所以這也值得汽車行業重點關注的信息。

　　主持人：隨著一系列的新規的出臺，從車企角度來講，在主動防范上有哪些變化？

　　陳寧：有很多，結合各方數據安全規定，首先，按照上位法《網安法》來講車企相關車輛應用服務，肯定要通過等保測評。第二，通過等保，配套相關的網絡安全或者數據安全，配套的防范措施和防范的管理體系建立起來。第三，提出明確要求，用戶上車默認情況不收集數據。如果要收集數據要告訴用戶，清晰地告訴用戶要收集一些數據，且收集哪些數據。第四，在收集數據狀態中讓用戶知道我們正在收集你的數據，用戶有地方說不希望收集數據，屏蔽它。第五，盡量在車里將敏感的數據輪廓化和清晰化去掉，模糊化。盡量不要通過數據清楚地定義出一個人，這樣方便處理。

　　再往后，數據共享方面，該企業一開始只做商業合作，后面可能有一些約束，同時很重要的是按照《數據安全法》和汽車相關規定，每年12月25日左右要上報數據安全報告。中國汽車品牌開始向海外發展，根據規定要求要對相關的監管部門進行報備，并且在企業數據安全方面寫清楚，今年發生過幾次數據向境外輸出，以及經過相關評審，這些情況要說清楚。企業不僅僅是義務合規，還要滿足國家戰略需要。

　　主持人：在上述規定的使用數據和國家安全的前提下，數據如何反哺研發，開發相應的車聯網服務？

　　陳寧：這挑戰很大。

　　主持人：要實現兩者的平衡？

　　陳寧：對，基于我服務的內容收集相關數據，這是做到平衡的關鍵。如果只是判斷車的自動駕駛，只收一些和路況相關的信息，就不要收多余的信息，盡量精簡收集內容，比如只是采集一些路邊的圖象，車內的信息就不要收。現在有汽車保險，主要是根據用戶的駕駛習慣收集車輛數據，收集一般駕駛者的駕駛習慣就不要收集個人信息，這樣才能合法合情，又能反哺到業務。

　　第二，做分析時，流通方面盡量做到應用和數據分開，舉個典型的例子，現在自動駕駛數據的安全屋，可能確實采集了很多數據，經過合理處理之后放在數據模型箱里，我們做的事情是將計算模型放進去，用數據計算完之后最后拿出來是模型計算結果或者是模型存儲的算法，而不是數據本身，這不合理。在模型足夠成熟之后，這些數據可能銷毀掉或者撤掉，這可以比較好達成平衡。這需要付出很多努力。

　　呂一平：我們在去年國家出臺一系列數據安全相關規定時我們非常關注，因為互聯網有大量數據，很多互聯網業務都在線上。我們自己在推進數據安全保護方面做了很完整的展開，從產品的設計上，比如數據收集的最小化，包括用戶知情角度，數據使用需要用戶充分知悉并且充分授權，然后才能進行相應使用。

　　另外，應用和數據相應分離，騰訊在《數據安全法》出臺前兩三年已經做這方面的工作。特別是在不應該使用不合理數據提供下如何規避掉，我們在內部進行了工作。騰訊可以給汽車行業做一些交流和傳遞的工作，幫助行業更好地理解如何做數據安全建立。

　　主持人：對于外資或者合資車企來說，《個人信息保護法》和《汽車數據安全管理若干規定（試行）》相關規定對他們的影響是否更大？

　　陳寧：相對會大一點，但大體上差不多。首先是對于敏感信息的定義，對外資企業來說風險一樣。另外，用戶的存儲、流動也是一樣。對于外企挑戰最大的是數據不能出境，最大變化是跨境的問題。由于《個人信息保護法》和數據安全定義上，外資也要跟隨國家相關規定，可能要對自己做出規范。但大方向比較好，主要是促進問題。

　　主持人：騰訊和外資車企在這些領域是否有一些合作？

　　呂一平：其實外資車企面臨，在中國市場如何滿足國家合規性要求和規定，現在有一些海外業務在推進。不管歐洲還是美國地區，相應的個人信息隱私保護和合規，及數據使用的要求可能都有相應的要求。所以在歐洲和美國，中國企業屬于外資，其實大家遇到的挑戰一樣。對于車企來講，不管是合資還是外資品牌，都要考慮如何滿足本地的個人隱私保護和數據安全合規使用的要求，這其實是基本需要做到的工作。

　　從騰訊角度來講，騰訊在汽車行業定位一直是數字化助手的角色。我們不僅和合資和外資的車企，和上汽也在數據安全方面有很多交流，我們一起研究如何將數據安全保護的工作做好。相對來講，這個領域比較新，比如網絡安全、基礎的安全建設方面，中國已經經歷了幾十年的發展和建設，但數據安全對大家來說是一個新課題。隨著車企聯網和相應技術不斷落地的情況下，數據量會非常大，而且數據的集中度也不一定這么高。如何將數據安全保護工作做好是很有挑戰的課題。先要從汽車數據的分類分級開始，以此作為基礎再去延伸，根據不同級別和類別的數據進行相應保護措施，對應有技術的部分。

　　陳寧：關鍵是立法，以前沒有明確上位法，2016年有上位法出來之后，車企必須要符合法律。

　　主持人：除了數據合規收集和處理，也不能忽略的是汽車智能度越高，面臨潛在被攻擊的風險也越來越高，我們也出現過車子被攻擊的案例。這樣的場景在汽車中，是真的能實現的嗎？在車聯網中真的會有這樣的風險嗎？

　　陳寧：汽車傳統的物理邊界被打破了，大量的云上服務，大家可以用手機跟車進行互動。汽車擁抱了數字化，但擁抱了數字化的福利和變革也擁抱了數字化的風險，最典型的是云上服務，比如遠程車控、OTA等等，被不法分子利用之后，遠程的車輛造成一些群體性的影響。另外，手機APP，手機上有藍牙，APP設計或者接口不嚴謹，可能出現批量控制用戶APP，可以隨意開走任何一輛車。另外車聯網在車上暴露大屏、智能駕駛艙等等，這些是數字化東西，數字化的東西多少有軟件的問題會被人利用。1月份德國的小孩才19歲，利用了特斯拉的第三方的軟件的漏洞同時控制不同國家的車輛。數字化是大量的軟件大量的應用，人設計的東西總有一些問題。

　　主持人：呂總，之前設計的科恩實驗室破解了特斯拉和寶馬，反響很大，為什么做這樣的實驗？

　　呂一平：我們不是定義成“黑客”，我們定義為“白帽”，我們希望能改善各類產品和網絡的安全性，為之努力的一群專業技術研究團隊。當時為什么關注特斯拉和寶馬？我們在2016年看到了比較大的趨勢，汽車行業“四化”，對我們來講比較關心是網聯化和智能化，汽車聯網了，汽車的自動駕駛的能力，這和數字化結合程度非常高，當享受數字化福利的時候，肯定會面臨新技術引入帶來的風險。

　　汽車行業本身對安全非常關注的行業，那個安全叫“safety”，當時汽車行業更多關注safety的部分，對security部分理解不那么強。Security能對safety造成的影響理解不是很充分，當時我們選了兩個比較有代表性的車企，一是原生數字化，即網聯、智能化、新能源化的特斯拉。另外是傳統的從互聯網非智能化到智能化的標桿，寶馬在全球保有量非常高，我們做了相應的研究。的確發現了網絡安全問題，不僅對虛擬世界造成影響，對實際的行駛安全、人身安全，放大一點是公共安全。作為一個負責任的團隊，我們發現問題之后第一時間和特斯拉和寶馬做了相應的溝通，并且在沒有第三方參與情況下，全部將數據暴露給他們，他們修復之后一起聯合對外做發聲的工作，做發聲的工作目的是幫助行業更好地理解，在未來數字化的時代安全有重要的影響，也是讓它回歸到汽車行業對security的關注。

　　主持人：現階段網絡安全技術處于什么樣的水平？

　　呂一平：中國網絡安全技術能力非常出色，我們可以代表國際領先水平。對汽車行業來講，汽車進入到數字化時代才開始逐步關注網絡安全部分，所以起步相對晚一些。但我們看到很明顯的趨勢，即國內的各大OEM都在積極地布局網絡安全的專業能力和專業團隊的建設，比如陳寧博士帶領的上汽實驗室，4年前成立起來有專職的安全的人員，也有專項的安全能力的建設，逐步形成了上汽進入比較相對安全網絡體系，這是比較好的例子。國內其他OEM廠商也在實踐同樣的工作，專業團隊和專業能力建設在不斷地前進。

　　主持人：在已經有潛在風險存在的前提下，車企可以做哪些方案防御外部的攻擊，尤其是來自惡意的攻擊。

　　陳寧：我現在在上汽帆一尚行，現在的防御從云管邊端一層層防下來，傳統云驅動安全內容全部適用，不管從邊界的應用防火墻、APS到里面的防護，再到探視感知，我們對車輛相關的服務做保護。通道方面，主要是從云端到車端的通訊鏈路用加密方法進行加密，確保我們鏈路不會被截斷或者被中間人截取掉。同時對車之間相關傳輸的信息做加密，保證安全性和唯一性。

　　車上現在dirty端和clean端，前者是指暴露在外面，可以觸手可及的大屏，這些最明顯。在它投產之前不管做技術還是流程，設計方面從風險評估、安全設置、投產運營，對于產品的零件或者整車做一系列的測試研發，然后交付。交付之后有相關的防御措施，比如網關或者IDPS等等，通過它將車輛相關的模塊或者相關的服務隔開，確保車輛在行使過程中，關鍵通信和關鍵指令不會被人惡意篡改。

　　主持人：具體什么情況會用到安全網關，對車企研發來講是否剛需？

　　陳寧：隨著智能網聯化和電動化之后，網關已經是標準選配，相當于是一道防火墻，阻擋了相關請求。現在很難說硬件和軟件哪一項技術更重要，隨著零件集成度高了之后，對硬件芯片依賴層次更高，芯片越好，表示應用軟件的復雜度或者功能會越好。當然，從網關模塊的必要性來看不排除現在也有把網關做到相當重要的零部件，保證零件模塊之間也有防火墻，這是所謂預控的思路。

　　主持人：隨著我們對數據合規、安全要求越來越高，對車企來說是否意味著要更多投入？

　　陳寧：肯定要增加投入，因為國家立法，現在不是講人情，而是講法，肯定要增加投入。

　　呂一平：對，從我的角度來看，汽車行業是對安全關注度非常高的行業。在過去二三十年里，車企在功能安全方面和研發的投入和體系建設非常完備，功能安全成為了汽車質量管理體系很重要的關注點。隨著這兩年數字化帶來網絡安全風險和挑戰，這方面還是需要加強和加大投入。我個人希望網絡安全逐步進入到汽車質量管理體系，成為它的一部分。在網絡安全方面的投入更加成為研發投入的必要。

　　陳寧：這種投入可能并不是額外的投入。

　　呂一平：沒錯。

　　陳寧：就像security和safety，security引發了safety的問題，所以這些投入不是憑空多出來的投入，而是為了保證車輛質量投入必要的研發資金，從行業發展來說，這方面的投入必不可少。

　　主持人：剛剛兩位嘉賓的分享我們也意識到數據安全的重要性，從意識到重要性，到車企打造完善的網絡安全體系我們大概要經歷一個什么樣過程？

　　陳寧：這個過程很漫長，需要時間積累。對大部分汽車企業來說數字化是相對新的東西，就我前面提到，數字化有很多新的東西，也有很多風險，需要消化。具體到車上，汽車廠特別關注數據安全，但是我覺得數據安全只是大的安全里的一個內容，想做好數據安全要打好很多所謂的低階工作，比如云上安全、技術架構安全，很多相關的網絡安全建設先跟上去，比如云上的邊界防護、安全的監測、網絡安全的漏洞或者網絡安全響應的能力，這些都需要時間打磨。技術完全落地，這其實和汽車的有些概念不太完全一樣，因為對汽車來說，比如汽車某一個功能可能做不好的情況下換一個零件，或者買一個方案測試下可以用。但網絡安全本身和汽車所謂的功能安全有一點點不一樣，它的邊界相對模糊，沒有絕對的安全，也沒有絕對的攻不破的堡壘，這注定了需要很多時間去打磨和完善。現在汽車行業慢慢向網絡安全轉，很多功能要求是為了safety服務，但security也要慢慢理解safety的東西，對于主機廠來說，到底造成了什么樣的影響，對safety來說是比較抽象的東西，那么需要具體化，比如影響到車輛駕駛有很多safety，如果影響了數據安全，可能和safety沒有關系，而完全和security掛鉤，所以融合需要時間。同時在技術方面也需要時間去匹配，比如騰訊等互聯網企業、安全企業也需要時間更好地了解車輛技術，車輛技術天生需要注重安全，有些內容可以重合，比如個人隱私方面可以高度重合。

　　除了技術因素之外很重要的是人的因素，中國現在網絡安全的每年高校輸送畢業生大概是十來萬，但去年缺口是非常大，人才缺口越來越大，涉及到汽車網絡安全的人才缺口更大。所以我們需要時間找到這樣的人，或者培養這樣的團隊，讓他們適應到環境中，貢獻自己，將更好的技術能力賦能上去。

　　同時，以前汽車賣出去之后，使命基本上結束了，除非維修或者維保，不再關注車輛本身。但是，電動化和網絡化之后，車輛出去進入到一個新階段，稱之為車輛運營階段。因為要關注車輛的自動駕駛的狀態，關注用戶駕駛習慣或者用戶車輛的狀態，這些數據和狀態都需要專業的人，實時地提供所謂的監控或者服務或者異地響應，并不是買了一套工具，如果這么簡單的話找騰訊買一套工具擺在這里就萬事無憂了。但并不是如此，優秀的工具需要優秀的人才或者優秀的團隊使用，成熟的團隊人力因素很重要。

　　呂一平：剛才陳寧博士提到今天主要議題是如何做好數據安全底座，造堅固的城墻底座沒有做好的話，數據安全基本上是做不好的事情，的確需要周期。國家在出臺安全合規性要求越來越快，能給車企應對的時間非常緊張。所以在這個情況下，怎么樣能快速地將能力建立起來很重要，但目前看到一個挑戰是，對汽車行業來講，在數字化投入部分，在網絡安全投入只有2%到3%左右，而對于金融行業經歷了二十年的IT能力建設，目前網絡安全投入大概8%到10%。所以，投入加大可以加速能力建設。所以，我們非常建議汽車行業投入，要考慮到時間窗口并不太長，這是一個很大的挑戰和風險。

　　第二，關于人才能力建設和人才梯隊建設來看，我們看到這點，每年國家能夠通過高校體制培養出來的人才和行業真正需求有很大的差距，而且當出現嚴重失衡的情況下；人才有更大溢價能力，看到信息安全專業水平不斷地上來，這是供求關系失衡造成的問題。所以人才引入和培養是很大的過程，這是長周期的過程，但在市場上我們從外圍觀察，汽車行業傳統的新生代的體系是否可以支撐數字化時代下的需求。這是很大的挑戰，也是車企需要思考的問題，如何快速成為數字化公司，在數字化體系下對人才引入的政策更加靈活，人才薪酬待遇更加靈活，汽車行業在數字化時代所需要的新型人才和新型能力，這和投入相關，這個過程不會那么快。所以這需要汽車行業思考的重點。

　　陳寧：逐步發展的速度不能滿足現在國家政策或者國家監管的要求了，因為從2016年“網安法”（《網絡安全法》）發布之后，中間兩三年國家好像沒有做重大法律發布，這段時間是中國信息安全行業發展非常迅猛的時間。進入到2020年之后尤其是GDPR法發布之后，中國網絡節奏快很多。對汽車行業來講，最典型是WP29汽車網絡節奏明顯加快了。國家也意識到，汽車行業的技術能力高速發展，如果沒有匹配相關的政策或者法規指導的話可能會失控，所以給予大家的時間并不太充裕，大家要抓緊時間做跨越式發展。上汽確實這么做，很多技術的東西，包括帆一尚行，都從集團中獨立出來成立科技公司，可以更好地招引科技人才做相關的云計算、網絡安全、自動駕駛的技術研究或能力建設，也是為了更好地服務到企業主業，或者在行業中發出更多的能量，現在要抓緊時間了。

　　呂一平：我們很高興看到國內的汽車行業企業都在關注和落地這方面的動作，汽車行業快速發展過程中必須要面對的挑戰，如何迅速地將能力轉換做好，能夠將新時代的能力建設做好，這個過程中人才建設非常重要，特別是網絡安全人才需要什么都懂。如果做研發人才或者工程人才，專精開發的發言或者專精一套理論架構，這樣能完全可以工作。但對于網絡安全人才來看，比如系統要懂，應用要懂，軟件要懂，開發研發技術要懂，數據也要懂，還要懂公共安全，都要做相應的了解。所以網絡安全人才培養周期會比較長。

　　陳寧：確實也需要這樣的時間，汽車研發來看，以前一個車子大概40個月左右，現在快的話20個月也可以出一輛車，是什么人可以支撐這么快的速度20個月左右研發出一款車，肯定是科技人才、數字化軟件人才，車的迭代速度這么快，未來可能更快，可能15個月到18個月可以出一輛車，車輛迭代速度快代表安全跟上的東西更多，必須要有匹配的能力去跟上，否則坑會越來越多，所以節奏很快，人才團隊非常重要，工具可以通過金錢買到，但人及梯隊、know how必須通過時間沉淀。

　　主持人：現在網絡安全被納入車企的質量體系了嗎？

　　陳寧：國家正在起草相關的規定。在歐洲已經被納入了，WPR2511明確提到，車輛在歐盟銷售必須獲得VTI的認證，網絡安全已經成了車輛質量安全認證的一環。中國今年馬上也有相關質量安全掛鉤的網絡安全的要求，在車輛做投產和發布之前也要過相關的認證。

　　呂一平：我們建議大家關注安全更多考慮大范疇，功能安全+網絡安全，這個安全是整體的。

　　主持人：所以騰訊也是在幫助車企在這兩個安全方面做更多的融合？

　　呂一平：對。剛才陳寧博士提了上汽案例實踐，騰訊一直將自己定義為汽車行業助手的角色，助力汽車行業在安全方面形成自身的能力。所以我們更多關注點在于如何配合汽車行業客戶和合作伙伴更好地建立自身的能力。所以主要是這幾個方面：

　　第一，云上安全，大量互聯網服務，面向汽車使用用戶，這方面很多是基于云的體系在構建。騰訊云有大量的安全防護的方案和配置可以幫助汽車行業在云的服務端的部分，形成有效的安全防護能力。

　　第二，您剛才提到實驗室在車端的研究方面有很多積累和方面，我們比較好地理解，在車端存在的security和safety的風險，如何幫助車企建立能力更好地發現問題，延伸到滿足國家安全合規要求，我們能幫助車企做好，我們研發了和測試相關、合規相關的品牌和工具，助力到車企在這方面的能力建設。

　　第三，隨著Z一代作為購買主力進入到時代了，很多車企通過數字化營銷手段推動營銷。現在汽車金融也發展起來，通過線上模式可以申請到車企貸款的部分。基于這兩個場景，在數字化營銷場景下可能“黑產”會去薅羊毛，投入了很多營銷費用但沒有安全預期觸達到相應體量的用戶，而被“黑產”薅羊毛，營銷效果不好。另外是騙保、騙貸的情況比較多。這種場景下，騰訊可以提供解決方案，保證你在營銷過程中可以很好地觸達用戶，大大降低“黑產”薅羊毛的機率，大幅度減少騙貸。

　　第四，今天討論開始是數據安全，我認為數據安全不管對騰訊來講，還是對汽車行業來做是比較新的領域，需要共同探討，特別是怎么樣能夠比較清楚地界定哪些數據非常重要，如何做好面向汽車行業的分類分級，在此基礎上發揮數據安全保護的方案。騰訊在其他行業有一些數據安全的方案，但是我覺得并不一定完全滿足需求，我們希望和汽車行業的合作方，特別和上汽合作努力將這方面做好，也助力其他車企做好這方面工作。

　　主持人：具體到營銷場景中存在的“黑產”，我們能夠有一些防范措施幫助車企識別到惡意的行為？

　　呂一平：是的。因為騰訊本身需要對“黑產”的場景做對抗，騰訊有大量的業務，這是騰訊最大的積累。另外我們考慮如何將識別能力方面的積累助力到產業互聯網的發展過程中遇到類似問題。所以，方案不僅僅幫助汽車行業，其實我們和數字化營銷、數字化金融相關的行業，比如房地產、電動車行業、零售行業，我們都在采用這樣的反“黑產”反騙貸的方案幫助客戶。

　　主持人：有沒有反黑產的具體案例可以分享？比如以什么樣的場景下有可能產生了什么樣的“羊毛黨”或者惡意的行為，你們有具體的措施，剛才提到了理論上，具體案例包括車企的案例都可以。

　　呂一平：以薅羊毛舉例，車企做數字化營銷過程中發放一些優惠券，比如打折券，車企希望被真實有購買意向的用戶拿到，并促成成單，這是車企的訴求。但優惠券和打折券大量被“黑產”薅去了，薅完之后他們再通過黑產鏈銷售出去，真正打折和優惠的政策和服務并沒有惠及到真實的用戶，反而被“羊毛黨”薅了。

　　主持人：騰訊和上汽成立了網絡安全實驗室，是否可以具體講講車企和互聯網在網絡安全方面是如何進行互補合作的？

　　陳寧：聯合實驗室的成立，上汽本身從2018年開始專注在汽車網絡安全方面，覺得要做這件事事，當時騰訊和我們有一些合作。雙方各有所長，上汽對于汽車的理解，甚至有些汽車網絡安全的理念，我們更懂車，對于車輛網絡安全技術的運用和落地會更好一些。但騰訊作為中國優秀的互聯網企業，也有科恩這樣的優秀的科研機構，他們對車輛有很好的know how，“不知攻焉知防”，科恩做的事很好地展現了他們對于汽車攻擊手段的理解及know how。

　　上汽設計了相關防御措施之后，也需要建立自己的驗證和檢測體系。最大出發點是，雙方跨境融合，騰訊將優質的網絡安全的技術能力、檢測能力，甚至解決方案代入到我們生產力，我們將know how、落地場景和經驗理念和他們進行融合，最后形成強強組合，迸發出比較好的內容出來，實現聯合合作的初衷。

　　對于上汽來說，網絡安全也是很重要的部分，基于該原因，上汽決定和騰訊跨界合作，組織聯合實驗室在車聯網提升數字化方面做一些事情。

　　主持人：現在聯合實驗室取得哪些進展？

　　呂一平：首先感謝上汽的領導信任騰訊，愿意給騰訊合作的機會，大家做一些網絡安全的事情，這是比較基礎的關鍵能力，是屬于上汽數字化五大中心中非常重要的能力，給了我們機會。

　　具體落地方面我們也配合得非常默契。

　　在汽車行業賦能的幾個大方面：

　　第一，從云上安全方面，我們已經有一些防護方案，還包括混合云，針對車企在互聯網服務上，不同場景底座的需求我們在疊加這方面的能力，對車后臺部分做有效的賦能。

　　第二，在車端的防護方面，我們會參與一些車輛在車中智能座艙的設計和規劃工作，在設計和研發早期就能配合到一些安全方面的考慮，加入到產品中去。其次，在目前汽車行業研發周期比較長的情況下，驗證方面做好工作，是目前最有效最好的解決安全防護的階段。基于過去經驗和能力的工具平臺，我們和陳寧博士聯合開發了這項工作，助力上汽在這方面的輸出。另外有一些垂直的領域，比如在貨運終端產品下我們有參與，未來也有相應的解決方案。比如涉及到汽車產品，汽車智能化制造方面，還有數據安全，非常感謝上汽對我們的信任和支持。

　　陳寧：也非常感謝騰訊。

　　主持人：騰訊和上汽在打造網絡安全人才隊伍上有沒有可以分享的？

　　呂一平：騰訊有一個比較好的人才培養體系，我們和國內二十多所985和211高校有合作關系，國家提出要建一流的網絡安全學院，國內有十幾所重點高校將網絡安全作為一級學科做教學體系建設和人才培養建設。我覺得要依托最大和最好的人才培養體系工作，所以我們和二十多家高校有比較緊密的合作關系，而且騰訊都在做面向高校的人才工作賽，在高校中比較流行，騰訊目前TCC做了四年，這十年過程中將比賽做到國內一流水平，能夠吸引到五六十所高校來參與比賽。其中我們發現了很多人才，本身比賽需要的技術和網絡安全需要技術相關度非常高，通過這個過程也培養了一批人才，騰訊有比較重視的是校招和實習生的機制，我們很早可以鎖定一批比較看中的新生代的人才，每年都有一些新鮮血液進入到騰訊體系中。我們是通過這樣的機制做網絡安全人才培養工作，另外還有一些實驗室，實驗室的負責人都是業界的頂級專家，我們主要是搭配，既有領軍人物不斷地指引方向和做體系，包括人才培養。同時又有不斷地新鮮血液進入進來，使團隊越來越壯大和充實，在這樣的結合下形成了比較好的體系和能力。但是，這也花了時間，完全贊成陳寧博士所說，人才培養的確是長周期的工作。不僅要加大投入，還要做持續性投入，這點非常重要。

　　主持人：除了人才要求特別高之外，汽車行業的網絡安全相比其他行業來說還有什么特殊性或者難點？

　　陳寧：我覺得最大的挑戰是節奏上不一樣，以傳統網絡安全概念，當我們發現網絡安全問題的時候，第一時間在問題現場處理，比如一臺服務器中毒了，可以登錄到服務器上判斷問題，但對于汽車來說，當覺得它有問題的時候，無法遠程隨意做訪問或者處理，甚至這是違法。需要把它召回來到維修店看看，傳統工程數據和所謂數字化的數據完全不一樣，汽車缺陷處理情況下，比如傳統的車輛出問題，從發現問題到決定是否召回可能會經歷長達一年，或者在車輛保養期間在維修店里小批量地處理掉，這個時間比較長。但網絡安全問題是屬于來的快，時間窗口可能只有48個小時或者72個小時，如果沒有處理掉可能會遭到傷害。更糟的是，網絡安全變形也特別快，類似于新冠，時間更短，如果沒有匹配的網絡安全的應對和響應機制或者處理技術能力就很難應對節奏變化。比如汽車在數字化和智能化道路上堅定地走下去，在網絡安全的響應和速度要跟上，比如48個小時之內可以做安全的補丁或者修復，這是未來企業很大競爭力。企業在面對一些問題或者缺陷的時候，這種處理響應能夠非常快，如果還是按照召回的思路做，和現在主流的方向是相反的。

　　呂一平：原來汽車工程體系和現在數字化工程體系節奏完全不一樣。這兩套體系目前在并行發展方向中，總體趨勢，汽車行業決心很大，一定要數字化，作為數字行業進化的主方向。這兩套工程體系中，一邊希望高效地解決問題，一邊希望有一個流程來評估和處理問題。所以思維模式和解決問題的模式要不斷地做調整。

　　另外，我再補充一個點，2016年我們建立車聯網也做了一些調研，如果車的安全和傳統網絡安全比較大的區別，主要是涉及的能力棧和傳統網絡安全更寬廣，要懂車聯網絡一部分，也要有硬件的分析能力和硬件的測試能力，比如做PC端應用安全的時候關注到windows、IOS、安卓體系等。在PC和移動場景下操作性層面的標準化程度很高，OS標準化程度了之后應用標準化程度也很高，比如瀏覽器和各類應用。但在汽車場景下，不同車廠的技術路線不一樣，從系統來講，有不同的系統，每個車廠技術路線體系不同，這需要對各類系統有深度理解。所以這比傳統網絡安全更加復雜一些，周期也更長。這的確有一個問題，當時我們做車聯網的時候，我和其他行業做交流時提到一個概念叫“4C”，網絡安全要懂汽車，做汽車要懂網絡安全，大家要做溝通和相互了解。第二要跨界，跨領域，相互要深度地配合。第三要合作起來。第四要融合，這是最理想的狀態，大家形成更好合力，所以加大持續投入是一個趨勢。

　　主持人：非常感謝兩位嘉賓的分享，通過今天的討論我們對數據安全和整個在數據打造過程中的風險防范有了一個新的了解和收獲。

　　主持人：好的，感謝兩位嘉賓今天的分享，通過今天的討論我們對汽車領域的數據安全和風險防御有了更深入的了解，謝謝大家收看本期的“行者有云”沙龍，我們下期再見！

　　直播回放鏈接：https://gez.h5.xeknow.com/s/21Me7F