拥抱云时代安全新范式:云服务器安全漏洞扫描导言在当今云计算无处不在的时代,企业和组织正在以前所未有的速度采用云服务。随着这种采用率的提高,云服务器安全漏洞的风险也随之增加。为了应对这些威胁,采用全面的安全策略至关重要,其中包括定期进行云服务器安全漏洞扫描。云服务器安全漏洞的类型云服务器安全漏洞可能是多种多样的,包括:配置错误: 云服务器配置不当或未打补丁,可能为攻击者提供可趁之机。应用程序漏洞: 云应用程序中的代码缺陷可能允许攻击者远程执行代码或访问敏感数据。网络漏洞: 云服务器可能存在网络配置错误,使攻击者能够未经授权访问网络或发起拒绝服务攻击。供应链攻击: 云服务和应用程序可能依赖于存在漏洞的第三方组件,为攻击者提供了一个攻击媒介。云服务器安全漏洞扫描的重要性定期进行云服务器安全漏洞扫描至关重要,原因如下:识别和修复漏洞: 漏洞扫描可以检测云服务器中的已知和未知漏洞,使组织能够主动修复它们,防止攻击者利用它们。提高可见性: 扫描提供有关云服务器安全状况的清晰可见性,使组织能够了解风险并做出明智的决策。遵守法规: 许多行业法规要求定期进行漏洞扫描,以确保数据安全和保护。保护声誉: 云服务器安全漏洞可能导致数据泄露和声誉受损,漏洞扫描有助于防止这种情况发生。云服务器安全漏洞扫描最佳实践为了有效地进行云服务器安全漏洞扫描,请遵循以下最佳实践:使用专业的扫描工具: 投资专业的漏洞扫描工具可提供全面和准确的扫描结果。定期扫描: 定期扫描,例如每周或每月,以确保及时检测新的漏洞。覆盖所有资产: 扫描所有云服务器,包括虚拟机、容器和无服务器功能。报告和修复: 定期生成漏洞扫描报告并立即修复任何发现的漏洞。集成到安全流程: 将漏洞扫描纳入整体安全流程,例如风险管理和事件响应。云服务器安全漏洞扫描工具有几种云服务器安全漏洞扫描工具可供选择,包括:Nessus: 一种流行的商业漏洞扫描工具,提供广泛的扫描功能。OpenVAS: 一个开源漏洞扫描工具,可用于识别和修复漏洞。Acunetix: 一种专注于 Web 应用程序安全性的漏洞扫描工具。CloudSploit: 一种专门针对云环境的漏洞扫描工具。Qualys Vulnerability Management: 一种基于云的漏洞扫描服务,提供持续的漏洞评估和管理。结论在云时代,定期进行云服务器安全漏洞扫描对于保护组织免受网络威胁至关重要。通过实施全面的扫描策略,组织可以主动识别和修复漏洞,提高安全性并保护其数据和声誉。通过遵循最佳实践和利用专业的扫描工具,企业可以确保其云服务器免受不断变化的威胁。
华为拥抱OpenStack、力推企业云
华为要做公有云?2015年4~5月间,华为要做公有云的传闻令国内的云厂商颇为惊讶,消息一度令媒体兴奋了好一阵时间。
7月30日,华为在北京正式对外宣布其云服务战略,只不过“公有云”的名字再没有被提及。
这是自2010年华为首次发布 云计算 战略以来的另一个重要节点。
在7月30日的发布会上,华为轮值CEO徐直军表示:“云服务正在成为企业IT的新模式,这已经成为产业界的共识。
为了满足企业市场客户与合作伙伴在网络时代的新需求,华为决定推出企业云服务,这是华为ICT产品和解决方案的自然延伸。
”目前华为在全球已部署了255个云数据中心,云计算虚拟机超过70万个。
此外,华为在全球拥有5个云计算研发中心,相关的研发人员超人。
9月18日,一年一度的华为云计算大会(HCC2015)在上海世博中心开幕。
美国《连线》杂志的Kevin Kelly在主题演讲中表示,云就是未来。
他预言,2020年,将有60%的应用运营在云上,全球现有的9000多家云计算公司已经为人类提供了各种各样的产品和服务。
徐直军指出,企业的IT 架构 要云化不是一件容易的事情,需要全生态链的共同努力。
公有云显然并不是华为的优先选择,与运营商合作才是最好的方式。
华为IT产品线总裁郑叶来则进一步阐述了华为云计算的概念,即虚拟化纪元是Cloud 1.0的特征,以资源为核心则是Cloud 2.0的表现,以及以应用为核心的Cloud 3.0将是未来云计算的趋势。
全面拥抱 OpenStack 在本年度的华为云计算大会(HCC2015)上,华为发布了基于OpenStack的云 操作系统 FusionSphere 6.0,任何基于社区版本的第三方应用无需改动都能运行在FusionSphere上。
在笔者看来,FusionSphere 6.0在网络部分对SDN技术的集成管理是值得关注的部分。
此外,基于OpenStack的跨数据中心云灾备解决方案也一并推出。
华为云计算首席架构师顾炯炯在接受InfoQ采访时表示,目前全球有300多家厂商参与OpenStack贡献,华为从G版本开始参与社区,在最新L版本(受访时)中的综合贡献排名第六,而三年前华为的排名只不过是第二十名。
FusionSphere坚持开放原则,即拥抱开源、高于开源、回馈开源。
在19日的开源与云应用主题论坛上,顾炯炯详细介绍了华为的公有云架构设计,听众云集以至于笔者未能挤进会场只好站在门外听完顾大师的演讲。
顾炯炯在演讲中透露,除了全面拥抱OpenStack,华为FusionSphere还基于开源的Cloud Foundry集成了DevOps技术支持。
作为华为三大软件之一,FusionSphere实现了与华为硬件的解耦,并通过了全球300多家主流硬件厂商的兼容验证。
在开源社区版本的基础上,华为FusionSphere系统做了如下产品化增强: HA framework:解决OpenStack管理进程存在单实例单点故障的问题。
支持OpenStack的服务多实例负荷分担方式部署,单个物理服务故障的时候不影响OpenStack功能的使用。
Auto Deployment:数据中心内的所有物理服务器都可以被自动化的安装并纳入云资源池管理。
安装服务通过PXE方式将Hypervisor、OpenStack等必须的云平台软件包按照配置部署到对应的物理服务器中。
实现整个云平台的快速安装和快速扩容。
Smooth upgrade:提供采用UI界面的升级工具实现全系统的平滑升级。
升级过程中通过将虚拟机从被升级节点迁移到其它节点的方式保证虚拟机业务不中断。
Log & Monitor:提供全系统的操作日志记录与性能监控功能。
监控全系统的物理服务器性能数据和虚拟机的性能数据。
API proxy:通过API proxy实现OpenStack内部管理网络与外部网络的隔离,提升openStack服务的网络安全性。
Backup:提供全系统的管理数据备份功能。
包括OpenStack的所有管理数据的备份和FusionMananger管理数据的备份功能。
除了在OpenStac外围做了产品化增强,华为还在OpenStack和KVM里面针对NFV做了功能增强,如资源调度功能、性能优化、高可用HA。
网络、存储以及容器 网络与存储目前仍然是云计算最赚钱的业务,2015年6月,IDC报告显示华为存储全球收入增长率连续七个季度第一。
在今年的华为云计算大会(HCC2015)上,华为联合QLogic基于25Gb以太网技术联合发布了横向扩展文件存储系统。
通过收购博通的NS2技术,QLogic在以太网市场的占有率达到了26%之多。
华为存储产品线副总裁肖苡在接受媒体采访时认为,未来高端存储介质将走向SSD,海量数据必然会影响企业数据存储的架构,数据中心横向扩展将面临更大的挑战。
数据中心建设对以太网技术的要求也从10Gb这个量级提高到100Gb的量级。
QLogic亚太区资深首席产品经理陈介颂在演讲中表示,25Gb技术将使带宽和性能提升2.5倍,同时端口成本降低50%,通过线性扩展系统整体带宽可达400GB/s,这对高负载I/O的用户来说是一个令人眼前一亮的提升。
此外,采用RoCE协议也大大降低了CPU负载和网络延时。
当然,这些高性能需要华为硬件设备的支撑。
华为企业核心网解决方案总经理杨军在接受媒体采访时表示,企业云通信在快速增长,占比将从2015年的20%增长到2019年的50%,市场规模超过200亿元。
华为企业云通信支持SaaS和PaaS两个层面的服务,企业可以在公有云或者自己的私有云上部署。
作为较早支持NFV的厂商,华为凭借长期以来运营商市场的经验,可以通过定制化解决系统对接、集成和升级等等问题。
华为企业BG UC&C MKT与解决方案销售部部长林明则指出,随着互联网服务的边界越来越模糊,未来云通信的发展将基于统一的基础,通信的可靠性、稳定性需求会越来越高,针对横向扩展的问题,目前的SDK是一个过渡方案。
华为做的事情总结起来有两点,即向上开放API,向下开放SDK。
当笔者问到对容器技术的支持时,华为云计算首席架构师顾炯炯表示,随着IT业务越来越互联网化,应用弹性问题其实并没有非常好的被解决。
华为会考虑将 Docker 与OpenStack相结合,华为有一个开源项目作为Docker调度与编排的引擎,可以实现在基础设施层面对容器管理的自动化。
这跟OpenStack基础设施云服务形成一个优势互补整体解决方案。
因此,容器与 微服务 将在未来一段时间呈现并存的关系。
当笔者追问华为容器云服务的进展时,顾大师表示今年年底华为将发布一个在线 测试 版的容器服务。
长安汽车开启“数智新汽车”时代,新物种触手可及
9月4日,长安汽车以“科技新生 随你而变”为主题,召开“2023长安汽车科技生态大会”,以新汽车为载体,首发长安汽车智能化领域全新量产技术成果,现场进行新汽车场景化演绎,以引领者的身份入场,开启“数智新汽车”时代,新汽车就是长安汽车。
长安汽车开启“数智新汽车”时代
拥抱数智时代,电动化只是基础,电动汽车不会是汽车产业的终局,数智将成为实现美好跃迁的“杀手锏”。在能源赛道升级为数智赛道的时代,长安汽车牢记“引领汽车文明 造福人类生活”的企业使命,以SDA架构为数智支持,以新汽车为载体,强大硬核科技实力与体系实力全面赋能新汽车打造与企业科技转型,助力长安汽车成为“数智新汽车”时代的引领者!
长安汽车始终秉承“引领汽车文明 造福人类生活”的使命,持续推进第三次创业——创新创业计划,深入实施新能源“香格里拉”、智能化“北斗天枢”、全球化“海纳百川”计划,布局长安启源、深蓝汽车、阿维塔三大智能电动品牌,形成满足不同细分市场需求的新发展格局,全力向智能低碳出行科技公司转型,向世界一流汽车品牌迈进。
新能源领域,深耕“三电”核心技术,坚持“真安全”造车理念,做对用户负责的企业,持续强化电动车安全技术研究,打造iBC数字电池管家,应用磷酸铁锂电池,实现不起火、不冒烟,真安全。
“七合一”超集电驱、“七合一”智能整车域控制器处于行业先进水平。
智能化领域,创新开发SDA平台架构,实现全球开创性产业化的中央+区域环网架构开发及车型搭载,系统时间同步精度控制在1微秒内,单点通信故障可无感恢复,达到行业领先水平。
研发APA7.0远程无人代客泊车技术,稳如“老司机”,让用户放心无忧泊车。
打造行业领先的“灯塔工厂”,构建数字孪生全场景,部署30类算法模型,实时监控运营指标,实现制造全过程数字化,制造效率提升20%。
运用一体化压铸、钢铝混合生产等先进工艺技术,焊接自动化率达95%。
数字化领域,基于“云-网-平台-场景”,整合140余个业务系统,构建100余个数字化场景,运营能力大幅提升;持续优化国际领先的精益制造体系,OTD交付周期缩短26.4%,同时可实现2850种个性化定制选择,快速满足用户的不同需求。
新汽车的新标准
“数智新汽车”时代已然到来,新的基因一定会进化出汽车新物种。
长安新汽车把传统汽车打造为拥有智慧和情感的“智能汽车机器人”,重塑人、车、生活之间的全新数智生态。
新汽车基于SDA智能数字化平台架构打造,带来的是用户体验的全面进化,其核心打造“硬件可插拔、场景可编排、生态可随需、系统自进化”的新汽车特征,让用户拥有一台真正属于自己的数智进化新汽车。
光影随行(DLP投影大灯):行业领先的DLP迎宾灯效。
DLP投影大灯及数字前脸,都可支持灯光编排。
如果用户不想创作,也可以直接下载其他用户上传的预设方案。
小小的车内空间可变为千人千面的灯光秀场。
Digital FACE(数字前脸):全球首发车外人车互动助手与视觉信息提示。
交互屏自定义模式:上传图片、绘制图画、文本输入,配合其他灯光部件创作自定义个性灯语;拟人化的表情呈现在交互屏上,强化人与车之间的互动性与科技感;炫彩灯效、节日小彩蛋,加强人与车的互动。
全场景可编排语音:全球首台全域语音交互汽车。
全域语音,车内车外均可控制音乐、空调、车窗、 后备箱、后穹顶。
远程自动接驾:推出无忧领航、轻松巡航、放心泊车、安心护航四个服务包,逐步实现用户出行“电梯口”到“电梯口”的全时陪驾、分时代驾。
空间、形态可随你而变:行业首发的多场景、多用途、可变空间。
基于强大的了SDA架构,长安汽车为新汽车赋予了“智脑”、“智体”、“智服”。
“SDA”的本意就是“Super DNA”,是长安汽车针对“软件定义汽车”的具体实践方案,分为L1-L6六层。
通过创新构建起集中化的电子电气架构、服务化的软件架构、标准化与抽象化的硬件架构,满足不断迭代升级的需求,以更高的效率赋能新汽车的打造。
科技现代化的新趋势,也是汽车产业“下半场”竞争的核心关键,在能源赛道升级为数智赛道的时代,长安汽车加速抢占数智化赛道,以SDA架构为数智支持,以新汽车为载体,强大硬核科技实力与体系实力全面赋能新汽车打造与企业科技转型,助力长安汽车成为“数智新汽车”时代的引领者!
万字干货|新规下,车企如何建设数据安全体系?
随着智能网联化、数字化发展,汽车数据安全和网络风险防范成为行业密切关注的难题。
汽车传统的物理边界被打破,出现了大量的云上服务,比如车联网、自动驾驶技术、OTA等等,相应的,汽车产生的数据也越来越多。
相关数据显示,一辆智能网联汽车每天大概会产生 10TB 的数据,这些数据包含驾驶人员的出行轨迹、驾乘习惯、车内语音图像等个人信息,也包含车辆实时收集到的地图数据等。
随着《个人信息保护法》、《汽车数据安全管理若干规定(试行)》的颁布实施,对数据的合规分类收集和使用提出了更为严格的要求。
同时,也有汽车品牌近来遭受到网络黑客攻击,造成不小的损失和安全风险。
如何平衡数据使用的合规与高效,并在全面上云的背景下构筑扎实的安全防线,成为整个行业密切关注的话题和迫切需要解决的难题。
此此背景下,腾讯智慧出行与汽车之心联合策划了「行者有云」系列沙龙第二期——《车企上云,如何构筑云上安全防线?》,聚焦汽车数据的合规使用和安全防范问题,加速车企构建在数据网络安全领域的竞争力。
本期沙龙邀请到上海帆一尚行科技有限公司网络安全总监、上汽腾讯网络安全联合实验室负责人陈宁,腾讯安全策略发展中心总经理吕一平,共同探讨车企数据安全防护建设和未来趋势发展并发表了独到精辟的见解。
以下为沙龙对话实录:
主持人:大家好!欢迎收看“行者有云”系列沙龙,本期我们讨论的话题是“车企数据上云,如何构筑云上安全防线”,我们将围绕数据安全和风险防御问题讨论。
车企在系列新规背景下,将采用怎样的新手段、新模式来保证数据的合理开发利用,并有效防范潜在风险。
非常有幸我们请到了两位嘉宾和我们一起分享讨论。
一位是上海帆一尚行科技有限公司网络安全总监、上汽腾讯网络安全实验室联合负责人陈宁;另一位是腾讯安全策略发展中心总经理吕一平。
在智能化网联化大变革下,一辆汽车在使用过程中产生的数据越来越多,随着《个人信息保护法》和《汽车数据安全管理若干规定(试行)》颁布实施,企业在使用处理数据的时候,要遵守哪些行为准则?
陈宁:在《个网法》讲得比较细致针对《个人信息保护法》有8类处理原则,大概总结:
第一,对于用户个人信息数据的授权,信息处理,告诉用户要收集个人信息,个人隐私数据要进行处理。
第二,处理过程中要注意处理流程,要保护和保密。
第三,数据收集,要符合相关的规定。
对于汽车来说,有《汽车数据安全管理若干规定(试行)》,定得比较明确,这和《个网法》有相互呼应的关系,上面有《数据安全法》,以此为由展开。
吕一平:还有一点,去年下半年国家集中出台了比如《个人隐私信息保护》,及《数据安全法》等法律法规。
同时面向汽车行业,汽车行业本身属于关键信息基础设施行业,针对“关基”(关键信息基础)行业也有一些相应的针对基础安全和数据安全的要求。
所以,这也是需要汽车行业各位同仁需要考虑的问题。
主持人:如果针对整个汽车数据来说,我们有什么样的分类界定?
陈宁:现在最关键的第一步是,汽车数据不可避免要收集。
汽车联网以后,很多服务云化后,为了对汽车的一些服务以及汽车这状态甚至说自动驾驶,这天然需要搜集很多数据,所以说数据搜集是不可避免的。
现在我们觉得对于汽车数据搜集,首先真正的明确怎样服务搜集数据,如果说要做自动驾驶相关的,那么最少应该搜集什么样的数据,尽可能的还是少搜。
不要说不做分类,不做区分一概搜集上来后面处理,这是不合法不合情的,这是第一个按照服务的细分来分。
第二,数据的共享和流动,这也是很重要的因素,现在很多服务在云上之后,不仅是主机厂要收集数据,很多合作伙伴,比如车上应用需要第三方的数据,我们要把数据给他,数据在流通的过程中以什么样的合法合规方式流通,以及我如何对它授权,如何对它约束,这要处理好。
最后,敏感数据的收集,现在汽车厂有大量的传感器、摄像头,对于用户的面部轮廓,关键设施和关键单位的识别、存储,是否要做相关的模糊化处理或透明处理,这也比较关键。
吕一平:我主要做补充,从汽车行业数据来讲,不仅要保护数据,要脱敏,尽量按照服务手续收集数据。
基于很大的前提是,收集数据时要进行分类分型,针对不同的类型利用手段去保护数据。
汽车行业有几大数据比较重要:
1、汽车研发过程中的车辆状态,这些数据传统一直做收集,这方面更多是车企自用,甚至从数据保护角度来讲是比较容易实现的,因为汽车公司内部流转数据。
2、和用户相关的隐私数据,国家有明确的法律法规要做到保护和保密。
针对不同的使用场景我们应该如何给到数据,需要通过分类分级的方法做明确的界定,并有对应的使用要求和规则。
3、从技术进入到其他行业带来新的需求,比如传感器受地理位置数据,高清地图数据,这是相当敏感的数据领域,这会涉及到国家安全部分,车企需要非常关注这类问题。
去年国家重点关注了一家海外车企这方面的问题,所以这也值得汽车行业重点关注的信息。
主持人:随着一系列的新规的出台,从车企角度来讲,在主动防范上有哪些变化?
陈宁:有很多,结合各方数据安全规定,首先,按照上位法《网安法》来讲车企相关车辆应用服务,肯定要通过等保测评。
第二,通过等保,配套相关的网络安全或者数据安全,配套的防范措施和防范的管理体系建立起来。
第三,提出明确要求,用户上车默认情况不收集数据。
如果要收集数据要告诉用户,清晰地告诉用户要收集一些数据,且收集哪些数据。
第四,在收集数据状态中让用户知道我们正在收集你的数据,用户有地方说不希望收集数据,屏蔽它。
第五,尽量在车里将敏感的数据轮廓化和清晰化去掉,模糊化。
尽量不要通过数据清楚地定义出一个人,这样方便处理。
再往后,数据共享方面,该企业一开始只做商业合作,后面可能有一些约束,同时很重要的是按照《数据安全法》和汽车相关规定,每年12月25日左右要上报数据安全报告。
中国汽车品牌开始向海外发展,根据规定要求要对相关的监管部门进行报备,并且在企业数据安全方面写清楚,今年发生过几次数据向境外输出,以及经过相关评审,这些情况要说清楚。
企业不仅仅是义务合规,还要满足国家战略需要。
主持人:在上述规定的使用数据和国家安全的前提下,数据如何反哺研发,开发相应的车联网服务?
陈宁:这挑战很大。
主持人:要实现两者的平衡?
陈宁:对,基于我服务的内容收集相关数据,这是做到平衡的关键。
如果只是判断车的自动驾驶,只收一些和路况相关的信息,就不要收多余的信息,尽量精简收集内容,比如只是采集一些路边的图象,车内的信息就不要收。
现在有汽车保险,主要是根据用户的驾驶习惯收集车辆数据,收集一般驾驶者的驾驶习惯就不要收集个人信息,这样才能合法合情,又能反哺到业务。
第二,做分析时,流通方面尽量做到应用和数据分开,举个典型的例子,现在自动驾驶数据的安全屋,可能确实采集了很多数据,经过合理处理之后放在数据模型箱里,我们做的事情是将计算模型放进去,用数据计算完之后最后拿出来是模型计算结果或者是模型存储的算法,而不是数据本身,这不合理。
在模型足够成熟之后,这些数据可能销毁掉或者撤掉,这可以比较好达成平衡。
这需要付出很多努力。
吕一平:我们在去年国家出台一系列数据安全相关规定时我们非常关注,因为互联网有大量数据,很多互联网业务都在线上。
我们自己在推进数据安全保护方面做了很完整的展开,从产品的设计上,比如数据收集的最小化,包括用户知情角度,数据使用需要用户充分知悉并且充分授权,然后才能进行相应使用。
另外,应用和数据相应分离,腾讯在《数据安全法》出台前两三年已经做这方面的工作。
特别是在不应该使用不合理数据提供下如何规避掉,我们在内部进行了工作。
腾讯可以给汽车行业做一些交流和传递的工作,帮助行业更好地理解如何做数据安全建立。
主持人:对于外资或者合资车企来说,《个人信息保护法》和《汽车数据安全管理若干规定(试行)》相关规定对他们的影响是否更大?
陈宁:相对会大一点,但大体上差不多。
首先是对于敏感信息的定义,对外资企业来说风险一样。
另外,用户的存储、流动也是一样。
对于外企挑战最大的是数据不能出境,最大变化是跨境的问题。
由于《个人信息保护法》和数据安全定义上,外资也要跟随国家相关规定,可能要对自己做出规范。
但大方向比较好,主要是促进问题。
主持人:腾讯和外资车企在这些领域是否有一些合作?
吕一平:其实外资车企面临,在中国市场如何满足国家合规性要求和规定,现在有一些海外业务在推进。
不管欧洲还是美国地区,相应的个人信息隐私保护和合规,及数据使用的要求可能都有相应的要求。
所以在欧洲和美国,中国企业属于外资,其实大家遇到的挑战一样。
对于车企来讲,不管是合资还是外资品牌,都要考虑如何满足本地的个人隐私保护和数据安全合规使用的要求,这其实是基本需要做到的工作。
从腾讯角度来讲,腾讯在汽车行业定位一直是数字化助手的角色。
我们不仅和合资和外资的车企,和上汽也在数据安全方面有很多交流,我们一起研究如何将数据安全保护的工作做好。
相对来讲,这个领域比较新,比如网络安全、基础的安全建设方面,中国已经经历了几十年的发展和建设,但数据安全对大家来说是一个新课题。
随着车企联网和相应技术不断落地的情况下,数据量会非常大,而且数据的集中度也不一定这么高。
如何将数据安全保护工作做好是很有挑战的课题。
先要从汽车数据的分类分级开始,以此作为基础再去延伸,根据不同级别和类别的数据进行相应保护措施,对应有技术的部分。
陈宁:关键是立法,以前没有明确上位法,2016年有上位法出来之后,车企必须要符合法律。
主持人:除了数据合规收集和处理,也不能忽略的是汽车智能度越高,面临潜在被攻击的风险也越来越高,我们也出现过车子被攻击的案例。这样的场景在汽车中,是真的能实现的吗?在车联网中真的会有这样的风险吗?
陈宁:汽车传统的物理边界被打破了,大量的云上服务,大家可以用手机跟车进行互动。
汽车拥抱了数字化,但拥抱了数字化的福利和变革也拥抱了数字化的风险,最典型的是云上服务,比如远程车控、OTA等等,被不法分子利用之后,远程的车辆造成一些群体性的影响。
另外,手机APP,手机上有蓝牙,APP设计或者接口不严谨,可能出现批量控制用户APP,可以随意开走任何一辆车。
另外车联网在车上暴露大屏、智能驾驶舱等等,这些是数字化东西,数字化的东西多少有软件的问题会被人利用。
1月份德国的小孩才19岁,利用了特斯拉的第三方的软件的漏洞同时控制不同国家的车辆。
数字化是大量的软件大量的应用,人设计的东西总有一些问题。
主持人:吕总,之前设计的科恩实验室破解了特斯拉和宝马,反响很大,为什么做这样的实验?
吕一平:我们不是定义成“黑客”,我们定义为“白帽”,我们希望能改善各类产品和网络的安全性,为之努力的一群专业技术研究团队。
当时为什么关注特斯拉和宝马?我们在2016年看到了比较大的趋势,汽车行业“四化”,对我们来讲比较关心是网联化和智能化,汽车联网了,汽车的自动驾驶的能力,这和数字化结合程度非常高,当享受数字化福利的时候,肯定会面临新技术引入带来的风险。
汽车行业本身对安全非常关注的行业,那个安全叫“safety”,当时汽车行业更多关注safety的部分,对security部分理解不那么强。
Security能对safety造成的影响理解不是很充分,当时我们选了两个比较有代表性的车企,一是原生数字化,即网联、智能化、新能源化的特斯拉。
另外是传统的从互联网非智能化到智能化的标杆,宝马在全球保有量非常高,我们做了相应的研究。
的确发现了网络安全问题,不仅对虚拟世界造成影响,对实际的行驶安全、人身安全,放大一点是公共安全。
作为一个负责任的团队,我们发现问题之后第一时间和特斯拉和宝马做了相应的沟通,并且在没有第三方参与情况下,全部将数据暴露给他们,他们修复之后一起联合对外做发声的工作,做发声的工作目的是帮助行业更好地理解,在未来数字化的时代安全有重要的影响,也是让它回归到汽车行业对security的关注。
主持人:现阶段网络安全技术处于什么样的水平?
吕一平:中国网络安全技术能力非常出色,我们可以代表国际领先水平。
对汽车行业来讲,汽车进入到数字化时代才开始逐步关注网络安全部分,所以起步相对晚一些。
但我们看到很明显的趋势,即国内的各大OEM都在积极地布局网络安全的专业能力和专业团队的建设,比如陈宁博士带领的上汽实验室,4年前成立起来有专职的安全的人员,也有专项的安全能力的建设,逐步形成了上汽进入比较相对安全网络体系,这是比较好的例子。
国内其他OEM厂商也在实践同样的工作,专业团队和专业能力建设在不断地前进。
主持人:在已经有潜在风险存在的前提下,车企可以做哪些方案防御外部的攻击,尤其是来自恶意的攻击。
陈宁:我现在在上汽帆一尚行,现在的防御从云管边端一层层防下来,传统云驱动安全内容全部适用,不管从边界的应用防火墙、APS到里面的防护,再到探视感知,我们对车辆相关的服务做保护。
通道方面,主要是从云端到车端的通讯链路用加密方法进行加密,确保我们链路不会被截断或者被中间人截取掉。
同时对车之间相关传输的信息做加密,保证安全性和唯一性。
车上现在dirty端和clean端,前者是指暴露在外面,可以触手可及的大屏,这些最明显。
在它投产之前不管做技术还是流程,设计方面从风险评估、安全设置、投产运营,对于产品的零件或者整车做一系列的测试研发,然后交付。
交付之后有相关的防御措施,比如网关或者IDPS等等,通过它将车辆相关的模块或者相关的服务隔开,确保车辆在行使过程中,关键通信和关键指令不会被人恶意篡改。
主持人:具体什么情况会用到安全网关,对车企研发来讲是否刚需?
陈宁:随着智能网联化和电动化之后,网关已经是标准选配,相当于是一道防火墙,阻挡了相关请求。
现在很难说硬件和软件哪一项技术更重要,随着零件集成度高了之后,对硬件芯片依赖层次更高,芯片越好,表示应用软件的复杂度或者功能会越好。
当然,从网关模块的必要性来看不排除现在也有把网关做到相当重要的零部件,保证零件模块之间也有防火墙,这是所谓预控的思路。
主持人:随着我们对数据合规、安全要求越来越高,对车企来说是否意味着要更多投入?
陈宁:肯定要增加投入,因为国家立法,现在不是讲人情,而是讲法,肯定要增加投入。
吕一平:对,从我的角度来看,汽车行业是对安全关注度非常高的行业。
在过去二三十年里,车企在功能安全方面和研发的投入和体系建设非常完备,功能安全成为了汽车质量管理体系很重要的关注点。
随着这两年数字化带来网络安全风险和挑战,这方面还是需要加强和加大投入。
我个人希望网络安全逐步进入到汽车质量管理体系,成为它的一部分。
在网络安全方面的投入更加成为研发投入的必要。
陈宁:这种投入可能并不是额外的投入。
吕一平:没错。
陈宁:就像security和safety,security引发了safety的问题,所以这些投入不是凭空多出来的投入,而是为了保证车辆质量投入必要的研发资金,从行业发展来说,这方面的投入必不可少。
主持人:刚刚两位嘉宾的分享我们也意识到数据安全的重要性,从意识到重要性,到车企打造完善的网络安全体系我们大概要经历一个什么样过程?
陈宁:这个过程很漫长,需要时间积累。
对大部分汽车企业来说数字化是相对新的东西,就我前面提到,数字化有很多新的东西,也有很多风险,需要消化。
具体到车上,汽车厂特别关注数据安全,但是我觉得数据安全只是大的安全里的一个内容,想做好数据安全要打好很多所谓的低阶工作,比如云上安全、技术架构安全,很多相关的网络安全建设先跟上去,比如云上的边界防护、安全的监测、网络安全的漏洞或者网络安全响应的能力,这些都需要时间打磨。
技术完全落地,这其实和汽车的有些概念不太完全一样,因为对汽车来说,比如汽车某一个功能可能做不好的情况下换一个零件,或者买一个方案测试下可以用。
但网络安全本身和汽车所谓的功能安全有一点点不一样,它的边界相对模糊,没有绝对的安全,也没有绝对的攻不破的堡垒,这注定了需要很多时间去打磨和完善。
现在汽车行业慢慢向网络安全转,很多功能要求是为了safety服务,但security也要慢慢理解safety的东西,对于主机厂来说,到底造成了什么样的影响,对safety来说是比较抽象的东西,那么需要具体化,比如影响到车辆驾驶有很多safety,如果影响了数据安全,可能和safety没有关系,而完全和security挂钩,所以融合需要时间。
同时在技术方面也需要时间去匹配,比如腾讯等互联网企业、安全企业也需要时间更好地了解车辆技术,车辆技术天生需要注重安全,有些内容可以重合,比如个人隐私方面可以高度重合。
除了技术因素之外很重要的是人的因素,中国现在网络安全的每年高校输送毕业生大概是十来万,但去年缺口是非常大,人才缺口越来越大,涉及到汽车网络安全的人才缺口更大。
所以我们需要时间找到这样的人,或者培养这样的团队,让他们适应到环境中,贡献自己,将更好的技术能力赋能上去。
同时,以前汽车卖出去之后,使命基本上结束了,除非维修或者维保,不再关注车辆本身。
但是,电动化和网络化之后,车辆出去进入到一个新阶段,称之为车辆运营阶段。
因为要关注车辆的自动驾驶的状态,关注用户驾驶习惯或者用户车辆的状态,这些数据和状态都需要专业的人,实时地提供所谓的监控或者服务或者异地响应,并不是买了一套工具,如果这么简单的话找腾讯买一套工具摆在这里就万事无忧了。
但并不是如此,优秀的工具需要优秀的人才或者优秀的团队使用,成熟的团队人力因素很重要。
吕一平:刚才陈宁博士提到今天主要议题是如何做好数据安全底座,造坚固的城墙底座没有做好的话,数据安全基本上是做不好的事情,的确需要周期。
国家在出台安全合规性要求越来越快,能给车企应对的时间非常紧张。
所以在这个情况下,怎么样能快速地将能力建立起来很重要,但目前看到一个挑战是,对汽车行业来讲,在数字化投入部分,在网络安全投入只有2%到3%左右,而对于金融行业经历了二十年的IT能力建设,目前网络安全投入大概8%到10%。
所以,投入加大可以加速能力建设。
所以,我们非常建议汽车行业投入,要考虑到时间窗口并不太长,这是一个很大的挑战和风险。
第二,关于人才能力建设和人才梯队建设来看,我们看到这点,每年国家能够通过高校体制培养出来的人才和行业真正需求有很大的差距,而且当出现严重失衡的情况下;人才有更大溢价能力,看到信息安全专业水平不断地上来,这是供求关系失衡造成的问题。
所以人才引入和培养是很大的过程,这是长周期的过程,但在市场上我们从外围观察,汽车行业传统的新生代的体系是否可以支撑数字化时代下的需求。
这是很大的挑战,也是车企需要思考的问题,如何快速成为数字化公司,在数字化体系下对人才引入的政策更加灵活,人才薪酬待遇更加灵活,汽车行业在数字化时代所需要的新型人才和新型能力,这和投入相关,这个过程不会那么快。
所以这需要汽车行业思考的重点。
陈宁:逐步发展的速度不能满足现在国家政策或者国家监管的要求了,因为从2016年“网安法”(《网络安全法》)发布之后,中间两
