瞭望访谈丨邬江兴院士：瞄准“先天防御力”建设车联网

◆将“设计安全”“开箱即用”的“默认安全”作为车联网数字产品的质量规范和市场准入门槛。在车联网中推行“谁设计谁负责、谁制造谁负责、谁销售谁负责”的网络安全责任和质量控制新体系

瞭望访谈丨瞄准“先天防御力”建设车联网——专访中国工程院院士邬江兴

6月4日，工业和信息化部等四部门联合印发通知，部署开展智能网联汽车准入和上路通行试点工作，确定了9个进入试点的联合体，将基于试点积累管理经验，健全完善智能网联汽车生产准入和道路安全管理体系。

此前的1月份，工业和信息化部等五部门联合印发通知，部署开展智能网联汽车“车路云一体化”应用试点工作，试点内容包括建设智能化路侧基础设施、开展规模化示范应用、探索高精度地图安全应用等九个方面，将建成一批架构相同、标准统一、业务互通、安全可靠的城市级应用试点项目。

随着相关法律法规及测试评价体系的完善、智能化路侧基础设施的建设，我国“车路云一体化”商业化进入新阶段。中国工程院院士邬江兴向《瞭望》新闻周刊记者介绍，“外挂式”或“保镖式”的传统安全方法已不能完全满足“零容忍”的高安全需要。实现车联网产业高质量发展，需要培育新质安全能力，让智能网联汽车具备“开箱即用”的默认安全品质，必须构建更加安全的车联网数字生态系统，并在车联网数字生态系统规划设计之初就充分考虑网络安全风险，形成“内生的先天防御力”。

车联网更需关注系统性安全风险

《瞭望》：车联网是公路交通管理和车辆智能化的重要基础设施。如何看待车联网的安全问题？

邬江兴：相关数据显示，截至2023年底，我国共建设了17个国家级智能网联汽车测试示范区、7个车联网先导区、16个智慧城市与智能网联汽车协调发展试点城市，开放测试示范道路22000多公里，累计道路测试总里程8800多万公里，自动驾驶出租车、干线物流、无人配送等多场景示范应用有序开展。

车联网实现了车辆内部、路侧单元、行人、云端服务之间的信息交互和协同，可直观理解为汽车+网络。这个简单的加号带来了无限的商业机遇，让驾驶员“眼观六路，耳听八方”，让城市交通更加智慧、更富有效率。同时，由于车联网技术创新和应用创新深度融合，汽车、平台、网络、数据等多要素安全风险交叉叠加、不断演变、相互交织，安全隐患无处不在。

2021年起，我国紫金山实验室连续三年举办“强网”拟态防御国际精英挑战赛“车联网专项赛”。比赛中，百余支国内外顶尖战队通过网络内生安全实验场（NEST），对众多商用主流ADAS、T-Box和车载网关等设备进行无差别攻击，发现所有商业货架产品均存在安全漏洞。白帽黑客甚至可以利用这些设备漏洞对车辆内部系统发起攻击，在车内无人情况下远程控制雨刮器、行驶中开关车门、控制车轮转向和变换行驶速度等。

除车辆功能安全与网络安全交织带来的显性不安全问题外，隐私或敏感信息泄露等新的安全问题同样存在，如车端数据违规采集，通过车载高清摄像头等设备采集行驶途中周边环境敏感信息等。

当前，车联网正逐步与城市交通管控系统深度耦合，成为数字时代重要的信息基础设施，未来还将贯穿百业千行，连接亿万车辆、家家户户，所带来的不是随机的、局部的、传统的安全风险，而是具有“多米诺骨牌”效应的系统性安全风险，好莱坞大片《速度与激情8》中黑客入侵大量汽车的画面并不遥远。

百度萝卜快跑第六代无人车在进行路测（2024 年 5 月摄） 肖智摄

车联网亟需数字生态系统底层驱动范式转型

《瞭望》：面对系统性网络安全风险，应该如何加强车联网安全，全面提升车联网基础设施的安全保障能力？

邬江兴：化解系统性网络安全风险问题，必须要坚持系统思维，采用系统工程，通过车联网的刚性安全需求倒逼数字生态系统底层驱动范式的转型。

车联网本身就是一个典型的垂直领域数字生态系统，它将汽车与手机、电脑、摄像头、各种传感器、道路基础设施、服务器、数据中心等诸多要素建立起基于网络的互联互通关系，实现车与云平台、车与车、车与路、车与人、车内外等多维度、多元信息融合的网络连接。因此，车联网数字生态系统底层驱动范式转型也一定是全方位的。

从理念上看，传统数字产业往往将网络安全视为数字产品的“保镖”。但在车联网中，网络安全是其垂直领域数字生态系统的天然禀赋，是车联网产业高质量发展的必选项，绝不能停留在当前消费互联网附加式防护、尽力而为的水平上，应尽可能地保证可量化设计、可验证度量的安全质量，且安全承诺条款必须细化透明，而不是“未见异常”之类的模糊表达。

转型的核心是重新平衡网络安全责任。当前，全球正在掀起数字生态系统底层驱动范式转型新潮流，欧美等发达国家已在推动网络安全责任从使用侧向制造侧转变，明确指出数字社会需要更安全的数字产品，而不是更多的网络安全产品；让规模最大、能力最强、地位最有优势的产业实体承担更多安全责任；安全不应该是一种奢侈选择，而应该是客户无需协商或支付更多费用就可获得的权利。车联网数字生态系统转型，需要整个供应链上所有包含数字元素的部件或系统制造商共同担负起网络安全责任，而不是把安全责任简单“打包”交给整车企业，甚至转嫁给用户承担。

转型的重中之重是设计安全、默认安全。欧美各国已提出推动网络安全范式变革，突出强调数字产品制造商亟需将设计安全作为产品设计和开发过程的前沿和中心，鼓励数字产品制造商开发符合设计安全和默认安全标准的产品。作为普遍共识，现有附加式、叠罗汉式的网络安全方法已不能满足数字化转型的需要，必须在数字生态系统规划设计之初就充分考虑网络安全风险，形成“内生的先天防御力”。数字生态系统的转型，就是要练就“金钟罩”式的“童子功”，让相关数字产品具有出厂安全、默认安全的新质安全能力。

《瞭望》：内生安全理论如何赋能车联网数字生态转型？

邬江兴：目前，欧美国家基于网络弹性工程提出的数字生态系统转型，描绘出了设计安全、默认安全的美好愿景，但在工程实践中也存在三大硬核问题：一是基于先验知识的弹性设计存在重大缺陷，无法应对“未知的未知”不确定威胁挑战，“吃一堑未必能长一智”；二是网络弹性工程存在“钢筋骨架”缺失的重大问题，缺乏一体化安全支撑架构，导致网络弹性工程如同“开设了一间药材丰富的中药铺”，药品琳琅满目但就是没有治病良方；三是网络弹性工程评估体系存在重大挑战，弹性能力量化评估方法缺位，导致设计难、选择难、度量难。

我们在2013年提出“构造决定安全”的内生安全和拟态防御理论，能够催生新质安全能力，将网络空间不确定的系统性安全风险转化为可控概率的非系统性安全问题，从而一体化管控车联网数字生态的系统性网络安全风险。主要特征是：能够在不依赖攻击者先验信息的条件下，在制造侧采用基于内生安全构造的网络弹性设计，有效避免“已知的未知”“未知的未知”等广义功能安全问题导致的安全事件；能够实现安全质量的可量化设计、可验证度量；允许第三方在被测对象构造内植入任何数量、且不为设备制造者和使用者所知悉的差模性质的漏洞后门，依此准确测量出安全事件可能发生的概率。

近年来，科技部、工业和信息化部、国家网信办等先后对内生安全拟态构造技术进行系统性的测试和评估，研究表明基于拟态构造的网络设备和数字系统能够有效防御基于未知漏洞后门、病毒木马等的不确定威胁，可一体化解决当前欧美等国提出的网络弹性工程存在的问题。在已连续举办六届的“强网”拟态防御国际精英挑战赛上，“白盒插桩”开放众测创新赛制，向全世界展示了内生安全赋能的数字产品具有难以比拟的一体化安全优势。

我国应引领全球车联网数字生态系统转型

《瞭望》：如何推动我国在车联网安全领域形成领跑优势，从而为全球车联网数字生态系统转型提供“中国方案”？

邬江兴：目前来看，我国在数字生态系统底层驱动范式转型方面，具有原创性理论和独创性技术优势，但是要将优势转化为相关产业高质量发展的能力还需要政府层面的强力推动，尤其是在事关国计民生的垂直领域，比如在关键基础设施建设、车联网等领域先行先试。

一是强化数字生态系统中制造侧网络安全责任。将“设计安全”“开箱即用”的“默认安全”作为车联网数字产品的质量规范和市场准入门槛。在车联网中推行“谁设计谁负责、谁制造谁负责、谁销售谁负责”的网络安全责任和质量控制新体系，把“网络安全和信息化是一体之两翼、驱动之双轮”战略要求，真正落实在数字产业化和产业数字化过程中，落实到推出更安全的数字产品行动上来，绝不能再重蹈选择性忽视数字产品网络安全质量的覆辙。

二是尽快出台车联网内生安全政策法规。目前我国仍缺少对数字产品制造侧全行业、全流程体系化的法律约束，尤其是对数字产品软硬件设计方、开发商、制造商、供应商缺乏网络安全责任刚性规范。应建立健全具有中国特色的网络弹性政策法规体系，强化车联网数字技术产品功能安全和网络安全的“法律红线”思维。

三是建立可量化、可验证、具有公信力的测试评价体系。我国已在南京、杭州、上海、郑州建立了网络内生安全测试和试验平台，可针对车联网核心设备、智能网联设备、数字化产品开展网络安全与功能安全一体化的测试评估。在此基础上，建议实施车联网安全信任标识计划，为满足标准的产品打上安全信任标签。

四是用金融保险等市场化手段推动新技术应用。通过政府主导、利用市场力量激发各相关主体的活力，包括车联网数字产品制造商、网络安全开发商及保险公司，共同参与车联网数字生态系统转型，形成车联网数字产品保险的良性生态闭环，让更安全的数字产品支撑车联网数字生态系统健康可持续发展。