“近年來,我國智能網聯汽車駛入發(fā)展的快車道。隨著智能網聯汽車的發(fā)展,汽車網絡安全也越發(fā)受關注。推動智能網聯汽車發(fā)展,我們要從車、路、云、網、圖這五個層面系統性地考慮智能網聯汽車的安全問題。”
近日,中國電子科技集團有限公司(以下簡稱“中國電科”)總師召集人、首席科學家饒志宏在零觀汽車“對話科學家系列報道”中表示。饒志宏主要從事網絡空間安全研究,內容包括該領域的前沿技術、裝備方案的認證、工程的牽頭和執(zhí)行等。
專訪中,饒志宏多次談到智能網聯汽車的安全問題。他認為,發(fā)展智能網聯汽車核心是安全,“安全是智能網聯汽車發(fā)展的前提”。
網絡空間安全沒有天花板
《中國經營報》:上一期零觀汽車節(jié)目播出之后,有很多人在后臺留言。其中有很多年輕人有志于加入這個賽道,成為守護網絡安全的一分子。大家想了解,你本人是怎樣走上這個研究領域的?
饒志宏:我本科就讀于四川大學,畢業(yè)后進入中國電科第三十研究所工作。該研究所成立于1965年,重點承擔信息安全和保密通信領域基礎和應用理論研究、關鍵技術和重大系統工程項目的研究開發(fā)。說實話,畢業(yè)時也沒有想太多,沒想到在這行業(yè)一干就是30年。
《中國經營報》:你在論文、公開演講、敘述報告中多次提及“主動防御”這一概念,你也有系列專利,請跟我們談談專利背后的故事。
饒志宏:主動防御是相對于以前的傳統防御來講的,用專業(yè)術語表述,首先就是“監(jiān)測預警”,實時監(jiān)測自身信息系統的流量是否有異常情況,預判可能出現的攻擊,針對預判做相應的防御。同時還可以根據流量或者運行的異常找出攻擊代碼(意為“惡意數據或信息”),做反向追蹤,找到是誰對我進行攻擊,誰釋放的病毒或者木馬,做到攻防兼?zhèn)洹?/p>
《中國經營報》:這項技術優(yōu)勢是什么?實現了哪些突破?
饒志宏:主動防御強調“OODA閉環(huán)”,就是持續(xù)不斷地監(jiān)測,實時地預判檢測的對象是不是存在潛在威脅。實時處置完成后,會觀察處置的效果,形成“OODA閉環(huán)”。如果處理結果不行,就會更換策略繼續(xù)新一輪“OODA”調整。其實網絡空間沒有絕對的安全,在受到攻擊后,只能努力把攻擊引發(fā)的損失降到最低。也就是說,網絡安全是動態(tài)的,不是靜態(tài)的。
《中國經營報》:可以理解成“網絡空間安全沒有天花板”嗎?
饒志宏:對,網絡空間安全本身是螺旋迭代的,沒有天花板的說法。網絡空間安全本身具有滲透性,萬物互聯的時代,安全隱患無處不在。
數據安全發(fā)展成獨立賽道
《中國經營報》:很多網友關心我們跟西方國家在互聯網領域的差距,請你談談這方面的情況。
饒志宏:就互聯網本身來講,中國和西方國家尤其美國是有一定差距的。互聯網源于美國,很多協議規(guī)范都是美國在主導。當然,隨著中國互聯網不斷發(fā)展,有些應用在普及性上實際上超過了美國,比如我們現在的微信支付、支付寶等。
《中國經營報》:此前你分享過“數據安全是數據市場的基石”。我們原來聽到數據安全,公眾的一般認知就覺得是大數據、網絡安全,但你提出來的數據安全已經脫離這兩個領域,發(fā)展成獨立的賽道。這是一個新概念,我們該如何理解它?
饒志宏:嚴格說,數據安全是屬于網絡空間安全的大范疇。狹義的網絡安全是指傳輸安全,而數據安全管的是數據的全生命周期,從數據的產生、傳輸、存儲、使用、把價值放完,到數據的消亡銷毀,這涉及到全過程安全。
隨著萬物互聯,人們在應用網絡的時候數據量越來越大,安全威脅的影響也越來越大,數據安全就成為一個獨立賽道,國家也出臺了相應的《數據安全法》。這個賽道其實有幾個方面是需要關注的:第一,在大數據使用過程中,數據本身的品質和質量。第二,由數據安全引起的個人隱私保護。第三,現在比較流行的“大模型”所生成數據的安全性、可信度。
《中國經營報》:你說到“這個賽道沒有天花板”。除了現在正在做的研究,還有哪些細分領域是你感興趣,一直在研究的?
饒志宏:主要有兩個。
一個是主動防御里的重要環(huán)節(jié)“監(jiān)測預警”。基于監(jiān)測預警我寫過一本書叫《網絡空間安全監(jiān)測預警》。因為網絡空間是一個讓人很費解的虛擬空間,雖然是人造的,但卻是一個比較抽象的空間,我們通過監(jiān)測預警,將安全威脅可視化呈現,“讓網絡安全看得見”很有意義。
另一個是漏洞挖掘。我承擔了一個國家重點研發(fā)計劃“軟件與系統漏洞分析與發(fā)現技術”,將傳統的民間挖漏洞的高手和人工智能結合起來,能夠快速發(fā)現一個軟件系統的很多漏洞。這個漏洞具有兩面性:一方面漏洞被想要攻擊我的人發(fā)現,他能很快利用這個漏洞對我進行攻擊或者控制,但我還不知道;另一方面我及時發(fā)現這個漏洞,很快把它補上去,能提高我自身安全防御的能力。不停地發(fā)現與系統相關的漏洞和問題,不停地填補修復,是一件很有意義的事情。
《中國經營報》:你剛剛提到傳統挖漏洞的民間高手,這些民間高手與科研單位的高手有怎樣的不同?
饒志宏:網絡空間安全里面有各種各樣的民間奇才或者說是怪才,他們的思維非常活躍、開放,而像我們多年在傳統科研體制培養(yǎng)出來的人才,容易形成思維定勢,會局限解決問題的方法。我們專業(yè)機構也會經常和民間高手一起工作,形成群體智能協作漏洞挖掘機制。網絡安全圈也有“木桶效應”,意為最短的木板決定了桶的整體水平,而我們通過群體智能協作把各自的優(yōu)勢集合在一起,形成“長板效應”。
以創(chuàng)新為智能網聯汽車護駕
《中國經營報》:隨著人工智能、5G通信、大數據等技術的快速發(fā)展,智能網聯汽車正在成為全球汽車行業(yè)關注的焦點。根據普華永道預測,2030年全球L4—L5級自動駕駛汽車將達到8000萬輛左右,中國將達到3300萬輛左右。在此背景下,保障智能網聯汽車的安全尤為重要,據你的觀察,智能網聯汽車存在哪些安全風險?
饒志宏:智能網聯汽車在安全方面存在四類風險:一是網絡異構復雜致使通信安全防護薄弱。二是共享數據鏈長,數據隱私泄露加劇。目前,數據安全保護機制尚未標準化,容易產生用戶信息泄露;與此同時,智能網聯汽車產業(yè)鏈條長,數據流轉過程涉及實體多,容易因防護不當產生數據泄露。三是新技術應用面擴大,網絡邊界模糊難測。四是網絡實體類型多樣,互信協同問題嚴峻。譬如,通信實體間網絡異構、帶寬承載能力不同、交互數據多源異構,給網絡實體信任關系建立、數據安全交互增加了難度。
智能網聯汽車數據安全缺少從頂層視角進行的全面系統設計和協同,因產業(yè)鏈復雜且長,其間任何相關活動主體的密碼使用不當,都可能造成數據泄露,需要頂層統籌與密碼體系化設計,支撐跨多行業(yè)多部門的數據安全共享交換。
《中國經營報》:近年來,汽車出海成為我國汽車行業(yè)增長的新發(fā)力點。汽車出海在“網絡數據安全”方面要注意哪些問題?
饒志宏:汽車出海一方面要做好智能網聯汽車防御能力搭建,另一方面要適應目標國家制定的網絡安全法律法規(guī)。比如說,歐盟的GDPR(“General Data Protection Regulation”,是歐盟為了加強個人數據保護而制定的法規(guī)),特別重視個人隱私保護,同時,數據從采集到流通再到跨境都有一整套的要求,必須要重視。
《中國經營報》:你在網絡安全行業(yè)一待就是30年,對于未來,你有哪些期待或者展望?有沒有一些經驗分享給希望在網絡安全領域有所深耕的年輕人?
饒志宏:網絡空間安全是我的專業(yè),是一個沒有天花板的事業(yè)。網絡空間安全領域會不斷涌現新的技術,同時也會有各種各樣的風險出現。我們要用“博弈的思維”不停地吸收一些新技術,應對這個領域的挑戰(zhàn),推動這個領域發(fā)展,這是我一直要做的事。
網絡空間有很值得年輕人挖掘的地方,要想在這個行業(yè)里有所成就,一定要有釘子精神,不斷挑戰(zhàn)自己,探索未知!