「行者有云」系列沙龙——车企上云，如何构筑云上安全防线？原创

嗨，大家好，家好，大家好，欢迎收看本期行者有云系列沙龙，本期我们将围绕数据安全和风险防御问题展开讨论，车企在一系列新规颁布的背景下，将采用怎样的新手段，新模式来保证数据的合理开发利用并有效防御风险。非常有幸，我们请到两位嘉宾来跟我们一起讨论，他们是上海翻音上行科技有限公司网络安全总监，上汽腾讯网络安全联合实验室负责人陈宁，大家好，腾讯安全策略发展中心总经理吕一平，嗯，大家。因为我们知道在整个智能化，网联化的大变革下，一辆汽车在使用过程中其实产生的数据呢也越来越多，那随着个人信息保护法还有汽车数据安全管理若干规定试行的颁布实施，企业在使用处理这些数据的时候，那我们现在要遵守哪些行为准则呢？呃，这个其实在个保法里面已经讲了比较细致的针对个人信息的八类的处理原则，那么大概总结一下就说，首先是用户。

对用户的个人信息数据的，首先他的授权。清晰处理就是我要告知用户，我要收集你的个人一些私个人隐私的信息，我要处理他，然后第二个就是说我要在处理的过程中，我要处理他的处理过程要注意相关的就是保护保密，然后第三个就是说这个数据讲的比较多的就是数据出境，数据出境，他出境的话，他要符合相关的规定，当然对于汽车来说，他可能有一个数据，现在有个汽车数据安全的若干管理规定，这里面其实就也讲了，定的比较明确了，这个其实跟个保法是有一个相互呼应的关系的，那么当然上面还有一个数据安全法。其实这个我就不再展开了，大概我这里大概看看一品有什么补充的，嗯就说呃还有一点就是说，呃，去年下半年的话，其实国家集中出台了刚刚那个呃呃，陈博提提到的就是像像个人隐私信息保护，包括数据安全法这些法律法规，那同时的话，其实面向面向汽车行业来讲，还有因为汽车行业本身属于关键信息基础设施行业，是其实针对针对这个关机的这个行业，简称关机的这个行业的话，也有一些相应的针对基础安全和数据安全的一些要求，那所以说这块的话，也是需要我们汽车行业的各位同仁需要考虑的一个问题，嗯，那如果就是针对整个汽车数据来说，我们对它有没有一个什么样的分类界定，嗯，现在其实。

最关键的第一步是说，其实汽车的数据它不可避免它要收集啊，因为汽车上这个车联网以后，很多服务云化以后，为了对汽车的一些服务，以及汽车的一些状态，甚至说自动驾驶，他天然需要收集很多数据，所以说这个数据收集是不可避免的，但是呢，现在我们觉得就是对于汽车数据收集，首先我们还是要明确针对哪样的服务，我们收集数据，就是如果是我要做自动驾驶相关的，那么我最少应该收集什么样的数据，尽可能的还是少收，不要说就是不管不不做分类，不做区分，就一改说上来这后面处理，其实这是不合不合法不合情的，那么这是第一个就是要按照服务的细分来分。

然后第二个就是说这个数据的这个共享和流动，这个也是一个很重要的因素，因为呃，像依频，那我们很清楚，现在很多服务在云上面之后啊，我不仅是我自己主机厂要去收集数据，可能我的很多合作伙伴啊，比如说呃，这个一些车上的应用，他需要第三方的数据，那么我可能不得已必须把这个数据给他，那么这个数据在流通的过程中，它是以什么样的合法合规的方式流通，以及我怎么样对他授权，就怎么对他约束，这个是要。

呃，处理好的，然后最重要一点，就其实在大家讲的就是敏感数据的收集和保护，因为现在因为汽车上有大量的传感器，摄像头，呃，这样的话，对于比如说用户的面部轮廓，路边的一些关键设施，以及一些关键单元的识别存储，那么我们是不是要做相关的模糊化处理，或者说脱敏处理，这个也是比较关键的一部分。么，我这边觉得大概现在看一萍有什么补充一下，对我那个陈博讲的很好，我这边做一个补充吧，就是从我们的角度来看的话，从汽车的行业数据来讲，呃，我们可能需要在呃刚刚提，不管是提的刚刚提到的要要保护敏感数据，要要脱敏，或者就是要要尽量按照我们服务所需去收集数据，但但是我觉得就是说这是基于一个很大前提，可能就是说我们数据数据的时候，我们需要对数据做相应的一些分类和分级，针对不同类型和不同级别的数据，我们要应用不同的保护手段去保护数据，那对汽车行业来讲的话，从整体上来看啊，就是几大类数据可能相对来讲会比较重要，那第一类的话是汽车本本身，呃，从研发工程角度来讲，我要收集车辆状态的一些数据，那这些数据呢，相对来讲，呃，就是传统，传统我们其实一直在做这样的收集，再就是汽车刚刚联网以后，那在这一块的话，更多是呃，车企自用的。相对来讲我。

就从数据安全保护角度来讲，是比呃比较容易去实实现啊，因为是在公司内部的一个流转数据，那第二类的话，就是和刚刚刚刚陈博提到的和用户这个相关的一些隐私数据，那这个也是国家有现在有明确的法律法规要做做到保保护和保密的，那在这一块的话，因为陈博刚刚提到的，像他需要在不仅在车企内部，还要在车企的生态体系里面去做相应的流转，那怎么常去做好保护就非常非常非常重要，那针对不同的使用的场景，我应该怎么样去给到这个数据，那需要通过分类分分级的这个方法去把它做一个明确的界定，并且对应的有一些使用的一些要求和规则，那第三类呢，就是说可能这也是就是说从自动驾驶技术进入到汽车行业以后，会带来的一个新的一个一个需求，就是呃，大量的摄像头，传感器这些收集的这个地理位置数据啊，那个高清地图数据啊，那这个的话。

呃，其实是相相当敏感的一个一个一个数据领域，因为这个的话会涉及到譬如说国家安全的这个呃部分，所以说像这一块的话，其实车企也需要非常重视，去关注哈，去去解决，去去关注这个问题吧，然后像去年像国家其实重点关注的一家海外车企的这个在这一块的这个问题，所以说这也是值得我们汽车行有其他的，呃OEM也要重点关注和借鉴，那随着这一系列新规的出台，我们从车企的角度来讲，呃，在主动防范上会不会有一些变化，呃还是会有很多的，就是结合个保法和这个汽车数据安全管理的若干规定里面，其实第一点，其实按照上位法来讲，网安法上来讲，我们车企的相关的车辆的应用服务，那肯定要去通过等保服务，等保测评，这个是国家要求的，那么如果我们要做等保，那么第二点你配套的相关的，不管是网络安全还是数据。

安全的配套的防范措施和防范的管理体系要建立起来，那么第三点呢，现在其实就对车辆就是提出一个比较明确的要求，就是呃，用户上车默认情况下，我们是不收数据的，如果要收集数据情况下，我们要告诉他，告诉他我要清晰的告诉你，我要收集你的数据，并且收集了一些数据。那么第四点呢，在我收集数据的状态中，我们需要让用户知道我们正在收集你的数据。

以及呢，用户可以有地方去说，我不希望你收集我的数据了，我希望停止它，那么第五点就是现在也讲了很多，就是说尽量在车里面把一些敏感的数据把它轮廓化去掉，或者说精确化的东西去掉，模糊化，把敏感信息抽掉，抽掉就是我的理解，就是说尽量不要通过一些数据能够清楚的定义出一个人他是谁啊，那这样的话就方便他的处理，然后再往后面呢，就是说。我刚提提问题，就是你的数据流通和共享这个这个企业以前可能大家合作，一开始只说商业合作，后面可能在网络安全上面也会有一些约束，然后同时还有一点很重要的，企业可能每年要多一个报告，按照这个数据安全法和其次若干规定里面，每年我们可能要12月25号左右，我们要上报一份这个数据安全的年报出去啊，说明我们今年的数安全的情况是什么样子的啊，那么有些企业，因为现在中国的汽车品牌也开始向海外发展了，那么可能有些数据可能是要向海外去流动的，那么我们要根据这些规定要求，我们应该去对相关的呃监管部门进行报备，并且呢，我们要在企业的这个数据安全年报里面写清楚，今年我们发生过几次数据向境外输出，以及经过了谁的评审，把这些情况都得汇报清楚，这其实说更多来说，现在企业不仅仅是应对的合规，还就说去符合满足国家战略的需要，有些事情。

显得还是有些比较明显的改变的，那现在其实汽车和数字化的融合越来越深入，那就是我们在呃这个规定上述这些规定的呃，使用数据合规安全的这个前提下，怎么去数据反哺研发，然后再去相应的开发相应的车联网的服务呢？嗯，这个其实挑战挺大的，就是要实现一个两者的对对对，两者平衡，所以说所以说刚才我前面其实前面问了很火，你就怎么去搜数据嘛，我就说呃，还是要基于就是我服务希望什么样的东西我就搜什么数据，这个是做到平衡的关键。就是说我如果只希望判断一个车他在自动驾驶，我只希望搜一些跟路况相关的信息，那么我就不要去搜多余的一些信息了，那么我尽量精简我收集的内容，我只彩测录两边的图像，可能其他的一些东西我不要去感知它，比如车内的数据，这时候就不要搜，但是如果我是希望说，呃，比如说现在也有汽车保险，它是根据用户的驾驶习惯，他来收集车辆数据，那么我是希望收集一般驾驶者的驾驶习惯，那么我就不要去精确收集个人信息，我只说他踩油门的一般人，可能我就了解百分之多少人呢，他踩油门的习惯是怎么踩，我只收集到呢模糊性的数据上来。

这样的话，你才能够就可以比较好的又合法合情，又能反哺到业务上面来，那么还有一个第二个就是说我们在做这个。

相对的这个分析的时候啊，分析的时候流通上面，流通上面尽量做到什么，就是呃，应用和数据分开，我举个比较典型的例子，现在讲的就是所谓的自动驾驶数据的安全屋，就是我可能确实采集了很多数据，在经过合理的处理之后，我把它放在一个我们叫数据模型箱里面，然后我做的事情是我把我的计算模型放进去。我我的模型让你计算完之后，用这个数据计算完之后，最终我拿出去的是模型的计算结果，或者模型成熟的算法，但是我并不会拿走数据本身，那么这样的话就比较合理了，在我数据在我的模型足够成熟之后，可能这些数据我可能就会把它呃销毁掉，或者说把它回收掉，这样的话就会比较好的达成一个平衡，当然了这个需要还需要付出很多努力了，看看音频热种错对，其实其实呃腾讯作为一个互联网企业的话，其实我们在呃去年呃国家出台这一系列的数据安全相关规定的时候，其实我们是非常关注的，因为互联网行业有大量的数据，而且就是我们的说呃，很多的互联网业务其实都在线上的啊，那其实我们在自己在在推进这个数据安全的保护的方面，是做了很完整的一个一个展开，然后包括从产品的设计上，我们应该怎么样满足这个，比如说刚刚提陈默提到的数据收集的这个最小化原则啊，然后包括就是在。

诶，那个呃，用户知情角度怎么样能够让让，就是数据使用上是需要用户充分知悉，并且是充分授权的，这个情况下我们再去再做相应的使用，另外一个就是其实刚刚陈总提了一个很好的一个呃概念，就是说就是应用和这个数据要做相应的一些分离，那这个的话，腾讯其实是在这个数据安全法出台之前的两三年，我们其实就已经在开做在做这个工作了，然后就是呃，特别是说在一些呃一些不应该使用那个呃不合理数据的情况下，我们怎么样去规避掉这种这种场景的发生，我们其实在内部去梳理的大量的流程和实践出来，那我觉得这这些我们腾讯的一些这样事件的话，其实是可以给汽车行业的呃，同事们做一些做一些交流和这个这个呃呃传递的这个工作，能够帮助其实行业更的同事们更好去理解怎么去做这个数据安全的一些一些相关的一些工作。那对于外。

或者合资车企来说，像我们这些个人信息保护法或者数据安全相关的一些规定，是不是对他们呃会影响会更大一些。嗯，相对会大一点，但是大体上我个人觉得就是呃，差不太多，因为首先是说对于敏感信息的定义，其实这不管是对于外资企业还是对国有企业都是一样的，然后第二个就是用户的存储，呃，包括流通这些也是一样的。其实对于外企挑战最大的是什么东西？挑战最大的是数据不能出境，呃，所以说像一些外企企业现在已经很明确的说，就说我在中国建数据中心，然后我把数据放在本地，然后呢，呃，同时呢，我的部分数据我也接受行业的监管，其实这是对外资企业，呃，最大的变化就主要是跨境这个部分，当然了，呃，由于对于这种呃。

个人信息个保法和数据安全的一些定义上面，可能外资他也要跟随着这个国家的相关规定，他可能要对自己本身的一些布局，还要做一些微调，但是我觉得他大方向上其实还好还好，主要是出境的问题，嗯嗯，那腾讯有跟一些外资或者合资车企在这个领域有一些合作吗？啊对呃，就是是这样啊，就是其实我延伸一下刚刚陈博这个问题，其实呃，外资车企在面临的就是在中国的范围内，怎么样去满足国家的这个规信的要求和规定嘛，那其实现在看你看很多中国企业现在也在出海，对吧，其其实包括上其其实也有这个海外的业务在在推进，那其实一样的，就是说其实在从不管是从欧洲还是美国地区的话，相应的个人隐私信息保护的，像相关条例，像欧盟这边的GDP2对吧，就是隐私合规的一些规定，包括就是说这个数据，数据使用的一些要求可能都会有。

就是在在美国其实有也有相应的一些要求，所以说这个问题，其实在欧洲和美国，其实中国企业有所属于外资了，对吧，其实大家大家面临的挑战是是是一样的，是所以说对于车企来讲，不管是咱们自主品牌的还是说呃外资的或者合资品牌，大家都是要去充分考虑在不同的地区怎么样去满足这个本地的一些呃个人隐私信息保护和数据安全合规使用的一些一些要求啊，我觉得这个这个是其实我觉得这个是一个基基本的一个需要做到的一个一个工作吧，啊啊从腾讯角度来讲的话就是呃，我们其实是在呃，就是腾讯在这个汽车行业定位，我们一直是一个数字化助手的这样一个定位，所以说我们是呃和不光呃和，其实也不光是跟合资和这个外资的这个这个车企吧，包括跟上汽，我们其实也也在数据安全方面有很多这个交流和包括就是我们一起在在看就是。

怎么样呃，把数据安全的这个保护的工作能做好，呃相相对来讲啊，这个领域还是比较新的，呃和我们比如说讲网络安全啊，或者就是基础的安全建设方面的话，可能已经中国已经国内已经经历了呃几十年的一个发展和建设了，但是在数据安全相对来讲，对大家来讲都是一个新的课题，呃随着就是车企在联网和自动驾驶的技术在不断的这个呃落地的情况下，数据量会非常大。而且就是就是数据的集中度可能也不一定会那么高，所以说怎么样能够能够把这个数据安全的保护工作做好，其实还是一个蛮挑战的一个课题，那这就这就就是刚其实我们前面也提到，就是可能先要从这个呃，汽车数据的分类分级开始，以这个作为一个呃作为一个基础的话，然后再去延伸就看就是针对不同类别和不同级别的数据，我们怎么样去做相应的一些保护措施，那对应的可能有技术的部分，对应的可能有流程管理的部分啊，这这些可能都需要实施下去啊对，因为毕竟他立法了，关键他立法了，这是以前像我们传统信息安全那些人，其实没有很明确的上位法，但是一六年开始陆续的上位法出来之后，呃，那么。

对于汽车来说，就是你就必须去符合这个变化吧，嗯。就刚才我们其实讲到了，就是数据的合规收集和处理，但其实还有一个不能忽略的问题，就是汽车的智能化程度越高，其实他面临的潜在的被攻击的风险可能也会越来越高，就是我们也呃发现有些品牌其实也出现过被黑客攻击的一些真实的案例，包括电影中也出现过远程去攻击一些汽车，甚至把它当成武器去使用了，那其实就是现在这样的场景在汽车当中是真实能够实现的吗？就是车联网真的会遇到类似这样的真实性风险吗？因为你也讲到了，就是车联网，车联网就是联网以后啊，就是汽车原来传统的这种所谓的物理边界被打破了，他因为大量的云上的服务，包括大家可能都用手机可以去跟车进行一些互动。那么。

其实就引发了什么，就是汽车拥抱了数字化，但是他拥抱了数字化的福利和便利之外，他也拥抱了数字化的风险，所以说你说到这情况，比如说现在最典型的，呃，我们从云管端来讲，云上的一些服务，车辆大量的服务在云上，比如说远程测控，OTA，那么这些东西可能都会可能被不法分子利用之后，远程的车辆造成一些群体性的一些影响，那么包括手机的APP，对吧，我们研究也曾经发生过，就说因为现在手机上很多蓝牙钥匙嘛，那么因为APP的设计不严谨，接口上的不严谨，那么。

出现的，曾经出现过，就可以批量的把用户的蓝牙APP的token全部拿走了，那么就说理论上会开走任何一辆车，那么还有就是在车上面，因为也。本身它联网之后，车上面暴露了，比如现在有大屏，有智能价仓，对吧，这些东西其实都是数字化的东西，其实数字化的东西它多多少少都会有这样一样软件的问题是可以被人利用的，那么就刚刚就是今年一月份那个德国那个小孩不就是呃，才19岁嘛，就是就利用了特斯拉的一个第三方的一个软件的漏洞，就可以同时控制不同国家的30度两存，所以说就是数字化，就是这样的，因为数字化就是大量的软件，大量的应用，那么因为软件和应用都是由开发人员或者设计人员设的人设计的东西，他总会有些问题的，这是吕总之前负责的科恩实验室也成功破解过特斯拉和宝马，就是能当时反响还蛮大的，能不能给我们讲讲当时为什么会做这样的实验，是这样，就是说那个，呃，在那个我们专业安全领域里面，其实我们不能被定义成黑客，就说或者这个团队我们我们我们有一个定义就是叫白帽子。

啊，就是白猫的定义是说，呃就是我们是一群，就是其实是希望能够去改善这个各各类产品，产品和网络的这个安全性，而为之努力的这样一这样一群一群专业呃技术技术研究的团队吧，那我们是这样一群人，然后呢，当时为什么我们会去关注这个，呃，特斯拉和宝马呢，其实就是我们在一六年的时候就看到了一个比较大的趋势，就汽车行业的话，呃就是三，呃，我们那时候讲这个汽车行业四化嘛，那我对我们来讲比较关心的其实就是一个是网联化，一个是自动化，就是就是汽车联网了，还有汽车的这个自动驾驶的能力被引入进来了，那这个是跟数字化部分的这个结合度是非常非常高的，那就跟刚刚陈波讲的，当你在享受这个数字化的福利的时候，他一定会要面对这个新技术引入带来的新的风险，那所以说我们当时就是在想，就是当时其实我们跟汽车行业做了很多交流，但是就是汽车行业本身是对。

安全。是非常关注的一个行业啊，但是呢，就是但但但是那个安全叫safety，就就是我们英英语来讲，中文来讲都叫安全，对吧，但是当时其实行业更关注的是叫做就是功能安全，就是safety的部分，但是大家可能对那个就是security这部分的意识还不是那么的那个强，或者就是理解，理解力上还不是那么强，对，就是security能够对safety造成的影响。还不是理解还不那么充分，所以说当时我们就选了两个可能比较有代表性的这个车企，就是一个就是可能就是原生就是数字，呃数字化就是网联呃智能化，然后新能源化的这个特斯拉，另外一个呢，就是说是选呃是传统的从物联网这个呃呃不不智能化到到这个智能网联化的这样一个这样一个标杆是吧，就是可能从全球全球来看的话，它保有量也非常高的就是宝马，我们选择这两家车企做了做了一些相应的研究，然后呢，就的确是也发现了一些，就是说是通，能够通过这个网络安全问题会影响到公共安全的部分，能够对这个不仅是对虚拟世界会造成影响，并且对于实际的行车安全，人身安全，甚至会你放大一点的话，可能会到公共安全和国家安全会造造成影响，影响影响的一部分，当然了就是作为一个负责任的这个这个团队，然后我们发现问题以后是第一时间跟。

特赛跟宝马做了相应的沟通，并且呃在没有第三方参与的情况下，把所有的问题全全全部都报告给他们了，然后在他们修复完以后，我们再和他们一起联合去对外去做了一些发生的工作，那其实做这个发生的工作的目的也是希望去做一个更好的一个行业的帮帮助行业是更好的理解，就是在未来数字化的这个时代，这个呃安全就我们讲的security，对对这个呃对C有会有重大的影响，其实也是让他回归到就是说汽车行业对safetyft的关注度上去啊，大概是这样一个一个目目的吧。

腾讯安全科恩实验室以特斯拉models为对象，针对其搭载的autopilot进行了安全研究，取得了三个研究成果。成果一，雨刷的视觉识别缺陷。借助图像识别技术，Autopilot可以识别外部天气环境，使车辆做出应对。但是该技术能否在此次安全研究测试中维持正常运行呢？

通过研究发现，当生成特定图像并干扰时，系统输出了错误的识别结果，导致车辆雨刷启动。成果二，车道的视觉识别缺陷特斯拉autopilot通过识别道路交通表现，实现对车道的识别及辅助控制，那他在此次安全研究测试中将如何表现？在对其车道辅助功能进行测试后发现，在地面部署干扰信息后，当车辆经过时，系统做出了异常的判断，导致车辆驶入反向车道。

遥控器操控车辆行驶，特斯拉autopilot具有保持在车道内行驶、自动变换车道等功能，一旦该系统被控制，会对车辆的行驶带来怎样的影响呢？在对autopilot进行安全研究及测试后发现，通过获取autopilot的控制权，可实现第三方遥控装置对车辆行驶方向的操控。

腾讯安全科恩实验室开放核心技术，护航产业数字化变革，那现阶段就是整体的网络安全技术和汽车行业的文化肯定都各处于一个什么样的水平，对，就是我这么这么讲，就是说我已经在这个络全领域里面工作20几年了，就是中国的网络安全的技术能力，呃是是非常呃出色的啊，就是我们其实是中国的网络安全能力，其实代表了国际的领先水平，那么对于汽车行业来讲呢，就是呃相对来讲就是呃，汽车进入到数字化时代，才开始逐步的关注这个网络安全的部分，呃，所以说就是它的起步相对来讲会会晚一些，但是呢，我们其实看到。

的一个很很明显的趋势就是呃，我们国内的各大呃OEM都在积极的布局这个网络安全的专业能力和专业团队的建设，举个例子，比如说像陈博他带的带领的这个上期的直销实验室，呃也是在呃四年前吧，嗯对，四年前的时候，呃，然后呃成立起来，然后有专职的这个安全的一些安全的人员，然后有会有有专项的一些安全能力的建设，然后逐步逐步的形成了就是上期现在一个相对来讲比较完整的一个一个安全的体系啊那这个这个的话，其实就是一个很好的例子，那我们也看到其他的国内的OEMOEM厂商的话，也在也在也在实现呃同样的这个工作啊，在专业能力和专业团队的建设上也在在不断的一些进前进吧，啊嗯，那就是在这些呃风险外漏已经有这些潜在风险存在的前提下，我们车企可以做。

哪些方案去防御这些外部的攻击呢？尤其是来自一些比较恶意的攻击啊，是这样的，就是现在，其实我现在工作的我这个安全实验室，现在也在上汽的这个云驱动中心嘛，就是防疫上行吧，那么我们现在的防御，我们讲叫纵深防御，就是从云管边端一层层的防下来，那么其实主要讲包罗面，那么在云上面，那么可能呃，传统的云计算安全的内容是全部适用的，不管从边界的应用，防火墙，IPS到里面的主件防护，然后到再到这个，呃，态势感知这些东西我们是不适当来是对车辆相关的服务，我们做相关的保护，然后在通道上面呢，现在做的最多的还是加密，就是我们把。这个从云端到车端的这个通讯链路，呃，用加密的方法进行加密之后，确保我们的链路不会被人截断，或者是用中间人把它截取掉，那么同时呢，我们对传输的信息呢，跟车之间相关传输的信息会做一个也就做一个加密，这样的话就是保证呃它的。

安全性和唯一性，那么在车上呢，现在因为呃车上其实现在分dirty端和可令端，对吧，我们所谓dirty端就相当于是暴露在外面的，暴露在外面的可能大家可以触手可及的大屏啊，这种东西就是最最明显的，那么在这上面呢，可能会在他投产之前要做相应的。其实不完全是技术了，而是说一些流程在设计上面，从风险评估到安全设计，到渗透测试，到最后投产的运营，那么这些东西我们都要把它的一整串的这个，对于这个产品的零件或者整车都要做一整串的测试和研发和测试工作，然后交付，交付之后，然后在车上本身也要有一些相关的防御措施，比如说现在大家讲的很多的所谓的网关或者idps，那么就是通过他把车辆的一些相关的模块，或者说一些相关的这个服务把它隔开，呃，这样的话确保就是车辆在。

行驶过程中一些关键的通信和关键的指令不会被人恶意的篡改掉啊，那具体来说，什么情况下会用到这个安全网关，这对车企研发来说是不是刚需呢？呃，随着这个像上面讲的智能网联化和电动化之后，其实网关已经是一个标准的选配了，标准的选配了，因为它相当于是一道防火墙，阻碍了，阻挡了就是说呃，相关的访问，向车内访问的一些恶意的请求，那么他嗯，现在很难说。哪项硬件和软件的两项技术，在这个防火墙技上哪项更多，但是可以说的是，随着这现在这种呃预控化以后，这种零件的集成度高了以后，这个它对硬件的芯片的依赖肯定是更高的，因为芯片越好，表示我能在上面应用的软件的这种复杂度，或者说它的功能就会越好啊，当然了从这个这个网关的这个模块的这个。

必要性上也不排除就是说其实现在也有了，就是说把网关直接做到了相关的重要零部件的芯片上面，就是保证什么，我们所谓的模块跟模块，零件模块跟零件模块之间，它也是有防火墙在做转发的，其实这就是一个所谓的预控的思路嘛，嗯嗯，那随着就是我们对数据合规啊，安全这个要求越来越高，这对车企来说是不是意味着会需要更多的投入，这个投入投入肯定是要增加投入的，就因为前面谁面给我们讲就是没办法，这个国家立法了，就是其实现在并不是跟你讲人情啊，现在是跟讲法，那么我们为了匹配法律之肯定是要增加投入的。对，所是从我们角度来看的话就是，呃，其其实你看汽车行业刚刚也提到是对安全关注度非常高的一个行业，那是对他的首要关注点，呃，那其实在过去的这二三十年里面，呃，车企在功能安全方面的一些投入，在研发上的一些投入和一些一些那个体系建设都是非常非常完备了，然后功能安全也成为了汽车质量管理体系一个很重要的一个关注点了，那那随着这两年数字化的带来的这个网络安全的这个风险和挑战，那我觉得这块的投入，我我的我的观点是还是需要去加强和加大投入的，那那通过这个过程呢，我们我我的个人的希望是逐步逐步的网络安全能够进入到整个汽车的质量管理体系里面，成为它的一部分，那这样的话，就是说你在网络安全方面的这些投入，应该成为你研发投入的一个必要部分，这个是我的观点。

就是这种投入可能并不是并不是一个额外的投入啊，对，因为因为就像security safety security其实引发了safety的一些问题，所以说你的这些投入可能并不是像某些情况，大家想象一下我会凭空多出来一块投入，而是说我为了保证我的车辆质量，那么我需要投入的必要的研发资金在这里面，所以这块其实我们觉得就是从整个行业发展上中，这部分投入本来就是应该有的，刚刚两位嘉宾的分享，我们也意识到数据安全的一个重要性，那从意识到这个重要性，到我们车整个车企打造一个完善的网络安全体系，我们大概要经历一个什么样的过程呢？嗯，这个其实这个过程其实挺漫长的，就是说还是需要时间来积累的，因为坦率讲呢，对于大部分汽车企业来说，数字化呢是个相对新的东西，那么呃，叫我刚才前面提到的就是说数字化有很多便利的东西，但是它有很多风险，所以说需要东西去消化它。

那么具体到车上来讲。因为我们现在大家可能其实对于其他最近特别关注数据安全，但是我要讲的是说，呃，数据安全其实只是大的安全里面的一个内容，那么你想做好数据安全，那你就好做好，要打好很多所谓的地基工作啊，就比如说我们讲。

云上的安全，或者说我们叫基础架构安全，那么你的很多相关的网络安全建设，你得先跟上去，比如说你的云上的一些边界防护，你的一些安全的监测，以及你的一些呃，网络安全的漏洞，或者网络安全响应的能力，那么这些都需要时间去打磨，你的技术去落后，去完全的落地，那么这是这其实跟汽车的有些概念是不太完全一样的，因为对于汽车来说，比如说我的汽车的某个功能，我可能在做不好的情况下，我可能就换一个零件，或者说我买一个什么方案，我可能就测试测试就可以用了。但是网络安全这个东西，因为它本身就和汽车的所谓的公共安全，它有一点点不一样，就是它的边界相对模糊，没有绝对的网络权，也没有绝对的这个。

就说呃，没有攻不破的堡垒吧，那么这样的话呢，就注定了他很多内容是需要时间和需要技能去反复打磨和落地验证的，那么比如说从车辆的网络安全跟公共安全的融合，其实我认为就是我其实在其他的一些会上有一个观点的，就是说其实现在我认为汽车行业原来传统的功能安全的人才，他应该开始慢慢的向网络安全靠拢，因为有很多所谓的呃，S222里面一些要求是为了功能的safety服务的，但是因为security内容已经影响到了safety，那同样的你security的人，你也慢慢的去理解safety的东西，因为对于主机厂来说，我们仅仅说这是一个漏洞，但是它到底造成什么样的影响，那么其实对于safety来说是一个比较抽象的东西，你要具体化，比如说如果说我是影响到车辆的驾驶，那么影响到了safetyft，那么我们接着我们回到。

如果说他影响的数据安全，那么可能跟safety是没有关系的，但是他就跟完全跟security挂挂了，所以说这个融合是需要时间的。那么。这么需要时间，同时技术上也是需要时间去匹配的，就是呃，像腾讯这样的优秀的互联网企业，安全企业，他们也需要时间去更好的了解车企以及车辆技术，那么我们车辆的技术因为天生的需要注重安全，所以我们也要很好的去了解他们的网络安全能力，到底对我们是不是完全使用，我很我很认可，刚才很诚实的讲啊，就是对于金融行业的一些数据安全的方案，可能不一定完全适用于汽车安全的数据，但是我们觉得有些内容还是可以重合的，比如说呃，跟个人隐私相关的内容，这个还是我觉得可以高度重合应用的，呃，那么基基于这种技术上的融合之外，然后还有个很重要的因素是说人的因素，因为呃我。

去年读了一份报告，就是中国现在其实网络安全的，每年的这种高校给我们诉讼的毕业生每年大概也就十来万，不到20万，但是去年的网络安全人才缺口大概是大概150万往上走的，所以说你可以知道这个，然后我记得好像在2020年的时候，这个缺口好像是80万还是70万，所以你可发现就是说因为大家都拥抱了数字化的东西，所以说这个人才的缺口越来越大，那么细分到汽车这个网络全领域，这个缺口可能就更大了，就更了，就所以说呃，我们需要时间去。找到这样的人，或者培养这样的团队，让他们能够适应到这个环境里面，能够贡献自己，能够把更好的一些技术能力给赋能上去。同时呢，呃，我刚才其实也讲过，就是汽车以前我们把它卖出去以后，对我们来说，我们的使命可能基本上就结束了，除非这个车辆要维修或者维保，不然的话我们就不再去关注这个车它本身会怎么样了，但是从电动化和智能网联化上来以后，车辆交付出去以后，他已经进入到一个新的阶段了，就是我们称之为车辆的运营阶段，因为我们有我们要关注车辆的这个自动驾驶的状态，关注到用户的这个驾驶习惯，或者用户的车辆的状态，对吧？那么这些数据和这些状态都需要一些专业的人，他们来。

实时的提供所谓的监控或者服务，或者一些应急响应，那么这些其实就说都是人，他并不是说我买一套工具，比如说我们如果真这么简单的话，那么很简单，我找腾讯买一套工具摆在这里，我就万事无忧了，但是网络从来不是这个样子的，就是一套优秀的工具，他也需要有优秀的人才，或者说呃，优秀的团队来使用他成熟的团队，人的因素我觉得还是很重要的啊，那么我我我讲讲我的观点啊，就是说第一个刚刚刚刚这个陈博提到，就是说这个我们今天的主要议题还是讲这个数据安全吧，但是这个数据安全的底座就安全，有点像这个造成城墙一样，你要造一堵监控的城墙的话，下面的这些底座的砖如果对不好的话，你上面光去奢谈这个数据安全，要做好的话，其实是一件很难很很基本上是做不好的，一呃呃就空中楼阁，它是一个做不好的事情，所以说的确是需要有一个周期，包括像人才的这个。

这个这个问题，那但是就是说其实目前现在其实还面临挑战，是说国家在出台这个网络安全的一些合规性要求的的这个节奏是很快的，来越越来越来越快，所以说其实能留给车企去做对应对的和呃能力建设的时间，其实其实是非常紧张的，所以在这这个条件，这这这个情况下，呃怎呃你怎么样能够快速的去把这个能力建起来，就变得很重要，那那但是呢，目前来看，我们看到的一个挑战就是说呃，我们大概调研了一下，对于汽车行业来讲，现在在数字化投入部部分里面，可能在网络安全和呃信息安全上投入大概只有2%-3%左右，呃而对于比如说对于那个金融行业，他们经历了20年的这个信息it的这个能力建设，包括网络，网络安全建设，他们目前来讲的那个网络全投入大概在8%-10%，在这个这个数，信息化和数字化建设部分，所以说这个投入。

呃呃，这个这个呃是需要加大在汽车行业里面这个投入的加大，是可以加速这个能力的建设，包括就是人的这个培养的培养建设，所以说所以说这个这个我们是非常急的，建议是说其实汽车行业的这个同仁们要考虑到这个，这个留给大家的这个时间窗口并不太长，那那国家的要求随时会过来，那如果这个能力建设跟不上的话，其实会会会是一个很大挑战和风险的，那这是一点，那第二个就就是从那陈波讲的这个人才呃建能力建设和人才梯队这个建设这角度来看的话，那我们的确也是看到这一点，就是其实现在每每年国家能够通过高校体制培养出来的这个人才和真的这个行业的这个需求，其实还是有一个蛮大的一个差距的，而且就是说当这个供求关系出现严重这个失衡的情况下，那那那那那供应方就可能会有更更强的议价能力，所以说你会。

看到最近这两年信息安全，呃，专业人才的这个薪酬水平也在不断的这个上涨，那这是我我认为它是一个这个供程关系失衡造成的一个一个问题，那那那也就是说就是汽车行业刚刚刚刚陈博也提到，就是说其实现在人才的这个这个引引入和培养也是一个比较有挑战的一个过程，他本身就需要时间，但是呢，就是又又又是一个又是一个长周期的一个过程，但是呢，目前来讲，在这个市场上，我们我们的观察啊，我们从一个外部的一个观察是说，就汽车行业目前这个传统的这个这个譬如说一些薪酬待遇体系，呃，是不是能够支撑好在数字化时代的这个人才需求，那这个是我们现在也看到了，就看到一个比较可能，可能会是一个比较大的挑战，但是我觉得很多车企也在做一些一些一些思考吧，就是比如说现在你会看到很多车企都在成立新的数字化这个公司，那那呃，在这个数字化体系下面，他很多。

嗯，对人才的这个引入的流程跟政策才会比较灵活，给人筹的这个薪酬待遇的这个这个方案他也可能会比较灵活，那这样的话更好能够带动这些一些就是汽车行业在数字化时代所需要的新兴人才和新兴能力，能够能够通过这种方式能够引入进来，但是我觉得就是也是一样，如果我们的投入不能够加大的话，那这个这个过程也会相对来讲不会那么快啊，所以说我觉得这个可能是需要需要那个汽车行业的各位同事去思考的一个很重要的点啊。

就是就是逐步发展的，这个逐步发展这个速度，现在可能已经不能满足现在国家的这种政策的或者国家的监管的要求了，因为我们可以看到从2016年网安法发布之后，其实当然大家觉得好像中间隔了两三年，国家没有做太多的重大的法律发布，但是其实那段时间确又是国家中国这个信息安全行业，我们就我们当时叫信息安全行业发展的非常迅猛一段时间，大家其实因为大家都在这个时候重视的，已经他在这的时候打击做了，那么可以发现进入到19020年以后，尤其是GDPR发布之后，中国的网络安全节奏就明显的快很多了，那么对于汽车行业来说，呃，也是一个最典型的就是WP29和S2134RELEASE以后，整个的这个汽车的网络节奏就明显就加快了，因为而且国家也意识到了，就是汽车行业的技术的高速发展，那么如果没有匹配的相关的一些政策或者法规的指导的话，那么就可能会失控。所以说留给大家。

让一瓶留给大家的时间。其实。并不是特别充裕了，大家抓紧时间去把这个做所谓的跨越式发展吧，就包括我也很认同啊，就是因为上汽现在就是这么做的，就是我们所有的好多的技术的中心，包括我们现在这个反应上行都是从集团里面剥离出来，成立一个独立的所谓的科技公司，然后这样的话，就希望更好的招引这种科技人才过来做这种相关的，呃，云计算呐，网络安全呐，自动驾驶啊，相关的一些呃，技术研究或者说能力，也是为了更好的去服务到企业的主业，或者说在行业里面去发出更多的能量吧。啊，所以说现在时不在我这得抓紧时间了。对，所以所以所以所以说我觉得就是其实我们已经看到很高兴的看到，就是国内的这个企汽车行业的企业都在关注和和和落地这方面的一些动作了，所以说我觉得就是这个可能也是说咱们其实行业这种跨越式发展过程当中，我们必须要面对的一个一个一个挑战，就是就我们我们怎么样能够迅速的把我们的比如说能力，能力那个转换能够做好，能能能够把我们的一些一些新时代的一些能力建设要做好，那在这个过程当中，人才的价值就会非常非常重要，对，特别是网络安全的人才，真的是需要啥什么都懂，对就是就是有，就是基本上你看就是如果我们是做研发的这种人才，或者是说做做这个工程的人才，相对来讲，他可能专一门这个开发的这个语言，或者是说他专精一套一套呃一套一个比较可能技术领先架构，他可能就能够完成他的工作，但是但是对于一个呃网络安全人才。

来看的话，人来看的话，他要从比如说我硬件也要懂，我系统也要懂，我硬件要懂，软件也要懂数呃开发开发流程研发研发这个技术也要懂，对吧，然后我的我的数据数据数据也要懂，然后那联系到车的话，可能就是说还要还要懂这个功能安全的一些一些一些部分，他也要去做相应的了解，所以所以这就是为什么网络安全人才的培养周期会比较长，对，但是也确实需要这个时间，因为因为其实就从汽车的研发来看，以前大概一个车型大概大概36个月或者48个月很久了，但现在其实做的快一点的，可能不到20个月他就可以出一款车，那么就是很明显的感觉到，就是数字化的力量推动了很多东西都在变化，那么，谁？

是是说是什么能让他支撑了这么快的速度，20个月左右就能研发出一款车，那么很明显就是科技的人才和数字化和软件的人才，那么呃，随之而来的其实是什么？我要讲的是说，你想想车的迭代速度已经这么快了，呃，那么未来搞不好更还能更快，可能15个月到18个月就能出一款车了，车辆迭代速度快代表的什么？代表的你的安全的跟上的东西要更多，对吧？那么你的你必须要有匹配的人才和能力去跟上这个节奏，你不然的话就是。

你每次迭代就挖了一个坑，每次迭代就挖了一个坑，坑就越挖越多，你越填就填不过来了，所以说这个就是节奏，一定是节奏是很快，然后人人才团队，现在我也是深深体会到，就是团队非常非常重要，就是工具可能呃可以通过金钱什么买到，但是人。还有这种梯队，还有种low号是必须需要时间来沉淀的，那现在网络安全被纳入车企的整个的质量体系内了吗？嗯，现在国家正在起草相关的这个规定，就是说因为在欧洲已经被纳入了一个要求，就是WP29的二幺五五一定很明确的讲，就是你车辆在欧盟销售，你必须去过这个vta的认证，那么这其实我们就认为什么？就是网络安全已经存为了车辆质量安全认证的一环，那么中国其实现在也是马上今年应该也会有相关的一些。

跟质量安全挂钩的网络安全的一些要求，那么在车辆去做投产和发布之前也要过相关的日子，嗯，对，所以所以说我们我们我们建议就是未来大家在关注安全的时候，就更多是考虑一个大的安全的概念，就是功能安全加网络安全啊，这两两个安全是一个整体来看，来看这个安全啊。所以腾讯其实也是在帮助车企去在这两个方面安全方面去做更多的融合，对对对对，其实就是其实只是刚刚陈博提的很多上期的这个在安全方面的一些实践，那从腾讯来讲的话，我们就刚刚提到过，就是我们一直把自己定位成就是汽车行业的数字化助手的这个角色，就是我们是助力助力汽车行业在安全方面去形成呃自身的一些能力，所以说我们现在更多的关注点是在怎么样，呃，配合我们汽车行业的这个客户去和和合作伙伴去更好的去建立他们自身的能力，所以说我们从在几个方面嘛，那第一个方面刚刚呃提到的就是在云上的这个安全，就是大量的互联网服务面向汽车会开放出来，面向汽车的使用用户会开放出来，那这一块的话，呃，很多都是基于云的体系在在构建的，那那腾讯云云就有大呃大量的这个呃，安全防护的一些呃方案和和呃呃这个。

配置可以去呃帮助呃汽车行业在这个这个云的服务端的部分啊，能够去形成这个有效的这个安全防护能力，然后这是一块，那第二块就是呃，您您也您刚刚提问的问道，就是我们的实验室在这个车端的呃这个研究上面有做了有很多的积累和经验，那我们也比较好的去理解，就是在一个呃可能针对不同的电子电器架构吧，然后在车端可能会存在的一些高危的一些面对呃security和safety的这个这个风险，所以在这一块的话，那目前来讲的话，我们就得是怎么样帮助车企能够建立能力，能够更好去发现这些问题，能够更好的去去，呃延伸到就是能够满足国家的刚刚陈博提到今年会发布的一些合规性的要求，这可能是是一个我们现在就可以可以帮助测型能做好的，所以在这块的话，我们也研发了和这个呃测试。

相关的合规相关的一些平台呃和工具能力，然后能够能够能够助力到这个车企在这一块的能力建设上面，这是这是第二个部分，那那第三个呢，就是呃其实面向一些垂直场景吧，就是比如说现在呃，随着这个Z1代的这个呃作为购买的购买的这个主力啊，呃进入到这个，进入到这个时代了，所以说所以说呃很多的呃，这个车企都是通过数字化营销的手段在推动这个营销的这个发展，包括现在我们的汽车金融也会变得更加发达一些，他呃比如说能够通过线上的模式就可以去申请到一些比如说买车的一些贷款的这个部分，但是在这个这两个垂直场景下，其实车企也会面临很多挑战，比如在数字化营销场景下，很有可能被黑产去撸了羊毛，对吧，你你没有，你投入了很多的营销的费用，但是没有能够按照你的预期触达到触达到相应体量的用户，对吧，而被大量的被这个黑色给把这个。

李阳某给撸掉了，呃，那是是营销效果不会那么好，然后第二个场景，比如说信贷的场景下，那我们看到这个骗骗这个骗保的骗贷的这种情况还是还是比较多嘛，所以说那腾讯也在这这种垂直场景下，我们提供我们业务安全的这个解决方案，能够能够助力到那个车企，在这方面保证就是当你在做数字化营销的呃的过程中，你可以很好去触达你的用户，去大大降低你被黑产这个薅羊毛的这个几率，那在在在呃那个信贷场景下，那可以大幅的减少这个偏贷，偏贷这种这种这种情况，那这个是第三个我们我们再跟设计再再协同的一个部分，那第四个就是其实我们今天讨论的开始的提到数据安全，但是我认为这是数据安全呢，是一个对，不管是对这个腾讯来讲，还是对我们汽车行业的这个合作伙伴来讲，大家都是一个一个比较新的一个一个。

领域吧，我们需要去共同探讨，特别是说怎么样能够比较清楚的界定哪些数据是是对车企来讲会非常非常重要的，呃，然后怎么样做好一个面向于汽车行业的分类分级，然后再基于这分类分析再去做进一步延伸去呃，去发挥这个这个数据安全保护的一些方案，那腾讯我们是在其他行业是有类，是有一些数据安全的这个方案，但是我觉得并不一定完全满足这个车企的汽车行业的这个需求，所以说这个也是我们希望跟汽车行业的这个合作方，特别像陈上汽和陈默这边的话，能够共同努力，能够去把这块的话能做好，那这样的话也能够更好的让其他的一些车企能够能够做好这一块的工作，大概就是几四个方面，那具体到就是比如说营销场景中存在的这这些黑产，呃，或者是羊毛党，我们是能够有一些防范措施，能够帮助车企去识别到这些恶意的行为吗？

是的，对，就是因为呃，腾讯本身就是需要去。呃，对这些黑产的这个呃这个场景做做对抗，因为腾讯有本身就有大量的业务，我们的对就是说，所以说这个这个呃是等于腾讯自身的一些最佳时间和和积累，然后那目前我们在考虑就是说我们怎么把我们的自身的一些这项能力方面的积累和这个呃就是识别能力，就是刚才您提到这个识别能力的积累去，呃能够能够助力到这个我们的产业互联网的发展过程当中遇到的类似的问题，所以说这个方案的话，也不仅仅那个，呃帮助了汽车行业，其实我们和数字化营销，和这个这个金数字化金融相关的行业，对吧，譬如说像房地产啊，啊，譬如说像什么电力能源行业啊，然后譬如说像这个零售行业啊，其实我们我们都在采用这个这样的，这个这个反黑产的这个反反偏贷的这种方案，在帮助我们的客户啊，有没有这种反黑产的。

具体的案例可以分享的。呃呃，以那个呃就是撸羊毛举例吧，就是比如说我车企在在做呃一次数字化营销活动当中，我可能会发放一些优惠券嘛，就是说打折券对吧，那那我们当然是车企，当然是希望这些优惠券和打折券是被我真实有购买意向的用户拿到，并且并且促成这个承担，对吧，那这个是我车企的这个呃诉求，但是这样的那个优惠券和打折券可大量的被黑产给。

给给撸去了，撸撸完以后他们再通过他们的那个黑产链，然后再去销售出去啊，那这样的话，你真正的这些呃呃就是打折和优惠的政策和一些福利并没有出汇集到你的真真实的用户，反而是被羊毛党给撸了，我们知道腾讯和上汽其实也成立了一个网络安全联合实验室，能不能跟我们具体分享一下这个车企和互联网在网络安全这个方面是怎么进行呃互补合作的，呃，其实这个联合实验室的成立来呃是这样的，因为上汽本身在我们从一八年开始就开始专注在汽车网络安全上面，我们觉得要去做这个事，然后呢，其实当时跟腾讯云在后面陆陆续续就有些合作，然后其实就是说双方都是各有所长吧，上汽因为对于汽车的理解，以及呃，甚至有些汽车网络安全的理念，然后我们可能更懂车一点，更懂车一点那。

那么对于车辆网站其实的一些技术的运用和落地，我们会更好一点，但是腾讯呢，作为现在中国优秀的互联网企业，他们当然也有像科恩这样的优秀的科研机构啊，就说其实他们也有对于车辆安全的一些很好的落号，我们安全圈讲的就是说呃，叫不知工焉脂防对吧，就是说其实科恩做的这些事就很好的展现了他们对于汽车的攻击的手段的一些理解和一些呃落号。那么我们。上期在设计的一些相关防御措施之，我们其实也希望建立自己的验证和检测体系，那么这是最大的出发点，就是双方做一些跨界融合，腾讯将他的呃，优质的这个网络安全的技术能力，以及检测能力，甚至一些解决方案，那么带入到我们的生态里，我们将我们的一些落号和我们的一些落地场景和我们的理念跟他们进行经营，那么最后能形成一些强项组合，迸发出一些比较好的内容出来，这就是实现这个。

呃，联合实验室的初衷，当然对于上汽来说，其实现在讲的比较多的所谓的五大能力中心中间网络安全也是很重要的一个能力中心，呃也是基于这个原因，所以上期也是，呃就决定跟腾讯做一个跨界的合作组织一个联合实验室，去在车联网以及甚数字化的一些方面去做更深的一些合作，我们联合实验室现在取得了哪些进展方便透露，对我觉得我觉得我这么讲吧，首先要要感谢上去的那个领导呢，呃，信任腾讯吧，然后愿意给腾讯这个一个一个配合合作机会，然后大家来做一些安全能力贡献，因为这块其实是基础的一个比较关键的一个能力，就是刚刚陈总提到是属于上期数字化整个五五大中心规划当中一个非常重要的一个一个一个能力吧，那我觉得给了给了我们一个机会，呃是我是一切配合是非常非常好，对我们来讲是非常好的一个，我们很珍惜的啊，那从包括陈博和赤销。

实验室这这这一侧的就是具体的一些落地上配合的话，我觉得我们也是配合的非常默契的，那目前来看的话，我们就是其实我们刚刚提到了，就是在汽车行业赋能的几个大的方面嘛，那第一块从从呃这个云，云上安全这块的话，其实我们已经有一呃云上的一些防护方案，那不光是公有云的，还包括混合云的，对吧？针对车企在互联网服务上面不同的一些场景，它的这个呃底座的这个呃需求，我们会在上面去叠加我们的这个安全能力，然后对这个呃车的后台部分做一个有效的保护。那第二块的话是在车端的这个防护上面啊，然后在一块的话是呃，我们会参与一些这个呃车辆的在车端的一些呃，像智能座舱的一些设计和规划工作，那这样的话就是在设计研发的早期，我们就就就能配合到就是一些这个安全，安全方面的一些考虑。

能够能够能够加加入到这个这个呃产品里去了，那第二块呢，就是说其实刚刚提到就是呃在目前这个呃汽车行业长供应链，就是在研发周期比较长的一个情况下，在验证阶段还是要做好这个工作，可能是目前这个阶段最有效最有效的和最最最最好的一个，就是投入产出币最好的一个能够解决安全问题的一个一个一个阶段吧，那在这个点上的话，我们其实就是我们呃一些这个基于我们过去经验和能力的一些一些工具平台啊，包括一些手段，我们其实跟陈默这边我们有很多的联合开发的这个这个工作，然后呃，然后助力这个上期在这块的一些我们的核心能力的一些一些输出啊，在上汽这边，那包括包括还有就是一些垂直的一些领域呢，包括像呃动驾驶场景，对就是比如说我们跟上期在在这种场景场景下的呃特特别像过去场景，我们在可能在一个货运的这呃智能中卡的这自动场景下，我们是有有相应的配合呢。

未来的话，在这块的话，我们也会有有相应的配合，当然当然就说在未来的场景可能会就有有进一步的延伸吧，啊对对对，比如说像可能就是说你像汽车，它还不光是涉及到这个汽车产品，可能未来会涉及到汽车的自动化制造的部分啊，包括就是说，呃，刚刚我们一直在讲的是个数据安全的部分，那我觉得就是其实跟上汽在基于这个联合实验室的平台，我们其实有蛮宽广的一个合作的空间，那我们也非常感谢上汽对我们的一个信任和支持，真的感谢腾讯，谢支持，对。那腾讯和上汽在打造网络安全人才队伍上，有没有什么可以分享的？嗯，这个人吧，腾讯讲吧，现在他们毕竟属于网络前还是比较这样，就说就说那个腾讯其实是有一个一个呃比较好的人才培养体系的，就是说呃，我们其实目前来讲跟国内的20几所呃985和211的高校其实是有合作关系的，然后呢，就是呃，我们也很高兴看到，就是国家在几年以前嘛，然后开始做这个就是网络安全，把网络安全定义成这个高校一级学科，呃然后呢，也要建一流的网络安全这个学院，然后国内现在有有十十几所这个重点高校的话，都把这个网络安全作为一级学科，已经已经已经开始做教学体系建设，包括这人才培养的建设都是开始做了，所以说我觉得我觉得还是要依托这个最大的和最好的一个一个一个人才培养体系去去工作，所以说我们其实和和20几家高校，就是现在目前来讲有比较紧密的合作关系。而且就是腾讯每。

人都会搞，那个叫面向，基本上是面向高校为主的，这个安全攻防赛，我们叫就是CTF这种就夺旗赛的这种形式的话，目前来讲在在这个高校里面还是比较流行的，那腾讯现在目前已经TCTF已经搞了有四年44年了，然后这四年的过程里面，其实我们现在已经把这个比赛做到了国内的一流水平。

呃，然后呢，然后呢，每年都能吸引到可能五六十所国内的高校来参与这个比赛，然后他这里面其实我们呃发现了很多人才，而且呢，就是本身这个通过这个过程我们也做了，也因为本身这个比赛的形式所需要的技术能力，其实就跟那个安全安网络安全所需要的技术能力是相关度是非常非常高的，所以说通过程也培养了一批人才，那那我们腾讯又有一个比较好比较，呃重要的或者就是腾讯比较重视的一个就是校招和实习生的一个一个一个机制，那其实我们就很早就可以锁定一批一批我们比较看重的一批，就是新生代的这个人才，然后所以逐步每年每年我们都会有一些新鲜血液能够进入到腾讯体系里面来，但是我们是通过这样的一个机制去做这个网络安全人才的培养的工作啊，那。

对，当然了，就是我们，你看我们还有呃几个呃大的实验室，呃像像科恩啊，玄武啊，云顶啊，这些实验室的负责人都是都是这个业界的这个顶级的，不是顶顶级的这个专家啊，顶级专家，顶级的安全专家，那那针对针对这些专家来讲的话，就是，呃我们就是其实就是一个搭配嘛，就是我既既有这个领军人物在这边不断的去指引方向和做做这个体系，呃和培，包括人才培养体系，我又有不断的有新鲜血液能够进进入进来，然后让这个这个团队越来越壮大和充实呢，所以说在这个结合之下，就能够形成一个比较好的一个一个体系和能力吧，那但是这也是也是花了时间的啊，所以说我完全赞同陈博的观点，就是说这个人才的培养的确是需要有时间和和一个是一个长周期的工作啊，所以说这个，所以刚延伸一下，刚刚那个投入的点，就是要加大投入，还要做持续性的投入。

啊，这个这个是非常非常重要的明白，嗯，那除了就是人才要求特别高之外，汽车行业的网络安全相比其他行业来说还有什么特殊性，或者说呃难点，呃是这样的，就是我觉得最大的挑战是节奏上的不一样，就是我们举传统的这个网络安全的这个概念里面，当我们发现网络安全问题的时候。我们一般可以第一时间在现场，就是在这个问题的现场去处理，比如说一台服务器它中毒了，我们可以远程登录到这个服务器上去判断问题，比如说网络流量上的异常，我们可能正在网络设备上去检查问题，但是对于汽车来说。当我觉得他可能有问题的时候，我没有办法远程的去随意的做这个一些的访问或者说处理，因为这可能甚至就是违法的，那么我又不能随意的把它给。

招回来说请你到维修店，我们帮你看一看，那么所以说这个问题就是我也觉得就是说传统的工程的这种速度和这种所谓的数字化的速度，它是完全不一样的，那么我们在以汽车的这个所谓的。缺陷吧，我们把它统一叫缺陷，缺陷处理情况下，就像像以前的上面讲的，就是说我们传统的车辆，它出问题，我们可能从发现问题到决定是否召回，可能中间会经历长达可能长的可能都快一年了，最终才决定召回，或者说我们在车辆的保养期间，我们在维修店里面请他小批量的帮他刷新或者处理掉，那么这个时间是比较长的，因为没有重大问题，但是网络安全问题就是属于来的快。他这个伤害可能也快的，那么时间窗口可能就只有可能48个小时，或者说72个小时，你如果不赶快处理掉它，那么就可能就会遭到伤害了，那么更糟糕的就是说，呃。

这个网络安全有些漏洞，他的变形也是特别快的，就有点像这个新冠，他就说一样，就是突然他就。又出来一个基于这个漏洞，又出来一个新的CVE漏洞，然后他可以实现更多这个这个就所以说你如果没有一个匹配的这个网络安全的应对和响应机制，或者说处理的技术能力，那么就很难的去。应对上这个节奏的变化，那么比如说如果说汽车现在在智能化、数字化的道路上，反正坚定的走下去了，那么我们在这个速度上的安全，网络安全的响应和数字的速度是要跟上的，比如说呃，是不是发现问题之后，我们在多少天之内，我们就能很快的完成环境的一个验证，那么若干个小时之后，我们可能就可以作为一个安全的补丁，或者说OTA，我们就去把这个权限修复掉，那么其实这我觉得是未来企业的一个很大的竞争力啊，就是说呃，企业在面对一些问题或者说是缺陷的时候，我的这种处理响应能力有多快，如果还是按照原来的这种所谓的召回的思路去做的话，那么其实是和现在的主流的方向是相反的啊啊S有什么对，我完全赞同这个观点啊，就是说就是就是呃，原来汽车研发的工程体系和我们新的这个数字化的这个工程体系的这个节奏是完全是不一样的。

那我们现在这个阶段正好是两套体系在可能一个并行的发展的过程当中，所以说那那总体其实来讲，就是现在看到整体汽车行业的的这个整个整个行业的决心都很大，就是我一定要把数字化作为我的汽车行业进化的一个一个主方向来看，那那那那逐步逐步的我们是需要把这个老的工程体系向新的工程体系去做，做一个一个一个一个进化嘛，在这个进化过程当中，怎么样能够更好的处理好这两套体系并行的这个过程，我觉得是挺重要，就刚刚陈默提到的，就是这边是希望能够高效快速的能够能够修复安全问题，这这边是说可能他是需要一个一个一个一个一个比较周，比较周期比较长的一个一个工程化流程，来来来来来评估和和解决来来这个处理这个问题，所以说我觉得就是所以这其实呃，咱们咱们汽车行业的同仁们的这个。

的思维模式和解决问题的模式，可能也是要也要也要不断的做，就向这个新的新的方向去做，做一个调整嘛，对另外一个就是说那个您刚刚提到那个问题里面，我觉得我再补充一个点嘛，就是就是因为我们在一六年的时候开始建这个呃，车联网安全能力的时候，其实也是做了一些深入的调研的，其实如果你呃，如果说车的安全和传统的网络安全有什么比较大的区别的话，就是说他呃涉及的能力战会比就是。

呃，传统的网络圈要更宽广一些，比如说你要你要有这个，你要懂车店和车店网络的这个部分，对吧，你要有硬件的分析能力和硬件的这个测试能力，对吧，你要你要你要你要对这个各类这个系统。对，原来原来你比如说我们在做PC的移动安全的时候，我们可能更关注的是Windows啦，Mac oos啦，Linux，然后iOS移动端的话，像iOS和安卓体系，相对来讲，你看就是说在在呃，PC和移动场景下，这个超超性层面，它已经标准化程度很高了，那标准化程度，OS标准化程度高了以后，它上面的应用的标准化程度也会更高，对吧，比如说从浏览器啊，从从各类应用来看，但是在汽车场景下的话，就是基本上不同的车厂的技术路线是不一样的，这个从系统层面来讲的话，大家采用的都会不一样，有有这个那个。

用用Linux代拥有QX代也用安安卓的，而且每个每个车场的这个这个路技术路线的体系所带来的这个具体的实现的话，又是又是千差万别的，它标准化程度并并不是很高，然后这就带来了就是说你需要对各类的呃系统应用要有一个有一个深度理解，所以说他这个能力能力站的建设其实要比这个传统的网络安全要更加这个复杂一些，要要周周期也会也会也会更长一些，对吧，那你想比如说原来我们做呃软件的安全的研究的时候，我们从来不需要焊台吧，就是不需不需要做硬件测试，有有硬件测试测试的一些设备吧，对吧，不需要那个去那个，甚至就是说我们我们在比如研究特赛和宝马的时候，我们还要自己开车，对对吧，我我可能还就虽然大家大家原来都没有不知道该怎么去做，但是可能找一些专业专家来指导一下以后，你这方面能力也是需要需要能够建立起来的，所以说这个。

的确是需要有一个有一个有一个过程，所以说当时我们在在做这个策略完全的时候，我当时跟汽车，汽车行业的这个大家，大家在做一些交流的时候，其实我提了一个概念叫4C嘛，就是汽车有CS的概念，对吧，我提了一个CC的概念，就是说整体来讲就是说那个网络安全领域里面要有懂汽车的专家，这汽车领域里面要懂网络安全的专家，就是那那四个系点，四个系第一个就是communication，大家先要开始做沟通，大家要要要相互了解，第二个就是要cross，就是要要跨界，要跨领域，就是相互要要要要要要了解起来，要更更深入的配合，那第三个就是collor，就大家要合作起来，那第四个其实就是最终一个最或者最理想状态要conver，就是最后就是融合了，就是你中我我我中有你，大家能够能够能够能够协商更好，那我觉得这这个这个可能是这个。

目前这个汽车行业数字化阶段，在自身的能力培养包和一些我这些外部能力引入，怎么去更好的配合上面的一个一个一个一个一个重点吧，所以说我觉得这个能力建设的确是是一个长周期的工作，对吧，但是呢，我觉得就是一样的，这个这个呃需需要的投入的，这个也是一个持续的和我也我也相信。是加大的一个投入的一个一个趋势吧，呃，而且就是怎么样能整个其他行业能够更适应这个新的数字化这个工程研发体系的一个节奏，我觉得可能也是也是也是需要关注的一个重点啊，非常感谢两位嘉宾今天的分享，通过刚刚的讨论呢，我们对汽车领域的数据安全和风险防御也有了更深入的了解，谢谢大家收看本期行者有云系列沙龙，我们下期再见，拜拜，再见，拜拜。