本报记者 陈茂利 北京报道
“近年来,我国智能网联汽车驶入发展的快车道。随着智能网联汽车的发展,汽车网络安全也愈发受关注。推动智能网联汽车发展,我们要从车、路、云、网、图这五个层面系统性地考虑智能网联汽车的安全问题。”
近日,中国电子科技集团有限公司(以下简称“中国电科”)总师召集人、首席科学家饶志宏在零观汽车《对话科学家系列报道》中表示。
饶志宏主要从事网络空间安全研究,研究内容包括该领域的前沿技术、装备方案的认证、工程的牵头和执行等。
专访中,饶志宏多次谈到智能网联汽车的安全问题。他认为,发展智能网联汽车核心是安全,“安全是智能网联汽车发展的前提”。值得一提的是,饶志宏一直将出自《中庸》的“道不远人”四个字作为勉励挂在办公室。
网络空间安全没有天花板
《中国经营报》:上一期零观汽车节目播出之后,有很多人在后台留言。其中有很多年轻人有志于加入这个赛道,成为守护网络安全的一分子。大家想了解,你本人是怎样走上这个研究领域的?
饶志宏:我本科就读于四川大学,毕业后进入中国电科第三十研究所工作。该研究所成立于1965年,重点承担信息安全和保密通信领域基础和应用理论研究、关键技术和重大系统工程项目的研究开发。说实话,毕业时也没有想太多,没想到在这行业一干就已30年。
《中国经营报》:你在论文、公开演讲、叙述报告中多次提及“主动防御”这一概念,也有系列专利,请跟我们谈谈专利背后的故事。
饶志宏:主动防御是相对于以前的传统防御讲的,用专业术语表述,首先就是“监测预警”,实时监测自身信息系统的流量是否有异常情况,预判可能出现的攻击,针对预判做相应的防御。同时还可以根据流量或者运行的异常找出攻击代码(意为“恶意数据或信息”),做反向追踪,找到是谁对我进行攻击,谁释放的病毒或者木马,做到攻防兼备。
《中国经营报》:这项技术优势是什么,或者实现了哪些突破?
饶志宏:主动防御强调“OODA闭环”,就是持续不断地监测,实时地预判检测的对象是不是存在潜在威胁。实时处置完成后,会观察处置的效果,形成“OODA闭环”。如果处理结果不行,就会更换策略继续新一轮“OODA”调整。其实网络空间没有绝对的安全,在受到攻击后,只能努力把攻击引发的损失降到最低。也就是说,网络安全是动态的,不是静态的。
《中国经营报》:可以理解成“网络空间安全没有天花板”吗?
饶志宏:对,网络空间安全本身是螺旋迭代的,没有天花板的说法。网络空间安全本身具有渗透性,万物互联的时代,安全隐患无处不在。
数据安全发展成独立赛道
《中国经营报》:很多网友关心我们跟西方国家在互联网领域的差距,如何看待这一观点?
饶志宏:就互联网本身来讲,中国和西方国家,尤其是美国是有一定差距的。互联网源于美国,很多协议规范都是美国在主导。当然,随着中国互联网不断发展,有些应用在普及性上实际上超过了美国,比如我们现在的微信支付、支付宝支付等。
《中国经营报》:此前你分享过“数据安全是数据市场的基石”。公众原来听到数据安全,一般认知就觉得是大数据、网络安全,但你提出来的数据安全已经脱离了这两个领域,发展成独立的赛道。这是一个新概念,我们该如何理解它?
饶志宏:严格说,数据安全是属于网络空间安全的大范畴。狭义的网络安全是指传输安全,而数据安全管数据的全生命周期,从数据的产生、传输、存储、使用、把价值放完,到数据的消亡销毁,这是一个全过程安全。
随着万物互联,人们在应用网络的时候数据量越来越大,安全威胁的影响也越来越大,数据安全就成为一个独立赛道,国家也出台了相应的数据安全法。
这个赛道其实有几个方面是需要关注的:第一,是在大数据使用过程中,数据本身的品质和质量。第二,由数据安全引起的个人隐私保护。第三,现在比较流行的“大模型”所生成数据的安全性、可信度。
《中国经营报》:你说到“这个赛道没有天花板”。除了现在正在做的研究,还有哪些细分领域是你感兴趣一直在研究的?
饶志宏:主要有两个。一是主动防御里的重要环节“监测预警”,基于监测预警,我写过一本书叫《网络空间安全监测预警》。因为网络空间是一个让人很费解的虚拟空间,虽然是人造的,但是是一个比较抽象的空间,我们通过监测预警,将安全威胁可视化呈现,“让网络安全看得见”很有意义。
另一个是漏洞挖掘,我承担了一个国家重点研发计划“软件与系统漏洞分析与发现技术”,将传统的民间的挖漏洞的高手和人工智能结合起来,能够快速地发现一个软件系统的很多漏洞。这个漏洞具有两面性:一方面漏洞被想要攻击我的人发现,他能很快利用这个漏洞对我进行攻击或者控制,但我还不知道;另一方面我及时发现这个漏洞,很快把它补上去,能提高安全防御的能力。不停地发现与系统相关的漏洞和问题,不停地填补修复,是一件很有意义的事情。
《中国经营报》:你刚刚提到传统挖漏洞的民间高手,这些民间高手与科研单位的高手有怎样的不同?
饶志宏:网络空间安全里面有各种各样的民间奇才或者说是怪才,他们的思维非常活跃、开放,而像我们多年在传统科研体制下培养出来的人才,容易形成思维定式,会局限解决问题的方法。我们专业机构也会经常和民间高手一起工作,形成群体智能协作漏洞挖掘机制。网络安全圈也有“木桶效应”,意为最短的木板决定了桶的整体水平,而我们通过群体智能协作把各自的优势集合在一起,形成“长板效应”。
以创新为智能网联汽车护驾
《中国经营报》:随着人工智能、5G通信、大数据等技术的快速发展,智能网联汽车正在成为全球汽车行业关注的焦点。根据普华永道预测,2030年全球L4—L5级自动驾驶汽车将达到8000万辆左右,中国将达到3300万辆左右。在此背景下,保障智能网联汽车的安全尤为重要,据你观察,智能网联汽车存在哪些安全风险?
饶志宏:智能网联汽车在安全方面存在四类风险:一是网络异构复杂致使通信安全防护薄弱。二是共享数据链长,数据隐私泄露加剧。目前,数据安全保护机制尚未标准化,容易产生用户信息泄露;与此同时,智能网联汽车产业链条长,数据流转过程涉及实体多,容易因防护不当产生数据泄露。三是新技术应用面扩大,网络边界模糊难测。四是网络实体类型多样,互信协同问题严峻。譬如,通信实体间网络异构、带宽承载能力不同、交互数据多源异构,给网络实体信任关系建立、数据安全交互增加了难度。
智能网联汽车数据安全缺少从顶层视角进行的全面系统设计和协同,因产业链复杂且长,其间任何相关活动主体的密码使用不当,都可能造成数据泄露,需要顶层统筹与密码体系化设计,支撑跨多行业多部门的数据安全共享交换。
《中国经营报》:近年来,汽车出海成为我国汽车行业增长的新发力点。汽车出海在“网络数据安全”方面要注意哪些问题?
饶志宏:汽车出海一方面要做好智能网联汽车防御能力搭建,另一方面要适应目标国家制定的网络安全法律法规。比如说,欧盟的GDPR法规(“General DataProtection Regulation”,是欧盟为了加强个人数据保护而制定的法规),该法规特别重视个人隐私保护,同时,数据从采集到流通,再到跨境都有一整套的要求,必须要重视。
《中国经营报》:你在网络安全行业一待就是30年,对于未来有哪些期待或者展望,有没有一些经验分享给希望在网络安全领域有所深耕的年轻人?
饶志宏:网络空间安全是我的专业,是一个没有天花板的事业。网络空间安全领域会不断涌现新的技术,同时也会有各种各样的风险出现。我们要用“博弈的思维”不停地吸收一些新技术,应对这个领域的挑战,推动这个领域发展,这是我一直要做的事。
网络空间有很值得年轻人挖掘的地方,要想在这个行业里有所成就,一定要有钉钉子的精神,不断挑战自己,探索未知!