诸子云 | 活动：9.16深圳OT/IOT安全研讨会

TCL实业软件工程中心安全技术部门长&智能终端安全实验室负责人陈东、百度AI安全技术总监林道正、美的集团信息安全部长周海刚、吉利汽车车联网实验室负责人刘志伟四位专家分别进行了分享。

智能终端产品安全体系的三板斧其实也是整个安全行业经常提到的三件事，那就是价值、怎么做以及框架。从家庭视野来看智能终端可以看下面这张图，其中主要包括智能客厅、智能卧室、智能厨房、智能卫生间以及户外及车库等等。当下的智能终端在家居生态方面已经覆盖的非常全面了，其中最主要的就是交互、网络和数据。

大部分科技企业会将隐私、合规和安全纳入企业的核心价值。但从触达来看，安全和用户体验存在一定的矛盾。例如，出于安全的考虑，同一局域网的设备在互相链接的时候需要设计一个弹窗，来告知用户设备即将链接。但这么做就会使智能终端无法一键触达，从而影响用户的使用体验。

不同身份对于安全的需求是不同的。对于用户来说，他们对于智能终端的安全主要围绕在安全可信、隐私保护和开放透明；对于企业来说，他们更关注可持续发展、合规以及品牌口碑；对产品开发来说，他们则更看重信息安全、安全高质量和自适应韧性。

做安全最重要的是制定战略，而制定战略的前提是要确定安全到底要做那些事情。我所在的企业会采用战略五看来确定安全战略，战略五看包括宏观：产品安全法规呈强制性化趋势；行业：企业投入安全成本逐年增加；客户：消费者和客户安全诉求提升；业务：不法黑客们热衷使用的“新武器”；自己：面临多法域安全合规成本压力。

企业的安全往往是没有边界的，当企业对安全的职责划分不清的时候，研发安全、信息安全、产品安全、IT安全、人员安全甚至是物理空间的安全都需要安全负责人来管理和维护。因此，安全的治理面非常广，落实到每一个细分领域的时候就会捉襟见肘。例如，产品安全的质量往往治标不治本，因为大部分威胁在外部。同时，由于产品是需要交互的，某些已经修复的BUG可能在开发人员的代码迭代后，再一次出现。

然而，这种泛化的安全却不一定能获得足够的资源，而想要获得资源就要先确定安全的价值，安全的价值在企业发展的任何阶段都是一个问题。这里可以通过马斯洛需求层次来确定价值，从产品视角来看，产品的销量、产品的体验、产品的定位等等都是产品的需求；从业务来看，业务框架是否满足用户在交互、使用等方面的需求等等。而安全则是围绕着产品、业务以及整个公司，在提供安全保障的同时，支撑企业开展更高层次的业务发展。

智能终端产品业务安全较多聚焦在产品场景交互下的安全特性功能及软件研发数据交互安全管控体系，确保提供的产品服务可信可靠及软件交付高效安全。业务领域下的产品安全治理框架可分为两方面：终端可信安全架构，确保在正确场景下，通过正确设备按需访问数据，体验可信的服务；研发数据安全体系，构建持续并且高效率的交付流水线，产出高质量可信的软件产品。

当下，智能网络汽车行业已经从网联化、合规化迈向攻防常态化。导致这一变化的外因有两方面，一个是HW带来的常态化攻防演练，另一个则是黑产追逐利益所引发的攻击活动，内因则是合规与安全。在大模型出现之前，智能网联汽车行业的安全机遇还是传统的，但在大模型出现后，很多新的安全机会是由大模型引发的。值得注意的是，大模型并不会开辟一个新的安全方向，而是大模型会作为安全和合规这两个需求的整体引擎，提高整个安全活动的生产力。

大模型的发展历程由来已久，随着2010年后深度学习的技术发展，不断催生出大模型的关键技术，如2017年的Transformer模型，但深入到各个行业的契机还是由2022年出现的ChatGPT引发的，今年，包括文心一言、GPT-4等基于大模型的AI诞生，为整体的安全发展带来的新的机会。百度文心一言是知识增强大语言模型，也是全球科技大厂中首个发布的大语言模型，这得益于百度多年在AI上投入的结果。

大模型对安全最大的推动包括两方面，一个是上下文理解，这个可以被看做是大模型提高生产力的第一阶段，第二是思维链COT，体现出大模型已经具备了初步的思考。例如，此前让AI做应用题，它会直接给出答案，这个答案可能是对的，也可能是错的。而具备COT能力的大模型则可以输出每一步的推导，这就让大模型具备了解决复杂问题的能力。大模型的关键因素包括数据、算力、模型、框架、安全。而AI大模型的发展也是基于这五个关键因素逐步加强。

回到汽车安全，针对汽车行业的大模型有两个方向。一个用大模型做合规，主要解决企业认证、流程性、组织建设以及合规将官的问题。另一个方向是做安全运营，主要针对的是提效，也就是利用安全运营大模型降低安全运维人员的门槛以及提升攻防响应速度。合规大模型首先要构建业务数据流的飞轮，围绕这个飞轮可以持续输入数据来优化大模型，使大模型能够用在新的项目上。新项目的数据又可以回到大模型来完成一系列的优化。

大模型的上下文理解能力让过去高成本的工作变得简单，例如实体抽取，实体抽取需要用到相关的语料和专业模型来执行固定任务的实体抽取，而采用大模型就可以在提供一两个例子之后，去执行新的样本数据来实现实体抽取，这里大模型的表现效果是非常出色的。在此基础上，企业还可以实现自动化威胁分析，比如威胁分析在汽车行业第一关注的是车的资产，而通过大模型就可以抽取出车的资产以及资产下面的模块、模块提供的服务以及服务的业务场景等等，以此为基础进一步生成符合业务需求的威胁分析报告。

目前，全球工控信息安全事件频发，比较著名的几个例子包括2010年11月伊朗“震网”病毒，伊朗核设施遭“震网”病毒攻击，离心机严重受损，被迫推迟计划。2018年8月台积电WannaCry病毒，台积电3座晶圆厂生产线遭WannaCry的变种病毒入侵而停产，事故损失11.5亿元。2022年4月哥斯达黎加遭勒索攻击，哥斯达黎加政府因勒索攻击宣布进入“国家紧急状态”，勒索攻击导致国家财政部瘫痪，医疗保健系统陷入混乱。2020年6月巴西电力公司勒索病毒，巴西电力公司LightSA遭Revil勒索攻击，被索要1400万美元的赎金。

然而，此起彼伏的安全事件却并没有大幅度改变安全现状，由于企业的发展阶段不同，不同企业乃至不同园区的安全是参差不齐的。企业的工控安全不仅仅是工控安全，因为它既包括前端产线上的安全，也包括后端的数据库安全，特别是在企业部署公有云和私有云之后，围绕着工控安全的供给链条是非常庞大的。IT环境中所能遇到的安全问题几乎都能在工控安全中发展，而工控安全本身也存在特定的安全风险，例如资产不准确、漏洞不清楚、攻击不知道、隔离不彻底、响应不及时等等。

资产不准确是最主要的风险，这可能不会出现在互联网等行业，因为这类企业的电脑主机的数量和位置都一目了然。但在工控场景中，产线可能有几栋楼那么多，其中还可能包括有线、无限以及5G链接的设备。当发现病毒后，锁定病毒是非常困难的。有些产线可能还是用着很古早的电脑，它对生产可能起不到帮助，但它却是攻击者的堡垒机。

当下，制造行业的企业无论是大企业还是中小企业，对工控安全的重视程度可能都没有那么高。很多人会说即便预算较低，过去那么多年也没出过大的安全事故，实际上是，未出现事故是因为没有被盯上，一旦攻击者关注到了你这家企业，就一定会出现事故。因此构建工控安全不仅是必要的，还是对整个企业的发展起到非常大的促进作用，有时一次安全事故的发生就可能会导致企业上市失败。

但是，建设工控安全是讲究方式方法的，而首当其冲则是向上沟通。工控安全不仅是工控安全，它是一个体系，企业本身要具备一定的体系才能将工控安全纳入其中。构建体系本身是为了追求确定性，因为安全是短板原理，无论防护有多少，某一个点被突破了那么其他防护措施也就失去了意义。构建体系首先分析攻击面，然后建立纵深，建立纵深的意义是虽然攻击能突破单点，但却无法突破体系。

工控模型从L0-L4，每一层都有相互的防护手段，在终端上的，在后端服务，在网络层面的，以及在资源层面的等等。围绕工控安全有三个标准，一个是工信部在2016年推出的《工业控制系统信息安全防护指南》，其次是等保2.0提到的《工业控制系统安全扩展要求》，最后是《工业控制系统信息安全防护能力成熟度模型》。最后这个模型将工控安全防护能力分成了5个层次，包括L1-基础建设、L2-规范防范、L3-集成管控、L4-综合协同、L5-智能优化。

目前，智能网络汽车正在快速增长，随之而来的安全事件数量正在与日俱增。“四化”、“四跨”让车与万物互联，软件定义汽车成为不可逆转的趋势，预计到2025年，绝大部分新的车型将具备自动驾驶和联网功能。目前全球市场智能网联汽车渗透率约为45%，预计2025年将接近60%。中国的智能网联汽车市场将不断增长，预计2025年智能网联汽车将新增2000万辆，累计超过1亿辆，市场渗透率超过75%,高于全球市场水平。智能汽车为用户带来更多便利服务的同时也让黑客具有了更大的攻击面。一旦发生网络安全事件，将严重威胁到人身财产安全，甚至危害社会和国家安全。据统计，汽车网络安全事件数量从2016年至2019年上升了7倍。

值得关注的是，2021年到现在，已经出现了多次重大的安全事故。2021年4月，黑客远程入侵某品牌汽车，提取出车内驾乘人员影像和通话语音。2021年5月，某车企330多万客户数据遭泄露，包括个人信息及车辆数据。2021年10月，某品牌汽车应用程序出现安全漏洞，造成多名车主信息被随机显示。2022年1月，某19岁研究员称其可破解能多家车企的汽车，远程访问多项功能。2022年3月，某车企供应商遭受网络攻击，导致本土工厂被迫停止生产一天。2022年9月，某国的服务平台被入侵，致大量汽车集聚严重堵塞交通。2022年10月，某品牌总计6.99GB商业文档被窃取，并遭受勒索。2023年1月，近20家车企在线服务漏洞被披露，可致解锁、启动等。车联网网络安全事件可能引发严重危害后果，直接关乎车辆的行驶安全，甚至影响公民生命安全和国家经济安全稳定运行。

目前，欧盟准入的WP29法规要求自2022年7月起，新车型的整车厂要通过CSMS体系认证，SUMS软件升级管理体系、网络安全整车型式认证(VTA)要求否则无法销售。CSMS主要内容是满足联合国的WP29第五附件和ISO21434全部的要求。而我国，自《网络安全法》、《数据安全法》以及《个人信息保护法》的发布后，也陆续发布了针对汽车行业的规章制度，例如《通信网络安全防护管理办法》、《汽车数据安全若干管理规定(试行)》、《工业和信息化领域数据安全管理办法(试行)》、《道路机动车辆生产企业及产品准入管理办法》以及《新能源汽车生产企业及产品准入管理规则》等等。

目前，车联网行业的网络安全能力建设存在几个难点。第一是安全能力维度广，很多安全工作要落地到人员上面，而在车联网行业中，人员所需要的安全能力非常庞大，从硬件到软件，从底层到应用层等等都需要人员来支撑和维护。换言之，车联网的安全是一个非常复杂的学科。其次是组织建设难，车企业务体系复杂，涉及车辆研发、智驾、电子电器、技术中心、整车测试中心、试制、制造等众多的岗位层级与职能角色，难以建立统一的信息安全管理组织架构。第三是缺乏实践，车联网安全是汽车行业的新兴事务，行业缺乏相关实践积累，车企尚在各自艰难摸索，制度流程难落实。最后是工具复杂，车联网安全工具和平台众多，难形成安全管控体系。