圆桌论坛实录：业界大咖共话智能网联汽车信息安全人才培养新路径

议题一：

智能网联汽车信息安全现状及挑战

复旦大学计算机科学技术学院副研究员戴嘉润：整体看，目前智能网联企业信息安全的高校教育还存在一定滞后性，高校对信息安全人才的培养还聚焦在系统端、移动端等一些传统的安全问题和传统场景上，智能网联汽车的场景目前还是缺乏的。我们也是近两年开始布局相关场景，在技术原型、漏洞挖掘等方面取得了一些基础成果，在智能网联车维度的研究对于我们而言更像“黑盒测试”，对于传统场景，我们对车的内部、各个环节和细分版块的专业信息的了解还不够，只能在传统经验的基础上去摸索，所以，高校目前培养出来的人才，和行业、企业需要的人才之间的差距到底多大，值得我们深思和探讨。

工业互联网创新中心（上海）有限公司副总经理、数字安全事业部总经理秦峰：目前的企业无论是甲方还是乙方，车联网体系里面的相关人员，大多还是之前做传统IT安全的那拨人，关于车联网信息安全人才标准还是个空白。所以，上海通信行业职业技能鉴定中心、上海市车联网协会和上海工创中心共同组织了《智能网联汽车网络数据安全人才评价指南》团体标准的建设，目前已经正式启动了。另一方面，我们也发现一些职教领域的思路已经发生转变，更重视实践实操了，未来我们也希望和高校，以及像丈八网安这样的网络靶场服务商一起去联合共建专业的实验室，推动实践型人才的培养。

Smart汽车技术合规高级总监刘锋：我理解，传统互联网行业背景的信息安全专家是可以嫁接到车企的，但除了需要掌握传统信息安全要求的技能外，还要非常熟悉车企的项目管理、质量管理、系统工程，这是对传统信息安全人才认知上的挑战；另外就是我们站在蓝方视角去做筑防的时候，更倾向于基于架构的安全设计，这个过程中，要考虑组织给到的资源，在有限的资源下去设计，我们希望相关人员要懂得如何防御，甚至指导如何与供应链上下游打交道，便于更好地做筑防设计。

伊世智能副总经理李宏：我本人是从集成电路相关行业跨行到信息安全行业的，所以在人才培养角度，我非常理解要想体系化地掌握跨学科技能其实并不容易。目前行业内缺乏综合性的跨学科的培训机制和课程，尤其是从理论知识关联到实践性、工程性的学习，我们希望能尽可能地做一些突破，所以联合丈八网安一起建设了一个行业解决方案，把信息安全的攻与防，所有需要的跨学科内容，体系化地进行构建，这个解决方案可以帮助到产业上更多的工程师，尤其是跨行就业的人员，可以更好地进入到智能网联汽车产业。

丈八网安行业总监张鹏：丈八网安是一家专注网络靶场产品，且致力于建设基于网络仿真行业生态的企业，我们的心态是非常开放的，在与伊世智能和产业链上的其他相关企业沟通的过程中，我们发现把网络靶场能做的，和诸位专家所代表的行业企业能做的做一个融合，就能解决现阶段人才培养面临的大部分问题，这也是我们和伊世智能联合组织今天的活动，共同发布解决方案的原因，也希望在此能听一听大家的想法，可以把解决方案做得更全面。

议题二：

高校如何更顺滑地向企业输送人才？

复旦大学计算机科学技术学院副研究员戴嘉润：我们团队在2014年左右开始慢慢和各头部互联网公司达成合作关系，我们的很多硕士、博士毕业的学生，也是通过在校期间，在与各企业项目合作的过程中，达成了深度的互信，获得企业对个人能力的认可，毕业后很顺畅地进入到企业的相关业务线上工作的。

这个过程中，我们走的是一个从点到线的过程，针对一些大公司安全部门的具体安全需求而衍生的项目，我们他通过项目的合作或者共创，学生们可以更好地理解企业的需求，企业也能摸清楚学生的能力在什么地方，慢慢的学生的能力也会向企业需求上去靠，这是“点”；后面我们也和一些大厂联合成立了实验室，联合实验室更像人才培养的小型孵化基地，学生对于企业业务知识的理解，是逐渐在实验室建设的过程中，在解决企业一连串的安全痛点需求中建立起来的，这是“线”；在后面我们就走到了“面”上，从学院、学校层面去推动人才培养更好地满足企业需求，这需要持续地努力。

丈八网安行业总监张鹏：高校、高教、高职等教育行业是网络靶场的传统用户行业，共建实验室是一个很好的方向，可以帮助教师和学生实现对应产业的培养目标。网络靶场是一个基础工具，有了这个工具后，就能支撑学校里的很多研究课题在靶场仿真出来的网络环境里落地实践；另一方面，丈八网安的靶场“火天网境”是一个灵活开放的靶场，允许多元化的“自定义”，所有教学所需的功能、场景都可以轻松地通过应用的组合去实现，学生的能力是完全可以独自完成使用的；再次，我们的靶场可以和很多垂直行业的一级单位去共建，比如我们和伊世智能的合作，可以充分激发数字安全和智能网联汽车信息安全能力的融合。

Smart汽车技术合规高级总监刘锋：Tier （T2）的级别会去布局专业的信息安全措施，比如芯片级别，Tier 1（T1）还是基于系统级的整合，到了整车厂就变成纯粹的渗透攻防测试。

所以我们在做开发的时候，要考虑整个供应链的状态，以及组织给我们的资源。对于整车厂来说，我要基于资源去做整个架构的设计，所以相关人才除了要具备基本的安全知识外，要有全局观，去权衡哪些是最关键的点，在基于整个架构和系统去考量；同时，需要有很高的情商，因为要与各个细分环节的工程师去沟通，可能是十几个工程师给到的数千页文档，你需要在其中获取有价值的信息，所以在Tier 1(T1）级别更多还是流程、管理至上，真正的技术能力要求在Tier (T2）级别会遇到。总体而言，对于主机厂的信息安全人员能力需求而言，更偏架构化和集成化能力，以及情商的要求。

目前汽车行业来说，跟互联网行业相比，有一个重要的点，就是我听到的安全人员在互联网行业，他们经常是将所有安全开发过程是完全融入它的代码生成的过程，比如漏扫，是贯穿在开发过程中的。但是在车企，我们无法直接去检查它的过程，只能检查成品交付后的结果，这是和传统互联网的很大不同。所以，我觉得从整个安全的理念和实施来看，车企和互联网公司还是有差距的。

但是随着将来中央域预控的集成化，或者整个 CPU向车端转移的发展趋势，甚至云端将来承载的一些计算功能会越来越强，这时候可能我们真的要向互联网的网络信息安全方向去靠拢。互联网的信息安全人才也会有更好的发展空间。

伊世智能副总经理李宏：依旧举一个半导体行业的例子，集成电路产业的人才培养有1+1+1+1——4个1计划，1名学生配1名导师，根据产业实际需求的项目去设置1个课题，然后需要1个实践，实践的过程中就需要仿真了，就像我们和丈八网安的合作，依托靶场构建一个仿真环境，在接近真实的环境下实践后，就可以真正地投身到产业中去了。

今天，我们智能网联汽车信息安全行业同样需要4个1，针对车厂的需求，通过平台去实践4个1，可以帮助学生加速成长，最终走进企业，实实在在减少企业的培养成本，目前我们也是这么做的。